Como habilitar o método de autenticação de código QR na ID do Microsoft Entra

Este tópico aborda como habilitar o método de autenticação de código QR na política de métodos de autenticação na ID do Microsoft Entra. Ele também aborda como gerenciar o método de autenticação de código QR para os usuários e como eles podem entrar com um código QR e PIN.

Antes de habilitar o método de autenticação de código QR, examine as práticas recomendadas para usar controles de segurança para acesso doméstico ou de trabalho para trabalhadores de linha de frente. Para obter mais informações, consulte As práticas recomendadas para proteger os trabalhadores da linha de frente.

Pré-requisitos para habilitar o método de autenticação de código QR

• Uma assinatura ativa do Azure.
  • Se você não tiver uma assinatura do Azure, crie uma conta.
• Um locatário do Microsoft Entra associado à sua assinatura.
  • Se necessário, crie um inquilino do Microsoft Entra ou associe uma assinatura do Azure à sua conta.
• Você precisa, pelo menos, da função administrador de política de autenticação em seu locatário do Microsoft Entra para habilitar o método de autenticação de código QR.
• Cada usuário habilitado na política de método de autenticação de código QR deve ser licenciado, mesmo que não a use. Cada usuário habilitado deve ter uma das seguintes licenças do Microsoft Entra ID, EMS e Microsoft 365:
  • Microsoft 365 F1 ou F3
  • Microsoft Entra ID P1 ou P2
  • Enterprise Mobility + Security (EMS) E3 ou E5 ou Microsoft 365 E3 ou E5
  • Office 365 F3
• Dispositivos compartilhados Android, iOS ou iPadOS (iOS/iPadOS versão 15.0 ou posterior).
• Modo de dispositivo compartilhado habilitado nos dispositivos compartilhados (opcional, mas altamente recomendado).
• Uma impressora para imprimir códigos QR de 2" x 2".
• Para acessar a autenticação de código QR no Teams, o aplicativo teams instalado no dispositivo compartilhado exigiria estas versões: Android versão 1.0.0.2024143204 ou posterior e iOS versão 1.0.0.77.2024132501 ou posterior.
• Habilite e configure o portal Minha Equipe se você planeja que os gerentes de linha de frente usem Minha Equipe para provisionar, gerenciar e redefinir código QR e PINs.

Habilitar o método de autenticação de código QR

Você pode habilitar o método de autenticação de código QR usando o Centro de administração do Microsoft Entra ou a API do Microsoft Graph.

Habilitar o método de autenticação de código QR no Centro de administração do Microsoft Entra

1. Entre no Centro de administração do Microsoft Entra como pelo menos um Administrador de Política de Autenticação.

2. Vá para Entra ID>métodos de Autenticação>Políticas.

3. Clique em QR code>Habilitar e direcionar>Adicionar Destino>, selecione um grupo de usuários que precisam entrar com um código QR.

   

4. Atualize as configurações de código QR padrão conforme necessário:

   • Por padrão, o comprimento do PIN é de 8 dígitos. O comprimento do PIN pode ser de 8 a 20 dígitos. Se você aumentar o comprimento do PIN, o novo valor se tornará o número mínimo de dígitos necessários para o PIN. Por exemplo, se você aumentar o comprimento do PIN para 10, um usuário precisará fornecer um PIN de 10 dígitos durante a próxima entrada.
   • O tempo de vida padrão de um código QR padrão (fornecido aos usuários para uso a longo prazo) é de 365 dias. O intervalo é entre 1 e 395 dias. Você pode alterar o tempo de vida de um código QR padrão para um usuário específico ao adicionar o método de autenticação de código QR para eles.

