Как включить метод проверки подлинности QR-кода в идентификаторе Microsoft Entra (предварительная версия)

В этом разделе описывается, как включить метод проверки подлинности QR-кода в политике методов проверки подлинности в идентификаторе Microsoft Entra ID. В этой статье также рассматривается управление методом проверки подлинности QR-кода для пользователей и способом входа с помощью QR-кода и ПИН-кода.

Предварительные требования для включения метода проверки подлинности QR-кода

• Активная подписка Azure.
  • Если у вас нет подписки на Azure, зарегистрируйтесь для создания учетной записи.
• Клиент Microsoft Entra, связанный с вашей подпиской.
  • При необходимости создайте клиент Microsoft Entra или присоедините подписку Azure к своей учетной записи.
• Чтобы включить метод аутентификации с использованием QR-кода, вам необходимо иметь как минимум роль администратора политики аутентификации в клиенте Microsoft Entra.
• Каждый пользователь, включенный в политике метода проверки подлинности QR-кода, должен быть лицензирован, даже если он не использует его. Каждый пользователь с поддержкой должен иметь одну из следующих лицензий Microsoft Entra ID, EMS, Microsoft 365:
  • Microsoft 365 F1 или F3
  • [Microsoft Entra ID P1 или P2][цены на Azure AD]
  • Enterprise Mobility + Security (EMS) E3 или E5 или Microsoft 365 E3 или E5
  • Office 365 F3
• Общие устройства с Android, iOS или iPadOS (версия iOS/iPadOS 15.0 или более поздняя).
• Режим общего устройства включен на общих устройствах (необязательно, но настоятельно рекомендуется).
• Принтер для печати QR-кодов размером 2" x 2".
• Для доступа к проверке подлинности QR-кода в Teams приложение Teams, установленное на общем устройстве, потребуется следующая версия: Android версии 1.0.0.2024143204 или более поздней версии, а также iOS версии 1.0.0.77.2024132501 или более поздней.
• Включите и настройте портал "Мой Персонал", если вы планируете, чтобы передовые менеджеры использовали "Мой Персонал" для создания, управления и сброса QR-кодов и ПИН-кодов.

Включение метода проверки подлинности QR-кода

Вы можете включить метод проверки подлинности QR-кода с помощью Центра администрирования Microsoft Entra или API Microsoft Graph.

Включение метода проверки подлинности QR-кода в Центре администрирования Microsoft Entra

1. Войдите в Центр администрирования Microsoft Entra в роли как минимум администратора политики аутентификации.

2. Перейдите к защите, методам проверки подлинности>, политикам>.

3. Щелкните QR-код>, включите и назначьте>, добавьте цель>, чтобы выбрать группу пользователей, которым необходимо войти с помощью QR-кода.

   

4. При необходимости обновите параметры QR-кода по умолчанию:

   • По умолчанию длина ПИН-кода составляет 8 цифр. Длина ПИН-кода может составлять от 8 до 20 цифр. При увеличении длины ПИН-кода новое значение становится минимальным числом цифр, необходимых для ПИН-кода. Например, при увеличении длины ПИН-кода до 10 пользователь должен предоставить 10-значный ПИН-код во время следующего входа.
   • Время существования стандартного QR-кода (предоставленного пользователям для долгосрочного использования) по умолчанию составляет 365 дней. Диапазон составляет от 1 до 395 дней. Вы можете изменить время существования стандартного QR-кода для конкретного пользователя при добавлении метода проверки подлинности QR-кода для них.

   

5. Закончив, нажмите кнопку Сохранить.

