本主題涵蓋如何在 Microsoft Entra ID 的驗證方法原則中啟用 QR 代碼驗證方法。 它也涵蓋如何管理使用者的 QR 代碼驗證方法,以及如何使用 QR 代碼和 PIN 登入。
在您啟用 QR 代碼驗證方法之前,請先檢閱對前線工作者在工作或家庭環境中使用安全控制措施的最佳做法。 如需詳細資訊,請參閱 保護前線工作者的最佳做法。
啟用 QR 代碼驗證方法的必要條件
- 有效的 Azure 訂用帳戶。
- 如果您沒有 Azure 訂用 帳戶,請建立帳戶。
- 與訂用帳戶相關聯的 Microsoft Entra 租戶。
- 您至少需要Microsoft Entra 租使用者中的 驗證原則管理員 角色,才能啟用 QR 代碼驗證方法。
- 在 QR 代碼驗證方法原則中啟用的每個使用者都必須獲得授權,即使他們未使用它也一樣。 每個啟用的使用者都必須具有下列其中一個 Microsoft Entra ID、EMS、Microsoft 365 授權:
- Android、iOS 或 iPadOS (iOS/iPadOS 15.0 版或更新版本)共用裝置。
- 在共用裝置上啟用共享裝置模式(選擇性但強烈建議使用)。
- 印印 2 英吋 x 2 英吋 QR 代碼的印表機。
- 若要存取 Teams 上的 QR 代碼驗證,安裝在共用裝置上的 Teams 應用程式需要下列版本:Android 1.0.0.2024143204 版或更新版本,以及 iOS 1.0.0.77.2024132501 版或更新版本。
- 如果您計劃讓前線管理員使用「我的員工」來布建、管理及重設 QR 代碼和 PIN,請啟用及設定「我的員工」入口網站。
啟用 QR 代碼驗證方法
您可以使用 Microsoft Entra 系統管理中心或 Microsoft Graph API 來啟用 QR 代碼驗證方法。
在 Microsoft Entra 系統管理中心啟用 QR 代碼驗證方法
至少以驗證政策管理員身分登入Microsoft Entra 管理中心。
移至 Entra ID>驗證方法>原則。
按兩下 [QR 代碼>開啟] 並鎖定 [>新增目標> ] 選取需要使用 QR 代碼登入的使用者群組。
視需要更新預設 QR 代碼設定:
- 根據預設,PIN 長度為8位數。 PIN 長度可以是 8 到 20 位數。 如果您增加 PIN 長度,新值會變成 PIN 所需的最小位數。 例如,如果您將 PIN 長度增加到 10,用戶必須在下次登入期間提供 10 位數的 PIN。
- 標準 QR 代碼的預設存留期(提供給用戶長期使用)為 365 天。 範圍介於 1-395 天之間。 當您為特定使用者新增 QR 代碼驗證方法時,您可以變更標準 QR 代碼的存留期。
完成時,按兩下 [ 儲存]。
在 Microsoft Graph API 中啟用 QR 代碼驗證方法
此範例會啟用群組的 QR 代碼驗證,其 PIN 長度為 10 位數,而標準 QR 代碼存留期為 395 天:
請求
PATCH https://graph.microsoft.com/beta/policies/authenticationMethodsPolicy/authenticationMethodConfigurations/qrCodePin { "@odata.type" : "microsoft.graph.qrCodePinAuthenticationMethodConfiguration", "id": "qrCodePin", "state": "enabled", "includeTargets": [{ "targetType": "group", "id": "b185b746-e7db-4fa2-bafc-69ecf18850dd", }], "excludeTargets": [], "standardQRCodeLifetimeInDays":395, "pinLength": 10 }回應
204 No Response
為使用者新增 QR 代碼驗證方法
您可以使用 Microsoft Entra 系統管理中心、My Staff 或 Microsoft Graph API,為使用者新增 QR 代碼驗證方法。 一次只允許一個作用中的 QR 代碼驗證方法。 標準 QR 代碼會在「新增驗證方法」期間產生。 如果使用者未攜帶標準 QR 代碼,您可以新增暫時 QR 代碼,這是短期的。 您可以刪除標準/暫存 QR 代碼,以新增新的標準/暫存 QR 代碼。 使用者在任何時間點只能有一個標準代碼和一個暫存 QR 代碼。
在 Microsoft Entra 系統管理中心為使用者新增 QR 代碼驗證方法
