Accesso semplificato e sicuro con Microsoft Entra ID: guida all’autenticazione tramite QR Code

Introduzione

Microsoft ha introdotto una nuova funzionalità all'interno di Microsoft Entra ID che consente agli utenti di autenticarsi utilizzando un codice QR e un PIN, senza la necessità di inserire username e password. Questa innovazione, attualmente in anteprima pubblica, mira a semplificare l’esperienza di accesso, in particolare per i lavoratori in prima linea, spesso dotati di dispositivi condivisi o temporanei.

Perché usare il QR Code per l’accesso?

Vantaggi principali

• Esperienza utente semplificata: niente più credenziali complesse da digitare.

• Velocità di accesso: basta scansionare un QR Code e inserire un PIN.

• Riduzione dei costi: soluzione più economica rispetto a smartcard o chiavi fisiche.

• Ideale per scenari condivisi: utile in ambienti con personale temporaneo o turni frequenti.

Requisiti per abilitare il login via QR Code

Per abilitare l'accesso degli utenti con i codici QR, è necessaria una licenza Microsoft 365 F1/F3, Microsoft Entra ID P1/P2, EMS E3/E5 o Microsoft 365 E3/E5.

Dispositivi supportati

• Smartphone o tablet iOS/iPadOS o Android

Ruoli richiesti

• Authentication Policy Administrator oppure Authentication Administrator

Come abilitare l’autenticazione QR Code in Microsoft Entra ID

Dal portale di Microsoft Entra admin center andiamo su Protection > Authentication methods > Policies > QR code (Preview)

Abilitiamo il metodo di accesso cliccando su Enable e abilitiamo un gruppo di utenti - nel mio caso ho creato un gruppo di test chiamato Test-Enable-User-QRCODE

Clicchiamo su Configure per andare ad impostare la lunghezza minima che dovrà avere il PIN che verrà generato e la validità del QRCODE che verrà generato

In questo caso lascio le impostazioni di default

Completata la configurazione dei seguenti parametri, clicchiamo su Save

Ora che la parte di autenticazione è configurata, creiamo un QRCODE e relativo PIN di primo accesso per un utente che fà parte del gruppo abilitato all'accesso tramite questo sistema di autenticazione - gruppo Test-Enable-User-QRCODE

Sempre dal portale di Microsoft Entra admin center andiamo su All users e cerchiamo l'utente dove andremo a configurare il QRCODE e relativo PIN

Una volta che avremo selezionato l'utente andiamo su Authentication methods e clicchiamo su Add authentication method

Come metodo selezioniamo QR code (Preview)

Come scadenza prenderà riferimento dalla durata specificata in precedenza - nel mio caso 365 giorni

Con Activation time possiamo decidere se attivarlo subito o in seguito - nel mio caso ho scelto Now

Clicchiamo su Generate PIN così verrà generato in modo casuale (è possible anche inserirlo manualmente

NB - Questo sarà provvisorio in quanto al primo accesso verrà richiesto all'utente di sostituirlo

Una volta compilato tutto, clicchiamo su Add

Verrà generato il QRCODE e verrà riproposto il PIN scelto in precedenza

Clicchiamo su Download image e scarichiamo il file in formato SVG così da poterlo stampare\inviare al nostro utente

Una volta che il nostro utente avrà il QRCODE e il PIN provvisorio potrà eseguire il primi accesso

Di seguito una prova di accesso sul portale MyApps (https://aka.ms/myapps) da un device Android

Quando verrà richiesto l'accesso, cliccate su Opzioni di accesso

Poi su Accedi a un'organizzazione

e infine su Accedere con un codice matrice

Verrà ora aperta la fotocamera in modo da poter inquadrare il QRCODE del nostro utente

Una volta inquadrato ci verrà richiesto di inserire il PIN provvisorio

Inseriamo il PIN e clicchiamo su Accedi

Al nostro utente ora verrà richiesto di cambiare il PIN provvisorio con uno definitivo che avrà la durata del QRCODE

Una volta inserito il nuovo PIN cliccare su Accedi

Avremo accesso ora al nostro portale MyApps e a tutti i portali connessi tramite le credenziali del nostro utente (Mail, Teams, ecc.)

