Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Metoda uwierzytelniania kodu QR umożliwia pracownikom pierwszej linii efektywne logowanie się do aplikacji na udostępnionych urządzeniach. Użytkownicy mogą używać unikatowego kodu QR dostarczonego do nich i wprowadzać numer PIN do logowania, eliminując konieczność wprowadzania skomplikowanych nazw użytkowników i haseł. Obecnie uwierzytelnianie kodu QR jest obsługiwane tylko na urządzeniach przenośnych z systemem iOS/iPadOS lub Android.
Przed włączeniem metody uwierzytelniania kodu QR zapoznaj się z najlepszymi rozwiązaniami dotyczącymi używania mechanizmów kontroli zabezpieczeń dla pracy lub dostępu do domu dla pracowników pierwszej linii. Aby uzyskać więcej informacji, zobacz Najlepsze rozwiązania dotyczące ochrony pracowników pierwszej linii.
Co to jest uwierzytelnianie kodu QR?
Uwierzytelnianie kodu QR to prosta metoda uwierzytelniania przeznaczona głównie dla pracowników pierwszej linii. Składa się z unikatowego kodu QR i numeru PIN liczbowego. Kod QR służy jako identyfikator i jest unikatowy dla użytkownika. Można go pobrać i wydrukować przy użyciu Centrum Administracyjnego Microsoft Entra, Moich Zasobów lub Microsoft Graph. Dla wygody kod QR można dołączyć do znaczka lub dowolnego innego elementu do noszenia.
Administratorzy uwierzytelniania udostępniają użytkownikom tymczasowy numer PIN, który następnie zmienia go podczas logowania. Tylko użytkownik zna numer PIN. Jest ona powiązana wyłącznie z kodem QR. Nie można jej używać z innymi identyfikatorami użytkowników, takimi jak nazwa użytkownika lub numer telefonu. Uwierzytelnianie kodu QR to metoda jednoskładnikowa, w której numer PIN (coś, co wiesz) jest poświadczeniem.
Zalety uwierzytelniania kodu QR
| Korzyść | Opis |
|---|---|
| Łatwiejsze i szybsze logowanie | Pracownicy pierwszej linii nie muszą wprowadzać złożonych nazw użytkowników ani haseł, aby wielokrotnie się logować do udostępnionych urządzeń podczas zmiany. |
| Niedrogi | Drukowanie kodu QR kosztuje mniej niż klucz sprzętowy, co może być kosztowne dla organizacji z tymczasowymi pracownikami pierwszej linii. |
Właściwości numeru PIN
Następujące zasady są stosowane, gdy administrator zasad uwierzytelniania tworzy lub resetuje numer PIN.
| Polityka | Wartości |
|---|---|
| Dozwolone znaki | Liczby (0–9) |
| Niedozwolone znaki | - Znaki (A-Z, a-z) - Symbole (- @ # $ % ^ & * - _ ! + = [ ] { } | \ : ' , . ? / ' ~ " ( ) ; <>) - Znaki Unicode - Puste miejsce |
| Długość numeru PIN | 8–20 cyfr |
| Złożoność numeru PIN | Wymuszane w celu uniknięcia powtórzeń i typowych sekwencji. Sprawdzane są następujące wzorce: — Nie zawierają 0123456789 ani 9876543210. — Nie powtarzaj sekwencji 2–3 cyfr w numerze PIN, takiej jak 121212, 123123 lub 342342. Jeśli numer PIN zawiera niedozwolone znaki lub jest mniejszy niż minimalna długość numeru PIN, zostanie wyświetlony nieprawidłowy kod PIN . |
Najlepsze praktyki bezpieczeństwa do stosowania przy użyciu uwierzytelniania kodu QR
Zalecamy następujące środki po włączeniu metody uwierzytelniania kodu QR, ponieważ jest to jednopoziomowe uwierzytelnianie (coś, co znasz).
