Исправить ошибку Windows Hello 0x80090011

TL;DR: Если при настройке Windows Hello в Windows 11 появляется код ошибки 0x80090011, это обычно связано с отсутствием контейнера/ключа, повреждённой папкой Ngc, проблемами Azure AD или отключённым TPM. Последовательно выполните вход в учётную запись Microsoft заново, выйдите и повторно подключитесь к Azure AD, очистите папку Ngc, проверьте и включите TPM, включите PIN-вход в локальной политике, запустите службу IPsec, обновите Windows и проверьте антивирус. Ниже — подробное руководство, чек-листы, план действий и критерии приёмки.

Что это за ошибка и почему она появляется

Ошибка 0x80090011 возникает, когда система не может найти криптографический контейнер или ключ, необходимые для сохранения и использования PIN/биометрических данных Windows Hello. Это проявление более общей проблемы с хранением ключей и настройками безопасности. Краткие причины:

Непоследовательность или конфликт в Azure AD (учётной записи организации).
Повреждённая папка Ngc, где хранятся данные PIN/ключей.
Внезапное завершение работы системы или сбой, приведший к потере данных ключей.
Отключённый или неправильно настроенный TPM (Trusted Platform Module).
Отключённые локальные политики, блокирующие удобный вход по PIN.
Отключённая служба IPsec Policy Agent.
Конфликт с антивирусным ПО или вредоносное ПО.

Важно: ошибка не всегда указывает на физическую поломку оборудования — чаще это логическая или конфигурационная проблема.

Быстрая стратегия устранения (пошагово)

Выйти и повторно войти в учётную запись Microsoft.
При необходимости выйти из Azure AD и повторно подключиться.
Очистить папку Ngc (требуется администратор).
Проверить и подготовить TPM.
Включить «Turn on convenience PIN sign-in» в gpedit.
Убедиться, что служба IPsec Policy Agent запущена.
Обновить Windows и выполнить сканирование на наличие вредоносных программ.
Если ничего не помогает — резервное восстановление или сброс системы.

1. Повторный вход в учётную запись Microsoft

Иногда ошибка — временная проблема с токенами учётной записи. Повторный выход и вход могут обновить токены и решить проблему.

Шаги:

Нажмите клавишу Win для открытия Пуска.
Нажмите на имя учётной записи в левом нижнем углу.
Выберите Выйти из контекстного меню.
После перехода на экран блокировки выберите учётную запись, введите пароль (если требуется) и нажмите Войти.

Проверка: попробуйте снова настроить Windows Hello.

Примечание: если ваша учётная запись привязана к организации, рассмотрите шаги по повторному подключению Azure AD (см. следующий раздел).

2. Покинуть и повторно подключиться к Azure AD

Когда устройство присоединено к Azure Active Directory (Azure AD), некоторые ключи и политики управляются облаком. Конфликты между локальной конфигурацией и облачными автоматическими настройками могут блокировать создание локальных ключей для Windows Hello.

Шаги:

Откройте Параметры (Win + I).
Перейдите в Система > Сведения.
Нажмите Отключиться от организации.
Подтвердите выбор, нажав Продолжить.
При необходимости введите данные альтернативной учётной записи и нажмите OK.

После выхода перезагрузите устройство, войдите с альтернативной учётной записью, затем повторно присоедините устройство к Azure AD и настройте PIN/Windows Hello.

Когда это работает: если причина — некорректные или устаревшие привязки учётной записи к устройству.

Когда это не помогает: если корень проблемы — локальное повреждение хранилища ключей (папка Ngc) или отключённый TPM.

3. Очистить папку Ngc (восстановление PIN)

Папка Ngc хранит данные, связанные с PIN. Повреждение этой папки часто вызывает ошибки при настройке Windows Hello.

Важно: для удаления содержимого Ngc требуются права администратора. Перед удалением убедитесь, что у вас есть другие способы входа (пароль или учётная запись администратора).

Шаги:

Откройте окно Выполнить (Win + R).
Введите путь и нажмите Enter:

C:\Windows\ServiceProfiles\LocalService\AppData\Local\Microsoft

Найдите папку Ngc, щёлкните правой кнопкой и выберите Удалить.
Подтвердите удаление, нажав Да.
Перезагрузите систему.

После перезапуска откройте Параметры > Учётные записи > Параметры входа и настройте PIN заново.

