このトピックでは、Microsoft Entra ID の認証方法ポリシーで QR コード認証方法を有効にする方法について説明します。 また、ユーザーの QR コード認証方法を管理する方法と、ユーザーが QR コードと PIN を使用してサインインする方法についても説明します。
QR コード認証方法を有効にする前に、現場担当者の職場または自宅のアクセスにセキュリティ制御を使用するためのベスト プラクティスを確認してください。 詳細については、「 現場担当者を保護するためのベスト プラクティス」を参照してください。
QR コード認証方法を有効にする前提条件
- 有効な Azure サブスクリプション。
- Azure サブスクリプションをお持ちでない場合は、 アカウントを作成します。
- サブスクリプションに関連付けられている Microsoft Entra テナント。
- 必要に応じて、 Microsoft Entra テナントを作成 するか、 Azure サブスクリプションをアカウントに関連付けます。
- QR コード認証方法を有効にするには、少なくとも Microsoft Entra テナントの 認証ポリシー管理者 ロールが必要です。
- QR コード認証方法ポリシーで有効になっている各ユーザーは、使用しない場合でもライセンスを取得する必要があります。 有効な各ユーザーは、次の Microsoft Entra ID、EMS、または Microsoft 365 ライセンスのいずれかを保持している必要があります。
- Android、iOS、または iPadOS (iOS/iPadOS バージョン 15.0 以降) の共有デバイス。
- 共有デバイスで有効になっている共有デバイス モード (省略可能ですが、強くお勧めします)。
- 2 インチ x 2 インチの QR コードを印刷するプリンター。
- Teams で QR コード認証にアクセスするには、共有デバイスにインストールされている Teams アプリには、Android バージョン 1.0.0.2024143204 以降、iOS バージョン 1.0.0.77.2024132501 以降が必要です。
- 現場管理者がマイ スタッフを使用して QR コードと PIN をプロビジョニング、管理、リセットすることを計画している場合は、マイ スタッフ ポータルを有効にしてセットアップします。
QR コード認証方法を有効にする
QR コード認証方法は、Microsoft Entra 管理センターまたは Microsoft Graph API を使用して有効にすることができます。
Microsoft Entra 管理センターで QR コード認証方法を有効にする
少なくとも認証ポリシー管理者として Microsoft Entra 管理センターにサインインします。
Entra ID>認証方法>ポリシー に移動します。
[c0>QRコード
QRコードを有効にして対象を選択 対象を追加 QRコードでサインインする必要があるユーザーをグループから選択します。 
必要に応じて、既定の QR コード設定を更新します。
- 既定では、PIN の長さは 8 桁です。 PIN の長さは 8 ~ 20 桁です。 PIN の長さを増やすと、新しい値は PIN に必要な最小桁数になります。 たとえば、PIN の長さを 10 に増やす場合、ユーザーは次のサインイン時に 10 桁の PIN を指定する必要があります。
- 標準 QR コードの既定の有効期間 (長期使用のためにユーザーに提供) は 365 日です。 範囲は 1 ~ 395 日です。 特定のユーザーに対して QR コード認証方法を追加するときに、標準の QR コードの有効期間を変更できます。
完了したら、[ 保存] をクリックします。
Microsoft Graph API で QR コード認証方法を有効にする
この例では、PIN の長さが 10 桁で、標準 QR コードの有効期間が 395 日のグループに対して QR コード認証を有効にします。
依頼
PATCH https://graph.microsoft.com/beta/policies/authenticationMethodsPolicy/authenticationMethodConfigurations/qrCodePin { "@odata.type" : "microsoft.graph.qrCodePinAuthenticationMethodConfiguration", "id": "qrCodePin", "state": "enabled", "includeTargets": [{ "targetType": "group", "id": "b185b746-e7db-4fa2-bafc-69ecf18850dd", }], "excludeTargets": [], "standardQRCodeLifetimeInDays":395, "pinLength": 10 }応答
204 No Response
ユーザーの QR コード認証方法を追加する
Microsoft Entra 管理センター、マイ スタッフ、または Microsoft Graph API を使用して、ユーザーの QR コード認証方法を追加できます。 一度に許可されるアクティブな QR コード認証方法は 1 つだけです。 "認証方法の追加" 中に標準 QR コードが生成されます。 ユーザーが標準 QR コードを持っていない場合は、有効期間が短い一時 QR コードを追加できます。 標準/一時 QR コードを削除して、新しい標準/一時 QR コードを追加できます。 ユーザーは、任意の時点で 1 つの Standard と 1 つの一時 QR コードのみをアクティブにすることができます。
Microsoft Entra 管理センターでユーザーの QR コード認証方法を追加する
少なくとも認証管理者として Microsoft Entra 管理センターにサインインします。
[ ユーザー] に移動し、ユーザーを選択して、[ 認証方法] をクリックします。