Включение метода проверки подлинности QR-кода в API Microsoft Graph

В этом примере включена проверка подлинности QR-кода для группы с пин-кодом длиной 10 цифр и временем существования QR-кода уровня "Стандартный" в течение 395 дней:

• запрос

  PATCH https://graph.microsoft.com/beta/policies/authenticationMethodsPolicy/authenticationMethodConfigurations/qrCodePin
  {
    "@odata.type" : "microsoft.graph.qrCodePinAuthenticationMethodConfiguration", 
    "id": "qrCodePin", 
    "state": "enabled", 
    "includeTargets": [{ 
      "targetType": "group", 
      "id": "b185b746-e7db-4fa2-bafc-69ecf18850dd", 
      }], 
    "excludeTargets": [], 
    "standardQRCodeLifetimeInDays":395,
    "pinLength": 10
  }
  

• Ответ

  204 No Response
  

Добавление метода проверки подлинности QR-кода для пользователя

Вы можете добавить метод проверки подлинности QR-кода для пользователя с помощью Центра администрирования Microsoft Entra, My Staff или API Microsoft Graph. Одновременно допускается только один активный метод проверки подлинности QR-кода. Стандартный QR-код создается при добавлении метода проверки подлинности. Можно добавить временный QR-код, который является коротким, если пользователь не несет стандартный QR-код. Вы можете удалить стандартный или временный QR-код, чтобы добавить новый стандартный или временный QR-код. Пользователь может иметь только один стандартный и один временный QR-код в любой момент времени.

Добавление метода проверки подлинности QR-кода для пользователя в Центре администрирования Microsoft Entra

1. Войдите в Центр администрирования Microsoft Entra в качестве как минимум Администратора проверки подлинности.

2. Перейдите в раздел Пользователи, выберите пользователя и щелкните методы проверки подлинности .

3. Щелкните Добавить метод проверки подлинности и выберите QR-код.

   

4. При необходимости измените дату окончания срока действия пользователя. Установите для время активации как сейчас, так и позже. Укажите или создайте временный ПИН-код. Настраиваемый ПИН-код можно указать только при добавлении метода проверки подлинности QR-кода. ПИН-код создается автоматически во время событий сброса. Когда все готово, щелкните Добавить, чтобы добавить метод проверки подлинности QR-кода для пользователя.

   

5. Сохраните ПИН-код и щелкните Скачать изображение, чтобы скачать и распечатать QR-код. Изображение QR-кода имеет наименьший оптимальный размер печати. Если уменьшить размер QR-кода, это может повлиять на производительность сканирования QR-кода.

   Вы не можете повторно создать тот же QR-код, так как он имеет уникальный секрет. Если QR-код не может работать по какой-то причине, удалите его. Создайте новый QR-код для пользователя.

   

6. После добавления метода проверки подлинности QR-кода он отображается как удобный метод проверки подлинности для пользователя.

   

Добавление метода проверки подлинности QR-кода для пользователя в My Staff

1. Войдите на портал "Мой персонал" в качестве руководителя переднего плана. Выберите административную единицу и сотрудника первого уровня.

   

   

2. Щелкните Управление методом аутентификации с помощью QR-кода.

   

3. Щелкните Добавить метод QR-кода.

   

4. Укажите дату окончания срока действия и активации и нажмите кнопку Добавить, чтобы создать QR-код и ПИН-код для пользователя.

   

5. Сохраните ПИН-код, скачайте или распечатайте QR-код, а затем нажмите кнопку Готово. Скачиваемое изображение QR-кода имеет минимальный оптимальный размер для печати. Если уменьшить размер, QR-код трудно сканировать. Вы не можете повторно создать тот же QR-код, так как он имеет уникальный секрет. Если QR-код не может работать по какой-то причине, удалите его. Создайте новый QR-код для пользователя.

   

Добавление метода проверки подлинности QR-кода для пользователя в API Microsoft Graph

В этом примере для пользователя добавляется метод проверки подлинности QR-кода:

• запрос

  HTTP PUT/users/{id | userPrincipalName}/authentication/qrCodePinMethod
  
  
  {
    "standardQRCode": {
      "expireDateTime": "2024-12-30T12:00:00Z",
      "startDateTime": "2024-10-30T12:00:00Z"
    },
    "pin": {
      "code": "<PIN>"
    }
  }
  

• Ответ

  HTTP/1.1 201 Created
  Location: /beta/users/aaaaaaaa-bbbb-cccc-1111-222222222222/authentication/qrCodePinMethod`
  Content-type: application/json
  
