Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Die QR-Code-Authentifizierungsmethode ermöglicht Mitarbeitern in Service und Produktion eine effiziente Anmeldung in Apps auf gemeinsam genutzten Geräten. Benutzer können einen ihnen zur Verfügung gestellten eindeutigen QR-Code verwenden und ihre PIN eingeben, um sich anzumelden, sodass sie keine komplizierten Benutzernamen und Kennwörter eingeben müssen. Derzeit wird die QR-Code-Authentifizierung nur auf mobilen Geräten unterstützt, auf denen iOS/iPadOS oder Android ausgeführt wird.
Bevor Sie die QR-Code-Authentifizierungsmethode aktivieren, überprüfen Sie die bewährten Methoden für die Verwendung von Sicherheitskontrollen für den Arbeits- oder Heimzugriff für Frontarbeiter. Weitere Informationen finden Sie unter Bewährte Methoden zum Schutz von Mitarbeitern in Service und Produktion.
Was ist die QR-Codeauthentifizierung?
Die QR-Codeauthentifizierung ist eine einfache Authentifizierungsmethode, die hauptsächlich für Mitarbeiter in Service und Produktion entwickelt wurde. Sie besteht aus einem eindeutigen QR-Code und einer numerischen PIN. Der QR-Code dient als Bezeichner und ist für den Benutzer eindeutig. Sie kann über das Microsoft Entra Admin Center, meine Mitarbeiter oder Microsoft Graph heruntergeladen und gedruckt werden. Aus Bequemlichkeitsgründen kann der QR-Code an eine Ausweiskarte oder ein beliebiges anderes tragbares Element angefügt werden.
Authentifizierungsadministratoren stellen Benutzern eine temporäre PIN bereit, die sie dann während der Anmeldung ändern. Nur der Benutzer kennt die PIN. Sie ist ausschließlich an den QR-Code gebunden. Sie kann nicht mit anderen Benutzerbezeichnern verwendet werden, z. B. einem Benutzernamen oder einer Telefonnummer. Die QR-Codeauthentifizierung ist eine einstufige Methode, bei der die PIN (etwas, das Sie kennen) eine Anmeldeinformation ist.
Vorteile der QR-Codeauthentifizierung
| Nutzen | BESCHREIBUNG |
|---|---|
| Einfachere und schnellere Anmeldung | Mitarbeiter in Service und Produktion müssen keine komplexen Benutzernamen oder Kennwörter eingeben, um sich während ihrer Schicht mehrmals bei gemeinsam genutzten Geräten anzumelden. |
| Billig | Das Drucken eines QR-Codes kostet weniger als einen Hardwareschlüssel, was für Organisationen mit temporären Mitarbeitern in Service und Produktion unertragbar sein kann. |
PIN-Eigenschaften
Die folgenden Richtlinien werden angewendet, wenn ein Authentifizierungsrichtlinienadministrator eine PIN erstellt oder zurücksetzt.
| Politik | Werte |
|---|---|
| Zulässige Zeichen | Zahlen (0-9) |
| Nicht zulässige Zeichen | - Zeichen (A-Z, a-z) - Symbole (- @ # $ % ^ & * - _ ! + = [ ] { } | \ : ' , . ? / ' ~ " ( ) ; <> - Unicode-Zeichen - Leerstelle |
| PIN-Länge | 8-20 Ziffern |
| PIN-Komplexität | Erzwungen, um Wiederholungen und häufige Sequenzen zu vermeiden. Die folgenden Muster werden überprüft: Enthalten Sie nicht 0123456789 oder 9876543210. - Wiederholen Sie keine Sequenz von 2 bis 3 Ziffern in der PIN, z. B. 121212 oder 123123 oder 342342. Ein Ungültiger PIN-Fehler wird angezeigt, wenn die PIN nicht zulässige Zeichen enthält oder kleiner als die minimale PIN-Länge ist. |
Bewährte Sicherheitsmethoden für die Implementierung mit DER QR-Codeauthentifizierung
Wir empfehlen die folgenden Maßnahmen, wenn Sie die QR-Code-Authentifizierungsmethode aktivieren, da es sich um eine einstufige Authentifizierung (etwas, das Sie wissen).
