Utilisation de Face Check avec Microsoft Entra Verified ID et activation de vérifications haute fiabilité à grande échelle

Face Check est une solution de correspondance faciale respectant la confidentialité. Elle permet aux entreprises d’effectuer des vérifications avec un degré élevé d’assurance de manière sécurisée et simple, et à grande échelle. Face Check ajoute une couche critique de confiance en effectuant une correspondance faciale entre une photo et le selfie en temps réel d’un utilisateur. La correspondance faciale est alimentée par Azure AI services. Face Check protège la confidentialité des utilisateurs en partageant uniquement les résultats de correspondance et non les données d’identité sensibles, tout en permettant aux organisations de s’assurer que la personne est bien qui elle prétend être.

Prerequisites

Face Check est une fonctionnalité premium dans Verified ID. Vous devez activer le module complémentaire Face Check dans votre configuration de Microsoft Entra Verified ID avant d’effectuer des vérifications Face Check.

• Assurez-vous que Vérification d’identité Microsoft Entra est configuré dans votre locataire avant d’utiliser Face Check.
• Associer ou ajouter un abonnement Azure à votre locataire Microsoft Entra
• Vérifiez que l’utilisateur qui configure Face Check a le rôle Contributeur pour l’abonnement Azure

Configuration de Face Check avec Microsoft Entra Verified ID

Le module complémentaire Face Check peut être activé de deux façons : à partir du Centre d’administration Microsoft Entra ou à l’aide de l’API Rest Azure Resource Manager (ARM) via la CLI. Si vous allez utiliser Face Check dans un locataire avec la licence Microsoft Entra Suite, Face Check est activé au niveau du locataire et la configuration s’applique à toutes les autorités au sein de ce locataire. Pour toutes les autres licences, vous pouvez activer Face Check par chaque autorité individuellement sur votre instance à l’aide de l’API REST Azure Resource Manager (ARM).

Note

L’API REST ARM pour Microsoft Entra Verified ID est actuellement en préversion publique.

Configuration de Face Check avec Microsoft Entra Verified ID dans le Centre d’administration

1. Dans la page de vue d’ensemble de Verified ID, faites défiler jusqu’à la nouvelle section Modules complémentaires et Enable le module complémentaire Face Check.

2. À l’étape Lier un abonnement, sélectionnez un abonnement, un groupe de ressources et l’emplacement de la ressource. Ensuite, sélectionnez Validate. Si aucun abonnement n’est listé, consultez Que se passe-t-il si je ne trouve pas d’abonnement ?

3. Une fois que le module complémentaire est validé, vous pouvez le Enable.

Vous pouvez maintenant commencer à utiliser Face Check dans vos applications d’entreprise.

Configuration de Face Check avec Microsoft Entra Verified ID à l’aide de l’API Rest Azure Resource Manager (ARM)

Note

L’API REST ARM pour Microsoft Entra Verified ID est actuellement en préversion publique.

Pour configurer le module complémentaire Face Check sur une autorité donnée, vous devez disposer des outils Azure PowerShell sur votre machine. Ce mécanisme encapsule l’appel REST. Vous pouvez également utiliser l’API REST Azure Resource Manager (ARM) PUT.

1. Exécuter la commande suivante dans PowerShell

az login --tenant  <tenant ID>

1. Sélectionnez l’abonnement sur lequel vous souhaitez activer la facturation Face Check.

2. Exécutez la commande suivante :

az rest --method PUT --uri /subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.VerifiedId/authorities/<authority-id>?api-version=2024-01-26-preview --body "{'location':'<rp-location>'}"

• remplacer <subscription-id> par votre ID d’abonnement
• Remplacez <resource-group-name> par le nom de votre groupe de ressources.
• Remplacez <authority-id> par votre ID d'autorité. Vous pouvez obtenir authority-id en utilisant l’appel GET Authorities à partir de l’API d’administration.
• Remplacez <rp-location> par l’une des deux valeurs suivantes :
  • Pour les locataires en UE, utilisez northeurope.
  • Hors UE, utilisez westus2.

Le module complémentaire Face Check est désormais activé dans votre locataire.