至少以驗證管理員的身分登入Microsoft Entra 系統管理中心。
移至 [ 使用者],選取使用者,然後按兩下 [ 驗證方法]。
按兩下 [新增驗證方法 ],然後選擇 [QR 代碼]。
視需要修改使用者的到期日。 將 啟用時間 設定為現在或稍後。 提供或產生暫時 PIN。 只有在您新增 QR 代碼驗證方法時,才能指定自訂 PIN。 PIN 會在重設事件期間自動產生。 準備好時,按兩下 [ 新增 ] 為使用者新增 QR 代碼驗證方法。
儲存 PIN 碼,然後按兩下 [ 下載影像 ] 以下載並列印 QR 代碼。 QR 代碼影像下載具有最小的最佳列印大小。 如果您減少 QR 代碼的大小,可能會影響 QR 代碼掃描效能。
您無法重新產生相同的 QR 代碼,因為它具有唯一的秘密。 如果 QR 代碼因故無法運作,請將其刪除。 為使用者建立新的 QR 代碼。
新增 QR 代碼驗證方法之後,它會顯示為使用者可使用的驗證方法。
在 [我的員工] 中為使用者新增 QR 代碼驗證方法
以前線管理員身分登入 「我的員工」入口網站。 選擇一個行政單位和一線工作者。
按兩下 [管理 QR 代碼驗證方法]。
按兩下 [新增 QR 代碼方法]。
指定到期日和啟用日期,然後按下 [ 新增 ] 為用戶產生 QR 代碼和 PIN 碼。
儲存 PIN 碼、下載或列印 QR 代碼,然後按下 [完成] 。 QR 代碼影像下載具有最小的最佳列印大小。 如果您減少大小,QR 代碼很難掃描。 您無法重新產生相同的 QR 代碼,因為它具有唯一的秘密。 如果 QR 代碼因故無法運作,請將其刪除。 為使用者建立新的 QR 代碼。
在 Microsoft Graph API 中為使用者新增 QR 代碼驗證方法
此範例會為使用者新增 QR 代碼驗證方法:
請求
HTTP PUT/users/{id | userPrincipalName}/authentication/qrCodePinMethod { "standardQRCode": { "expireDateTime": "2024-12-30T12:00:00Z", "startDateTime": "2024-10-30T12:00:00Z" }, "pin": { "code": "<PIN>" } }回應
HTTP/1.1 201 Created Location: /beta/users/aaaaaaaa-bbbb-cccc-1111-222222222222/authentication/qrCodePinMethod` Content-type: application/json { "standardQRCode": { "id": "BBBBBBBB-1C1C-2D2D-3E3E-444444444444" "expireDateTime": "2024-12-30T12:00:00Z", "startDateTime": "2024-10-30T12:00:00Z" "createdDateTime": "2024-10-30T12:00:00Z", "lastUsedDateTime": null, "image": { "binaryValue": "<binaryImageData>", "version": 1, "errorCorrectionLevel": "H". "rawContent": <binary data encoded in QR> } }, "temporaryQRCode": null, "pin": { "code": "<PIN>", "isForcePinChangeRequired": true, "createdDateTime": "2024-10-30T12:00:00Z", "updatedDateTime": null } }
此範例會確認是否已為使用者新增 QR 代碼驗證方法:
請求
GET https://graph.microsoft.com/beta/users/flokreg@contoso.com/authentication/qrCodePinMethod`回應
