Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questo argomento illustra come abilitare il metodo di autenticazione del codice QR nei criteri dei metodi di autenticazione in Microsoft Entra ID. Illustra anche come gestire il metodo di autenticazione del codice a matrice per gli utenti e come possono accedere con un codice a matrice e un PIN.
Prima di abilitare il metodo di autenticazione tramite codice QR, esaminare le migliori pratiche per l'uso dei controlli di sicurezza per accedere al lavoro o a casa per i lavoratori sul campo. Per altre informazioni, vedere Procedure consigliate per proteggere i lavoratori sul campo.
Prerequisiti per abilitare il metodo di autenticazione del codice QR
- Una sottoscrizione di Azure attiva.
- Se non hai una sottoscrizione di Azure, crea un account.
- Un tenant di Microsoft Entra associato al tuo abbonamento.
- Per abilitare il metodo di autenticazione tramite codice QR, è necessario almeno il ruolo di Amministratore dei criteri di autenticazione nel tenant di Microsoft Entra.
- Ogni utente abilitato nella politica del metodo di autenticazione tramite codice QR deve possedere una licenza, anche se non lo utilizza. Ogni utente abilitato deve avere una delle licenze Microsoft Entra ID, EMS, Microsoft 365 seguenti:
- Dispositivi condivisi Android, iOS o iPadOS (iOS/iPadOS versione 15.0 o successiva).
- Modalità dispositivo condiviso abilitata nei dispositivi condivisi (facoltativo ma altamente consigliato).
- Stampante per stampare codici QR da 2" x 2".
- Per accedere all'autenticazione del codice QR in Teams, l'app Teams installata nel dispositivo condiviso richiede queste versioni: Android versione 1.0.0.2024143204 o successiva e iOS versione 1.0.0.77.2024132501 o successiva.
- Abilitare e configurare il portale My Staff se si prevede che i responsabili sul campo usino My Staff per la configurazione, gestione e reimpostazione di codici QR e PIN.
Abilitare il metodo di autenticazione del codice QR
È possibile abilitare il metodo di autenticazione del codice QR usando il centro di amministrazione di Microsoft Entra o l'API Microsoft Graph.
Abilitare il metodo di autenticazione del codice QR nell'interfaccia di amministrazione di Microsoft Entra
Effettua l'accesso al centro di amministrazione di Microsoft Entra come almeno un Amministratore dei criteri di autenticazione.
Passare a Entra ID>Metodi di autenticazione>Criteri.
Fare clic su codice QR>, abilita e imposta target>, aggiungi target>, quindi seleziona un gruppo di utenti che devono accedere con un codice QR.
Aggiornare le impostazioni predefinite del codice QR in base alle esigenze:
- Per impostazione predefinita, la lunghezza del PIN è di 8 cifre. La lunghezza del PIN può essere compresa tra 8 e 20 cifre. Se si aumenta la lunghezza del PIN, il nuovo valore diventa il numero minimo di cifre necessarie per il PIN. Ad esempio, se si aumenta la lunghezza del PIN a 10, un utente deve fornire un PIN di 10 cifre durante l'accesso successivo.
- La durata predefinita di un codice a matrice standard (fornito agli utenti per uso a lungo termine) è di 365 giorni. L'intervallo è compreso tra 1 e 395 giorni. È possibile modificare la durata di un codice a matrice standard per un utente specifico quando si aggiunge il metodo di autenticazione del codice a matrice.
Al termine, fare clic su Salva.
