使用人臉識別與 Microsoft Entra 驗證 ID 來大規模啟用高保證驗證
臉部辨識是一種尊重隱私的臉部比對。 它可讓企業安全地、簡單且大規模地執行高保證驗證。 臉部核對會藉由在使用者即時自拍和相片之間執行臉部比對,來新增重要的信任層。 臉部比對是由 Azure AI 服務所提供。 臉部檢查只會共用比對結果而非任何機密身分識別數據來保護用戶隱私權,同時允許組織確定宣告身分識別的人員確實是他們。
必要條件
臉部檢查是驗證身份識別中的高級功能。 您必須在 Microsoft Entra 驗證識別碼 設定中啟用臉部檢查附加元件,才能進行臉部檢查驗證。
- 使用臉部檢查之前,請確定租使用者中已設定 Microsoft Entra 驗證識別碼。
- 將 Azure 訂用帳戶新增或關聯至您的 Microsoft Entra 租戶
- 請確保設定 Face Check 的使用者擁有 Azure 訂用帳戶的協作者角色
使用 Microsoft Entra 驗證 ID 設定臉部檢查
臉部檢查附加元件可以從 Microsoft Entra Admin Center 或透過 CLI 使用 Azure Resource Manager (ARM) Rest API ,以兩種方式啟用。 如果您要在租用戶中使用具有 Microsoft Entra Suite 授權的 Face Check 功能,則會在租用戶層級啟用 Face Check,且配置會套用到該租用戶內的所有管理單位。 針對任何其他授權,您可以使用 Azure Resource Manager(ARM)Rest API,個別在您的租戶上由每個單一授權單位啟用臉部辨識。
備註
適用於 Microsoft Entra 驗證識別碼的 ARM Rest API 目前為公開預覽狀態。
在管理中心設定臉部識別與 Microsoft Entra 驗證識別碼
- 在 [已驗證的標識符概觀] 頁面中,向下捲動至新的 [附加元件] 區段,然後選擇
Enable[臉部檢查] 附加元件。
- 在 [鏈接訂用帳戶] 步驟中,選取 [訂用帳戶]、[資源群組] 和 [資源位置]。 然後選取 [
Validate]。 如果沒有列出的訂用帳戶,請參閱 如果我找不到訂用帳戶,該怎麼辦?
- 驗證之後,您就可以
Enable使用附加元件。
現在,您可以在企業應用程式中開始使用臉部檢查。
使用 Azure 資源管理員(ARM)Rest API 設定 Microsoft Entra 驗證識別碼的臉部識別功能
注意
適用於 Microsoft Entra 驗證識別碼的 ARM Rest API 目前為公開預覽狀態。
若要在指定的授權單位上設定臉部檢查附加元件,您必須在機器中擁有 Azure PowerShell 工具 。 此機制會包裝 REST 呼叫。 您也可以據此使用 Azure Resource Manager (ARM) Rest API PUT
- 在 PowerShell 中執行下列命令
az login --tenant <tenant ID>
選取您要啟用臉部檢查計費的訂用帳戶
執行下列命令
az rest --method PUT --uri /subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.VerifiedId/authorities/<authority-id>?api-version=2024-01-26-preview --body "{'location':'<rp-location>'}"
- 以您的訂用帳戶標識碼取代
<subscription-id> - 將
<resource-group-name>替換為您的資源組名 - 將
<authority-id>替換為您的權威識別碼。 您可以使用系統管理 API 的 GET Authorities 呼叫來取得authority-id。 - 使用下列兩個值之一取代
<rp-location>:- 針對歐盟租戶,請使用
northeurope - 針對非歐盟使用
westus2
- 針對歐盟租戶,請使用
臉部檢查附加元件現在已在您的租用戶中啟用。
使用 MyAccount 開始使用 Face Check 功能
您可以透過 MyAccount 輕鬆開始使用臉部核對。MyAccount 能夠發出 VerifiedEmployee 認證。此外,您還可以使用 Microsoft 提供的公開測試應用程式。 若要開始使用,您必須執行下列步驟:
- 在您的 Microsoft Entra 租戶中建立測試使用者,並上傳一張自己的照片
- 移至 MyAccount,以測試使用者身分登入,並為使用者發出
VerifiedEmployee認證。 - 使用公開測試應用程式透過臉部核對來呈現您的
VerifiedEmployee認證。
當 Microsoft Authenticator 收到一個包含臉部核對的呈現要求時,會在要求使用者共用認證類型後提供一個額外的項目。 當使用者選取該項目時,會執行實際的臉部檢查,然後使用者可以與公開測試應用程式(受信方)分享所要求的憑證和檢查信心指數。 您可以在測試應用程式上檢閱結果。
注意
MyAccount 會在發出 VerifiedEmployee 認證時,使用 Entra ID 使用者個人資料照片。 您可以透過 Microsoft Graph API 擷取您的相片 https://graph.microsoft.com/v1.0/me/photos/240x240/$value
使用請求服務 API 開始臉部檢查