[ 認証方法の追加] をクリックし、[ QR コード] を選択します。
必要に応じて、ユーザーの有効期限を変更します。 アクティブ化時間を今以降に設定します。 一時的な PIN を指定または生成します。 カスタム PIN は、QR コード認証方法を追加する場合にのみ指定できます。 リセット イベント中に PIN が自動生成されます。 準備ができたら、[ 追加 ] をクリックして、ユーザーの QR コード認証方法を追加します。
PIN を保存し、[ イメージのダウンロード ] をクリックして QR コードをダウンロードして印刷します。 QRコード画像のダウンロードは、最小の最適な印刷サイズを持っています。 QR コードのサイズを小さくすると、QR コード スキャンのパフォーマンスに影響する可能性があります。
一意のシークレットがあるため、同じ QR コードを再生成することはできません。 何らかの理由で QR コードが機能しない場合は、削除します。 ユーザーの新しい QR コードを作成します。
QR コード認証方法を追加すると、ユーザーが使用できる認証方法として表示されます。
マイ スタッフにユーザーの QR コード認証方法を追加する
フロント ライン マネージャーとしてマイ スタッフ ポータルにサインインします。 管理単位と現場担当者を選択します。
[ QR コード認証方法の管理] をクリックします。
[ QR コード メソッドの追加] をクリックします。
有効期限とアクティブ化の日付を指定し、[ 追加 ] をクリックして、ユーザーの QR コードと PIN を生成します。
PIN を保存し、QR コードをダウンロードまたは印刷して、[ 完了] をクリックします。 QRコード画像のダウンロードは、最小の最適な印刷サイズを持っています。 サイズを小さくすると、QR コードのスキャンが困難になります。 一意のシークレットがあるため、同じ QR コードを再生成することはできません。 何らかの理由で QR コードが機能しない場合は、削除します。 ユーザーの新しい QR コードを作成します。
Microsoft Graph API でユーザーの QR コード認証方法を追加する
この例では、ユーザーの QR コード認証方法を追加します。
依頼
HTTP PUT/users/{id | userPrincipalName}/authentication/qrCodePinMethod { "standardQRCode": { "expireDateTime": "2024-12-30T12:00:00Z", "startDateTime": "2024-10-30T12:00:00Z" }, "pin": { "code": "<PIN>" } }応答
HTTP/1.1 201 Created Location: /beta/users/aaaaaaaa-bbbb-cccc-1111-222222222222/authentication/qrCodePinMethod` Content-type: application/json { "standardQRCode": { "id": "BBBBBBBB-1C1C-2D2D-3E3E-444444444444" "expireDateTime": "2024-12-30T12:00:00Z", "startDateTime": "2024-10-30T12:00:00Z" "createdDateTime": "2024-10-30T12:00:00Z", "lastUsedDateTime": null, "image": { "binaryValue": "<binaryImageData>", "version": 1, "errorCorrectionLevel": "H". "rawContent": <binary data encoded in QR> } }, "temporaryQRCode": null, "pin": { "code": "<PIN>", "isForcePinChangeRequired": true, "createdDateTime": "2024-10-30T12:00:00Z", "updatedDateTime": null } }
この例では、ユーザーに QR コード認証方法が追加されているかどうかを確認します。
依頼
GET https://graph.microsoft.com/beta/users/flokreg@contoso.com/authentication/qrCodePinMethod`応答
HTTP/1.1 200 OK Content-type: application/json { "id": "<id>", "standardQRCode": { "id": "BBBBBBBB-1C1C-2D2D-3E3E-444444444444" "image": null, "expireDateTime": "2024-12-30T12:00:00Z", "startDateTime": "2024-10-30T12:00:00Z" "createdDateTime": "2024-10-30T12:00:00Z", "lastUsedDateTime": "2024-12-30T12:00:00Z" }, "temporaryQRCode": { "id": "CCCCCCCC-2D2D-3E3E-4F4F-555555555555" "image": null, "expireDateTime": "2024-12-30T12:00:00Z", "startDateTime": "2024-10-30T12:00:00Z" "createdDateTime": "2024-10-30T12:00:00Z", "lastUsedDateTime": "2024-12-30T12:00:00Z" }, "pin": { "code": null, "isForcePinChangeRequired": false, "createdDateTime": "2024-10-30T12:00:00Z", "updatedDateTime": "2024-11-30T12:00:00Z" } }
