Utilisation de la vérification faciale avec Vérification d’identité Microsoft Entra et déverrouillage de vérifications à haute fiabilité à grande échelle

Vérification faciale est une solution de correspondance faciale respectant la confidentialité. Elle permet aux entreprises d’effectuer des vérifications avec un degré élevé d’assurance en toute sécurité, simplement et à grande échelle. Vérification faciale ajoute une couche critique de confiance en effectuant une correspondance faciale entre une photo et le selfie en temps réel d’un utilisateur. La correspondance faciale est alimentée par Azure AI services. La vérification faciale protège la confidentialité des utilisateurs en partageant uniquement les résultats de correspondance et non les données d’identité sensibles, tout en permettant aux organisations de s’assurer que la personne est bien qui elle prétend être.

Prérequis

La vérification faciale est une fonctionnalité Premium dans Vérification d’identité. Vous devez activer le module complémentaire de vérification faciale dans votre configuration de Vérification d’identité Microsoft Entra avant d’effectuer des vérifications faciales.

• Assurez-vous que la vérification d’identité Microsoft Entra est configuré dans votre locataire avant d’utiliser Face Check.
• Associer ou ajouter un abonnement Azure à votre locataire Microsoft Entra
• Vérifiez que l’utilisateur qui configure la vérification faciale a le rôle Contributeur pour l’abonnement Azure

Configuration de la vérification faciale avec Vérification d’identité Microsoft Entra

Le module complémentaire Face Check peut être activé de deux façons à partir du Centre d’administration Microsoft Entra ou à l’aide de l’API Rest Azure Resource Manager (ARM) via l’interface CLI. Si vous allez utiliser la vérification faciale dans un locataire avec la licence Microsoft Entra Suite, elle sera activée au niveau du locataire et la configuration s’applique à toutes les autorités au sein de ce locataire. Pour toutes les autres licences, vous pouvez activer Face Check par chaque autorité individuellement sur votre instance à l’aide de l’API REST Azure Resource Manager (ARM).

Remarque

L’API REST ARM pour Vérification d’identité Microsoft Entra est actuellement en préversion publique.

Configuration de la vérification faciale avec Vérification d’identité Microsoft Entra dans le Centre d’administration

1. Dans la page de vue d’ensemble de Vérification d’identité, faites défiler jusqu’à la nouvelle section Modules complémentaires et Enable le module complémentaire Vérification faciale.

2. À l’étape Lier un abonnement, sélectionnez un abonnement, un groupe de ressources et l’emplacement de la ressource. Ensuite, sélectionnez Validate. Si aucun abonnement n’est répertorié, consultez Que se passe-t-il si je ne trouve pas d’abonnement ?

3. Une fois validé, vous pouvez Enable le module complémentaire.

Vous pouvez maintenant commencer à utiliser la vérification faciale dans vos applications d’entreprise.

Configuration de la vérification faciale avec Vérification d’identité Microsoft Entra à l’aide de l’API Rest Azure Resource Manager (ARM)

Remarque

L’API REST ARM pour Vérification d’identité Microsoft Entra est actuellement en préversion publique.

Pour configurer le module complémentaire de la vérification faciale sur une autorité donnée, vous devez disposer des outils Azure PowerShell sur votre machine. Ce mécanisme encapsule l’appel REST. Vous pouvez également utiliser l’API REST Azure Resource Manager (ARM) PUT en conséquence

1. Exécuter la commande suivante dans PowerShell

  az login --tenant  <tenant ID>

1. Sélectionnez l’abonnement sur lequel vous souhaitez activer la facturation de la vérification faciale

2. Exécutez la commande suivante :

  az rest --method PUT --uri /subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.VerifiedId/authorities/<authority-id>?api-version=2024-01-26-preview --body "{'location':'<rp-location>'}"

• remplacer <subscription-id> par votre ID d’abonnement
• Remplacez <resource-group-name> par le nom de votre groupe de ressources
• remplacez <authority-id> par votre identification d’autorité. Vous pouvez obtenir authority-id en utilisant l’appel d’autorités GET à partir de l’API d’administration.
• remplacez <rp-location> à l’aide de l’une des deux valeurs suivantes :
  • Pour les locataires de l’UE, utilisez northeurope
  • Pour une utilisation non-UE westus2

Le module complémentaire de la vérification faciale est désormais activé dans votre locataire.