應用程式可以使用要求服務 API 來建立要求,讓使用者針對 VerifiedEmployee 認證、狀態發行的政府識別碼或具有受信任相片的自訂數位認證執行臉部核對。 例如,技術支援中心服務可以針對 VerifiedEmployee 認證要求臉部核對,以快速且安全地驗證身分識別,以啟用各種不同的自助案例,包括啟用 Passkey 或重設密碼。 為了降低合規性風險,應用程式會從所需憑證收到與相片相符的信心分數,而不需要存取活體檢測資料。
簽發附帶照片的已驗證身份證明
使用 idTokenHint 證明流程的自訂認證類型,也可以發出包含相片的已驗證識別碼認證。 認證定義必須具備相片聲明的顯示和規則定義。
相片聲明的顯示定義應該將其類型設置為image/jpg;base64url,以便讓 Microsoft Authenticator 瞭解它應該正確地轉譯為相片。
{
"claim": "vc.credentialSubject.photo",
"label": "User picture",
"type": "image/jpg;base64url"
}
設定相片的實際宣告值時,其格式應為 UrlEncode(Base64Encode(JPEG image))。
{
"outputClaim": "photo",
"required": false,
"inputClaim": "photo",
"indexed": false
}
注意
發行具有相片的自定義認證時,應用程式必須負責提供要使用的 JPEG 並將其編碼。
包含面部識別檢查的簡報要求
要創建陳述請求的 要求服務 API 的 JSON 承載,必須指定應該執行臉部核對。 包含相片的宣告必須命名,而且您可以選擇性地將信賴閾值指定為介於 50-100 之間的整數。 預設值為 70。
// POST https://verifiedid.did.msidentity.com/v1.0/verifiableCredentials/createPresentationRequest
...
"requestedCredentials": [
{
"type": "VerifiedEmployee",
"acceptedIssuers": [ "did:web:yourdomain.com" ],
"configuration": {
"validation": {
"allowRevoked": false,
"validateLinkedDomain": true,
"faceCheck": {
"sourcePhotoClaimName": "photo",
"matchConfidenceThreshold": 70
}
}
成功臉部核對 presentation_verified 回撥事件
presentation_verified 的 JSON 資料負載在已驗證的 ID 憑證展示期間若臉部檢查成功,則回應中會有更多數據。 已新增 faceCheck 區段,其中包含匹配信心分數。 請注意,當要求包含 faceCheck 時,無法要求並接收呈現收據。
"verifiedCredentialsData": [
{
"issuer": "did:web:yourdomain.com",
"type": [ "VerifiableCredential", "VerifiedEmployee" ],
"claims": {
...
},
...
"faceCheck": {
"matchConfidenceScore": 86.314159,
"sourcePhotoQuality": "HIGH"
}
}
],
臉部檢查presentation_verified回呼事件回條
如果已建立要求收據的簡報要求,則presentation_verified回呼會包含名為faceCheck的屬性。
{
"requestId": "11111111-2222-3333-4444-55555555",
"requestStatus": "presentation_verified",
"receipt": {
...
"faceCheck": "eyJhbGc...svw"
},
...
}
faceCheck 屬性值是已簽署的 JWT 令牌,這是即時性檢查的源數據。 Base64 解碼 JWT 令牌會得到一個類型為 MicrosoftFaceCheckReceipt的可驗證憑證。
sourceVcJti 是用來比對活體檢查的憑證身分識別。
...
"type": [
"VerifiableCredential",
"MicrosoftFaceCheckReceipt"
],
"credentialSubject": {
"faceCheckResults": [
{
"sourceVcJti": "urn:pic:4f741111222233334444000000000000",
"matchConfidenceThreshold": 70,
"matchConfidenceScore": 86.314159,
"sourcePhotoQuality": "HIGH"
}
]
臉部識別失敗的回呼事件
當信賴度分數低於閾值時,呈現要求會失敗,並傳回 presentation_error。 驗證應用程式不會傳回分數。
{
"requestId": "...",
"requestStatus": "presentation_error",
"state": "...",
"error": {
"code": "claimValidationError",
"message": "Match confidence score failing to meet the threshold."