  {
    "standardQRCode": {
      "id": "BBBBBBBB-1C1C-2D2D-3E3E-444444444444"
      "expireDateTime": "2024-12-30T12:00:00Z",
      "startDateTime": "2024-10-30T12:00:00Z"
      "createdDateTime": "2024-10-30T12:00:00Z",
      "lastUsedDateTime": null,
       "image":
          {
    "binaryValue": "<binaryImageData>",
           "version": 1,
           "errorCorrectionLevel": "H".
           "rawContent": <binary data encoded in QR>        
    }
      },
    "temporaryQRCode": null,
    "pin": {
      "code": "<PIN>",
      "isForcePinChangeRequired": true,
      "createdDateTime": "2024-10-30T12:00:00Z",
      "updatedDateTime": null
    }  
  }
  

В этом примере проверяется, добавляется ли метод проверки подлинности QR-кода для пользователя:

• запрос

  GET https://graph.microsoft.com/beta/users/[email protected]/authentication/qrCodePinMethod`
  

• Ответ

  HTTP/1.1 200 OK
  Content-type: application/json
  
  {
    "id": "<id>",
    "standardQRCode": {
      "id": "BBBBBBBB-1C1C-2D2D-3E3E-444444444444"
      "image": null,
      "expireDateTime": "2024-12-30T12:00:00Z",
      "startDateTime": "2024-10-30T12:00:00Z"
      "createdDateTime": "2024-10-30T12:00:00Z",
      "lastUsedDateTime": "2024-12-30T12:00:00Z"
    },
    "temporaryQRCode": {
      "id": "CCCCCCCC-2D2D-3E3E-4F4F-555555555555"
      "image": null,
      "expireDateTime": "2024-12-30T12:00:00Z",
      "startDateTime": "2024-10-30T12:00:00Z"
      "createdDateTime": "2024-10-30T12:00:00Z",
      "lastUsedDateTime": "2024-12-30T12:00:00Z"
    },
    "pin": {
      "code": null,
      "isForcePinChangeRequired": false,
      "createdDateTime": "2024-10-30T12:00:00Z",
      "updatedDateTime": "2024-11-30T12:00:00Z"
    }
  }
  
  

Изменение метода проверки подлинности QR-кода для пользователя

Вы можете изменить метод проверки подлинности QR-кода для пользователя с помощью Центра администрирования Microsoft Entra, My Staff или API Microsoft Graph.

Изменение метода проверки подлинности QR-кода для пользователя в Центре администрирования Microsoft Entra

• Перейдите к удобным методам проверки подлинности для пользователя и щелкните Изменить, чтобы изменить свойства метода проверки подлинности QR-кода.

  

• Измените срок действия стандартного QR-кода и нажмите кнопку Сохранить. После внесения изменений щелкните Готово.

  

• Удалите стандартный QR-код. Вы можете удалить стандартный QR-код, если заявлено, что он считается истекшим, скомпрометированным или украденным.

  

  После удаления стандартного QR-кода щелкните символ добавления (+), чтобы добавить новый стандартный QR-код для пользователя. Удаленный QR-код больше не действителен для входа.

  Необходимо распечатать и распространить новый QR-код пользователю. Пользователь может продолжать использовать существующий ПИН-код.

  

• Сброс ПИН-кода. Если необходимо сбросить ПИН-код пользователя, создайте временный ПИН-код и передайте его пользователю. Пользователю потребуется изменить временный ПИН-код при следующем входе. Щелкните значок карандаша после маскированного ПИН-кода. Щелкните Создать новый ПИН-код, чтобы создать новый временный ПИН-код. Нажмите кнопку ОК, чтобы убедиться, что пользователь вынужден изменить временный ПИН-код при следующем входе. Скопируйте временный ПИН-код и поделитесь им с пользователем.

  

• Добавьте или удалите временный QR-код. Временный QR-код уменьшает нагрузку на администратора, снижая затраты на создание и удаление QR-кода на бейдже, если пользователь не принес бейдж на работу. Это также снижает стресс, связанный с сохранением QR-кода после их смены. Временный QR-код имеет время существования 1–12 часов и может быть активирован мгновенно или позже. Чтобы деактивировать QR-код, можно удалить временный QR-код или дождаться его истечения срока действия.

