Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Este tópico aborda como habilitar o método de autenticação de código QR na política de métodos de autenticação no Microsoft Entra ID. Ele também aborda como gerenciar o método de autenticação de código QR para usuários e como eles podem entrar com um código QR e PIN.
Antes de habilitar o método de autenticação de código QR, revise as práticas recomendadas para usar controles de segurança para acesso ao trabalho ou em casa para trabalhadores da linha de frente. Para obter mais informações, consulte Práticas recomendadas para proteger os trabalhadores da linha de frente.
Pré-requisitos para habilitar o método de autenticação de código QR
- Uma assinatura ativa do Azure.
- Se você não tiver uma assinatura do Azure, crie uma conta.
- Uma entidade do Microsoft Entra associada à sua subscrição.
- Se necessário, crie um tenant do Microsoft Entra ou associe uma subscrição do Azure à sua conta.
- Você precisa de pelo menos da função Administrador de Política de Autenticação no seu tenant do Microsoft Entra para habilitar o método de autenticação de código QR.
- Cada usuário habilitado na política de método de autenticação de código QR deve ser licenciado, mesmo que não o use. Cada usuário habilitado deve ter uma das seguintes licenças Microsoft Entra ID, EMS, Microsoft 365:
- Dispositivos partilhados Android, iOS ou iPadOS (iOS/iPadOS versão 15.0 ou posterior).
- Modo de dispositivo compartilhado ativado nos dispositivos compartilhados (opcional, mas altamente recomendado).
- Uma impressora para imprimir códigos QR de 2" x 2".
- Para acessar a autenticação de código QR no Teams, o aplicativo Teams instalado no dispositivo compartilhado exigiria as seguintes versões: Android versão 1.0.0.2024143204 ou posterior e iOS versão 1.0.0.77.2024132501 ou posterior.
- Habilite e configure o portal Minha Equipe se você planeja que os gerentes da linha de frente usem Minha Equipe para provisionar, gerenciar e redefinir o código QR e os PINs.
Ativar método de autenticação de código QR
Você pode habilitar o método de autenticação de código QR usando o centro de administração do Microsoft Entra ou a API do Microsoft Graph.
Ativar o método de autenticação de código QR no centro de administração do Microsoft Entra
Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Política de Autenticação .
Vá para Entra ID>Métodos de autenticação>Políticas.
Clique código QR>Ativar e direcionar>Adicionar destino> selecionar um grupo de utilizadores que precisam iniciar sessão com um código QR.
Atualize as configurações padrão do código QR conforme necessário:
- Por padrão, o comprimento do PIN é de 8 dígitos. O comprimento do PIN pode ser de 8 a 20 dígitos. Se você aumentar o comprimento do PIN, o novo valor se tornará o número mínimo de dígitos necessário para o PIN. Por exemplo, se você aumentar o comprimento do PIN para 10, um usuário precisará fornecer um PIN de 10 dígitos durante o próximo login.
- A vida útil padrão de um código QR padrão (fornecido aos usuários para uso a longo prazo) é de 365 dias. O intervalo é entre 1-395 dias. Você pode alterar o tempo de vida de um código QR padrão para um usuário específico ao adicionar o método de autenticação do código QR para eles.
Quando terminar, clique em Salvar.
Habilitar o método de autenticação de código QR na API do Microsoft Graph
Este exemplo habilita a autenticação de código QR para um grupo, com um comprimento de PIN de 10 dígitos e uma vida útil de código QR padrão de 395 dias:
Pedido
PATCH https://graph.microsoft.com/beta/policies/authenticationMethodsPolicy/authenticationMethodConfigurations/qrCodePin { "@odata.type" : "microsoft.graph.qrCodePinAuthenticationMethodConfiguration", "id": "qrCodePin", "state": "enabled", "includeTargets": [{ "targetType": "group", "id": "b185b746-e7db-4fa2-bafc-69ecf18850dd", }], "excludeTargets": [], "standardQRCodeLifetimeInDays":395, "pinLength": 10 }resposta
204 No Response
Adicionar método de autenticação de código QR para um usuário
Você pode adicionar um método de autenticação de código QR para um usuário usando o centro de administração do Microsoft Entra, Minha equipe ou a API do Microsoft Graph. De cada vez, apenas um método de autenticação de código QR ativo é permitido. O código QR padrão é gerado durante 'Adicionar método de autenticação'. Você pode adicionar código QR temporário, que é de curta duração, se o usuário não estiver carregando o código QR padrão. Você pode excluir o código QR padrão/temporário para adicionar um novo código QR padrão/temporário. Um usuário pode ter apenas um código QR padrão e um código QR temporário ativo a qualquer momento.
