Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Metoda ověřování kódu QR umožňuje pracovníkům front-line efektivně se přihlašovat v aplikacích na sdílených zařízeních. Uživatelé můžou použít jedinečný kód QR, který jim poskytnete, a zadat svůj PIN kód pro přihlášení, takže nemusíte zadávat složitá uživatelská jména a hesla. V současné době se ověřování pomocí kódu QR podporuje jenom na mobilních zařízeních, na kterých běží iOS/iPadOS nebo Android.
Než povolíte metodu ověřování kódu QR, projděte si osvědčené postupy pro používání bezpečnostních prvků pro pracovní nebo domácí přístup pro pracovníky front-line. Další informace najdete v tématu Osvědčené postupy pro ochranu pracovníků front-line.
Co je ověřování kódu QR?
Ověřování kódu QR je jednoduchá metoda ověřování, která je primárně určená pro pracovníky frontline. Skládá se z jedinečného kódu QR a číselného PIN kódu. Kód QR slouží jako identifikátor a je jedinečný pro uživatele. Můžete ho stáhnout a vytisknout pomocí Centra pro správu Microsoft Entra, My Staff nebo Microsoft Graphu. Pro usnadnění je možné kód QR připojit k odznáček nebo k jakékoli jiné nositelné položce.
Správci ověřování poskytují uživatelům dočasný PIN kód, který ho pak během přihlašování změní. Pin kód zná jenom uživatel. Je vázán pouze na kód QR. Nedá se použít s jinými identifikátory uživatelů, například s uživatelským jménem nebo telefonním číslem. Ověřování kódu QR je jednofaktorová metoda, ve které je PIN (něco, co víte) přihlašovacím údajem.
Výhody ověřování kódu QR
| Benefit | Description |
|---|---|
| Snadnější a rychlejší přihlášení | Pracovníci front-line nemusí zadávat složitá uživatelská jména nebo hesla, aby se mohli během směny přihlásit do sdílených zařízení. |
| Inexpensive | Tisk kódu QR stojí méně než hardwarový klíč, což může být nákladné pro organizace s dočasnými pracovníky frontline. |
Vlastnosti PIN kódu
Následující zásady se použijí, když správce zásad ověřování vytvoří nebo resetuje PIN kód.
| Policy | Values |
|---|---|
| Povolené znaky | Čísla (0–9) |
| Nepovolené znaky | - Písmena (A-Z, a-z) - Symboly (- @ # $ % ^ & * - _ ! + = [ ] { } | \ : ' , . ? / ' ~ " ( ) ; <>) – Znaky Unicode – Prázdné místo |
| Délka PIN kódu | 8–20 číslic |
| Složitost KÓDU PIN | Je vynucená, aby se předešlo opakování a běžným sekvencím. Zkontroluje se následující vzory: - Neobsahuje 0123456789 ani 9876543210. – Neopakujte posloupnost 2 až 3 číslic v PIN kódu, například 121212 nebo 123123 nebo 342342. Pokud PIN kód obsahuje nepovolené znaky nebo je menší než minimální délka PIN kódu, zobrazí se chyba Neplatný PIN kód. |
Osvědčené postupy zabezpečení pro implementaci s ověřováním kódu QR
Doporučujeme následující opatření, když povolíte metodu ověřování pomocí QR kódu, protože jde o jednofaktorové ověřování (něco, co znáte).
- Ověřování kódu QR je primárně určené pro pracovníky frontline (FLW) a ne pro informační pracovníky (IW). Pro IW doporučujeme ověřování odolné proti útokům phishing nebo vícefaktorové ověřování.
- Nepovolujte ověřování kódu QR pro všechny uživatele ve vašem tenantovi. Povolte pouze cílové uživatele, kteří budou tuto metodu ověřování používat, například vytvoření skupiny pro pracovníky front-line a povolení ověřování kódu QR pouze pro ně v zásadách Microsoft Entra Authentication Methods.
- Zkombinujte ověřování kódu QR se zásadami podmíněného přístupu jako jinou vrstvu zabezpečení. Doporučujeme zásady, jako jsou zařízení dodržující předpisy, přístup v síti, povolit určité aplikace a režim sdíleného zařízení.
- Vynucujte ověřování odolné proti phishingu nebo vícefaktorové ověřování (MFA), když uživatelé přistupují k prostředkům mimo obchod nebo síť na pracovišti.
- Nahraďte ztracené nebo odcizené kódy QR.
- Vynucujte zásady podmíněného přístupu založené na riziku přihlášení k blokování přístupu.
Konfigurace kódu QR v zásadách metody ověřování
Správci zásad ověřování můžou kód QR povolit v metodách ověřování v Centru pro správu Microsoft Entra. Ověřování kódu QR je ve výchozím nastavení zakázané.
V zásadách metody ověřování pro kód QR můžete nakonfigurovat:
Délka PIN kódu: 8 až 20 číslic.
Životnost standardního kódu QR: 1-395 dní. Výchozí hodnota je 365 dní. Správce zásad ověřování může změnit výchozí hodnotu, když uživateli přidá standardní kód QR.
