Så här aktiverar du QR-kodautentiseringsmetoden i Microsoft Entra-ID (förhandsversion)
Det här avsnittet beskriver hur du aktiverar QR-kodautentiseringsmetoden i principen Autentiseringsmetoder i Microsoft Entra-ID. Den beskriver också hur du hanterar QR-kodautentiseringsmetoden för användare och hur de kan logga in med en QR-kod och PIN-kod.
- En aktiv Azure-prenumeration.
- Om du inte har en Azure-prenumeration skapar du ett konto.
- Microsoft Entra tenant som är associerad med din prenumeration.
- Om det behövs skapar du en Microsoft Entra-klient eller associerar en Azure-prenumeration med ditt konto.
- Du behöver minst administratör för autentiseringsprincip roll i din Microsoft Entra-klient för att aktivera QR-kodautentiseringsmetoden.
- Varje användare som är aktiverad i principen för QR-kodautentiseringsmetod måste vara licensierad, även om de inte använder den. Varje aktiverad användare måste ha något av följande Microsoft Entra-ID, EMS, Microsoft 365-licenser:
- Microsoft 365 F1 eller F3
- [Microsoft Entra ID P1 eller P2][azure-ad-pricing]
- Enterprise Mobility + Security (EMS) E3 eller E5 eller Microsoft 365 E3 eller E5
- Office 365 F3
- Delade android-, iOS- eller iPadOS-enheter (iOS/iPadOS version 15.0 eller senare).
- Läget Delad enhet är aktiverat på de delade enheterna (valfritt men rekommenderas starkt).
- En skrivare för att skriva ut 2 x 2 tum QR-koder.
- För att få åtkomst till QR-kodautentisering i Teams kräver Teams-appen som är installerad på den delade enheten följande versioner: Android version 1.0.0.2024143204 eller senare och iOS version 1.0.0.77.2024132501 eller senare.
- Aktivera och konfigurera My Staff-portalen om du planerar för chefer i frontlinjen att använda Min personal för att etablera, hantera och återställa QR-kod och PIN-koder.
Du kan aktivera QR-kodautentiseringsmetoden med hjälp av administrationscentret för Microsoft Entra eller Microsoft Graph API.
Logga in på administrationscentret för Microsoft Entra som minst en administratör för autentiseringsprincip.
Gå till Skydd>autentiseringsmetoder>principer.
Klicka på QR-kod>Aktivera och mål>Lägg till mål> välja en grupp användare som behöver logga in med en QR-kod.
Uppdatera standardinställningarna för QR-kod efter behov:
- Som standard är PIN-kodens längd 8 siffror. PIN-kodens längd kan vara 8 till 20 siffror. Om du ökar PIN-kodens längd blir det nya värdet det minsta antal siffror som krävs för PIN-koden. Om du till exempel ökar PIN-kodens längd till 10 måste en användare ange en 10-siffrig PIN-kod vid nästa inloggning.
- Standardlivslängden för en QR-standardkod (tillhandahålls till användarna för långsiktig användning) är 365 dagar. Intervallet är mellan 1 och 395 dagar. Du kan ändra livslängden för en vanlig QR-kod för en specifik användare när du lägger till QR-kodautentiseringsmetoden för dem.
När du är klar klickar du på Spara.
Det här exemplet möjliggör QR-kodautentisering för en grupp, med en PIN-kodlängd på 10 siffror och en Standard QR-kodlivslängd på 395 dagar:
Begäran
PATCH https://graph.microsoft.com/beta/policies/authenticationMethodsPolicy/authenticationMethodConfigurations/qrCodePin { "@odata.type" : "microsoft.graph.qrCodePinAuthenticationMethodConfiguration", "id": "qrCodePin", "state": "enabled", "includeTargets": [{ "targetType": "group", "id": "b185b746-e7db-4fa2-bafc-69ecf18850dd", }], "excludeTargets": [], "standardQRCodeLifetimeInDays":395, "pinLength": 10 }Svar
204 No Response
Du kan lägga till en QR-kodautentiseringsmetod för en användare med hjälp av administrationscentret för Microsoft Entra, My Staff eller Microsoft Graph API. I taget tillåts endast en aktiv QR-kodautentiseringsmetod. Standard-QR-kod genereras under "Lägg till autentiseringsmetod". Du kan lägga till tillfällig QR-kod, som är kortvarig, om användaren inte har standard-QR-kod. Du kan ta bort standard-/tillfällig QR-kod för att lägga till en ny standard-/tillfällig QR-kod. En användare kan bara ha en Standard- och en tillfällig QR-kod aktiv när som helst.