Adicionar método de autenticação de código QR para um usuário no centro de administração do Microsoft Entra
Entre no centro de administração do Microsoft Entra como pelo menos um administrador de autenticação .
Vá para Utilizadores, selecione um utilizador e clique em Métodos de autenticação.
Clique Adicionar método de autenticação e escolha código QR.
Modifique a data de expiração para o usuário, se necessário. Defina Hora de ativação para agora ou mais tarde. Forneça ou gere um PIN temporário. O PIN personalizado pode ser especificado somente quando você adiciona o método de autenticação de código QR. Um PIN é gerado automaticamente durante eventos de redefinição. Quando estiver pronto, clique Adicionar para adicionar o método de autenticação de código QR para o usuário.
Guarde o PIN e clique Descarregar imagem para descarregar e imprimir o código QR. O download da imagem do código QR tem o menor tamanho de impressão ideal. Se você reduzir o tamanho do código QR, isso pode afetar o desempenho da varredura do código QR.
Não é possível regenerar o mesmo código QR porque tem um segredo único. Se o código QR não puder funcionar por algum motivo, exclua-o. Crie um novo código QR para o utilizador.
Depois de adicionar o método de autenticação de código QR, ele aparece como um método de autenticação utilizável para o usuário.
Adicionar o método de autenticação de código QR para um usuário em Minha equipe
Inicie sessão no portal A Minha Equipa como gestor da linha da frente. Selecione uma unidade administrativa e um trabalhador da linha de frente.
Clique Gerenciar método de autenticação de código QR.
Clique em Adicionar método de código QR.
Especifique a data de validade e ativação e clique em Adicionar para gerar um código QR e PIN para o usuário.
Guarde o PIN, transfira ou imprima o código QR e, em seguida, clique em Concluído. O download da imagem do código QR tem o menor tamanho de impressão ideal. Se reduzires o tamanho, o código QR fica difícil de ler. Não é possível regenerar o mesmo código QR porque tem um segredo único. Se o código QR não puder funcionar por algum motivo, exclua-o. Crie um novo código QR para o utilizador.
Adicionar método de autenticação de código QR para um usuário na API do Microsoft Graph
Este exemplo adiciona o método de autenticação de código QR para um usuário:
Pedido
HTTP PUT/users/{id | userPrincipalName}/authentication/qrCodePinMethod { "standardQRCode": { "expireDateTime": "2024-12-30T12:00:00Z", "startDateTime": "2024-10-30T12:00:00Z" }, "pin": { "code": "<PIN>" } }resposta
HTTP/1.1 201 Created Location: /beta/users/aaaaaaaa-bbbb-cccc-1111-222222222222/authentication/qrCodePinMethod` Content-type: application/json { "standardQRCode": { "id": "BBBBBBBB-1C1C-2D2D-3E3E-444444444444" "expireDateTime": "2024-12-30T12:00:00Z", "startDateTime": "2024-10-30T12:00:00Z" "createdDateTime": "2024-10-30T12:00:00Z", "lastUsedDateTime": null, "image": { "binaryValue": "<binaryImageData>", "version": 1, "errorCorrectionLevel": "H". "rawContent": <binary data encoded in QR> } }, "temporaryQRCode": null, "pin": { "code": "<PIN>", "isForcePinChangeRequired": true, "createdDateTime": "2024-10-30T12:00:00Z", "updatedDateTime": null } }
Este exemplo confirma se o método de autenticação de código QR foi adicionado para o usuário:
Pedido
GET https://graph.microsoft.com/beta/users/flokreg@contoso.com/authentication/qrCodePinMethod`resposta
HTTP/1.1 200 OK Content-type: application/json { "id": "<id>", "standardQRCode": { "id": "BBBBBBBB-1C1C-2D2D-3E3E-444444444444" "image": null, "expireDateTime": "2024-12-30T12:00:00Z", "startDateTime": "2024-10-30T12:00:00Z" "createdDateTime": "2024-10-30T12:00:00Z", "lastUsedDateTime": "2024-12-30T12:00:00Z" }, "temporaryQRCode": { "id": "CCCCCCCC-2D2D-3E3E-4F4F-555555555555" "image": null, "expireDateTime": "2024-12-30T12:00:00Z", "startDateTime": "2024-10-30T12:00:00Z" "createdDateTime": "2024-10-30T12:00:00Z", "lastUsedDateTime": "2024-12-30T12:00:00Z" }, "pin": { "code": null, "isForcePinChangeRequired": false, "createdDateTime": "2024-10-30T12:00:00Z", "updatedDateTime": "2024-11-30T12:00:00Z" } }
Editar o método de autenticação de código QR para um usuário
Você pode editar o método de autenticação de código QR para um usuário usando o centro de administração do Microsoft Entra, Minha equipe ou a API do Microsoft Graph.
