Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Überprüfte ID ist eine Identitätsüberprüfungsfunktion in Microsoft Entra ID – sie stellt einen kryptografischen Nachweis der überprüften Identität eines Benutzers bereit, kann jedoch nicht verwendet werden, um Authentifizierungsanforderungen wie Anmeldung, MFA oder SSPR zu erfüllen. Stattdessen dient die überprüfte ID als Identitätsnachweisschicht für Szenarien, in denen die Identität eines Benutzers neu eingerichtet werden muss , z. B. die Kontowiederherstellung, wenn alle Authentifizierungsmethoden verloren gehen.
Identitätsüberprüfungsprofile sind die Richtlinienebene, die steuert, welche Benutzer an überprüften ID-Flüssen teilnehmen können, welcher Anbieter die Überprüfung durchführt und wie Identitätsansprüche überprüft werden. Heute werden überprüfte ID-Profile für die Kontowiederherstellung verwendet – ermöglicht Benutzern, die alle Authentifizierungsmethoden verlieren, den Zugriff über eine vom Staat ausgestellte Identitätsüberprüfung wiederzuerlangen. Das Profilframework soll zukünftig zusätzliche Identitätsüberprüfungsszenarien unterstützen.
Identitätsüberprüfungsprofile
Ein Identitätsüberprüfungsprofil ist ein Konfigurationsobjekt, das das Identitätsüberprüfungsverhalten für eine Gruppe von Benutzern definiert. Profile geben folgendes an:
- Name und Beschreibung – Ein Anzeigename und eine Beschreibung, die den Zweck des Profils identifiziert.
- Status – Gibt an, ob das Profil aktiviert oder deaktiviert ist.
- Benutzergruppenbereich – Für welche Benutzer das Profil gilt, definiert durch gruppenbasierte Zuweisung.
- Identitätsüberprüfungsanbieter – Der Drittanbieter, der die Identitätsprüfung durchführt, die durch einen Prüfer DID (dezentraler Bezeichner) identifiziert wird – einen eindeutigen kryptografischen Bezeichner für den Prüfer im Austausch von Anmeldeinformationen.
- Face Check-Konfiguration – Einstellungen für das Verhalten der Microsoft Entra Verified ID-Gesichtsüberprüfung während der Verifizierung.
- Profilkonfiguration – Der akzeptierte Anmeldeinformationsaussteller, wie Identitätsansprüche Benutzereigenschaften zugeordnet werden, und der Anmeldeinformationstyp für den Austausch.
-
Verwendungskonfigurationen — Die Szenarien, für die das Profil gilt, z. B.
recovery. Weitere Szenarien können in Zukunft unterstützt werden. - Priorität – Die Verarbeitungsreihenfolge, wenn ein Benutzer mehreren Profilen entspricht.
Automatische Erstellung durch Kontowiederherstellung
Identitätsüberprüfungsprofile werden automatisch erstellt und konfiguriert, wenn ein Authentication Administrator die Kontowiederherstellung über die Microsoft Entra Admin Center (Entra ID>Accountwiederherstellung) einrichte. Der Setup-Assistent für die Kontowiederherstellung behandelt Profilerstellung, Anbieterkonfiguration, Benutzergruppeneinschluss und Kontoüberprüfungsregeln.
Important
Profile, die über die Kontowiederherstellung erstellt wurden, erfordern keine separate Verwaltung in den Richtlinieneinstellungen für die Authentifizierungsmethode. Es wird empfohlen, die Zuweisung überprüfter ID für Wiederherstellungszwecke über den Setup-Assistenten für die Kontowiederherstellung zu verwalten, der eine geführte Erfahrung zum Erstellen und Konfigurieren von Profilen bietet.
Verwaltung von Profilen in der Richtlinie für Authentifizierungsmethoden
Die Richtlinie für die Authentifizierungsmethode "Überprüfte ID" bietet Einblicke in Profile und Benutzerzuweisungen.
Administratoren können in den Richtlinieneinstellungen folgende Aktionen ausführen:
Anzeigen von Profildetails – Siehe Konfiguration, Anbieter, Status und Priorität jedes Identitätsüberprüfungsprofils, einschließlich der Kontoüberprüfungsansprüchezuordnung und benutzerdefinierten Authentifizierungserweiterungseinstellungen.
Benutzergruppen einschränken – Weisen Sie einer Gruppe von Benutzern ein spezifisches Verifiziertes ID-Profil zu, um zu steuern, welche Benutzer am Verifizierungsprozess für Anmeldeinformationen teilnehmen können.
Neue Aufgaben erstellen – Neue Gruppen-zu-Profil-Aufgaben für Benutzer hinzufügen, die Zugriff auf ein bestimmtes Identitätsüberprüfungsprofil benötigen.
