Aktivieren der QR-Code-Authentifizierungsmethode in Microsoft Entra ID (Vorschau)

In diesem Thema wird erläutert, wie Sie die QR-Code-Authentifizierungsmethode in der Richtlinie für Authentifizierungsmethoden in microsoft Entra ID aktivieren. Außerdem wird erläutert, wie sie die QR-Code-Authentifizierungsmethode für Benutzer verwalten und wie sie sich mit einem QR-Code und einer PIN anmelden können.

Bevor Sie die QR-Code-Authentifizierungsmethode aktivieren, überprüfen Sie die bewährten Methoden für die Verwendung von Sicherheitskontrollen für den Arbeits- oder Heimzugriff für Frontarbeiter. Weitere Informationen finden Sie unter Bewährte Methoden zum Schutz von Mitarbeitern in Service und Produktion.

Voraussetzungen für die Aktivierung der QR-Code-Authentifizierungsmethode

• Ein aktives Azure-Abonnement.
  • Wenn Sie nicht über ein Azure-Abonnement verfügen, erstellen Sie ein Konto.
• Ein Microsoft Entra-Mandant, der Ihrem Abonnement zugeordnet ist.
  • Erstellen Sie bei Bedarf einen Microsoft Entra-Mandanten, oder ordnen Sie Ihrem Konto ein Azure-Abonnement zu.
• Sie benötigen mindestens die Rolle des Authentifizierungsrichtlinienadministrators in Ihrem Microsoft Entra-Mandanten, um die QR-Code-Authentifizierungsmethode zu aktivieren.
• Jeder Benutzer, der in der Richtlinie für die QR-Code-Authentifizierungsmethode aktiviert ist, muss lizenziert werden, auch wenn er ihn nicht verwendet. Alle aktivierten Benutzer müssen über eine der folgenden Microsoft Entra ID, EMS oder Microsoft 365-Lizenzen verfügen:
  • Microsoft 365 F1 oder F3
  • Microsoft Entra ID P1 oder P2
  • Enterprise Mobility + Security (EMS) E3 oder E5 oderMicrosoft 365 E3 oder E5
  • Office 365 F3
• Freigegebene Android-, iOS- oder iPadOS-Geräte (iOS/iPadOS, Version 15.0 oder höher).
• Der gemeinsam genutzte Gerätemodus ist auf den gemeinsam genutzten Geräten aktiviert (optional, aber dringend empfohlen).
• Ein Drucker zum Drucken von 2"x 2"-QR-Codes.
• Um auf die QR-Code-Authentifizierung auf Teams zuzugreifen, benötigen Teams-Apps, die auf dem freigegebenen Gerät installiert sind: Android Version 1.0.0.2024143204 oder höher und iOS Version 1.0.77.2024132501 oder höher.
• Aktivieren und einrichten Sie das Portal "Meine Mitarbeiter ", wenn Sie planen, dass Vorgesetzte "Meine Mitarbeiter" verwenden, um QR-Code und PINs bereitzustellen, zu verwalten und zurückzusetzen.

Aktivieren der QR-Codeauthentifizierungsmethode

Sie können die QR-Code-Authentifizierungsmethode mithilfe des Microsoft Entra Admin Centers oder der Microsoft Graph-API aktivieren.

Aktivieren der QR-Code-Authentifizierungsmethode im Microsoft Entra Admin Center

1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Authentifizierungsrichtlinienadministrator an.

2. Wechseln Sie zu Entra ID>Authentifizierungsmethoden>Richtlinien.

3. Klicken Sie auf QR-Code>"Aktivieren" und "Ziel">"Ziel hinzufügen">, wählen Sie eine Gruppe von Benutzern aus, die sich mit einem QR-Code anmelden müssen.

