Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
O método de autenticação de código QR permite que os trabalhadores da linha de frente entrem de forma eficiente em aplicativos em dispositivos compartilhados. Os utilizadores podem utilizar um código QR único que lhes é fornecido e introduzir o seu PIN para iniciar sessão, eliminando a necessidade de introduzir intrincados nomes de utilizador e palavras-passe. Atualmente, a autenticação por código QR é suportada apenas em dispositivos móveis que executam iOS/iPadOS ou Android.
Antes de habilitar o método de autenticação de código QR, revise as práticas recomendadas para usar controles de segurança para acesso ao trabalho ou em casa para trabalhadores da linha de frente. Para obter mais informações, consulte Práticas recomendadas para proteger os trabalhadores da linha de frente.
O que é a autenticação por código QR?
A autenticação por código QR é um método de autenticação simples projetado principalmente para trabalhadores da linha de frente. É composto por um código QR único e um PIN numérico. O código QR serve como um identificador e é exclusivo para o usuário. Ele pode ser baixado e impresso usando o centro de administração do Microsoft Entra, My Staff ou Microsoft Graph. Por conveniência, o código QR pode ser anexado a um crachá ou qualquer outro item vestível.
Os administradores de autenticação fornecem um PIN temporário aos utilizadores, que o alteram durante o início de sessão. Apenas o utilizador conhece o PIN. Está exclusivamente ligado ao código QR. Ele não pode ser usado com outros identificadores de usuário, como um nome de usuário ou número de telefone. A autenticação por código QR é um método de fator único no qual o PIN (algo que você sabe) é uma credencial.
Benefícios da autenticação por código QR
| Benefício | Descrição |
|---|---|
| Início de sessão mais fácil e rápido | Os trabalhadores da linha de frente não precisam inserir nomes de usuário ou senhas complexas para entrar várias vezes em dispositivos compartilhados durante o turno. |
| Barato | Imprimir um código QR custa menos do que uma chave de hardware, o que pode ser proibitivo em termos de custo para organizações com trabalhadores temporários da linha de frente. |
Propriedades do PIN
As políticas a seguir são aplicadas quando um Administrador de Política de Autenticação cria ou redefine um PIN.
| Política | Valores |
|---|---|
| Caracteres permitidos | Números (0-9) |
| Caracteres não permitidos | - Personagens (A-Z, a-z) - Símbolos (- @ # $ % ^ & * - _ ! + = [ ] { } | \ : ' , . ? / ' ~ " ( ) ; <>) - Caracteres Unicode - Espaço em branco |
| Comprimento do PIN | 8-20 dígitos |
| Complexidade do PIN | Implementado de forma rigorosa para evitar repetições e sequências comuns. Os seguintes padrões são verificados: - Não contenha 0123456789 ou 9876543210. - Não repita uma sequência de 2-3 dígitos no PIN, como 121212, ou 123123 ou 342342. Um erro PIN inválido será exibido se o PIN incluir caracteres não permitidos ou for menor que o comprimento mínimo do PIN. |
Melhores práticas de segurança para implementar com autenticação de código QR
Recomendamos as seguintes medidas quando você habilita o método de autenticação de código QR, pois é uma autenticação de fator único (algo que você sabe).
- A autenticação de código QR é principalmente para trabalhadores da linha de frente (FLW) e não para trabalhadores da informação (IW). Recomendamos autenticação resistente a phishing ou MFA para IW.
- Não habilite a autenticação de código QR para todos os usuários em seu locatário. Habilite apenas para usuários de destino que usarão esse método de autenticação, por exemplo, crie um grupo para trabalhadores da linha de frente e habilite a autenticação de código QR somente para eles nas políticas de Métodos de Autenticação do Microsoft Entra.
- Combine a autenticação de código QR com políticas de Acesso Condicional como outra camada de segurança. Recomendamos políticas como dispositivos compatíveis, acesso dentro da rede, permitir determinados aplicativos e modo de dispositivo compartilhado.
- Imponha autenticação ou MFA resistente a phishing quando os usuários acessam recursos de fora da loja ou da rede do local de trabalho.
- Substitua códigos QR perdidos ou roubados.
- Imponha a política de Acesso Condicional baseada no risco de início de sessão para bloquear o acesso.
Configurações de código QR na política de método de autenticação
Os administradores de políticas de autenticação podem ativar o código QR em Métodos de autenticação no centro de administração do Microsoft Entra. A autenticação de código QR está desativada por padrão.
Na política de método de autenticação para código QR, você pode configurar:
Comprimento do código PIN: 8-20 dígitos.
Vida útil do código QR padrão: 1-395 dias. O padrão é 365 dias. Um administrador de política de autenticação pode alterar o valor padrão quando adiciona um código QR padrão para um usuário.