   

5. Quando terminar, clique em Salvar.

Habilitar o método de autenticação de código QR na API do Microsoft Graph

Este exemplo habilita a autenticação de código QR para um grupo, com um comprimento pin de 10 dígitos e um tempo de vida de código QR Padrão de 395 dias:

• Pedir

  PATCH https://graph.microsoft.com/beta/policies/authenticationMethodsPolicy/authenticationMethodConfigurations/qrCodePin
  {
    "@odata.type" : "microsoft.graph.qrCodePinAuthenticationMethodConfiguration", 
    "id": "qrCodePin", 
    "state": "enabled", 
    "includeTargets": [{ 
      "targetType": "group", 
      "id": "b185b746-e7db-4fa2-bafc-69ecf18850dd", 
      }], 
    "excludeTargets": [], 
    "standardQRCodeLifetimeInDays":395,
    "pinLength": 10
  }
  

• Resposta

  204 No Response
  

Adicionar método de autenticação de código QR para um usuário

Você pode adicionar um método de autenticação de código QR para um usuário usando o Centro de administração do Microsoft Entra, Minha Equipe ou a API do Microsoft Graph. Por vez, apenas um método de autenticação de código QR ativo é permitido. O código QR padrão é gerado durante 'Adicionar método de autenticação'. Você pode adicionar código QR temporário, que é de curta duração, se o usuário não estiver carregando código QR Padrão. Você pode excluir um código QR Padrão/Temporário para adicionar um novo código QR Padrão/Temporário. Um usuário pode ter apenas um código QR Standard e um temporário ativo a qualquer momento.

Adicionar método de autenticação de código QR para um usuário no Centro de administração do Microsoft Entra

1. Entre no Centro de administração do Microsoft Entra como pelo menos um Administrador de Autenticação.

2. Vá para Usuários, selecione um usuário e clique em Métodos de Autenticação.

3. Clique em Adicionar método de autenticação e escolha código QR.

   

4. Modifique a data de validade do usuário, se necessário. Defina o tempo de ativação como agora ou posterior. Forneça ou gere um PIN temporário. O PIN personalizado só pode ser especificado quando você adiciona o método de autenticação de código QR. Um PIN é gerado automaticamente durante eventos de redefinição. Quando estiver pronto, clique em Adicionar para adicionar o método de autenticação de código QR para o usuário.

   

5. Salve o PIN e clique em Baixar imagem para baixar e imprimir o código QR. O download da imagem de código QR tem o menor tamanho de impressão ideal. Se você reduzir o tamanho do código QR, ele poderá afetar o desempenho da verificação de código QR.

   Você não pode regenerar o mesmo código QR porque ele tem um segredo exclusivo. Se o código QR não puder funcionar por algum motivo, exclua-o. Crie um novo código QR para o usuário.

   

6. Depois de adicionar o método de autenticação de código QR, ele aparecerá como um método de autenticação utilizável para o usuário.

   

Adicionar o método de autenticação de código QR para um usuário em Minha Equipe

1. Entre no portal Minha Equipe como um gerente de linha de frente. Selecione uma unidade administrativa e um trabalhador da linha de frente.

   

   

2. Clique em Gerenciar método de autenticação de código QR.

   

3. Clique em Adicionar método de código QR.

   

4. Especifique a data de expiração e ativação e clique em Adicionar para gerar um código QR e PIN para o usuário.

   

5. Salve o PIN, baixe ou imprima o código QR e clique em Concluído. O download da imagem de código QR tem o menor tamanho de impressão ideal. Se você reduzir o tamanho, o código QR será difícil de escanear. Você não pode regenerar o mesmo código QR porque ele tem um segredo exclusivo. Se o código QR não puder funcionar por algum motivo, exclua-o. Crie um novo código QR para o usuário.

   

Adicionar método de autenticação de código QR para um usuário na API do Microsoft Graph

Este exemplo adiciona o método de autenticação de código QR para um usuário:

• Pedir

  HTTP PUT/users/{id | userPrincipalName}/authentication/qrCodePinMethod
  
  
  {
    "standardQRCode": {
      "expireDateTime": "2024-12-30T12:00:00Z",
      "startDateTime": "2024-10-30T12:00:00Z"
    },
    "pin": {
      "code": "<PIN>"
    }
  }
  

• Resposta

  HTTP/1.1 201 Created
  Location: /beta/users/aaaaaaaa-bbbb-cccc-1111-222222222222/authentication/qrCodePinMethod`
  Content-type: application/json
  