HTTP/1.1 200 OK Content-type: application/json { "id": "<id>", "standardQRCode": { "id": "BBBBBBBB-1C1C-2D2D-3E3E-444444444444" "image": null, "expireDateTime": "2024-12-30T12:00:00Z", "startDateTime": "2024-10-30T12:00:00Z" "createdDateTime": "2024-10-30T12:00:00Z", "lastUsedDateTime": "2024-12-30T12:00:00Z" }, "temporaryQRCode": { "id": "CCCCCCCC-2D2D-3E3E-4F4F-555555555555" "image": null, "expireDateTime": "2024-12-30T12:00:00Z", "startDateTime": "2024-10-30T12:00:00Z" "createdDateTime": "2024-10-30T12:00:00Z", "lastUsedDateTime": "2024-12-30T12:00:00Z" }, "pin": { "code": null, "isForcePinChangeRequired": false, "createdDateTime": "2024-10-30T12:00:00Z", "updatedDateTime": "2024-11-30T12:00:00Z" } }
編輯使用者的 QR 代碼驗證方法
您可以使用 Microsoft Entra 系統管理中心、My Staff 或 Microsoft Graph API 來編輯使用者的 QR 代碼驗證方法。
在 Microsoft Entra 系統管理中心編輯使用者的 QR 代碼驗證方法
流覽至使用者可使用的驗證方法,然後按兩下 [ 編輯 ] 以編輯 QR 代碼驗證方法的屬性。
變更標準 QR 代碼的到期時間,然後按下 [儲存] 。 進行編輯之後,按兩下 [完成] 。
刪除標準 QR 代碼。 如果標準 QR 代碼回報為過期、遭入侵或遭竊,您可能會想要刪除。
刪除標準 QR 代碼之後,請按兩下 [新增符號] (+),為使用者新增標準 QR 代碼。 已刪除的 QR 代碼已不再對登入有效。
您必須列印新的 QR 代碼,並將其散發給使用者。 用戶可以繼續使用其現有的 PIN。
重設 PIN。 如果您需要重設使用者 PIN 碼,請產生暫時的 PIN,並將其散發給使用者。 用戶必須在下一次登入時變更暫時 PIN。 點擊遮罩 PIN 旁邊的鉛筆圖示。 按兩下 [產生新的 PIN ] 以建立新的暫時 PIN。 按兩下 [確定] 確認使用者下次登入時,會強制變更暫時 PIN 碼。 複製暫存 PIN 並與用戶共用。
新增或刪除暫時的 QR 代碼。 暫時的 QR 代碼可以減少當使用者未帶徽章上班時,在徽章上設定和取消 QR 代碼的管理負擔。 它也會減少在班後保留QR碼的壓力。 臨時 QR 碼的存留期為 1-12 小時,可以立即或稍後啟用。 若要停用 QR 代碼,您可以刪除暫時的 QR 代碼,或讓它到期後無法使用。
在 [我的員工] 中編輯使用者的 QR 代碼驗證方法
若要編輯標準 QR 代碼的到期日,請按下 [編輯] 。 編輯到期日並儲存變更。
![顯示如何在 [我的員工] 中編輯 QR 代碼的螢幕快照。](../../includes/media/edit-qr-code-my-staff/edit-qr-code-my-staff.png)
若要刪除標準 QR 代碼,請按下 [ 刪除],然後確認動作。
![顯示如何在 [我的員工] 中刪除 QR 代碼的螢幕快照。](../../includes/media/edit-qr-code-my-staff/delete-qr-code-my-staff.png)
若要新增標準 QR 代碼,請按下標準 QR 代碼旁的 [ 新增 ]。
![顯示如何在 [我的員工] 中新增 QR 代碼的螢幕快照。](../../includes/media/edit-qr-code-my-staff/add-new-qr-code-my-staff.png)
選取 QR 代碼的啟用時間和到期日,然後按兩下 [ 新增]。
![顯示如何在 [我的員工] 中選取 QR 代碼到期日的螢幕快照。](../../includes/media/edit-qr-code-my-staff/select-qr-code-expiration-my-staff.png)
下載或列印 QR 代碼,然後按兩下 [ 完成]。
![顯示如何在 [我的員工] 中檢視新新增 QR 代碼的螢幕快照。](../../includes/media/edit-qr-code-my-staff/view-qr-code-my-staff.png)
若要新增暫時 QR 代碼,請按下暫存 QR 代碼旁的 [ 新增 ]。 以小時和啟用日期指定存留期,然後按兩下 [新增]。
下載或列印 QR 代碼,然後按兩下 [ 完成]。