Por exemplo, um administrador pode definir o valor como 30 dias na política de método de autenticação. Para cada usuário nesse locatário, a expiração padrão de um código QR padrão é de 30 dias. Um administrador pode alterar o tempo de vida padrão do código QR padrão para um usuário específico.
Nesta captura de tela, o comprimento do PIN é definido como padrão de oito dígitos. A vida útil do código QR padrão é reduzida para 200 dias.
Detalhes funcionais do método de autenticação de código QR
Quando um Administrador de Política de Autenticação adiciona o método de autenticação de código QR para um usuário, ele gera um código QR padrão e PIN. Para criar um código QR temporário, eles precisam editar o método de autenticação do código QR.
Um código QR temporário ajuda quando um usuário se esquece de trazer seu crachá com código QR padrão. Tem uma vida útil mais curta, até 12 horas. Quando um método de autenticação de código QR é excluído para o usuário, ele não pode entrar com seus códigos QR e PIN existentes.
Um PIN funciona com códigos QR padrão e temporários porque o PIN é válido para o método de autenticação do código QR. Um administrador de política de autenticação pode fornecer um PIN personalizado ou gerar um PIN quando cria um método de autenticação de código QR. Eles podem copiar um PIN temporário somente quando o geram. O PIN é então mascarado para evitar a exposição.
Os estados de usabilidade para um código QR padrão, um código QR temporário e o PIN para um método de autenticação de código QR não estão relacionados entre si. Por exemplo, um método de autenticação de código QR ativo pode ter um código QR padrão excluído ou expirado e um código QR temporário ativo. Em qualquer momento, pode haver apenas um único código QR padrão ativo e um único código QR temporário ativo.
A tabela a seguir lista exemplos de combinações para os estados de um código QR padrão, um código QR temporário e PIN. Um código QR ativo e um PIN ativo são necessários para uma autenticação bem-sucedida.
| Código QR padrão | Código QR temporário | PIN para método de autenticação de código QR |
|---|---|---|
| Ativo | Não existe | Temporário ou atualizado pelo usuário |
| Ativo | Ativo | Temporário ou atualizado pelo usuário |
| Suprimido | Não existe | Temporário ou atualizado pelo usuário |
| Expirado | Ativo | Temporário ou atualizado pelo usuário |
| Expirado | Expirado | Temporário ou atualizado pelo usuário |
Para obter mais informações sobre como gerenciar códigos QR, consulte Como habilitar o método de autenticação de código QR no Microsoft Entra ID (Visualização).
Experiência de login do usuário com autenticação de código QR
Os utilizadores podem iniciar sessão com um código QR utilizando a experiência de início de sessão na Web ou uma experiência de início de sessão otimizada na aplicação.
Experiência de início de sessão na Web móvel
Pode utilizar a experiência de início de sessão (login.microsoft.com) do browser da Microsoft para autenticar utilizadores. Os utilizadores podem clicar opções Iniciar sessão>Iniciar sessão numa organização>Iniciar sessão com um código QR.
Experiência de início de sessão na aplicação móvel
Pode otimizar o início de sessão para as suas aplicações utilizando a Biblioteca de Autenticação da Microsoft (MSAL) para adicionar código QR como uma opção na página de início de sessão. Em seguida, os usuários podem digitalizar o código QR com dois cliques a menos. Esta experiência de início de sessão otimizada está disponível nos lançadores de aplicações BlueFletch e Jamf.
Para obter mais informações sobre como otimizar a experiência de entrada, consulte:
- Configure a experiência otimizada de autenticação de código QR no aplicativo Android
- Configure a experiência otimizada de autenticação de código QR no aplicativo iOS
Cenários de usuário sem suporte na versão atual
- Redefinição do PIN de autoatendimento para usuários
- Fornecimento em massa de código QR e PIN
- Digitalização de códigos QR usando leitores de código de barras
- A autenticação de código QR não funciona com aplicativos de desktop ou navegadores
- Endpoint personalizado de inquilino para iniciar sessão
- Políticas configuráveis de proteção por PIN que definem o limite, a duração ou a complexidade do PIN de bloqueio de conta
Problema conhecido
Se você habilitar a autenticação de código QR para um usuário, ele precisará entrar com um método de autenticação existente antes de poder entrar com um código QR pela primeira vez, ou verá um erro de código QR incorreto .
Por exemplo:
- Você ativa a autenticação de código QR para um usuário.
- O utilizador tem de iniciar sessão com a respetiva palavra-passe ou outro método de início de sessão.
- Para sessões subsequentes, eles podem iniciar sessão com um código QR.
O usuário precisa entrar com outro método porque a política de método de autenticação de usuário armazenado em cache não é atualizada até que o usuário seja autenticado novamente.