  {
    "standardQRCode": {
      "id": "BBBBBBBB-1C1C-2D2D-3E3E-444444444444"
      "expireDateTime": "2024-12-30T12:00:00Z",
      "startDateTime": "2024-10-30T12:00:00Z"
      "createdDateTime": "2024-10-30T12:00:00Z",
      "lastUsedDateTime": null,
       "image":
          {
    "binaryValue": "<binaryImageData>",
           "version": 1,
           "errorCorrectionLevel": "H".
           "rawContent": <binary data encoded in QR>        
    }
      },
    "temporaryQRCode": null,
    "pin": {
      "code": "<PIN>",
      "isForcePinChangeRequired": true,
      "createdDateTime": "2024-10-30T12:00:00Z",
      "updatedDateTime": null
    }  
  }
  

Este exemplo confirma se o método de autenticação de código QR é adicionado para o usuário:

• Pedir

  GET https://graph.microsoft.com/beta/users/flokreg@contoso.com/authentication/qrCodePinMethod`
  

• Resposta

  HTTP/1.1 200 OK
  Content-type: application/json
  
  {
    "id": "<id>",
    "standardQRCode": {
      "id": "BBBBBBBB-1C1C-2D2D-3E3E-444444444444"
      "image": null,
      "expireDateTime": "2024-12-30T12:00:00Z",
      "startDateTime": "2024-10-30T12:00:00Z"
      "createdDateTime": "2024-10-30T12:00:00Z",
      "lastUsedDateTime": "2024-12-30T12:00:00Z"
    },
    "temporaryQRCode": {
      "id": "CCCCCCCC-2D2D-3E3E-4F4F-555555555555"
      "image": null,
      "expireDateTime": "2024-12-30T12:00:00Z",
      "startDateTime": "2024-10-30T12:00:00Z"
      "createdDateTime": "2024-10-30T12:00:00Z",
      "lastUsedDateTime": "2024-12-30T12:00:00Z"
    },
    "pin": {
      "code": null,
      "isForcePinChangeRequired": false,
      "createdDateTime": "2024-10-30T12:00:00Z",
      "updatedDateTime": "2024-11-30T12:00:00Z"
    }
  }
  
  

Editar o método de autenticação de código QR para um usuário

Você pode editar o método de autenticação de código QR para um usuário usando o Centro de administração do Microsoft Entra, Minha Equipe ou API do Microsoft Graph.

Editar o método de autenticação de código QR para um usuário no Centro de administração do Microsoft Entra

• Navegue até os métodos de autenticação utilizáveis para um usuário e clique em Editar para editar as propriedades do método de autenticação de código QR.

  

• Altere o tempo de expiração do código QR padrão e clique em Salvar. Depois de fazer edições, clique em Concluído.

  

• Exclua um código QR padrão. Talvez você queira excluir o código QR padrão se ele for relatado como expirado, comprometido ou roubado.

  

  Depois de excluir o código QR padrão, clique no símbolo de adição (+) para adicionar um novo código QR padrão para o usuário. O código QR excluído não é mais válido para logon.

  Você precisa imprimir e distribuir o novo código QR para o usuário. O usuário pode continuar a usar o PIN existente.

  

• Redefinir o PIN. Se você precisar redefinir um PIN de usuário, gere um temporário e distribua-o ao usuário. O usuário precisará alterar o PIN temporário no próximo acesso. Clique no ícone de lápis após o PIN mascarado. Clique em Gerar novo PIN para criar um PIN temporário. Clique em OK para confirmar se o usuário é forçado a alterar o PIN temporário quando entrar na próxima vez. Copie o PIN temporário e compartilhe-o com o usuário.

  

• Adicione ou exclua um código QR temporário. Um código QR temporário reduz a sobrecarga do administrador de provisionar e desprovisionar o código QR em um crachá se um usuário não trouxer seu crachá para o trabalho. Também reduz o estresse de reter o código QR após a mudança. Um código QR temporário tem um tempo de vida de 1 a 12 horas e pode ser ativado instantaneamente ou posterior. Para desprovisionar o código QR, você pode excluir o código QR temporário ou deixá-lo expirar, pois ele é inutilizável após a expiração.

  

  

Editar o método de autenticação de código QR para um usuário em Minha Equipe

• Para editar a data de validade de um código QR padrão, clique em Editar. Edite a data de validade e salve as alterações.