ユーザーの QR コード認証方法を編集する
Microsoft Entra 管理センター、マイ スタッフ、または Microsoft Graph API を使用して、ユーザーの QR コード認証方法を編集できます。
Microsoft Entra 管理センターでユーザーの QR コード認証方法を編集する
ユーザーの使用可能な認証方法に移動し、[ 編集 ] をクリックして QR コード認証方法のプロパティを編集します。
標準 QR コードの有効期限を変更し、[ 保存] をクリックします。 編集したら、[ 完了] をクリックします。
標準の QR コードを削除します。 標準 QR コードが期限切れ、侵害、または盗難に関する報告を受けた場合は、削除することができます。
標準 QR コードを削除した後、記号の追加 (+) をクリックして、ユーザーの新しい標準 QR コードを追加します。 削除された QR コードはログインに対して有効ではなくなりました。
新しい QR コードを印刷してユーザーに配布する必要があります。 ユーザーは既存の PIN を引き続き使用できます。
PIN をリセットします。 ユーザー PIN をリセットする必要がある場合は、一時的な PIN を生成し、ユーザーに配布します。 ユーザーは、次のサインイン時に一時的な PIN を変更する必要があります。 マスクされた PIN の後にある鉛筆アイコンをクリックします。 [ 新しい PIN の生成 ] をクリックして、新しい一時 PIN を作成します。 [ OK] を クリックして、ユーザーが次のサインイン時に一時的な PIN を強制的に変更することを確認します。 一時 PIN をコピーし、ユーザーと共有します。
一時的な QR コードを追加または削除します。 一時的な QR コードを使用すると、ユーザーがバッジを機能させなかった場合に、バッジの QR コードをプロビジョニングおよびプロビジョニング解除する管理者のオーバーヘッドが軽減されます。 また、シフト後にQRコードを保持するストレスも軽減されます。 一時的な QR コードの有効期間は 1 ~ 12 時間で、すぐにまたは後でアクティブ化できます。 QRコードのプロビジョニングを解除するには、一時的なQRコードを削除するか、有効期限が切れて使用できなくなるのを待つことができます。
マイ スタッフのユーザーの QR コード認証方法を編集する
標準 QR コードの有効期限を編集するには、[ 編集] をクリックします。 有効期限を編集し、変更を保存します。
標準の QR コードを削除するには、[ 削除] をクリックしてアクションを確認します。
新しい標準 QR コードを追加するには、標準 QR コードの横にある [ 新規追加 ] をクリックします。
QR コードのアクティブ化時刻と有効期限を選択し、[ 追加] をクリックします。
QR コードをダウンロードまたは印刷し、[ 完了] をクリックします。
![[マイ スタッフ] で新しく追加された QR コードを表示する方法を示すスクリーンショット。](../../includes/media/edit-qr-code-my-staff/view-qr-code-my-staff.png)
一時 QR コードを追加するには、一時 QR コードの横にある [ 新規追加 ] をクリックします。 有効期間 ( 時間) と アクティブ化の日付を指定し、[ 追加] をクリックします。
QR コードをダウンロードまたは印刷し、[ 完了] をクリックします。
PIN をリセットするには、[ PIN のリセット] をクリックします。
[ PIN のコピー ] をクリックして、PIN をクリップボードにコピーします。
Microsoft Graph API でユーザーの QR コード認証方法を編集する
この例では、バッジが失われる場合にユーザーの標準 QR コードを削除し、新しい標準 QR コードを作成する方法を示します。 ユーザーは PIN を変更する必要はありません。
標準 QR コードを削除します。
依頼
DELETE https://graph.microsoft.com/beta/users/flokreg@contoso.com/authentication/qrCodePinMethod/standardQRCode`応答
HTTP/1.1 204 No Content
標準の QR コードを作成します。
依頼
HTTP PATCH/users/{id | userPrincipalName}/authentication/qrCodePinMethod/standardQRCode` { "startDateTime": "2024-10-30T12:00:00Z", "expireDateTime": "2024-12-30T12:00:00Z" }応答
HTTP/1.1 201 Created Location: /beta/users/aaaaaaaa-bbbb-cccc-1111-222222222222/authentication/qrCodePinMethod/standardQRCode` Content-type: application/json { "id": "BBBBBBBB-1C1C-2D2D-3E3E-444444444444" "expireDateTime": "2024-12-30T12:00:00Z", "startDateTime": "2024-10-30T12:00:00Z" "createdDateTime": "2024-10-30T12:00:00Z", "lastUsedDateTime": null, "image": { "binaryValue": "<binaryImageData>", "version": 1, "errorCorrectionLevel": "H". "rawContent": <binary data encoded in QR> } }
標準の QR コードを取得します。
依頼
