Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este tema se explica cómo habilitar el método de autenticación de código QR en la directiva métodos de autenticación en Microsoft Entra ID. También se explica cómo administrar el método de autenticación de código QR para los usuarios y cómo pueden iniciar sesión con un código QR y un PIN.
Antes de habilitar el método de autenticación de código QR, revise los procedimientos recomendados para usar controles de seguridad para el acceso profesional o doméstico a los trabajadores de primera línea. Para obtener más información, consulte Procedimientos recomendados para proteger a los trabajadores de primera línea.
Requisitos previos para habilitar el método de autenticación de código QR
- Una suscripción de Azure activa.
- Si no tiene una suscripción a Azure, cree una cuenta.
- Un inquilino de Microsoft Entra asociado a la suscripción.
- Si es necesario, cree un inquilino de Microsoft Entra o asocie una suscripción de Azure a su cuenta.
- Necesita al menos el rol de Administrador de la política de autenticación en su entorno de Microsoft Entra para habilitar el método de autenticación mediante código QR.
- Cada usuario que esté habilitado en la directiva del método de autenticación de código QR debe tener licencia, aunque no lo use. Cada usuario habilitado debe tener una de las siguientes licencias de Microsoft Entra ID, EMS o Microsoft 365:
- Dispositivos compartidos Android, iOS o iPadOS (iOS/iPadOS versión 15.0 o posterior).
- Modo de dispositivo compartido habilitado en los dispositivos compartidos (opcional, pero muy recomendado).
- Impresora para imprimir códigos QR de 2" x 2".
- Para acceder a la autenticación de código QR en Teams, la aplicación teams instalada en el dispositivo compartido requeriría estas versiones: Android versión 1.0.0.2024143204 o posterior, y iOS versión 1.0.0.77.2024132501 o posterior.
- Habilite y configure el portal Mi personal si planea que los administradores de primera línea usen Mi personal para aprovisionar, administrar y restablecer el código QR y los PIN.
Habilitación del método de autenticación de código QR
Puede habilitar el método de autenticación de código QR mediante el Centro de administración de Microsoft Entra o Microsoft Graph API.
Habilitación del método de autenticación de código QR en el Centro de administración de Microsoft Entra
Inicie sesión en el Centro de administración de Microsoft Entra como Administrador de directivas de autenticación como mínimo.
Vaya a Entra ID>métodos de autenticación>directivas.
Haga clic en Código QR>Habilitar y objetivo>Agregar objetivo> seleccione un grupo de usuarios que necesiten iniciar sesión con un código QR.
Actualice la configuración predeterminada del código QR según sea necesario:
- De forma predeterminada, la longitud del PIN es de 8 dígitos. La longitud del PIN puede ser de 8 a 20 dígitos. Si aumenta la longitud del PIN, el nuevo valor se convierte en el número mínimo de dígitos necesarios para el PIN. Por ejemplo, si aumenta la longitud del PIN a 10, un usuario debe proporcionar un PIN de 10 dígitos durante el siguiente inicio de sesión.
- La duración predeterminada de un código QR estándar (proporcionado a los usuarios para uso a largo plazo) es de 365 días. El intervalo está comprendido entre 1 y 395 días. Puede cambiar la duración de un código QR estándar para un usuario específico al agregar el método de autenticación de código QR para ellos.
Cuando haya terminado, haga clic en Guardar.
