Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of mappen te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen om mappen te wijzigen.
Met de verificatiemethode voor QR-code kunnen frontlinemedewerkers zich efficiënt aanmelden in apps op gedeelde apparaten. Gebruikers kunnen een unieke QR-code gebruiken die aan hen is verstrekt en hun pincode invoeren om zich aan te melden, waardoor gebruikersnamen en wachtwoorden niet meer hoeven in te voeren. Momenteel wordt verificatie met QR-code alleen ondersteund op mobiele apparaten waarop iOS/iPadOS of Android wordt uitgevoerd.
Voordat u de verificatiemethode voor QR-code inschakelt, bekijkt u de aanbevolen procedures voor het gebruik van beveiligingscontroles voor werk- of thuistoegang voor frontlinemedewerkers. Zie Aanbevolen procedures voor het beveiligen van frontlinewerkers voor meer informatie.
Wat is VERIFICATIE met QR-code?
QR-codeverificatie is een eenvoudige verificatiemethode die voornamelijk is ontworpen voor frontlinemedewerkers. Het bestaat uit een unieke QR-code en een numerieke pincode. De QR-code fungeert als een id en is uniek voor de gebruiker. Het kan worden gedownload en afgedrukt met behulp van het Microsoft Entra-beheercentrum, Mijn personeel of Microsoft Graph. Voor het gemak kan de QR-code worden gekoppeld aan een badge of een ander draagbaar item.
Verificatiebeheerders bieden een tijdelijke pincode aan gebruikers die deze vervolgens wijzigen tijdens het aanmelden. Alleen de gebruiker kent de pincode. Deze is uitsluitend gebonden aan de QR-code. Het kan niet worden gebruikt met andere gebruikers-id's, zoals een gebruikersnaam of telefoonnummer. QR-codeverificatie is een methode met één factor waarbij de pincode (iets wat u weet) een referentie is.
Voordelen van QR-codeverificatie
| Benefit | Description |
|---|---|
| Eenvoudiger en sneller aanmelden | Frontlinemedewerkers hoeven geen complexe gebruikersnamen of wachtwoorden in te voeren om zich meerdere keren aan te melden bij gedeelde apparaten tijdens hun dienst. |
| Inexpensive | Het afdrukken van een QR-code kost minder dan een hardwaresleutel, wat voor organisaties met tijdelijke frontlinemedewerkers kostbaar kan zijn. |
Pincode-eigenschappen
De volgende beleidsregels worden toegepast wanneer een verificatiebeleidsbeheerder een pincode maakt of opnieuw instelt.
| Policy | Values |
|---|---|
| Toegestane tekens | Getallen (0-9) |
| Niet-toegestane tekens | - Karakters (A-Z, a-z) - Symbolen (- @ # $ % ^ & * - _ ! + = [ ] { } | \ : ' , . ? / ' ~ " ( ) ) <> - Unicode-tekens -Spatie |
| Lengte PIN | 8-20 cijfers |
| Complexiteit van pincode | Afgedwongen om herhaling en algemene reeksen te voorkomen. De volgende patronen worden gecontroleerd: Bevat niet 0123456789 of 9876543210. - Herhaal geen reeks van 2-3 cijfers in de pincode, zoals 121212, of 123123 of 342342. Er wordt een ongeldige pincodefout weergegeven als de pincode niet-toegestane tekens bevat of kleiner is dan de minimale lengte van de pincode. |
Aanbevolen beveiligingsprocedures voor implementatie met QR-codeverificatie
U wordt aangeraden de volgende metingen uit te voeren wanneer u de verificatiemethode voor QR-code inschakelt, omdat dit een verificatie met één factor is (iets wat u weet).
- QR-codeverificatie is voornamelijk bedoeld voor frontlinewerkers (FLW) en niet voor informatiewerkers (IW). We raden phishingbestendige verificatie of MFA aan voor IW.
- Schakel geen QR-codeverificatie in voor alle gebruikers in uw tenant. Schakel alleen in voor doelgebruikers die deze verificatiemethode gebruiken, maak bijvoorbeeld een groep voor frontlinemedewerkers en schakel alleen verificatie via QR-code in voor hen in het beleid voor Verificatiemethoden van Microsoft Entra.
- Combineer QR-codeverificatie met beleid voor voorwaardelijke toegang als een andere beveiligingslaag. We raden beleidsregels aan, zoals compatibele apparaten, toegang binnen het netwerk, toestaan voor bepaalde toepassingen en modus voor gedeelde apparaten.
- Phishing-bestendige verificatie of MFA afdwingen wanneer gebruikers toegang hebben tot resources buiten het winkel- of werkpleknetwerk.
- Vervang QR-codes die verloren of gestolen zijn.
- Dwing het beleid voor voorwaardelijke toegang op basis van aanmeldingsrisico's af om de toegang te blokkeren.
QR-codeconfiguraties in het verificatiemethodebeleid
Beheerders van verificatiebeleid kunnen QR-code inschakelen in verificatiemethoden in het Microsoft Entra-beheercentrum. Verificatie met QR-code is standaard uitgeschakeld.
In het verificatiemethodebeleid voor QR-code kunt u het volgende configureren:
Lengte pincode: 8-20 cijfers.
Levensduur van standaard QR-code: 1-395 dagen. De standaardwaarde is 365 dagen. Een beheerder van het verificatiebeleid kan de standaardwaarde wijzigen wanneer deze een standaard QR-code voor een gebruiker toevoegt.