- Uwierzytelnianie kodu QR jest przeznaczone głównie dla pracowników pierwszej linii (FLW), a nie dla pracowników przetwarzających informacje (IW). Zalecamy uwierzytelnianie odporne na wyłudzanie informacji lub uwierzytelnianie wieloskładnikowe dla IW.
- Nie włączaj uwierzytelniania kodu QR dla wszystkich użytkowników w dzierżawie. Włącz tylko dla użytkowników docelowych, którzy będą używać tej metody uwierzytelniania, na przykład utworzyć grupę dla pracowników pierwszej linii i włączyć uwierzytelnianie kodu QR tylko dla nich w zasadach metod uwierzytelniania Entra firmy Microsoft.
- Połącz uwierzytelnianie kodu QR z zasadami dostępu warunkowego jako inną warstwą zabezpieczeń. Zalecamy zasady, takie jak zgodne urządzenia, dostęp w sieci, zezwalanie na określone aplikacje i tryb urządzenia udostępnionego.
- Wymuszaj uwierzytelnianie odporne na wyłudzanie informacji lub uwierzytelnianie wieloskładnikowe, gdy użytkownicy uzyskują dostęp do zasobów spoza sieci sklepu lub miejsca pracy.
- Zastąp kody QR, które zostaną utracone lub skradzione.
- Wymuszanie zasad dostępu warunkowego opartego na ryzyku logowania w celu zablokowania dostępu.
Konfiguracje kodu QR w zasadach metody uwierzytelniania
Administratorzy zasad uwierzytelniania mogą włączyć kod QR w metodach uwierzytelniania w centrum administracyjnym firmy Microsoft Entra. Uwierzytelnianie kodu QR jest domyślnie wyłączone.
W zasadach metody uwierzytelniania dla kodu QR można skonfigurować:
Długość numeru PIN: 8–20 cyfr.
Okres istnienia standardowego kodu QR: 1–395 dni. Wartość domyślna to 365 dni. Administrator zasad uwierzytelniania może zmienić wartość domyślną podczas dodawania standardowego kodu QR dla użytkownika.
Na przykład administrator może ustawić wartość na 30 dni w zasadach metody uwierzytelniania. Domyślny okres ważności standardowego kodu QR dla każdego użytkownika w danej dzierżawie wynosi 30 dni. Administrator może zmienić domyślny okres istnienia standardowego kodu QR dla określonego użytkownika.
Na tym zrzucie ekranu długość numeru PIN jest ustawiona na wartość domyślną ośmiu cyfr. Okres istnienia standardowego kodu QR jest ograniczony do 200 dni.
Szczegóły funkcjonalne metody uwierzytelniania kodu QR
Gdy administrator zasad uwierzytelniania dodaje metodę uwierzytelniania kodu QR dla użytkownika, generuje standardowy kod QR i numer PIN. Aby utworzyć tymczasowy kod QR, muszą edytować metodę uwierzytelniania kodu QR.
Tymczasowy kod QR pomaga, gdy użytkownik zapomni przynieść znaczek ze standardowym kodem QR. Ma krótszy okres istnienia, do 12 godzin. Gdy dla użytkownika zostanie usunięta metoda uwierzytelniania kodu QR, nie może zalogować się przy użyciu istniejących kodów QR i numeru PIN.
Numer PIN działa zarówno ze standardowymi, jak i tymczasowymi kodami QR, ponieważ numer PIN jest prawidłowy dla metody uwierzytelniania kodu QR. Administrator zasad uwierzytelniania może podać niestandardowy numer PIN lub wygenerować numer PIN podczas tworzenia metody uwierzytelniania kodu QR. Mogą skopiować tymczasowy numer PIN tylko wtedy, gdy go wygenerują. Numer PIN jest następnie maskowany, aby zapobiec narażeniu.
Stany użyteczności standardowego kodu QR, tymczasowego kodu QR i numeru PIN metody uwierzytelniania kodu QR nie są ze sobą powiązane. Na przykład aktywna metoda uwierzytelniania kodu QR może mieć usunięty lub wygasły standardowy kod QR oraz aktywny tymczasowy kod QR. W dowolnym momencie może istnieć tylko jeden aktywny standardowy kod QR i jeden aktywny tymczasowy kod QR.