QR Code Temporaneo

Il QR Code temporaneo è uno strumento utile per garantire l’accesso rapido e sicuro a utenti che si trovano in situazioni eccezionali o fuori standard. Può essere generato sempre da un amministratore e ha una durata massima di 12 ore, risultando ideale per scenari come:

• Utenti che non hanno con sé il proprio QR Code assegnato

• Sostituzione immediata in caso di smarrimento momentaneo del metodo di accesso

Grazie alla sua natura temporanea e al controllo amministrativo sulla generazione, questo tipo di QR Code permette di mantenere la produttività senza compromettere la sicurezza, evitando soluzioni improvvisate o aperture non tracciate.

Per attivarlo l'utente deve avere già un QR Code attivo

Per attivarlo vi basterà andare sull'utente (che deve sempre fare parte del gruppo abilitato e avere un QR Code già attivo) da Microsoft Entra admin center > All users selezioniamo il nostro utente e clicchiamo su Authentication methods > QR code (Preview)

Ora avremo la possibilità anche di aggiungere un QRCODE temporaneo cliccando su Add Temporary QR code

Clicchiamo e impostiamo la durata del QRCODE e se definire la validità - da subito oppure definendo una data\ora - clicchiamo poi su Add

Verrà generato il nostro QRCODE temporaneo che avrà lo stesso PIN di quello attivo per l'utente

Sicurezza e best practice

L’autenticazione tramite codice QR e PIN in Microsoft Entra ID è una funzionalità progettata per offrire un accesso semplice e veloce, soprattutto nei contesti ad alta operatività. Tuttavia, come ogni metodo di autenticazione, richiede una corretta configurazione e un’implementazione responsabile per garantire un livello di sicurezza adeguato.

Questa modalità di accesso va utilizzata esclusivamente per scenari specifici, come dispositivi condivisi o accessi temporanei da parte di lavoratori in prima linea. Non è consigliabile abilitarla a livello tenant per tutti gli utenti: è buona norma limitarne l’uso a gruppi mirati, attraverso le policy dei metodi di autenticazione.

Poiché il QR Code con PIN è un metodo a singolo fattore, è fondamentale potenziarne la sicurezza attraverso criteri di Accesso Condizionale. Si consiglia di limitarne l’utilizzo a dispositivi conformi o gestiti, posizioni di rete affidabili, oppure in combinazione con modalità come Shared Device Mode. È possibile anche applicarlo solo ad applicazioni specifiche, riducendo la superficie d’attacco.

Dal punto di vista operativo, è importante gestire con attenzione il ciclo di vita dei QR Code. Per i QR standard, la durata può essere configurata fino a un massimo di 395 giorni, ma è consigliabile adattarla in base alle policy aziendali. I QR temporanei, validi fino a 12 ore, vanno utilizzati solo per esigenze puntuali come badge dimenticati o accessi di emergenza. In ogni caso, il metodo di autenticazione deve essere revocato immediatamente in caso di compromissione o quando l’utente non fa più parte dell’organizzazione.

Il PIN associato al metodo di autenticazione è composto esclusivamente da cifre numeriche (da 8 a 20), con regole di complessità applicate automaticamente da Microsoft. Sono vietate sequenze comuni o ripetitive (es. 12345678, 121212) e il PIN viene mascherato subito dopo la creazione. Può essere copiato solo una volta e resta valido sia per i QR standard che per quelli temporanei, finché il metodo è attivo.

Nel caso in cui si utilizzi il portale My Staff per delegare la gestione ai responsabili di reparto, è fondamentale limitare l’accesso solo agli utenti autorizzati e formare adeguatamente il personale incaricato. È inoltre buona prassi monitorare regolarmente le attività amministrative tramite i log disponibili in Microsoft Entra.

