Letzte Woche hat Microsoft eine neue Authentifizierungsmethode für Microsoft Entra ID namens QR Code eingeführt. Diese neue Authentifizierungsmethode befindet sich aktuell in der Public Preview, erfüllt die Anforderungen einer Single-Factor-Authentifizierung und ist – wenn auch nicht ausschliesslich – für Frontline Worker konzipiert.
Die neue Authentifizierungsmethode besteht aus zwei Artefakten: dem QR Code, der dem Endnutzer zugestellt werden muss, und einer PIN, die mit dem QR Code verknüpft ist und zum Abschluss der Authentifizierung benötigt wird.
Zur Verdeutlichung: Es gibt zwei Arten von QR Codes:
- Standard-QR-Code: Der Standard-QR-Code wird bei der Erstellung mit einer initialen PIN an den Endnutzer ausgegeben. Nach der ersten Anmeldung wird der Nutzer aufgefordert, seine initiale PIN in eine nur ihm bekannte PIN zu ändern. Der Standard-QR-Code ist maximal 395 Tage gültig und muss danach ersetzt werden.
- Temporärer QR-Code: Der temporäre QR-Code kann mit einer maximalen Lebensdauer von 12 Stunden erstellt werden und ist für Situationen gedacht, in denen ein Nutzer zur Arbeit erscheint, aber sein Badge vergessen hat. In diesem Fall kann dem Nutzer für diesen Arbeitstag ein temporärer QR-Code ausgestellt werden. Es muss keine eigene PIN für diesen QR-Code eingerichtet werden, da der Nutzer die PIN verwenden kann, die mit seinem Standard-QR-Code verknüpft ist.
Die QR-Code-Authentifizierung wird in der Microsoft Teams App auf Android und iOS sowie auf jeder Microsoft-Entra-ID-Anmeldeseite in einem Browser auf diesen Plattformen unterstützt. Windows wird aktuell nicht unterstützt.
Diese Authentifizierungsmethode zielt darauf ab, den Authentifizierungsprozess für Endnutzer durch eine passwordless User Experience zu vereinfachen. Mögliche Anwendungsfälle für diese Methode sind:
- Schichtarbeiter, die mobile Geräte im Entra Shared Device Mode nutzen, um rollenspezifische Aufgaben zu erledigen.
- Frontline Worker, die eine bequeme und einfach einzurichtende Authentifizierungsmethode auf ihren mobilen Geräten benötigen.
Die QR-Code-Authentifizierung adressiert mehrere Herausforderungen, die Kunden heute haben können:
- Nutzer zögern, die Authenticator App aus Datenschutzgründen oder anderen Gründen auf ihren privaten mobilen Geräten zu installieren.
- Frontline Worker dürfen ihre privaten Geräte nicht in die Arbeitsbereiche mitnehmen, um nötige MFA-Prompts durchzuführen, was ihre produktive Leistung verringert.
- Frontline Worker verlieren wertvolle Zeit durch das Eintippen von Benutzername und Passwort, um geschäftskritische Anwendungen zu nutzen.
- Frontline Worker tragen möglicherweise Handschuhe, was das Tippen auf der Tastatur eines mobilen Geräts erschwert.
baseVISION war Teil des Microsoft Frontline Worker Identity & Device Management: VIP Customer Council – einer Gruppe, die nur auf Einladung ausgewählten Microsoft-Partnern und -Kunden offensteht. In wöchentlichen Calls präsentierte Microsoft Roadmap-Updates oder gab Einblicke in neue Features wie die QR-Code-Authentifizierung. baseVISION konnte die QR-Code-Authentifizierung als eines der ersten Unternehmen weltweit testen und mit Feedback begleiten und der Produktgruppe wertvolle Erkenntnisse liefern.
Rollen und Verantwortlichkeiten
Die Verantwortlichkeiten bei der Implementierung dieser neuen Auth-Methode lassen sich wie folgt zusammenfassen:
- IT-Admin: Steht für verschiedene Rollen in der IT – vom Global Admin / Authentication Management Admin in Entra ID, der die neue Auth-Methode einrichtet, bis zum Helpdesk-Personal, das beim Generieren/Zurücksetzen von QR Codes hilft.
