Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
La méthode d’authentification par code QR permet aux travailleurs de première ligne de se connecter efficacement aux applications sur des appareils partagés. Les utilisateurs peuvent utiliser un code QR unique qui leur est fourni et entrer leur code confidentiel pour se connecter, ce qui évite d’avoir à entrer des noms d’utilisateur et des mots de passe complexes. Actuellement, l’authentification par code QR est prise en charge uniquement sur les appareils mobiles qui exécutent iOS/iPadOS ou Android.
Avant d’activer la méthode d’authentification du code QR, passez en revue les meilleures pratiques d’utilisation des contrôles de sécurité pour l’accès professionnel ou à domicile pour les travailleurs de première ligne. Pour plus d’informations, consultez Les meilleures pratiques pour protéger les travailleurs de première ligne.
Qu’est-ce que l’authentification par code QR ?
L’authentification par code QR est une méthode d’authentification simple principalement conçue pour les travailleurs de première ligne. Il se compose d’un code QR unique et d’un code confidentiel numérique. Le code QR sert d’identificateur et est unique à l’utilisateur. Il peut être téléchargé et imprimé à l’aide du Centre d’administration Microsoft Entra, de Mon personnel ou de Microsoft Graph. Pour des raisons pratiques, le code QR peut être attaché à un badge ou à tout autre élément portable.
Les administrateurs d’authentification fournissent un code confidentiel temporaire aux utilisateurs, qui le modifient ensuite lors de la connexion. Seul l’utilisateur connaît le code confidentiel. Il est exclusivement lié au code QR uniquement. Il ne peut pas être utilisé avec d’autres identificateurs d’utilisateur, tels qu’un nom d’utilisateur ou un numéro de téléphone. L’authentification par code QR est une méthode à facteur unique dans laquelle le code confidentiel (quelque chose que vous savez) est une information d’identification.
Avantages de l’authentification par code QR
| Benefit | Description |
|---|---|
| Connexion plus facile et plus rapide | Les travailleurs de première ligne n’ont pas besoin d’entrer des noms d’utilisateur ou des mots de passe complexes pour se connecter plusieurs fois dans des appareils partagés tout au long de leur travail. |
| Inexpensive | L’impression d’un code QR coûte moins cher qu’une clé matérielle, ce qui peut être prohibitif pour les organisations avec des travailleurs de première ligne temporaires. |
Propriétés du code confidentiel
Les stratégies suivantes sont appliquées lorsqu’un administrateur de stratégie d’authentification crée ou réinitialise un code confidentiel.
| Policy | Values |
|---|---|
| Caractères autorisés | Nombres (0-9) |
| Caractères non autorisés | - Caractères (A-Z, a-z) - Symboles (- @ # $ % ^ & * - _ ! + = [ ] { } | \ : ' , . ? / ' ~ " ( ) ; <>) - Caractères Unicode - Espace vide |
| Longueur du code PIN | 8 à 20 chiffres |
| Complexité du code confidentiel | Appliqué pour éviter la répétition et les séquences courantes. Les modèles suivants sont vérifiés : - Ne contient pas 0123456789 ou 9876543210. - Ne répétez pas une séquence de 2 à 3 chiffres dans le code confidentiel, comme 121212, ou 123123 ou 342342. Une erreur de code confidentiel non valide s’affiche si le code confidentiel inclut des caractères non autorisés ou est inférieur à la longueur minimale du code confidentiel. |
Meilleures pratiques de sécurité à implémenter avec l’authentification par code QR
Nous vous recommandons les mesures suivantes lorsque vous activez la méthode d’authentification par code QR, car il s’agit d’une authentification à facteur unique (quelque chose que vous savez).
- L’authentification par code QR est principalement destinée aux travailleurs de première ligne (FLW) et non aux travailleurs de l’information (IW). Nous vous recommandons d’utiliser l’authentification anti-hameçonnage ou l’authentification multifacteur pour IW.
- N’activez pas l’authentification par code QR pour tous les utilisateurs de votre locataire. Activez uniquement les utilisateurs cibles qui utiliseront cette méthode d’authentification, par exemple, créez un groupe pour les travailleurs de première ligne et activez l’authentification de code QR uniquement pour eux dans les stratégies des méthodes d’authentification Microsoft Entra.
- Combinez l’authentification par code QR avec des stratégies d’accès conditionnel comme une autre couche de sécurité. Nous recommandons des stratégies telles que les appareils conformes, l’accès au sein du réseau, autoriser certaines applications et le mode d’appareil partagé.
- Appliquez une authentification résistante au hameçonnage ou une authentification multifacteur lorsque les utilisateurs accèdent à des ressources en dehors du réseau de l'entreprise ou de leur espace de travail.
- Remplacez les codes QR perdus ou volés.
- Appliquez la stratégie d’accès conditionnel basée sur les risques de connexion pour bloquer l’accès.
Configurations de code QR dans la stratégie de méthode d’authentification
Les administrateurs de stratégie d’authentification peuvent activer le code QR dans les méthodes d’authentification dans le Centre d’administration Microsoft Entra. L’authentification par code QR est désactivée par défaut.
Dans la stratégie de méthode d’authentification pour le code QR, vous pouvez configurer :
Longueur du code confidentiel : 8 à 20 chiffres.
Durée de vie du code QR standard : 1 à 395 jours. La valeur par défaut est 365 jours. Un administrateur de stratégie d’authentification peut modifier la valeur par défaut lorsqu’il ajoute un code QR standard pour un utilisateur.