  

• Para excluir um código QR padrão, clique em Excluir e confirme a ação.

  

• Para adicionar um novo código QR padrão, clique em Adicionar novo ao lado do código QR padrão.

  

  Selecione a hora de ativação e a data de validade do código QR e clique em Adicionar.

  

  Baixe ou imprima o código QR e clique em Concluído.

  

• Para adicionar um código QR temporário, clique em Adicionar novo ao lado do código QR temporário. Especifique o tempo de vida em horas e a data de ativação e clique em Adicionar.

  

  Baixe ou imprima o código QR e clique em Concluído.

  

• Para redefinir um PIN, clique em Redefinir PIN.

  

  Clique em Copiar PIN para copiar o PIN para sua área de transferência.

  

Editar o método de autenticação de código QR para um usuário na API do Microsoft Graph

Este exemplo mostra como excluir o código QR padrão de um usuário caso ele perca o crachá e criar um novo código QR padrão. O usuário não precisa alterar o PIN.

Excluir um código QR padrão:

• Pedir

  DELETE https://graph.microsoft.com/beta/users/flokreg@contoso.com/authentication/qrCodePinMethod/standardQRCode`
  

• Resposta

  HTTP/1.1 204 No Content
  

Crie um código QR padrão:

• Pedir

  HTTP PATCH/users/{id | userPrincipalName}/authentication/qrCodePinMethod/standardQRCode`
  
  
  {
      "startDateTime": "2024-10-30T12:00:00Z",
      "expireDateTime": "2024-12-30T12:00:00Z"
  }
  

• Resposta

  HTTP/1.1 201 Created
  Location: /beta/users/aaaaaaaa-bbbb-cccc-1111-222222222222/authentication/qrCodePinMethod/standardQRCode`
  Content-type: application/json
  
  {
      "id": "BBBBBBBB-1C1C-2D2D-3E3E-444444444444"
      "expireDateTime": "2024-12-30T12:00:00Z",
      "startDateTime": "2024-10-30T12:00:00Z"
      "createdDateTime": "2024-10-30T12:00:00Z",
      "lastUsedDateTime": null,
       "image":
          {
    "binaryValue": "<binaryImageData>",
           "version": 1,
           "errorCorrectionLevel": "H".
           "rawContent": <binary data encoded in QR>        
    }
    }
  
  

Obtenha um código QR padrão:

• Pedir

  GET https://graph.microsoft.com/beta/users/{id|UPN}/authentication/qrCodePinMethod/standardQRCode`
  

• Resposta

  HTTP/1.1 200 OK
  Content-type: application/json
  
  {
      "id": "BBBBBBBB-1C1C-2D2D-3E3E-444444444444",
      "image": null,
      "expireDateTime": "2024-12-30T12:00:00Z",
      "startDateTime": "2024-10-30T12:00:00Z"
      "createdDateTime": "2024-10-30T12:00:00Z",
      "lastUsedDateTime": "2024-12-30T12:00:00Z"
  }
  
  

Este exemplo mostra como criar um código QR temporário para um usuário. O usuário pode usar o PIN existente. Essa operação retornará um erro se já existir um código QR temporário para o usuário ou se o expireDateTime tiver mais de 12 horas após o startDateTime.

• Pedir

  HTTP PATCH/users/{id | userPrincipalName}/authentication/qrCodePinMethod/temporaryQRCode`
  
  
  {
      "startDateTime": "2024-10-30T12:00:00Z",
      "expireDateTime": "2024-10-30T22:00:00Z"
  }
  

• Resposta

  HTTP/1.1 201 Created
  Location: /beta/users/aaaaaaaa-bbbb-cccc-1111-222222222222/authentication/qrCodePinMethod/temporaryQRCode`
  Content-type: application/json
  
  {
      "id": "EEEEEEEE-4F$F-5A5A-6B6B-777777777777"
      "expireDateTime": "2024-10-30T22:00:00Z",
      "startDateTime": "2024-10-30T12:00:00Z"
      "createdDateTime": "2024-10-30T12:00:00Z",
      "lastUsedDateTime": null,
       "image":
          {
    "binaryValue": "<binaryImageData>",
           "version": 1,
           "errorCorrectionLevel": "H".
           "rawContent": <binary data encoded in QR>        
    }
    }
  