  

  

Изменение метода проверки подлинности QR-кода для пользователя в My Staff

• Чтобы изменить дату окончания срока действия стандартного QR-кода, щелкните Изменить. Измените дату окончания срока действия и сохраните изменения.

  

• Чтобы удалить стандартный QR-код, щелкните Удалитьи подтвердите действие.

  

• Чтобы добавить новый стандартный QR-код, щелкните Добавить новый рядом со стандартным QR-кодом.

  

  Выберите время активации и дату окончания срока действия QR-кода и нажмите кнопку Добавить.

  

  Скачайте или распечатайте QR-код и нажмите кнопку Готово.

  

• Чтобы добавить временный QR-код, щелкните Добавить новый рядом с временным QR-кодом. Укажите срок службы в часах и дату активации , затем нажмите Добавить.

  

  Скачайте или распечатайте QR-код и нажмите кнопку Готово.

  

• Чтобы сбросить ПИН-код, нажмите Сброс ПИН-кода.

  

  Щелкните Копировать ПИН-код, чтобы скопировать ПИН-код в буфер обмена.

  

Изменение метода проверки подлинности QR-кода для пользователя в API Microsoft Graph

В этом примере показано, как удалить стандартный QR-код для пользователя, если он теряет свой значок, и создать новый стандартный QR-код. Пользователю не требуется изменять ПИН-код.

Удалите стандартный QR-код:

• запрос

  DELETE https://graph.microsoft.com/beta/users/[email protected]/authentication/qrCodePinMethod/standardQRCode`
  

• Ответ

  HTTP/1.1 204 No Content
  

Создайте стандартный QR-код:

• запрос

  HTTP PATCH/users/{id | userPrincipalName}/authentication/qrCodePinMethod/standardQRCode`
  
  
  {
      "startDateTime": "2024-10-30T12:00:00Z",
      "expireDateTime": "2024-12-30T12:00:00Z"
  }
  

• Ответ

  HTTP/1.1 201 Created
  Location: /beta/users/aaaaaaaa-bbbb-cccc-1111-222222222222/authentication/qrCodePinMethod/standardQRCode`
  Content-type: application/json
  
  {
      "id": "BBBBBBBB-1C1C-2D2D-3E3E-444444444444"
      "expireDateTime": "2024-12-30T12:00:00Z",
      "startDateTime": "2024-10-30T12:00:00Z"
      "createdDateTime": "2024-10-30T12:00:00Z",
      "lastUsedDateTime": null,
       "image":
          {
    "binaryValue": "<binaryImageData>",
           "version": 1,
           "errorCorrectionLevel": "H".
           "rawContent": <binary data encoded in QR>        
    }
    }
  
  

Получите стандартный QR-код:

• запрос

  GET https://graph.microsoft.com/beta/users/{id|UPN}/authentication/qrCodePinMethod/standardQRCode`
  

• Ответ

  HTTP/1.1 200 OK
  Content-type: application/json
  
  {
      "id": "BBBBBBBB-1C1C-2D2D-3E3E-444444444444",
      "image": null,
      "expireDateTime": "2024-12-30T12:00:00Z",
      "startDateTime": "2024-10-30T12:00:00Z"
      "createdDateTime": "2024-10-30T12:00:00Z",
      "lastUsedDateTime": "2024-12-30T12:00:00Z"
  }
  
  

В этом примере показано, как создать временный QR-код для пользователя. Пользователь может использовать существующий ПИН-код. Эта операция возвращает ошибку, если временный QR-код уже существует для пользователя, или если expireDateTime более чем на 12 часов позже startDateTime.

