Jak povolit metodu ověřování kódu QR v Microsoft Entra ID (Preview)

Toto téma popisuje, jak povolit metodu ověřování kódu QR v zásadách metod ověřování v Microsoft Entra ID. Popisuje také, jak spravovat metodu ověřování kódu QR pro uživatele a jak se můžou přihlásit pomocí kódu QR a PIN kódu.

Předpoklady pro povolení metody ověřování kódu QR

• Tenant služby Microsoft Entra ID s alespoň licencí F1, F3 nebo P1.
• Sdílená zařízení se systémem Android, iOS nebo iPadOS (iOS/iPadOS verze 15.0 nebo novější).
• Režim sdíleného zařízení povolený na sdílených zařízeních (volitelné, ale důrazně doporučeno).
• Tiskárna pro tisk QR kódů o velikosti 2 palce x 2 palce.
• Aplikace Teams nainstalovaná na sdíleném zařízení (Android verze 1.0.0.2024143204 nebo novější a iOS verze 1.0.0.77.2024132501 nebo novější).
• Povolit a nastavit portál Moje personál, pokud plánujete, aby vedoucí pracovníci v první linii používali Moje personál ke zřizování, správě a resetování QR kódu a PIN kódů.

Povolení metody ověřování kódu QR

Metodu ověřování kódu QR můžete povolit pomocí Centra pro správu Microsoft Entra nebo rozhraní Microsoft Graph API.

Povolení metody ověřování kódu QR v Centru pro správu Microsoft Entra

1. Přihlaste se do centra pro správu Microsoft Entra alespoň jako správce zásad ověřování.

2. Přejděte na Ochrana>Metody ověřování>Zásady.

3. Klikněte na kód QR>Povolit a zaměřit>Přidejte cílovou skupinu> a vyberte skupinu uživatelů, kteří se musí přihlásit pomocí kódu QR.

   

4. Podle potřeby aktualizujte výchozí nastavení kódu QR:

   • Ve výchozím nastavení je délka PIN kódu 8 číslic. Délka KÓDU PIN může být 8 až 20 číslic. Pokud zvýšíte délku KÓDU PIN, stane se nová hodnota minimálním počtem číslic požadovaných pro PIN kód. Pokud například zvýšíte délku KÓDU PIN na 10, uživatel musí během dalšího přihlášení zadat 10místný PIN kód.
   • Výchozí životnost standardního kódu QR (poskytnutého uživatelům pro dlouhodobé použití) je 365 dnů. Rozsah je mezi 1 až 395 dny. Životnost standardního kódu QR pro konkrétního uživatele můžete změnit, když pro ně přidáte metodu ověřování kódu QR.

   

5. Až budete hotovi, klikněte na Uložit.

Povolení metody ověřování kódu QR v rozhraní Microsoft Graph API

Tento příklad umožňuje ověřování kódu QR pro skupinu s délkou PIN kódu o délce 10 číslic a životností standardního kódu QR 395 dnů:

• žádost

  PATCH https://graph.microsoft.com/beta/policies/authenticationMethodsPolicy/authenticationMethodConfigurations/qrCodePin
  {
    "@odata.type" : "microsoft.graph.qrCodePinAuthenticationMethodConfiguration", 
    "id": "qrCodePin", 
    "state": "enabled", 
    "includeTargets": [{ 
      "targetType": "group", 
      "id": "b185b746-e7db-4fa2-bafc-69ecf18850dd", 
      }], 
    "excludeTargets": [], 
    "standardQRCodeLifetimeInDays":395,
    "pinLength": 10
  }
  

• odpovědi

  204 No Response
  

Přidání metody ověřování kódu QR pro uživatele

Metodu ověřování kódu QR pro uživatele můžete přidat pomocí Centra pro správu Microsoft Entra, My Staff nebo Microsoft Graph API.

