Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Проверенный идентификатор — это возможность проверки подлинности в Microsoft Entra ID. Она предоставляет криптографическое подтверждение проверенного удостоверения пользователя, но не может использоваться для удовлетворения требований проверки подлинности, таких как вход, MFA или SSPR. Вместо этого проверенный идентификатор служит уровнем проверки подлинности для сценариев, когда удостоверение пользователя должно быть повторно установлено, например восстановление учетной записи при потере всех методов проверки подлинности.
Профили проверки идентификации — это элемент политики, который контролирует, какие пользователи могут участвовать в процессах верификации удостоверений личности, какой поставщик выполняет проверку и как проверяются заявленные данные об идентичности. Сегодня профили с подтверждённой идентификацией используются для восстановления учетных записей, что позволяет пользователям, потерявшим все методы аутентификации, восстановить доступ через проверку удостоверения личности, выданного правительством. Платформа профилей предназначена для поддержки дополнительных сценариев проверки подлинности в будущем.
Профили проверки подлинности
Профиль проверки идентификации — это объект конфигурации, определяющий поведение проверки подлинности для группы пользователей. Профили указывают:
- Имя и описание — отображаемое имя и описание, идентифицирующее назначение профиля.
- Состояние — включен или отключен профиль.
- Область действия группы пользователей — на каких пользователей распространяется профиль, определяемый через назначение, основанное на группах.
- Поставщик проверки подлинности — сторонний поставщик, который выполняет проверку подлинности, идентифицируемый проверяющим поставщиком DID (децентрализованный идентификатор) — уникальный криптографический идентификатор проверяющего в обмене учетными данными.
- Настройки Face Check — параметры для поведения проверки лиц в Проверенные учетные данные Microsoft Entra во время проверки.
- Конфигурация профиля — издатель принятых учетных данных, как подтверждения личности сопоставляются с атрибутами пользователя и тип учетных данных для обмена.
-
Конфигурации использования — сценарии, к которые применяется профиль, например
recovery. В будущем могут поддерживаться дополнительные сценарии. - Приоритет — порядок обработки, когда пользователь соответствует нескольким профилям.
Автоматическое создание с помощью восстановления учетной записи
Профили проверки удостоверений автоматически создаются и настраиваются, когда Администратор аутентификации настраивает восстановление учетной записи через Центр администрирования Microsoft Entra (Entra ID>Account recovery). Мастер настройки восстановления учетных записей обрабатывает создание профиля, настройку поставщика, определение группы пользователей и правила проверки учетной записи.
Important
Профили, созданные с помощью восстановления учетной записи, не требуют отдельного управления в параметрах политики метода проверки подлинности. Мы рекомендуем управлять назначением проверенных идентификаторов для целей восстановления с помощью мастера настройки восстановления учетной записи, который предоставляет интерактивный интерфейс для создания и настройки профилей.
Управление профилями в политике метода проверки подлинности
Политика метода проверки подлинности проверенного идентификатора обеспечивает видимость профилей и назначений пользователей.
В параметрах политики администраторы могут:
Просмотр сведений о профиле — Ознакомьтесь с конфигурацией, поставщиком, состоянием и приоритетом каждого профиля проверки удостоверения, включая сопоставление утверждений проверки учетной записи и настройки пользовательских расширений для аутентификации.
Группы пользователей в пределах области — Назначьте группу пользователей конкретному проверенному профилю ID, контролируя, какие пользователи могут участвовать в процессе проверки учетных данных.
Создание новых назначений — добавление новых назначений групп в профиль для пользователей, которым требуется доступ к конкретному профилю проверки подлинности.
Глобальное исключение — исключение определенных групп из всех профилей проверки подлинности. Исключенные пользователи не могут участвовать в потоке на основе проверенных идентификаторов независимо от того, какие профили настроены.
Подсказка
Представление политики метода проверки подлинности полезно для аудита назначений профилей в организации. Для создания и настройки профилей используйте мастер настройки восстановления учетных записей.
Несколько профилей
Организации могут создавать несколько профилей проверки подлинности для поддержки различных групп пользователей. Рассмотрим пример.
- Профиль для корпоративных сотрудников с использованием одного поставщика проверки подлинности с точным соответствием имени
- Профиль для полевых работников с использованием другого поставщика с упрощенным сопоставлением
- Профиль для пилотной группы, тестирующей нового провайдера перед полным развертыванием
Когда пользователь принадлежит группам, соответствующим нескольким профилям, система оценивает профили в порядке приоритета и применяет первый соответствующий профиль.
Сценарии использования
Каждый профиль проверки подлинности включает одну или несколько конфигураций использования, определяющих, к каким сценариям применяется профиль.
Восстановление учетной записи
Восстановление учетных записей — это основной сценарий использования для проверенных профилей идентификаторов сегодня. Когда пользователь теряет все зарегистрированные методы проверки подлинности, например когда устройство потеряно, украдено или скомпрометировано— восстановление учетной записи использует профиль проверенного идентификатора для определения:
- Какой поставщик проверки подлинности проверяет удостоверение пользователя
- Сопоставление идентификационных заявлений от провайдера с профилем Microsoft Entra ID пользователя
- Работает ли профиль в режиме оценки (тестирование) или в рабочем режиме (полное восстановление)
Дополнительные сведения о настройке восстановления учетной записи см. в разделе Enable и настройка восстановления учетной записи в Microsoft Entra ID.
Note
Поставщики проверки удостоверений — это внешние службы, доступные через магазин Microsoft Security. Перед развертыванием профиля для рабочих пользователей ознакомьтесь с политиками конфиденциальности, хранения данных и соответствия вашим поставщиком.
Свойства профиля
Следующие свойства определяют профиль проверенного идентификатора:
| Недвижимость | Description |
|---|---|
| name | Отображаемое имя профиля |
| описание | Описание назначения профиля |
| state | Независимо от того, профиль это enabled или disabled |
| приоритет | Порядок обработки, когда несколько профилей сопоставляются с пользователем |
| verifierDid | Децентрализованный идентификатор (DID), представляющий проверяющего в обмене учетными данными |
| faceCheckConfiguration | Настройки поведения для проверки лица с использованием Entra Verified ID |
| verifiedIdProfileConfiguration | Принятый эмитент, привязка заявлений и тип учетных данных |
| конфигурацииИспользованияПроверенногоИдентификатора | Сценарии, к которые применяется профиль (например recovery) |
| lastModifiedDateTime | После последнего изменения профиля |
Полный справочник по API см. в разделе "Проверенный тип ресурсаIdProfile" (бета-версия).
Проверка личности по лицу
Проверенные профили удостоверений личности включают конфигурацию распознавания лица для подтверждения присутствия во время проверки личности. Проверка лица сравнивает фотографию на удостоверении личности, выданном правительством, с биометрической проверкой в режиме реального времени, подтверждая физическое присутствие лица, представляющего учетные данные.
Для проверки лиц требуется лицензия Face Check, доступная через Entra Suite или как автономная лицензия.