Správce může například nastavit hodnotu na 30 dnů v zásadách metody ověřování. Pro každého uživatele v tomto tenantovi je výchozí vypršení platnosti standardního kódu QR 30 dní. Správce může změnit výchozí životnost standardního kódu QR pro konkrétního uživatele.
Na tomto snímku obrazovky je délka KÓDU PIN nastavená na výchozí hodnotu osmi číslic. Životnost standardního kódu QR se sníží na 200 dnů.
Funkční podrobnosti metody ověřování kódu QR
Když správce zásad ověřování přidá metodu ověřování kódu QR pro uživatele, vygeneruje standardní kód QR a PIN kód. Aby mohli vytvořit dočasný kód QR, musí upravit metodu ověřování kódu QR.
Dočasný kód QR pomáhá, když uživatel zapomene přinést odznáček se standardním kódem QR. Má kratší životnost až 12 hodin. Když se pro uživatele odstraní metoda ověřování kódu QR, nemůže se přihlásit pomocí stávajících kódů QR a PIN kódu.
PIN kód funguje se standardními i dočasnými kódy QR, protože PIN kód je platný pro metodu ověřování kódu QR. Správce zásad ověřování může zadat vlastní PIN kód nebo vygenerovat PIN kód při vytváření metody ověřování kódu QR. Dočasný PIN kód můžou zkopírovat pouze při jeho vygenerování. PIN kód se pak maskuje, aby se zabránilo vystavení.
Stavy použitelnosti pro standardní kód QR, dočasný kód QR a PIN kód pro metodu ověřování kódu QR spolu nesouvisí. Například aktivní metoda ověřování kódu QR může mít odstraněný nebo prošlý standardní kód QR a aktivní dočasný kód QR. V jakémkoli okamžiku může existovat pouze jeden aktivní standardní kód QR a jediný aktivní dočasný kód QR.
Následující tabulka uvádí příklady kombinací stavů standardního kódu QR, dočasného kódu QR a KÓDU PIN. K úspěšnému ověření se vyžaduje aktivní kód QR a aktivní PIN kód.
| Standardní kód QR | Dočasný kód QR | PIN kód pro metodu ověřování kódu QR |
|---|---|---|
| Active | Neexistuje | Dočasné nebo uživatelem aktualizované |
| Active | Active | Dočasné nebo uživatelem aktualizované |
| Deleted | Neexistuje | Dočasné nebo uživatelem aktualizované |
| Expired | Active | Dočasné nebo uživatelem aktualizované |
| Expired | Expired | Dočasné nebo uživatelem aktualizované |
Další informace o správě kódů QR naleznete v tématu Jak povolit metodu ověřování kódu QR v Microsoft Entra ID.
Uživatelské přihlašovací prostředí s ověřováním kódu QR
Uživatelé se můžou přihlásit pomocí kódu QR pomocí webového přihlašovacího prostředí nebo optimalizovaného přihlašování k aplikaci.
Mobilní prostředí pro přihlášení k webu
K ověřování uživatelů můžete použít přihlašovací prostředí webového prohlížeče Microsoftu (login.microsoft.com). Uživatelé můžou kliknout na Možnosti přihlášení>k organizaci> apřihlásit se pomocí kódu QR.
Přihlašovací prostředí mobilní aplikace
Přihlášení k aplikacím můžete optimalizovat pomocí knihovny MICROSOFT Authentication Library (MSAL) a přidat kód QR jako možnost na přihlašovací stránce. Uživatelé pak můžou kód QR naskenovat dvěma méně kliknutími. Toto optimalizované přihlašování je k dispozici ve spouštěčích aplikací BlueFletch a Jamf.
Další informace o tom, jak optimalizovat přihlašovací prostředí nebo potlačit výzvu k vyjádření souhlasu kamery, najdete v tématu:
- Nastavení optimalizovaného prostředí pro ověřování kódu QR v aplikaci pro Android
- Nastavení optimalizovaného prostředí pro ověřování kódu QR v aplikaci pro iOS
Nepodporované uživatelské scénáře v aktuální verzi
- Samoobslužné resetování PIN kódu pro uživatele
- Hromadné zřizování kódu QR a PIN kódu
- Skenery čárových kódů pro skenování QR kódů
- Ověřování kódu QR nefunguje s desktopovými aplikacemi nebo prohlížeči
- Vlastní koncový bod pro přihlášení nájemce
- Konfigurovatelné zásady ochrany PIN, které definují prahovou hodnotu uzamčení účtu, dobu trvání nebo složitost kódu PIN
Známý problém
Pokud povolíte ověřování kódu QR pro uživatele, musí se přihlásit pomocí existující metody ověřování, aby se mohl poprvé přihlásit pomocí kódu QR nebo se jim zobrazí chyba nesprávného kódu QR .
Například:
- Povolíte ověřování kódu QR pro uživatele.
- Uživatel se musí přihlásit pomocí hesla nebo jiné metody přihlášení.
- Pro další přihlášení se můžou přihlásit pomocí kódu QR.
Uživatel se musí přihlásit jinou metodou, protože zásady metody ověřování uživatele uložené v mezipaměti se neaktualizují, dokud se uživatel znovu neověří.