Använda ansiktskontroll med Microsoft Entra – verifierat ID och låsa upp verifieringar med hög säkerhet i stor skala

Ansiktskontroll är en ansiktsmatchning med sekretessrespekt. Det gör det möjligt för företag att utföra högsäkerhetsverifieringar på ett säkert, enkelt och i stor skala. Ansiktskontrollen lägger till ett kritiskt förtroendelager genom att utföra ansiktsmatchning mellan en användares selfie i realtid och ett foto. Ansiktsmatchningen drivs av Azure AI-tjänster. Ansiktskontrollen skyddar användarsekretessen genom att endast dela matchningsresultaten och inte några känsliga identitetsdata, samtidigt som organisationer kan vara säkra på att personen som hävdar en identitet verkligen är dem.

Förutsättningar

Ansiktskontroll är en premiumfunktion i verifierat ID. Du måste aktivera tillägget Ansiktsverifiering i Microsoft Entra Verified ID-inställningarna innan du utför ansiktsverifieringar.

• Kontrollera att Microsoft Entra Verified ID har konfigurerats i klientorganisationen innan du använder Face Check.
• Associera eller lägg till en Azure-prenumeration till din Microsoft Entra-klientorganisation
• Kontrollera att användaren som konfigurerar Ansiktskontroll har rollen Deltagare för Azure-prenumerationen

Konfigurera ansiktskontroll med Microsoft Entra – verifierat ID

Tillägget för ansiktskontroll kan aktiveras på två sätt från Microsoft Entra Administrationscenter eller genom att använda REST-API:et för Azure Resource Manager (ARM) via CLI. Om du ska använda Ansiktskontroll i en klientorganisation med Microsoft Entra Suite-licensen aktiveras Ansiktskontroll på klientorganisationsnivå och konfigurationen gäller för alla myndigheter i klientorganisationen. För andra licenser kan du aktivera Ansiktskontroll individuellt av varje myndighet på din klient med hjälp av Azure Resource Manager REST API (ARM).

Anteckning

ARM Rest API för Microsoft Entra – verifierat ID finns för närvarande i offentlig förhandsversion.

Konfigurera ansiktskontroll med Microsoft Entra – verifierat ID i administrationscentret

1. På översiktssidan För verifierat ID rullar du ned till det nya avsnittet Tillägg och Enable tillägget Ansiktskontroll.

2. I steget Länka en prenumeration väljer du en prenumeration, en resursgrupp och resursplatsen. Välj Validatesedan . Om det inte finns några prenumerationer i listan kan du läsa Vad händer om jag inte kan hitta en prenumeration?

3. När du har verifierat det kan du Enable lägga till tillägget.

Nu kan du börja använda Ansiktskontroll i dina företagsprogram.

Konfigurera ansiktskontroll med Microsoft Entra – verifierat ID med hjälp av REST-API:et för Azure Resource Manager (ARM)

Anteckning

ARM Rest API för Microsoft Entra – verifierat ID finns för närvarande i offentlig förhandsversion.

För att konfigurera tillägget Ansiktskontroll på en viss myndighet måste du ha Azure PowerShell-verktygen på din dator. Den här mekanismen omsluter REST-anropet. Du kan också använda Azure Resource Manager (ARM) Rest API:et på ett lämpligt sätt.

1. Kör följande kommando i PowerShell

az login --tenant  <tenant ID>

1. Välj den prenumeration som du vill aktivera fakturering för ansiktskontroll på

2. Kör följande kommando

az rest --method PUT --uri /subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.VerifiedId/authorities/<authority-id>?api-version=2024-01-26-preview --body "{'location':'<rp-location>'}"

• ersätt <subscription-id> med ditt prenumerations-ID
• ersätt <resource-group-name> med resursgruppens namn
• ersätt <authority-id> med ditt auktoritets-ID. Du kan få authority-id med GET Authorities-anropet från administratörs-API:et.
• ersätt <rp-location> med något av följande två värden:
  • För EU-hyresgäster, använd northeurope
  • För icke-EU-användning westus2

Tillägget Ansiktskontroll är nu aktiverat i klientorganisationen.