Een beheerder kan de waarde bijvoorbeeld instellen op 30 dagen in het beleid voor verificatiemethoden. Voor elke gebruiker in die tenant is de standaardverlooptijd van een standaard QR-code 30 dagen. Een beheerder kan de standaardlevensduur van de standaard QR-code voor een specifieke gebruiker wijzigen.
In deze schermopname wordt de lengte van de pincode ingesteld op de standaardwaarde van acht cijfers. De levensduur van de standaard QR-code wordt gereduceerd tot 200 dagen.
Functionele details van de verificatiemethode voor QR-code
Wanneer een verificatiebeleidsbeheerder de verificatiemethode voor QR-code voor een gebruiker toevoegt, wordt er een standaard QR-code en pincode gegenereerd. Als u een tijdelijke QR-code wilt maken, moeten ze de verificatiemethode voor QR-code bewerken.
Een tijdelijke QR-code helpt wanneer een gebruiker vergeet zijn badge met standaard QR-code mee te nemen. Het heeft een kortere levensduur, tot 12 uur. Wanneer een verificatiemethode voor QR-code voor de gebruiker wordt verwijderd, kan deze zich niet aanmelden met hun bestaande QR-codes en pincode.
Een pincode werkt met zowel standaard- als tijdelijke QR-codes omdat de pincode geldig is voor de verificatiemethode voor QR-code. Een verificatiebeleidsbeheerder kan een aangepaste pincode opgeven of een pincode genereren wanneer deze een VERIFICATIEmethode voor QR-code maakt. Ze kunnen alleen een tijdelijke pincode kopiëren wanneer ze deze genereren. De pincode wordt vervolgens gemaskeerd om blootstelling te voorkomen.
De bruikbaarheidsstatussen voor een standaard QR-code, een tijdelijke QR-code en de pincode voor een verificatiemethode voor QR-code zijn niet aan elkaar gerelateerd. Een actieve VERIFICATIEmethode voor QR-code kan bijvoorbeeld een verwijderde of verlopen standaard QR-code en een actieve tijdelijke QR-code hebben. Op elk gegeven moment kan er slechts één actieve standaard QR-code en één actieve tijdelijke QR-code zijn.
De volgende tabel bevat voorbeelden voor combinaties voor de statussen voor een standaard QR-code, een tijdelijke QR-code en pincode. Een actieve QR-code en een actieve pincode zijn vereist voor een geslaagde verificatie.
| Standaard QR-code | Tijdelijke QR-code | Pincode voor verificatiemethode voor QR-code |
|---|---|---|
| Active | Bestaat niet | Tijdelijk of door de gebruiker bijgewerkt |
| Active | Active | Tijdelijk of door de gebruiker bijgewerkt |
| Deleted | Bestaat niet | Tijdelijk of door de gebruiker bijgewerkt |
| Expired | Active | Tijdelijk of door de gebruiker bijgewerkt |
| Expired | Expired | Tijdelijk of door de gebruiker bijgewerkt |
Zie De verificatiemethode voor QR-code inschakelen in Microsoft Entra ID voor meer informatie over het beheren van QR-codes.
Gebruikersaanmeldingservaring met QR-codeverificatie
Gebruikers kunnen zich aanmelden met een QR-code met behulp van de webaanmeldingservaring of een geoptimaliseerde aanmeldingservaring voor apps.
Aanmeldingservaring voor mobiel web
U kunt de aanmeldingservaring van de webbrowser van Microsoft (login.microsoft.com) gebruiken om gebruikers te verifiëren. Gebruikers kunnen klikken op Aanmeldingsopties>Aanmelden bij een organisatie>aanmelden met een QR-code.
Aanmeldingservaring voor mobiele apps
U kunt de aanmelding voor uw apps optimaliseren met behulp van MICROSOFT Authentication Library (MSAL) om QR-code toe te voegen als optie op de aanmeldingspagina. Vervolgens kunnen gebruikers de QR-code met twee klikken scannen. Deze geoptimaliseerde aanmeldingservaring is beschikbaar in blueFletch- en Jamf-startprogramma's voor apps.
Zie voor meer informatie over het optimaliseren van de aanmeldingservaring of het onderdrukken van de toestemmingsprompt van de camera:
- Een geoptimaliseerde QR-codeverificatie-ervaring instellen in de Android-app
- Geoptimaliseerde QR-codeverificatie instellen in de iOS-app
Niet-ondersteunde gebruikersscenario's in de huidige release
- Selfservice voor het opnieuw instellen van pincodes voor gebruikers
- Bulkvoorziening van QR-codes en pincodes
- Scannen van QR-codes met barcodescanners
- QR-codeverificatie werkt niet met desktop-apps of browsers
- Aangepast tenant-eindpunt voor inloggen
- Configureerbaar beveiligingsbeleid voor pincodes waarmee de drempelwaarde voor accountvergrendeling, duur of complexiteit van pincodes wordt gedefinieerd
Bekend probleem
Als u QR-codeverificatie inschakelt voor een gebruiker, moeten ze zich aanmelden met een bestaande verificatiemethode voordat ze zich voor het eerst kunnen aanmelden met een QR-code, of ze zien een onjuiste QR-codefout .
Voorbeeld:
- U schakelt QR-codeverificatie in voor een gebruiker.
- De gebruiker moet zich aanmelden met zijn of haar wachtwoord of een andere aanmeldingsmethode.
- Voor volgende aanmeldingen kunnen ze zich aanmelden met een QR-code.
De gebruiker moet zich aanmelden met een andere methode omdat het beleid voor de verificatiemethode voor gebruikers in de cache pas wordt bijgewerkt nadat de gebruiker opnieuw is geverifieerd.