   

4. Aktualisieren Sie standardmäßige QR-Codeeinstellungen nach Bedarf:

   • Standardmäßig beträgt die PIN-Länge 8 Ziffern. Die PIN-Länge kann 8 bis 20 Ziffern sein. Wenn Sie die PIN-Länge erhöhen, wird der neue Wert zur minimalen Anzahl von Ziffern, die für die PIN erforderlich sind. Wenn Sie beispielsweise die PIN-Länge auf 10 erhöhen, muss ein Benutzer während der nächsten Anmeldung eine 10-stellige PIN angeben.
   • Die Standardlebensdauer eines standardmäßigen QR-Codes (für die Benutzer für die langfristige Verwendung bereitgestellt) beträgt 365 Tage. Der Bereich liegt zwischen 1 und 395 Tagen. Sie können die Lebensdauer eines standardmäßigen QR-Codes für einen bestimmten Benutzer ändern, wenn Sie die QR-Code-Authentifizierungsmethode für sie hinzufügen.

   

5. Klicken Sie abschließend auf Speichern.

Aktivieren der QR-Code-Authentifizierungsmethode in der Microsoft Graph-API

In diesem Beispiel wird die QR-Codeauthentifizierung für eine Gruppe mit einer PIN-Länge von 10 Ziffern und eine Standardmäßige QR-Codelebensdauer von 395 Tagen aktiviert:

• Anforderung

  PATCH https://graph.microsoft.com/beta/policies/authenticationMethodsPolicy/authenticationMethodConfigurations/qrCodePin
  {
    "@odata.type" : "microsoft.graph.qrCodePinAuthenticationMethodConfiguration", 
    "id": "qrCodePin", 
    "state": "enabled", 
    "includeTargets": [{ 
      "targetType": "group", 
      "id": "b185b746-e7db-4fa2-bafc-69ecf18850dd", 
      }], 
    "excludeTargets": [], 
    "standardQRCodeLifetimeInDays":395,
    "pinLength": 10
  }
  

• Antwort

  204 No Response
  

Hinzufügen einer QR-Code-Authentifizierungsmethode für einen Benutzer

Sie können eine QR-Code-Authentifizierungsmethode für einen Benutzer hinzufügen, indem Sie das Microsoft Entra Admin Center, meine Mitarbeiter oder die Microsoft Graph-API verwenden. Gleichzeitig ist nur eine aktive QR-Code-Authentifizierungsmethode zulässig. Ein standardmäßiger QR-Code wird während des "Hinzufügens einer Authentifizierungsmethode" generiert. Sie können temporären QR-Code hinzufügen, der kurzlebig ist, wenn der Benutzer keinen Standardmäßigen QR-Code trägt. Sie können einen Standard-/Temporär-QR-Code löschen, um einen neuen Standard-/Temporär-QR-Code hinzuzufügen. Ein Benutzer kann jeweils nur einen Standard- und einen temporären QR-Code aktiv haben.

Hinzufügen der QR-Code-Authentifizierungsmethode für einen Benutzer im Microsoft Entra Admin Center

1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Authentifizierungsadministration an.

2. Wechseln Sie zu "Benutzer", wählen Sie einen Benutzer aus, und klicken Sie auf " Authentifizierungsmethoden".

3. Klicken Sie auf "Authentifizierungsmethode hinzufügen ", und wählen Sie QR-Code aus.

   

4. Ändern Sie bei Bedarf das Ablaufdatum für den Benutzer. Legen Sie die Aktivierungszeit auf jetzt oder höher fest. Bereitstellen oder Generieren einer temporären PIN. Die benutzerdefinierte PIN kann nur angegeben werden, wenn Sie die QR-Code-Authentifizierungsmethode hinzufügen. Eine PIN wird während Resetereignissen automatisch generiert. Wenn Sie bereit sind, klicken Sie auf "Hinzufügen ", um die QR-Code-Authentifizierungsmethode für den Benutzer hinzuzufügen.

   

5. Speichern Sie die PIN, und klicken Sie auf "Bild herunterladen", um den QR-Code herunterzuladen und zu drucken. Das heruntergeladene QR-Code-Bild hat die kleinste optimale Druckgröße. Wenn Sie die Größe des QR-Codes verringern, kann sich dies auf die Scan-Leistung des QR-Codes auswirken.