Kom igång med Ansiktskontroll med MyAccount

Du kan enkelt komma igång med ansiktskontroll med hjälp av MyAccount, som kan utfärda VerifiedEmployee autentiseringsuppgifter och en offentlig testapp som Microsoft tillhandahåller. För att komma igång måste du utföra följande steg:

1. Skapa en testanvändare i din Microsoft Entra-klientorganisation och ladda upp ett foto av dig själv
2. Gå till MyAccount, logga in som testanvändare och utfärda en VerifiedEmployee autentiseringsuppgift för användaren.
3. Använd den offentliga testappen för att presentera dina VerifiedEmployee autentiseringsuppgifter med ansiktskontroll.

När Microsoft Authenticator får en presentationsbegäran, inklusive en ansiktskontroll, finns det ett extra objekt efter den typ av autentiseringsuppgifter som användaren uppmanas att dela. När användaren väljer det objektet utförs den faktiska ansiktskontrollen och användaren kan sedan dela den begärda autentiseringsuppgiften och konfidenspoängen för kontrollen med den offentliga testappen (förlitande part). Du kan granska resultaten i testappen.

Anteckning

MyAccount använder Användarprofilfotot för Entra-ID när du utfärdar autentiseringsuppgifterna för VerifiedEmployee. Du kan hämta ditt foto via Microsoft Graph API https://graph.microsoft.com/v1.0/me/photos/240x240/$value

Kom igång med ansiktskontroll med api för begärandetjänsten

Appar kan använda API :et för begärandetjänsten för att skapa en begäran om att användare ska utföra en ansiktskontroll mot VerifiedEmployee autentiseringsuppgifter, statligt utfärdat myndighets-ID eller en anpassad digital autentiseringsuppgift med ett betrott foto. En supporttjänst kan till exempel begära en ansiktskontroll mot en VerifiedEmployee autentiseringsuppgift för att snabbt och säkert verifiera identiteten för att möjliggöra en mängd olika självbetjäningsscenarier, inklusive aktivering av en nyckel eller återställning av ett lösenord. För att minska efterlevnadsrisken får appar en konfidenspoäng för matchning mot fotot från önskad autentiseringsuppgift, utan att få åtkomst till liveness-data.

Utfärda en verifierad ID-autentiseringsuppgift med ett foto

Anpassade typer av autentiseringsuppgifter med hjälp av idTokenHint-attesteringsflödet kan också utfärda en verifierad ID-autentiseringsuppgift som innehåller ett foto. Definitionen av autentiseringsuppgifter måste ha definitionen för visning och regler för fotoanspråket.

Visningsdefinitionen för fotoanspråket ska ha typen inställd på för att tillåta Microsoft Authenticator att förstå att den ska återges korrekt som ett foto.

{ 
  "claim": "vc.credentialSubject.photo", 
  "label": "User picture", 
  "type": "image/jpg;base64url" 
} 

När du anger det faktiska anspråksvärdet för fotot ska det vara i formatet UrlEncode(Base64Encode(JPEG image)).

{ 
  "outputClaim": "photo", 
  "required": false, 
  "inputClaim": "photo", 
  "indexed": false 
} 

Anteckning

När du utfärdar en anpassad autentiseringsuppgift med ett foto är det apparnas ansvar att tillhandahålla JPEG som ska användas och koda den.

Presentationsförfrågningar inklusive ansiktskontroll

JSON-nyttolasten till API:t för begäran om presentation ska ange att en ansiktskontroll ska utföras. Anspråket som innehåller fotot måste namnges och du kan också ange ditt förtroendetröskelvärde som ett heltal mellan 50 och 100. Standardvärdet är 70.

// POST https://verifiedid.did.msidentity.com/v1.0/verifiableCredentials/createPresentationRequest
...
  "requestedCredentials": [
    {
      "type": "VerifiedEmployee",
      "acceptedIssuers": [ "did:web:yourdomain.com" ],
      "configuration": {
        "validation": {
          "allowRevoked": false,
          "validateLinkedDomain": true,
          "faceCheck": {
            "sourcePhotoClaimName": "photo",
            "matchConfidenceThreshold": 70
          }
        }

Lyckad händelse för ansiktsverifiering presentation_verifierad återuppringning

JSON-nyttolasten för presentation_verified har mer data i svaret när en ansiktskontroll lyckades under en presentation av verifierade ID-autentiseringsuppgifter. Avsnittet faceCheck läggs till som innehåller en matchConfidenceScore. Observera att det inte går att begära och ta emot presentationskvittot när begäran innehåller faceCheck.