Abilitare il metodo di autenticazione del codice QR nell'API Microsoft Graph
Questo esempio abilita l'autenticazione del codice a matrice per un gruppo, con una lunghezza del PIN di 10 cifre e una durata del codice a matrice standard di 395 giorni:
richiesta
PATCH https://graph.microsoft.com/beta/policies/authenticationMethodsPolicy/authenticationMethodConfigurations/qrCodePin { "@odata.type" : "microsoft.graph.qrCodePinAuthenticationMethodConfiguration", "id": "qrCodePin", "state": "enabled", "includeTargets": [{ "targetType": "group", "id": "b185b746-e7db-4fa2-bafc-69ecf18850dd", }], "excludeTargets": [], "standardQRCodeLifetimeInDays":395, "pinLength": 10 }risposta
204 No Response
Aggiungere un metodo di autenticazione con codice QR per un utente
È possibile aggiungere un metodo di autenticazione del codice QR per un utente usando il Centro di amministrazione di Microsoft Entra, My Staff o l'API Microsoft Graph. In un dato momento, è consentito un solo metodo di autenticazione del codice QR attivo. Il codice QR standard viene generato durante l'aggiunta del metodo di autenticazione. È possibile aggiungere un codice QR temporaneo, di durata limitata, se l'utente non ha con sé un codice QR standard. È possibile eliminare un codice QR standard/temporaneo per sostituirlo con uno nuovo. Un utente può avere attivo un solo codice QR standard e un codice QR temporaneo in qualsiasi momento.
Aggiungere il metodo di autenticazione del codice QR per un utente nell'interfaccia di amministrazione di Microsoft Entra
Accedi al Centro di amministrazione di Microsoft Entra con almeno il ruolo di Amministratore dell'Autenticazione.
Passare a Utenti, selezionare un utente e fare clic su Metodi di autenticazione.
Fare clic su Aggiungi metodo di autenticazione e scegliere codice QR.
Modificare la data di scadenza per l'utente, se necessario. Impostare l'ora di attivazione adesso o successivamente. Specificare o generare un PIN temporaneo. Il PIN personalizzato può essere specificato solo quando si aggiunge il metodo di autenticazione tramite codice QR. Un PIN viene generato automaticamente durante gli eventi di reimpostazione. Quando sei pronto, fai clic su Aggiungi per aggiungere il metodo di autenticazione tramite QR code per l'utente.
Salva il PIN e fai clic su Scarica immagine per scaricare e stampare il codice QR. Il download dell'immagine del codice QR ha la più piccola dimensione di stampa ottimale. Se si riducono le dimensioni del codice QR, può influire sulle prestazioni di scansione del codice QR.
Non è possibile rigenerare lo stesso codice QR perché ha un segreto unico. Se il codice QR non funziona per qualche motivo, eliminalo. Creare un nuovo codice QR per l'utente.
Dopo aver aggiunto il metodo di autenticazione tramite codice QR, apparirà come metodo di autenticazione utilizzabile per l'utente.
Aggiungere il metodo di autenticazione con codice QR per un utente in My Staff
Accedi al portale My Staff come manager in prima linea. Seleziona un'unità amministrativa e un lavoratore in prima linea.
Fare clic su Gestisci il metodo di autenticazione del codice QR.
Fare clic su Aggiungi metodo di codice QR.
Specificare la data di scadenza e di attivazione e fare clic su Aggiungi per generare un codice QR e un PIN per l'utente.
Salva il PIN, scarica o stampa il codice QR e quindi fai clic su Fine. Il download dell'immagine del QR code ha la più piccola dimensione ottimale per la stampa. Se si riducono le dimensioni, il codice QR è difficile da scansionare. Non è possibile rigenerare lo stesso codice QR perché ha un segreto unico. Se il codice QR non funziona per qualche motivo, eliminalo. Creare un nuovo codice QR per l'utente.
Aggiungere il metodo di autenticazione tramite codice QR per un utente nell'API Microsoft Graph
In questo esempio viene aggiunto il metodo di autenticazione del codice QR per un utente.