- FLM: Frontline Manager, die eine Schicht mehrerer FLWs beaufsichtigen.
- FLWs: Frontline Worker, die mit Shared Devices arbeiten.
QR-Code-Authentifizierung konfigurieren
Die neue Authentifizierungsmethode lässt sich im Microsoft-Entra-ID-Admin-Portal unter Protection > Authentication methods konfigurieren
Bisher wurden Authentifizierungsmethoden und SSPR-Methoden in zwei verschiedenen Menüs in Entra ID verwaltet. Microsoft vereinheitlicht diese Admin-Experience nun.
Kunden müssen die Migration zur vereinheitlichten Experience bis zum 30. September 2025 abschliessen. Weitere Informationen finden Sie hier: How to migrate to the Authentication methods policy – Microsoft Entra ID | Microsoft Learn
Sie benötigen Hilfe bei der Migration? Kontaktieren Sie gerne unsere Experten: Contact – baseVISION AG
IT-Admins haben die Möglichkeit, die Verfügbarkeit der QR-Code-Auth-Methode entweder auf alle Nutzer oder auf eine bestimmte Entra-ID-Security-Group einzugrenzen. Bei Bedarf können bestimmte Gruppen von der QR-Code-Auth-Methode ausgeschlossen werden.
Auf der Konfigurationsseite haben IT-Admins die Möglichkeit, die folgenden Settings zu konfigurieren:
- QR-PIN-Länge: Microsoft schreibt eine minimale PIN-Länge von 8 Stellen vor, was dem NIST-Standard folgt. IT-Admins können die PIN-Länge auf maximal 20 Stellen konfigurieren.
- Lebensdauer des Standard-QR-Codes: Die Standard-Lebensdauer eines Standard-QR-Codes beträgt 365 Tage. IT-Admins können die Standard-Lebensdauer in einem Bereich von 1–395 Tagen konfigurieren.
Wichtig: Während der Erstellung eines QR Codes haben IT-Admins weiterhin die Möglichkeit, die tatsächliche Lebensdauer eines Standard-QR-Codes zu verringern.
Einen QR Code erstellen
Microsoft hat zwei verschiedene operative Ansätze für die Erstellung von QR Codes vorgesehen; die erforderlichen Microsoft-Entra-Berechtigungen sind für beide gleich – der Nutzer muss mindestens die Rolle Authentication Administrator besitzen.
- IT-Admins: QR Codes können von einem IT-Admin entweder über die Microsoft Graph API oder das Entra-Admin-Portal erstellt werden.
- Frontline Manager: Microsoft hat vorgesehen, Frontline Managern die Möglichkeit zu geben, QR Codes für ihre direkt unterstellten Frontline-Worker-Kollegen zu erstellen und zu verwalten. Dies können sie entweder im Microsoft-Entra-ID-Admin-Portal oder im dedizierten My-Staff-Admin-Portal tun.
Einen Standard-QR-Code im Microsoft-Admin-Portal erstellen
IT-Admins oder ein Frontline-Worker-Manager können einen neuen QR Code erstellen, indem sie zum Authentication-Method-Blade des Nutzers im Microsoft-Entra-ID-Admin-Portal navigieren.
Dort kann der IT-Admin/FLM eine neue Authentifizierungsmethode hinzufügen.
Sobald QR Code ausgewählt wurde, werden weitere Optionen verfügbar.
- Expiration: Der IT-Admin/FLM kann das Ablaufdatum des QR Codes festlegen. Das Ablaufdatum wird stets auf Basis der Standard-Token-Lebensdauer der Authentifizierungsmethode selbst generiert. Die Lebensdauer kann jederzeit reduziert werden.
- Aktivierungszeit: Der IT-Admin/FLM kann entscheiden, wann der QR Code gültig wird – ob sofort oder zu einem bestimmten Zeitpunkt.