  "verifiedCredentialsData": [ 
    { 
      "issuer": "did:web:yourdomain.com", 
      "type": [ "VerifiableCredential", "VerifiedEmployee" ], 
      "claims": { 
        ... 
      }, 
      ... 
      "faceCheck": { 
        "matchConfidenceScore": 86.314159,
        "sourcePhotoQuality": "HIGH"
      } 
    } 
  ], 

Händelsekvitto för ansiktsigenkänning presentation_verifierad återuppringning

Om presentationsbegäran skapades med en begäran om ett kvitto, kommer presentation_verified-motringningen att innehålla ett attribut med namnet faceCheck.

{
  "requestId": "11111111-2222-3333-4444-55555555",
  "requestStatus": "presentation_verified",
  "receipt": {
    ...
    "faceCheck": "eyJhbGc...svw"
  },
  ...
}

Värdet för attributet faceCheck är en signerad JWT-token som är källdata för liveness-kontrollen. Base64-avkodning av JWT-token ger en verifierbar autentiseringsuppgift av typen MicrosoftFaceCheckReceipt. sourceVcJti är identiteten för de autentiseringsuppgifter som används för att matcha liveness-kontrollen.

... 
    "type": [
      "VerifiableCredential",
      "MicrosoftFaceCheckReceipt"
    ],
    "credentialSubject": {
      "faceCheckResults": [
        {
          "sourceVcJti": "urn:pic:4f741111222233334444000000000000",
          "matchConfidenceThreshold": 70,
          "matchConfidenceScore": 86.314159,
          "sourcePhotoQuality": "HIGH"
        }
      ]

Misslyckad återanropshändelse för ansiktskontroll

När konfidenspoängen är lägre än tröskelvärdet misslyckas presentationsbegäran och en presentation_error returneras. Det verifierande programmet får inte poängen returnerad.

{ 
  "requestId": "...", 
  "requestStatus": "presentation_error", 
  "state": "...", 
  "error": { 
    "code": "claimValidationError", 
    "message": "Match confidence score failing to meet the threshold." 
  } 
} 

Authenticator visar ett felmeddelande som informerar användaren om att konfidenspoängen inte uppfyllde tröskelvärdet.

Vanliga frågor och svar om ansiktskontroll med Microsoft Entra – verifierat ID

Vad är ansiktskontroll?

Ansiktskontroll med Microsoft Entra – verifierat ID är en premiumfunktion i verifierat ID som används för ansiktsmatchning med sekretessrelevnad. Det gör det möjligt för företag att utföra högsäkerhetsverifieringar på ett säkert, enkelt och i stor skala. Ansiktskontrollen lägger till ett kritiskt förtroendelager genom att utföra ansiktsmatchning mellan en användares selfie i realtid och ett foto. Ansiktsmatchningen drivs av Azure AI-tjänster.

Vad är skillnaden mellan ansiktskontroll och ansikts-ID?

Ansikts-ID är ett visionsbaserat biometriskt säkerhetsalternativ för Apple-produkter för att låsa upp en enhet för åtkomst till en mobilapp. Ansiktskontroll är en Microsoft Entra – verifierat ID funktion som också använder visionsbaserad AI-teknik, men jämför användaren med det visade verifierade ID:t. Ansiktskontroll avgör användaridentiteten i en mängd olika onlinescenarier där högsäkerhetsåtkomst krävs. Några exempel på som är värdefulla affärsprocesser eller åtkomst till känslig företagsinformation. Båda mekanismerna kräver att en användare möter en kamera i processen men fungerar på olika sätt.

Utförs den biometriska ansiktskontrollen på den mobila enheten?

Nej. Den biometriska kontrollen mellan fotot och livsteckendata som samlas in utförs med hjälp av Azure AI Vision Face API i molnet. Användarens selfie-avbildning under processen delas inte med den begärande ID-verifierande webbplatsen.