Přidání metody ověřování kódu QR pro uživatele v Centru pro správu Microsoft Entra

1. Přihlaste se do centra pro správu Microsoft Entra alespoň jako správce ověřování.

2. Přejděte na Uživatelé, vyberte uživatele a klikněte na Metody ověřování.

3. Klikněte na Přidat metodu ověřování a zvolte kód QR.

   

4. V případě potřeby upravte datum vypršení platnosti uživatele. Nastavte čas aktivace na nyní nebo pozdější dobu. Zadejte nebo vygenerujte dočasný PIN kód. Vlastní PIN kód lze zadat pouze při přidání metody ověřování kódu QR. Pin kód se automaticky vygeneruje během událostí resetování. Až budete připraveni, klikněte na Přidat a přidejte metodu ověřování QR kódem pro uživatele.

   

5. Uložte PIN kód a kliknutím na Stáhnout obrázek stáhněte a vytiskněte QR kód pro stažení a tisk. Stažení obrázku s kódem QR má nejmenší optimální velikost tisku. Pokud zmenšujete velikost kódu QR, může to mít vliv na výkon skenování kódu QR.

   Nemůžete znovu vygenerovat stejný kód QR, protože má jedinečný tajný kód. Pokud kód QR z nějakého důvodu nefunguje, odstraňte ho. Vytvořte nový kód QR pro uživatele.

   

6. Po přidání metody ověřování kódu QR se zobrazí jako použitelná metoda ověřování pro uživatele.

   

Přidání metody ověřování kódu QR pro uživatele v my staff

1. Přihlaste se k portálu Moje zaměstnance jako manažer první linie. Vyberte jednotku pro správu a pracovníka frontline.

   

   

2. Klikněte na Spravovat metodu ověřování kódu QR.

   

3. Klikněte na Přidat metodu kódu QR.

   

4. Zadejte datum vypršení platnosti a aktivace a kliknutím na Přidat vygenerujte kód QR a PIN kód pro uživatele.

   

5. Uložte PIN kód, stáhněte nebo vytiskněte kód QR a potom klikněte na Hotovo. Stažení obrázku s kódem QR má nejmenší optimální velikost tisku. Pokud zmenšujete velikost, kód QR je obtížné naskenovat. Nemůžete znovu vygenerovat stejný kód QR, protože má jedinečný tajný kód. Pokud kód QR z nějakého důvodu nefunguje, odstraňte ho. Vytvořte nový kód QR pro uživatele.

   

Přidání metody ověřování kódu QR pro uživatele v rozhraní Microsoft Graph API

Tento příklad přidá metodu ověřování kódu QR pro uživatele:

• žádost

  HTTP PUT/users/{id | userPrincipalName}/authentication/qrCodePinMethod
  
  
  {
    "standardQRCode": {
      "expireDateTime": "2024-12-30T12:00:00Z",
      "startDateTime": "2024-10-30T12:00:00Z"
    },
    "pin": {
      "code": "<PIN>"
    }
  }
  

• odpovědi

  HTTP/1.1 201 Created
  Location: /beta/users/aaaaaaaa-bbbb-cccc-1111-222222222222/authentication/qrCodePinMethod`
  Content-type: application/json
  
  {
    "standardQRCode": {
      "id": "BBBBBBBB-1C1C-2D2D-3E3E-444444444444"
      "expireDateTime": "2024-12-30T12:00:00Z",
      "startDateTime": "2024-10-30T12:00:00Z"
      "createdDateTime": "2024-10-30T12:00:00Z",
      "lastUsedDateTime": null,
       "image":
          {
    "binaryValue": "<binaryImageData>",
           "version": 1,
           "errorCorrectionLevel": "H".
           "rawContent": <binary data encoded in QR>        
    }
      },
    "temporaryQRCode": null,
    "pin": {
      "code": "<PIN>",
      "isForcePinChangeRequired": true,
      "createdDateTime": "2024-10-30T12:00:00Z",
      "updatedDateTime": null
    }  
  }
  

Tento příklad potvrzuje, jestli je pro uživatele přidána metoda ověřování kódu QR:

• Žádost

  GET https://graph.microsoft.com/beta/users/flokreg@contoso.com/authentication/qrCodePinMethod`
  

