Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этом разделе описывается, как включить метод проверки подлинности QR-кода в политике методов проверки подлинности в идентификаторе Microsoft Entra ID. В этой статье также рассматривается управление методом проверки подлинности QR-кода для пользователей и способом входа с помощью QR-кода и ПИН-кода.
Прежде чем включить метод проверки подлинности QR-кода, ознакомьтесь с рекомендациями по использованию средств управления безопасностью для работы или домашнего доступа для сотрудников передней линии. Дополнительные сведения см. в рекомендациях по защите сотрудников фронта.
Предварительные требования для включения метода проверки подлинности QR-кода
- Активная подписка Azure.
- Если у вас нет подписки Azure, создайте учетную запись.
- Клиент Microsoft Entra, связанный с вашей подпиской.
- При необходимости создайте клиент Microsoft Entra или свяжите подписку Azure с вашей учетной записью.
- Чтобы включить метод аутентификации с использованием QR-кода, вам необходимо иметь как минимум роль администратора политики аутентификации в вашем клиенте Microsoft Entra.
- Каждый пользователь, включенный в политике метода проверки подлинности QR-кода, должен быть лицензирован, даже если он не использует его. Каждый пользователь с поддержкой должен иметь одну из следующих лицензий Microsoft Entra ID, EMS, Microsoft 365:
- Общие устройства с Android, iOS или iPadOS (версия iOS/iPadOS 15.0 или более поздняя).
- Режим общего устройства включен на общих устройствах (необязательно, но настоятельно рекомендуется).
- Принтер для печати QR-кодов размером 2" x 2".
- Для доступа к проверке подлинности QR-кода в Teams приложение Teams, установленное на общем устройстве, потребуется следующая версия: Android версии 1.0.0.2024143204 или более поздней версии, а также iOS версии 1.0.0.77.2024132501 или более поздней.
- Включите и настройте портал "Мой персонал", если вы планируете, чтобы линейные руководители использовали портал "Мой персонал" для настройки, управления и сброса QR-кодов и ПИНов.
Включение метода проверки подлинности QR-кода
Вы можете включить метод проверки подлинности QR-кода с помощью Центра администрирования Microsoft Entra или API Microsoft Graph.
Включение метода проверки подлинности QR-кода в Центре администрирования Microsoft Entra
Войдите в Центр администрирования Microsoft Entra как минимум администратор политики аутентификации.
Перейдите к Entra ID>методам проверки подлинности>политикам.
Щелкните QR-код>Включить и выбрать цель>Добавить цель>, чтобы выбрать группу пользователей, которым необходимо войти с QR-кодом.
При необходимости обновите параметры QR-кода по умолчанию:
- По умолчанию длина ПИН-кода составляет 8 цифр. Длина ПИН-кода может составлять от 8 до 20 цифр. При увеличении длины ПИН-кода новое значение становится минимальным числом цифр, необходимых для ПИН-кода. Например, при увеличении длины ПИН-кода до 10 пользователь должен предоставить 10-значный ПИН-код во время следующего входа.
- Время существования стандартного QR-кода (предоставленного пользователям для долгосрочного использования) по умолчанию составляет 365 дней. Диапазон составляет от 1 до 395 дней. Вы можете изменить время существования стандартного QR-кода для конкретного пользователя при добавлении метода проверки подлинности QR-кода для них.
По завершении нажмите кнопку "Сохранить".