Habilitación del método de autenticación de código QR en Microsoft Graph API
En este ejemplo se habilita la autenticación de código QR para un grupo, con una longitud de PIN de 10 dígitos y una duración de código QR estándar de 395 días:
Solicitud
PATCH https://graph.microsoft.com/beta/policies/authenticationMethodsPolicy/authenticationMethodConfigurations/qrCodePin { "@odata.type" : "microsoft.graph.qrCodePinAuthenticationMethodConfiguration", "id": "qrCodePin", "state": "enabled", "includeTargets": [{ "targetType": "group", "id": "b185b746-e7db-4fa2-bafc-69ecf18850dd", }], "excludeTargets": [], "standardQRCodeLifetimeInDays":395, "pinLength": 10 }Respuesta
204 No Response
Adición del método de autenticación de código QR para un usuario
Puede agregar un método de autenticación de código QR para un usuario mediante el Centro de administración de Microsoft Entra, Mi personal o Microsoft Graph API. A la vez, solo se permite un método de autenticación de código QR activo. El código QR estándar se genera durante "Agregar método de autenticación". Puede agregar código QR temporal, que es de corta duración, si el usuario no lleva código QR estándar. Puede eliminar código QR estándar o temporal para agregar un nuevo código QR estándar o temporal. Un usuario solo puede tener un código QR estándar y un código QR temporal activo en cualquier momento.
Adición del método de autenticación de código QR para un usuario en el Centro de administración de Microsoft Entra
Inicie sesión en el Centro de administración de Microsoft Entra como al menos un administrador de autenticación.
Vaya a Usuarios, seleccione un usuario y haga clic en Métodos de autenticación.
Haga clic en Agregar método de autenticación y elija Código QR.
Modifique la fecha de expiración del usuario si es necesario. Establezca Tiempo de activación en ahora o posterior. Proporcione o genere un PIN temporal. El PIN personalizado solo se puede especificar cuando se agrega el método de autenticación de código QR. Un PIN se genera automáticamente durante los eventos de restablecimiento. Cuando esté listo, haga clic en Agregar para agregar el método de autenticación de código QR para el usuario.
Guarde el PIN y haga clic en Descargar imagen para descargar e imprimir el código QR. La descarga de la imagen de código QR tiene el tamaño de impresión óptimo más pequeño. Si reduce el tamaño del código QR, puede afectar al rendimiento del análisis de código QR.
No se puede volver a generar el mismo código QR porque tiene un secreto único. Si el código QR no puede funcionar por algún motivo, elimínelo. Cree un nuevo código QR para el usuario.
Después de agregar el método de autenticación de código QR, aparece como un método de autenticación utilizable para el usuario.
Agregar el método de autenticación de código QR para un usuario en Mi personal
Inicie sesión en el portal Mi personal como administrador de primera línea. Seleccione una unidad administrativa y un trabajador de primera línea.
Haga clic en Administrar método de autenticación de código QR.
Haga clic en Agregar método de código QR.
Especifique la fecha de expiración y activación y haga clic en Agregar para generar un código QR y un PIN para el usuario.
Guarde el PIN, descargue o imprima el código QR y, a continuación, haga clic en Listo. La descarga de la imagen de código QR tiene el tamaño de impresión óptimo más pequeño. Si reduce el tamaño, el código QR es difícil de escanear. No se puede volver a generar el mismo código QR porque tiene un secreto único. Si el código QR no puede funcionar por algún motivo, elimínelo. Cree un nuevo código QR para el usuario.