• odpověď

  HTTP/1.1 200 OK
  Content-type: application/json
  
  {
    "id": "<id>",
    "standardQRCode": {
      "id": "BBBBBBBB-1C1C-2D2D-3E3E-444444444444"
      "image": null,
      "expireDateTime": "2024-12-30T12:00:00Z",
      "startDateTime": "2024-10-30T12:00:00Z"
      "createdDateTime": "2024-10-30T12:00:00Z",
      "lastUsedDateTime": "2024-12-30T12:00:00Z"
    },
    "temporaryQRCode": {
      "id": "CCCCCCCC-2D2D-3E3E-4F4F-555555555555"
      "image": null,
      "expireDateTime": "2024-12-30T12:00:00Z",
      "startDateTime": "2024-10-30T12:00:00Z"
      "createdDateTime": "2024-10-30T12:00:00Z",
      "lastUsedDateTime": "2024-12-30T12:00:00Z"
    },
    "pin": {
      "code": null,
      "isForcePinChangeRequired": false,
      "createdDateTime": "2024-10-30T12:00:00Z",
      "updatedDateTime": "2024-11-30T12:00:00Z"
    }
  }
  
  

Úprava metody ověřování kódu QR pro uživatele

Metodu ověřování kódu QR pro uživatele můžete upravit pomocí Centra pro správu Microsoft Entra, My Staff nebo Microsoft Graph API.

Úprava metody ověřování kódu QR pro uživatele v Centru pro správu Microsoft Entra

• Přejděte k použitelným metodám ověřování uživatele a kliknutím na Upravit upravte vlastnosti metody ověřování kódu QR.

  

• Změňte čas vypršení platnosti standardního kódu QR a klikněte na Uložit. Po provedení úprav klikněte na Hotovo.

  

• Odstraňte standardní kód QR. Standardní kód QR můžete chtít odstranit, pokud je nahlášený jako ukončený, ohrožený nebo odcizený.

  

  Po odstranění standardního kódu QR klikněte na symbol pro přidání (+) a přidejte pro uživatele nový standardní kód QR. Odstraněný kód QR už není platný pro přihlášení.

  Nový kód QR musíte uživateli vytisknout a distribuovat. Uživatel může dál používat svůj stávající PIN kód.

  

• Resetování PIN kódu Pokud potřebujete resetovat PIN kód uživatele, vygenerujte dočasný kód a distribuujte ho uživateli. Uživatel bude muset změnit dočasný PIN kód při příštím přihlášení. Klikněte na ikonu tužky za maskovaným PIN kódem. Klikněte na Vygenerovat nový PIN pro vytvoření nového dočasného PIN. Kliknutím na tlačítko OK potvrďte, že uživatel při příštím přihlášení musí změnit dočasný PIN kód. Zkopírujte dočasný PIN kód a sdílejte ho s uživatelem.

  

• Přidejte nebo odstraňte dočasný kód QR. Dočasný QR kód snižuje administrativní zátěž při zřizování a rušení QR kódu na identifikační kartě v případě, že uživatel nepřinesl kartu do práce. Snižuje také stres při zachování kódu QR po jejich směně. Dočasný kód QR má životnost 1 až 12 hodin a dá se aktivovat okamžitě nebo později. Pokud chcete zrušit zřízení kódu QR, můžete dočasný kód QR odstranit nebo nechat jeho platnost vypršet, protože je po vypršení platnosti nepoužitelné.

  

  

Úprava metody ověřování kódu QR pro uživatele v části Moji zaměstnanci

• Pokud chcete upravit datum vypršení platnosti standardního kódu QR, klikněte na Upravit. Upravte datum vypršení platnosti a uložte změny.

  

• Pokud chcete odstranit standardní kód QR, klikněte na Odstranita potvrďte akci.

  

• Pokud chcete přidat nový standardní kód QR, klikněte na Přidat nové vedle standardního kódu QR.

  

  Vyberte čas aktivace a datum vypršení platnosti kódu QR a klikněte na Přidat.

  

  Stáhněte nebo vytiskněte kód QR a klikněte na Hotovo.

  

• Chcete-li přidat dočasný kód QR, klikněte na Přidat nové vedle dočasného kódu QR. Zadejte dobu životnosti v hodinách a datum aktivace , a poté klikněte na tlačítko Přidat.

  

  Stáhněte nebo vytiskněte kód QR a klikněte na Hotovo.

  

• Pokud chcete pin kód resetovat, klikněte na Resetovat PIN.