Включение метода проверки подлинности QR-кода в API Microsoft Graph
В этом примере включена проверка подлинности QR-кода для группы с пин-кодом длиной 10 цифр и временем существования QR-кода уровня "Стандартный" в течение 395 дней:
Просьба
PATCH https://graph.microsoft.com/beta/policies/authenticationMethodsPolicy/authenticationMethodConfigurations/qrCodePin { "@odata.type" : "microsoft.graph.qrCodePinAuthenticationMethodConfiguration", "id": "qrCodePin", "state": "enabled", "includeTargets": [{ "targetType": "group", "id": "b185b746-e7db-4fa2-bafc-69ecf18850dd", }], "excludeTargets": [], "standardQRCodeLifetimeInDays":395, "pinLength": 10 }Ответ
204 No Response
Добавление метода проверки подлинности QR-кода для пользователя
Вы можете добавить метод проверки подлинности QR-кода для пользователя с помощью Центра администрирования Microsoft Entra, My Staff или API Microsoft Graph. Одновременно допускается только один активный метод проверки подлинности QR-кода. Стандартный QR-код создается при добавлении метода проверки подлинности. Можно добавить временный QR-код, который является коротким, если пользователь не несет стандартный QR-код. Вы можете удалить стандартный или временный QR-код, чтобы добавить новый стандартный или временный QR-код. Пользователь может иметь только один стандартный и один временный QR-код в любой момент времени.
Добавление метода проверки подлинности QR-кода для пользователя в Центре администрирования Microsoft Entra
Войдите в Центр администрирования Microsoft Entra как минимум администратор проверки подлинности.
Перейдите к пользователям, выберите пользователя и нажмите кнопку "Методы проверки подлинности".
Нажмите кнопку "Добавить метод проверки подлинности " и выберите QR-код.
При необходимости измените дату окончания срока действия пользователя. Установите время активации на сейчас или позже. Укажите или создайте временный ПИН-код. Настраиваемый ПИН-код можно указать только при добавлении метода проверки подлинности QR-кода. ПИН-код создается автоматически во время событий сброса. Когда все готово, нажмите кнопку "Добавить ", чтобы добавить метод проверки подлинности QR-кода для пользователя.
Сохраните ПИН-код и нажмите кнопку "Скачать изображение ", чтобы скачать и распечатать QR-код. Изображение QR-кода имеет наименьший оптимальный размер печати. Если уменьшить размер QR-кода, это может повлиять на производительность сканирования QR-кода.
Вы не можете повторно создать тот же QR-код, так как он имеет уникальный секрет. Если QR-код не может работать по какой-то причине, удалите его. Создайте новый QR-код для пользователя.
После добавления метода проверки подлинности QR-кода он отображается как удобный метод проверки подлинности для пользователя.
Добавление метода проверки подлинности QR-кода для пользователя в My Staff
Войдите на портал "Мой персонал" в качестве руководителя переднего плана. Выберите административную единицу и сотрудника первого уровня.
Щелкните "Управление методом проверки подлинности QR-кода".
Нажмите кнопку "Добавить QR-код".
Укажите дату окончания срока действия и активации и нажмите кнопку "Добавить ", чтобы создать QR-код и ПИН-код для пользователя.
Сохраните ПИН-код, скачайте или распечатайте QR-код и нажмите кнопку "Готово". Скачиваемое изображение QR-кода имеет минимальный оптимальный размер для печати. Если уменьшить размер, QR-код трудно сканировать. Вы не можете повторно создать тот же QR-код, так как он имеет уникальный секрет. Если QR-код не может работать по какой-то причине, удалите его. Создайте новый QR-код для пользователя.