Logga in på Microsoft Entra-administrationscentret, som minst -autentiseringsadministratör.
Gå till Användare, välj en användare och klicka på Autentiseringsmetoder.
Klicka på Lägg till autentiseringsmetod och välj QR-kod.
Ändra förfallodatumet för användaren om det behövs. Ange aktiveringstid till nu eller senare. Ange eller generera en tillfällig PIN-kod. Den anpassade PIN-koden kan endast anges när du lägger till QR-kodautentiseringsmetoden. En PIN-kod genereras automatiskt under återställningshändelser. När du är klar klickar du på Lägg till för att lägga till QR-kodautentiseringsmetoden för användaren.
Spara PIN-koden och klicka på Ladda ned bild för att ladda ned och skriva ut QR-koden. Nedladdningen av QR-kodbilden har den minsta optimala utskriftsstorleken. Om du minskar storleken på QR-koden kan det påverka QR-kodgenomsökningens prestanda.
Du kan inte återskapa samma QR-kod eftersom den har en unik hemlighet. Om QR-koden inte kan fungera av någon anledning tar du bort den. Skapa en ny QR-kod för användaren.
När du har lagt till QR-kodautentiseringsmetoden visas den som en användbar autentiseringsmetod för användaren.
Logga in på portalen Min personal som chef i frontlinjen. Välj en administrativ enhet och en frontlinjearbetare.
Klicka på Hantera QR-kodautentiseringsmetod.
Klicka på Lägg till QR-kodmetod.
Ange förfallodatum och aktiveringsdatum och klicka på Lägg till för att generera en QR-kod och PIN-kod för användaren.
Spara PIN-koden, ladda ned eller skriv ut QR-koden och klicka sedan på Klar. Nedladdningen av QR-kodbilden har den minsta optimala utskriftsstorleken. Om du minskar storleken är QR-koden svår att skanna. Du kan inte återskapa samma QR-kod eftersom den har en unik hemlighet. Om QR-koden inte kan fungera av någon anledning tar du bort den. Skapa en ny QR-kod för användaren.
Det här exemplet lägger till QR-kodautentiseringsmetod för en användare:
Begäran
HTTP PUT/users/{id | userPrincipalName}/authentication/qrCodePinMethod { "standardQRCode": { "expireDateTime": "2024-12-30T12:00:00Z", "startDateTime": "2024-10-30T12:00:00Z" }, "pin": { "code": "<PIN>" } }Svar
HTTP/1.1 201 Created Location: /beta/users/aaaaaaaa-bbbb-cccc-1111-222222222222/authentication/qrCodePinMethod` Content-type: application/json { "standardQRCode": { "id": "BBBBBBBB-1C1C-2D2D-3E3E-444444444444" "expireDateTime": "2024-12-30T12:00:00Z", "startDateTime": "2024-10-30T12:00:00Z" "createdDateTime": "2024-10-30T12:00:00Z", "lastUsedDateTime": null, "image": { "binaryValue": "<binaryImageData>", "version": 1, "errorCorrectionLevel": "H". "rawContent": <binary data encoded in QR> } }, "temporaryQRCode": null, "pin": { "code": "<PIN>", "isForcePinChangeRequired": true, "createdDateTime": "2024-10-30T12:00:00Z", "updatedDateTime": null } }
Det här exemplet bekräftar om QR-kodautentiseringsmetoden har lagts till för användaren:
Begäran
GET https://graph.microsoft.com/beta/users/flokreg@contoso.com/authentication/qrCodePinMethod`Svar
HTTP/1.1 200 OK Content-type: application/json { "id": "<id>", "standardQRCode": { "id": "BBBBBBBB-1C1C-2D2D-3E3E-444444444444" "image": null, "expireDateTime": "2024-12-30T12:00:00Z", "startDateTime": "2024-10-30T12:00:00Z" "createdDateTime": "2024-10-30T12:00:00Z", "lastUsedDateTime": "2024-12-30T12:00:00Z" }, "temporaryQRCode": { "id": "CCCCCCCC-2D2D-3E3E-4F4F-555555555555" "image": null, "expireDateTime": "2024-12-30T12:00:00Z", "startDateTime": "2024-10-30T12:00:00Z" "createdDateTime": "2024-10-30T12:00:00Z", "lastUsedDateTime": "2024-12-30T12:00:00Z" }, "pin": { "code": null, "isForcePinChangeRequired": false, "createdDateTime": "2024-10-30T12:00:00Z", "updatedDateTime": "2024-11-30T12:00:00Z" } }
Du kan redigera QR-kodautentiseringsmetod för en användare med hjälp av administrationscentret för Microsoft Entra, My Staff eller Microsoft Graph API.
