QR 代碼驗證方法可讓前線工作者在共用裝置上的應用程式中有效率地登入。 使用者可以使用提供給他們的唯一 QR 代碼,並輸入 PIN 以登入,而不需要輸入複雜的使用者名稱和密碼。 目前,只有執行 iOS/iPadOS 或 Android 的行動裝置才支援 QR 代碼驗證。
在您啟用 QR 代碼驗證方法之前,請先檢閱對前線工作者在工作或家庭環境中使用安全控制措施的最佳做法。 如需詳細資訊,請參閱 保護前線工作者的最佳做法。
什麼是 QR 代碼驗證?
QR 代碼驗證是一個簡單的驗證方法,主要是針對前線工作者所設計。 它是由唯一的 QR 代碼和數位 PIN 所組成。 QR 代碼可作為標識碼,而且對使用者而言是唯一的。 您可以使用 Microsoft Entra 系統管理中心、My Staff 或 Microsoft Graph 來下載和列印。 為了方便起見,QR code 可以附加至徽章或任何其他可穿戴物品。
驗證管理員會提供暫時 PIN 給使用者,使用者在登入時會更改這個 PIN。 只有使用者知道 PIN。 它僅限於 QR 代碼。 它不能與其他使用者標識碼搭配使用,例如使用者名稱或電話號碼。 QR 代碼驗證是一種單一因素驗證方法,其中 PIN(您所知道的)是憑證。
QR 代碼驗證的優點
| Benefit | Description |
|---|---|
| 更輕鬆且更快速的登入 | 前線員工不需要輸入複雜的使用者名稱或密碼,即可在輪班期間多次登入共用裝置。 |
| Inexpensive | 列印 QR 代碼的成本低於硬體密鑰,對於具有臨時前線工作者的組織來說,這可能會造成成本過高。 |
PIN 屬性
當驗證原則管理員建立或重設 PIN 時,會套用下列原則。
| 原則 | Values |
|---|---|
| 允許的字元 | 數位 (0-9) |
| 未允許的字元 | - 字母 (A-Z, a-z) - 符號 (- @ # $ % ^ & * - _ ! + = [ ] { } |\ : ' , . ? / ' ~ “ ( ) ; <> - Unicode 字元 -空白 |
| PIN 長度 | 8-20 位數 |
| PIN 複雜度 | 強制措施以避免重複和常見的順序。 檢查下列樣式: - 不包含0123456789或9876543210。 - 請勿在 PIN 中重複 2-3 位數的序列,例如121212或123123或342342。 如果 PIN 包含不允許的字元或少於最短 PIN 長度,則會出現 無效的 PIN 錯誤。 |
使用 QR 代碼驗證實作的最佳安全性作法
當您啟用 QR 代碼驗證方法時,建議您使用下列量值,因為它是單一要素驗證(您知道的事項)。
- QR 代碼驗證主要適用於前線工作者(FLW),而不是資訊工作者(IW)。 我們建議針對 IW 使用網路釣魚防護驗證或 MFA。
- 請勿為租使用者中的所有使用者啟用 QR 代碼驗證。 僅針對將使用這個驗證方法的目標用戶啟用,例如,為前線工作者建立群組,並在 Microsoft Entra Authentication Methods 原則中只為其啟用 QR 代碼驗證。
- 將 QR 代碼驗證與條件式存取原則結合為另一個安全性層。 我們建議的原則,例如符合規範的裝置、網路內的存取、允許特定應用程式和共用裝置模式。
- 當使用者從商店或工作場所網路外部存取資源時,強制執行網路釣魚防護驗證或多因素驗證(MFA)。
- 取代遺失或遭竊的 QR 代碼。
- 強制執行 以登入風險為基礎的條件式存取原則 以封鎖存取。
驗證方法原則中的 QR 代碼設定
驗證原則管理員可以在 Microsoft Entra 系統管理中心的驗證方法中啟用 QR 代碼。 QR 代碼驗證預設為停用。
在 QR 代碼的驗證方法原則中,您可以設定:
PIN 長度:8-20 位數。
