Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
L'ID verificato è una funzionalità di verifica dell'identità in Microsoft Entra ID, che fornisce una prova crittografica dell'identità verificata di un utente, ma non può essere usata per soddisfare i requisiti di autenticazione, ad esempio l'accesso, l'autenticazione a più fattori o la reimpostazione della password self-service. L'ID verificato funge invece da livello di correzione delle identità per gli scenari in cui l'identità di un utente deve essere ristabilita, ad esempio il ripristino dell'account quando tutti i metodi di autenticazione vengono persi.
I profili di verifica delle identità sono il livello dei criteri che controlla quali utenti possono partecipare ai flussi ID verificati, quale provider esegue la verifica e come vengono convalidate le attestazioni di identità. Attualmente, i profili ID verificati vengono usati per il ripristino dell'account, consentendo agli utenti che perdono tutti i metodi di autenticazione di ottenere nuovamente l'accesso tramite la verifica dell'identità rilasciata da enti pubblici. Il framework del profilo è progettato per supportare scenari di verifica delle identità aggiuntivi in futuro.
Profili di verifica delle identità
Un profilo di verifica dell'identità è un oggetto di configurazione che definisce il comportamento di verifica dell'identità per un gruppo di utenti. I profili specificano:
- Nome e descrizione : nome visualizzato e descrizione che identifica lo scopo del profilo.
- Stato : indica se il profilo è abilitato o disabilitato.
- Ambito del gruppo di utenti: a quali utenti si applica il profilo, definito tramite l'assegnazione basata su gruppo.
- Provider di verifica dell'identità : provider di terze parti che esegue il proofing delle identità, identificato da un verifier DID (Identificatore decentralizzato), un identificatore di crittografia univoco per il verificatore nello scambio di credenziali.
- Configurazione Face Check — Impostazioni per il comportamento del Face Check di ID verificato di Microsoft Entra durante la verifica.
- Configurazione del profilo : autorità emittente di credenziali accettata, modalità di mapping delle attestazioni di identità alle proprietà utente e tipo di credenziale per lo scambio.
-
Configurazioni di utilizzo : gli scenari a cui si applica il profilo, ad esempio
recovery. Altri scenari potrebbero essere supportati in futuro. - Priorità: l'ordine di elaborazione quando un utente corrisponde a più profili.
Creazione automatica tramite ripristino dell'account
I profili di verifica dell'identità vengono creati e configurati automaticamente quando un amministratore Autenticazione configura il ripristino dell'account tramite l'Interfaccia di amministrazione di Microsoft Entra (Entra ID>Account recovery). La procedura guidata di configurazione del ripristino dell'account gestisce la creazione del profilo, la configurazione del provider, la definizione dell'ambito del gruppo utenti e le regole di convalida dell'account.
Importante
I profili creati tramite il ripristino dell'account non richiedono una gestione separata nelle impostazioni dei criteri del metodo di autenticazione. È consigliabile gestire l'assegnazione di ID verificati a scopo di ripristino tramite la configurazione guidata di Ripristino account, che offre un'esperienza guidata per la creazione e la configurazione dei profili.
Gestione dei profili nei criteri di autenticazione
I criteri del metodo di autenticazione ID verificato offrono visibilità sui profili e le assegnazioni degli utenti.
Dalle impostazioni dei criteri gli amministratori possono:
Visualizzare i dettagli del profilo : vedere la configurazione, il provider, lo stato e la priorità di ogni profilo di verifica delle identità, inclusi il mapping delle attestazioni di convalida dell'account e le impostazioni dell'estensione di autenticazione personalizzata.
Gruppi di utenti di ambito : assegnare un gruppo di utenti a un profilo ID verificato specifico, controllando quali utenti possono partecipare al flusso di credenziali verificato.
Creare nuove assegnazioni : aggiungere nuove assegnazioni da gruppo a profilo per gli utenti che devono accedere a un profilo di verifica dell'identità specifico.
Esclusione globale : escludere gruppi specifici da tutti i profili di verifica delle identità. Gli utenti esclusi non possono partecipare a alcun flusso basato su ID verificato, indipendentemente dai profili configurati.
Tip
La visualizzazione dei criteri del metodo di autenticazione è utile per controllare le assegnazioni dei profili nell'organizzazione. Per la creazione e la configurazione dei profili, usare l'installazione guidata di Ripristino account.
Più profili
Le organizzazioni possono creare più profili di verifica delle identità per supportare popolazioni di utenti diverse. Per esempio:
- Profilo per i dipendenti aziendali che usano un provider di verifica delle identità con corrispondenza esatta dei nomi
- Un profilo per i lavoratori sul campo che usano un fornitore diverso con corrispondenza meno rigorosa
- Profilo per un gruppo pilota che testa un nuovo provider prima della distribuzione generale
Quando un utente appartiene a gruppi che corrispondono a più profili, il sistema valuta i profili in ordine di priorità e applica il primo profilo corrispondente.
Scenari di utilizzo
Ogni profilo di verifica dell'identità include una o più configurazioni di utilizzo che definiscono gli scenari a cui si applica il profilo.
Ripristino dell'account
Il ripristino dell'account è lo scenario di utilizzo principale per i profili ID verificati. Quando un utente perde tutti i metodi di autenticazione registrati, ad esempio quando un dispositivo viene perso, rubato o compromesso, il ripristino dell'account usa il profilo ID verificato per determinare:
- Quale provider di verifica dell'identità verifica l'identità dell'utente
- Modalità di corrispondenza delle attestazioni di identità del provider rispetto al profilo di Microsoft Entra ID dell'utente
- Indica se il profilo funziona in modalità test (valutazione) o in modalità produzione (recupero completo)
Per altre informazioni sulla configurazione del ripristino dell'account, vedere Enable e configurare il ripristino dell'account in Microsoft Entra ID.
Note
I provider di verifica delle identità sono servizi esterni disponibili tramite Microsoft Security Store. Esaminare i criteri di privacy, conservazione dei dati e conformità del provider prima di distribuire un profilo agli utenti di produzione.
Proprietà del profilo
Le proprietà seguenti definiscono un profilo ID verificato:
| Proprietà | Descrzione |
|---|---|
| nome | Nome visualizzato per il profilo |
| descrizione | Descrizione dello scopo del profilo |
| state | Indica se il profilo è enabled o disabled |
| `priorità` | Ordine di elaborazione quando più profili corrispondono a un utente |
| verifierDid | Identificatore decentralizzato (DID) che rappresenta il verificatore nello scambio di credenziali |
| faceCheckConfiguration | Impostazioni per il comportamento di verifica facciale di Entra Verified ID |
| verifiedIdProfileConfiguration | Autorità emittente accettata, vincolo di attestazioni e tipo di credenziale |
| verifiedIdUsageConfigurations | Gli scenari a cui si applica il profilo ( ad esempio recovery) |
| lastModifiedDateTime | Data dell'ultima modifica del profilo |
Per informazioni di riferimento complete sull'API, vedere tipo di risorsa verifiedIdProfile (beta).For the full API reference, see verifiedIdProfile resource type (beta).
Controllo viso
I profili ID verificati includono la configurazione di Face Check per verificare la presenza durante la verifica dell'identità. Face Check confronta la foto sull'ID rilasciato dal governo dell'utente con un controllo biometrico in tempo reale, confermando che la persona che presenta le credenziali è fisicamente presente.
Verifica viso richiede una licenza Face Check, disponibile tramite Famiglia di prodotti Entra o come licenza autonoma.