Navigera till de användbara autentiseringsmetoderna för en användare och klicka på Redigera för att redigera egenskaperna för QR-kodautentiseringsmetoden.
Ändra förfallotiden för standard-QR-koden och klicka på Spara. När du har gjort ändringar klickar du på Klar.
Ta bort en vanlig QR-kod. Du kanske vill ta bort QR-standardkoden om den rapporteras som förfallen, komprometterad eller stulen.
När du har tagit bort QR-standardkoden klickar du på lägg till symbolen (+) för att lägga till en ny QR-standardkod för användaren. Den borttagna QR-koden är inte längre giltig för inloggning.
Du måste skriva ut och distribuera den nya QR-koden till användaren. Användaren kan fortsätta att använda sin befintliga PIN-kod.
Återställ en PIN-kod. Om du behöver återställa en pin-kod för användaren genererar du en tillfällig och distribuerar den till användaren. Användaren måste ändra den tillfälliga PIN-koden vid nästa inloggning. Klicka på pennikonen efter den maskerade PIN-koden. Klicka på Generera ny PIN-kod för att skapa en ny tillfällig PIN-kod. Klicka på OK för att bekräfta att användaren tvingas ändra den tillfälliga PIN-koden vid nästa inloggning. Kopiera den tillfälliga PIN-koden och dela den med användaren.
Lägg till eller ta bort en tillfällig QR-kod. En tillfällig QR-kod minskar administratörskostnaderna för etablering och avetablering av QR-koden på ett märke om en användare inte tog med sig märket till jobbet. Det minskar också stressen med att behålla QR-koden efter deras skift. En tillfällig QR-kod har en livslängd på 1–12 timmar och kan aktiveras omedelbart eller senare. Om du vill avetablera QR-koden kan du ta bort den tillfälliga QR-koden eller låta den upphöra att gälla eftersom den är oanvändbar efter att den gått ut.
Om du vill redigera förfallodatumet för en vanlig QR-kod klickar du på Redigera. Redigera förfallodatumet och spara ändringarna.
Om du vill ta bort en vanlig QR-kod klickar du på Ta bortoch bekräftar åtgärden.
Om du vill lägga till en ny QR-standardkod klickar du på Lägg till nya bredvid QR-standardkoden.
Välj aktiveringstid och förfallodatum för QR-koden och klicka på Lägg till.
Ladda ned eller skriv ut QR-koden och klicka på Klar.
Om du vill lägga till en tillfällig QR-kod klickar du på Lägg till nya bredvid den tillfälliga QR-koden. Ange Livslängd i timmar och aktiveringsdatumoch klicka på Lägg till.
Ladda ned eller skriv ut QR-koden och klicka på Klar.
Om du vill återställa en PIN-kod klickar du på Återställ PIN-kod.
Klicka på Kopiera PIN-kod för att kopiera PIN-koden till urklipp.
Det här exemplet visar hur du tar bort QR-standardkoden för en användare om de förlorar sitt märke och skapar en ny QR-standardkod. Användaren behöver inte ändra sin PIN-kod.
