Verwenden der Gesichtserkennung mit Microsoft Entra Verified ID und Durchführen von Überprüfungen mit hoher Sicherheit im großen Stil
Face Check ist ein Gesichtsabgleich, der den Datenschutz berücksichtigt. Er ermöglicht es Unternehmen, Verifizierungen hochgradig zuverlässig, sicher, einfach und in jeder Größenordnung durchzuführen. Face Check fügt eine wesentliche Vertrauensschicht hinzu, indem Gesichtsabgleiche zwischen dem Echtzeitselfie eines Benutzers oder einer Benutzerin und einem Foto durchgeführt werden. Der Gesichtsabgleich wird von Azure KI Services unterstützt. Die Gesichtserkennung schützt die Privatsphäre der Benutzenden, indem nur die Übereinstimmungsergebnisse und keine vertraulichen Identitätsdaten geteilt werden, während Organisationen sichergehen können, dass die Person die richtige Identität angegeben hat.
Voraussetzungen
Face Check ist ein Premium-Feature innerhalb von Verified ID. Sie müssen das Gesichtserkennungs-Add-On in Ihrem Microsoft Entra Verified ID-Setup aktivieren, bevor Sie Gesichtserkennungsüberprüfungen durchführen können.
- Stellen Sie sicher, dass Microsoft Entra Verified ID in Ihrem Mandanten eingerichtet ist, bevor Sie die Gesichtserkennung verwenden.
- Zuordnen oder Hinzufügen eines Azure-Abonnements zu Ihrem Microsoft Entra-Mandanten
- Vergewissern Sie sich, dass der Benutzer, der Face Check einrichtet, über die Rolle „Mitwirkender“ für das Azure-Abonnement verfügt.
Einrichten der Gesichtserkennung mit Microsoft Entra Verified ID
Das Gesichtserkennungs-Add-On kann auf zwei Arten über das Microsoft Entra Admin Center oder mithilfe der Azure Resource Manager-RESR-API (ARM) über die Befehlszeilenschnittstelle aktiviert werden. Wenn Sie die Gesichtserkennung in einem Mandanten mit der Microsoft Entra Suite-Lizenz verwenden, wird die Gesichtsüberprüfung auf Mandantenebene aktiviert, und die Konfiguration gilt für alle Stellen innerhalb dieses Mandanten. Für alle anderen Lizenzen können Sie die Gesichtserkennung mithilfe der Azure Resource Manager-REST-API (ARM) einzeln von jeder Stelle in Ihrem Mandanten aktivieren.
Hinweis
Die ARM-REST-API für Microsoft Entra Verified ID befindet sich derzeit in der öffentlichen Vorschau.
Einrichten der Gesichtserkennung mit Microsoft Entra Verified ID im Admin Center
- Scrollen Sie auf der Übersichtsseite von Verified ID nach unten zum Abschnitt mit den neuen Add-Ons, und aktivieren (
Enable) Sie das Face Check-Add-On.
- Wählen Sie im Schritt „Abonnement verknüpfen“ ein Abonnement, eine Ressourcengruppe und den Ressourcenstandort aus. Wählen Sie dann
Validateaus. Wenn keine Abonnements aufgeführt sind, lesen Sie Wie gehe ich vor, wenn ich kein Abonnement finden kann?.
- Nach der Überprüfung können Sie das Add-On aktivieren (
Enable).
Jetzt können Sie mit der Verwendung von Face Check in Ihren Unternehmensanwendungen beginnen.
Einrichten der Gesichtsüberprüfung mit Microsoft Entra Verified ID mithilfe der Azure Resource Manager-REST-API (ARM)
Hinweis
Die ARM-REST-API für Microsoft Entra Verified ID befindet sich derzeit in der öffentlichen Vorschau.
Um das Gesichtserkennungs-Add-On für eine bestimmte Stelle einzurichten, müssen Sie über die Azure PowerShell-Tools auf Ihrem Computer verfügen. Dieser Mechanismus umschließt den REST-Aufruf. Alternativ können Sie die ARM-REST-API (Azure Resource Manager) PUT entsprechend verwenden.