Globaler Ausschluss – Ausschließen bestimmter Gruppen aus allen Identitätsüberprüfungsprofilen. Ausgeschlossene Benutzer können unabhängig davon, welche Profile konfiguriert sind, nicht an einem überprüften ID-basierten Fluss teilnehmen.
Tip
Die Richtlinienansicht der Authentifizierungsmethode ist nützlich für die Überwachung von Profilzuweisungen in der gesamten Organisation. Verwenden Sie zum Erstellen und Konfigurieren von Profilen den Setup-Assistenten für die Kontowiederherstellung.
Mehrere Profile
Organisationen können mehrere Identitätsüberprüfungsprofile erstellen, um unterschiedliche Benutzerpopulationen zu unterstützen. Beispiel:
- Ein Profil für Unternehmensmitarbeiter mit einem Identitätsüberprüfungsanbieter mit exaktem Namensabgleich
- Ein Profil für Mitarbeiter an vorderster Front bei einem anderen Anbieter mit geringeren Abstimmungsanforderungen
- Ein Profil für eine Pilotgruppe, die einen neuen Anbieter vor der allgemeinen Bereitstellung testet
Wenn ein Benutzer zu Gruppen gehört, die mehreren Profilen entsprechen, wertet das System Profile in Prioritätsreihenfolge aus und wendet das erste übereinstimmende Profil an.
Verwendungsszenarios
Jedes Identitätsüberprüfungsprofil enthält eine oder mehrere Verwendungskonfigurationen, die definieren, für welche Szenarien das Profil gilt.
Kontowiederherstellung
Die Kontowiederherstellung ist das primäre Verwendungsszenario für überprüfte ID-Profile heute. Wenn ein Benutzer alle registrierten Authentifizierungsmethoden verliert – z. B. wenn ein Gerät verloren geht, gestohlen oder kompromittiert – verwendet die Kontowiederherstellung das Profil "Überprüfte ID", um folgendes zu ermitteln:
- Welcher Identitätsüberprüfungsanbieter überprüft die Identität des Benutzers
- Wie Identitätsansprüche vom Anbieter mit dem Microsoft Entra ID Profil des Benutzers abgeglichen werden
- Gibt an, ob das Profil im Auswertungsmodus (Test) oder im Produktionsmodus (vollständige Wiederherstellung) ausgeführt wird.
Weitere Informationen zum Konfigurieren der Kontowiederherstellung finden Sie unter Enable und Konfigurieren der Kontowiederherstellung in Microsoft Entra ID.
Note
Identitätsüberprüfungsanbieter sind externe Dienste, die über den Microsoft Security Store verfügbar sind. Überprüfen Sie die Datenschutz-, Datenaufbewahrungs- und Compliancerichtlinien Ihres Anbieters, bevor Sie ein Profil für Produktionsbenutzer bereitstellen.
Profileigenschaften
Die folgenden Eigenschaften definieren ein Überprüftes ID-Profil:
| Eigentum | Description |
|---|---|
| Name | Anzeigename für das Profil |
| Beschreibung | Beschreibung des Zwecks des Profils |
| Status | Ob das Profil enabled oder disabled ist |
| priority | Verarbeitungsreihenfolge, wenn mehrere Profile einem Benutzer entsprechen |
| verifierDid | Der dezentrale Bezeichner (DID), der den Prüfer im Austausch von Anmeldeinformationen darstellt |
| Gesichtserkennungskonfiguration | Einstellungen für Entra Verified ID Face Check Verhalten |
| verifiedIdProfileConfiguration | Der akzeptierte Aussteller, die Forderungsbindung und der Anmeldeinformationstyp |
| Konfigurationen für die Verwendung einer verifizierten ID | Die Szenarien, für die das Profil gilt (z. B recovery. ) |
| lastModifiedDateTime | Zeitpunkt der letzten Änderung des Profils |
Die vollständige API-Referenz finden Sie unter verifiedIdProfile-Ressourcentyp (Beta).
Gesichtsüberprüfung
Überprüfte ID-Profile umfassen die Gesichtsüberprüfungskonfiguration, um den Nachweis der Anwesenheit während der Identitätsüberprüfung zu überprüfen. Die Gesichtsüberprüfung vergleicht das Foto auf der von der Regierung ausgestellten ID des Benutzers mit einer biometrischen Echtzeitüberprüfung und bestätigt, dass die Person, die den Ausweis vorlegt, physisch anwesend ist.
Die Gesichtsüberprüfung erfordert eine Face Check-Lizenz, die über Entra Suite oder als eigenständige Lizenz verfügbar ist.