Bien démarrer avec Vérification faciale à l’aide de MyAccount

Vous pouvez facilement commencer à utiliser Vérification faciale à l’aide de MyAccount, qui peut émettre des justificatifs VerifiedEmployee et une application de test publique que Microsoft fournit. Pour commencer, vous devez suivre les étapes suivantes :

1. Créez un utilisateur de test dans votre locataire Microsoft Entra et chargez une photo de vous-même
2. Accédez à MyAccount, connectez-vous en tant que l’utilisateur de test et émettez des justificatifs VerifiedEmployee pour l’utilisateur.
3. Utilisez l’application de test publique pour présenter vos justificatifs VerifiedEmployee à l’aide de Vérification faciale.

Lorsque Microsoft Authenticator obtient une demande de présentation incluant une vérification faciale, un élément supplémentaire s’affiche après le type de justificatif que l’utilisateur est invité à partager. Lorsque l’utilisateur sélectionne cet élément, la vérification faciale est exécutée et l’utilisateur peut ensuite partager le justificatif demandé et le score de confiance de la vérification avec l’application de test publique (partie de confiance). Vous pouvez passer en revue les résultats de l’application test.

Remarque

MyAccount utilise la photo de profil utilisateur Entra ID lors de l’émission des informations d’identification VerifiedEmployee. Vous pouvez récupérer votre photo via l’API Microsoft Graph https://graph.microsoft.com/v1.0/me/photos/240x240/$value

Prise en main de Vérification faciale à l’aide de l’API Request Service

Les applications peuvent utiliser l’API Request Service pour créer une demande pour permettre aux utilisateurs d’effectuer une vérification faciale par rapport au justificatif VerifiedEmployee, à une pièce d’identité officielle ou à un justificatif numérique personnalisé avec une photo approuvée. Par exemple, un service de support technique peut demander une vérification faciale par rapport à un justificatif VerifiedEmployee pour vérifier rapidement et en toute sécurité l’identité afin d’activer un large éventail de scénarios en libre-service, notamment l’activation d’une clé secrète ou la réinitialisation d’un mot de passe. Pour réduire les risques de conformité, les applications reçoivent un score de confiance de la correspondance de la photo par rapport au justificatif souhaité, sans accéder aux données de spontanéité.

Émission d’un justificatif Vérification d’identité avec une photo

Les types de justificatifs personnalisés utilisant le flux d’attestation idTokenHint peuvent également émettre des justificatifs Vérification d’identité contenant une photo. La définition des justificatifs doit comporter la définition d’affichage et de règles pour la revendication photo.

La définition d’affichage de la revendication photo doit avoir le type défini sur image/jpg;base64url pour permettre à Microsoft Authenticator de comprendre que son rendu doit être effectué correctement en tant que photo.

{ 
  "claim": "vc.credentialSubject.photo", 
  "label": "User picture", 
  "type": "image/jpg;base64url" 
} 

Lorsque vous définissez la valeur de revendication réelle de la photo, elle doit être au format UrlEncode(Base64Encode(JPEG image)).

{ 
  "outputClaim": "photo", 
  "required": false, 
  "inputClaim": "photo", 
  "indexed": false 
} 

Remarque

Lors de l’émission d’informations d’identification personnalisées avec une photo, il incombe aux applications de fournir le JPEG à utiliser et de l’encoder.

Demande de présentation incluant la vérification faciale

La charge utile JSON de l’API Request Service pour la création d’une demande de présentation doit spécifier qu’une Vérification faciale doit être effectuée. La revendication contenant la photo doit être nommée. Vous pouvez éventuellement spécifier votre seuil de confiance en tant qu’entier compris entre 50 et 100. La valeur par défaut est 70.