richiesta
HTTP PUT/users/{id | userPrincipalName}/authentication/qrCodePinMethod { "standardQRCode": { "expireDateTime": "2024-12-30T12:00:00Z", "startDateTime": "2024-10-30T12:00:00Z" }, "pin": { "code": "<PIN>" } }risposta
HTTP/1.1 201 Created Location: /beta/users/aaaaaaaa-bbbb-cccc-1111-222222222222/authentication/qrCodePinMethod` Content-type: application/json { "standardQRCode": { "id": "BBBBBBBB-1C1C-2D2D-3E3E-444444444444" "expireDateTime": "2024-12-30T12:00:00Z", "startDateTime": "2024-10-30T12:00:00Z" "createdDateTime": "2024-10-30T12:00:00Z", "lastUsedDateTime": null, "image": { "binaryValue": "<binaryImageData>", "version": 1, "errorCorrectionLevel": "H". "rawContent": <binary data encoded in QR> } }, "temporaryQRCode": null, "pin": { "code": "<PIN>", "isForcePinChangeRequired": true, "createdDateTime": "2024-10-30T12:00:00Z", "updatedDateTime": null } }
Questo esempio conferma se è stato aggiunto per l'utente il metodo di autenticazione tramite codice QR.
richiesta
GET https://graph.microsoft.com/beta/users/flokreg@contoso.com/authentication/qrCodePinMethod`risposta
HTTP/1.1 200 OK Content-type: application/json { "id": "<id>", "standardQRCode": { "id": "BBBBBBBB-1C1C-2D2D-3E3E-444444444444" "image": null, "expireDateTime": "2024-12-30T12:00:00Z", "startDateTime": "2024-10-30T12:00:00Z" "createdDateTime": "2024-10-30T12:00:00Z", "lastUsedDateTime": "2024-12-30T12:00:00Z" }, "temporaryQRCode": { "id": "CCCCCCCC-2D2D-3E3E-4F4F-555555555555" "image": null, "expireDateTime": "2024-12-30T12:00:00Z", "startDateTime": "2024-10-30T12:00:00Z" "createdDateTime": "2024-10-30T12:00:00Z", "lastUsedDateTime": "2024-12-30T12:00:00Z" }, "pin": { "code": null, "isForcePinChangeRequired": false, "createdDateTime": "2024-10-30T12:00:00Z", "updatedDateTime": "2024-11-30T12:00:00Z" } }
Modificare il metodo di autenticazione del codice QR di un utente
È possibile modificare il metodo di autenticazione del codice QR per un utente usando l'interfaccia di amministrazione di Microsoft Entra o l'API Microsoft Graph.
Modificare il metodo di autenticazione del QR code per un utente nel portale di amministrazione di Microsoft Entra
Passare ai metodi di autenticazione utilizzabili per un utente e fare clic su Modifica per modificare le proprietà del metodo di autenticazione del codice a matrice.
Modificare l'ora di scadenza per il codice QR standard e fare clic su Salva. Dopo aver apportato le modifiche, fare clic su Fine.
Eliminare un codice QR standard. Potresti voler eliminare il codice QR standard se viene segnalato come scaduto, compromesso o rubato.
Dopo aver eliminato il codice a matrice standard, fare clic sul simbolo aggiungi (+) per aggiungere un nuovo codice a matrice standard per l'utente. Il codice QR eliminato non è più valido per il login.
È necessario stampare e distribuire il nuovo codice QR all'utente. L'utente può continuare a usare il PIN esistente.
Reimpostare un PIN. Se è necessario reimpostare un PIN utente, generarne uno temporaneo e distribuirlo all'utente. L'utente dovrà modificare il PIN temporaneo al successivo accesso. Fare clic sull'icona a forma di matita dopo il PIN mascherato. Fare clic su Genera nuovo PIN per creare un nuovo PIN temporaneo. Fare clic OK per confermare che l'utente è costretto a modificare il PIN temporaneo al successivo accesso. Copiare il PIN temporaneo e condividerlo con l'utente.
Aggiungere o eliminare un codice QR temporaneo. Un codice QR temporaneo riduce il sovraccarico amministrativo del provisioning e del deprovisioning del codice QR su un badge se un utente non ha portato il proprio badge al lavoro. Riduce inoltre lo stress di conservare il codice QR dopo il turno lavorativo. Un codice QR temporaneo ha una durata di 1-12 ore e può essere attivato immediatamente o successivamente. Per deprovisionare il codice QR, è possibile eliminare il codice QR temporaneo o consentirne la scadenza poiché diventa inutilizzabile dopo la scadenza.