Bien démarrer avec Face Check à l’aide de MyAccount

Vous pouvez facilement commencer à utiliser Face Check à l’aide de MyAccount, qui peut émettre des justificatifs VerifiedEmployee et une application de test publique que Microsoft fournit. Pour commencer, vous devez suivre les étapes suivantes :

1. Créez un utilisateur de test dans votre locataire Microsoft Entra et chargez une photo de vous-même
2. Accédez à MyAccount, connectez-vous en tant que l’utilisateur de test et émettez des justificatifs VerifiedEmployee pour l’utilisateur.
3. Utilisez l’application de test publique pour présenter vos justificatifs VerifiedEmployee à l’aide de Face Check.

Lorsque Microsoft Authenticator obtient une demande de présentation incluant une vérification Face Check, un élément supplémentaire s’affiche après le type de justificatif que l’utilisateur est invité à partager. Lorsque l’utilisateur sélectionne cet élément, la vérification Face Check est exécutée et l’utilisateur peut ensuite partager le justificatif demandé et le score de confiance de la vérification avec l’application de test publique (partie de confiance). Vous pouvez passer en revue les résultats de l’application test.

Note

MyAccount utilise la photo de profil utilisateur Entra ID lors de l’émission des informations d’identification VerifiedEmployee. Vous pouvez récupérer votre photo via l’API Microsoft Graph https://graph.microsoft.com/v1.0/me/photos/240x240/$value

Démarrage avec Face Check à l’aide de l’API Request Service

Les applications peuvent utiliser l’API Request Service pour créer une demande pour permettre aux utilisateurs d’effectuer une vérification Face Check par rapport à un justificatif VerifiedEmployee, à une pièce d’identité officielle ou à un justificatif numérique personnalisé avec une photo approuvée. Par exemple, un service de support technique peut demander une vérification Face Check par rapport à un justificatif VerifiedEmployee pour vérifier rapidement et en toute sécurité l’identité afin d’activer un large éventail de scénarios en libre-service, notamment l’activation d’une clé d'accès ou la réinitialisation d’un mot de passe. Pour réduire les risques de conformité, les applications reçoivent un score de confiance de la correspondance de la photo par rapport au justificatif souhaité, sans accéder aux données liveness.

Émission d’un justificatif Verified ID avec une photo

Les types de justificatifs personnalisés utilisant le flux d’attestation idTokenHint peuvent également émettre des justificatifs Verified ID contenant une photo. La définition des justificatifs doit comporter la définition d’affichage et de règles pour la revendication photo.

La définition d’affichage de la revendication photo doit avoir le type défini sur image/jpg;base64url pour permettre à Microsoft Authenticator de comprendre que son rendu doit être effectué correctement en tant que photo.

{ 
  "claim": "vc.credentialSubject.photo", 
  "label": "User picture", 
  "type": "image/jpg;base64url" 
} 

Lorsque vous définissez la valeur de revendication réelle de la photo, elle doit être au format UrlEncode(Base64Encode(JPEG image)).

{ 
  "outputClaim": "photo", 
  "required": false, 
  "inputClaim": "photo", 
  "indexed": false 
} 

Note

Lors de l’émission d’informations d’identification personnalisées avec une photo, il incombe aux applications de fournir le JPEG à utiliser et de l’encoder.

Demande de présentation incluant Face Check

La charge utile JSON de l’API Request Service pour la création d’une demande de présentation doit spécifier qu’une vérification Face Check doit être effectuée. La revendication contenant la photo doit être nommée. Vous pouvez éventuellement spécifier votre seuil de confiance en tant qu’entier compris entre 50 et 100. Valeur par défaut : 70.

// POST https://verifiedid.did.msidentity.com/v1.0/verifiableCredentials/createPresentationRequest
...
  "requestedCredentials": [
    {
      "type": "VerifiedEmployee",
      "acceptedIssuers": [ "did:web:yourdomain.com" ],
      "configuration": {
        "validation": {
          "allowRevoked": false,
          "validateLinkedDomain": true,
          "faceCheck": {
            "sourcePhotoClaimName": "photo",
            "matchConfidenceThreshold": 70
          }
        }

Événement de rappel presentation_verified de Face Check réussi

La charge utile JSON pour presentation_verified comporte plus de données dans la réponse lorsque la vérification faciale a été réussie lors de la présentation d’un titre d’identité vérifié. La section faceCheck est ajoutée. Elle contient un score de confiance de correspondance matchConfidenceScore. Notez qu’il n’est pas possible de demander et de recevoir le reçu de présentation lorsque la demande inclut faceCheck.