  

  Kliknutím na „Copy PIN“ zkopírujte PIN kód do schránky.

  

Úprava metody ověřování kódu QR pro uživatele v rozhraní Microsoft Graph API

Tento příklad ukazuje, jak odstranit standardní kód QR pro uživatele, pokud ztratí odznáček, a vytvořit nový standardní kód QR. Uživatel nemusí změnit svůj PIN kód.

Odstraňte standardní kód QR:

• Žádost

  DELETE https://graph.microsoft.com/beta/users/flokreg@contoso.com/authentication/qrCodePinMethod/standardQRCode`
  

• odpověď

  HTTP/1.1 204 No Content
  

Vytvořte standardní kód QR:

• Žádost

  HTTP PATCH/users/{id | userPrincipalName}/authentication/qrCodePinMethod/standardQRCode`
  
  
  {
      "startDateTime": "2024-10-30T12:00:00Z",
      "expireDateTime": "2024-12-30T12:00:00Z"
  }
  

• odpověď

  HTTP/1.1 201 Created
  Location: /beta/users/aaaaaaaa-bbbb-cccc-1111-222222222222/authentication/qrCodePinMethod/standardQRCode`
  Content-type: application/json
  
  {
      "id": "BBBBBBBB-1C1C-2D2D-3E3E-444444444444"
      "expireDateTime": "2024-12-30T12:00:00Z",
      "startDateTime": "2024-10-30T12:00:00Z"
      "createdDateTime": "2024-10-30T12:00:00Z",
      "lastUsedDateTime": null,
       "image":
          {
    "binaryValue": "<binaryImageData>",
           "version": 1,
           "errorCorrectionLevel": "H".
           "rawContent": <binary data encoded in QR>        
    }
    }
  
  

Získejte standardní kód QR:

• žádost

  GET https://graph.microsoft.com/beta/users/{id|UPN}/authentication/qrCodePinMethod/standardQRCode`
  

• odpověď

  HTTP/1.1 200 OK
  Content-type: application/json
  
  {
      "id": "BBBBBBBB-1C1C-2D2D-3E3E-444444444444",
      "image": null,
      "expireDateTime": "2024-12-30T12:00:00Z",
      "startDateTime": "2024-10-30T12:00:00Z"
      "createdDateTime": "2024-10-30T12:00:00Z",
      "lastUsedDateTime": "2024-12-30T12:00:00Z"
  }
  
  

Tento příklad ukazuje, jak vytvořit dočasný kód QR pro uživatele. Uživatel může použít stávající PIN kód. Tato operace vrátí chybu, pokud pro uživatele již existuje dočasný kód QR nebo pokud konec platnosti je delší než 12 hodin po startDateTime.

• žádost

  HTTP PATCH/users/{id | userPrincipalName}/authentication/qrCodePinMethod/temporaryQRCode`
  
  
  {
      "startDateTime": "2024-10-30T12:00:00Z",
      "expireDateTime": "2024-10-30T22:00:00Z"
  }
  

• odpověď

  HTTP/1.1 201 Created
  Location: /beta/users/aaaaaaaa-bbbb-cccc-1111-222222222222/authentication/qrCodePinMethod/temporaryQRCode`
  Content-type: application/json
  
  {
      "id": "EEEEEEEE-4F$F-5A5A-6B6B-777777777777"
      "expireDateTime": "2024-10-30T22:00:00Z",
      "startDateTime": "2024-10-30T12:00:00Z"
      "createdDateTime": "2024-10-30T12:00:00Z",
      "lastUsedDateTime": null,
       "image":
          {
    "binaryValue": "<binaryImageData>",
           "version": 1,
           "errorCorrectionLevel": "H".
           "rawContent": <binary data encoded in QR>        
    }
    }
  
  
  

Získejte dočasný kód QR:

• žádost

  GET https://graph.microsoft.com/beta/users/{id|UPN}/authentication/qrCodePinMethod/temporaryQRCode`
  

• odpověď

  HTTP/1.1 200 OK
  Content-type: application/json
  
  {
      "id": "EEEEEEEE-4F$F-5A5A-6B6B-777777777777",
      "image": null,
      "expireDateTime": "2024-10-30T22:00:00Z",
      "startDateTime": "2024-10-30T12:00:00Z"
      "createdDateTime": "2024-10-30T12:00:00Z",
      "lastUsedDateTime": "2024-10-30T20:00:00Z"
  }
  
  

Tento příklad ukazuje, jak uživateli odstranit dočasný kód QR.