Vad är ansiktsautenticitetskontroll?

Ansiktskontroll med Verifierat ID från Microsoft Entra använder Azure AI Vision Face API:s livskontroll för att verifiera att det är en riktig person i selfiematerialet från kameran på användarens enhet. Den här kontrollen hjälper till att säkerställa att ett statiskt foto eller en 2D-video av en användare inte kan användas i stället för sitt levande jag.

Vad händer med liveness-data som tas?

När kameran är påslagen på den mobila enheten fångas livebilder på den mobila enheten. Den här filmen skickas sedan till verifierat ID som använder det för att anropa tjänster i Azure AI-tjänster.

Data lagras inte av eller sparas av någon av tjänsterna Microsoft Authenticator, Verifierat ID eller Azure AI. Dessutom delas inte bilderna med kontrollantprogrammet heller. Kontrollantprogrammet får bara konfidenspoängen i gengäld. I ett AI-baserat system är konfidenspoängen sannolikhetsprocentsvaret för en fråga till systemet. I det här scenariot är konfidenspoängen sannolikheten för att fotot av användaren i det verifierade ID:t matchar användarfotot som fångats på den mobila enheten. Data och sekretess för Azure AI Services finns här.

Hur mycket kostar ansiktskontroll?

Den senaste informationen om användningsfakturering och priser finns i Microsoft Entra-priser.

Vad händer om jag inte kan hitta en prenumeration?

Om inga prenumerationer är tillgängliga i fönstret Länka en prenumeration finns här några möjliga orsaker:

Du har inte rätt behörigheter. Se till att logga in med ett Azure-konto som har minst rollen Deltagare i prenumerationen eller i en resursgrupp inom prenumerationen.

Det finns en prenumeration, men den är inte associerad med din katalog ännu. Du kan associera en befintlig prenumeration med din klientorganisation och sedan upprepa stegen för att länka den till din klientorganisation.

Det finns ingen prenumeration. I fönstret Länka en prenumeration kan du skapa en prenumeration genom att välja länken om du inte redan har en prenumeration som du kan skapa här. När du har skapat en ny prenumeration måste du skapa en resursgrupp i den nya prenumerationen och sedan upprepa stegen för att länka den till din klientorganisation.

Vanliga frågor och svar för utvecklare av ansiktskontroll

Kräver ansiktskontrollen MS-autentisering?

Ja. Ansiktskontrollen är begränsad till verifierad ID-användning med MS Authenticator. Den här begränsningen är på plats för att förhindra injektionsattacker på Face Check. För scenarier som inte är ansiktskontroll är en Wallet SDK tillgänglig för andra verifierade ID-lösningar. Mer information finns här

Vad är konfidensprocentmatchningen och vad betyder konfidens?

Organisationer kan välja tröskelvärdet för konfidenspoäng för sin applikation för att acceptera en ansiktsverifiering. Ett högre tröskelvärde innebär att det är mindre troligt att en personifierare godkänns felaktigt. Vid standardkonfidenspoängen på 50 % är chansen att personen i den levande selfien inte är den rättmätiga ägaren av autentiseringsuppgifter en av 100 000. Vilken nivå som krävs beror på det specifika scenariot, hur offentlig startpunkten är och de planerade användarna. Vid en konfidenspoäng på 90 % är den falska positiva användarchansen en på en miljard. Ett högre tröskelvärde leder till ökad potential för att en behörig användare avvisas på grund av programmets högre känslighet. Det är viktigt att hitta rätt balans mellan att ange ett tröskelvärde för hög konfidenspoäng som skyddar ditt program utan att göra det så högt att det ofta avvisar behöriga användare på grund av små ändringar i utseendet eller de visuella förhållandena i deras omgivning, till exempel belysning.

Läs mer om Azure Face API.

Vad är Ansikts-API för Azure AI Vision?

Azure AI är en uppsättning molntjänster på Azure Platform. Ansikts-API:et för Azure AI Vision erbjuder tjänster för ansiktsdetektering, ansiktsigenkänning, ansiktsmatchning och levandehetskontroll. Microsoft Entra verifierat ID använder tjänster för ansiktsidentifiering, ansiktsmatchning och kontroll för ansiktslivlighet när ansiktskontroll utförs. Mer information kan finnas här.