Modificare il metodo di autenticazione del codice QR per un utente in My Staff
Per modificare la data di scadenza di un codice QR standard, fare clic su Modifica. Modificare la data di scadenza e salvare le modifiche.
Per eliminare un codice QR standard, fare clic su Eliminae confermare l'azione.
Per aggiungere un nuovo codice QR standard, fare clic su Aggiungi nuovo accanto al codice QR standard.
Selezionare l'ora di attivazione e la data di scadenza per il codice QR e fare clic su Aggiungi.
Scarica o stampa il codice QR e fai clic su Fine.
Per aggiungere un codice QR temporaneo, fare clic su Aggiungi nuovo accanto al codice QR temporaneo. Specificare la durata in ore, la data di attivazione , e fare clic su Aggiungi.
Scarica o stampa il codice QR e fai clic su Fine.
Per reimpostare un PIN, fare clic su Reimposta PIN.
Fare clic su Copia PIN per copiare il PIN nella clipboard.
Modificare il metodo di autenticazione del codice QR per un utente nell'API Microsoft Graph
Questo esempio mostra come eliminare il codice QR standard per un utente se perde il badge e come creare un nuovo codice QR standard. L'utente non deve modificare il PIN.
Eliminare un codice QR standard:
richiesta
DELETE https://graph.microsoft.com/beta/users/flokreg@contoso.com/authentication/qrCodePinMethod/standardQRCode`risposta
HTTP/1.1 204 No Content
Creare un codice QR standard:
richiesta
HTTP PATCH/users/{id | userPrincipalName}/authentication/qrCodePinMethod/standardQRCode` { "startDateTime": "2024-10-30T12:00:00Z", "expireDateTime": "2024-12-30T12:00:00Z" }risposta
HTTP/1.1 201 Created Location: /beta/users/aaaaaaaa-bbbb-cccc-1111-222222222222/authentication/qrCodePinMethod/standardQRCode` Content-type: application/json { "id": "BBBBBBBB-1C1C-2D2D-3E3E-444444444444" "expireDateTime": "2024-12-30T12:00:00Z", "startDateTime": "2024-10-30T12:00:00Z" "createdDateTime": "2024-10-30T12:00:00Z", "lastUsedDateTime": null, "image": { "binaryValue": "<binaryImageData>", "version": 1, "errorCorrectionLevel": "H". "rawContent": <binary data encoded in QR> } }
Ottieni un codice QR standard:
richiesta
GET https://graph.microsoft.com/beta/users/{id|UPN}/authentication/qrCodePinMethod/standardQRCode`risposta
HTTP/1.1 200 OK Content-type: application/json { "id": "BBBBBBBB-1C1C-2D2D-3E3E-444444444444", "image": null, "expireDateTime": "2024-12-30T12:00:00Z", "startDateTime": "2024-10-30T12:00:00Z" "createdDateTime": "2024-10-30T12:00:00Z", "lastUsedDateTime": "2024-12-30T12:00:00Z" }
Questo esempio illustra come creare un codice QR temporaneo per un utente. L'utente può usare il PIN esistente. Questa operazione restituisce un errore se esiste già un codice QR temporaneo per l'utente, oppure se il expireDateTime è più di 12 ore dopo il startDateTime.
richiesta
HTTP PATCH/users/{id | userPrincipalName}/authentication/qrCodePinMethod/temporaryQRCode` { "startDateTime": "2024-10-30T12:00:00Z", "expireDateTime": "2024-10-30T22:00:00Z" }risposta
HTTP/1.1 201 Created Location: /beta/users/aaaaaaaa-bbbb-cccc-1111-222222222222/authentication/qrCodePinMethod/temporaryQRCode` Content-type: application/json { "id": "EEEEEEEE-4F$F-5A5A-6B6B-777777777777" "expireDateTime": "2024-10-30T22:00:00Z", "startDateTime": "2024-10-30T12:00:00Z" "createdDateTime": "2024-10-30T12:00:00Z", "lastUsedDateTime": null, "image": { "binaryValue": "<binaryImageData>", "version": 1, "errorCorrectionLevel": "H". "rawContent": <binary data encoded in QR> } }
Ottieni un codice QR temporaneo:
richiesta
GET https://graph.microsoft.com/beta/users/{id|UPN}/authentication/qrCodePinMethod/temporaryQRCode`risposta
HTTP/1.1 200 OK Content-type: application/json { "id": "EEEEEEEE-4F$F-5A5A-6B6B-777777777777", "image": null, "expireDateTime": "2024-10-30T22:00:00Z", "startDateTime": "2024-10-30T12:00:00Z" "createdDateTime": "2024-10-30T12:00:00Z", "lastUsedDateTime": "2024-10-30T20:00:00Z" }
Questo esempio illustra come eliminare un codice QR temporaneo per un utente.