Добавление метода проверки подлинности QR-кода для пользователя в API Microsoft Graph
В этом примере для пользователя добавляется метод проверки подлинности QR-кода:
Просьба
HTTP PUT/users/{id | userPrincipalName}/authentication/qrCodePinMethod { "standardQRCode": { "expireDateTime": "2024-12-30T12:00:00Z", "startDateTime": "2024-10-30T12:00:00Z" }, "pin": { "code": "<PIN>" } }Ответ
HTTP/1.1 201 Created Location: /beta/users/aaaaaaaa-bbbb-cccc-1111-222222222222/authentication/qrCodePinMethod` Content-type: application/json { "standardQRCode": { "id": "BBBBBBBB-1C1C-2D2D-3E3E-444444444444" "expireDateTime": "2024-12-30T12:00:00Z", "startDateTime": "2024-10-30T12:00:00Z" "createdDateTime": "2024-10-30T12:00:00Z", "lastUsedDateTime": null, "image": { "binaryValue": "<binaryImageData>", "version": 1, "errorCorrectionLevel": "H". "rawContent": <binary data encoded in QR> } }, "temporaryQRCode": null, "pin": { "code": "<PIN>", "isForcePinChangeRequired": true, "createdDateTime": "2024-10-30T12:00:00Z", "updatedDateTime": null } }
В этом примере проверяется, добавляется ли метод проверки подлинности QR-кода для пользователя:
Просьба
GET https://graph.microsoft.com/beta/users/flokreg@contoso.com/authentication/qrCodePinMethod`Ответ
HTTP/1.1 200 OK Content-type: application/json { "id": "<id>", "standardQRCode": { "id": "BBBBBBBB-1C1C-2D2D-3E3E-444444444444" "image": null, "expireDateTime": "2024-12-30T12:00:00Z", "startDateTime": "2024-10-30T12:00:00Z" "createdDateTime": "2024-10-30T12:00:00Z", "lastUsedDateTime": "2024-12-30T12:00:00Z" }, "temporaryQRCode": { "id": "CCCCCCCC-2D2D-3E3E-4F4F-555555555555" "image": null, "expireDateTime": "2024-12-30T12:00:00Z", "startDateTime": "2024-10-30T12:00:00Z" "createdDateTime": "2024-10-30T12:00:00Z", "lastUsedDateTime": "2024-12-30T12:00:00Z" }, "pin": { "code": null, "isForcePinChangeRequired": false, "createdDateTime": "2024-10-30T12:00:00Z", "updatedDateTime": "2024-11-30T12:00:00Z" } }
Изменение метода проверки подлинности QR-кода для пользователя
Вы можете изменить метод проверки подлинности QR-кода для пользователя с помощью Центра администрирования Microsoft Entra, My Staff или API Microsoft Graph.
Изменение метода проверки подлинности QR-кода для пользователя в Центре администрирования Microsoft Entra
Перейдите к удобным методам проверки подлинности для пользователя и нажмите кнопку "Изменить ", чтобы изменить свойства метода проверки подлинности QR-кода.
Измените срок действия стандартного QR-кода и нажмите кнопку "Сохранить". После внесения изменений нажмите кнопку "Готово".
Удалите стандартный QR-код. Вы можете удалить стандартный QR-код, если заявлено, что он считается истекшим, скомпрометированным или украденным.
После удаления стандартного QR-кода щелкните символ добавления (+), чтобы добавить новый стандартный QR-код для пользователя. Удаленный QR-код больше не действителен для входа.
Необходимо распечатать и распространить новый QR-код пользователю. Пользователь может продолжать использовать существующий ПИН-код.
Сброс ПИН-кода. Если необходимо сбросить ПИН-код пользователя, создайте временный ПИН-код и передайте его пользователю. Пользователю потребуется изменить временный ПИН-код при следующем входе. Щелкните значок карандаша после маскированного ПИН-кода. Нажмите кнопку "Создать новый ПИН-код" , чтобы создать временный ПИН-код. Нажмите кнопку "ОК ", чтобы убедиться, что пользователь вынужден изменить временный ПИН-код при следующем входе. Скопируйте временный ПИН-код и поделитесь им с пользователем.
Добавьте или удалите временный QR-код. Временный QR-код уменьшает нагрузку на администратора, снижая затраты на создание и удаление QR-кода на бейдже, если пользователь не принес бейдж на работу. Это также снижает стресс, связанный с сохранением QR-кода после их смены. Временный QR-код имеет время существования 1–12 часов и может быть активирован мгновенно или позже. Чтобы деактивировать QR-код, можно удалить временный QR-код или дождаться его истечения срока действия.
Изменение метода проверки подлинности QR-кода для пользователя в My Staff
Чтобы изменить дату окончания срока действия стандартного QR-кода, нажмите кнопку "Изменить". Измените дату окончания срока действия и сохраните изменения.