Par exemple, un administrateur peut définir la valeur sur 30 jours dans la stratégie de méthode d’authentification. Pour chaque utilisateur de ce locataire, l’expiration par défaut d’un code QR standard est de 30 jours. Un administrateur peut modifier la durée de vie par défaut du code QR standard pour un utilisateur spécifique.
Dans cette capture d’écran, la longueur du code confidentiel est définie sur la valeur par défaut de huit chiffres. La durée de vie du code QR standard est réduite à 200 jours.
Détails fonctionnels de la méthode d’authentification du code QR
Lorsqu’un administrateur de stratégie d’authentification ajoute la méthode d’authentification du code QR pour un utilisateur, il génère un code QR et un code PIN standard. Pour créer un code QR temporaire, ils doivent modifier la méthode d’authentification du code QR.
Un code QR temporaire permet lorsqu’un utilisateur oublie d’apporter son badge avec du code QR standard. Il a une durée de vie plus courte, jusqu’à 12 heures. Lorsqu’une méthode d’authentification par code QR est supprimée pour l’utilisateur, elle ne peut pas se connecter avec ses codes QR et code CONFIDENTIEL existants.
Un code PIN fonctionne avec les codes QR standards et temporaires parce qu'il est valable pour la méthode d'authentification par code QR. Un administrateur de stratégie d’authentification peut fournir un code confidentiel personnalisé ou générer un code confidentiel lorsqu’il crée une méthode d’authentification par code QR. Ils peuvent copier un code confidentiel temporaire uniquement lorsqu’ils le génèrent. Le code confidentiel est ensuite masqué pour empêcher l’exposition.
Les états d’utilisation d’un code QR standard, d’un code QR temporaire et du code CONFIDENTIEL d’une méthode d’authentification de code QR ne sont pas liés les uns aux autres. Par exemple, une méthode d’authentification de code QR active peut avoir un code QR standard supprimé ou expiré et un code QR temporaire actif. À un moment donné, il ne peut y avoir qu’un seul code QR standard actif et un seul code QR temporaire actif.
Le tableau suivant répertorie des exemples de combinaisons pour les différents états d’un code QR standard, d’un code QR temporaire et d’un code PIN. Un code QR actif et un code CONFIDENTIEL actif sont requis pour l’authentification réussie.
| Code QR standard | Code QR temporaire | Code PIN pour la méthode d’authentification QR |
|---|---|---|
| Active | N’existe pas | Temporaire ou mis à jour par l'utilisateur |
| Active | Active | Temporaire ou mis à jour par l'utilisateur |
| Deleted | N’existe pas | Temporaire ou mis à jour par l'utilisateur |
| Expired | Active | Temporaire ou mis à jour par l'utilisateur |
| Expired | Expired | Temporaire ou mis à jour par l'utilisateur |
Pour plus d’informations sur la gestion des codes QR, consultez Comment activer la méthode d’authentification du code QR dans Microsoft Entra ID.
Expérience de connexion utilisateur avec l’authentification par code QR
Les utilisateurs peuvent se connecter avec un code QR à l’aide de l’expérience de connexion web ou d’une expérience de connexion d’application optimisée.
Expérience de connexion web mobile
Vous pouvez utiliser l’expérience de connexion au navigateur web de Microsoft (login.microsoft.com) pour authentifier les utilisateurs. Les utilisateurs peuvent cliquer sur Options> de connexion pour se connecterà une organisation>avec un code QR.
Expérience de connexion d’application mobile
Vous pouvez optimiser la connexion pour vos applications à l’aide de la bibliothèque d’authentification Microsoft (MSAL) pour ajouter du code QR en tant qu’option dans la page de connexion. Ensuite, les utilisateurs peuvent analyser le code QR avec deux clics moins. Cette expérience de connexion optimisée est disponible dans les lanceurs d’applications BlueFletch et Jamf.
Pour plus d’informations sur l’optimisation de l’expérience de connexion ou la suppression de l’invite de consentement de l’appareil photo, consultez :
- Configurer l’expérience d’authentification de code QR optimisée dans l’application Android
- Configurer l’expérience d’authentification de code QR optimisée dans l’application iOS
Scénarios utilisateur non pris en charge dans la version actuelle
- Réinitialisation du code PIN en libre-service pour les utilisateurs
- Approvisionnement en bloc de code QR et de code PIN
- Lecture de codes QR par lecteurs de codes-barres
- L’authentification par code QR ne fonctionne pas avec les applications de bureau ou les navigateurs
- Point de terminaison de locataire personnalisé pour la connexion
- Stratégies de protection du code confidentiel configurable qui définissent le seuil de verrouillage du compte, la durée ou la complexité du code confidentiel
Problème connu
Si vous activez l’authentification par code QR pour un utilisateur, ils doivent se connecter avec une méthode d’authentification existante avant de pouvoir se connecter avec un code QR pour la première fois, ou ils voient une erreur de code QR incorrecte .
Par exemple:
- Vous activez l’authentification par code QR pour un utilisateur.
- L’utilisateur doit se connecter avec son mot de passe ou une autre méthode de connexion.
- Pour les connexions suivantes, ils peuvent se connecter avec un code QR.
L’utilisateur doit se connecter avec une autre méthode, car la stratégie de méthode d’authentification utilisateur mise en cache n’est pas mise à jour tant que l’utilisateur n’est pas authentifié à nouveau.