Editar o método de autenticação de código QR para um usuário no centro de administração do Microsoft Entra
Navegue até os métodos de autenticação utilizáveis para um usuário e clique em Editar para editar as propriedades do método de autenticação de código QR.
Altere o tempo de expiração do código QR padrão e clique em Salvar. Depois de fazer edições, clique em Concluído.
Exclua um código QR padrão. Você pode querer excluir o código QR padrão se ele for relatado como expirado, comprometido ou roubado.
Depois de excluir o código QR padrão, clique no símbolo de adição (+) para adicionar um novo código QR padrão para o usuário. O código QR excluído não é mais válido para login.
Você precisa imprimir e distribuir o novo código QR para o usuário. O utilizador pode continuar a utilizar o PIN existente.
Redefinir um PIN. Se você precisar redefinir um PIN de usuário, gere um temporário e distribua-o para o usuário. O utilizador terá de alterar o PIN temporário no próximo início de sessão. Clique no ícone de lápis após o PIN mascarado. Clique Gerar novo PIN para criar um novo PIN temporário. Clique OK para confirmar que o utilizador é forçado a alterar o PIN temporário na próxima sessão. Copie o PIN temporário e partilhe-o com o utilizador.
Adicione ou exclua um código QR temporário. Um código QR temporário reduz a sobrecarga administrativa de provisionamento e desprovisionamento do código QR em um selo se um usuário não trouxe seu selo para o trabalho. Também reduz o stress de ter que reter o código QR após o término do seu turno. Um código QR temporário tem uma vida útil de 1-12 horas e pode ser ativado instantaneamente ou mais tarde. Para desprovisionar o código QR, você pode excluir o código QR temporário ou deixá-lo expirar, pois é inutilizável após o vencimento.
Editar o método de autenticação de código QR para um usuário em Minha equipe
Para editar a data de validade de um código QR padrão, clique Editar. Edite a data de validade e salve as alterações.
Para excluir um código QR padrão, clique Excluire confirme a ação.
Para adicionar um novo código QR padrão, clique Adicionar novo ao lado do código QR padrão.
Selecione o tempo de ativação e a data de validade do código QR e clique em Adicionar.
Faça o download ou imprima o código QR e clique em Concluído.
Para adicionar um código QR temporário, clique Adicionar novo ao lado do código QR temporário. Especifique o tempo de vida de em horas e a data de ativação de , e clique em Adicionar.
Faça o download ou imprima o código QR e clique em Concluído.
Para redefinir um PIN, clique em Redefinir PIN.
Clique Copie PIN para copiar o PIN para a área de transferência.
Editar o método de autenticação de código QR para um usuário na API do Microsoft Graph
Este exemplo mostra como excluir o código QR padrão para um usuário se ele perder seu selo e criar um novo código QR padrão. O usuário não é obrigado a alterar seu PIN.
Exclua um código QR padrão:
Pedido
DELETE https://graph.microsoft.com/beta/users/flokreg@contoso.com/authentication/qrCodePinMethod/standardQRCode`resposta
HTTP/1.1 204 No Content
Crie um código QR padrão:
Pedido
HTTP PATCH/users/{id | userPrincipalName}/authentication/qrCodePinMethod/standardQRCode` { "startDateTime": "2024-10-30T12:00:00Z", "expireDateTime": "2024-12-30T12:00:00Z" }resposta
HTTP/1.1 201 Created Location: /beta/users/aaaaaaaa-bbbb-cccc-1111-222222222222/authentication/qrCodePinMethod/standardQRCode` Content-type: application/json { "id": "BBBBBBBB-1C1C-2D2D-3E3E-444444444444" "expireDateTime": "2024-12-30T12:00:00Z", "startDateTime": "2024-10-30T12:00:00Z" "createdDateTime": "2024-10-30T12:00:00Z", "lastUsedDateTime": null, "image": { "binaryValue": "<binaryImageData>", "version": 1, "errorCorrectionLevel": "H". "rawContent": <binary data encoded in QR> } }
Obtenha um código QR padrão:
Pedido
GET https://graph.microsoft.com/beta/users/{id|UPN}/authentication/qrCodePinMethod/standardQRCode`resposta
HTTP/1.1 200 OK Content-type: application/json { "id": "BBBBBBBB-1C1C-2D2D-3E3E-444444444444", "image": null, "expireDateTime": "2024-12-30T12:00:00Z", "startDateTime": "2024-10-30T12:00:00Z" "createdDateTime": "2024-10-30T12:00:00Z", "lastUsedDateTime": "2024-12-30T12:00:00Z" }
Este exemplo mostra como criar um código QR temporário para um usuário. O usuário pode usar o PIN existente. Esta operação devolve um erro se já existir um código QR temporário para o utilizador ou se a data/hora de expiração for mais de 12 horas depois da data/hora de início .
