Guida all’autenticazione con QR Code in Microsoft Entra ID
Tra le ultime novità di Entra ID troviamo l’autenticazione tramite QR code, attualmente disponibile in public preview. In questa guida scopriremo come configurarla, come funziona e quale sarà l’esperienza dell’utente durante l’accesso.
L’autenticazione con QR code in Microsoft Entra ID è un metodo di autenticazione moderno, pensato per semplificare l’accesso soprattutto per i frontline workers che operano in ambienti condivisi. Questo sistema utilizza un QR code univoco abbinato a un PIN numerico. L’autenticazione tramite QR code offre un’alternativa più rapida ed economica rispetto ai metodi tradizionali, come l’inserimento di username e password complesse o l’uso di chiavi hardware. Tuttavia, data la sua natura di autenticazione a singolo fattore, è fondamentale adottare misure di sicurezza aggiuntive, come l’integrazione con Conditional Access policies e l’uso di autenticazione a più fattori (MFA) per gli information workers.
I vantaggi dell’autenticazione con QR code in Microsoft Entra ID sono:
- Facilità e velocità di accesso: i frontline workers non devono inserire username o password complesse per accedere ai dispositivi condivisi più volte durante il loro turno.
- Economicità: stampare un QR code ha un costo inferiore rispetto a una hardware key.
- Adatto per ambienti condivisi: particolarmente utile in ambienti come call center, biblioteche, o postazioni infermieristiche, dove i dipendenti potrebbero lavorare in ambienti condivisi o utilizzare piani Microsoft 365 kiosk.
- Compatibilità con dispositivi mobili: supportato su dispositivi mobili iOS/iPadOS e Android.
Requisiti e cosa da sapere:
- Licenza: è necessario un tenant di Microsoft Entra ID con almeno una licenza F1, F3 o P1
- PIN: numerico compreso tra 8 e 20 cifre1. Il PIN deve essere composto solo da numeri e non deve contenere sequenze comuni o ripetizioni.
- QR code: un QR code univoco, che può essere standard o temporaneo. Il QR code standard ha una durata predefinita di un anno, ma può essere modificata da un Authentication Policy Administrator. Un QR code temporaneo può essere generato in caso di smarrimento del badge e ha una durata massima di 12 ore.
- Dispositivi supportati: l’autenticazione con QR code è supportata solo su dispositivi mobili con sistemi operativi iOS/iPadOS o Android.
- Policy di Conditional Access: per una maggiore sicurezza, è consigliabile combinare l’autenticazione con QR code con policy di Conditional Access, come l’utilizzo di dispositivi conformi, l’accesso all’interno della rete aziendale e la modalità dispositivo condiviso.
- MSAL: L’autenticazione con QR code può essere integrata nelle app tramite Microsoft Authentication Library (MSAL).
- Utenti: Principalmente destinato ai frontline workers (FLW). Non è consigliato per gli information workers (IW), per i quali si raccomanda l’uso di metodi di autenticazione phishing-resistant o MFA.
- Compatibilità: Non funziona con app desktop o browser
Implementazione
Accedi a Microsoft Entra ID, e naviga fino alla sezione Protection, apri il menu Authentication methods e seleziona QR code (preview) come metodo di autenticazione.
Figura 1 – Abilitazione del metodo di autenticazione QR code in Microsoft Entra ID
- Abilita il metodo di autenticazione.
- Configura i parametri in base alle esigenze.
Figura 2- Schermata di configurazione per l’abilitazione del metodo di autenticazione QR code in Entra ID
Come mostrato nella figura sottostante, durante la configurazione è possibile:
- Impostare la lunghezza del PIN, scegliendo un valore compreso tra 8 e 20 cifre.
- Definire la durata del QR code, selezionando un intervallo tra 1 e 395 giorni. Il valore predefinito è 365 giorni (12 mesi).
Figura 3 – Configurazione della lunghezza e durata del PIN per l’autenticazione QR code in Entra ID
Poiché questo metodo è altamente consigliato per i frontline workers, modifichiamo il target:
- Cambia l’impostazione da Tutti gli utenti al solo gruppo interessato.
- Seleziona il gruppo, nel mio caso si chiama “G-Frontline_Workers“.
- Conferma la selezione.
Figura 4 –
Abilitazione del metodo di autenticazione QR code per il gruppo dei frontline workers in Entra ID
Concludi il processo di abilitazione e configurazione.