Adición del método de autenticación de código QR para un usuario en Microsoft Graph API
En este ejemplo se agrega el método de autenticación de código QR para un usuario:
Solicitud
HTTP PUT/users/{id | userPrincipalName}/authentication/qrCodePinMethod { "standardQRCode": { "expireDateTime": "2024-12-30T12:00:00Z", "startDateTime": "2024-10-30T12:00:00Z" }, "pin": { "code": "<PIN>" } }Respuesta
HTTP/1.1 201 Created Location: /beta/users/aaaaaaaa-bbbb-cccc-1111-222222222222/authentication/qrCodePinMethod` Content-type: application/json { "standardQRCode": { "id": "BBBBBBBB-1C1C-2D2D-3E3E-444444444444" "expireDateTime": "2024-12-30T12:00:00Z", "startDateTime": "2024-10-30T12:00:00Z" "createdDateTime": "2024-10-30T12:00:00Z", "lastUsedDateTime": null, "image": { "binaryValue": "<binaryImageData>", "version": 1, "errorCorrectionLevel": "H". "rawContent": <binary data encoded in QR> } }, "temporaryQRCode": null, "pin": { "code": "<PIN>", "isForcePinChangeRequired": true, "createdDateTime": "2024-10-30T12:00:00Z", "updatedDateTime": null } }
En este ejemplo se confirma si se agrega el método de autenticación de código QR para el usuario:
Solicitud
GET https://graph.microsoft.com/beta/users/flokreg@contoso.com/authentication/qrCodePinMethod`Respuesta
HTTP/1.1 200 OK Content-type: application/json { "id": "<id>", "standardQRCode": { "id": "BBBBBBBB-1C1C-2D2D-3E3E-444444444444" "image": null, "expireDateTime": "2024-12-30T12:00:00Z", "startDateTime": "2024-10-30T12:00:00Z" "createdDateTime": "2024-10-30T12:00:00Z", "lastUsedDateTime": "2024-12-30T12:00:00Z" }, "temporaryQRCode": { "id": "CCCCCCCC-2D2D-3E3E-4F4F-555555555555" "image": null, "expireDateTime": "2024-12-30T12:00:00Z", "startDateTime": "2024-10-30T12:00:00Z" "createdDateTime": "2024-10-30T12:00:00Z", "lastUsedDateTime": "2024-12-30T12:00:00Z" }, "pin": { "code": null, "isForcePinChangeRequired": false, "createdDateTime": "2024-10-30T12:00:00Z", "updatedDateTime": "2024-11-30T12:00:00Z" } }
Edición del método de autenticación de código QR para un usuario
Puede editar el método de autenticación de código QR para un usuario mediante el Centro de administración de Microsoft Entra, Mi personal o Microsoft Graph API.
Editar el método de autenticación de código QR para un usuario en el Centro de administración de Microsoft Entra
Vaya a los métodos de autenticación utilizables para un usuario y haga clic en Editar para editar las propiedades del método de autenticación de código QR.
Cambie la hora de expiración del código QR estándar y haga clic en Guardar. Después de realizar modificaciones, haga clic en Listo.
Elimine un código QR estándar. Es posible que desee eliminar el código QR estándar si se notifica como expirado, comprometido o robado.
Después de eliminar el código QR estándar, haga clic en el símbolo agregar (+) para agregar un nuevo código QR estándar para el usuario. El código QR eliminado ya no es válido para el inicio de sesión.
Debe imprimir y distribuir el nuevo código QR al usuario. El usuario puede seguir usando su PIN existente.
Restablezca un PIN. Si necesita restablecer un PIN de usuario, genere uno temporal y distribúyalo al usuario. El usuario tendrá que cambiar el PIN temporal en el siguiente inicio de sesión. Haga clic en el icono de lápiz después del PIN enmascarado. Haga clic en Generar nuevo PIN para crear un nuevo PIN temporal. Haga clic en Aceptar para confirmar que el usuario está obligado a cambiar el PIN temporal cuando inicie sesión a continuación. Copie el PIN temporal y compártalo con el usuario.
Agregue o elimine un código QR temporal. Un código QR temporal reduce la carga administrativa de aprovisionar y desaprovisionar el código QR en un distintivo si un usuario no llevó su distintivo al trabajo. También reduce el estrés de retener el código QR después de su turno. Un código QR temporal tiene una duración de 1 a 12 horas y se puede activar al instante o posterior. Para desprovisionar el código QR, puede eliminar el código QR temporal o dejar que expire, ya que no se puede usar después de la expiración.
Editar el método de autenticación de código QR para un usuario en Mi personal
Para editar la fecha de expiración de un código QR estándar, haga clic en Editar. Edite la fecha de expiración y guarde los cambios.
Para eliminar un código QR estándar, haga clic en Eliminar y confirme la acción.