GET https://graph.microsoft.com/beta/users/{id|UPN}/authentication/qrCodePinMethod/standardQRCode`応答
HTTP/1.1 200 OK Content-type: application/json { "id": "BBBBBBBB-1C1C-2D2D-3E3E-444444444444", "image": null, "expireDateTime": "2024-12-30T12:00:00Z", "startDateTime": "2024-10-30T12:00:00Z" "createdDateTime": "2024-10-30T12:00:00Z", "lastUsedDateTime": "2024-12-30T12:00:00Z" }
この例では、ユーザーの一時的な QR コードを作成する方法を示します。 ユーザーは既存の PIN を使用できます。 この操作は、ユーザーに対して一時的な QR コードが既に存在する場合、または expireDateTime が startDateTime から 12 時間以上経過している場合にエラーを返 します。
依頼
HTTP PATCH/users/{id | userPrincipalName}/authentication/qrCodePinMethod/temporaryQRCode` { "startDateTime": "2024-10-30T12:00:00Z", "expireDateTime": "2024-10-30T22:00:00Z" }応答
HTTP/1.1 201 Created Location: /beta/users/aaaaaaaa-bbbb-cccc-1111-222222222222/authentication/qrCodePinMethod/temporaryQRCode` Content-type: application/json { "id": "EEEEEEEE-4F$F-5A5A-6B6B-777777777777" "expireDateTime": "2024-10-30T22:00:00Z", "startDateTime": "2024-10-30T12:00:00Z" "createdDateTime": "2024-10-30T12:00:00Z", "lastUsedDateTime": null, "image": { "binaryValue": "<binaryImageData>", "version": 1, "errorCorrectionLevel": "H". "rawContent": <binary data encoded in QR> } }
一時的な QR コードを取得します。
依頼
GET https://graph.microsoft.com/beta/users/{id|UPN}/authentication/qrCodePinMethod/temporaryQRCode`応答
HTTP/1.1 200 OK Content-type: application/json { "id": "EEEEEEEE-4F$F-5A5A-6B6B-777777777777", "image": null, "expireDateTime": "2024-10-30T22:00:00Z", "startDateTime": "2024-10-30T12:00:00Z" "createdDateTime": "2024-10-30T12:00:00Z", "lastUsedDateTime": "2024-10-30T20:00:00Z" }
この例では、ユーザーの一時 QR コードを削除する方法を示します。
依頼
DELETE https://graph.microsoft.com/beta/users/flokreg@contoso.com/authentication/qrCodePinMethod/temporaryQRCode`応答
HTTP/1.1 204 No Content
この例では、QR コード認証方法で PIN をリセットする方法を示します。
依頼
PATCH https://graph.microsoft.com/beta/users/flokreg@contoso.com/authentication/qrCodePinMethod/pin`応答
{ "code": <PIN>, "forceChangePinNextSignIn": true, "createdDateTime": "2024-10-30T12:00:00Z", "updatedDateTime": null }
この例では、QR コード認証方法の PIN をユーザーに強制的に変更させる方法を示します。
依頼
PATCH https://graph.microsoft.com/beta/users/flokreg@contoso.com/authentication/qrCodePinMethod/updatePin` { "currentPin": "<Old PIN>", "newPin": "<New PIN>" }応答
HTTP/1.1 204 No Content
ユーザーの QR コード認証方法を削除する
Microsoft Entra 管理センター、マイ スタッフ、または Microsoft Graph API を使用して、ユーザーの QR コード認証方法を削除できます。
Microsoft Entra 管理センターでユーザーの QR コード認証方法を削除する
ユーザーの QR コード認証方法が削除された場合、その認証方法を使用してサインインできなくなります。
少なくとも認証管理者として Microsoft Entra 管理センターにサインインします。
[ ユーザー] に移動し、ユーザーを選択して、[ 認証方法] をクリックします。
[ 使用可能な認証方法] で、QR コードの右側にある省略記号をクリックし、[ 削除] をクリックします。
マイ スタッフのユーザーの QR コード認証方法を削除する