  
  

Obtenha um código QR temporário:

• Pedir

  GET https://graph.microsoft.com/beta/users/{id|UPN}/authentication/qrCodePinMethod/temporaryQRCode`
  

• Resposta

  HTTP/1.1 200 OK
  Content-type: application/json
  
  {
      "id": "EEEEEEEE-4F$F-5A5A-6B6B-777777777777",
      "image": null,
      "expireDateTime": "2024-10-30T22:00:00Z",
      "startDateTime": "2024-10-30T12:00:00Z"
      "createdDateTime": "2024-10-30T12:00:00Z",
      "lastUsedDateTime": "2024-10-30T20:00:00Z"
  }
  
  

Este exemplo mostra como excluir um código QR temporário para um usuário.

• Pedir

  DELETE https://graph.microsoft.com/beta/users/flokreg@contoso.com/authentication/qrCodePinMethod/temporaryQRCode`
  

• Resposta

  HTTP/1.1 204 No Content
  

Este exemplo mostra como redefinir o PIN de um método de autenticação de código QR:

• Pedir

  PATCH https://graph.microsoft.com/beta/users/flokreg@contoso.com/authentication/qrCodePinMethod/pin`
  

• Resposta

  {
    "code": <PIN>,
    "forceChangePinNextSignIn": true,
    "createdDateTime": "2024-10-30T12:00:00Z",
    "updatedDateTime": null
  }
  

Este exemplo mostra como forçar um usuário a alterar seu PIN para um método de autenticação de código QR:

• Pedir

  PATCH https://graph.microsoft.com/beta/users/flokreg@contoso.com/authentication/qrCodePinMethod/updatePin`
  
  {
    "currentPin": "<Old PIN>",
    "newPin": "<New PIN>"
  }
  

• Resposta

  HTTP/1.1 204 No Content
  

Excluir o método de autenticação de código QR para um usuário

Você pode excluir o método de autenticação de código QR para um usuário usando o Centro de administração do Microsoft Entra, Minha Equipe ou API do Microsoft Graph.

Excluir o método de autenticação de código QR para um usuário no Centro de administração do Microsoft Entra

Se um método de autenticação de código QR for excluído para um usuário, ele não poderá mais entrar usando esse método de autenticação.

1. Entre no Centro de administração do Microsoft Entra como pelo menos um Administrador de Autenticação.

2. Vá para Usuários, selecione um usuário e clique em Métodos de Autenticação.

3. Em métodos de autenticação utilizáveis, clique nas reticências no lado direito do código QR e clique em Excluir.

   

Excluir o método de autenticação de código QR para um usuário em Minha Equipe

1. Para excluir o método de autenticação de código QR em si, clique em Excluir método de código QR.

   

2. Clique em Excluir para confirmar a ação.

   

Excluir o método de autenticação de código QR para um usuário na API do Microsoft Graph

Este exemplo mostra como excluir um código QR padrão para um usuário.

• Pedir

  DELETE https://graph.microsoft.com/beta/users/flokreg@contoso.com/authentication/qrCodePinMethod/standardQRCode`
  

• Resposta

  HTTP/1.1 204 No Content
  

Entrar no Microsoft Teams ou MHS (Tela Inicial Gerenciada) com código QR

O Microsoft Teams e o MHS (Managed Home Screen) têm uma experiência de entrada de código QR otimizada. Um Administrador de Política de Autenticação precisa configurar o Intune ou outra solução de MDM (gerenciamento de dispositivo móvel) para habilitar o método de autenticação de código QR para dispositivos móveis.

Habilitar a entrada com um código QR no Teams ou no MHS

Ao configurar com o Intune, atribua o Microsoft Authenticator como um aplicativo necessário para todos os dispositivos aos quais você deseja adicionar a autenticação de código QR.