Чтобы удалить стандартный QR-код, нажмите кнопку "Удалить" и подтвердите действие.
Чтобы добавить новый стандартный QR-код, нажмите кнопку "Добавить новый " рядом со стандартным QR-кодом.
Выберите время активации и дату окончания срока действия QR-кода и нажмите кнопку "Добавить".
Скачайте или распечатайте QR-код и нажмите кнопку "Готово".
Чтобы добавить временный QR-код, нажмите кнопку "Добавить новый " рядом с временным QR-кодом. Укажите время существования в часах и дату активации и нажмите кнопку "Добавить".
Скачайте или распечатайте QR-код и нажмите кнопку "Готово".
Чтобы сбросить ПИН-код, нажмите кнопку "Сбросить ПИН-код".
Нажмите кнопку "Копировать ПИН-код", чтобы скопировать ПИН-код в буфер обмена.
Изменение метода проверки подлинности QR-кода для пользователя в API Microsoft Graph
В этом примере показано, как удалить стандартный QR-код для пользователя, если он теряет свой значок, и создать новый стандартный QR-код. Пользователю не требуется изменять ПИН-код.
Удалите стандартный QR-код:
Просьба
DELETE https://graph.microsoft.com/beta/users/flokreg@contoso.com/authentication/qrCodePinMethod/standardQRCode`Ответ
HTTP/1.1 204 No Content
Создайте стандартный QR-код:
Просьба
HTTP PATCH/users/{id | userPrincipalName}/authentication/qrCodePinMethod/standardQRCode` { "startDateTime": "2024-10-30T12:00:00Z", "expireDateTime": "2024-12-30T12:00:00Z" }Ответ
HTTP/1.1 201 Created Location: /beta/users/aaaaaaaa-bbbb-cccc-1111-222222222222/authentication/qrCodePinMethod/standardQRCode` Content-type: application/json { "id": "BBBBBBBB-1C1C-2D2D-3E3E-444444444444" "expireDateTime": "2024-12-30T12:00:00Z", "startDateTime": "2024-10-30T12:00:00Z" "createdDateTime": "2024-10-30T12:00:00Z", "lastUsedDateTime": null, "image": { "binaryValue": "<binaryImageData>", "version": 1, "errorCorrectionLevel": "H". "rawContent": <binary data encoded in QR> } }
Получите стандартный QR-код:
Просьба
GET https://graph.microsoft.com/beta/users/{id|UPN}/authentication/qrCodePinMethod/standardQRCode`Ответ
HTTP/1.1 200 OK Content-type: application/json { "id": "BBBBBBBB-1C1C-2D2D-3E3E-444444444444", "image": null, "expireDateTime": "2024-12-30T12:00:00Z", "startDateTime": "2024-10-30T12:00:00Z" "createdDateTime": "2024-10-30T12:00:00Z", "lastUsedDateTime": "2024-12-30T12:00:00Z" }
В этом примере показано, как создать временный QR-код для пользователя. Пользователь может использовать существующий ПИН-код. Эта операция возвращает ошибку, если временный QR-код уже существует для пользователя, или если срок действия времени истекает более 12 часов после startDateTime.