![顯示如何在 [我的員工] 中檢視暫時 QR 代碼的螢幕快照。](../../includes/media/edit-qr-code-my-staff/view-temporary-qr-code-my-staff.png)
若要重設 PIN,請按兩下 [ 重設 PIN]。
![顯示如何在 [我的員工] 中重設 PIN 的螢幕快照。](../../includes/media/edit-qr-code-my-staff/reset-pin-my-staff.png)
按兩下 [複製 PIN ] 將 PIN 複製到剪貼簿。
![顯示如何在 [我的員工] 中複製 PIN 的螢幕快照。](../../includes/media/edit-qr-code-my-staff/copy-pin-my-staff.png)
在 Microsoft Graph API 中編輯使用者的 QR 代碼驗證方法
此範例示範如何在用戶遺失徽章時刪除用戶的標準 QR 代碼,並建立新的標準 QR 代碼。 使用者不需要變更其 PIN。
刪除標準 QR 代碼:
請求
DELETE https://graph.microsoft.com/beta/users/flokreg@contoso.com/authentication/qrCodePinMethod/standardQRCode`回應
HTTP/1.1 204 No Content
建立標準 QR 代碼:
請求
HTTP PATCH/users/{id | userPrincipalName}/authentication/qrCodePinMethod/standardQRCode` { "startDateTime": "2024-10-30T12:00:00Z", "expireDateTime": "2024-12-30T12:00:00Z" }回應
HTTP/1.1 201 Created Location: /beta/users/aaaaaaaa-bbbb-cccc-1111-222222222222/authentication/qrCodePinMethod/standardQRCode` Content-type: application/json { "id": "BBBBBBBB-1C1C-2D2D-3E3E-444444444444" "expireDateTime": "2024-12-30T12:00:00Z", "startDateTime": "2024-10-30T12:00:00Z" "createdDateTime": "2024-10-30T12:00:00Z", "lastUsedDateTime": null, "image": { "binaryValue": "<binaryImageData>", "version": 1, "errorCorrectionLevel": "H". "rawContent": <binary data encoded in QR> } }
取得標準 QR 代碼:
請求
GET https://graph.microsoft.com/beta/users/{id|UPN}/authentication/qrCodePinMethod/standardQRCode`回應
HTTP/1.1 200 OK Content-type: application/json { "id": "BBBBBBBB-1C1C-2D2D-3E3E-444444444444", "image": null, "expireDateTime": "2024-12-30T12:00:00Z", "startDateTime": "2024-10-30T12:00:00Z" "createdDateTime": "2024-10-30T12:00:00Z", "lastUsedDateTime": "2024-12-30T12:00:00Z" }
此範例示範如何為使用者建立暫時 QR 代碼。 用戶可以使用現有的 PIN。 如果使用者已有暫時的 QR 代碼,或 expireDateTime 超過 startDateTime 12 小時,此作業會傳回錯誤。
請求
HTTP PATCH/users/{id | userPrincipalName}/authentication/qrCodePinMethod/temporaryQRCode` { "startDateTime": "2024-10-30T12:00:00Z", "expireDateTime": "2024-10-30T22:00:00Z" }回應
