Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
El método de autenticación de código QR permite a los trabajadores de primera línea iniciar sesión de forma eficaz en aplicaciones en dispositivos compartidos. Los usuarios pueden usar el código QR único que se les proporciona y escribir su PIN para iniciar sesión, lo que elimina la necesidad de introducir complicados nombres de usuario y contraseñas. Actualmente, la autenticación por código QR solo se admite en dispositivos móviles que corren sobre iOS/iPadOS o Android.
Antes de habilitar el método de autenticación de código QR, revise los procedimientos recomendados para usar controles de seguridad para el acceso profesional o doméstico a los trabajadores de primera línea. Para obtener más información, consulte Procedimientos recomendados para proteger a los trabajadores de primera línea.
¿Qué es la autenticación de código QR?
La autenticación de código QR es un método de autenticación simple diseñado principalmente para los trabajadores de primera línea. Consta de un código QR único y un PIN numérico. El código QR actúa como identificador y es único para el usuario. Se puede descargar e imprimir mediante el Centro de administración de Microsoft Entra, Mi personal o Microsoft Graph. Para mayor comodidad, el código QR se puede adjuntar a un distintivo o a cualquier otro elemento portátil.
Los administradores de autenticación proporcionan un PIN temporal a los usuarios que lo cambian durante el inicio de sesión. Solo el usuario conoce el PIN. Está vinculado únicamente al código QR. No se puede usar con otros identificadores de usuario, como un nombre de usuario o un número de teléfono. La autenticación de código QR es un método de un solo factor en el que el PIN (algo que sabe) es una credencial.
Ventajas de la autenticación de código QR
| Ventajas | Descripción |
|---|---|
| Inicio de sesión más fácil y rápido | Los trabajadores de primera línea no tienen que escribir nombres de usuario complejos ni contraseñas para iniciar sesión varias veces en dispositivos compartidos a lo largo de su turno. |
| Barato | Imprimir un código QR cuesta menos que una clave de hardware, lo que puede ser prohibitivo para las organizaciones con trabajadores de primera línea temporales. |
Propiedades de PIN
Las siguientes directivas se aplican cuando un administrador de directivas de autenticación crea o restablece un PIN.
| Política | Valores |
|---|---|
| Caracteres permitidos | Números (0 al 9) |
| Caracteres no permitidos | - Caracteres (A-Z, a-z) - Símbolos (- @ # $ % ^ & * - _ ! + = [ ] { } | \ : ' , . ? / ` ~ " ( ) ; <>) - Caracteres Unicode - Espacio en blanco |
| Longitud del PIN | 8-20 dígitos |
| Complejidad del PIN | Se aplica para evitar repeticiones y secuencias comunes. Se comprueban los patrones siguientes: - No contenga 0123456789 ni 9876543210. - No repita una secuencia de 2-3 dígitos en el PIN, como 121212, 123123 o 342342. Aparece un error de PIN no válido si el PIN incluye caracteres no permitidos o es menor que la longitud mínima del PIN. |
Procedimientos de seguridad recomendados para implementar con la autenticación de código QR
Se recomiendan las siguientes medidas al activar el método de autentificación de códigos QR, ya que solo utiliza un factor para la autentificación (algo que usted sabe).
- La autenticación de código QR es principalmente para los trabajadores de primera línea (FLW) y no para los trabajadores de la información (IW). Se recomienda la autenticación resistente a la suplantación de identidad (phishing) o MFA para IW.
- No habilite la autenticación de código QR para todos los usuarios del inquilino. Habilite solo para los usuarios de destino que van a usar este método de autenticación, por ejemplo, cree un grupo para los trabajadores de primera línea y habilite la autenticación de código QR solo para ellos en las directivas de métodos de autenticación de Microsoft Entra.
- Combine la autenticación de código QR con directivas de acceso condicional como otra capa de seguridad. Se recomiendan directivas como dispositivos compatibles, acceso dentro de la red, permitir determinadas aplicaciones y el modo de dispositivo compartido.
- Aplique la autenticación resistente a la suplantación de identidad (phishing) o MFA cuando los usuarios accedan a los recursos desde fuera de la red de la tienda o del área de trabajo.
- Reemplace los códigos QR que se pierden o roban.
- Aplique la directiva de acceso condicional basada en el riesgo de inicio de sesión para bloquear el acceso.
Configuraciones de código QR en la directiva de método de autenticación
Los administradores de directivas de autenticación pueden habilitar el código QR en métodos de autenticación en el Centro de administración de Microsoft Entra. La autenticación de código QR está deshabilitada de forma predeterminada.
En la directiva de método de autenticación para el código QR, puede configurar:
Longitud del PIN: 8-20 dígitos.
Duración del código QR estándar: 1-395 días. El valor predeterminado es 365 días. Un administrador de directivas de autenticación puede cambiar el valor predeterminado cuando agregan un código QR estándar para un usuario.