Figura 5 – Salvataggio della configurazione del metodo di autenticazione QR code in Entra ID
L’immagine sottostante conferma che il metodo di autenticazione QR code è stato abilitato e configurato correttamente in Entra ID.
Figura 6 – Visualizzazione del metodo di autenticazione QR code attivato e configurato per il gruppo
Configura l’autenticazione per i membri del gruppo dei lavoratori sul campo, nel mio caso è Peggy Gou (sono un fan della musica EDM).
Figura 7- Configurazione del metodo di autenticazione per il Frontline Worker
- Aggiungi il metodo di autenticazione.
- Scegli tra quelli disponibili.
- Seleziona il metodo QR code.
Figura 8 – Abilitazione del metodo di autenticazione QR code per l’utente selezionato
Appena selezionato il metodo, verrà visualizzata la schermata per la configurazione dei parametri del QR code, come riportato di seguito.
Nel riquadro verde, troverai la data di scadenza, che sarà impostata su 365 giorni, come definito in precedenza durante l’abilitazione del metodo.
- Seleziona l’attivazione immediata. Se optiamo per la ritardata, dovremo specificare la data e l’ora.
- Genera il PIN automaticamente, è anche possibile impostarlo manualmente.
Figura 9 – Selezione del PIN, della data di attivazione e della data di scadenza per l’utente
Come riportato in figura sotto, il risultato finale sarà la generazione dell’immagine del QR code standard e del PIN, da copiare, scaricare e inviare all’utente che lo userà per l’accesso.
In caso di perdita o esposizione del QR code, è fondamentale revocarlo immediatamente tramite il portale Entra ID per evitare accessi non autorizzati.
Figura 10- Visualizzazione dei parametri di accesso, comprensivi di PIN e QR code standard, da scaricare, copiare e inviare all’utente
Vista la parte di configurazione lato amministratore, vediamo adesso l’esperienza d’uso dell’utente sul campo, che accede tramite browser dal proprio telefonino.
Figura 11 – Schermata di accesso su dispositivo mobile per l’utente con autenticazione QR code configurata
Seleziona accedi ad un’organizzazione.
Figura 12 – Schermata di opzioni accesso su dispositivo mobile per l’utente con autenticazione QR code configurata
accedi con un codice matrice (QR code)
Figura 13 – Accesso tramite QR code da dispositivo mobile
Abilita l’uso della fotocamera, se non già abilitata.
Figura 14 – Conferma l’uso della fotocamera per scansionare il QR code su dispositivo mobile
Dopo aver scansionato il QR code inseriamo il PIN copiato e accedi.
Figura 15 – Inserimento del PIN per l’autenticazione tramite QR code su dispositivo mobile
Per il primo accesso, sarà richiesto il cambio del PIN.
Figura 16- Modifica del PIN al primo accesso con QR code su dispositivo mobile
Ultimo step, seleziona “chiedi più tardi”, ma attenzione: questa scelta è solo perché ci troviamo in un ambiente DEMO. Altrimenti, è altamente consigliato andare avanti e procedere con la configurazione MFA, che, come detto nell’introduzione, insieme alle policy di accesso condizionale, sono obbligatorie per assicurare la sicurezza.
Figura 17 – Completamento della procedura di accesso tramite QR code su dispositivo mobile
Infine, l’utente avrà accesso alle risorse senza l’utilizzo classico del nome utente e della password.
Figura 18- Schermata di accesso al termine del processo di autenticazione con QR code su dispositivo mobile
Conclusioni
L’autenticazione tramite QR code in Microsoft Entra ID rappresenta una soluzione innovativa e versatile, particolarmente vantaggiosa per i frontline workers che operano in ambienti condivisi. La sua facilità d’uso, l’economicità e la compatibilità con i dispositivi mobili la rendono un’alternativa interessante ai metodi di autenticazione tradizionali.
Tuttavia, è fondamentale sottolineare l’importanza di adottare misure di sicurezza aggiuntive, come l’autenticazione a più fattori (MFA) e le policy di accesso condizionale, per garantire un livello di protezione adeguato, specialmente per gli information workers.
In futuro, l’integrazione con app mobili e l’utilizzo di QR code temporanei potrebbero ulteriormente migliorare l’esperienza utente e l’efficienza di questo metodo di autenticazione.
L’autenticazione tramite QR code, quindi, offre un equilibrio ottimale tra sicurezza e usabilità, rendendola una scelta strategica per le organizzazioni che desiderano semplificare l’accesso alle risorse aziendali, specialmente per i frontline workers.