Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
O método de autenticação de código QR permite que os trabalhadores da linha de frente entrem com eficiência em aplicativos em dispositivos compartilhados. Os usuários podem utilizar um código QR exclusivo fornecido e introduzir o PIN para iniciar sessão, eliminando a necessidade de introduzir nomes de usuário e senha complicados. Atualmente, a autenticação de código QR é permitida somente em dispositivos móveis com iOS/iPadOS ou Android.
Antes de habilitar o método de autenticação de código QR, examine as práticas recomendadas para usar controles de segurança para acesso doméstico ou de trabalho para trabalhadores de linha de frente. Para obter mais informações, consulte As práticas recomendadas para proteger os trabalhadores da linha de frente.
O que é autenticação de código QR?
A autenticação de código QR é um método de autenticação simples projetado principalmente para trabalhadores de linha de frente. Ele consiste em um código QR exclusivo e um PIN numérico. O código QR serve como um identificador e é exclusivo para o usuário. Ele pode ser baixado e impresso usando o Centro de administração do Microsoft Entra, Minha Equipe ou Microsoft Graph. Por conveniência, o código QR pode ser anexado a um selo ou a qualquer outro item vestível.
Os Administradores de Autenticação fornecem um PIN temporário para os usuários que, em seguida, alteram-no durante a entrada. Somente o usuário conhece o PIN. Ele é associado exclusivamente ao código QR. Ele não pode ser usado com outros identificadores de usuário, como um nome de usuário ou um número de telefone. A autenticação de código QR é um método de fator único no qual o PIN (algo que você sabe) é uma credencial.
Benefícios da autenticação de código QR
| Benefit | Description |
|---|---|
| Entrada mais fácil e rápida | Os trabalhadores da linha de frente não precisam inserir nomes de usuário ou senhas complexos para entrar várias vezes em dispositivos compartilhados durante todo o turno. |
| Inexpensive | Imprimir um código QR custa menos do que uma chave de hardware, o que pode ser custoso para organizações com funcionários temporários na linha de frente. |
Propriedades de PIN
As políticas a seguir são aplicadas quando um Administrador de Política de Autenticação cria ou redefine um PIN.
| Policy | Values |
|---|---|
| Caracteres permitidos | Números (0-9) |
| Caracteres não permitidos | – Caracteres (A-Z, a-z) - Símbolos (- @ # $ % ^ & * - _ ! + = [ ] { } | \ : ' , . ? / ' ~ " ( ) ; <>) - Caracteres Unicode - Espaço em branco |
| Tamanho do PIN | 8 a 20 dígitos |
| Complexidade do PIN | Imposta para evitar repetições e sequências comuns. Os seguintes padrões são verificados: - Não contenha 0123456789 ou 9876543210. - Não repita uma sequência de 2 a 3 dígitos no PIN, como 121212 ou 123123 ou 342342. Um erro pin inválido será exibido se o PIN incluir caracteres não permitidos ou for menor que o comprimento mínimo do PIN. |
Práticas de segurança recomendadas para implementar com a autenticação de código QR
Recomendamos as seguintes medidas ao habilitar o método de autenticação de código QR, pois ele é uma autenticação de fator único (algo que você sabe).
- A autenticação de código QR é principalmente para FLW (trabalhadores de linha de frente) e não para operadores de informações (IW). Recomendamos autenticação resistente a phishing ou MFA para IW.
- Não habilite a autenticação de código QR para todos os usuários em seu locatário. Habilite somente para usuários de destino que usarão esse método de autenticação, por exemplo, crie um grupo para os trabalhadores da linha de frente e habilite a autenticação de código QR apenas para eles nas políticas de Métodos de Autenticação do Microsoft Entra.
- Combine a autenticação de código QR com políticas de Acesso Condicional como outra camada de segurança. Recomendamos políticas como dispositivos compatíveis, acesso dentro da rede, permissão para determinados aplicativos e modo de dispositivo compartilhado.
- Imponha a autenticação resistente a phishing ou a MFA quando os usuários acessam recursos de fora da loja ou da rede do local de trabalho.
- Substitua códigos QR que são perdidos ou roubados.
- Imponha a política de acesso condicional baseada em risco de entrada para bloquear o acesso.
Configurações de código QR na política de método de autenticação
Os Administradores de Política de Autenticação podem habilitar o código QR em métodos de Autenticação no Centro de administração do Microsoft Entra. A autenticação de código QR está desabilitada por padrão.
Na política de método de autenticação para código QR, você pode configurar:
Tamanho do PIN: 8 a 20 dígitos.
Tempo de vida do código QR padrão: 1 a 395 dias. O padrão é 365 dias. Um Administrador de Política de Autenticação pode alterar o valor padrão ao adicionar um código QR padrão para um usuário.
