O Microsoft Entra oferece uma solução inovadora para acesso rápido e seguro: login com código QR. Este método simplifica o processo de login, garantindo um alto nível de segurança. Os logins com código QR são ideais para funcionários de setores como hotelaria, produção, logística ou saúde, que precisam fazer login em diferentes dispositivos várias vezes ao dia.
O login por código QR elimina a tediosa digitação de nomes de usuário e senhas. Em vez disso, o usuário simplesmente escaneia o código QR com seu smartphone, insere o PIN e o processo de login é iniciado.
Esta postagem do blog explica como implementar o método de autenticação por código QR, como emitir um código QR para o usuário e como o usuário pode fazer login com sucesso em um dispositivo usando-o.
O método de autenticação por código QR está atualmente em versão prévia pública.
- Contexto e Desafios Atuais
- Como Funciona
- Arquitetura da Solução
- Pré-requisitos e Licenciamento
- Habilitar método de autenticação de código QR
- Emitir código QR
- Entrar com código QR
Contexto e Desafios Atuais
Em operações com dispositivos compartilhados, a autenticação tradicional baseada em nome de usuário e senha enfrenta desafios significativos:
- Alto tempo de login, reduzindo produtividade.
- Aumento de incidentes de segurança devido ao compartilhamento informal de senhas.
- Custos operacionais elevados com redefinições de senha e chamados ao help desk.
A autenticação via QR Code foi projetada para resolver esses pontos, mantendo conformidade com políticas corporativas e normas de segurança.
Como Funciona
Provisionamento Controlado
- Administradores com o perfil Authentication Policy Administrator ou superior ativam o método via portal Azure/Entra. É possível direcionar especificamente um grupo de usuários (ex: frontline workers)
- O administrador configura o comprimento do PIN (8-20 dígitos), conforme padrões NIST, além do tempo de validade do QR Code (1 a 395 dias; padrão 365 dias)
Arquitetura da Solução
Ativação e Escopo
- Configuração realizada por administradores com permissão Authentication Policy Administrator ou superior.
- Aplicação granular via grupos de segurança no Entra ID (ex.: somente frontline workers).
Processo de Autenticação
- Geração do QR Code e PIN
- Emitidos de forma única para cada usuário, com validade configurável (1 a 395 dias; padrão 365).
- PIN de 8–20 dígitos, em conformidade com NIST.
- Distribuição Segura
- Pode ser impressa em crachás, etiquetas ou distribuída digitalmente.
- Fluxo de Login
- Usuário seleciona “Sign in with QR Code”, escaneia o código e insere o PIN.
- Primeiro acesso exige redefinição do PIN para uso contínuo.
Integração com Segurança Corporativa
- Compatível com Conditional Access para restringir autenticação a dispositivos conformes ou redes específicas.
- Pode ser combinado com MFA para cenários de risco elevado.
Pré-requisitos e Licenciamento
Licenças
Para habilitar o login de usuários com códigos QR, é necessária uma licença Microsoft Entra F1, F3 ou P1
. Uma visão geral dos pacotes de licenciamento da Microsoft e seus recursos pode ser encontrada em https://m365maps.com/ .
Funções
As seguintes funções são adequadas para configurar e emitir códigos QR de acordo com o princípio do menor privilégio:
| Papel | Autorização |
| Administrador de Política de Autenticação | Configuração de métodos de autenticação |
| Administrador de Autenticação | Gerenciando métodos de autenticação para usuários não administrativos |
Aplicativo
Aplicativo Microsoft Teams instalado no dispositivo.
- Versão Android 1.0.0.2024143204 ou posterior
- Versão iOS 1.0.0.77.2024132501 ou posterior
Habilitar método de autenticação de código QR
ara permitir que os usuários façam login usando um código QR, este método de autenticação deve ser ativado no centro de administração do Microsoft Entra.
Entre no centro de administração do Microsoft Entra (https://entra.microsoft.com/) > Proteção > Métodos de autenticação > Selecione Políticas e Código QR .
Na aba Habilitar e Direcionar , ative o botão Habilitar e selecione Todos os Usuários . Se necessário, grupos individuais também podem ser incluídos ou excluídos.
As seguintes opções podem ser definidas na aba Configurar :
Comprimento do PIN do QR (1)
Comprimento do PIN entre 8 e 20 caracteres (padrão NIST).
Validade do código QR padrão (2)
Por padrão, o código QR é válido por 1 ano. A validade pode ser reduzida para 1 dia ou estendida para um máximo de 13 meses.
Clique em Salvar .
O método de autenticação por código QR agora está habilitado.
Emitir código QR
Um código QR com PIN pode ser emitido para cada usuário autorizado.
Entre no centro de administração do Microsoft Entra (https://entra.microsoft.com/) e selecione os usuários em Identidade > Usuários > Todos os usuários .
Métodos de autenticação > selecione Adicionar método de autenticação .
- Selecione o método de autenticação QR code
- Definir tempo de ativação
- Crie o código PIN manualmente ou com Gerar PIN
- Crie um código QR com Adicionar
- Anote o PIN
- Baixe o código QR como imagem
Após fechar esta janela, o código QR não poderá mais ser exibido. Caso seja necessário exibi-lo ou baixá-lo novamente no futuro, o código QR existente deverá ser excluído e um novo deverá ser emitido.
O código QR foi emitido com sucesso e pode ser usado pelo usuário para fazer login.
Entrar com código QR
No momento desta postagem do blog, os logins por código QR são suportados em dispositivos móveis com iOS, iPadOS e Android, por exemplo, para Microsoft Teams ou logins na web.
Abaixo está um login na web:
Abra https://login.microsoftonline.com no navegador do dispositivo móvel e clique em Opções de login .
Selecione Entrar em uma organização
O PIN deve ser alterado no primeiro login.
O comprimento do PIN deve corresponder às configurações do método de autenticação (pelo menos 8 caracteres, de acordo com o padrão NIST).
O login foi concluído com sucesso.
Blog do Chesley 
