QR 代码身份验证方法使一线工作人员能够在共享设备上的应用中高效登录。 用户可以使用提供给他们的唯一 QR 码并输入其 PIN 进行登录,而无需输入复杂的用户名和密码。 目前,仅在运行 iOS/iPadOS 或 Android 的移动设备上支持 QR 码身份验证。
什么是 QR 码身份验证?
QR 码身份验证是一种简单的身份验证方法,主要用于一线工作人员。 它由唯一的 QR 码和数字 PIN 组成。 QR 码充当标识符,对用户是唯一的。 可以使用 Microsoft Entra 管理中心、My Staff 或 Microsoft Graph 下载和打印它。 为方便起见,二维码可以附加到徽章或任何其他可穿戴物品上。
身份验证管理员向用户提供临时 PIN,用户随后在登录期间对其进行更改。 只有用户知道 PIN。 它只会绑定到 QR 码。 它不能用于其他用户标识符,例如用户名或电话号码。 QR 码身份验证是一种单因素方法,其中 PIN(你知道)是凭据。
QR 码身份验证的优点
| 益处 | 说明 |
|---|---|
| 更轻松、更快速的登录 | 一线员工无需输入复杂的用户名或密码即可在整个轮班期间多次登录到共享设备。 |
| 低开销 | 打印 QR 码的成本低于硬件密钥,这对临时前线工作人员的组织来说可能成本过高。 |
PIN 属性
身份验证策略管理员创建或重置 PIN 时,将应用以下策略。
| 政策 | 价值观 |
|---|---|
| 允许的字符 | 数字 (0-9) |
| 不允许的字符 | - 字符(A-Z、a-z) - 符号 (- @ # $ % ^ & * - _ ! + = [ ] { } |\ : ' , . ? / ' ~ “ ( ) <> - Unicode 字符 -空白 |
| PIN 长度 | 8-20 位数字 |
| PIN 复杂性 | 强制实施以避免重复和常见序列。 以下模式将被检查: - 不包含0123456789或9876543210。 - 请勿在 PIN 中重复 2-3 位数字序列,例如121212或123123或342342。 如果 PIN 包含不允许的字符或小于最小长度,会出现“无效 PIN”错误。 |
使用 QR 码身份验证实现的最佳安全做法
当你启用 QR 码身份验证方法时,建议采取以下措施,因为它是单因素身份验证(你知道的)。
- QR 码身份验证主要针对一线工作人员(FLW),而不是信息工作者(IW)。 建议对 IW 使用防钓鱼身份验证或 MFA。
- 不要为租户中的所有用户启用 QR 码身份验证。 仅针对将使用此身份验证方法的目标用户启用,例如,为一线工作人员创建一个组,并在 Microsoft Entra Authentication Methods 策略中仅为他们启用 QR 码身份验证。
- 将 QR 码身份验证与条件访问策略合并为另一个安全层。 建议使用策略,例如合规设备、网络内访问、允许某些应用程序和共享设备模式。
- 当用户从应用商店或工作场所网络外部访问资源时,强制实施防钓鱼身份验证或 MFA。
- 替换丢失或被盗的 QR 码。
- 强制实施 基于登录风险的条件访问策略 以阻止访问。
身份验证方法策略中的 QR 代码配置
身份验证策略管理员可以在Microsoft Entra 管理中心的身份验证方法中启用 QR 码。 QR 码身份验证默认处于禁用状态。
在 QR 码的身份验证方法策略中,可以配置:
PIN 长度:8-20 位数字。
标准 QR 码的生存期:1-395 天。 默认值为 365 天。 身份验证策略管理员可以在为用户添加标准 QR 码时更改默认值。
例如,管理员可以在身份验证方法策略中将该值设置为 30 天。 对于该租户中的每个用户,标准 QR 码的默认过期为 30 天。 管理员可以更改特定用户的标准 QR 码的默认生存期。
在此屏幕截图中,PIN 长度设置为 8 位的默认值。 标准 QR 码的生存期减少到 200 天。
QR 码身份验证方法的功能详细信息
身份验证策略管理员为用户添加 QR 码身份验证方法时,会生成标准 QR 码和 PIN。 若要创建临时 QR 码,需要编辑 QR 码身份验证方法。
当用户忘记携带带标准 QR 码的徽章时,临时 QR 码会有所帮助。 它的生存期较短,最长为 12 小时。 当用户删除 QR 码身份验证方法时,他们无法使用其现有的 QR 码和 PIN 登录。
PIN 适用于标准 QR 码和临时 QR 码,因为 PIN 对于 QR 码身份验证方法有效。 身份验证策略管理员可以在创建 QR 码身份验证方法时提供自定义 PIN 或生成 PIN。 他们只能在生成临时 PIN 码时复制 PIN 码。 然后屏蔽 PIN 以防止暴露。
标准 QR 码、临时 QR 码和 QR 码身份验证方法的 PIN 的可用性状态彼此无关。 例如,活动 QR 码身份验证方法可以具有已删除或过期的标准 QR 码和活动的临时 QR 码。 在任何给定的时间点,只能有一个活动标准 QR 码和一个活动的临时 QR 码。
下表列出了标准 QR 码、临时 QR 码和 PIN 的状态组合的示例。 成功身份验证需要活动 QR 码和活动 PIN。
| 标准 QR 码 | 临时 QR 码 | QR 码身份验证方法的 PIN |
|---|---|---|
| 活动 | 不存在 | 临时的,或由用户更新的 |
| 活动 | 活动 | 临时的,或由用户更新的 |
| 已删除 | 不存在 | 临时的,或由用户更新的 |
| 已过期 | 活动 | 临时的,或由用户更新的 |
| 已过期 | 已过期 | 临时的,或由用户更新的 |
有关如何管理 QR 码的详细信息,请参阅 如何在 Microsoft Entra ID(预览版)中启用 QR 码身份验证方法。
使用 QR 码身份验证的用户登录体验
用户可以使用 Web 登录体验或优化的应用登录体验使用 QR 码登录。
移动 Web 登录体验
可以使用Microsoft的 Web 浏览器登录体验(login.microsoft.com)对用户进行身份验证。 用户可以单击“登录”选项>以QR 码>。
移动应用登录体验
可以使用Microsoft身份验证库(MSAL)将 QR 码添加为登录页上的选项来优化应用的登录。 例如,可以像在 Teams 或托管主屏幕 (MHS) 中一样添加 QR 码登录。 然后,用户可以少点击两次即可扫描 QR 码。 BlueFletch 和 Jamf 应用启动器中提供了这种优化的登录体验。
有关如何优化登录体验的详细信息,请参阅:
当前版本中不支持的用户方案
- 用户的自助式 PIN 码重置
- 批量预配 QR 码和 PIN
- 条形码扫描仪的 QR 码扫描
- QR 码身份验证不适用于桌面应用或浏览器
- 用于登录的自定义租户终结点
- 定义帐户锁定阈值、持续时间或 PIN 复杂性的可配置 PIN 保护策略
已知问题
如果为用户启用 QR 码身份验证,则需要先使用现有身份验证方法登录,然后才能首次使用 QR 码登录,否则他们会看到 错误的 QR 码 错误。
例如:
- 为用户启用 QR 码身份验证。
- 用户需要使用其密码或其他登录方法登录。
- 对于后续登录,他们可以使用 QR 码登录。
用户需要使用另一种方法登录,因为缓存的用户身份验证方法策略不会更新,直到用户再次进行身份验证。