Ta bort en vanlig QR-kod:
Begäran
DELETE https://graph.microsoft.com/beta/users/flokreg@contoso.com/authentication/qrCodePinMethod/standardQRCode`Svar
HTTP/1.1 204 No Content
Skapa en vanlig QR-kod:
Begäran
HTTP PATCH/users/{id | userPrincipalName}/authentication/qrCodePinMethod/standardQRCode` { "startDateTime": "2024-10-30T12:00:00Z", "expireDateTime": "2024-12-30T12:00:00Z" }Svar
HTTP/1.1 201 Created Location: /beta/users/aaaaaaaa-bbbb-cccc-1111-222222222222/authentication/qrCodePinMethod/standardQRCode` Content-type: application/json { "id": "BBBBBBBB-1C1C-2D2D-3E3E-444444444444" "expireDateTime": "2024-12-30T12:00:00Z", "startDateTime": "2024-10-30T12:00:00Z" "createdDateTime": "2024-10-30T12:00:00Z", "lastUsedDateTime": null, "image": { "binaryValue": "<binaryImageData>", "version": 1, "errorCorrectionLevel": "H". "rawContent": <binary data encoded in QR> } }
Hämta en vanlig QR-kod:
Begäran
GET https://graph.microsoft.com/beta/users/{id|UPN}/authentication/qrCodePinMethod/standardQRCode`Svar
HTTP/1.1 200 OK Content-type: application/json { "id": "BBBBBBBB-1C1C-2D2D-3E3E-444444444444", "image": null, "expireDateTime": "2024-12-30T12:00:00Z", "startDateTime": "2024-10-30T12:00:00Z" "createdDateTime": "2024-10-30T12:00:00Z", "lastUsedDateTime": "2024-12-30T12:00:00Z" }
Det här exemplet visar hur du skapar en tillfällig QR-kod för en användare. Användaren kan använda den befintliga PIN-koden. Den här åtgärden returnerar ett fel om det redan finns en tillfällig QR-kod för användaren, eller om expireDateTime är mer än 12 timmar efter startDateTime-.
Begäran
HTTP PATCH/users/{id | userPrincipalName}/authentication/qrCodePinMethod/temporaryQRCode` { "startDateTime": "2024-10-30T12:00:00Z", "expireDateTime": "2024-10-30T22:00:00Z" }Svar
HTTP/1.1 201 Created Location: /beta/users/aaaaaaaa-bbbb-cccc-1111-222222222222/authentication/qrCodePinMethod/temporaryQRCode` Content-type: application/json { "id": "EEEEEEEE-4F$F-5A5A-6B6B-777777777777" "expireDateTime": "2024-10-30T22:00:00Z", "startDateTime": "2024-10-30T12:00:00Z" "createdDateTime": "2024-10-30T12:00:00Z", "lastUsedDateTime": null, "image": { "binaryValue": "<binaryImageData>", "version": 1, "errorCorrectionLevel": "H". "rawContent": <binary data encoded in QR> } }
Hämta en tillfällig QR-kod:
Begäran
GET https://graph.microsoft.com/beta/users/{id|UPN}/authentication/qrCodePinMethod/temporaryQRCode`Svar
HTTP/1.1 200 OK Content-type: application/json { "id": "EEEEEEEE-4F$F-5A5A-6B6B-777777777777", "image": null, "expireDateTime": "2024-10-30T22:00:00Z", "startDateTime": "2024-10-30T12:00:00Z" "createdDateTime": "2024-10-30T12:00:00Z", "lastUsedDateTime": "2024-10-30T20:00:00Z" }
Det här exemplet visar hur du tar bort en tillfällig QR-kod för en användare.
Begäran
DELETE https://graph.microsoft.com/beta/users/flokreg@contoso.com/authentication/qrCodePinMethod/temporaryQRCode`Svar
HTTP/1.1 204 No Content
Det här exemplet visar hur du återställer PIN-koden till en QR-kodautentiseringsmetod:
Begäran
PATCH https://graph.microsoft.com/beta/users/flokreg@contoso.com/authentication/qrCodePinMethod/pin`Svar
{ "code": <PIN>, "forceChangePinNextSignIn": true, "createdDateTime": "2024-10-30T12:00:00Z", "updatedDateTime": null }
Det här exemplet visar hur du tvingar en användare att ändra sin PIN-kod för en QR-kodautentiseringsmetod:
Begäran
PATCH https://graph.microsoft.com/beta/users/flokreg@contoso.com/authentication/qrCodePinMethod/updatePin` { "currentPin": "<Old PIN>", "newPin": "<New PIN>" }Svar
HTTP/1.1 204 No Content
Du kan ta bort QR-kodautentiseringsmetoden för en användare med hjälp av administrationscentret för Microsoft Entra, My Staff eller Microsoft Graph API.
Om en QR-kodautentiseringsmetod tas bort för en användare kan de inte längre logga in med den autentiseringsmetoden.
Logga in på Microsoft Entra-administrationscentret, som minst -autentiseringsadministratör.
Gå till Användare, välj en användare och klicka på Autentiseringsmetoder.
Under Användbara autentiseringsmetoderklickar du på ellipsen till höger om QR-koden och klickar på Ta bort.
Om du vill ta bort själva QR-kodautentiseringsmetoden klickar du på Ta bort QR-kodmetoden.
Klicka på Ta bort för att bekräfta åtgärden.