• žádost

  DELETE https://graph.microsoft.com/beta/users/flokreg@contoso.com/authentication/qrCodePinMethod/temporaryQRCode`
  

• Odpověď

  HTTP/1.1 204 No Content
  

Tento příklad ukazuje, jak resetovat PIN a metodu ověřování pomocí QR kódu:

• žádost

  PATCH https://graph.microsoft.com/beta/users/flokreg@contoso.com/authentication/qrCodePinMethod/pin`
  

• odpověď

  {
    "code": <PIN>,
    "forceChangePinNextSignIn": true,
    "createdDateTime": "2024-10-30T12:00:00Z",
    "updatedDateTime": null
  }
  

Tento příklad ukazuje, jak vynutit, aby uživatel změnil pin kód pro metodu ověřování kódu QR:

• žádost

  PATCH https://graph.microsoft.com/beta/users/flokreg@contoso.com/authentication/qrCodePinMethod/updatePin`
  
  {
    "currentPin": "<Old PIN>",
    "newPin": "<New PIN>"
  }
  

• Odpověď

  HTTP/1.1 204 No Content
  

Odstranění metody ověřování kódu QR pro uživatele

Metodu ověřování kódu QR pro uživatele můžete odstranit pomocí Centra pro správu Microsoft Entra, My Staff nebo Microsoft Graph API.

Odstranění metody ověřování kódu QR pro uživatele v Centru pro správu Microsoft Entra

Pokud se pro uživatele odstraní metoda ověřování kódu QR, nebude se už moct přihlásit pomocí této metody ověřování.

1. Přihlaste se do centra pro správu Microsoft Entra alespoň jako správce ověřování.

2. Přejděte na Uživatelé, vyberte uživatele a klikněte na Metody ověřování.

3. V části Použitelné metody ověřováníklikněte na tři tečky na pravé straně kódu QR a klikněte na Odstranit.

   

Odstranění metody ověřování kódu QR pro uživatele v my staff

1. Pokud chcete odstranit samotnou metodu ověřování kódu QR, klikněte na Odstranit metodu kódu QR.

   

2. Kliknutím na Odstranit akci potvrďte.

   

Odstranění metody ověřování kódu QR pro uživatele v rozhraní Microsoft Graph API

Tento příklad ukazuje, jak odstranit standardní kód QR pro uživatele.

• žádost

  DELETE https://graph.microsoft.com/beta/users/flokreg@contoso.com/authentication/qrCodePinMethod/standardQRCode`
  

• odpovědi

  HTTP/1.1 204 No Content
  

Přihlášení k Microsoft Teams nebo spravované domovské obrazovce (MHS) pomocí kódu QR

Microsoft Teams a spravovaná domovská obrazovka (MHS) mají optimalizované přihlašovací prostředí kódu QR. Správce zásad ověřování musí nakonfigurovat Intune nebo jiné řešení pro správu mobilních zařízení (MDM), aby povolil metodu ověřování kódu QR pro mobilní zařízení.

Povolení přihlášení pomocí kódu QR v Teams nebo MHS

Při konfiguraci pomocí Intune přiřaďte Microsoft Authenticator jako požadovanou aplikaci pro všechna zařízení, pro která chcete přidat ověřování pomocí kódu QR.

Platforma	Konfigurační klíč aplikace MDM	Hodnota	Umístění konfigurace
Ios	preferovaná_konfigurace_autentizace	qrpin	Profil správy zařízení, který konfiguruje rozšíření jednotného přihlašování
Android	preferovaná_konfigurace_autentizace	qrpin	Microsoft Authenticator

Poznámka

MHS je k dispozici pouze na zařízeních s Androidem.