   Sie können denselben QR-Code nicht neu generieren, da er über ein einzigartiges Geheimnis verfügt. Wenn der QR-Code aus irgendeinem Grund nicht funktionieren kann, löschen Sie ihn. Erstellen Sie einen neuen QR-Code für den Benutzer.

   

6. Nachdem Sie die QR-Code-Authentifizierungsmethode hinzugefügt haben, wird sie als verwendbare Authentifizierungsmethode für den Benutzer angezeigt.

   

Hinzufügen der QR-Code-Authentifizierungsmethode für einen Benutzer in "Meine Mitarbeiter"

1. Melden Sie sich beim Portal "Meine Mitarbeiter" als Vorgesetzter an. Wählen Sie eine administrative Einheit und einen Mitarbeiter an vorderster Front aus.

   

   

2. Klicken Sie auf "QR-Code-Authentifizierungsmethode verwalten".

   

3. Klicken Sie auf "Methode für QR-Code hinzufügen".

   

4. Geben Sie das Ablauf- und Aktivierungsdatum an, und klicken Sie auf "Hinzufügen" , um einen QR-Code und eine PIN für den Benutzer zu generieren.

   

5. Speichern Sie die PIN, laden Sie den QR-Code herunter, oder drucken Sie den QR-Code, und klicken Sie dann auf "Fertig". Das QR-Code-Bild hat die kleinste optimale Druckgröße. Wenn Sie die Größe verringern, ist der QR-Code schwer zu scannen. Sie können denselben QR-Code nicht neu generieren, da er über ein einzigartiges Geheimnis verfügt. Wenn der QR-Code aus irgendeinem Grund nicht funktionieren kann, löschen Sie ihn. Erstellen Sie einen neuen QR-Code für den Benutzer.

   

Hinzufügen der QR-Code-Authentifizierungsmethode für einen Benutzer in der Microsoft Graph-API

In diesem Beispiel wird eine QR-Code-Authentifizierungsmethode für einen Benutzer hinzugefügt:

• Anforderung

  HTTP PUT/users/{id | userPrincipalName}/authentication/qrCodePinMethod
  
  
  {
    "standardQRCode": {
      "expireDateTime": "2024-12-30T12:00:00Z",
      "startDateTime": "2024-10-30T12:00:00Z"
    },
    "pin": {
      "code": "<PIN>"
    }
  }
  

• Antwort

  HTTP/1.1 201 Created
  Location: /beta/users/aaaaaaaa-bbbb-cccc-1111-222222222222/authentication/qrCodePinMethod`
  Content-type: application/json
  
  {
    "standardQRCode": {
      "id": "BBBBBBBB-1C1C-2D2D-3E3E-444444444444"
      "expireDateTime": "2024-12-30T12:00:00Z",
      "startDateTime": "2024-10-30T12:00:00Z"
      "createdDateTime": "2024-10-30T12:00:00Z",
      "lastUsedDateTime": null,
       "image":
          {
    "binaryValue": "<binaryImageData>",
           "version": 1,
           "errorCorrectionLevel": "H".
           "rawContent": <binary data encoded in QR>        
    }
      },
    "temporaryQRCode": null,
    "pin": {
      "code": "<PIN>",
      "isForcePinChangeRequired": true,
      "createdDateTime": "2024-10-30T12:00:00Z",
      "updatedDateTime": null
    }  
  }
  

In diesem Beispiel wird bestätigt, ob die QR-Code-Authentifizierungsmethode für den Benutzer hinzugefügt wird:

• Anforderung

  GET https://graph.microsoft.com/beta/users/flokreg@contoso.com/authentication/qrCodePinMethod`
  