- PIN: IT-Admins/FLMs müssen eine initiale PIN erstellen, die anschliessend an den Endnutzer übergeben wird. Die PIN kann entweder vordefiniert oder über die Schaltfläche Generate PIN generiert werden.
Sobald der QR Code erstellt wurde, erhält der IT-Admin/FLM Zugriff auf den Standard-QR-Code. Dies ist der einzige Zeitpunkt, zu dem der QR Code heruntergeladen werden kann.
Falls Sie sich fragen, welche Informationen im QR Code gespeichert sind: Der QR Code enthält die folgenden Informationen:
- Den UPN des entsprechenden Nutzers
- Die QR-Code-ID
- Die Tenant-ID des entsprechenden Nutzers
Nun wurde der QR Code erstellt und muss zusammen mit der initialen PIN ausgedruckt und an den Nutzer verteilt werden.
Einen temporären QR-Code im Microsoft-Admin-Portal erstellen
Falls der Nutzer seinen ausgestellten Standard-QR-Code vergisst, kann ein IT-Admin oder FLM einen temporären QR-Code generieren. Dazu navigiert man zu den Authentifizierungsmethoden des Nutzers und wählt die QR-Code-Auth aus.
Durch Auswahl von + Add Temporary QR code kann ein temporärer QR Code erstellt werden. Auch hier lässt sich die Lebensdauer definieren, die von 1 bis maximal 12 Stunden reicht.
Nachdem der temporäre QR Code erstellt wurde, steht er zum Download bereit und kann heruntergeladen und an den Endnutzer verteilt werden. Der Nutzer kann dann dieselbe PIN verwenden, die für den Standard-QR-Code festgelegt wurde.
Delegation der Verwaltung von Authentifizierungsmethoden an Frontline Manager
Microsoft hat zudem das Szenario erkannt, dass Kunden die Verwaltung von QR Codes an sogenannte Frontline Manager (FLMs) delegieren möchten. Der Vorteil, diesen Managern das Ausstellen von QR Codes zu erlauben, ist, dass die IT nicht in diesen Prozess eingebunden werden muss. Stellen Sie sich einen FLW in der Nachtschicht vor, der seinen Standard-QR-Code vergisst und einen temporären QR-Code benötigt. Durch die Delegation der Berechtigungen an einen FLM kann dieser dem FLW einen temporären QR-Code ausstellen.
Um diese Berechtigungen an FLMs zu delegieren, gibt es zwei verschiedene Admin-Portale, die der FLM zur Verwaltung der Authentifizierungsmethoden der FLWs nutzen kann. Dazu müssen Administrative Units vorhanden sein, und dem FLM muss die Rolle Authentication Administrator auf der Administrative Unit zugewiesen werden, damit er die Authentifizierungsmethode des Nutzers verwalten kann.
Wichtig
Die Zuweisung der Rolle Authentication Administrator an den FLM gewährt mehr Berechtigungen als nur die Verwaltung von QR Codes. Mit der Rolle Authentication Administrator kann man:
- Authentifizierungsmethoden entfernen/löschen
- Die SMS-Authentifizierungsmethode hinzufügen
- Das Passwort des Nutzers zurücksetzen
- Einen Temporary Access Pass ausstellen (nur Entra ID)
Um das My-Staff-Admin-Portal zu aktivieren, muss das Feature in Entra ID unter User Settings > Manage user feature settings > Administrators can access my Staff aktiviert werden
QR-Code-Authentifizierung aktivieren
Sobald die IT-Admins/FLMs die QR Codes an die FLW ausgegeben haben, müssen die von den FLWs genutzten Geräte für die Nutzung der QR-Code-Authentifizierung aktiviert werden.