- Die QR-Codeauthentifizierung ist in erster Linie für Mitarbeiter in Service und Produktion (FLW) und nicht für Information Worker (IW) vorgesehen. Wir empfehlen eine gegen Phishing resistente Authentifizierung oder Multi-Faktor-Authentifizierung (MFA) für IW.
- Aktivieren Sie die QR-Code-Authentifizierung nicht für alle Benutzer in Ihrem Mandanten. Aktivieren Sie diese Authentifizierungsmethode nur für die Zielbenutzer; zum Beispiel können Sie eine Gruppe für Mitarbeiter an vorderster Front erstellen und die QR-Code-Authentifizierung nur für diese Gruppe in den Richtlinien für Microsoft Entra-Authentifizierungsmethoden aktivieren.
- Kombinieren Sie die QR-Code-Authentifizierung mit Richtlinien für bedingten Zugriff als eine andere Sicherheitsebene. Wir empfehlen Richtlinien wie kompatible Geräte, Zugriff innerhalb des Netzwerks, Zulassen bestimmter Anwendungen und gemeinsam genutzter Gerätemodus.
- Erzwingen Sie phishing-sichere Authentifizierung oder MFA, wenn Benutzer von außerhalb des Geschäfts- oder Arbeitsplatznetzwerks auf Ressourcen zugreifen.
- Ersetzen Sie QR-Codes, die verloren gehen oder gestohlen werden.
- Erzwingen Sie die Richtlinie für bedingten Zugriff, die auf Anmelderisiken basiert, um den Zugriff zu blockieren.
QR-Codekonfigurationen in der Authentifizierungsmethoderichtlinie
Authentifizierungsrichtlinienadministratoren können QR-Code in Authentifizierungsmethoden im Microsoft Entra Admin Center aktivieren. Die QR-Codeauthentifizierung ist standardmäßig deaktiviert.
In der Authentifizierungsmethoderichtlinie für QR-Code können Sie Folgendes konfigurieren:
PIN-Länge: 8-20 Ziffern.
Lebensdauer des standardmäßigen QR-Codes: 1-395 Tage. Der Standardwert ist 365 Tage. Ein Authentifizierungsrichtlinienadministrator kann den Standardwert ändern, wenn er einen standardmäßigen QR-Code für einen Benutzer hinzugibt.
Beispielsweise kann ein Administrator den Wert in der Richtlinie für die Authentifizierungsmethode auf 30 Tage festlegen. Für jeden Benutzer in diesem Mandanten beträgt das Ablaufdatum eines Standard-QR-Codes 30 Tage. Ein Administrator kann die Standardlebensdauer des standardmäßigen QR-Codes für einen bestimmten Benutzer ändern.
In diesem Screenshot wird die PIN-Länge auf die Standardeinstellung von acht Ziffern festgelegt. Die Lebensdauer des standardmäßigen QR-Codes wird auf 200 Tage reduziert.
Funktionale Details der QR-Code-Authentifizierungsmethode
Wenn ein Authentifizierungsrichtlinienadministrator die QR-Code-Authentifizierungsmethode für einen Benutzer hinzufügt, generiert er einen standardmäßigen QR-Code und eine PIN. Um einen temporären QR-Code zu erstellen, müssen sie die QR-Code-Authentifizierungsmethode bearbeiten.
Ein temporärer QR-Code hilft, wenn ein Benutzer seinen QR-Code-Ausweis vergessen hat. Es hat eine kürzere Lebensdauer, bis zu 12 Stunden. Wenn eine QR-Code-Authentifizierungsmethode für den Benutzer gelöscht wird, können sie sich nicht mit ihren vorhandenen QR-Codes und pin anmelden.
Eine PIN funktioniert sowohl mit standard- als auch mit temporären QR-Codes, da die PIN für die QR-Code-Authentifizierungsmethode gültig ist. Ein Authentifizierungsrichtlinienadministrator kann eine benutzerdefinierte PIN bereitstellen oder eine PIN generieren, wenn sie eine QR-Code-Authentifizierungsmethode erstellen. Sie können eine temporäre PIN nur kopieren, wenn sie sie generieren. Die PIN wird dann maskiert, um die Offenlegung zu verhindern.
Die Nutzbarkeitszustände für einen standardmäßigen QR-Code, einen temporären QR-Code und die PIN für eine QR-Code-Authentifizierungsmethode beziehen sich nicht miteinander. Eine aktive QR-Code-Authentifizierungsmethode kann z. B. einen gelöschten oder abgelaufenen QR-Code und einen aktiven temporären QR-Code aufweisen. Zu einem bestimmten Zeitpunkt kann nur ein einzelner aktiver STANDARD-QR-Code und ein einzelner aktiver temporärer QR-Code vorhanden sein.