• Antwort

  HTTP/1.1 200 OK
  Content-type: application/json
  
  {
    "id": "<id>",
    "standardQRCode": {
      "id": "BBBBBBBB-1C1C-2D2D-3E3E-444444444444"
      "image": null,
      "expireDateTime": "2024-12-30T12:00:00Z",
      "startDateTime": "2024-10-30T12:00:00Z"
      "createdDateTime": "2024-10-30T12:00:00Z",
      "lastUsedDateTime": "2024-12-30T12:00:00Z"
    },
    "temporaryQRCode": {
      "id": "CCCCCCCC-2D2D-3E3E-4F4F-555555555555"
      "image": null,
      "expireDateTime": "2024-12-30T12:00:00Z",
      "startDateTime": "2024-10-30T12:00:00Z"
      "createdDateTime": "2024-10-30T12:00:00Z",
      "lastUsedDateTime": "2024-12-30T12:00:00Z"
    },
    "pin": {
      "code": null,
      "isForcePinChangeRequired": false,
      "createdDateTime": "2024-10-30T12:00:00Z",
      "updatedDateTime": "2024-11-30T12:00:00Z"
    }
  }
  
  

Bearbeiten der QR-Code-Authentifizierungsmethode für einen Benutzer

Sie können die QR-Code-Authentifizierungsmethode für einen Benutzer mithilfe des Microsoft Entra Admin Centers, meiner Mitarbeiter oder der Microsoft Graph-API bearbeiten.

Bearbeiten der QR-Code-Authentifizierungsmethode für einen Benutzer im Microsoft Entra Admin Center

• Navigieren Sie zu den verwendbaren Authentifizierungsmethoden für einen Benutzer, und klicken Sie auf "Bearbeiten ", um die Eigenschaften der QR-Code-Authentifizierungsmethode zu bearbeiten.

  

• Ändern Sie die Ablaufzeit für den standardmäßigen QR-Code, und klicken Sie auf "Speichern". Nachdem Sie Bearbeitungen vorgenommen haben, klicken Sie auf "Fertig".

  

• Löschen Sie einen standardmäßigen QR-Code. Möglicherweise möchten Sie den standardmäßigen QR-Code löschen, wenn er als abgelaufen, kompromittiert oder gestohlen gemeldet wird.

  

  Nachdem Sie den standardmäßigen QR-Code gelöscht haben, klicken Sie auf das Add-Symbol (+), um einen neuen Standard-QR-Code für den Benutzer hinzuzufügen. Der gelöschte QR-Code ist nicht mehr gültig für die Anmeldung.

  Sie müssen den neuen QR-Code drucken und an den Benutzer verteilen. Der Benutzer kann weiterhin seine vorhandene PIN verwenden.

  

• Zurücksetzen einer PIN. Wenn Sie eine Benutzer-PIN zurücksetzen müssen, generieren Sie eine temporäre PIN, und verteilen Sie sie an den Benutzer. Der Benutzer muss die temporäre PIN bei der nächsten Anmeldung ändern. Klicken Sie nach der maskierten PIN auf das Bleistiftsymbol. Klicken Sie auf "Neue PIN generieren", um eine neue temporäre PIN zu erstellen. Klicken Sie auf "OK ", um zu bestätigen, dass der Benutzer gezwungen ist, die temporäre PIN beim nächsten Anmelden zu ändern. Kopieren Sie die temporäre PIN, und geben Sie sie für den Benutzer frei.

  

• Hinzufügen oder Löschen eines temporären QR-Codes. Ein temporärer QR-Code verringert den Verwaltungsaufwand für die Bereitstellung und das Entfernen des QR-Codes auf einem Ausweis, wenn ein Benutzer seinen Ausweis nicht mit zur Arbeit gebracht hat. Es reduziert auch den Stress, den QR-Code nach ihrer Schicht beizubehalten. Ein temporärer QR-Code hat eine Lebensdauer von 1-12 Stunden und kann sofort oder später aktiviert werden. Um den QR-Code aufzuheben, können Sie den temporären QR-Code löschen oder es ablaufen lassen, da er nach Ablauf nicht mehr verwendet werden kann.