richiesta
DELETE https://graph.microsoft.com/beta/users/flokreg@contoso.com/authentication/qrCodePinMethod/temporaryQRCode`risposta
HTTP/1.1 204 No Content
Questo esempio illustra come reimpostare il PIN con un metodo di autenticazione con codice QR.
richiesta
PATCH https://graph.microsoft.com/beta/users/flokreg@contoso.com/authentication/qrCodePinMethod/pin`risposta
{ "code": <PIN>, "forceChangePinNextSignIn": true, "createdDateTime": "2024-10-30T12:00:00Z", "updatedDateTime": null }
Questo esempio mostra come forzare un utente a modificare il PIN per un metodo di autenticazione con codice a matrice:
richiesta
PATCH https://graph.microsoft.com/beta/users/flokreg@contoso.com/authentication/qrCodePinMethod/updatePin` { "currentPin": "<Old PIN>", "newPin": "<New PIN>" }risposta
HTTP/1.1 204 No Content
Eliminare il metodo di autenticazione del codice QR per un utente
È possibile eliminare il metodo di autenticazione del QR code per un utente usando l'interfaccia di amministrazione di Microsoft Entra, My Staff o l'API Microsoft Graph.
Eliminare il metodo di autenticazione del codice QR per un utente nel portale di amministrazione di Microsoft Entra
Se un metodo di autenticazione con codice a matrice viene eliminato per un utente, non può più accedere usando tale metodo di autenticazione.
Accedi al Centro di amministrazione di Microsoft Entra con almeno il ruolo di Amministratore dell'Autenticazione.
Passare a Utenti, selezionare un utente e fare clic su Metodi di autenticazione.
In metodi di autenticazione utilizzabili, clicca sui puntini di sospensione sul lato destro del codice QR e clicca su Elimina.
Eliminare il metodo di autenticazione codice QR per un utente in My Staff
Per eliminare il metodo di autenticazione del codice QR stesso, fare clic su Elimina metodo codice QR.
Fare clic su Elimina per confermare l'azione.
Eliminare il metodo di autenticazione QR code per un utente nell'API Microsoft Graph
Questo esempio illustra come eliminare un codice QR standard per un utente.
richiesta
DELETE https://graph.microsoft.com/beta/users/flokreg@contoso.com/authentication/qrCodePinMethod/standardQRCode`risposta
HTTP/1.1 204 No Content
Accedi a Microsoft Teams o a Managed Home Screen (MHS) con codice QR
Microsoft Teams e Managed Home Screen (MHS) offrono un'esperienza di accesso ottimizzata tramite QR code. Un amministratore dei criteri di autenticazione deve configurare Intune o un'altra soluzione di gestione di dispositivi mobili (MDM) per abilitare il metodo di autenticazione del codice a matrice per i dispositivi mobili.
Abilitare l'accesso con un codice QR in Teams o MHS
Quando si configura con Intune, assegnare Microsoft Authenticator come app obbligatoria per tutti i dispositivi per cui si desidera aggiungere l'autenticazione tramite codice QR.
| Piattaforma | Chiave di configurazione dell'app MDM | Valore | Posizione di configurazione |
|---|---|---|---|
| Ios | configurazione_auth_preferita | qrpin | Profilo di gestione dei dispositivi, che configura un'estensione Single Sign-On (SSO) |
| Androide | configurazione_auth_preferita | qrpin | Microsoft Authenticator |
Nota
MHS è disponibile solo nei dispositivi Android.
