如何在 Microsoft Entra ID 中启用 QR 码身份验证方法（预览版）

本主题介绍如何在Microsoft Entra ID 的身份验证方法策略中启用 QR 码身份验证方法。 它还介绍了如何管理用户的 QR 码身份验证方法，以及如何使用 QR 码和 PIN 登录。

启用 QR 码身份验证方法的先决条件

• 有效的 Azure 订阅。
  • 如果你没有 Azure 订阅，请创建一个帐户。
• 与订阅关联的Microsoft Entra租户。
  • 如果需要，请创建一个 Microsoft Entra 租户或将 Azure 订阅关联到你的帐户。
• 至少需要Microsoft Entra 租户中的 身份验证策略管理员 角色才能启用 QR 码身份验证方法。
• 在 QR 码身份验证方法策略中启用的每个用户都必须获得许可证，即使他们不使用该方法。 每个启用的用户都必须具有以下 Microsoft Entra ID、EMS、Microsoft 365 许可证之一：
  • Microsoft 365 F1 或 F3
  • [Microsoft Entra ID P1 或 P2][azure-ad-pricing]
  • 企业移动性 + 安全性 （EMS） E3 或 E5，Microsoft 365 E3 或 E5
  • Office 365 F3
• Android、iOS 或 iPadOS（iOS/iPadOS 版本 15.0 或更高版本）共享设备。
• 在共享设备上启用共享设备模式（可选但强烈建议这样做）。
• 打印 2 英寸 x 2 英寸 QR 码的打印机。
• 若要访问 Teams 上的 QR 码身份验证，在共享设备上安装的 Teams 应用需要以下版本：Android 版本 1.0.0.2024143204 或更高版本，以及 iOS 版本 1.0.0.77.2024132501 或更高版本。
• 如果计划一线经理使用“我的员工”预配、管理和重置 QR 码和 PIN，请启用和设置“我的员工”门户。

启用 QR 码身份验证方法

可以使用 Microsoft Entra 管理中心或Microsoft图形 API 启用 QR 码身份验证方法。

在 Microsoft Entra 管理中心启用 QR 码身份验证方法

1. 至少以身份验证策略管理员的身份登录到 Microsoft Entra 管理中心。

2. 转到 Entra ID>身份验证方法>策略。

3. 单击 二维码>启用并设置目标>添加目标>，选择需要使用二维码登录的一组用户。

   

4. 根据需要更新默认 QR 码设置：

   • 默认情况下，PIN 长度为 8 位。 PIN 长度可以是 8 到 20 位数字。 如果增加 PIN 长度，则新值将成为 PIN 所需的最小位数。 例如，如果将 PIN 长度增加到 10，则用户需要在下次登录期间提供 10 位 PIN。
   • 标准 QR 码（提供给用户长期使用）的默认生存期为 365 天。 范围介于 1-395 天之间。 为特定用户添加 QR 码身份验证方法时，可以更改特定用户的标准 QR 码的生存期。

   

5. 完成时单击“保存”。

在 Microsoft 图形 API 中启用 QR 码身份验证方法

此示例为组启用 QR 码身份验证，PIN 长度为 10 位，标准 QR 码生存期为 395 天：

• 请求

  PATCH https://graph.microsoft.com/beta/policies/authenticationMethodsPolicy/authenticationMethodConfigurations/qrCodePin
  {
    "@odata.type" : "microsoft.graph.qrCodePinAuthenticationMethodConfiguration", 
    "id": "qrCodePin", 
    "state": "enabled", 
    "includeTargets": [{ 
      "targetType": "group", 
      "id": "b185b746-e7db-4fa2-bafc-69ecf18850dd", 
      }], 
    "excludeTargets": [], 
    "standardQRCodeLifetimeInDays":395,
    "pinLength": 10
  }
  

• 响应

  204 No Response
  

为用户添加 QR 码身份验证方法

可以使用 Microsoft Entra 管理中心、My Staff 或 Microsoft Graph API 为用户添加 QR 码身份验证方法。 一次只允许使用一个活动的 QR 码身份验证方法。 标准 QR 码是在“添加身份验证方法”期间生成的。 如果用户不携带标准 QR 码，则可以添加临时 QR 码（即生存期较短）。 可以删除标准/临时 QR 码以添加新的标准/临时 QR 码。 用户在任何时间点只能有一个标准 QR 码和一个临时 QR 码处于活动状态。