}
}
驗證器會顯示錯誤訊息,告知使用者信賴度分數無法達到閾值。
Microsoft Entra 驗證識別碼的臉部辨識常見問題解答
什麼是臉部核對?
使用 Microsoft Entra 驗證識別碼 的臉部檢查是驗證識別碼中的一項高級功能,用於尊重隱私的臉部比對。 它可讓企業安全地、簡單且大規模地執行高保證驗證。 臉部核對會藉由在使用者即時自拍和相片之間執行臉部比對,來新增重要的信任層。 臉部比對是由 Azure AI 服務所提供。
臉部核對和臉部識別碼之間的差異為何?
臉部識別碼是 Apple 產品上以視覺為基礎的生物特徵辨識安全性選項,可解除鎖定裝置以存取行動應用程式。 臉部核對是 Microsoft Entra 驗證識別碼功能,也使用以視覺為基礎的 AI 技術,但會將使用者與所呈現的已驗證識別碼進行比較。 臉部檢查可決定需要高保證存取權的各種在線案例中的使用者身分識別。 其中一些範例是高價值商務程式或敏感性公司資訊的存取權。 這兩種機制都需要使用者在處理過程中面對相機,但以不同的方式運作。
臉部核對生物特徵辨識視覺檢查是否在行動裝置上執行?
否。 使用 Azure AI 視覺臉部 API,在雲端中執行相片與實時數據之間的生物辨識檢查。 處理過程間的使用者自拍擷取不會與要求識別碼驗證網站共用。
什麼是臉部活體檢測?
Microsoft Entra 身分驗證的臉部檢測會使用 Azure AI 視覺臉部 API 的活體檢查來確認使用者裝置相機自拍畫面中是否為真實人員。 這項檢查有助於確保使用者的靜態相片或 2D 視訊無法用來取代其實時自我。
擷取的活躍度資料會發生什麼事?
當相機開啟行動裝置時,會在行動裝置上擷取實時畫面。 這段影片接著會傳遞至已驗證的 ID,該 ID 會用它來叫用 Azure AI 服務。
數據不會由驗證器、已驗證標識碼或 Azure AI Microsoft 的任何服務儲存或保留。 此外,畫面也不會與驗證器應用程式共用。 驗證器應用程式只會取得傳回的信賴度分數。 在 AI 型系統中,信賴分數是系統查詢的機率百分比答案。 在此情境中,信賴分數代表已驗證ID使用者的相片與行動裝置上使用者拍攝的照片匹配的可能性。 您可以在這裡找到 Azure AI 服務的資料和隱私權。
臉部核對的成本是多少?
如需使用量計費和價格的最新資訊,請參閱 Microsoft Entra 價格。
如果我找不到訂用帳戶,該怎麼辦?
如果 [連結訂用帳戶] 窗格中沒有可用的訂用帳戶,則以下是一些可能的原因:
您沒有適當的權限。 請務必使用 Azure 帳戶登入,至少具有訂用帳戶內的參與者角色或訂用帳戶內的資源群組。
訂用帳戶存在,但尚未與您的目錄相關聯。 您可以將 現有的訂閱與租戶 產生關聯,然後重複將它連結至租戶的步驟。
沒有訂用帳戶。 在 [鏈接訂用帳戶] 窗格中,如果您還沒有訂用帳戶,您可以點選連結來建立一個訂用帳戶。 建立新的訂用帳戶之後,您必須 在新訂用帳戶中建立資源群組,然後重複將資源群組 連結至租使用者的步驟。
臉部檢查開發人員的常見問題
臉部核對是否需要 MS 驗證器?
是。 臉部識別僅限於經 MS Authenticator 驗證的 ID 使用。 這項限制是為了避免臉部驗證發生注入攻擊。 針對非臉部核對案例,電子錢包 SDK 提供其他已驗證的識別碼解決方案。 更多資訊:此處
信心百分比匹配是什麼,信心代表什麼意思?