Plataforma	Chave de configuração do aplicativo MDM	Valor	Local de configuração
iOS	configuração_de_autenticação_preferida	qrpin	Perfil de gerenciamento de dispositivo, que configura uma extensão de SSO (logon único)
Android	configuração_de_autenticação_preferida	qrpin	Microsoft Authenticator

Observação

O MHS só está disponível em dispositivos Android.

Experiência de autenticação por código QR na entrada do Teams

Os usuários precisam baixar o Teams. A tabela a seguir lista a versão mínima do Teams para sistemas operacionais móveis. Para obter mais informações sobre as versões do Teams, consulte o histórico de atualizações de versão para o aplicativo novo e clássico do Microsoft Teams.

SO móvel	Data de lançamento	Versão do Teams
iOS e iPadOS	21 de julho de 2024	6.13.1 (1.0.0.77.2024132501)
Android	08 de agosto de 2024	1416/1.0.0.2024143204 (2024143204)

Os usuários podem seguir estas etapas para entrar com um código QR no Teams:

1. Clique em Examinar código QR no Microsoft Teams.

2. Leia o código QR. Dê consentimento se for solicitada a permissão da câmera.

3. Insira seu PIN.

4. Agora você está conectado ao aplicativo.

   

5. Quando você entra com um PIN temporário, precisa alterá-lo.

   

Experiência de acesso na web com autenticação por código QR (login.microsoftonline.com)

1. Clique em Mais opções> de entradaPara entrar em uma organização>, entre com o código QR.

2. Permita que a câmera, quando solicitado, escaneie o código QR, insira seu PIN, e você estará conectado com sucesso.

   

Adicionar segurança com autenticação de código QR usando políticas de Acesso Condicional

Restrinja o método de autenticação por código QR apenas aos trabalhadores de linha de frente, dispositivos em conformidade e dispositivos compartilhados. Esta seção aborda como criar políticas que restringem o método de autenticação de código QR apenas para trabalhadores de linha de frente e dispositivos compartilhados.

Restringir a autenticação de código QR aos trabalhadores da linha de frente

1. Entre no Centro de administração do Microsoft Entra como pelo menos um Administrador de Política de Autenticação.

2. Navegue até Entra ID>Métodos de Autenticação>QR code>Habilitar e direcionar.

3. Clique em Adicionar destino>, selecione um grupo que inclua apenas os trabalhadores da linha de frente, como os trabalhadores da linha de frente na captura de tela a seguir. Essa seleção de grupo restringe a habilitação do método de autenticação de código QR apenas para os trabalhadores da linha de frente adicionados ao grupo de trabalhadores da linha de frente .

   

Restringir a autenticação de código QR a dispositivos compartilhados

1. Entre no Centro de administração do Microsoft Entra como administrador de acesso condicional.

2. Clique em Acesso Condicional>Forças de autenticação>Nova força de autenticação.

   

3. Crie uma política de Acesso condicional de força de autenticação personalizada. Selecione código QR de autenticação.

4. Crie uma política de Acesso Condicional que exija que os dispositivos compartilhados sejam marcados como compatíveis com políticas do Intune ou de outra solução de MDM. Essa política garante que os trabalhadores da linha de frente possam acessar apenas recursos específicos de um dispositivo compartilhado em conformidade no qual eles fizeram login com um código QR.

   1. Em Usuários ou identidades de carga de trabalho>Incluir> selecione Usuários e grupos e escolha o grupo de trabalhadores de linha de frente do Trabalhador na linha de frente.

   2. Em Recursos de destino, selecione recursos específicos que os trabalhadores da linha de frente podem acessar.

   3. Em Condições, clique em Filtrar para dispositivos, defina Configurar como Sim.

   4. Clique em Incluir dispositivos filtrados na política.

   5. Para Propriedade, selecione ProfileType.

   6. Em Operador, selecione É igual a.

   7. Para Valor, selecione Compartilhado.

      

   8. Em Controles de acesso>Conceder>, selecione Exigir que o dispositivo seja marcado como compatível e clique em Selecionar.

   9. Clique em Criar.

Conteúdo relacionado

• Métodos de autenticação no Microsoft Entra ID – método de autenticação de código QR
• Gerenciar seus usuários com Minha Equipe
• Quais métodos de autenticação e verificação estão disponíveis na ID do Microsoft Entra?