// POST https://verifiedid.did.msidentity.com/v1.0/verifiableCredentials/createPresentationRequest
...
  "requestedCredentials": [
    {
      "type": "VerifiedEmployee",
      "acceptedIssuers": [ "did:web:yourdomain.com" ],
      "configuration": {
        "validation": {
          "allowRevoked": false,
          "validateLinkedDomain": true,
          "faceCheck": {
            "sourcePhotoClaimName": "photo",
            "matchConfidenceThreshold": 70
          }
        }

Événement de rappel presentation_verified de Vérification faciale réussi

La charge utile JSON pour presentation_verified comporte des données supplémentaires lorsqu’une Vérification faciale a été correctement effectuée lors de la présentation d’un justificatif Vérification d’identité. La section faceCheck est ajoutée. Elle contient un score de confiance de correspondance matchConfidenceScore. Notez qu’il n’est pas possible de demander et de recevoir le reçu de présentation lorsque la demande inclut faceCheck.

  "verifiedCredentialsData": [ 
    { 
      "issuer": "did:web:yourdomain.com", 
      "type": [ "VerifiableCredential", "VerifiedEmployee" ], 
      "claims": { 
        ... 
      }, 
      ... 
      "faceCheck": { 
        "matchConfidenceScore": 86.314159,
        "sourcePhotoQuality": "HIGH"
      } 
    } 
  ], 

Événement de rappel de Vérification faciale échoué

Lorsque le score de confiance est inférieur au seuil, la demande de présentation a échoué et presentation_error est retourné. L’application de vérification n’obtient pas le score retourné.

{ 
  "requestId": "...", 
  "requestStatus": "presentation_error", 
  "state": "...", 
  "error": { 
    "code": "claimValidationError", 
    "message": "Match confidence score failing to meet the threshold." 
  } 
} 

Authenticator affiche un message d’erreur indiquant à l’utilisateur que le score de confiance n’a pas réussi à atteindre le seuil.

Forum aux questions sur la vérification faciale avec Vérification d’identité Microsoft Entra

Qu’est-ce que Vérification faciale ?

La vérification faciale avec Vérification d’identité Microsoft Entra est une fonctionnalité Premium dans Vérification d’identité utilisée pour des correspondances faciales qui respectent la confidentialité. Elle permet aux entreprises d’effectuer des vérifications avec un degré élevé d’assurance en toute sécurité, simplement et à grande échelle. Vérification faciale ajoute une couche critique de confiance en effectuant une correspondance faciale entre une photo et le selfie en temps réel d’un utilisateur. La correspondance faciale est alimentée par Azure AI services.

Quelle est la différence entre Vérification faciale et Face ID ?

Face ID est une offre d’option de sécurité biométrique basée sur la vision pour les produits Apple pour déverrouiller un appareil en vue d’accéder à une application mobile. Vérification faciale est une fonctionnalité de Vérification d’identité Microsoft Entra qui utilise également la technologie IA basée sur la vision, mais compare l’utilisateur au justificatif Vérification d’identité présenté. Vérification faciale détermine l’identité de l’utilisateur dans un large éventail de scénarios en ligne où une haute fiabilité est requise. Les processus métier de grande valeur ou les accès aux informations sensibles de l’entreprise en sont autant d’exemples. Les deux mécanismes requièrent que l’utilisateur soit face à une caméra dans le processus, mais fonctionne de différentes manières.

Le contrôle de vision biométrique Vérification faciale est-il effectué sur l’appareil mobile ?

Non. La vérification biométrique entre la photo et les données de spontanéité capturées est effectuée dans le cloud, à l’aide de l’API Visage Azure AI Vision. La capture du selfie de l’utilisateur au cours du processus n’est pas partagée avec le site sollicitant la vérification de l’identité.

Qu’est-ce que Vérification de la spontanéité du visage ?

La vérification faciale avec Vérification d’identité Microsoft Entra utilise la vérification dynamique de l’API Azure AI Vision Face pour vérifier qu’il s’agit d’une personne réelle dans les séquences de selfie de l’appareil photo sur l’appareil de l’utilisateur. Cette vérification permet de s’assurer qu’une photo statique ou une vidéo 2D d’un utilisateur ne peut pas être utilisée à la place de l’utilisateur réel.

Qu’advient-il des données de spontanéité capturées ?