Por ejemplo, un administrador puede establecer el valor en 30 días en la directiva de método de autenticación. Para cada usuario de ese inquilino, la expiración predeterminada de un código QR estándar es de 30 días. Un administrador puede cambiar la duración predeterminada del código QR estándar para un usuario específico.
En esta captura de pantalla, la longitud del PIN se establece en el valor predeterminado de ocho dígitos. La duración del código QR estándar se reduce a 200 días.
Detalles funcionales del método de autenticación de código QR
Cuando un administrador de directivas de autenticación agrega el método de autenticación de código QR para un usuario, genera un código QR estándar y un PIN. Para crear un código QR temporal, deben editar el método de autenticación de código QR.
Un código QR temporal ayuda cuando un usuario olvida traer su distintivo con código QR estándar. Tiene una duración más corta, hasta 12 horas. Cuando se elimina un método de autenticación de código QR para el usuario, no puede iniciar sesión con sus códigos QR y PIN existentes.
Un PIN funciona con códigos QR estándar y temporales porque el PIN es válido para el método de autenticación de código QR. Un administrador de directivas de autenticación puede proporcionar un PIN personalizado o generar un PIN cuando crean un método de autenticación de código QR. Solo pueden copiar un PIN temporal cuando lo generan. A continuación, el PIN se enmascara para evitar la exposición.
Los estados de facilidad de uso de un código QR estándar, un código QR temporal y el PIN para un método de autenticación de código QR no están relacionados entre sí. Por ejemplo, un método de autenticación de código QR activo puede tener un código QR estándar eliminado o expirado y un código QR temporal activo. En un momento dado, solo puede haber un solo código QR estándar activo y un único código QR temporal activo.
En la tabla siguiente se enumeran ejemplos de combinaciones para los estados de un código QR estándar, un código QR temporal y un PIN. Se requiere un código QR activo y un PIN activo para la autenticación correcta.
| Código QR estándar | Código QR temporal | PIN para el método de autenticación de código QR |
|---|---|---|
| Activo | No existe | Temporal o actualizado por el usuario |
| Activo | Activo | Temporal o actualizado por el usuario |
| Borrado | No existe | Temporal o actualizado por el usuario |
| Caducado | Activo | Temporal o actualizado por el usuario |
| Caducado | Caducado | Temporal o actualizado por el usuario |
Para obtener más información sobre cómo administrar códigos QR, vea Cómo habilitar el método de autenticación de código QR en Microsoft Entra ID (versión preliminar).
Experiencia de inicio de sesión de usuario con autenticación de código QR
Los usuarios pueden iniciar sesión con un código QR mediante la experiencia de inicio de sesión web o una experiencia de inicio de sesión de aplicación optimizada.
Experiencia de inicio de sesión web móvil
Puede usar la experiencia de inicio de sesión del explorador web de Microsoft (login.microsoft.com) para autenticar a los usuarios. Los usuarios pueden hacer clic en >de sesiónIniciar sesión en una organización>Iniciar sesión con un código QR.
Experiencia de inicio de sesión de aplicaciones móviles
Puede optimizar el inicio de sesión para las aplicaciones mediante la Biblioteca de autenticación de Microsoft (MSAL) para agregar código QR como opción en la página de inicio de sesión. A continuación, los usuarios pueden escanear el código QR con dos clics menos. Esta experiencia de inicio de sesión optimizada está disponible en los iniciadores de aplicaciones BlueFletch y Jamf.
Para obtener más información sobre cómo optimizar la experiencia de inicio de sesión, consulte:
- Configuración de la experiencia optimizada de autenticación de código QR en la aplicación Android
- Configuración de la experiencia optimizada de autenticación de código QR en la aplicación iOS
Escenarios de usuario no admitidos en la versión actual
- Autoservicio de restablecimiento de PIN para usuarios
- Aprovisionamiento masivo de código QR y PIN
- Escaneo de códigos QR con escáneres de códigos de barras
- La autenticación de código QR no funciona con aplicaciones de escritorio o exploradores
- Punto de conexión de inquilino personalizado para el inicio de sesión
- Directivas de protección de PIN configurables que definen el umbral de bloqueo de cuenta, la duración o la complejidad del PIN
Problema conocido
Si habilita la autenticación de código QR para un usuario, este debe iniciar sesión con un método de autenticación existente antes de que pueda iniciar sesión con un código QR por primera vez, o verá un error de código QR incorrecto.
Por ejemplo:
- Habilite la autenticación de código QR para un usuario.
- El usuario debe iniciar sesión con su contraseña u otro método de inicio de sesión.
- Para los inicios de sesión posteriores, pueden iniciar sesión con un código QR.
El usuario debe iniciar sesión con otro método porque la directiva del método de autenticación de usuario almacenado en caché no se actualiza hasta que el usuario se autentica de nuevo.
Contenido relacionado
- Cómo habilitar el método de autenticación de código QR en Microsoft Entra ID (versión preliminar)
- Procedimientos recomendados para proteger a los trabajadores de primera línea
- Administración de los usuarios con Mi personal
- ¿Qué métodos de autenticación y comprobación están disponibles en El identificador de Entra de Microsoft?