• запрос

  HTTP PATCH/users/{id | userPrincipalName}/authentication/qrCodePinMethod/temporaryQRCode`
  
  
  {
      "startDateTime": "2024-10-30T12:00:00Z",
      "expireDateTime": "2024-10-30T22:00:00Z"
  }
  

• Ответ

  HTTP/1.1 201 Created
  Location: /beta/users/aaaaaaaa-bbbb-cccc-1111-222222222222/authentication/qrCodePinMethod/temporaryQRCode`
  Content-type: application/json
  
  {
      "id": "EEEEEEEE-4F$F-5A5A-6B6B-777777777777"
      "expireDateTime": "2024-10-30T22:00:00Z",
      "startDateTime": "2024-10-30T12:00:00Z"
      "createdDateTime": "2024-10-30T12:00:00Z",
      "lastUsedDateTime": null,
       "image":
          {
    "binaryValue": "<binaryImageData>",
           "version": 1,
           "errorCorrectionLevel": "H".
           "rawContent": <binary data encoded in QR>        
    }
    }
  
  
  

Получите временный QR-код:

• запрос

  GET https://graph.microsoft.com/beta/users/{id|UPN}/authentication/qrCodePinMethod/temporaryQRCode`
  

• Ответ

  HTTP/1.1 200 OK
  Content-type: application/json
  
  {
      "id": "EEEEEEEE-4F$F-5A5A-6B6B-777777777777",
      "image": null,
      "expireDateTime": "2024-10-30T22:00:00Z",
      "startDateTime": "2024-10-30T12:00:00Z"
      "createdDateTime": "2024-10-30T12:00:00Z",
      "lastUsedDateTime": "2024-10-30T20:00:00Z"
  }
  
  

В этом примере показано, как удалить временный QR-код для пользователя.

• запрос

  DELETE https://graph.microsoft.com/beta/users/[email protected]/authentication/qrCodePinMethod/temporaryQRCode`
  

• Ответ

  HTTP/1.1 204 No Content
  

В этом примере показано, как сбросить ПИН-код с помощью метода аутентификации с использованием QR-кода.

• запрос

  PATCH https://graph.microsoft.com/beta/users/[email protected]/authentication/qrCodePinMethod/pin`
  

• Ответ

  {
    "code": <PIN>,
    "forceChangePinNextSignIn": true,
    "createdDateTime": "2024-10-30T12:00:00Z",
    "updatedDateTime": null
  }
  

В этом примере показано, как принудительно изменить ПИН-код пользователя для метода проверки подлинности QR-кода:

• запрос

  PATCH https://graph.microsoft.com/beta/users/[email protected]/authentication/qrCodePinMethod/updatePin`
  
  {
    "currentPin": "<Old PIN>",
    "newPin": "<New PIN>"
  }
  

• Ответ

  HTTP/1.1 204 No Content
  

Удаление метода проверки подлинности QR-кода для пользователя

Вы можете удалить метод проверки подлинности QR-кода для пользователя с помощью Центра администрирования Microsoft Entra, My Staff или API Microsoft Graph.

Удаление метода проверки подлинности QR-кода для пользователя в Центре администрирования Microsoft Entra

Если метод проверки подлинности QR-кода удаляется для пользователя, он больше не сможет войти с помощью этого метода проверки подлинности.

1. Войдите в Центр администрирования Microsoft Entra в качестве как минимум Администратора проверки подлинности.

2. Перейдите в раздел Пользователи, выберите пользователя и щелкните методы проверки подлинности .

3. В разделе Доступные методы проверки подлинностинажмите на многоточие справа от QR-кода и выберите Удалить.

   

Удаление метода проверки подлинности QR-кода для пользователя в My Staff

1. Чтобы удалить сам метод проверки подлинности QR-кода, щелкните Удалить метод QR-кода.

   

2. Щелкните Удалить, чтобы подтвердить действие.

   

Удаление метода проверки подлинности QR-кода для пользователя в API Microsoft Graph

В этом примере показано, как удалить стандартный QR-код для пользователя.

• запрос

  DELETE https://graph.microsoft.com/beta/users/[email protected]/authentication/qrCodePinMethod/standardQRCode`
  

• Ответ

  HTTP/1.1 204 No Content
  

Войдите в Microsoft Teams или Управляемый Начальный Экран (MHS) с помощью QR-кода.