Zážitek z přihlašování do Teams pomocí autentizace QR kódu

Uživatelé si musí stáhnout Teams. Následující tabulka uvádí minimální verzi Teams pro mobilní operační systémy. Další informace o verzích Teams najdete v tématu Historie aktualizací verzí pro novou a klasickou aplikaci Microsoft Teams.

Mobilní operační systém	Datum vydání	Verze Teams
iOS a iPadOS	21. července 2024	6.13.1 (1.0.0.77.2024132501)
Android	8. srpna 2024	1416/1.0.0.2024143204 (2024143204)

Uživatelé se můžou přihlásit pomocí kódu QR v Teams takto:

1. Klikněte na Naskenovat kód QR v Microsoft Teams.

2. Naskenujte kód QR. Pokud budete požádáni o povolení kamery, dejte souhlas.

3. Zadejte svůj PIN kód.

4. Teď jste přihlášení k aplikaci.

   

5. Když se přihlásíte pomocí dočasného PIN kódu, musíte ho změnit.

   

Webové přihlašovací prostředí pro ověřování kódu QR (login.microsoftonline.com)

1. Klikněte na Další možnosti přihlášení>Přihlášení k organizaci>Přihlášení pomocí kódu QR.

2. Povolte fotoaparát po zobrazení výzvy > naskenujte kód QR > zadejte kód PIN > jste úspěšně přihlášení.

   

Přidání zabezpečení pomocí ověřování kódu QR pomocí zásad podmíněného přístupu

Omezte metodu ověřování kódu QR pouze na pracovníky v první linii, zařízení splňující předpisy a sdílená zařízení. Tato část popisuje, jak vytvořit zásady, které omezují metodu ověřování kódu QR jenom na frontline pracovníky a sdílená zařízení.

Omezte ověřování pomocí QR kódu na pracovníky v první linii.

1. Přihlaste se do centra pro správu Microsoft Entra alespoň jako správce zásad ověřování.

2. Přejděte na Protection>Metody ověřování>QR kód>Povolit a cílit.

3. Klikněte na Přidat cílovoua> vyberte skupinu, která obsahuje jenom pracovníky v první linii, například Pracovníci v první linii na následujícím snímku obrazovky. Tento výběr skupiny omezuje povolení metody ověřování pomocí QR kódu pouze na pracovníky v první linii, kteří jsou přidáni do skupiny Pracovníků v první linii.

   

Omezení ověřování kódu QR na sdílená zařízení

1. Přihlaste se do centra pro správu Microsoft Entra jako správce podmíněného přístupu.

2. Klikněte na sílu podmíněného přístupu>Síla ověřování>Nová síla ověřování.

   

3. Vytvořte vlastní zásady podmíněného přístupu pro silné ověřování. Vyberte kódu QRověřování (Preview).

4. Vytvořte zásadu podmíněného přístupu, která vyžaduje, aby sdílená zařízení byla označena jako kompatibilní se zásadami z Intune nebo jiného řešení MDM. Tato zásada zajišťuje, aby pracovníci front-line měli přístup pouze ke konkrétním prostředkům z kompatibilního a sdíleného zařízení, ke kterému se přihlásili pomocí kódu QR.

   1. V části Uživatelé nebo identity úloh>Zahrnout> vyberte Uživatelé a skupinya zvolte vaši skupinu pracovníků v první linii.

   2. V části Cílové prostředky>> vyberte konkrétní prostředky, ke kterým mají pracovníci v první linii přístup.

   3. V části Podmínkyklikněte na Filtr pro zařízení, nastavte Konfigurovat na Ano.

   4. Klikněte na Zahrnout filtrovaná zařízení ze zásad.

   5. Pro Vlastnostvyberte ProfileType.

   6. V Operátorvyberte Rovná se.

   7. Pro hodnotu vyberte Sdílené.

      

   8. V sekci Řízení přístupu>Udělit> vyberte Vyžadovat, aby zařízení bylo označeno jako vyhovující, a klikněte na Zvolit.

   9. Klikněte na Vytvořit.

Související obsah

• Metody ověřovací v Microsoft Entra ID – metoda ověřování kódu QR (Preview)
• Spravujte své uživatele pomocí Moji zaměstnanci
• Jaké metody ověřování a verifikace jsou k dispozici v Microsoft Entra ID?