QR-Code-Authentifizierung unter Android einrichten
Um die QR-Code-Authentifizierung auf einem Android-Gerät einzurichten, müssen IT-Admins die Microsoft Authenticator App so konfigurieren, dass sie QR unterstützt. IT-Admins müssen eine App Configuration Policy mit dem folgenden Configuration Key auf ihren Geräten ausrollen:
Dieser App Configuration Key aktiviert den QR-Code-Authentifizierungs-Flow in allen unterstützten Microsoft Apps. Damit diese App Config Policy funktioniert, müssen IT-Admins die Authenticator App als „required“ auf ihren Geräten zuweisen, auch wenn die App bereits während des Enrollments installiert wird. Ist die App nicht als „required“ zugewiesen, funktioniert die App Config Policy nicht!
Wichtig
Zum Zeitpunkt des Schreibens sind Microsoft Teams und Managed Home Screen die einzigen Microsoft-First-Party-Apps mit Unterstützung für die QR-Code-Auth. Weitere Apps werden möglicherweise künftig aktiviert.
QR-Code-Authentifizierung unter iOS einrichten
Unter iOS muss die QR-Code-Authentifizierung wiederum auf andere Weise eingerichtet werden. Hier nutzt Microsoft die Apple-SSO-Extensions-Fähigkeit.
Dies lässt sich erreichen, indem eine iOS-/iPadOS-basierte Policy vom Typ Device Features erstellt wird. IT-Admins müssen dann die folgenden Settings im Bereich Single-Sign-On App Extension konfigurieren.
Weisen Sie die Policy Ihren Geräten zu.
Die QR-Code-Authentifizierung in Aktion erleben
Aus der Managed-Home-Screen-App (nur Android)
Sobald die Geräte korrekt konfiguriert sind, zeigen die unterstützten Apps dem FLW die Möglichkeit, seine Anmeldung mit einem QR Code zu starten. Die Abbildung unten zeigt die Experience aus der Managed-Home-Screen-App.
Der Nutzer wird dann gebeten, der App die Berechtigung zur Nutzung der Kamera zu erteilen.
Wichtig
- Nutzer werden jedes Mal gefragt, ob die App die Kamera starten darf; diese Entscheidung wurde aus Datenschutzgründen getroffen.
- Standardmässig wird stets die Rückkamera eines Geräts aktiviert
Sobald der Kamerazugriff gewährt wurde, kann der FLW den QR Code scannen.
Der FLW muss dann die mit seinem QR Code verknüpfte PIN eingeben. Ist dies die erste Anmeldung mit einem QR Code, muss der FLW die initiale PIN verwenden, die von einem IT-Admin oder FLM generiert wurde. Zusätzlich wird der FLW aufgefordert, eine neue PIN einzurichten.
Sobald die Authentifizierung abgeschlossen ist, ist der FLW in seiner Session angemeldet und kann jede App öffnen, die der Admin für ihn bereitgestellt hat
wird automatisch in der jeweiligen App angemeldet. Eine Liste der Apps, die den Shared Device Mode unterstützen, finden Sie hier: Shared device mode for Android devices – Microsoft identity platform | Microsoft Learn
Von jeder Webseite, die Entra-ID-Auth unterstützt
Jede webbasierte Anwendung, die mit Microsoft Entra ID verbunden ist, unterstützt auf den mobilen Geräten ebenfalls die QR-Code-basierte Authentifizierung.
Um die QR-Code-Auth zu nutzen, müssen FLWs die folgenden Schritte ausführen:
Wählen Sie Sign-in options
Wählen Sie Sign-in to an organization
Wählen Sie die Option Sign in with a QR code
Conditional Access
Bevor die QR-Code-Authentifizierungsmethode aktiviert und im Unternehmen verteilt wird, sollten IT-Admins ihre Conditional-Access-Policies prüfen – insbesondere Policies, die auf Frontline Worker zugeschnitten sind.
Die QR-Code-Authentifizierung kann einer Authentication Strength in Conditional Access hinzugefügt und somit in Ihr aktuelles Conditional-Access-Setup eingebunden werden.
Beachten Sie nur, dass die QR-Code-Authentifizierung – wie oben erwähnt – eine Single-Factor-Authentifizierung ist und Conditional-Access-Policies, die das Grant Control „Require Multifactor Authentication“ verwenden, nicht erfüllt.