Microsoft Teams и Управляемый экран главного меню (MHS) имеют оптимизированный процесс входа с использованием QR-кода. Администратор политики проверки подлинности должен настроить Intune или другое решение для управления мобильными устройствами (MDM), чтобы включить метод проверки подлинности QR-кода для мобильных устройств.

Включение входа с ПОМОЩЬЮ QR-кода в Teams или MHS

При настройке с помощью Intune назначьте Microsoft Authenticator в качестве обязательного приложения для всех устройств, для которого требуется добавить проверку подлинности QR-кода.

Опыт входа в Teams с использованием QR-кода

Пользователям необходимо скачатьTeams. В следующей таблице перечислены минимальные версии Teams для мобильных операционных систем. Дополнительные сведения о версиях Teams см. в истории обновлений версий для нового и классического приложения Microsoft Teams.

Пользователи могут выполнить следующие действия, чтобы войти с помощью QR-кода в Teams:

1. Щелкните Сканируйте QR-код в Microsoft Teams.

2. Отсканируйте QR-код. Предоставьте согласие, если вы запрашиваете разрешение камеры.

3. Введите ПИН-код.

4. Теперь вы вошли в приложение.

   

5. При входе с помощью временного ПИН-кода необходимо изменить его.

   

Опыт веб-авторизации через QR-код (login.microsoftonline.com)

1. Щелкните Дополнительные параметры входа>войти в организацию>войти с помощью QR-кода.

2. Разрешите камере при появлении запроса > проверить QR-код > введите ПИН-код > успешно вошли в систему.

   

Добавление безопасности с помощью проверки подлинности QR-кода с помощью политик условного доступа

Ограничьте метод аутентификации через QR-код только для полевых сотрудников, соответствующих правилам, и совместно используемых устройств. В этом разделе описывается, как создавать политики, ограничивающие метод проверки подлинности QR-кода только внешним работникам и общим устройствам.

Ограничение проверки подлинности QR-кода для сотрудников передней линии

1. Войдите в Центр администрирования Microsoft Entra в роли как минимум администратора политики аутентификации.

2. Перейдите к защите>методам проверки подлинности>QR-коду>включению и нацеливанию.

3. Щелкните Добавить целевую группу>, выберите группу, которая включает только сотрудников передовой линии, например сотрудников передовой линии на следующем снимке экрана. Этот выбор группы ограничивает включение метода проверки подлинности QR-кода только для фронтовых работников, добавленных в группу .

   

Ограничьте проверку подлинности QR-кода устройствами общего доступа

1. Войдите в Центр администрирования Microsoft Entra в качестве администратора условного доступа .

2. Щелкните Условный доступ>Степени проверки подлинности>Новая степень проверки подлинности.

   

3. Создайте настраиваемую политику условного доступа для усиленной аутентификации. Выберите аутентификацию QR-код (предварительная версия).

4. Создайте политику условного доступа, требующую, чтобы общие устройства были помечены как соответствующие политикам из Intune или другого решения MDM. Эта политика гарантирует, что полевые работники могут получать доступ только к определенным ресурсам с соответствующего общего устройства, в которое они вошли с помощью QR-кода.

   1. В разделе Пользователи или удостоверения рабочей нагрузки>Включить> выберите "Пользователи и группы"и затем выберите группу фронтовых работников.

   2. В разделе Целевые ресурсы>Включить> выберите определенные ресурсы, к которым могут получить доступ работники на передовой.

   3. В разделе Условиящелкните на Фильтр для устройств, установите Настроить на Да.

   4. Нажмите Включить фильтрованные устройства в политике.

   5. Для свойства выберите ProfileType.

   6. В поле Оператор выберите значение Равно.

   7. Для значения выберите, общий .

      

   8. В разделе Элементы управления доступом>Правила> выберите Требовать, чтобы устройство было помечено как соответствующее, и щелкните Выбрать.

   9. Нажмите кнопку Создать.

Связанный контент

• методы проверки подлинности в идентификаторе Microsoft Entra — метод проверки подлинности QR-кода (предварительная версия)
• Управление пользователями с помощью my Staff
• Какие методы аутентификации и подтверждения доступны в Microsoft Entra ID?