Pedido
HTTP PATCH/users/{id | userPrincipalName}/authentication/qrCodePinMethod/temporaryQRCode` { "startDateTime": "2024-10-30T12:00:00Z", "expireDateTime": "2024-10-30T22:00:00Z" }resposta
HTTP/1.1 201 Created Location: /beta/users/aaaaaaaa-bbbb-cccc-1111-222222222222/authentication/qrCodePinMethod/temporaryQRCode` Content-type: application/json { "id": "EEEEEEEE-4F$F-5A5A-6B6B-777777777777" "expireDateTime": "2024-10-30T22:00:00Z", "startDateTime": "2024-10-30T12:00:00Z" "createdDateTime": "2024-10-30T12:00:00Z", "lastUsedDateTime": null, "image": { "binaryValue": "<binaryImageData>", "version": 1, "errorCorrectionLevel": "H". "rawContent": <binary data encoded in QR> } }
Obtenha um código QR temporário:
Pedido
GET https://graph.microsoft.com/beta/users/{id|UPN}/authentication/qrCodePinMethod/temporaryQRCode`resposta
HTTP/1.1 200 OK Content-type: application/json { "id": "EEEEEEEE-4F$F-5A5A-6B6B-777777777777", "image": null, "expireDateTime": "2024-10-30T22:00:00Z", "startDateTime": "2024-10-30T12:00:00Z" "createdDateTime": "2024-10-30T12:00:00Z", "lastUsedDateTime": "2024-10-30T20:00:00Z" }
Este exemplo mostra como excluir um código QR temporário para um usuário.
Pedido
DELETE https://graph.microsoft.com/beta/users/flokreg@contoso.com/authentication/qrCodePinMethod/temporaryQRCode`resposta
HTTP/1.1 204 No Content
Este exemplo mostra como redefinir o PIN de um método de autenticação através de um código QR.
Pedido
PATCH https://graph.microsoft.com/beta/users/flokreg@contoso.com/authentication/qrCodePinMethod/pin`resposta
{ "code": <PIN>, "forceChangePinNextSignIn": true, "createdDateTime": "2024-10-30T12:00:00Z", "updatedDateTime": null }
Este exemplo mostra como forçar um usuário a alterar seu PIN para um método de autenticação de código QR:
Pedido
PATCH https://graph.microsoft.com/beta/users/flokreg@contoso.com/authentication/qrCodePinMethod/updatePin` { "currentPin": "<Old PIN>", "newPin": "<New PIN>" }resposta
HTTP/1.1 204 No Content
Excluir o método de autenticação de código QR para um usuário
Você pode excluir o método de autenticação de código QR para um usuário usando o centro de administração do Microsoft Entra, Minha equipe ou a API do Microsoft Graph.
Excluir o método de autenticação de código QR para um usuário no centro de administração do Microsoft Entra
Se um método de autenticação de código QR for excluído para um usuário, ele não poderá mais entrar usando esse método de autenticação.
Entre no centro de administração do Microsoft Entra como pelo menos um administrador de autenticação .
Vá para Utilizadores, selecione um utilizador e clique em Métodos de autenticação.
Em Métodos de autenticação utilizáveis, clique nas reticências à direita do código QR e clique em Eliminar.
Excluir o método de autenticação de código QR para um usuário em Minha equipe
Para excluir o método de autenticação do código QR, clique em Excluir método de código QR.
Clique Excluir para validar a ação.
Excluir o método de autenticação de código QR para um usuário na API do Microsoft Graph
Este exemplo mostra como excluir um código QR padrão para um usuário.