在 Microsoft Entra 管理中心为用户添加 QR 码身份验证方法

1. 至少以身份验证管理员的身份登录到 Microsoft Entra 管理中心。

2. 转到 “用户”，选择一个用户，然后单击“ 身份验证”方法。

3. 单击“ 添加身份验证方法 ”并选择 QR 码。

   

4. 根据需要修改用户的到期日期。 将 激活时间 设置为现在或以后。 提供或生成临时 PIN。 仅当添加 QR 码身份验证方法时，才能指定自定义 PIN。 重置操作期间自动生成 PIN。 准备就绪后，单击“ 添加” 为用户添加 QR 码身份验证方法。

   

5. 保存 PIN，然后单击“ 下载图像 ”以下载并打印 QR 码。 QR 码图像下载具有最小的最佳打印大小。 如果减小 QR 码的大小，则可能会影响 QR 码扫描性能。

   无法重新生成相同的 QR 码，因为它具有唯一的机密。 如果 QR 码因某种原因无法正常工作，请将其删除。 为用户创建新的 QR 码。

   

6. 添加 QR 码身份验证方法后，它显示为用户的可用身份验证方法。

   

在“我的员工”中添加用户的 QR 码身份验证方法

1. 以一线经理身份登录到“我的员工”门户。 选择管理单元和一线工作人员。

   

   

2. 单击“ 管理 QR 码身份验证方法”。

   

3. 单击“ 添加 QR 码”方法。

   

4. 指定到期日期和激活日期，然后单击“ 添加” 为用户生成 QR 码和 PIN。

   

5. 保存 PIN，下载或打印 QR 码，然后单击“ 完成”。 QR 码图像下载的打印大小最小。 如果减小大小，则很难扫描 QR 码。 无法重新生成相同的 QR 码，因为它具有唯一的机密。 如果 QR 码因某种原因无法正常工作，请将其删除。 为用户创建新的 QR 码。

   

在 Microsoft 图形 API 中为用户添加 QR 码身份验证方法

此示例为用户添加 QR 码身份验证方法：

• 请求

  HTTP PUT/users/{id | userPrincipalName}/authentication/qrCodePinMethod
  
  
  {
    "standardQRCode": {
      "expireDateTime": "2024-12-30T12:00:00Z",
      "startDateTime": "2024-10-30T12:00:00Z"
    },
    "pin": {
      "code": "<PIN>"
    }
  }
  

• 响应

  HTTP/1.1 201 Created
  Location: /beta/users/aaaaaaaa-bbbb-cccc-1111-222222222222/authentication/qrCodePinMethod`
  Content-type: application/json
  
  {
    "standardQRCode": {
      "id": "BBBBBBBB-1C1C-2D2D-3E3E-444444444444"
      "expireDateTime": "2024-12-30T12:00:00Z",
      "startDateTime": "2024-10-30T12:00:00Z"
      "createdDateTime": "2024-10-30T12:00:00Z",
      "lastUsedDateTime": null,
       "image":
          {
    "binaryValue": "<binaryImageData>",
           "version": 1,
           "errorCorrectionLevel": "H".
           "rawContent": <binary data encoded in QR>        
    }
      },
    "temporaryQRCode": null,
    "pin": {
      "code": "<PIN>",
      "isForcePinChangeRequired": true,
      "createdDateTime": "2024-10-30T12:00:00Z",
      "updatedDateTime": null
    }  
  }
  

此示例确认是否为用户添加了 QR 码身份验证方法：

• 请求

  GET https://graph.microsoft.com/beta/users/flokreg@contoso.com/authentication/qrCodePinMethod`
  

• 响应

  HTTP/1.1 200 OK
  Content-type: application/json
  
  {
    "id": "<id>",
    "standardQRCode": {
      "id": "BBBBBBBB-1C1C-2D2D-3E3E-444444444444"
      "image": null,
      "expireDateTime": "2024-12-30T12:00:00Z",
      "startDateTime": "2024-10-30T12:00:00Z"
      "createdDateTime": "2024-10-30T12:00:00Z",
      "lastUsedDateTime": "2024-12-30T12:00:00Z"
    },
    "temporaryQRCode": {
      "id": "CCCCCCCC-2D2D-3E3E-4F4F-555555555555"
      "image": null,
      "expireDateTime": "2024-12-30T12:00:00Z",
      "startDateTime": "2024-10-30T12:00:00Z"
      "createdDateTime": "2024-10-30T12:00:00Z",
      "lastUsedDateTime": "2024-12-30T12:00:00Z"
    },
    "pin": {
      "code": null,
      "isForcePinChangeRequired": false,
      "createdDateTime": "2024-10-30T12:00:00Z",
      "updatedDateTime": "2024-11-30T12:00:00Z"
    }
  }
  