  

  

Bearbeiten der QR-Code-Authentifizierungsmethode für einen Benutzer in "Meine Mitarbeiter"

• Um das Ablaufdatum für einen standardmäßigen QR-Code zu bearbeiten, klicken Sie auf "Bearbeiten". Bearbeiten Sie das Ablaufdatum, und speichern Sie die Änderungen.

  

• Um einen standardmäßigen QR-Code zu löschen, klicken Sie auf "Löschen", und bestätigen Sie die Aktion.

  

• Wenn Sie einen neuen Standard-QR-Code hinzufügen möchten, klicken Sie neben dem standardmäßigen QR-Code auf "Neu hinzufügen ".

  

  Wählen Sie die Aktivierungszeit und das Ablaufdatum für den QR-Code aus, und klicken Sie auf "Hinzufügen".

  

  Laden Sie den QR-Code herunter, oder drucken Sie den QR-Code, und klicken Sie auf "Fertig".

  

• Um einen temporären QR-Code hinzuzufügen, klicken Sie neben dem temporären QR-Code auf "Neu hinzufügen ". Geben Sie die Lebensdauer in Stunden und das Aktivierungsdatum an, und klicken Sie auf "Hinzufügen".

  

  Laden Sie den QR-Code herunter, oder drucken Sie den QR-Code, und klicken Sie auf "Fertig".

  

• Um eine PIN zurückzusetzen, klicken Sie auf "PIN zurücksetzen".

  

  Klicken Sie auf " PIN kopieren", um die PIN in die Zwischenablage zu kopieren.

  

Bearbeiten der QR-Code-Authentifizierungsmethode für einen Benutzer in der Microsoft Graph-API

In diesem Beispiel wird gezeigt, wie der Standard-QR-Code für einen Benutzer gelöscht wird, wenn er seinen Ausweis verliert, und wie wir einen neuen Standard-QR-Code erstellen. Der Benutzer muss seine PIN nicht ändern.

Löschen eines standardmäßigen QR-Codes:

• Anforderung

  DELETE https://graph.microsoft.com/beta/users/flokreg@contoso.com/authentication/qrCodePinMethod/standardQRCode`
  

• Antwort

  HTTP/1.1 204 No Content
  

Erstellen sie einen standardmäßigen QR-Code:

• Anforderung

  HTTP PATCH/users/{id | userPrincipalName}/authentication/qrCodePinMethod/standardQRCode`
  
  
  {
      "startDateTime": "2024-10-30T12:00:00Z",
      "expireDateTime": "2024-12-30T12:00:00Z"
  }
  

• Antwort

  HTTP/1.1 201 Created
  Location: /beta/users/aaaaaaaa-bbbb-cccc-1111-222222222222/authentication/qrCodePinMethod/standardQRCode`
  Content-type: application/json
  
  {
      "id": "BBBBBBBB-1C1C-2D2D-3E3E-444444444444"
      "expireDateTime": "2024-12-30T12:00:00Z",
      "startDateTime": "2024-10-30T12:00:00Z"
      "createdDateTime": "2024-10-30T12:00:00Z",
      "lastUsedDateTime": null,
       "image":
          {
    "binaryValue": "<binaryImageData>",
           "version": 1,
           "errorCorrectionLevel": "H".
           "rawContent": <binary data encoded in QR>        
    }
    }
  
  

Holen Sie sich einen Standard-QR-Code:

• Anforderung

  GET https://graph.microsoft.com/beta/users/{id|UPN}/authentication/qrCodePinMethod/standardQRCode`
  

• Antwort

  HTTP/1.1 200 OK
  Content-type: application/json
  
  {
      "id": "BBBBBBBB-1C1C-2D2D-3E3E-444444444444",
      "image": null,
      "expireDateTime": "2024-12-30T12:00:00Z",
      "startDateTime": "2024-10-30T12:00:00Z"
      "createdDateTime": "2024-10-30T12:00:00Z",
      "lastUsedDateTime": "2024-12-30T12:00:00Z"
  }
  
  

In diesem Beispiel wird gezeigt, wie Sie einen temporären QR-Code für einen Benutzer erstellen. Der Benutzer kann die vorhandene PIN verwenden. Dieser Vorgang gibt einen Fehler zurück, wenn für den Benutzer bereits ein temporärer QR-Code vorhanden ist oder die ablaufendeDateTime mehr als 12 Stunden nach startDateTime liegt.