標準 QR 代碼的存留期:1-395 天。 預設值為365天。 驗證原則管理員可以在為使用者新增標準 QR 代碼時變更預設值。
例如,系統管理員可以在驗證方法原則中將值設定為30天。 對於該租使用者中的每個用戶,標準 QR 代碼的預設到期日為 30 天。 系統管理員可以變更特定用戶標準 QR 代碼的預設存留期。
在此螢幕快照中,PIN 長度會設定為預設值 8 位數。 標準 QR 代碼的存留期會縮減為 200 天。
QR 代碼驗證方法的功能詳細數據
當驗證原則管理員為使用者新增 QR 代碼驗證方法時,會產生標準 QR 代碼和 PIN。 若要建立暫時的 QR 代碼,他們需要編輯 QR 代碼驗證方法。
當使用者忘記攜帶帶有標準 QR 代碼的徽章時,暫時的 QR 代碼會有所幫助。 其存留期較短,最多 12 小時。 當使用者刪除 QR 代碼驗證方法時,他們無法使用現有的 QR 代碼和 PIN 登入。
PIN 適用於標準和暫時 QR 代碼,因為 PIN 對 QR 代碼驗證方法有效。 驗證原則管理員可以提供自定義 PIN,或在建立 QR 代碼驗證方法時產生 PIN。 只有在產生暫存 PIN 時,他們才能複製。 接著會遮罩 PIN 以防止暴露。
標準 QR 代碼、暫時 QR 代碼和 QR 代碼驗證方法 PIN 的可用性狀態彼此無關。 例如,使用中的 QR 代碼驗證方法可以有已刪除或過期的標準 QR 代碼,以及作用中的暫時 QR 代碼。 在任何指定的時間點,只能有單一作用中的標準 QR 代碼和單一作用中的暫時 QR 代碼。
下表列出標準 QR 代碼、暫存 QR 代碼和 PIN 狀態組合的範例。 成功驗證需要作用中的 QR 代碼和作用中的 PIN。
| 標準 QR 代碼 | 暫時 QR 代碼 | QR 代碼驗證方法的 PIN |
|---|---|---|
| Active | 不存在 | 暫時性或由使用者更新 |
| Active | Active | 暫時性或由使用者更新 |
| Deleted | 不存在 | 暫時性或由使用者更新 |
| Expired | Active | 暫時性或由使用者更新 |
| Expired | Expired | 暫時性或由使用者更新 |
如需如何管理 QR 代碼的詳細資訊,請參閱 如何在 Microsoft Entra ID 中啟用 QR 代碼驗證方法。
使用 QR 代碼驗證的使用者登入體驗
使用者可以使用 Web 登入體驗或優化的應用程式登入體驗,使用 QR 代碼登入。
行動 Web 登入體驗
您可以使用Microsoft的網頁瀏覽器登入體驗 (login.microsoft.com) 來驗證使用者。 使用者可以按下 登入選項,>登入組織>使用 QR 代碼登入。
行動應用程式登入體驗
您可以使用 Microsoft 驗證連結庫 (MSAL) 將 QR 代碼新增為登入頁面上的選項,將應用程式的登入優化。 然後,使用者可以使用兩個較少的點選來掃描 QR 代碼。 此優化的登入體驗可在BlueFletch和 Jamf 應用程式啟動器中使用。
如需如何優化登入體驗或隱藏相機同意提示的詳細資訊,請參閱:
目前版本中不支援的使用者案例
- 使用者的自助式 PIN 重設
- 大量配置 QR 代碼和 PIN
- 條碼掃描器的 QR 代碼掃描
- QR 代碼驗證不適用於傳統型應用程式或瀏覽器
- 自定義租戶端點用於登入
- 可設定的 PIN 保護原則,可定義帳戶鎖定閾值、持續時間或 PIN 複雜度
已知問題
如果您為使用者啟用 QR 代碼驗證,他們必須先使用現有的驗證方法登入,才能第一次使用 QR 代碼登入,否則他們會看到 不正確的 QR 代碼 錯誤。
例如:
- 您可以為使用者啟用 QR 代碼驗證。
- 用戶必須使用其密碼或其他登入方法登入。
- 針對後續的登入,他們可以使用 QR 代碼登入。
用戶必須以另一種方法登入,因為快取的使用者驗證方法原則不會更新,直到使用者再次驗證為止。