- Führen Sie den folgenden Befehl in PowerShell aus.
az login --tenant <tenant ID>
Wählen Sie das Abonnement aus, für das Sie die Abrechnung der Gesichtserkennung aktivieren möchten.
Führen Sie den folgenden Befehl aus.
az rest --method PUT --uri /subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.VerifiedId/authorities/<authority-id>?api-version=2024-01-26-preview --body "{'location':'<rp-location>'}"
- Ersetzen Sie
<subscription-id>durch Ihre Abonnement-ID - Ersetzen Sie
<resource-group-name>durch den Namen Ihrer Ressourcengruppe. - Ersetzen Sie
<authority-id>durch Ihre Stellen-ID. Sie können dieauthority-idmithilfe des Aufrufs GET Authorities aus der Administrierenden-API abrufen. - Ersetzen Sie
<rp-location>durch einen der folgenden beiden Werte:- Verwenden Sie für EU-Mandanten
northeurope. - Verwenden Sie für Nicht-EU-Mandanten
westus2.
- Verwenden Sie für EU-Mandanten
Das Gesichtsüberprüfung-Add-On ist jetzt in Ihrem Mandanten aktiviert.
Erste Schritte mit Face Check mithilfe von „Mein Konto“
Sie können ganz einfach mit Face Check beginnen, indem Sie Mein Konto verwenden. Dort können Sie VerifiedEmployee-Nachweise ausstellen und eine öffentliche Test-App von Microsoft nutzen. So legen Sie los:
- Erstellen Sie eine(n) TestbenutzerIn in Ihrem Microsoft Entra-Mandanten, und laden Sie ein Foto von sich selbst hoch.
- Wechseln Sie zu Mein Konto, melden Sie sich als Testbenutzer an, und stellen Sie einen
VerifiedEmployee-Nachweis für den Benutzer aus. - Verwenden Sie die öffentliche Test-App, um Ihren
VerifiedEmployee-Nachweis mithilfe von Face Check vorzuzeigen.
Wenn bei Microsoft Authenticator eine Nachweisanforderung einschließlich einer Gesichtsüberprüfung erhält, gibt es ein zusätzliches Element nach dem Nachweistyp, den der oder die Benutzer*in vorzeigen soll. Wenn der Benutzer dieses Element auswählt, erfolgt die eigentliche Face Check-Überprüfung, und anschließend kann er den angeforderten Nachweis und die Konfidenzbewertung der Überprüfung mit der öffentlichen Test-App (vertrauende Seite) teilen. Sie können die Ergebnisse in der Test-App überprüfen.
Hinweis
MyAccount verwendet das Benutzerprofilfoto der Entra-ID, wenn die "VerifiedEmployee"-Berechtigung ausgestellt wird. Sie können Ihr Foto über die Microsoft Graph-API-https://graph.microsoft.com/v1.0/me/photos/240x240/$value abrufen.
Erste Schritte mit Face Check mithilfe der Anforderungsdienst-API
Apps können Anforderungsdienst-API verwenden, um eine Anforderung für Benutzer*innen zu erstellen, damit diese anhand eines VerifiedEmployee-Nachweises, einer staatlich ausgestellten Behörden-ID oder eines benutzerdefinierten digitalen Nachweises eine Gesichtsüberprüfung mit einem vertrauenswürdigen Foto durchführen können. Beispielsweise kann ein Helpdeskdienst eine Gesichtsüberprüfung anhand eines VerifiedEmployee-Nachweises anfordern, um die Identität schnell und sicher zu verifizieren und eine Vielzahl von Self-Service-Szenarios zu ermöglichen, darunter die Aktivierung eines Hauptschlüssels oder das Zurücksetzen eines Kennworts. Um das Compliancerisiko zu verringern, erhalten Apps eine Konfidenzbewertung für die Übereinstimmung mit dem Foto aus dem gewünschten Nachweis, ohne Zugriff auf Lebendigkeitsdaten zu erhalten.