Det här exemplet visar hur du tar bort en vanlig QR-kod för en användare.
Begäran
DELETE https://graph.microsoft.com/beta/users/flokreg@contoso.com/authentication/qrCodePinMethod/standardQRCode`Svar
HTTP/1.1 204 No Content
Microsoft Teams och Managed Home Screen (MHS) har en optimerad QR-kodinloggning. En administratör för autentiseringsprinciper måste konfigurera Intune eller en annan MDM-lösning (hantering av mobila enheter) för att aktivera QR-kodautentiseringsmetoden för mobila enheter.
När du konfigurerar med Intune tilldelar du Microsoft Authenticator som en obligatorisk app för alla enheter som du vill lägga till QR-kodautentisering för.
| Plattform | MDM-appkonfigurationsnyckel | Värde | Inställningsplats |
|---|---|---|---|
| Ios | föredragen_autentiseringskonfiguration | qrpin | Enhetshanteringsprofil, som konfigurerar ett tillägg för enkel inloggning (SSO) |
| Android | föredragen_autentiseringskonfiguration | qrpin | Microsoft Authenticator |
Anteckning
MHS är endast tillgängligt på Android-enheter.
Användarna måste ladda ned Teams. I följande tabell visas den lägsta Teams-versionen för mobila operativsystem. Mer information om Teams-versioner finns i Versionsuppdateringshistorik för den nya och klassiska Microsoft Teams-appen.
| Mobilt operativsystem | Utgivningsdag | Teams-version |
|---|---|---|
| iOS och iPadOS | den 21 juli 2024 | 6.13.1 (1.0.0.77.2024132501) |
| Android | den 8 augusti 2024 | 1416/1.0.0.2024143204 (2024143204) |
Användarna kan följa dessa steg för att logga in med en QR-kod i Teams:
Klicka på Skanna QR-kod i Microsoft Teams.
Skanna QR-koden. Ge medgivande om du uppmanas att ha kamerabehörighet.
Ange din PIN-kod.
Nu är du inloggad i appen.
När du loggar in med en tillfällig PIN-kod måste du ändra den.
Klicka på Fler inloggningsalternativ>Logga in på en organisation>Logga in med QR-kod.
Tillåt kameran när du uppmanas, > skanna QR-koden, > ange din PIN-kod, > så har du loggat in.
Begränsa QR-kodautentiseringsmetoden till endast arbetare i frontlinjen, kompatibla och delade enheter. Det här avsnittet beskriver hur du skapar principer som begränsar autentiseringsmetoden för QR-kod till endast arbetare i frontlinjen och delade enheter.
Logga in på administrationscentret för Microsoft Entra som minst en administratör för autentiseringsprincip.
Bläddra till Protection>autentiseringsmetoder>QR-kod>Aktivera och rikta in.
Klicka på Lägg till mål> välja en grupp som endast innehåller medarbetare i frontlinjen, till exempel frontline-arbetare i följande skärmbild. Det här gruppvalet begränsar aktiveringen av QR-kodautentiseringsmetoden endast till medarbetare i frontlinjen som läggs till i gruppen Frontline-arbetare.
Logga in på administrationscentret för Microsoft Entra som administratör för villkorlig åtkomst.
Klicka på Villkorlig åtkomst>autentiseringsstyrkor>Ny autentiseringsstyrka.
Skapa en princip för anpassad autentiseringsstyrka för villkorsstyrd åtkomst. Välj autentisering QR-Kod (Förhandsvisning).
Skapa en princip för villkorlig åtkomst som kräver att delade enheter markeras som kompatibla med principer från Intune eller en annan MDM-lösning. Den här principen ser till att medarbetare i frontlinjen endast kan komma åt specifika resurser från en kompatibel, delad enhet som de loggade in på med en QR-kod.
Under Användare eller arbetsbelastningsidentiteter>Inkludera> välj Användare och grupper, och välj din frontlinjearbetare arbetsgrupp.
Under Målresurser>Inkludera> välja specifika resurser som medarbetare i frontlinjen kan komma åt.
Under Villkorklickar du på Filter för enheter, anger Konfigurera till Ja.
Klicka på Inkludera filtrerade enheter från policyinställningen.
För egenskapväljer du ProfileType.
För Operator, välj Är lika med.
För Valueväljer du Delad.
Under Åtkomstkontroller>Bevilja> väljer du Kräv att enheten markeras som kompatibeloch klickar på Välj.
Klicka på Skapa.