HTTP/1.1 201 Created Location: /beta/users/aaaaaaaa-bbbb-cccc-1111-222222222222/authentication/qrCodePinMethod/temporaryQRCode` Content-type: application/json { "id": "EEEEEEEE-4F$F-5A5A-6B6B-777777777777" "expireDateTime": "2024-10-30T22:00:00Z", "startDateTime": "2024-10-30T12:00:00Z" "createdDateTime": "2024-10-30T12:00:00Z", "lastUsedDateTime": null, "image": { "binaryValue": "<binaryImageData>", "version": 1, "errorCorrectionLevel": "H". "rawContent": <binary data encoded in QR> } }
取得暫時的 QR 代碼:
請求
GET https://graph.microsoft.com/beta/users/{id|UPN}/authentication/qrCodePinMethod/temporaryQRCode`回應
HTTP/1.1 200 OK Content-type: application/json { "id": "EEEEEEEE-4F$F-5A5A-6B6B-777777777777", "image": null, "expireDateTime": "2024-10-30T22:00:00Z", "startDateTime": "2024-10-30T12:00:00Z" "createdDateTime": "2024-10-30T12:00:00Z", "lastUsedDateTime": "2024-10-30T20:00:00Z" }
此範例示範如何刪除用戶的暫時 QR 代碼。
請求
DELETE https://graph.microsoft.com/beta/users/flokreg@contoso.com/authentication/qrCodePinMethod/temporaryQRCode`回應
HTTP/1.1 204 No Content
此範例示範如何重設 QR 代碼驗證方法的 PIN:
請求
PATCH https://graph.microsoft.com/beta/users/flokreg@contoso.com/authentication/qrCodePinMethod/pin`回應
{ "code": <PIN>, "forceChangePinNextSignIn": true, "createdDateTime": "2024-10-30T12:00:00Z", "updatedDateTime": null }
此範例示範如何強制使用者變更其 QR 代碼驗證方法的 PIN:
請求
PATCH https://graph.microsoft.com/beta/users/flokreg@contoso.com/authentication/qrCodePinMethod/updatePin` { "currentPin": "<Old PIN>", "newPin": "<New PIN>" }回應
HTTP/1.1 204 No Content
刪除使用者的 QR 代碼驗證方法
您可以使用 Microsoft Entra 系統管理中心、My Staff 或 Microsoft Graph API,刪除使用者的 QR 代碼驗證方法。
刪除 Microsoft Entra 系統管理中心中使用者的 QR 代碼驗證方法
如果使用者刪除 QR 代碼驗證方法,他們就無法再使用該驗證方法登入。
至少以驗證管理員的身分登入Microsoft Entra 系統管理中心。
移至 [ 使用者],選取使用者,然後按兩下 [ 驗證方法]。
在 [可使用的驗證方法] 下,按兩下 QR 代碼右側的省略號,然後按兩下 [ 刪除]。
刪除 My Staff 中使用者的 QR 代碼驗證方法
若要刪除 QR 代碼驗證方法本身,請按兩下 [刪除 QR 代碼方法] 。
![顯示如何在 [我的員工] 中刪除 QR 代碼驗證方法的螢幕快照。](../../includes/media/delete-qr-code-authentication-method-my-staff/delete-qr-code-method-my-staff.png)