Ausstellen eines Verified ID-Nachweises mit einem Foto
Benutzerdefinierte Nachweistypen mit dem idTokenHint-Nachweisflow können auch einen Verified ID-Nachweis ausstellen, der ein Foto enthält. Die Nachweisdefinition muss die Anzeige- und Regeldefinition für den Fotoanspruch enthalten.
In der Anzeigedefinition für den Fotoanspruch sollte der Typ auf image/jpg;base64url festgelegt sein, damit Microsoft Authenticator weiß, dass sie als Foto gerendert werden soll.
{
"claim": "vc.credentialSubject.photo",
"label": "User picture",
"type": "image/jpg;base64url"
}
Wenn Sie den tatsächlichen Anspruchswert des Fotos festlegen, sollte dieser das Format UrlEncode(Base64Encode(JPEG image)) aufweisen.
{
"outputClaim": "photo",
"required": false,
"inputClaim": "photo",
"indexed": false
}
Hinweis
Wenn Sie eine benutzerdefinierte Anmeldeinformation mit einem Foto ausstellen, liegt es in der Verantwortung der Apps, die JPEG zum Verwenden und Codieren bereitzustellen.
Nachweisanforderungen mit Gesichtsüberprüfung
Die JSON-Nutzdaten für die Anforderungsdienst-API zum Erstellen einer Nachweisanforderungen muss angeben, dass eine Gesichtsüberprüfung erfolgen soll. Der Anspruch, der das Foto enthält, muss benannt werden, und Sie können optional Ihren Konfidenzschwellenwert als ganze Zahl zwischen 50 und 100 angeben. Der Standardwert ist 70.
// POST https://verifiedid.did.msidentity.com/v1.0/verifiableCredentials/createPresentationRequest
...
"requestedCredentials": [
{
"type": "VerifiedEmployee",
"acceptedIssuers": [ "did:web:yourdomain.com" ],
"configuration": {
"validation": {
"allowRevoked": false,
"validateLinkedDomain": true,
"faceCheck": {
"sourcePhotoClaimName": "photo",
"matchConfidenceThreshold": 70
}
}
Rückrufereignis „presentation_verification“ bei erfolgreicher Gesichtsüberprüfung
Die JSON-Nutzdaten für die presentation_verified enthalten mehr Daten, wenn eine Gesichtsüberprüfung durch das Vorzeigen eines Verified ID-Nachweises erfolgreich war. Der faceCheck-Abschnitt wird hinzugefügt und enthält „matchConfidenceScore“. Beachten Sie, dass es nicht möglich ist, einen Beleg für den Nachweis anzufordern und zu erhalten, wenn die Anforderung „faceCheck“ enthält.
"verifiedCredentialsData": [
{
"issuer": "did:web:yourdomain.com",
"type": [ "VerifiableCredential", "VerifiedEmployee" ],
"claims": {
...
},
...
"faceCheck": {
"matchConfidenceScore": 86.314159,
"sourcePhotoQuality": "HIGH"
}
}
],
Rückrufereignis bei fehlgeschlagener Gesichtsüberprüfung
Wenn die Konfidenzbewertung niedriger als der Schwellenwert ist, ist die Nachweisanforderung fehlgeschlagen, und presentation_error wird zurückgegeben. Die Bewertung wird nicht an die verifizierende Anwendung zurückgegeben.
{
"requestId": "...",
"requestStatus": "presentation_error",
"state": "...",
"error": {
"code": "claimValidationError",
"message": "Match confidence score failing to meet the threshold."
}
}
Der Authenticator zeigt eine Fehlermeldung an, die den Benutzer oder die Benutzerin darüber informiert, dass die Konfidenzbewertung den Schwellenwert nicht erreicht hat.
Häufig gestellte Fragen zu Face Check mit Microsoft Entra Verified ID
Was ist Face Check?