  "verifiedCredentialsData": [ 
    { 
      "issuer": "did:web:yourdomain.com", 
      "type": [ "VerifiableCredential", "VerifiedEmployee" ], 
      "claims": { 
        ... 
      }, 
      ... 
      "faceCheck": { 
        "matchConfidenceScore": 86.314159,
        "sourcePhotoQuality": "HIGH"
      } 
    } 
  ], 

Événement de rappel presentation_verified de Face Check reçu

Si la demande de présentation a été créée en demandant un reçu, alors le rappel presentation_verified contiendra un attribut nommé faceCheck.

{
  "requestId": "11111111-2222-3333-4444-55555555",
  "requestStatus": "presentation_verified",
  "receipt": {
    ...
    "faceCheck": "eyJhbGc...svw"
  },
  ...
}

La valeur de l’attribut faceCheck est un jeton JWT signé qui sert de données sources pour la vérification de vivacité. Le décodage en base64 du jeton JWT donne des justificatifs vérifiables de type MicrosoftFaceCheckReceipt. sourceVcJti est l'identité du justificatif utilisé pour faire correspondre le test liveness.

... 
    "type": [
      "VerifiableCredential",
      "MicrosoftFaceCheckReceipt"
    ],
    "credentialSubject": {
      "faceCheckResults": [
        {
          "sourceVcJti": "urn:pic:4f741111222233334444000000000000",
          "matchConfidenceThreshold": 70,
          "matchConfidenceScore": 86.314159,
          "sourcePhotoQuality": "HIGH"
        }
      ]

Événement de rappel Face Check échoué

Lorsque le score de confiance est inférieur au seuil, la demande de présentation a échoué et presentation_error est retourné. L’application de vérification n’obtient pas le score retourné.

{ 
  "requestId": "...", 
  "requestStatus": "presentation_error", 
  "state": "...", 
  "error": { 
    "code": "claimValidationError", 
    "message": "Match confidence score failing to meet the threshold." 
  } 
} 

Authenticator affiche un message d’erreur indiquant à l’utilisateur que le score de confiance n’a pas réussi à atteindre le seuil.

Forum aux questions sur Face Check avec Microsoft Entra Verified ID

Qu’est-ce que Face Check ?

Face Check avec Microsoft Entra Verified ID est une fonctionnalité premium dans Verified ID utilisée pour des correspondances faciales qui respectent la confidentialité. Elle permet aux entreprises d’effectuer des vérifications avec un degré élevé d’assurance de manière sécurisée et simple, et à grande échelle. Face Check ajoute une couche critique de confiance en effectuant une correspondance faciale entre une photo et le selfie en temps réel d’un utilisateur. La correspondance faciale est alimentée par Azure AI services.

Quelle est la différence entre Face Check et Face ID ?

Face ID est une offre d’option de sécurité biométrique basée sur la vision pour les produits Apple qui permet de déverrouiller un appareil en vue d’accéder à une application mobile. Face Check est une fonctionnalité Microsoft Entra Verified ID qui utilise également la technologie IA basée sur la vision, mais compare l’utilisateur au justificatif Verified ID présenté. Face Check détermine l’identité de l’utilisateur dans un large éventail de scénarios en ligne où une haute fiabilité est requise. Les processus métier de grande valeur ou les accès aux informations sensibles de l’entreprise en sont autant d’exemples. Les deux mécanismes requièrent que l’utilisateur soit face à une caméra dans le processus, mais ils fonctionnent de différentes manières.

Le contrôle de vision biométrique Face Check est-il effectué sur l’appareil mobile ?

Non. La vérification biométrique entre la photo et les données liveness capturées est effectuée dans le cloud, à l’aide de l’API Visage Azure AI Vision. La capture du selfie de l’utilisateur au cours du processus n’est pas partagée avec le site sollicitant la vérification de l’identité.

Qu’est-ce que Face Liveness Check ?