Риски: удаление Ngc уничтожит локально сохранённый PIN; пользователю потребуется повторно настроить PIN и/или биометрию.

4. Проверить и подготовить TPM

TPM (модуль доверенной платформы) хранит криптографические ключи на аппаратном уровне. Если TPM отключён или не инициализирован, Windows Hello может не работать.

Шаги:

Откройте Выполнить, введите tpm.msc и нажмите Enter.
При появлении контроля учётных записей (UAC) нажмите Да.
В окне управления TPM выберите в верхнем меню Действие и нажмите Подготовить TPM.

Если пункт «Подготовить TPM» неактивен, значит TPM уже настроен.

Дополнительно: если TPM полностью отсутствует, проверьте настройки BIOS/UEFI — ключевые опции: Security Chip, TPM State, PTT (для Intel) или fTPM (для AMD).

5. Включить вход по PIN в груповой политике

В локальной групповой политике может быть запрещён удобный PIN-вход. Для корпоративных устройств администратор может намеренно отключить эту функцию.

Шаги:

Откройте Выполнить, введите gpedit.msc и нажмите Enter.
Перейдите: Local Computer Policy > Computer Configuration > Administrative Templates > System > Logon.
Найдите параметр Turn on convenience PIN sign-in и откройте его.
Установите значение Enabled, затем нажмите Применить > OK.

Примечание: на некоторых изданий Windows 11 (Home) gpedit.msc может отсутствовать.

6. Включить службу IPsec Policy Agent

Служба IPsec Policy Agent участвует в управлении политиками безопасности, и её отключение может косвенно повлиять на работу служб безопасности, нужных Windows Hello.

Шаги:

Откройте Пуск, введите Службы и нажмите Enter.
Найдите IPsec Policy Agent и дважды щёлкните по записи.
Установите Тип запуска — Автоматически.
Нажмите Запустить в блоке состояния службы, затем Применить > OK.
Перезагрузите компьютер.

7. Обновите Windows

Обновления устраняют программные баги и улучшают совместимость криптокодов. Проверьте наличие обновлений и установите их.

Шаги:

Откройте Параметры > Центр обновления Windows.
Нажмите Проверить наличие обновлений.

После установки обновлений перезагрузите ПК и попробуйте снова.

8. Отключите сторонний антивирус и просканируйте систему

Иногда стороннее антивирусное ПО или политика безопасности может блокировать сохранение ключей. Попробуйте временно отключить антивирус и повторить настройку.

Если используете Microsoft Defender, выполните автономное сканирование: Безопасность Windows > Защита от вирусов и угроз > Параметры сканирования > Офлайн сканирование Microsoft Defender.

Важно: отключайте антивирус только временно и на короткое время; при отключении держите устройство в безопасной сети.

Когда все перечисленное не помогло

Если ни один из шагов не устранил ошибку, рассмотрите:

Восстановление системы к точке до появления проблемы (если есть точка восстановления).
Резервное копирование важных данных и сброс Windows с сохранением/удалением данных в зависимости от ситуации.
Обращение в службу поддержки организации (если устройство принадлежит компании) или в службу Microsoft Support.

Чек-листы для разных ролей

Для обычного пользователя

Повторный вход в учётную запись Microsoft.
Очистка папки Ngc (при наличии доступа администратора).
Перезагрузка и повторная попытка настройки Windows Hello.
Отключение стороннего антивируса на время теста.
Проверка обновлений Windows.

Для IT-администратора

Проверить привязку устройства к Azure AD и глобальные политики.
Убедиться, что TPM включён в BIOS/UEFI и в tpm.msc.
Проверить группы безопасности и GPO: Turn on convenience PIN sign-in.
Установить автоматический запуск службы IPsec Policy Agent.
Просмотреть логи событий Windows (Event Viewer) на предмет ошибок Центра безопасности и CNG-Key errors.

Быстрый план действий (SOP)

Собирать базовую информацию: версия Windows, тип учётной записи (личная/организации), журналы событий.
Попросить пользователя повторить вход в MS-аккаунт.
Если устройство в Azure AD — временно отключить и повторно подключить.
Очистить Ngc и перезагрузить.
Проверить TPM, выполнить подготовку при необходимости.
Включить PIN в групповой политике и запустить IPsec.
Обновить ОС и выполнить антивирусную проверку.
Если не помогает — планировать восстановление/сброс или эскалацию в службу поддержки.