Face Check mit Microsoft Entra Verified ID ist ein Premium-Feature innerhalb von Verified ID, das für Gesichtsabgleich verwendet wird, der den Datenschutz respektiert. Er ermöglicht es Unternehmen, Verifizierungen hochgradig zuverlässig, sicher, einfach und in jeder Größenordnung durchzuführen. Face Check fügt eine wesentliche Vertrauensschicht hinzu, indem Gesichtsabgleiche zwischen dem Echtzeitselfie eines Benutzers oder einer Benutzerin und einem Foto durchgeführt werden. Der Gesichtsabgleich wird von Azure KI Services unterstützt.
Was ist der Unterschied zwischen Face Check und Face ID?
Face ID ist eine auf maschinellem Sehen basierende biometrische Sicherheitsoption für Apple-Produkte zum Entsperren eines Geräts für den Zugriff auf eine mobile App. Face Check ist ein Microsoft Entra Verified ID-Feature, das ebenfalls auf maschinellem Sehen basierende KI-Technologie verwendet, aber den oder die Benutzer*in mit dem vorgezeigten Verified ID-Nachweis vergleicht. Face Check untersucht die Benutzeridentität für verschiedenste Onlineszenarien, die einen hochgradig sicheren Zugriff erfordern. Dazu zählen beispielsweise wichtige Geschäftsprozesse oder der Zugriff auf vertrauliche Unternehmensdaten. Beide Mechanismen erfordern, dass ein*e Benutzer*in eine Kamera verwendet, aber funktionieren auf unterschiedliche Weise.
Wird die biometrische Gesichtsüberprüfung mit Face Check auf einem mobilen Gerät durchgeführt?
Nein Die biometrische Überprüfung zwischen dem Foto und den erfassten Lebendigkeitsdaten erfolgt in der Cloud mithilfe der Gesichts-API von Azure KI Vision. Die Aufnahme des Benutzerselfies während des Prozesses wird nicht mit der verifizierenden Seite geteilt, die die ID anfordert.
Was ist die Lebendigkeitsprüfung für Gesichter?
Face Check mit Microsoft Entra Verified ID verwendet die Liveness-Überprüfung der Azure KI Vision-Gesichts-API, um zu überprüfen, ob es sich bei dem Selfie-Bild von der Kamera des Benutzergeräts um eine echte Person handelt. Mit dieser Überprüfung wird sichergestellt, dass ein statisches Foto oder ein 2D-Video eines Benutzers nicht anstelle seiner Liveaufnahme verwendet werden kann.
Was geschieht mit den aufgenommenen Lebendigkeitsdaten?
Wenn die Kamera auf dem mobilen Gerät aktiviert wird, werden Liveaufnahmen auf dem mobilen Gerät gemacht. Dieses Material wird dann an Verified ID übergeben, wo es zum Aufrufen von Azure KI Services-Diensten verwendet wird.
Daten werden von keinem der Dienste gespeichert oder aufbewahrt, weder von Microsoft Authenticator noch von Verified ID oder Azure KI. Außerdem wird das Material nicht mit verifizierenden Anwendung geteilt. Die verifizierende Anwendung erhält nur die Konfidenzbewertung. In einem KI-basierten System ist die Konfidenzbewertung die Antwort in Form eines Wahrscheinlichkeitsprozentsatzes für eine Abfrage an das System. Für dieses Szenario ist die Konfidenzbewertung die Wahrscheinlichkeit, dass das Foto der Verified ID-Benutzenden mit der Aufnahme auf dem mobilen Gerät übereinstimmt. Privacy- und Datenschutzinformationen für Azure KI Services finden Sie hier.
Wie viel kostet Face Check?
Die aktuellen Informationen zur Verbrauchsabrechnung und zu den Preisen finden Sie unter Microsoft Entra – Preise.
Wie gehe ich vor, wenn ich kein Abonnement finden kann?
Wenn im Bereich Abonnement verknüpfen keine Abonnements verfügbar sind, gibt es dafür u. a. folgende Gründe:
Sie verfügen nicht über die entsprechenden Berechtigungen. Melden Sie sich dazu mit einem Azure-Konto an, das mindestens über die Rolle „Mitwirkender“ innerhalb des Abonnements oder einer Ressourcengruppe im Abonnement verfügt.
