Microsoft Entra ID の認証方法 - QR コード認証方法 (プレビュー)

QR コード認証方法を使用すると、現場担当者は共有デバイス上のアプリに効率的にサインインできます。 ユーザーは、提供された一意の QR コードを使用して PIN を入力してサインインできるため、複雑なユーザー名とパスワードを入力する必要がなくなります。 現在、QR コード認証は、iOS/iPadOS または Android を実行するモバイル デバイスでのみサポートされています。

QR コード認証方法を有効にする前に、現場担当者の職場または自宅のアクセスにセキュリティ制御を使用するためのベスト プラクティスを確認してください。 詳細については、「 現場担当者を保護するためのベスト プラクティス」を参照してください。

QR コード認証とは

QR コード認証は、主に現場担当者向けに設計された簡単な認証方法です。 一意の QR コードと数値 PIN で構成されます。 QR コードは識別子として機能し、ユーザーに固有です。 Microsoft Entra 管理センター、マイ スタッフ、または Microsoft Graph を使用してダウンロードして印刷できます。 便宜上、QRコードはバッジやその他のウェアラブルアイテムに取り付けることができます。

認証管理者は、ユーザーに一時的な PIN を提供し、サインイン時に変更します。 PIN を知っているのはユーザーだけです。 QR コードにのみバインドされます。 ユーザー名や電話番号など、他のユーザー識別子と共に使用することはできません。 QR コード認証は、PIN (知っているもの) が資格情報である単一要素の方法です。

QR コード認証の利点

PIN プロパティ

認証ポリシー管理者が PIN を作成またはリセットすると、次のポリシーが適用されます。

QR コード認証を使用して実装するためのベスト セキュリティ プラクティス

単一要素認証 (知っているもの) であるため、QR コード認証方法を有効にする場合は、次の対策をお勧めします。

• QR コード認証は、主に現場担当者 (FLW) 用であり、インフォメーション ワーカー (IW) 用ではありません。 IW にはフィッシングに強い認証または MFA をお勧めします。
• テナント内のすべてのユーザーに対して QR コード認証を有効にしないでください。 この認証方法を使用する対象ユーザーに対してのみ有効にします。たとえば、現場担当者用のグループを作成し、Microsoft Entra 認証方法ポリシーでユーザーに対してのみ QR コード認証を有効にします。
• QR コード認証と条件付きアクセス ポリシーを別のセキュリティ 層として組み合わせます。 準拠デバイス、ネットワーク内のアクセス、特定のアプリケーションの許可、共有デバイス モードなどのポリシーをお勧めします。
• ユーザーがストアまたはワークプレース ネットワークの外部からリソースにアクセスするときに、フィッシングに強い認証または MFA を適用します。
• 紛失または盗難にあった QR コードを置き換えます。
• アクセスをブロックするために 、サインイン リスクベースの条件付きアクセス ポリシー を適用します。

認証方法ポリシーの QR コード構成

認証ポリシー管理者は、Microsoft Entra 管理センターの認証方法で QR コードを有効にすることができます。 QR コード認証は既定で無効になっています。

QR コードの認証方法ポリシーでは、次の構成を行うことができます。

• PIN の長さ: 8 ~ 20 桁。

• 標準 QR コードの有効期間: 1 ~ 395 日。 既定値は 365 日です。 認証ポリシー管理者は、ユーザーの標準 QR コードを追加するときに既定値を変更できます。

  たとえば、管理者は認証方法ポリシーの値を 30 日に設定できます。 そのテナント内のすべてのユーザーに対して、標準 QR コードの既定の有効期限は 30 日です。 管理者は、特定のユーザーの標準 QR コードの既定の有効期間を変更できます。

このスクリーンショットでは、PIN の長さが既定値の 8 桁に設定されています。 標準 QR コードの有効期間は 200 日に短縮されます。

QR コード認証方法の機能の詳細

認証ポリシー管理者がユーザーの QR コード認証方法を追加すると、標準の QR コードと PIN が生成されます。 一時的な QR コードを作成するには、QR コードの認証方法を編集する必要があります。