  

编辑用户的 QR 码身份验证方法

可以使用 Microsoft Entra 管理中心、My Staff 或 Microsoft 图形 API 编辑用户的 QR 码身份验证方法。

在 Microsoft Entra 管理中心编辑用户的 QR 码身份验证方法

• 导航到用户的可用身份验证方法，然后单击 “编辑” 以编辑 QR 码身份验证方法的属性。

  

• 更改标准 QR 码的过期时间，然后单击“ 保存”。 进行编辑后，单击“ 完成”。

  

• 删除标准 QR 码。 如果标准 QR 码报告为过期、泄露或被盗，则可能需要将其删除。

  

  删除标准 QR 码后，单击“添加符号”（+）为用户添加新的标准 QR 码。 已删除的 QR 码不再对登录有效。

  需要打印新的 QR 码并将其分发给用户。 用户可以继续使用其现有 PIN。

  

• 重置 PIN。 如果需要重置用户 PIN，请生成临时 PIN 并将其分发给用户。 在下一次登录时，需要用户更改临时 PIN。 单击屏蔽 PIN 后面的铅笔图标。 单击“ 生成新 PIN ”创建新的临时 PIN。 单击 “确定 ”以确认用户下次登录时强制更改临时 PIN。 复制临时 PIN 并将其与用户共享。

  

• 添加或删除临时 QR 码。 如果用户没有将他们的徽章带到工作，临时 QR 码可以减少预配和取消预配徽章上 QR 码的管理开销。 它还减少了员工下班后保留 QR 码的压力。 临时 QR 码的生存期为 1-12 小时，可以立即或以后激活。 若要取消 QR 码的配置，可以删除临时 QR 码或等待其过期后失效。

  

  

在“我的员工”中编辑用户的 QR 码身份验证方法

• 若要编辑标准 QR 码的到期日期，请单击“ 编辑”。 编辑到期日期并保存更改。

  

• 若要删除标准 QR 码，请单击“ 删除”，然后确认该作。

  

• 若要添加新的标准 QR 码，请单击标准 QR 码旁边的 “添加新 代码”。

  

  选择 QR 码的激活时间和到期日期，然后单击“ 添加”。

  

  下载或打印 QR 码，然后单击“ 完成”。

  

• 若要添加临时 QR 码，请单击临时 QR 码旁边的 “添加新 代码”。 指定 生存期（以小时 为单位）和 激活日期，然后单击“ 添加”。

  

  下载或打印 QR 码，然后单击“ 完成”。

  

• 若要重置 PIN，请单击“ 重置 PIN”。

  

  单击 “复制 PIN ”将 PIN 复制到剪贴板。

  

在 Microsoft 图形 API 中编辑用户的 QR 码身份验证方法

此示例演示如何在用户丢失徽章时删除用户的标准 QR 码，并创建新的标准 QR 码。 用户无需更改其 PIN。

删除标准 QR 码：

• 请求

  DELETE https://graph.microsoft.com/beta/users/flokreg@contoso.com/authentication/qrCodePinMethod/standardQRCode`
  

• 响应

  HTTP/1.1 204 No Content
  

创建标准 QR 码：

• 请求

  HTTP PATCH/users/{id | userPrincipalName}/authentication/qrCodePinMethod/standardQRCode`
  
  
  {
      "startDateTime": "2024-10-30T12:00:00Z",
      "expireDateTime": "2024-12-30T12:00:00Z"
  }
  

• 响应

  HTTP/1.1 201 Created
  Location: /beta/users/aaaaaaaa-bbbb-cccc-1111-222222222222/authentication/qrCodePinMethod/standardQRCode`
  Content-type: application/json
  
  {
      "id": "BBBBBBBB-1C1C-2D2D-3E3E-444444444444"
      "expireDateTime": "2024-12-30T12:00:00Z",
      "startDateTime": "2024-10-30T12:00:00Z"
      "createdDateTime": "2024-10-30T12:00:00Z",
      "lastUsedDateTime": null,
       "image":
          {
    "binaryValue": "<binaryImageData>",
           "version": 1,
           "errorCorrectionLevel": "H".
           "rawContent": <binary data encoded in QR>        
    }
    }
  