• Anforderung

  HTTP PATCH/users/{id | userPrincipalName}/authentication/qrCodePinMethod/temporaryQRCode`
  
  
  {
      "startDateTime": "2024-10-30T12:00:00Z",
      "expireDateTime": "2024-10-30T22:00:00Z"
  }
  

• Antwort

  HTTP/1.1 201 Created
  Location: /beta/users/aaaaaaaa-bbbb-cccc-1111-222222222222/authentication/qrCodePinMethod/temporaryQRCode`
  Content-type: application/json
  
  {
      "id": "EEEEEEEE-4F$F-5A5A-6B6B-777777777777"
      "expireDateTime": "2024-10-30T22:00:00Z",
      "startDateTime": "2024-10-30T12:00:00Z"
      "createdDateTime": "2024-10-30T12:00:00Z",
      "lastUsedDateTime": null,
       "image":
          {
    "binaryValue": "<binaryImageData>",
           "version": 1,
           "errorCorrectionLevel": "H".
           "rawContent": <binary data encoded in QR>        
    }
    }
  
  
  

Abrufen eines temporären QR-Codes:

• Anforderung

  GET https://graph.microsoft.com/beta/users/{id|UPN}/authentication/qrCodePinMethod/temporaryQRCode`
  

• Antwort

  HTTP/1.1 200 OK
  Content-type: application/json
  
  {
      "id": "EEEEEEEE-4F$F-5A5A-6B6B-777777777777",
      "image": null,
      "expireDateTime": "2024-10-30T22:00:00Z",
      "startDateTime": "2024-10-30T12:00:00Z"
      "createdDateTime": "2024-10-30T12:00:00Z",
      "lastUsedDateTime": "2024-10-30T20:00:00Z"
  }
  
  

In diesem Beispiel wird gezeigt, wie sie einen temporären QR-Code für einen Benutzer löschen.

• Anforderung

  DELETE https://graph.microsoft.com/beta/users/flokreg@contoso.com/authentication/qrCodePinMethod/temporaryQRCode`
  

• Antwort

  HTTP/1.1 204 No Content
  

In diesem Beispiel wird gezeigt, wie Sie die PIN für eine QR-Code-Authentifizierungsmethode zurücksetzen:

• Anforderung

  PATCH https://graph.microsoft.com/beta/users/flokreg@contoso.com/authentication/qrCodePinMethod/pin`
  

• Antwort

  {
    "code": <PIN>,
    "forceChangePinNextSignIn": true,
    "createdDateTime": "2024-10-30T12:00:00Z",
    "updatedDateTime": null
  }
  

In diesem Beispiel wird gezeigt, wie man einen Benutzer dazu zwingt, seine PIN für eine QR-Code-Authentifizierungsmethode zu ändern.

• Anforderung

  PATCH https://graph.microsoft.com/beta/users/flokreg@contoso.com/authentication/qrCodePinMethod/updatePin`
  
  {
    "currentPin": "<Old PIN>",
    "newPin": "<New PIN>"
  }
  

• Antwort

  HTTP/1.1 204 No Content
  

Löschen der QR-Code-Authentifizierungsmethode für einen Benutzer

Sie können die QR-Code-Authentifizierungsmethode für einen Benutzer löschen, indem Sie das Microsoft Entra Admin Center, meine Mitarbeiter oder die Microsoft Graph-API verwenden.