Esperienza di accesso a Teams con autenticazione tramite codice QR
Gli utenti devono scaricare Teams. La tabella seguente elenca la versione minima di Teams per i sistemi operativi mobili. Per ulteriori informazioni sulle versioni di Teams, vedere la cronologia delle versioni per l'app Microsoft Teams, sia quella nuova che quella classica.
| Sistema operativo mobile | Data di rilascio | Versione Teams |
|---|---|---|
| iOS e iPadOS | 21 luglio 2024 | 6.13.1 (1.0.0.77.2024132501) |
| Androide | 8 agosto 2024 | 1416/1.0.0.2024143204 (2024143204) |
Gli utenti possono seguire questi passaggi per accedere con un codice QR in Teams:
Fare clic su Scansiona codice QR in Microsoft Teams.
Scansionare il codice QR. Fornire il consenso se viene richiesta l'autorizzazione per la fotocamera.
Immettere il PIN.
Sei ora connesso all'app.
Quando si accede con un PIN temporaneo, è necessario modificarlo.
Esperienza di accesso al Web con autenticazione tramite codice QR (login.microsoftonline.com)
Fare clic su Altre opzioni di accesso>Accedi a un'organizzazione>Accedi con codice QR.
Consenti alla fotocamera di analizzare il codice QR quando richiesto >, poi inserisci il PIN >: hai eseguito l'accesso con successo >.
Aggiungi sicurezza con l'autenticazione tramite codice QR utilizzando i criteri di accesso condizionale
Limitare il metodo di autenticazione del codice QR solo ai lavoratori in prima linea e ai dispositivi conformi e condivisi. Questa sezione illustra come creare politiche che limitano il metodo di autenticazione tramite codici QR solo ai lavoratori in prima linea e ai dispositivi condivisi.
Limitare l'autenticazione del codice QR ai lavoratori in prima linea
Effettua l'accesso al centro di amministrazione di Microsoft Entra come almeno un Amministratore dei criteri di autenticazione.
Passare a Entra ID>metodi di autenticazione>QR code>Abilita e imposta.
Fare clic su Aggiungi destinazionee> selezionare un gruppo che includa solo i lavoratori in prima linea, ad esempio i lavoratori in prima linea nello screenshot seguente. Questa selezione di gruppo limita l'attivazione del metodo di autenticazione con codice QR esclusivamente ai lavoratori in prima linea aggiunti al gruppo lavoratori in prima linea.
Limitare l'autenticazione del QR code ai dispositivi condivisi
Accedi al centro di amministrazione di Microsoft Entra come Amministratore dell'accesso condizionale .
Fare clic su Accesso condizionale>Autenticazione robusta>Nuova robustezza di autenticazione.
Creare un criterio di accesso condizionale con un livello di autenticazione personalizzato. Selezionare codice QR di autenticazione (Anteprima)
. Creare criteri di accesso condizionale che richiedono che i dispositivi condivisi siano contrassegnati come conformi ai criteri di Intune o a un'altra soluzione MDM. Questo criterio garantisce che i lavoratori in prima linea possano accedere solo a risorse specifiche da un dispositivo condiviso conforme a cui hanno eseguito l'accesso con un codice QR.
In Utenti o identità del carico di lavoro>Includi> seleziona Utenti e gruppi, quindi scegli il gruppo dei tuoi operatori della prima linea.
In Risorse di destinazione>, includere> per selezionare risorse specifiche a cui gli operatori sul campo possono accedere.
In Condizionifare clic su Filtro per i dispositivi, impostare Configura su Sì.
Fare clic su Includi dispositivi filtrati dalla politica.
Per la proprietà , selezionare il tipo di profilo .
Per Operatore, selezionare Uguale.
Per Valore, selezionare Condiviso.
** Sotto Controlli di accesso>Concedi> seleziona Richiedi che il dispositivo sia contrassegnato come conformee fai clic su Seleziona.
Fare clic su Crea.