  

获取标准 QR 码：

• 请求

  GET https://graph.microsoft.com/beta/users/{id|UPN}/authentication/qrCodePinMethod/standardQRCode`
  

• 响应

  HTTP/1.1 200 OK
  Content-type: application/json
  
  {
      "id": "BBBBBBBB-1C1C-2D2D-3E3E-444444444444",
      "image": null,
      "expireDateTime": "2024-12-30T12:00:00Z",
      "startDateTime": "2024-10-30T12:00:00Z"
      "createdDateTime": "2024-10-30T12:00:00Z",
      "lastUsedDateTime": "2024-12-30T12:00:00Z"
  }
  
  

此示例演示如何为用户创建临时 QR 码。 用户可以使用现有的 PIN。 如果用户已经存在临时 QR 码，或者 expireDateTime 超过 startDateTime 的 12 小时，此操作将返回错误。

• 请求

  HTTP PATCH/users/{id | userPrincipalName}/authentication/qrCodePinMethod/temporaryQRCode`
  
  
  {
      "startDateTime": "2024-10-30T12:00:00Z",
      "expireDateTime": "2024-10-30T22:00:00Z"
  }
  

• 响应

  HTTP/1.1 201 Created
  Location: /beta/users/aaaaaaaa-bbbb-cccc-1111-222222222222/authentication/qrCodePinMethod/temporaryQRCode`
  Content-type: application/json
  
  {
      "id": "EEEEEEEE-4F$F-5A5A-6B6B-777777777777"
      "expireDateTime": "2024-10-30T22:00:00Z",
      "startDateTime": "2024-10-30T12:00:00Z"
      "createdDateTime": "2024-10-30T12:00:00Z",
      "lastUsedDateTime": null,
       "image":
          {
    "binaryValue": "<binaryImageData>",
           "version": 1,
           "errorCorrectionLevel": "H".
           "rawContent": <binary data encoded in QR>        
    }
    }
  
  
  

获取临时 QR 码：

• 请求

  GET https://graph.microsoft.com/beta/users/{id|UPN}/authentication/qrCodePinMethod/temporaryQRCode`
  

• 响应

  HTTP/1.1 200 OK
  Content-type: application/json
  
  {
      "id": "EEEEEEEE-4F$F-5A5A-6B6B-777777777777",
      "image": null,
      "expireDateTime": "2024-10-30T22:00:00Z",
      "startDateTime": "2024-10-30T12:00:00Z"
      "createdDateTime": "2024-10-30T12:00:00Z",
      "lastUsedDateTime": "2024-10-30T20:00:00Z"
  }
  
  

此示例演示如何删除用户的临时 QR 码。

• 请求

  DELETE https://graph.microsoft.com/beta/users/flokreg@contoso.com/authentication/qrCodePinMethod/temporaryQRCode`
  

• 响应

  HTTP/1.1 204 No Content
  

此示例演示如何重置 QR 码身份验证方法的 PIN：

• 请求

  PATCH https://graph.microsoft.com/beta/users/flokreg@contoso.com/authentication/qrCodePinMethod/pin`
  

• 响应

  {
    "code": <PIN>,
    "forceChangePinNextSignIn": true,
    "createdDateTime": "2024-10-30T12:00:00Z",
    "updatedDateTime": null
  }
  

此示例演示如何强制用户更改 QR 码身份验证方法的 PIN：

• 请求

  PATCH https://graph.microsoft.com/beta/users/flokreg@contoso.com/authentication/qrCodePinMethod/updatePin`
  
  {
    "currentPin": "<Old PIN>",
    "newPin": "<New PIN>"
  }
  

• 响应

  HTTP/1.1 204 No Content
  

删除用户的 QR 代码身份验证方法

可以使用 Microsoft Entra 管理中心、My Staff 或 Microsoft Graph API 删除用户的 QR 码身份验证方法。

在 Microsoft Entra 管理中心中删除用户的 QR 码身份验证方法

如果用户删除 QR 码身份验证方法，则他们不能再使用该身份验证方法登录。

1. 至少以身份验证管理员的身份登录到 Microsoft Entra 管理中心。

2. 转到 “用户”，选择一个用户，然后单击“ 身份验证”方法。

3. 在 “可用身份验证方法”下，单击 QR 码右侧的省略号，然后单击“ 删除”。

   