Критерии приёмки:

Пользователь успешно настраивает PIN или биометрию без ошибки 0x80090011.
В журнале событий Windows отсутствуют повторяющиеся ошибки хранения ключей.

Тесты и критерии проверки

Тест-кейсы:

ТестA: Повторный вход в MS-аккаунт — проверить возможность настройки PIN.
ТестB: Очистка Ngc — после удаления папки и перезагрузки проверить возможность создания PIN.
ТестC: Подготовка TPM — убедиться, что TPM отображается как «готов» в tpm.msc.
ТестD: Включение политики PIN в gpedit — проверить, что параметр доступен и включён.

Критерии приёмки (для каждого теста):

Успешная настройка Windows Hello без кода ошибки.
Отсутствие новых ошибок в системных журналах.

Диагностическая схема (решение-дерево)

flowchart TD
  A[Ошибка 0x80090011 обнаружена] --> B{Можно войти по паролю?}
  B -- Нет --> C[Восстановить пароль/войти с другой учётной записью]
  B -- Да --> D{Устройство в Azure AD?}
  D -- Да --> E[Выйти из Azure AD и снова подключиться]
  D -- Нет --> F[Очистить папку Ngc]
  E --> F
  F --> G{TPM включён и подготовлен?}
  G -- Нет --> H[Включить/подготовить TPM 'tpm.msc']
  G -- Да --> I{Политика PIN включена?}
  I -- Нет --> J[Включить Turn on convenience PIN sign-in в gpedit]
  I -- Да --> K{IPsec Policy Agent запущен?}
  K -- Нет --> L[Включить службу и перезагрузить]
  K -- Да --> M[Проверить антивирус и обновления]
  M --> N{Проблема решена?}
  N -- Да --> O[Готово]
  N -- Нет --> P[Резервное копирование и сброс/эскалация]

Риски и смягчение

Риск: удаление Ngc приведёт к потере локального PIN — смягчение: заранее уведомить пользователя и убедиться, что есть пароль или админская учётная запись.
Риск: отключение антивируса повышает риск заражения — смягчение: отключать только временно и при безопасной сети.
Риск: изменение GPO может повлиять на безопасность организации — смягчение: согласовывать с IT-политиками и тестировать на пилотной группе.

Короткий глоссарий (1 строка)

Ngc — системная папка Windows, где хранятся локальные данные PIN/ключей Windows Hello.
TPM — модуль доверенной платформы для аппаратного хранения криптографических ключей.
Azure AD — облачная служба каталогов и управления идентификацией от Microsoft.

Примечания по безопасности и конфиденциальности

При работе с учётными записями организации соблюдайте внутренние политики безопасности и не удаляйте данные без согласования.
Не публикуйте персональные учётные данные при обращении в службу поддержки.
При передаче устройства для ремонта удаляйте или шифруйте чувствительные данные.

Краткое объявление для команды (100–200 слов)

Если на ваших рабочих устройствах пользователи получают ошибку Windows Hello 0x80090011 при настройке PIN или биометрии, следуйте стандартной процедуре: сначала попросите пользователя выйти и повторно войти в учётную запись Microsoft, затем временно отключите устройство от Azure AD и повторно подключите. Очистите папку Ngc и подготовьте TPM (tpm.msc). Убедитесь, что локальная политика “Turn on convenience PIN sign-in” включена и служба IPsec Policy Agent запущена. Выполните проверку обновлений Windows и проведите антивирусное сканирование. Если все шаги не помогают, сохраните важные данные и выполните сброс системы или эскалируйте инцидент в службу поддержки. Это последовательное решение позволяет восстановить работу Windows Hello у большинства пользователей без замены оборудования.

Итог

Ошибка 0x80090011 обычно связана с проблемами хранения ключей или конфигурацией безопасности. Последовательно пройдите перечисленные шаги: вход в учётную запись, управление Azure AD, очистка Ngc, подготовка TPM, включение PIN через GPO, запуск IPsec и обновления. Для IT-команд предоставлены чек-листы, SOP и тесты для верификации устранения. Если ни один из шагов не помогает, подготовьте резервное копирование и план по сбросу/восстановлению системы или перепоручите эскалацию в техподдержку.

Важно: всегда сначала сохраняйте критичные данные и действуйте в соответствии с политиками безопасности вашей организации.