W poniższej tabeli wymieniono przykłady kombinacji stanów dla standardowego kodu QR, tymczasowego kodu QR i numeru PIN. Do pomyślnego uwierzytelnienia wymagany jest aktywny kod QR i aktywny numer PIN.
| Standardowy kod QR | Tymczasowy kod QR | Numer PIN dla metody uwierzytelniania kodu QR |
|---|---|---|
| Aktywny | Nie istnieje | Tymczasowy lub zaktualizowany przez użytkownika |
| Aktywny | Aktywny | Tymczasowy lub zaktualizowany przez użytkownika |
| Usunięte | Nie istnieje | Tymczasowy lub zaktualizowany przez użytkownika |
| Wygasłe | Aktywny | Tymczasowy lub zaktualizowany przez użytkownika |
| Wygasłe | Wygasłe | Tymczasowy lub zaktualizowany przez użytkownika |
Aby uzyskać więcej informacji na temat zarządzania kodami QR, zobacz Jak włączyć metodę uwierzytelniania kodu QR w usłudze Microsoft Entra ID (wersja zapoznawcza).
Środowisko logowania użytkownika przy użyciu uwierzytelniania kodu QR
Użytkownicy mogą logować się przy użyciu kodu QR przy użyciu środowiska logowania internetowego lub zoptymalizowanego środowiska logowania aplikacji.
Środowisko logowania do sieci Web dla urządzeń przenośnych
Aby uwierzytelnić użytkowników, możesz użyć środowiska logowania przeglądarki internetowej firmy Microsoft (login.microsoft.com). Użytkownicy mogą kliknąć pozycję Opcje> logowaniaZaloguj się do organizacji>Zaloguj się przy użyciu kodu QR.
Środowisko logowania aplikacji mobilnej
Możesz zoptymalizować logowanie dla aplikacji przy użyciu biblioteki Microsoft Authentication Library (MSAL), aby dodać kod QR jako opcję na stronie logowania. Następnie użytkownicy mogą skanować kod QR przy użyciu dwóch kliknięć. To zoptymalizowane doświadczenie logowania jest dostępne w programach uruchamiających aplikacje BlueFletch i Jamf.
Aby uzyskać więcej informacji na temat optymalizowania środowiska logowania, zobacz:
- Konfigurowanie zoptymalizowanego środowiska uwierzytelniania kodu QR w aplikacji dla systemu Android
- Konfigurowanie zoptymalizowanego środowiska uwierzytelniania kodu QR w aplikacji systemu iOS
Scenariusze użytkownika, które nie są obsługiwane w bieżącej wersji
- Samoobsługowe resetowanie numeru PIN dla użytkowników
- Masowa konfiguracja kodu QR i numeru PIN
- Skanowanie kodu QR za pomocą skanerów kodów kreskowych
- Uwierzytelnianie kodu QR nie działa w przypadku aplikacji klasycznych ani przeglądarek
- Niestandardowy punkt końcowy klienta na potrzeby logowania
- Konfigurowalne zasady ochrony numeru PIN definiujące próg blokady konta, czas trwania lub złożoność numeru PIN
Znany problem
Jeśli włączysz uwierzytelnianie kodu QR dla użytkownika, musi zalogować się przy użyciu istniejącej metody uwierzytelniania, zanim będzie mógł zalogować się przy użyciu kodu QR po raz pierwszy lub zobaczy błąd nieprawidłowego kodu QR .
Przykład:
- Możesz włączyć uwierzytelnianie kodu QR dla użytkownika.
- Użytkownik musi zalogować się przy użyciu hasła lub innej metody logowania.
- W przypadku kolejnych logów mogą się zalogować przy użyciu kodu QR.
Użytkownik musi zalogować się przy użyciu innej metody, ponieważ zasady metody uwierzytelniania użytkownika w pamięci podręcznej nie zostaną zaktualizowane, dopóki użytkownik nie zostanie ponownie uwierzytelniony.