In der folgenden Tabelle sind Beispiele für Kombinationen für die Zustände für einen standardmäßigen QR-Code, einen temporären QR-Code und eine PIN aufgeführt. Für eine erfolgreiche Authentifizierung sind ein aktiver QR-Code und eine aktive PIN erforderlich.
| Standardmäßiger QR-Code | Temporärer QR-Code | PIN für die QR-Code-Authentifizierungsmethode |
|---|---|---|
| Aktiv | Ist nicht vorhanden | Vorübergehend oder vom Benutzer aktualisiert |
| Aktiv | Aktiv | Vorübergehend oder vom Benutzer aktualisiert |
| Gelöscht | Ist nicht vorhanden | Vorübergehend oder vom Benutzer aktualisiert |
| Abgelaufen | Aktiv | Vorübergehend oder vom Benutzer aktualisiert |
| Abgelaufen | Abgelaufen | Vorübergehend oder vom Benutzer aktualisiert |
Weitere Informationen zum Verwalten von QR-Codes finden Sie unter Aktivieren der QR-Code-Authentifizierungsmethode in Microsoft Entra ID (Vorschau).For more information about how to manage QR codes, see How to enable the QR code authentication method in Microsoft Entra ID (Preview).
Benutzeranmeldung mit QR-Code-Authentifizierung
Benutzer können sich mit einem QR-Code anmelden, indem sie die Webanmeldung oder eine optimierte App-Anmeldeerfahrung verwenden.
Mobile Webanmeldeerlebnis
Sie können die Anmeldeumgebung des Webbrowsers von Microsoft (login.microsoft.com) verwenden, um Benutzer zu authentifizieren. Benutzer können auf " Anmeldeoptionen>" klicken, um sich bei einer Organisation>mit einem QR-Code anzumelden.
Anmeldeerfahrung für mobile Apps
Sie können die Anmeldung für Ihre Apps optimieren, indem Sie microsoft Authentication Library (MSAL) verwenden, um QR-Code als Option auf der Anmeldeseite hinzuzufügen. Sie können zum Beispiel eine QR-Code-Anmeldung ähnlich wie bei Teams oder bei der Managed Home Screen (MHS) hinzufügen. Dann können Benutzer den QR-Code mit zwei weniger Klicks scannen. Diese optimierte Anmeldeoberfläche ist in BlueFletch- und Jamf-App-Startern verfügbar.
Weitere Informationen zum Optimieren der Anmeldeerfahrung finden Sie unter:
- Einrichten einer optimierten QR-Code-Authentifizierung in der Android-App
- Einrichten einer optimierten QR-Code-Authentifizierung in der iOS-App
Nicht unterstützte Benutzerszenarien in der aktuellen Version
- Self-Service-PIN-Zurücksetzung für Benutzer
- Massenbereitstellung von QR-Code und PIN
- QR-Code-Scan durch Strichcodescanner
- Die QR-Codeauthentifizierung funktioniert nicht mit Desktop-Apps oder Browsern
- Benutzerdefinierter Mandantenendpunkt für die Anmeldung
- Konfigurierbare PIN-Schutzrichtlinien, die den Kontensperrwert, die Dauer oder die PIN-Komplexität definieren
Bekanntes Problem
Wenn Sie die QR-Code-Authentifizierung für einen Benutzer aktivieren, müssen sie sich mit einer vorhandenen Authentifizierungsmethode anmelden, bevor sie sich zum ersten Mal mit einem QR-Code anmelden können, oder es wird ein Falscher QR-Codefehler angezeigt.
Beispiel:
- Sie aktivieren die QR-Code-Authentifizierung für einen Benutzer.
- Der Benutzer muss sich mit dem Kennwort oder einer anderen Anmeldemethode anmelden.
- Für nachfolgende Anmeldungen können sie sich mit einem QR-Code anmelden.
Der Benutzer muss sich mit einer anderen Methode anmelden, da die Richtlinie für die zwischengespeicherte Benutzerauthentifizierungsmethode erst aktualisiert wird, wenn der Benutzer erneut authentifiziert wird.