Face Check avec Microsoft Entra Verified ID utilise la vérification liveness de l’API Azure AI Vision Face pour vérifier qu’il s’agit d’une personne réelle dans les séquences de selfie de l’appareil photo sur l’appareil de l’utilisateur. Cette vérification permet de s’assurer qu’une photo statique ou une vidéo 2D d’un utilisateur ne peut pas être utilisée à la place de l’utilisateur réel.

Qu’advient-il des données liveness capturées ?

Lorsque la caméra est activée sur l’appareil mobile, des séquences sont capturées en direct sur l’appareil mobile. Ces images sont ensuite transmises à Verified ID qui les utilise pour appeler Azure AI services.

Les données ne sont ni stockées ni conservées par aucun des services Microsoft Authenticator, Verified ID ou Azure AI. En outre, les séquences ne sont pas non plus partagées avec l’application qui effectue la vérification. L’application qui effectue la vérification obtient uniquement le score de confiance en retour. Dans un système basé sur l’IA, le score de confiance est la réponse en pourcentage de probabilité à une requête au système. Pour ce scénario, le score de confiance est la probabilité que la photo de l’utilisateur Verified ID corresponde à la capture de l’utilisateur sur son appareil mobile. Les données et la confidentialité pour Azure AI Services sont disponibles ici.

Combien coûte Face Check ?

Pour obtenir les informations les plus récentes sur la tarification et la facturation, consultez Tarification Microsoft Entra.

Que se passe-t-il si je ne trouve pas d’abonnement ?

Si aucun abonnement n’est disponible dans le volet Lier un abonnement, voici les raisons possibles :

Vous n’avez pas les autorisations appropriées. Veillez à vous connecter avec un compte Azure disposant au moins du rôle Contributeur de l’abonnement ou d’un groupe de ressources de l’abonnement.

Un abonnement existe, mais il n’est pas encore associé à votre annuaire. Vous pouvez associer un abonnement existant à votre locataire puis répéter les étapes pour le lier à votre locataire.

Aucun abonnement n’existe. Dans le volet Lier un abonnement, vous pouvez créer un abonnement en sélectionnant le lien. Si vous n’avez pas encore d’abonnement, vous pouvez en créer un ici. Après avoir créé un nouvel abonnement, vous devez créer un groupe de ressources dans le nouvel abonnement, puis répéter les étapes pour le lier à votre locataire.

Foire aux questions pour les développeurs qui utilisent Face Check

La solution Face Check nécessite-t-elle MS Authenticator ?

Oui. La vérification Face Check est limitée à l’utilisation de Verified ID avec MS Authenticator. Cette limitation est en place pour empêcher l’attaque par injection sur Face Check. Pour les scénarios autres que Face Check, un SDK Wallet est disponible pour d’autres solutions Verified ID. Plus d’informations ici

Qu’est-ce que la correspondance de pourcentage de confiance et que signifie la confiance ?

Les organisations peuvent définir leur seuil de score de confiance pour que leur application accepte une vérification Face Check. Un seuil plus élevé signifie qu’il est moins probable qu’un emprunt d’identité soit malencontreusement accepté. Avec score de confiance par défaut de 50 %, la probabilité que la personne dans le selfie en direct ne soit pas propriétaire légitime du justificatif est de 1 sur 100 000. Le niveau requis dépend du scénario spécifique, du public, du point d'entrée et des utilisateurs planifiés. Avec un score de confiance de 90 %, la probabilité de faux positif pour un utilisateur est d'un sur un milliard. Un seuil plus élevé entraîne l’augmentation de la probabilité qu’un utilisateur autorisé soit rejeté en raison de la plus grande sensibilité de l’application. Il est important de trouver le bon équilibre entre la définition d’un seuil de score de confiance assez élevé pour sécuriser votre application, mais assez bas pour que les utilisateurs autorisés ne soient pas trop souvent rejetés en raison de légères modifications de l’apparence ou des conditions visuelles de leur environnement, comme l’éclairage.

En savoir plus sur l'API Azure Face.

Qu’est-ce qu'Azure AI Vision Face API ?

Azure AI est une suite de services cloud sur la plateforme Azure. L’API Azure AI Vision Face offre des services pour la détection de visage, la reconnaissance faciale, la correspondance des visages et la vérification liveness. Microsoft Entra Verified ID utilise la détection de visage, la correspondance des visages et les services de vérification liveness du visage lors de l’exécution de FaceCheck. Des informations supplémentaires sont disponibles ici.