Löschen der QR-Code-Authentifizierungsmethode für einen Benutzer im Microsoft Entra Admin Center

Wenn eine QR-Code-Authentifizierungsmethode für einen Benutzer gelöscht wird, kann sie sich nicht mehr mit dieser Authentifizierungsmethode anmelden.

1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Authentifizierungsadministration an.

2. Wechseln Sie zu "Benutzer", wählen Sie einen Benutzer aus, und klicken Sie auf " Authentifizierungsmethoden".

3. Klicken Sie unter Verwendbare Authentifizierungsmethoden auf die Auslassungspunkte auf der rechten Seite des QR-Codes, und klicken Sie auf Löschen.

   

Löschen der QR-Code-Authentifizierungsmethode für einen Benutzer in "Meine Mitarbeiter"

1. Klicken Sie zum Löschen der QR-Code-Authentifizierungsmethode selbst auf "QR-Code löschen".

   

2. Klicken Sie auf "Löschen ", um die Aktion zu bestätigen.

   

Löschen der QR-Code-Authentifizierungsmethode für einen Benutzer in der Microsoft Graph-API

In diesem Beispiel wird gezeigt, wie Sie einen standardmäßigen QR-Code für einen Benutzer löschen.

• Anforderung

  DELETE https://graph.microsoft.com/beta/users/flokreg@contoso.com/authentication/qrCodePinMethod/standardQRCode`
  

• Antwort

  HTTP/1.1 204 No Content
  

Anmelden bei Microsoft Teams oder verwalteter Startseite (MHS) mit QR-Code

Microsoft Teams und verwalteter Startbildschirm (Managed Home Screen, MHS) verfügen über eine optimierte QR-Code-Anmeldeerfahrung. Ein Authentifizierungsrichtlinienadministrator muss Intune oder eine andere MDM-Lösung (Mobile Device Management) konfigurieren, um die QR-Code-Authentifizierungsmethode für mobile Geräte zu aktivieren.

Aktivieren der Anmeldung mit einem QR-Code in Teams oder MHS

Weisen Sie beim Konfigurieren mit Intune Microsoft Authenticator als erforderliche App für alle Geräte zu, für die Sie die QR-Codeauthentifizierung hinzufügen möchten.

Plattform	MDM-App-Konfigurationsschlüssel	Wert	Konfigurationsort
Ios	bevorzugte_Auth_Konfiguration	qrpin	Geräteverwaltungsprofil, das eine SSO-Erweiterung (Single Sign-On) konfiguriert
Android	bevorzugte_Auth_Konfiguration	qrpin	Microsoft Authenticator

Hinweis

MHS ist nur auf Android-Geräten verfügbar.

QR-Code-Authentifizierung bei der Anmeldung in Teams

Benutzer müssen Teams herunterladen. In der folgenden Tabelle sind die Mindestversionen von Teams für mobile Betriebssysteme aufgeführt. Weitere Informationen zu Teams-Versionen finden Sie im Versionsupdateverlauf für die neue und klassische Microsoft Teams-App.

Mobiles Betriebssystem	Erscheinungsdatum	Teams-Version
iOS und iPadOS	21. Juli 2024	6.13.1 (1.0.0.77.2024132501)
Android	8. August 2024	1416/1.0.0.2024143204 (2024143204)

Benutzer können diesen Schritten folgen, um sich mit einem QR-Code in Teams anzumelden:

1. Klicken Sie in Microsoft Teams auf QR-Code scannen .

2. Scannen Sie den QR-Code. Geben Sie ihre Zustimmung, wenn Sie um Kameraberechtigung gebeten werden.

3. Geben Sie Ihre PIN ein.

4. Sie sind jetzt bei der App angemeldet.

   

5. Wenn Sie sich mit einer temporären PIN anmelden, müssen Sie sie ändern.

   

Anmeldeerfahrung für die QR-Code-Authentifizierung (login.microsoftonline.com)

1. Klicken Sie auf „Weitere Anmeldeoptionen“>„Bei einer Organisation anmelden“>„Mit QR-Code anmelden“.

2. Lassen Sie die Kamera zu, wenn Sie dazu aufgefordert werden, um den QR-Code einzuscannen > , Ihre PIN einzugeben > , und Sie sind erfolgreich angemeldet > .