Ein Abonnement ist vorhanden, ist aber noch nicht Ihrem Verzeichnis zugeordnet. Sie können Ihrem Mandanten ein vorhandenes Abonnement zuordnen und dann die Schritte zum Verknüpfen mit Ihrem Mandanten wiederholen.
Es ist kein Abonnement vorhanden. Im Bereich „Abonnement verknüpfen“ können Sie ein Abonnement erstellen, indem Sie den Link „Wenn Sie noch kein Abonnement haben, können Sie hier ein Abonnement erstellen“ auswählen. Nachdem Sie ein neues Abonnement erstellt haben, müssen Sie im neuen Abonnement eine Ressourcengruppe erstellen und dann die Schritte zum Verknüpfen des Abonnements mit Ihrem Mandanten wiederholen.
Häufig gestellte Fragen von Face Check-Entwicklern
Wird Microsoft Authenticator für Face Check benötigt?
Ja. Face Check muss mit Verified ID und Microsoft Authenticator verwendet werden. Diese Einschränkung soll Injection-Angriffe auf Face Check verhindern. Für Szenarios ohne Face Check ist ein Wallet-SDK für andere Verified ID-Lösungen verfügbar. Weitere Informationen
Was ist die Konfidenzübereinstimmung in Prozent und was bedeutet Konfidenz?
Organisationen können ihren Schwellenwert für die Konfidenzbewertung für ihre Anwendung auswählen, um eine Face Check-Überprüfungen zu akzeptieren. Ein höherer Schwellenwert bedeutet, dass ein Identitätswechsel mit geringerer Wahrscheinlichkeit fälschlich akzeptiert wird. Bei der Standardkonfidenzbewertung von 50 % beträgt die Wahrscheinlichkeit, dass die Person im Liveselfie nicht die rechtmäßige Person im Besitz der Anmeldeinformationen ist, 1:100.000. Das erforderliche Niveau hängt vom spezifischen Szenario, davon, wie öffentlich der Zugangspunkt ist, und von den geplanten Benutzenden ab. Bei einer Konfidenzbewertung von 90 % liegt die Wahrscheinlichkeit eines falsch positiven Ergebnisses bei 1 zu 1 Milliarde. Ein höherer Schwellenwert führt dazu, dass das Risiko steigt, dass autorisierte Benutzende aufgrund der höheren Sensibilität der Anwendung abgelehnt werden. Es ist wichtig, einen hohen Schwellenwert für die Konfidenzbewertung zu finden, der Ihre Anwendung sichert, ohne ihn jedoch so hoch anzusetzen, dass autorisierte Benutzende häufig aufgrund geringfügiger Erscheinungsbildänderungen oder visueller Bedingungen in ihrer Umgebung wie der Beleuchtung abgelehnt werden.
Weitere Informationen zur Azure Face-API.
Was ist die Gesichts-API von Azure KI Vision?
Azure KI ist eine Suite von Clouddiensten in der Azure-Plattform. Die Gesichts-API von Azure KI Vision enthält Dienste zur Gesichtserkennung, zum Gesichtsabgleich und zur Lebendigkeitsprüfung. Die Microsoft Entra Verified ID verwendet die Dienste für Gesichtserkennung und Gesichtsabgleich, wenn FaceCheck durchgeführt wird. Weitere Informationen finden Sie hier.
Wie fair die Gesichts-API von Azure KI Vision?
Microsoft hat die Gesichts-API Fairnesstests unterzogen. Das Azure KI Services-Team arbeitet kontinuierlich daran, eine verantwortungsvolle und inklusive Nutzung von KI sicherzustellen. Sehen Sie sich den Fairnessbericht für die Gesichts-API an.
Ist das Feature iBeta Level 2-konform?