Просьба
HTTP PATCH/users/{id | userPrincipalName}/authentication/qrCodePinMethod/temporaryQRCode` { "startDateTime": "2024-10-30T12:00:00Z", "expireDateTime": "2024-10-30T22:00:00Z" }Ответ
HTTP/1.1 201 Created Location: /beta/users/aaaaaaaa-bbbb-cccc-1111-222222222222/authentication/qrCodePinMethod/temporaryQRCode` Content-type: application/json { "id": "EEEEEEEE-4F$F-5A5A-6B6B-777777777777" "expireDateTime": "2024-10-30T22:00:00Z", "startDateTime": "2024-10-30T12:00:00Z" "createdDateTime": "2024-10-30T12:00:00Z", "lastUsedDateTime": null, "image": { "binaryValue": "<binaryImageData>", "version": 1, "errorCorrectionLevel": "H". "rawContent": <binary data encoded in QR> } }
Получите временный QR-код:
Просьба
GET https://graph.microsoft.com/beta/users/{id|UPN}/authentication/qrCodePinMethod/temporaryQRCode`Ответ
HTTP/1.1 200 OK Content-type: application/json { "id": "EEEEEEEE-4F$F-5A5A-6B6B-777777777777", "image": null, "expireDateTime": "2024-10-30T22:00:00Z", "startDateTime": "2024-10-30T12:00:00Z" "createdDateTime": "2024-10-30T12:00:00Z", "lastUsedDateTime": "2024-10-30T20:00:00Z" }
В этом примере показано, как удалить временный QR-код для пользователя.
Просьба
DELETE https://graph.microsoft.com/beta/users/flokreg@contoso.com/authentication/qrCodePinMethod/temporaryQRCode`Ответ
HTTP/1.1 204 No Content
В этом примере показано, как сбросить ПИН-код с помощью метода аутентификации с использованием QR-кода.
Просьба
PATCH https://graph.microsoft.com/beta/users/flokreg@contoso.com/authentication/qrCodePinMethod/pin`Ответ
{ "code": <PIN>, "forceChangePinNextSignIn": true, "createdDateTime": "2024-10-30T12:00:00Z", "updatedDateTime": null }
В этом примере показано, как принудительно изменить ПИН-код пользователя для метода проверки подлинности QR-кода:
Просьба
PATCH https://graph.microsoft.com/beta/users/flokreg@contoso.com/authentication/qrCodePinMethod/updatePin` { "currentPin": "<Old PIN>", "newPin": "<New PIN>" }Ответ
HTTP/1.1 204 No Content
Удаление метода проверки подлинности QR-кода для пользователя
Вы можете удалить метод проверки подлинности QR-кода для пользователя с помощью Центра администрирования Microsoft Entra, My Staff или API Microsoft Graph.
Удаление метода проверки подлинности QR-кода для пользователя в Центре администрирования Microsoft Entra
Если метод проверки подлинности QR-кода удаляется для пользователя, он больше не сможет войти с помощью этого метода проверки подлинности.
Войдите в Центр администрирования Microsoft Entra как минимум администратор проверки подлинности.
Перейдите к пользователям, выберите пользователя и нажмите кнопку "Методы проверки подлинности".
В разделе "Доступные методы проверки подлинности" щелкните многоточие справа от QR-кода и нажмите "Удалить".
Удаление метода проверки подлинности QR-кода для пользователя в My Staff
Чтобы удалить сам метод проверки подлинности QR-кода, нажмите кнопку "Удалить QR-код".
Нажмите кнопку "Удалить", чтобы подтвердить действие.
Удаление метода проверки подлинности QR-кода для пользователя в API Microsoft Graph
В этом примере показано, как удалить стандартный QR-код для пользователя.
Просьба
DELETE https://graph.microsoft.com/beta/users/flokreg@contoso.com/authentication/qrCodePinMethod/standardQRCode`Ответ
HTTP/1.1 204 No Content
Войдите в Microsoft Teams или Управляемый Начальный Экран (MHS) с помощью QR-кода.
Microsoft Teams и Управляемый экран главного меню (MHS) имеют оптимизированный процесс входа с использованием QR-кода. Администратор политики проверки подлинности должен настроить Intune или другое решение для управления мобильными устройствами (MDM), чтобы включить метод проверки подлинности QR-кода для мобильных устройств.