Lorsque la caméra est activée sur l’appareil mobile, les images sont capturées en direct sur l’appareil mobile. Ces images sont ensuite transmises à Vérification d’identité qui les utilise pour appeler Azure AI services.

Les données ne sont ni stockées ni conservées par aucun des services Microsoft Authenticator, Vérification d’identité ou Azure AI. En outre, les images ne sont pas non plus partagées avec l’application de vérificateur. L’application de vérificateur obtient uniquement le score de confiance en retour. Dans un système basé sur l’IA, le score de confiance est la réponse de pourcentage de probabilité pour une requête au système. Pour ce scénario, le score de confiance est la probabilité que la photo du justificatif de l’utilisateur Vérification d’identité corresponde à la capture de l’utilisateur sur l’appareil mobile. Les données et la confidentialité pour Azure AI Services sont disponibles ici.

Combien coûte Vérification faciale ?

Pour obtenir les informations les plus récentes sur la tarification et la facturation, consultez la Tarification Microsoft Entra.

Que se passe-t-il si je ne trouve pas d’abonnement ?

Si aucun abonnement n’est disponible dans le volet Lier un abonnement, voici les raisons possibles :

Vous n’avez pas les autorisations appropriées. Veillez à vous connecter avec un compte Azure disposant au moins du rôle Contributeur de l’abonnement ou d’un groupe de ressources de l’abonnement.

Un abonnement existe, mais il n’a pas encore été associé à votre répertoire. Vous pouvez associer un abonnement existant à votre locataire, puis répéter les étapes pour le lier à votre locataire.

Aucun abonnement n’existe. Dans le volet Lier un abonnement, vous pouvez créer un abonnement en sélectionnant le lien Si vous n’avez pas encore d’abonnement pour en créer un. Après avoir créé un nouvel abonnement, vous devez créer un groupe de ressources dans le nouvel abonnement, puis répéter les étapes pour le lier à votre locataire.

Foire aux questions pour les développeurs qui utilisent la vérification faciale

La solution Vérification faciale nécessite-t-elle MS Authenticator ?

Oui. La vérification faciale est limité à l’utilisation avec Vérification d’identité avec MS Authenticator. Cette limitation est en place pour empêcher l’attaque par injection sur la vérification faciale. Pour les scénarios autres que Vérification faciale, un SDK Wallet est disponible pour d’autres solutions Vérification d’identité. Plus d’informations ici

Qu’est-ce que la correspondance de pourcentage de confiance et que signifie la confiance ?

Les organisations peuvent définir leur seuil de score de confiance pour que leur application accepte une vérification faciale. Un seuil plus élevé signifie qu’il est moins probable qu’un emprunt d’identité soit faussement accepté. Au score de confiance par défaut de 50 %, la chance que la personne dans le selfie en direct n’est pas le propriétaire des informations d’identification légitimes est un dans 100 000. Le niveau requis dépend du scénario spécifique, des utilisateurs planifiés, et à quel niveau le point d’entrée est public. À un score de confiance de 90 %, la probabilité de faux positif pour un utilisateur est d’une sur un milliard. Un seuil plus élevé entraîne l’augmentation de la probabilité qu’un utilisateur autorisé soit rejeté en raison de la plus grande sensibilité de l’application. Il est important de trouver le bon équilibre entre la définition d’un seuil de score de confiance élevé qui sécurise votre application tout en ne la rendant pas si élevée qu’elle rejette souvent les utilisateurs autorisés en raison de légères modifications de l’apparence ou des conditions visuelles de leur environnement, comme l’éclairage.

En savoir plus sur l’API Visage d’Azure

Qu’est-ce que l’API Visage Azure AI Vision ?

Azure AI est une suite de services cloud sur la plateforme Azure. L’API Visage Azure AI Vision offre des services pour la détection des visages, la reconnaissance faciale, la correspondance des visages et la vérification de la spontanéité. Vérification d’identité Microsoft Entra utilise la détection des visages, la correspondance des visages et les services de vérification de la spontanéité du visage lors de l’exécution de Vérification faciale. D’autres informations sont disponibles ici.

Dans quelle mesure l’API Visage Azure AI Vision est-elle impartiale ?