組織可以選擇其應用程式信賴分數閾值,以接受臉部檢查驗證。 較高的臨界值表示模擬者不太可能被誤接受。 在預設信賴分數為 50% 的情況下,即時自拍中的人員不是合法證件持有者的機會是 10 萬分之一。 所需的層級取決於特定案例、進入點的公開程度和規劃的使用者。 信賴分數為90%,誤判用戶機會為10億分之一。 較高的閾值會導致授權使用者因為應用程式的敏感度較高而遭到拒絕的可能性增加。 在設定高信賴分數閾值時務必要找到適當的平衡,以確保您的應用程式安全,但也不要設得過高,因為這樣會經常因外觀的輕微變化或周圍環境的視覺條件(如光照)而拒絕授權用戶。
深入了解 Azure 人臉 API。
什麼是 Azure AI 視覺臉部 API?
Azure AI 是 Azure 平台上的雲端服務套件。 Azure AI 視覺臉部 API 提供臉部偵測、臉部辨識、臉部比對及活躍度檢查的服務。 Microsoft Entra 驗證識別碼會在執行 FaceCheck 時,使用人臉偵測、人臉比對及人臉活體檢測服務。 如需詳細資訊,請參閱這裡。
Azure AI 視覺臉部 API 的公平性如何?
Microsoft 已對臉部 API 進行公平性測試。 Azure AI 服務小組會持續努力確保負責任且包容性地使用 AI。 檢視 人臉 API 公平性報告。
您是否符合 iBeta 等級 2?
是。 Azure 臉部 API 和臉部檢查系統符合 iBeta 等級 2,具有抵抗各種模仿使用者身份的攻擊樣式的能力。 深入瞭解 iBeta 的 ISO 簡報攻擊偵測測試。
Azure AI 視覺臉部 API 的公平性如何?
Microsoft對臉部 API 進行公平性測試。 Azure AI 服務小組會持續努力確保負責任且包容性地使用生物特徵辨識 AI。 臉部 API 公平性報告可在這裡取得。
如果使用者最近獲得理髮、剃光面部毛髮,或者改變其身體外觀,他們將無法完成臉部檢查驗證嗎?
臉部辨識將使用者的即時自拍與您的驗證身份所關聯的照片進行比較。 用戶越不像那張照片,他們的比對分數就越低。 是否接受臉部檢查驗證,將取決於使用者目前與先前儲存相片的不同程度,以及應用程式擁有多少信賴分數閾值。 如果您的應用程式具有相對較高的閾值,建議使用者保持與已上傳的已驗證標識符相片一致的實體外觀,或將相片取代為反映使用者目前外觀的相片。
使用臉部檢查之後,我的數據會在哪裡? 儲存在哪裡?
臉部檢查期間使用的影像不會長期儲存。 在臉部檢查要求期間,會從用戶的行動裝置擷取自拍。 接著,此圖片會傳送至已驗證 ID,該 ID 使用這張圖片來調用 Azure 臉部 API AI 服務。 完成處理之後,就會捨棄自拍映像,而不會儲存在任何裝置或服務上。 Microsoft驗證器、已驗證的標識碼和 Azure AI 服務將不會儲存或保留此數據。 此外,擷取的自拍映像也不會與驗證器應用程式共用。 驗證器應用程式只會收到比對結果的信心評分。
您可以在這裡找到 Azure AI 服務的數據和隱私權。
臉部檢查與 Microsoft Entra 驗證識別碼 驗證發生在錢包或雲端上嗎?
「已驗證的識別碼」服務會在雲端中執行驗證程式,而不是在裝置上執行。 認證會儲存在用戶的裝置上,以便他們完全控制認證的使用方式。 用戶必須選擇與驗證者共享認證,才能進行處理以進行驗證。
已驗證身分證明文件中相片的規定為何?
相片的質量應該清晰且銳利,且不小於 200 像素 x 200 圖元。 臉部應置於影像的中央,並且不應被遮擋。 認證中相片的大小上限為 1 MB。 即便是有較大的圖片,也不保證會有更好的結果。 一張較小的好照片比一張大的壞照片更好。
如需如何改善相片處理精確度的詳細資訊,請參閱 這裡
如需可驗證憑證大小限制的詳細資訊,請參閱這裡
下一步
- 瞭解如何為您的租用戶設定 Microsoft Entra Verified ID 並使用 MyAccount。
- 瞭解如何從 Web 應用程式核發 Microsoft Entra 驗證識別碼認證。
- 瞭解如何驗證 Microsoft Entra 驗證識別碼認證。