Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
El identificador comprobado es una funcionalidad de verificación de identidad en Microsoft Entra ID: proporciona una prueba criptográfica de la identidad comprobada de un usuario, pero no se puede usar para satisfacer los requisitos de autenticación como el inicio de sesión, MFA o SSPR. En su lugar, el identificador comprobado actúa como la capa de corrección de identidad para escenarios en los que se debe volver a establecer la identidad de un usuario, como la recuperación de cuentas cuando se pierden todos los métodos de autenticación.
Los perfiles de comprobación de identidad son la capa de directiva que controla qué usuarios pueden participar en flujos de identificador comprobados, qué proveedor realiza la comprobación y cómo se validan las notificaciones de identidad. En la actualidad, los perfiles de identificador comprobados se usan para la recuperación de cuentas, lo que permite a los usuarios que pierden todos los métodos de autenticación recuperar el acceso a través de la verificación de identidad emitida por el gobierno. El marco de perfiles está diseñado para admitir escenarios de comprobación de identidad adicionales en el futuro.
Perfiles de comprobación de identidad
Un perfil de comprobación de identidad es un objeto de configuración que define el comportamiento de comprobación de identidad para un grupo de usuarios. Los perfiles especifican:
- Nombre y descripción : nombre para mostrar y descripción que identifica el propósito del perfil.
- Estado : indica si el perfil está habilitado o deshabilitado.
- Ámbito del grupo de usuarios: a qué usuarios se aplica el perfil, definido a través de la asignación basada en grupos.
- Proveedor de verificación de identidad: proveedor de terceros que realiza la verificación de identidad, identificado por un DID (Decentralized Identifier, Identificador Descentralizado), un identificador criptográfico único para el verificador en el intercambio de credenciales.
- Face Check configuration: Configuración del comportamiento de Face Check de Id. verificada por Microsoft Entra durante la verificación.
- Configuración del perfil : emisor de credenciales aceptadas, cómo las notificaciones de identidad se asignan a las propiedades de usuario y el tipo de credencial para el intercambio.
-
Configuraciones de uso : los escenarios a los que se aplica el perfil, como
recovery. Es posible que se admita escenarios adicionales en el futuro. - Prioridad : el orden de procesamiento cuando un usuario coincide con varios perfiles.
Creación automática a través de la recuperación de la cuenta
Los perfiles de comprobación de identidad se crean y configuran automáticamente cuando un administrador de autenticación configura la recuperación de cuentas a través de la Centro de administración Microsoft Entra (Entra ID>Cuenta). El asistente para la configuración de recuperación de cuentas controla la creación de perfiles, la configuración del proveedor, la delimitación del grupo de usuarios y las reglas de validación de cuentas.
Importante
Los perfiles creados a través de la recuperación de cuentas no requieren administración independiente en la configuración de la directiva del método de autenticación. Se recomienda administrar la asignación de identificadores comprobados con fines de recuperación mediante el Asistente para la configuración de recuperación de cuentas, que proporciona una experiencia guiada para crear y configurar perfiles.
Administración de perfiles en la política de métodos de autenticación
La directiva de método de autenticación de identificador comprobado proporciona visibilidad de los perfiles y las asignaciones de usuarios.
Desde la configuración de directiva, los administradores pueden:
Ver los detalles del perfil: consulte la configuración, el proveedor, el estado y la prioridad de cada perfil de verificación de identidad, incluido el mapeo de reclamaciones de validación de cuentas y la configuración de la extensión de autenticación personalizada.
Ámbito de los grupos de usuarios : asigne un grupo de usuarios a un perfil de identificador comprobado específico, controlando qué usuarios pueden participar en el flujo de credenciales comprobado.
Crear nuevas asignaciones : agregue nuevas asignaciones de grupo a perfil para los usuarios que necesitan acceso a un perfil de comprobación de identidad específico.
Exclusión global : excluya grupos específicos de todos los perfiles de comprobación de identidad. Los usuarios excluidos no pueden participar en ningún flujo basado en identificador comprobado, independientemente de qué perfiles estén configurados.
Sugerencia
La vista de la política de método de autenticación resulta útil para auditar las asignaciones de perfiles en toda la organización. Para crear y configurar perfiles, use el Asistente para la configuración de recuperación de cuentas.
Varios perfiles
Las organizaciones pueden crear varios perfiles de verificación de identidad para admitir diferentes poblaciones de usuarios. Por ejemplo:
- Un perfil para empleados corporativos que usan un proveedor de comprobación de identidades con coincidencia exacta de nombres
- Un perfil para los trabajadores de primera línea que usan un proveedor diferente con criterios de coincidencia flexibles
- Un perfil para un grupo piloto que prueba un nuevo proveedor antes de una implementación amplia
Cuando un usuario pertenece a grupos que coinciden con varios perfiles, el sistema evalúa los perfiles en orden de prioridad y aplica el primer perfil coincidente.
Escenarios de uso
Cada perfil de comprobación de identidad incluye una o varias configuraciones de uso que definen a qué escenarios se aplica el perfil.
Recuperación de cuentas
La recuperación de cuentas es el escenario de uso principal de los perfiles de identificador comprobados hoy en día. Cuando un usuario pierde todos los métodos de autenticación registrados ,como cuando se pierde un dispositivo, se roba o se pone en peligro, la recuperación de la cuenta usa el perfil de identificador comprobado para determinar:
- Qué proveedor de comprobación de identidad comprueba la identidad del usuario
- Cómo coinciden las notificaciones de identidad del proveedor con el perfil de Microsoft Entra ID del usuario
- Si el perfil funciona en modo de evaluación (pruebas) o en modo de producción (recuperación completa)
Para obtener más información sobre cómo configurar la recuperación de cuentas, consulte Enable y configuración de la recuperación de cuentas en Microsoft Entra ID.
Note
Los proveedores de comprobación de identidades son servicios externos disponibles a través de Seguridad de Microsoft Store. Revise las directivas de privacidad, retención de datos y cumplimiento del proveedor antes de implementar un perfil en los usuarios de producción.
Propiedades de perfil
Las siguientes propiedades definen un perfil de identificador comprobado:
| Propiedad | Description |
|---|---|
| name | Nombre de perfil para mostrar |
| descripción | Descripción del propósito del perfil |
| estado | Si el perfil es enabled o disabled |
| priority | Orden de procesamiento cuando varios perfiles coinciden con un usuario |
| verifierDid | Identificador descentralizado (DID) que representa el comprobador en el intercambio de credenciales |
| faceCheckConfiguration | Configuración del comportamiento de verificación facial de ID verificado por Entra |
| verifiedIdProfileConfiguration | El emisor aceptado, la vinculación de afirmaciones y el tipo de credencial |
| ConfiguracionesDeUsoDeIdVerificado | Los escenarios a los que se aplica el perfil (como recovery, por ejemplo) |
| lastModifiedDateTime | Cuándo se modificó por última vez el perfil |
Para obtener la referencia completa de la API, consulte verifiedIdProfile resource type (beta).
Comprobación de caras
Los perfiles de identificador comprobados incluyen la configuración de Face Check para comprobar la prueba de presencia durante la comprobación de la identidad. Face Check compara la foto en el identificador emitido por el gobierno del usuario con una comprobación biométrica en tiempo real, lo que confirma que la persona que presenta la credencial está físicamente presente.
Face Check requiere una licencia Face Check, disponible a través de Entra Suite o como una licencia independiente.