Включение входа с ПОМОЩЬЮ QR-кода в Teams или MHS
При настройке с помощью Intune назначьте Microsoft Authenticator в качестве обязательного приложения для всех устройств, для которого требуется добавить проверку подлинности QR-кода.
| Платформа | Ключ конфигурации приложения MDM | Ценность | Расположение конфигурации |
|---|---|---|---|
| iOS | предпочтительная_настройка_аутентификации | qrpin | Профиль управления устройствами, который конфигурирует расширение для единого входа (SSO) |
| Андроид | предпочтительная_настройка_аутентификации | qrpin | Microsoft Authenticator |
Примечание.
MHS доступен только на устройствах Android.
Опыт входа в Teams с использованием QR-кода
Пользователям необходимо скачать Teams. В следующей таблице перечислены минимальные версии Teams для мобильных операционных систем. Дополнительные сведения о версиях Teams см. в журнале обновлений версий для нового и классического приложения Microsoft Teams.
| Мобильная ОС | Дата выпуска | Версия Teams |
|---|---|---|
| iOS и iPadOS | 21 июля 2024 г. | 6.13.1 (1.0.0.77.2024132501) |
| Андроид | 8 августа 2024 г. | 1416/1.0.0.2024143204 (2024143204) |
Пользователи могут выполнить следующие действия, чтобы войти с помощью QR-кода в Teams:
Нажмите кнопку "Сканировать QR-код " в Microsoft Teams.
Отсканируйте QR-код. Предоставьте согласие, если вы запрашиваете разрешение камеры.
Введите ПИН-код.
Теперь вы вошли в приложение.
При входе с помощью временного ПИН-кода необходимо изменить его.
Опыт веб-авторизации через QR-код (login.microsoftonline.com)
Нажмите Больше вариантов входа>Войти в организацию>Войти с помощью QR-кода.
Разрешите камере при появлении запроса > проверить QR-код > введите ПИН-код > успешно вошли в систему.
Добавление безопасности с помощью проверки подлинности QR-кода с помощью политик условного доступа
Ограничьте метод аутентификации через QR-код только для полевых сотрудников, соответствующих правилам, и совместно используемых устройств. В этом разделе описывается, как создавать политики, ограничивающие метод проверки подлинности QR-кода только внешним работникам и общим устройствам.
Ограничение проверки подлинности QR-кода для сотрудников передней линии
Войдите в Центр администрирования Microsoft Entra как минимум администратор политики аутентификации.
Перейдите к Entra ID>методам проверки подлинности>QR-код>включить и настроить цели.
Нажмите кнопку "Добавить целевой объект> " выберите группу, которая включает только рабочих линии фронта, например фронтлайн работников на следующем снимке экрана. Этот выбор группы ограничивает включение метода проверки подлинности QR-кода только для фронтовых работников, добавленных в группу .
Ограничьте проверку подлинности QR-кода устройствами общего доступа
Войдите в Центр администрирования Microsoft Entra в качестве администратора условного доступа.
Нажмите Условный доступ>Силы проверки подлинности>Новая сила проверки подлинности.
Создайте настраиваемую политику условного доступа для усиленной аутентификации. Выберите QR-код проверки подлинности.
Создайте политику условного доступа, требующую, чтобы общие устройства были помечены как соответствующие политикам из Intune или другого решения MDM. Эта политика гарантирует, что полевые работники могут получать доступ только к определенным ресурсам с соответствующего общего устройства, в которое они вошли с помощью QR-кода.
В разделе Пользователи или удостоверения рабочих нагрузок>включить> выберите Пользователи и группы и выберите группу ваших фронтовых работников.
В разделе "Целевые ресурсы>" выберите определенные ресурсы, к которым могутобращаться> сотрудники переднего плана.
В разделе "Условия" нажмите кнопку "Фильтр для устройств", установите для параметра "Настроить" значение "Да".
Щелкните Включить устройства, отфильтрованные в политике.
Для свойства выберите ProfileType.
Для оператора выберите Равно.
Для параметра "Значение" выберите "Общий".
В разделе "Предоставление доступа>"> выберите "Требовать, чтобы устройство было помечено как соответствующее" и нажмите кнопку "Выбрать".
Нажмите кнопку "Создать".