Por exemplo, um administrador pode definir o valor como 30 dias na política de método de autenticação. Para cada usuário nesse locatário, a expiração padrão de um código QR padrão é de 30 dias. Um administrador pode alterar o tempo de vida padrão do código QR padrão para um usuário específico.
Nesta captura de tela, o comprimento do PIN é definido como o padrão de oito dígitos. O tempo de vida do código QR padrão é reduzido para 200 dias.
Detalhes funcionais do método de autenticação de código QR
Quando um Administrador de Política de Autenticação adiciona o método de autenticação de código QR para um usuário, ele gera um código QR padrão e um PIN. Para criar um código QR temporário, eles precisam editar o método de autenticação de código QR.
Um código QR temporário ajuda quando um usuário esquece de trazer seu selo com código QR padrão. Tem um tempo de vida mais curto, até 12 horas. Quando um método de autenticação de código QR é excluído para o usuário, ele não pode entrar com seus códigos QR e PIN existentes.
Um PIN funciona com códigos QR padrão e temporários porque o PIN é válido para o método de autenticação de código QR. Um Administrador de Política de Autenticação pode fornecer um PIN personalizado ou gerar um PIN ao criar um método de autenticação de código QR. Eles só podem copiar um PIN temporário quando o geram. Em seguida, o PIN é mascarado para evitar a exposição.
Os estados de usabilidade para um código QR padrão, um código QR temporário e o PIN para um método de autenticação de código QR não estão relacionados entre si. Por exemplo, um método de autenticação de código QR ativo pode ter um código QR padrão excluído ou expirado e um código QR temporário ativo. Em qualquer momento específico, pode haver apenas um único código QR padrão ativo e um único código QR temporário ativo.
A tabela a seguir lista exemplos de combinações para os estados para um código QR padrão, um código QR temporário e PIN. Um código QR ativo e um PIN ativo são necessários para autenticação bem-sucedida.
| Código QR padrão | Código QR temporário | PIN para método de autenticação de código QR |
|---|---|---|
| Active | Não existe | Temporário ou atualizado pelo usuário |
| Active | Active | Temporário ou atualizado pelo usuário |
| Deleted | Não existe | Temporário ou atualizado pelo usuário |
| Expired | Active | Temporário ou atualizado pelo usuário |
| Expired | Expired | Temporário ou atualizado pelo usuário |
Para obter mais informações sobre como gerenciar códigos QR, consulte Como habilitar o método de autenticação de código QR na ID do Microsoft Entra.
Experiência de entrada do usuário com autenticação de código QR
Os usuários podem entrar com um código QR usando a experiência de entrada na Web ou uma experiência de entrada otimizada do aplicativo.
Experiência de entrada na Web móvel
Você pode usar a experiência de entrada do navegador da Web da Microsoft (login.microsoft.com) para autenticar usuários. Os usuários podem clicar Opções de entrada>Entrar em uma organização>Entrar com um código QR.
Experiência de entrada do aplicativo móvel
Você pode otimizar a entrada para seus aplicativos usando a MSAL (Biblioteca de Autenticação da Microsoft) para adicionar código QR como uma opção na página de entrada. Em seguida, os usuários podem verificar o código QR com dois cliques a menos. Essa experiência de entrada otimizada está disponível nos inicializadores de aplicativos BlueFletch e Jamf.
Para obter mais informações sobre como otimizar a experiência de entrada ou suprimir o prompt de consentimento da câmera, consulte:
- Configurar a experiência de autenticação de código QR otimizada no aplicativo Android
- Configurar a experiência de autenticação de código QR otimizada no aplicativo iOS
Cenários de usuário sem suporte na versão atual
- Redefinição autônoma de PIN para usuários
- Provisionamento em massa de código QR e PIN
- Verificação de código QR por scanners de código de barras
- A autenticação de código QR não funciona com aplicativos da área de trabalho ou navegadores
- Ponto de acesso personalizado do locatário para logon
- Políticas de proteção de PIN configuráveis que definem o limite de bloqueio da conta, a duração ou a complexidade do PIN
Problema conhecido
Se você habilitar a autenticação de código QR para um usuário, ele precisará entrar com um método de autenticação existente antes que ele possa entrar com um código QR pela primeira vez ou ver um erro de código QR incorreto .
Por exemplo:
- Habilite a autenticação de código QR para um usuário.
- O usuário precisa entrar com sua senha ou outro método de entrada.
- Para logins subsequentes, eles podem acessar com um código QR.
O usuário precisa entrar com outro método porque a política de método de autenticação de usuário armazenada em cache não é atualizada até que o usuário seja autenticado novamente.