Para agregar un nuevo código QR estándar, haga clic en Agregar nuevo junto al código QR estándar.
Seleccione la fecha de expiración y la hora de activación para el código QR y haga clic en Agregar.
Descargue o imprima el código QR y haga clic en Listo.
Para agregar un código QR temporal, haga clic en Agregar nuevo junto al código QR temporal. Especifique la duración en horas y la fecha de activación y haga clic en Agregar.
Descargue o imprima el código QR y haga clic en Listo.
Para restablecer un PIN, haga clic en Restablecer PIN.
Haga clic en Copiar PIN para copiar el PIN en el Portapapeles.
Edición del método de autenticación de código QR para un usuario en Microsoft Graph API
En este ejemplo se muestra cómo eliminar el código QR estándar de un usuario si pierde su distintivo y crea un nuevo código QR estándar. No es necesario que el usuario cambie su PIN.
Elimine un código QR estándar:
Solicitud
DELETE https://graph.microsoft.com/beta/users/flokreg@contoso.com/authentication/qrCodePinMethod/standardQRCode`Respuesta
HTTP/1.1 204 No Content
Cree un código QR estándar:
Solicitud
HTTP PATCH/users/{id | userPrincipalName}/authentication/qrCodePinMethod/standardQRCode` { "startDateTime": "2024-10-30T12:00:00Z", "expireDateTime": "2024-12-30T12:00:00Z" }Respuesta
HTTP/1.1 201 Created Location: /beta/users/aaaaaaaa-bbbb-cccc-1111-222222222222/authentication/qrCodePinMethod/standardQRCode` Content-type: application/json { "id": "BBBBBBBB-1C1C-2D2D-3E3E-444444444444" "expireDateTime": "2024-12-30T12:00:00Z", "startDateTime": "2024-10-30T12:00:00Z" "createdDateTime": "2024-10-30T12:00:00Z", "lastUsedDateTime": null, "image": { "binaryValue": "<binaryImageData>", "version": 1, "errorCorrectionLevel": "H". "rawContent": <binary data encoded in QR> } }
Obtenga un código QR estándar:
Solicitud
GET https://graph.microsoft.com/beta/users/{id|UPN}/authentication/qrCodePinMethod/standardQRCode`Respuesta
HTTP/1.1 200 OK Content-type: application/json { "id": "BBBBBBBB-1C1C-2D2D-3E3E-444444444444", "image": null, "expireDateTime": "2024-12-30T12:00:00Z", "startDateTime": "2024-10-30T12:00:00Z" "createdDateTime": "2024-10-30T12:00:00Z", "lastUsedDateTime": "2024-12-30T12:00:00Z" }
En este ejemplo se muestra cómo crear un código QR temporal para un usuario. El usuario puede usar el PIN existente. Esta operación devuelve un error si ya existe un código QR temporal para el usuario, o si expireDateTime es superior a 12 horas más allá de startDateTime.
Solicitud
HTTP PATCH/users/{id | userPrincipalName}/authentication/qrCodePinMethod/temporaryQRCode` { "startDateTime": "2024-10-30T12:00:00Z", "expireDateTime": "2024-10-30T22:00:00Z" }Respuesta
HTTP/1.1 201 Created Location: /beta/users/aaaaaaaa-bbbb-cccc-1111-222222222222/authentication/qrCodePinMethod/temporaryQRCode` Content-type: application/json { "id": "EEEEEEEE-4F$F-5A5A-6B6B-777777777777" "expireDateTime": "2024-10-30T22:00:00Z", "startDateTime": "2024-10-30T12:00:00Z" "createdDateTime": "2024-10-30T12:00:00Z", "lastUsedDateTime": null, "image": { "binaryValue": "<binaryImageData>", "version": 1, "errorCorrectionLevel": "H". "rawContent": <binary data encoded in QR> } }
Obtenga un código QR temporal:
Solicitud
GET https://graph.microsoft.com/beta/users/{id|UPN}/authentication/qrCodePinMethod/temporaryQRCode`Respuesta
HTTP/1.1 200 OK Content-type: application/json { "id": "EEEEEEEE-4F$F-5A5A-6B6B-777777777777", "image": null, "expireDateTime": "2024-10-30T22:00:00Z", "startDateTime": "2024-10-30T12:00:00Z" "createdDateTime": "2024-10-30T12:00:00Z", "lastUsedDateTime": "2024-10-30T20:00:00Z" }
En este ejemplo se muestra cómo eliminar un código QR temporal para un usuario.