一時的な QR コードは、ユーザーが標準の QR コードでバッジを持ち込むのを忘れた場合に役立ちます。 有効期間が短く、最大 12 時間です。 ユーザーの QR コード認証方法が削除された場合、ユーザーは既存の QR コードと PIN でサインインできません。

PIN は標準の QR コードと一時的な QR コードの両方で機能します。これは、PIN が QR コード認証方法に対して有効であるためです。 認証ポリシー管理者は、QR コード認証方法を作成するときに、カスタム PIN を指定したり、PIN を生成したりすることができます。 一時的な PIN は、生成されたときにのみコピーできます。 その後、PIN は露出を防ぐためにマスクされます。

標準の QR コード、一時的な QR コード、QR コード認証方法の PIN の使いやすさの状態は、相互に関連していません。 たとえば、アクティブな QR コード認証方法では、標準 QR コードとアクティブな一時 QR コードを削除または期限切れにすることができます。 任意の時点で、アクティブな標準 QR コードとアクティブな一時 QR コードは 1 つだけです。

次の表に、標準 QR コード、一時 QR コード、PIN の状態の組み合わせの例を示します。 認証を成功させるには、アクティブ QR コードとアクティブ PIN が必要です。

QR コードを管理する方法の詳細については、「 Microsoft Entra ID (プレビュー)で QR コード認証方法を有効にする方法」を参照してください。

QR コード認証を使用したユーザー サインイン エクスペリエンス

ユーザーは、Web サインイン エクスペリエンスまたは最適化されたアプリ サインイン エクスペリエンスを使用して、QR コードでサインインできます。

モバイル Web サインイン エクスペリエンス

Microsoft の Web ブラウザーのサインイン エクスペリエンス (login.microsoft.com) を使用して、ユーザーを認証できます。 ユーザーは、[サインイン オプション] をクリック>組織にサインイン>QR コードでサインインします。

モバイル アプリのサインイン エクスペリエンス

Microsoft Authentication Library (MSAL) を使用してアプリのサインインを最適化し、サインイン ページで QR コードをオプションとして追加できます。 たとえば、Teams や Managed Home Screen (MHS) と同様に QR コード サインインを追加できます。 その後、ユーザーは 2 回のクリックで QR コードをスキャンできます。 この最適化されたサインイン エクスペリエンスは、BlueFletch および Jamf アプリ起動ツールで利用できます。

サインイン エクスペリエンスを最適化する方法の詳細については、次を参照してください。

• Android アプリで最適化された QR コード認証エクスペリエンスを設定する
• iOS アプリで最適化された QR コード認証エクスペリエンスを設定する

現在のリリースでサポートされていないユーザー シナリオ

• ユーザーのセルフサービス PIN リセット
• QR コードと PIN の一括プロビジョニング
• バーコード スキャナーによる QR コード スキャン
• QR コード認証がデスクトップ アプリまたはブラウザーで機能しない
• サインイン用のカスタム テナント エンドポイント
• アカウント ロックアウトのしきい値、期間、または PIN の複雑さを定義する構成可能な PIN 保護ポリシー

既知の問題

ユーザーに対して QR コード認証を有効にした場合、ユーザーが初めて QR コードでサインインする前に、既存の認証方法でサインインする必要があります。そうしないと、 正しくない QR コード エラーが表示されます。

例えば次が挙げられます。

• ユーザーに対して QR コード認証を有効にします。
• ユーザーは、自分のパスワードまたは別のサインイン方法でサインインする必要があります。
• 以降のサインインでは、QR コードを使用してサインインできます。

キャッシュされたユーザー認証方法ポリシーは、ユーザーが再認証されるまで更新されないため、ユーザーは別の方法でサインインする必要があります。

関連コンテンツ

• Microsoft Entra ID で QR コード認証方法を有効にする方法 (プレビュー)
• 現場担当者を保護するためのベスト プラクティス
• マイ スタッフを使用してユーザーを管理する
• Microsoft Entra ID で使用できる認証方法と検証方法は何ですか?