Microsoft a effectué des tests d’impartialité de l’API Visage. L’équipe Azure AI services s’efforce continuellement de garantir une utilisation responsable et inclusive de l’IA. Affichez le rapport d’équité de l’API Face.

Êtes-vous conforme à iBeta Level 2 ?

Oui. L’API Azure Face et la vérification faciale sont conformes à iBeta niveau 2 pour être résistantes à différents styles d’attaque de présentation visant à usurper l’identité d’un utilisateur. En savoir plus sur les tests de détection d’attaque de présentation ISO d’iBeta.

Dans quelle mesure l’API Visage Azure AI Vision est-elle impartiale ?

Microsoft a effectué des tests d’impartialité de l’API Visage. L’équipe Azure AI Services s’efforce en permanence de garantir une utilisation responsable et inclusive de l’IA biométrique. Le rapport d’impartialité de l’API Visage est disponible ici.

Si un utilisateur s’est récemment fait couper les cheveux, s’est rasé ou a modifié d’une quelconque manière son apparence physique, sera-t-il incapable de réussir une vérification faciale ?

La vérification faciale compare le selfie en direct d’un utilisateur à la photo associée à votre ID vérifié. Moins l’utilisateur ressemble à cette photo, plus son score de correspondance est faible. La vérification faciale est acceptée ou non en fonction de la différence d’apparence de l’utilisateur par rapport à sa photo précédemment enregistrée et du seuil de score de confiance de l’application. Si votre application a un seuil relativement élevé, il est recommandé que les utilisateurs conservent une apparence physique cohérente avec leur photo d’identification vérifiée chargée ou remplacent la photo par une photo qui reflète l’apparence actuelle de l’utilisateur.

Quand j’utilise la vérification faciale, où mes données vont-elles ? Où sont-elles stockées ?

Les images utilisées pendant la vérification des visages ne sont pas stockées à long terme. Lors d’une demande de vérification faciale, un selfie est capturé à partir de l’appareil mobile de l’utilisateur. Cette image est ensuite transmise à la vérification d’identité qui les utilise pour appeler les services d’IA de l’API Azure Visage. Une fois le traitement terminé, l’image du selfie est supprimée et n’est enregistrée sur aucun appareil ou service. Microsoft Authenticator, Vérification d’identité et Azure AI Services ne stockent pas et ne conservent pas ces données. En outre, l’image de selfie capturée n’est pas partagée avec l’application de vérificateur non plus. L’application de vérification reçoit uniquement un score de confiance issu de la correspondance obtenue.

Les informations sur les données et la confidentialité pour Azure AI Services sont disponibles ici.

La vérification faciale avec la vérification d’identité Microsoft Entra se produit-elle dans le portefeuille ou dans le cloud ?

Le service de vérification d’identité exécute le processus de vérification dans le cloud, et non sur l’appareil. Les informations d’identification sont stockées sur l’appareil de l’utilisateur afin que celui-ci ait un contrôle total sur l’utilisation de ses informations d’identification. Un utilisateur doit choisir de partager ses informations d’identification avec un vérificateur pour qu’elles soient traitées pour une vérification.

Quelles sont les conditions requises pour la photo du justificatif Vérification d’identité ?

La photo doit être claire et nette en qualité et pas inférieure à 200 pixels x 200 pixels. Le visage doit être centré dans l’image et ne doit pas être masqué. La taille maximale de la photo dans les informations d’identification est de 1 Mo. Notez que le fait d’avoir une image plus grande ne garantit pas un meilleur résultat. Une bonne photo plus petite est mieux qu’une grande mauvaise.

Vous trouverez ici plus d’informations sur la façon d’améliorer la précision du traitement de la photo.

Vous trouverez ici plus d’informations sur les limites de taille des justificatifs vérifiables.

Étapes suivantes

• Découvrez comment configurer votre locataire pour Vérification d’identité Microsoft Entra et utiliser MyAccount.
• Découvrez comment émettre des justificatifs Vérification d’identité Microsoft Entra à partir d’une application web.
• Découvrez comment vérifier des justificatifs Vérification d’identité Microsoft Entra.