Solicitud
DELETE https://graph.microsoft.com/beta/users/flokreg@contoso.com/authentication/qrCodePinMethod/temporaryQRCode`Respuesta
HTTP/1.1 204 No Content
En este ejemplo se muestra cómo restablecer el PIN un método de autenticación de código QR:
Solicitud
PATCH https://graph.microsoft.com/beta/users/flokreg@contoso.com/authentication/qrCodePinMethod/pin`Respuesta
{ "code": <PIN>, "forceChangePinNextSignIn": true, "createdDateTime": "2024-10-30T12:00:00Z", "updatedDateTime": null }
En este ejemplo se muestra cómo forzar a un usuario a cambiar su PIN para un método de autenticación de código QR:
Solicitud
PATCH https://graph.microsoft.com/beta/users/flokreg@contoso.com/authentication/qrCodePinMethod/updatePin` { "currentPin": "<Old PIN>", "newPin": "<New PIN>" }Respuesta
HTTP/1.1 204 No Content
Eliminación del método de autenticación de código QR para un usuario
Puede eliminar el método de autenticación de código QR para un usuario mediante el Centro de administración de Microsoft Entra, Mi personal o Microsoft Graph API.
Eliminar el método de autenticación de código QR para un usuario en el Centro de administración de Microsoft Entra
Si se elimina un método de autenticación de código QR para un usuario, ya no podrá iniciar sesión con ese método de autenticación.
Inicie sesión en el Centro de administración de Microsoft Entra como al menos un administrador de autenticación.
Vaya a Usuarios, seleccione un usuario y haga clic en Métodos de autenticación.
En Métodos de autenticación utilizables, haga clic en los puntos suspensivos del lado derecho del código QR y haga clic en Eliminar.
Eliminar el método de autenticación de código QR para un usuario en Mi personal
Para eliminar el propio método de autenticación de código QR, haga clic en Eliminar método de código QR.
Haga clic en Eliminar para confirmar la acción.
Eliminación del método de autenticación de código QR para un usuario en Microsoft Graph API
En este ejemplo se muestra cómo eliminar un código QR estándar para un usuario.
Solicitud
DELETE https://graph.microsoft.com/beta/users/flokreg@contoso.com/authentication/qrCodePinMethod/standardQRCode`Respuesta
HTTP/1.1 204 No Content
Iniciar sesión en Microsoft Teams o Managed Home Screen (MHS) con código QR
Microsoft Teams y Managed Home Screen (MHS) tienen una experiencia de inicio de sesión de código QR optimizada. Un administrador de directivas de autenticación debe configurar Intune u otra solución de administración de dispositivos móviles (MDM) para habilitar el método de autenticación de código QR para dispositivos móviles.
Habilitar el inicio de sesión con un código QR en Teams o MHS
Al configurar con Intune, asigne Microsoft Authenticator como una aplicación necesaria para todos los dispositivos para los que quiera agregar la autenticación de código QR.
| Plataforma | Clave de configuración de la aplicación MDM | Importancia | Ubicación de configuración |
|---|---|---|---|
| Ios | configuración_de_autenticación_preferida | qrpin | Perfil de administración de dispositivos, que configura una extensión de inicio de sesión único (SSO) |
| Androide | configuración_de_autenticación_preferida | qrpin | Microsoft Authenticator |
Nota:
MHS solo está disponible en dispositivos Android.