Dans quelle mesure Azure AI Vision Face API est-elle équitable ?

Microsoft a effectué des tests d’équité de l’API Face. L’équipe Azure AI Services s’efforce continuellement de garantir une utilisation responsable et inclusive de l’IA. Consultez le rapport d’équité de l’API Face.

Êtes-vous conforme à iBeta Level 2 ?

Oui. L’API Azure Face et Face Check sont conformes à iBeta Level 2 et sont efficaces face à différents styles d’attaque de présentation visant à usurper l’identité d’un utilisateur. En savoir plus sur les tests de détection d’attaque de présentation ISO d’iBeta.

Dans quelle mesure Azure AI Vision Face API est-elle équitable ?

Microsoft a effectué des tests d’équité de l’API Face. L’équipe Azure AI Services s’efforce continuellement de garantir une utilisation responsable et inclusive de l’IA biométrique. Le rapport d'équité de l’API Face est disponible ici.

Si un utilisateur s’est récemment fait couper les cheveux, s’est rasé ou a modifié d’une quelconque manière son apparence physique, sera-t-il incapable de réussir une vérification Face Check ?

La vérification Face Check compare le selfie en direct d’un utilisateur à la photo associée à votre photo Verified ID. Moins l’utilisateur ressemble à cette photo, plus son score de correspondance est faible. La vérification Face Check est acceptée ou non en fonction de la différence d’apparence de l’utilisateur par rapport à sa photo précédemment enregistrée et du seuil de score de confiance de l’application. Si votre application a un seuil relativement élevé, il est recommandé que les utilisateurs conservent une apparence physique cohérente avec leur photo Verified ID chargée ou la remplacent par une photo qui reflète mieux leur apparence actuelle.

Quand j’utilise Face Check, où mes données vont-elles ? Où sont-elles stockées ?

Les images utilisées pendant la vérification Face Check ne sont pas stockées à long terme. Lors d’une demande Face Check, un selfie est capturé à partir de l’appareil mobile de l’utilisateur. Cette image est ensuite transmise à Verified ID qui l'utilise pour appeler les services Azure Face API AI. Une fois le traitement terminé, l’image du selfie est supprimée et n’est enregistrée sur aucun appareil ou service. Microsoft Authenticator, Verified ID et Azure AI Services ne stockent PAS et ne conservent PAS ces données. En outre, l’image de selfie capturée n’est pas partagée non plus avec l’application qui effectue la vérification. L’application qui effectue la vérification reçoit uniquement un score de confiance issu de la correspondance obtenue.

Les données et la confidentialité pour Azure AI services sont disponibles ici.

La vérification Face Check avec Microsoft Entra Verified ID se produit-elle dans le portefeuille ou dans le cloud ?

Le service Verified ID exécute le processus de vérification dans le cloud, et non sur l’appareil. Les justificatifs sont stockées sur l’appareil de l’utilisateur afin que celui-ci ait un contrôle total sur leur utilisation. Un utilisateur doit choisir de partager un justificatif avec une entité de vérification pour qu’il soit traité pour une vérification.

Quelles sont les conditions requises pour la photo dans Verified ID ?

La photo doit être de qualité claire et nette et d'une taille d'au moins 200 pixels x 200 pixels. Le visage doit être centré dans l’image et ne doit pas être masqué. La taille maximale de la photo dans le justificatif est de 1 Mo. Notez que le fait d’avoir une image plus grande ne garantit pas un meilleur résultat. Une bonne photo plus petite est mieux qu’une grande mauvaise.

Vous trouverez ici plus d’informations sur la façon d’améliorer la précision du traitement de la photo.

Vous trouverez ici plus d’informations sur les limites de taille des justificatifs vérifiables.

Étapes suivantes

• Découvrez comment configurer votre locataire pour Microsoft Entra Verified ID et utiliser MyAccount.
• Découvrez comment émettre des informations d’identification de vérification d’identité Microsoft Entra à partir d’une application web.
• Découvrez comment vérifier des informations d’identification de vérification d’identité Microsoft Entra.