   

Hinzufügen von Sicherheit mit QR-Code-Authentifizierung mithilfe von Richtlinien für bedingten Zugriff

Beschränken Sie die QR-Code-Authentifizierungsmethode auf nur Mitarbeiter, kompatible und freigegebene Geräte. In diesem Abschnitt wird beschrieben, wie Sie Richtlinien erstellen, die die QR-Code-Authentifizierungsmethode nur auf Mitarbeiter und gemeinsam genutzte Geräte beschränken.

Einschränken der QR-Code-Authentifizierung auf Mitarbeiter an vorderster Front

1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Authentifizierungsrichtlinienadministrator an.

2. Navigieren Sie zu Entra ID>Authentifizierungsmethoden>QR-Code>Aktivierungs- und Zieloptionen.

3. Klicken Sie auf "Ziel> hinzufügen", wählen Sie eine Gruppe aus, die nur Mitarbeiter in Service und Produktion enthält, z. B. Mitarbeiter in Service und Produktion im folgenden Screenshot. Diese Gruppenauswahl schränkt die Aktivierung der QR-Code-Authentifizierungsmethode nur auf Mitarbeiter in Service und Produktion ein, die der Gruppe "Mitarbeiter in Service und Produktion" hinzugefügt wurden.

   

Einschränken der QR-Codeauthentifizierung auf gemeinsam genutzte Geräte

1. Melden Sie sich beim Microsoft Entra Admin Center als Administrator für bedingten Zugriff an.

2. Klicken Sie auf Bedingter Zugriff>Authentifizierungsstärken>Neue Authentifizierungsstärke.

   

3. Erstellen Sie eine benutzerdefinierte Richtlinie zur Authentifizierungsstärke für bedingten Zugriff. Wählen Sie den QR-Code für die Authentifizierung (Vorschau) aus.

4. Erstellen Sie eine Richtlinie für bedingten Zugriff, die erfordert, dass freigegebene Geräte mit Richtlinien von Intune oder einer anderen MDM-Lösung kompatibel gekennzeichnet werden. Diese Richtlinie stellt sicher, dass Mitarbeiter an der Front nur auf bestimmte Ressourcen von einem konformen, freigegebenen Gerät zugreifen können, bei dem sie sich mit einem QR-Code angemeldet haben.

   1. Wählen Sie unter >" >"Benutzer und Gruppen" aus, und wählen Sie Ihre Mitarbeitergruppe "Mitarbeiter in Service und Produktion" aus.

   2. Wählen Sie unter „Zielressourcen“>einschließen> bestimmte Ressourcen aus, auf die Frontline-Mitarbeiter zugreifen können.

   3. Klicken Sie unter "Bedingungen" auf "Für Geräte filtern", und legen Sie "Auf Jakonfigurieren" fest.

   4. Klicken Sie auf "Gefilterte Geräte aus Richtlinie einschließen".

   5. Wählen Sie für "Eigenschaft" die Option "ProfileType" aus.

   6. Wählen Sie die Option Ist gleich als Operator aus.

   7. Wählen Sie für „Wert“ die Option „Freigegeben“ aus.

      

   8. Wählen Sie unter Zugriffssteuerung>Erfordern> die Option Gerät als kompatibel kennzeichnen aus, und klicken Sie auf Auswählen.

   9. Klicken Sie auf "Erstellen".

Verwandte Inhalte

• Authentifizierungsmethoden in Microsoft Entra ID – QR-Code-Authentifizierungsmethode (Vorschau)
• Verwalten Ihrer Benutzer mit "Meine Mitarbeiter"
• Welche Authentifizierungs- und Prüfmethoden stehen in Microsoft Entra ID zur Verfügung?