Experiencia de inicio de sesión en Teams mediante autenticación de código QR
Los usuarios deben descargar Teams. En la tabla siguiente se muestra la versión mínima de Teams para sistemas operativos móviles. Para obtener más información sobre las versiones de Teams, consulte Historial de actualizaciones de versiones para la aplicación de Microsoft Teams nueva y clásica.
| Sistema operativo móvil | Fecha de lanzamiento | Versión de Teams |
|---|---|---|
| iOS y iPadOS | 21 de julio de 2024 | 6.13.1 (1.0.0.77.2024132501) |
| Androide | 8 de agosto de 2024 | 1416/1.0.0.2024143204 (2024143204) |
Los usuarios pueden seguir estos pasos para iniciar sesión con un código QR en Teams:
Haga clic en Escanear código QR en Microsoft Teams.
Escanee el código QR. Dé su consentimiento si se le pide permiso de cámara.
Escriba el PIN.
Ahora has iniciado sesión en la aplicación.
Al iniciar sesión con un PIN temporal, debe cambiarlo.
Experiencia de inicio de sesión web de autenticación de código QR (login.microsoftonline.com)
Haga clic en Más opciones> de inicio de sesiónIniciar sesión en una organización>Iniciar sesión con código QR.
Permita el acceso a la cámara cuando se le pida, luego examine el código QR, escriba su PIN, y habrá iniciado sesión correctamente.
Adición de seguridad con autenticación de código QR mediante directivas de acceso condicional
Restrinja el método de autenticación de código QR solo a dispositivos de primera línea, compatibles y compartidos. En esta sección se explica cómo crear directivas que restrinjan el método de autenticación de código QR solo a los trabajadores de primera línea y a los dispositivos compartidos.
Restricción de la autenticación de código QR a los trabajadores de primera línea
Inicie sesión en el Centro de administración de Microsoft Entra como Administrador de directivas de autenticación como mínimo.
Vaya a Entra ID>Métodos de autenticación>Código QR>Habilitar y establecer objetivo.
Haga clic en Agregar destino> seleccione un grupo que solo incluya los trabajadores de primera línea, como los trabajadores de primera línea en la captura de pantalla siguiente. Esta selección de grupo restringe la habilitación del método de autenticación de código QR solo a los trabajadores de primera línea agregados al grupo de trabajadores de primera línea .
Restricción de la autenticación de código QR a dispositivos compartidos
Inicie sesión en el Centro de administración de Microsoft Entra como administrador de acceso condicional.
Haga clic en Acceso condicional>Fortalezas de autenticación>Nueva fortaleza de autenticación.
Cree una directiva de acceso condicional personalizada de nivel de autenticación. Seleccione el código QR de autenticación (versión preliminar) .
Cree una directiva de acceso condicional que requiera que los dispositivos compartidos se marquen como compatibles con las directivas de Intune u otra solución MDM. Esta directiva garantiza que los trabajadores de primera línea solo puedan acceder a recursos específicos desde un dispositivo compartido compatible en el que iniciaron sesión con un código QR.
En Usuarios o identidades de carga de trabajo>Incluir>, seleccione Usuarios y grupos y elija su grupo de trabajadores de primera línea.
En Recursos> de destinoIncluir>, seleccione recursos específicos a los que pueden acceder los trabajadores de primera línea.
En Condiciones, haga clic en Filtrar para dispositivos y establezca Configurar en Sí.
Haga clic en Incluir dispositivos filtrados desde la directiva.
En Propiedad, seleccione ProfileType.
En Operador, seleccione Es igual a.
En Valor, seleccione Compartido.
En Controles de acceso>Conceder> , seleccione Requerir que el dispositivo esté marcado como compatible y haga clic en Seleccionar.
Haga clic en Crear.