QR コード認証方法自体を削除するには、[ QR コードメソッドの削除] をクリックします。
[ 削除 ] をクリックしてアクションを確定します。
Microsoft Graph API でユーザーの QR コード認証方法を削除する
この例では、ユーザーの標準 QR コードを削除する方法を示します。
依頼
DELETE https://graph.microsoft.com/beta/users/flokreg@contoso.com/authentication/qrCodePinMethod/standardQRCode`応答
HTTP/1.1 204 No Content
QR コードを使用して Microsoft Teams または Managed Home Screen (MHS) にサインインする
Microsoft Teamsおよび Managed Home Screen (MHS) には、最適化された QR コード サインイン エクスペリエンスがあります。 認証ポリシー管理者は、モバイル デバイスの QR コード認証方法を有効にするために、Intune または別のモバイル デバイス管理 (MDM) ソリューションを構成する必要があります。
Teams または MHS で QR コードによるサインインを有効にする
Intune で構成する場合は、QR コード認証を追加するすべてのデバイスに必要なアプリとして Microsoft Authenticator を割り当てます。
| プラットホーム | MDM アプリ構成キー | 価値 | 設定の場所 |
|---|---|---|---|
| iOS | 推奨認証構成 | qrpin | シングル サインオン (SSO) 拡張機能を構成するデバイス管理プロファイル |
| アンドロイド | 推奨認証構成 | qrpin | Microsoft Authenticator |
注
MHS は Android デバイスでのみ使用できます。
QR コード認証 Teams のサインイン エクスペリエンス
ユーザーは Teams をダウンロードする必要があります。 次の表に、モバイル オペレーティング システムの Teams の最小バージョンを示します。 Teams のバージョンの詳細については、「 新しいアプリとクラシック Microsoft Teams アプリのバージョン更新履歴」を参照してください。
| モバイル OS | リリース日 | Teams のバージョン |
|---|---|---|
| iOS と iPadOS | 2024 年 7 月 21 日 | 6.13.1 (1.0.0.77.2024132501) |
| アンドロイド | 2024 年 8 月 8 日 | 1416/1.0.0.2024143204 (2024143204) |
ユーザーは次の手順に従って、Teams で QR コードでサインインできます。
[Microsoft Teamsで QR コードをスキャン する] をクリックします。
QR コードをスキャンします。 カメラのアクセス許可を求められた場合は、同意します。
PIN を入力します。
これで、アプリにサインインしました。
一時的な PIN でサインインする場合は、変更する必要があります。
QR コード認証の Web サインイン エクスペリエンス (login.microsoftonline.com)
[その他のサインイン オプション] をクリック>組織にサインイン>QR コードでサインインします。
カメラを許可されるとき> QR コードをスキャンし>、PIN を入力して>、正常にサインインします。
条件付きアクセス ポリシーを使用して QR コード認証を使用してセキュリティを追加する
QR コード認証方法を、現場担当者、準拠デバイス、共有デバイスのみに制限します。 このセクションでは、QR コード認証方法を現場担当者と共有デバイスのみに制限するポリシーを作成する方法について説明します。
QR コード認証を現場担当者に制限する
少なくとも認証ポリシー管理者として Microsoft Entra 管理センターにサインインします。
Entra ID>Authentication メソッド>QR コード>Enable と target を参照します。
[ターゲットの追加] をクリック>次のスクリーンショットの現場担当者など、現場担当者のみを含むグループを選択します。 このグループの選択により、QR コード認証方法の有効化は、現場担当者グループに追加された 現場担当者 のみに制限されます。
QR コード認証を共有デバイスに制限する
条件付きアクセス管理者として Microsoft Entra 管理センターにサインインします。
[ 条件付きアクセス>認証の強度>新しい認証強度] をクリックします。
カスタム認証強度条件付きアクセス ポリシーを作成します。 認証 QR コード (プレビュー) を選択します。
共有デバイスを Intune または別の MDM ソリューションのポリシーに準拠しているとマークする必要がある条件付きアクセス ポリシーを作成します。 このポリシーにより、現場担当者は、QR コードでサインインした準拠している共有デバイスから特定のリソースにのみアクセスできるようになります。
[ユーザーまたはワークロード ID>含める>ユーザーとグループを選択し、フロントライン労働者の現場担当者グループを選択します。
[ ターゲット リソース>Include> 現場担当者がアクセスできる特定のリソースを選択します。
[ 条件] で、[ デバイスのフィルター] をクリックし、[ 構成] を[はい] に設定します。
[ ポリシーからフィルター処理されたデバイスを含める] をクリックします。
[プロパティ] で[ProfileType]\(プロファイルの種類\) を選択します。
演算子で等しいを選択します。
値で共有を選択します。
[ アクセス制御>Grant> で、[ デバイスを準拠としてマークする必要があります] を選択し、[ 選択] をクリックします。
[ 作成] をクリックします。