Hur rättvist är Azure AI Vision Ansikts-API?

Microsoft har genomfört rättvisetestning av ansikts-API:et. Azure AI-tjänsteteamet strävar ständigt efter att säkerställa ansvarsfull och inkluderande användning av AI. Visa Face API Fairness-rapporten.

Är du iBeta Level 2-konform?

Ja. Azure Face API AI och Ansiktskontroll är iBeta Level 2-konforma för att vara resistenta mot olika presentationsangreppsmetoder för att imitera en användare. Läs mer om iBetas testning av presentation attacker enligt ISO-standard.

Hur rättvist är Azure AI Vision Ansikts-API?

Microsoft genomförde rättvisetestning av ansikts-API:et. Azure AI Services-teamet strävar kontinuerligt efter att säkerställa ansvarsfull och inkluderande användning av biometrisk AI. Rapporten Face API Fairness (Rättvisa för ansikts-API) finns här.

Om en användare nyligen fick en frisyr, rakade sitt ansiktshår eller på annat sätt ändrade sitt fysiska utseende, kommer de inte att kunna slutföra en ansiktskontrollverifiering?

Ansiktskontrollen jämför en användares live-selfie med fotot som är associerat med ditt verifierade ID. Ju mindre användaren ser ut som det fotot, desto lägre är deras matchningspoäng. Om verifieringen av ansiktskontrollen godkänns eller inte beror på hur annorlunda användaren för närvarande visas från det tidigare sparade fotot och hur högt tröskelvärde för konfidenspoäng programmet har. Om ditt program har ett relativt högt tröskelvärde rekommenderar vi att användarna behåller ett fysiskt utseende som överensstämmer med deras uppladdade verifierade ID-foto eller ersätter fotot med ett som återspeglar användarens aktuella utseende.

Vart tar mina data vägen när jag använder Ansiktskontroll? Var lagras den?

Bilder som används under ansiktskontrollen lagras inte på lång sikt. Under en begäran om ansiktskontroll hämtas en selfie från användarens mobila enhet. Den här avbildningen skickas sedan till verifierat ID som använder den för att anropa Azure Face API AI-tjänster. När bearbetningen är klar ignoreras selfiebilden och sparas inte på någon enhet eller tjänst. Microsoft Authenticator, Verifierat ID och Azure AI-tjänster lagrar inte eller behåller inte dessa data. Dessutom delas inte den insamlade selfiebilden med kontrollantprogrammet heller. Kontrollantprogrammet får bara en konfidenspoäng för den resulterande matchningen.

Data och sekretess för Azure AI-tjänster finns här.

Sker ansiktskontroll med Microsoft Entra-verifiering av ID i plånboken eller i molnet?

Tjänsten Verifierat ID kör verifieringsprocessen i molnet, inte på enheten. Autentiseringsuppgifter lagras på en användares enhet så att de har fullständig kontroll över autentiseringsuppgifternas användning. En användare måste välja att dela en autentiseringsuppgift med en kontrollant för att den ska kunna bearbetas för verifiering.

Vilka är kraven för fotot i verifierat ID?

Fotot ska vara tydligt och skarpt i kvalitet och inte mindre än 200 bildpunkter x 200 bildpunkter. Ansiktet ska centreras i bilden och vara utan skymmande hinder. Den maximala storleken på fotot i autentiseringsuppgifterna är 1 MB. Observera att en större avbildning inte garanterar ett bättre resultat. Ett bra mindre foto är bättre än ett stort dåligt.

Mer information om hur du förbättrar noggrannheten för bildbearbetning finns här

Mer information om storleksgränser för verifierbara autentiseringsuppgifter finns här

Nästa steg

• Lär dig hur du konfigurerar klientorganisationen för Microsoft Entra Verified ID och använder MyAccount.
• Lär dig hur du utfärdar Microsoft Entra Verified ID-behörighetsuppgifter från en webbapplikation.
• Lär dig hur du verifierar Microsoft Entra – verifierat ID autentiseringsuppgifter.