Pedido
DELETE https://graph.microsoft.com/beta/users/flokreg@contoso.com/authentication/qrCodePinMethod/standardQRCode`resposta
HTTP/1.1 204 No Content
Entre no Microsoft Teams ou na tela inicial gerenciada (MHS) com código QR
O Microsoft Teams e o Managed Home Screen (MHS) têm uma experiência de início de sessão com código QR otimizada. Um Administrador de Política de Autenticação precisa configurar o Intune ou outra solução de gerenciamento de dispositivos móveis (MDM) para habilitar o método de autenticação de código QR para dispositivos móveis.
Ativar iniciar sessão com um código QR no Teams ou MHS
Ao configurar com o Intune, atribua o Microsoft Authenticator como um aplicativo necessário para todos os dispositivos para os quais você deseja adicionar autenticação de código QR.
| Plataforma | Chave de configuração do aplicativo MDM | Valor | Local de configuração |
|---|---|---|---|
| iOS | configuração_de_autenticação_preferida | QRPIN | Perfil de gerenciamento de dispositivos, que configura uma extensão de logon único (SSO) |
| Androide | configuração_de_autenticação_preferida | QRPIN | Autenticador Microsoft |
Observação
O MHS só está disponível em dispositivos Android.
Autenticação de código QR Experiência de login do Teams
Os usuários precisam baixar o Teams. A tabela a seguir lista a versão mínima do Teams para sistemas operacionais móveis. Para obter mais informações sobre as versões do Teams, consulte Histórico de atualizações de versões para o aplicativo novo e clássico do Microsoft Teams.
| Sistema Operativo móvel | Data de lançamento | Versão do Teams |
|---|---|---|
| iOS e iPadOS | Julho 21, 2024 | 6.13.1 (1.0.0.77.2024132501) |
| Androide | Agosto 08, 2024 | 1416/1.0.0.2024143204 (2024143204) |
Os utilizadores podem seguir estes passos para iniciar sessão com um código QR no Teams:
Clique em Digitalizar código QR no Microsoft Teams.
Digitalize o código QR. Dê consentimento se lhe pedirem permissão para a câmara.
Introduza o seu PIN.
Agora você está conectado ao aplicativo.
Quando inicia sessão com um PIN temporário, tem de o alterar.
Experiência de autenticação na Web com código QR (login.microsoftonline.com)
Clique Mais opções de início de sessão>Iniciar sessão numa organização>Iniciar sessão com código QR.
Permita que a câmara, quando solicitado> digitalize o código QR > introduza o seu PIN, > iniciou sessão com sucesso.
Adicione segurança com a autenticação de código QR usando políticas de Acesso Condicional
Restrinja o método de autenticação de código QR apenas aos trabalhadores da linha de frente, compatíveis e dispositivos compartilhados. Esta seção aborda como criar políticas que restringem o método de autenticação de código QR apenas aos trabalhadores da linha de frente e dispositivos compartilhados.
Restrinja a autenticação de código QR aos trabalhadores da linha de frente
Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Política de Autenticação .
Navegue até Entra ID>Métodos de autenticação>Código QR>Ativar e destinar.
Clique Adicionar destino> selecionar um grupo que inclua apenas trabalhadores da linha de frente, como trabalhadores da linha de frente na captura de tela a seguir. Esta seleção de grupo restringe a ativação do método de autenticação de código QR apenas aos trabalhadores adicionados ao grupo trabalhadores da linha de frente.
Restringir a autenticação de código QR a dispositivos partilhados
Entre no centro de administração do Microsoft Entra como Administrador de Acesso Condicional.
Clique em Acesso Condicional>Forças de Autenticação>Nova Força de Autenticação.
Crie uma política de Acesso Condicional com nível de autenticação personalizada. Selecione a autenticação por código QR (Pré-visualização).
Crie uma política de Acesso Condicional que exija que os dispositivos partilhados sejam marcados como compatíveis com as políticas do Intune ou de outra solução MDM. Essa política garante que os trabalhadores da linha de frente possam acessar apenas recursos específicos de um dispositivo compartilhado compatível no qual eles entraram com um código QR.
Em Usuários ou identidades de carga de trabalho>Incluir>, selecione Usuários e grupos e escolha o grupo de trabalhadores da linha de frente.
Sob Recursos de destino>Incluir> Selecione recursos específicos que os trabalhadores da linha de frente possam aceder.
Em Condições , clique em Filtro para dispositivos, defina Configurar como Sim.
Clique Incluir dispositivos filtrados na política.
Para Property, selecione ProfileType.
Para o operador , selecione igual a.
Para Valor, selecione Shared.
Em Controles de acesso>Conceder> selecione Exigir que o dispositivo seja marcado como compatívele clique em Selecionar.
Clique Criar.