按兩下 [刪除] 以確認動作。
![顯示如何在 [我的員工] 中確認刪除 QR 代碼驗證方法的螢幕快照。](../../includes/media/delete-qr-code-authentication-method-my-staff/confirm-delete-qr-code-method-my-staff.png)
刪除 Microsoft Graph API 中使用者的 QR 代碼驗證方法
此範例示範如何刪除用戶的標準 QR 代碼。
請求
DELETE https://graph.microsoft.com/beta/users/flokreg@contoso.com/authentication/qrCodePinMethod/standardQRCode`回應
HTTP/1.1 204 No Content
使用 QR 代碼登入 Microsoft Teams 或受控主畫面 (MHS)
Microsoft Teams 和受控主畫面 (MHS) 具有優化的 QR 代碼登入體驗。 驗證原則系統管理員必須設定 Intune 或其他行動裝置管理 (MDM) 解決方案,才能啟用行動裝置的 QR 代碼驗證方法。
在 Teams 或 MHS 中使用 QR 代碼啟用登入
使用 Intune 進行設定時,請將 Microsoft Authenticator 指派為您想要新增 QR 代碼驗證的所有裝置所需的應用程式。
| 平臺 | MDM 應用程式設定金鑰 | 價值 | 組態位置 |
|---|---|---|---|
| iOS | 首選驗證配置 | qrpin | 裝置管理配置檔,其會設定單一登錄 (SSO) 擴充功能 |
| 安卓 | 首選驗證配置 | qrpin | Microsoft 驗證器 |
註記
MHS 僅適用於 Android 裝置。
QR代碼驗證的Teams登入體驗
使用者需要 下載Teams。 下表列出了行動作業系統所需的最低 Teams 版本。 如需 Teams 版本的詳細資訊,請參閱 新版和傳統Microsoft Teams 應用程式的版本更新歷程記錄。
| 行動裝置作業系統 | 發行日期 | Teams 版本 |
|---|---|---|
| iOS 和 iPadOS | 2024年7月21日 | 6.13.1 (1.0.0.77.2024132501) |
| 安卓 | 2024 年 8 月 8 日 | 1416/1.0.0.2024143204 (2024143204) |
使用者可以依照下列步驟在 Teams 中使用 QR 代碼登入:
按兩下 Microsoft Teams 中的 [掃描 QR 代碼 ]。
掃描 QR 代碼。 如果您被要求獲得相機許可權,請同意。
輸入您的 PIN 碼。
您現在已登入應用程式。
當您使用暫時 PIN 登入時,必須變更它。
QR 程式碼驗證 Web 登入體驗 (login.microsoftonline.com)
按兩下 [更多登入] 選項>[登入組織>使用 QR 代碼登入]。
當系統提示時允許相機使用以掃描 QR 代碼 >,然後輸入您的 PIN >,您就可以成功登入了 >。
使用條件式存取原則,透過 QR 代碼驗證提升安全性
將 QR 代碼驗證方法限前線工作者、符合規範和共用裝置。 本節說明如何建立原則,將 QR 代碼驗證方法限前線工作者和共用裝置。
將 QR 代碼驗證限制為前線工作者
至少以驗證政策管理員身分登入Microsoft Entra 管理中心。
流覽至 Entra ID>驗證方法>QR 代碼>啟用和目標。
按一下新增目標>,選取只包含前線工作者的群組,例如下列螢幕截圖中的前線工作者。 此群組選擇會將 QR 代碼驗證方法的啟用限制為僅針對已加入前線工作者群組的員工。
將 QR 代碼驗證限制為共用裝置
按兩下 [ 條件式存取>驗證強度>] [新增驗證強度]。
建立自定義驗證強度條件式存取原則。 選擇驗證 QR 碼 (預覽)。
建立條件式存取原則,要求共用裝置標示為符合 Intune 或其他 MDM 解決方案的原則。 此原則可確保前線工作者只能從他們使用 QR 代碼登入的相容共用裝置存取特定資源。
在 [使用者或工作負載身分>包含識別]> 下,選取 [使用者和群組],然後選擇您的 第一線員工群組。
在 目標資源>中選擇> 前線工作者可以存取的特定資源。
在 [條件] 下,按兩下 [篩選裝置],將 [ 設定 ] 設定為 [ 是]。
點選 包含原則中的篩選設備。
針對 屬性,選取 ProfileType。
針對 運算符號,選取 等於。
針對 值,選取 共用。
在 [訪問控制]>[授與]> 中,選取 [要求裝置標示為符合],然後按一下 [選取]。
按一下 建立。