Ja. Azure Gesichts-API KI und Face Check sind iBeta Level 2 konform, um widerstandsfähig gegen verschiedene Darstellungsstile von Angriffen zu sein, um einen Benutzer zu imitieren. Erfahren Sie mehr über die ISO Presentation Attack Detection-Tests von iBeta.
Wie fair die Gesichts-API von Azure KI Vision?
Microsoft hat die Gesichtserkennungs-API Fairnesstests unterzogen. Das Azure KI Services-Team arbeitet kontinuierlich daran, eine verantwortungsvolle und inklusive Nutzung biometrischer KI sicherzustellen. Der Fairnessbericht für die Gesichts-API ist hier verfügbar.
Wenn ein Benutzender sich kürzlich die Haare geschnitten, die Gesichtsbehaarung abrasiert oder anderweitig sein Aussehen verändert hat, kann er dann keine Face-Check-Überprüfung durchführen?
Face Check vergleicht das Live-Selfie von Benutzenden mit dem Foto, das mit Ihrer verifizierten ID verknüpft ist. Je weniger die Benutzenden wie dieses Foto aussehen, desto niedriger ist die Übereinstimmungsbewertung. Ob die Face Check-Verifizierung akzeptiert wird oder nicht, hängt davon ab, wie stark sich das aktuelle Erscheinungsbild der Person von dem zuvor gespeicherten Foto unterscheidet und wie hoch der Schwellenwert für die Konfidenzbewertung der Anwendung ist. Wenn Ihre Anwendung einen relativ hohen Schwellenwert aufweist, empfiehlt es sich für Benutzende, ihr physisches Erscheinungsbild mit dem hochgeladenen Foto einer überprüften ID konsistent zu halten oder das Foto durch eines zu ersetzen, das ihre aktuelle Darstellung widerspiegelt.
Wohin gehen meine Daten, wenn ich Face Check einmal verwendet habe? Wo werden sie gespeichert?
Während der Gesichtsüberprüfung verwendete Bilder werden nicht langfristig gespeichert. Bei einer Face-Check-Anfrage wird ein Selfie vom Mobilgerät der Benutzenden aufgenommen. Dieses Bild wird dann an Verified ID weitergeleitet, das es verwendet, um Azure Face-API-KI-Dienste aufzurufen. Nach Abschluss der Verarbeitung wird das Selfie-Bild verworfen und nicht auf einem Gerät oder Dienst gespeichert. Microsoft Authenticator, Verified ID und Azure KI-Dienste speichern oder bewahren diese Daten NICHT auf. Außerdem wird das erfasste Selfie nicht mit der verifizierenden Anwendung geteilt. Die Prüfanwendung erhält nur eine Konfidenzbewertung der resultierenden Übereinstimmung.
Informationen zu Daten und Datenschutz für Azure-KI-Dienste finden Sie hier.
Erfolgt die Überprüfung von Face Check mit Microsoft Entra Verified ID in der Wallet oder in der Cloud?
Der Verified ID-Dienst führt den Überprüfungsprozess in der Cloud aus, nicht auf dem Gerät. Die Anmeldedaten werden auf dem Gerät der Benutzenden gespeichert, sodass diese über die vollständige Kontrolle über die Verwendung der Anmeldedaten verfügen. Benutzende müssen sich dafür entscheiden, ihre Anmeldedaten mit einem Prüfenden zu teilen, damit diese zur Überprüfung verarbeitet werden können.
Was sind die Anforderungen für das Foto in Verified ID?
Das Foto sollte klar und scharf in der Qualität und nicht kleiner als 200 x 200 Pixel sein. Das Gesicht muss sich in der Bildmitte befinden und die Sicht darauf darf nicht gestört sein. Die maximale Größe des Fotos in den Anmeldeinformationen beträgt 1 MB. Beachten Sie, dass ein größeres Bild kein besseres Ergebnis garantiert. Ein gutes kleineres Foto ist besser als ein großes schlechtes Foto.
Weitere Informationen zur Verbesserung der Genauigkeit bei der Fotoverarbeitung finden Sie hier.
Weitere Informationen zu den Größenbeschränkungen für Nachweise finden Sie hier.