Infine, per una visibilità completa e un controllo avanzato, è consigliabile integrare i log di autenticazione in strumenti di monitoraggio come Microsoft Sentinel, ed eventualmente applicare policy di accesso basate su segnali di rischio (user risk, sign-in risk), così da bloccare tentativi sospetti o comportamenti anomali.

Seguendo queste best practice, è possibile implementare l’autenticazione tramite codice QR in modo sicuro, scalabile e coerente con i requisiti moderni di identity governance e protezione degli accessi.

Casi d’uso dell’autenticazione tramite QR Code

Di seguito i principali contesti in cui questa soluzione si rivela particolarmente utile:

Lavoratori in prima linea (Frontline workers)

Operatori nel settore sanitario, retail, manifatturiero e logistico utilizzano spesso dispositivi condivisi e cambiano frequentemente postazione. Il QR Code consente un accesso rapido, senza la necessità di ricordare o digitare credenziali complesse.

Esempio: infermieri che accedono a cartelle cliniche da tablet condivisi o cassieri che iniziano il turno con un login immediato.

Ambienti con badge fisici

In molte realtà aziendali sono già in uso badge per il controllo accessi fisici. L’aggiunta di un codice QR stampato direttamente sul badge consente di integrare l’accesso digitale con un unico supporto identificativo.

Esempio: badge utilizzati per la timbratura o l’accesso fisico che diventano anche credenziali digitali per l’accesso ai sistemi.

Accesso temporaneo o di emergenza

Quando un utente dimentica il proprio badge, perde il dispositivo o si trova temporaneamente in azienda, un amministratore può generare un QR Code temporaneo con validità massima di 12 ore. Questo permette di garantire continuità operativa senza compromettere la sicurezza.

Esempio: consulenti esterni, ospiti o dipendenti che necessitano di accesso immediato e controllato.

Turnazioni rapide e scenari ad alta rotazione

In contesti con alta rotazione di personale o frequenti cambi turno, come il retail o i call center, il QR Code consente accessi più veloci e una gestione più agile dei dispositivi condivisi, riducendo i tempi morti.

Esempio: operatori che condividono lo stesso computer e passano il turno in pochi secondi senza necessità di logout/login tradizionali.

Modalità dispositivo condiviso (Shared Device Mode)

Su dispositivi mobili gestiti tramite Microsoft Intune in modalità condivisa, l’autenticazione con QR Code permette un’esperienza fluida e sicura, centralizzando il controllo degli accessi anche su device utilizzati da più persone.

Esempio: tablet o smartphone condivisi nei magazzini o nei reparti di produzione.

Deleghe tramite portale "My Staff"

Grazie al portale My Staff, i responsabili di reparto o di sede possono gestire in autonomia l’accesso degli utenti (creazione QR e assegnazione PIN), senza coinvolgere direttamente il team IT, riducendo tempi e complessità nelle operazioni di onboarding.

Esempio: un manager di punto vendita crea e consegna un QR Code a un nuovo dipendente il giorno stesso dell’ingresso in servizio.

Conclusione

L’introduzione dell’autenticazione tramite codice QR e PIN in Microsoft Entra ID rappresenta un importante passo avanti nella semplificazione degli accessi per scenari complessi, come quelli che coinvolgono dispositivi condivisi, personale temporaneo o ambienti ad alta rotazione.

Questa soluzione coniuga usabilità, sicurezza e controllo amministrativo, rispondendo in modo efficace alle esigenze dei lavoratori in prima linea e alle organizzazioni che necessitano di flessibilità e rapidità senza compromettere la governance IT.

Grazie alla possibilità di integrare questa funzionalità con strumenti come Intune, Accesso Condizionale e il portale My Staff, è possibile progettare un’esperienza di accesso completa, scalabile e conforme alle migliori pratiche di sicurezza.

Per le organizzazioni che cercano di modernizzare l’esperienza utente e allo stesso tempo mantenere un elevato standard di protezione dell’identità, questa funzionalità si configura come una scelta strategica da non sottovalutare.