在“我的员工”中删除用户的 QR 码身份验证方法

1. 若要删除 QR 码身份验证方法本身，请单击“ 删除 QR 码方法”。

   

2. 单击删除以确认操作。

   

在 Microsoft 图形 API 中删除用户的 QR 码身份验证方法

此示例演示如何删除用户的标准 QR 码。

• 请求

  DELETE https://graph.microsoft.com/beta/users/flokreg@contoso.com/authentication/qrCodePinMethod/standardQRCode`
  

• 响应

  HTTP/1.1 204 No Content
  

使用 QR 码登录到 Microsoft Teams 或托管主屏幕（MHS）

Microsoft Teams 和托管主屏幕 (MHS) 提供优化的 QR 码登录体验。 身份验证策略管理员需要配置 Intune 或其他移动设备管理（MDM）解决方案，以便为移动设备启用 QR 码身份验证方法。

在 Teams 或 MHS 中使用 QR 码启用登录

使用 Intune 进行配置时，请将 Microsoft Authenticator 分配为要为其添加 QR 码身份验证的所有设备所需的应用。

QR 码身份验证 Teams 登录体验

用户需要 下载 Teams。 下表列出了移动操作系统的最低 Teams 版本。 有关 Teams 版本的详细信息，请参阅 新的和经典 Microsoft Teams 应用的版本更新历史记录。

用户可以按照以下步骤在 Teams 中使用 QR 码登录：

1. 在 Microsoft Teams 中单击“ 扫描 QR 码 ”。

2. 扫描 QR 码。 如果系统要求你获得相机权限，请同意。

3. 输入 PIN。

4. 现已登录到应用。

   

5. 使用临时 PIN 登录时，需要更改它。

   

QR 码身份验证 Web 登录体验（login.microsoftonline.com）

1. 单击“更多登录”选项>“登录到组织>使用QR 码登录。

2. 当系统提示时，允许相机使用 > 扫描 QR 码 > 输入 PIN >，您已成功登录。

   显示 Web 登录体验的

使用条件访问策略通过 QR 代码身份验证添加安全性

将 QR 码身份验证方法限制为仅一线工作人员、合规和共享设备。 本部分介绍如何创建策略，将 QR 码身份验证方法限制为仅前线工作人员和共享设备。

将 QR 码身份验证限制为一线工作人员

1. 至少以身份验证策略管理员的身份登录到 Microsoft Entra 管理中心。

2. 浏览到 Entra ID>身份验证方法>QR 码>启用和目标。

3. 单击“ 添加目标> ”选择仅包括前线工作人员的组，如以下屏幕截图中的 一线工作人员 。 此组选择将 QR 码身份验证方法的启用限制为仅限于添加到 一线员工 组中。

   

将 QR 码身份验证限制为共享设备

1. 以条件访问管理员身份登录到 Microsoft Entra 管理中心。

2. 单击 条件访问>身份验证强度>新身份验证强度。

   

3. 创建自定义身份验证强度条件访问策略。 选择身份验证 QR 码（预览版）。

4. 创建一个条件访问策略，该策略要求将共享设备标记为符合 Intune 或其他 MDM 解决方案中的策略。 此策略可确保一线工作人员只能从使用 QR 码登录的合规共享设备访问特定资源。

   1. 在 “用户”或“工作负荷标识”>下>，选择 “用户和组”，然后选择 “一线工作人员” 组。

   2. 在 “目标资源>”下，包括> 选择一线工作人员可以访问的特定资源。

   3. 在 “条件”下，单击 “筛选设备”，将 “配置 ”设置为“ 是”。

   4. 单击“从策略中包含筛选的设备”。

   5. 对于 “属性”，请选择 ProfileType。

   6. 对于“运算符”，选择“等于” 。

   7. 对于值，请选择共享。

      

   8. 在 “访问控制>授予> ”下，选择“ 要求将设备标记为合规”，然后单击“ 选择”。

   9. 单击 “创建” 。

相关内容

• Microsoft Entra ID 中的身份验证方法 - QR 码身份验证方法（预览版）
• 使用“我的员工”管理用户
• Microsoft Entra ID中有哪些身份验证和验证方法？