Overzicht van verificatie van geverifieerde id-identiteit

Geverifieerde id is een mogelijkheid voor identiteitsverificatie in Microsoft Entra ID. Het biedt een cryptografisch bewijs van de geverifieerde identiteit van een gebruiker, maar kan niet worden gebruikt om te voldoen aan verificatievereisten zoals aanmelden, MFA of SSPR. In plaats daarvan fungeert geverifieerde id als de controlelaag voor identiteiten voor scenario's waarin de identiteit van een gebruiker opnieuw moet worden ingesteld, zoals accountherstel wanneer alle verificatiemethoden verloren gaan.

Profielen voor identiteitsverificatie zijn de beleidslaag die bepaalt welke gebruikers kunnen deelnemen aan geverifieerde id-stromen, welke provider verificatie uitvoert en hoe identiteitsclaims worden gevalideerd. Tegenwoordig worden geverifieerde id-profielen gebruikt voor accountherstel. Hierdoor kunnen gebruikers die alle verificatiemethoden verliezen, weer toegang krijgen via door de overheid uitgegeven identiteitsverificatie. Het profielframework is ontworpen ter ondersteuning van aanvullende scenario's voor identiteitsverificatie in de toekomst.

Profielen voor identiteitsverificatie

Een profiel voor identiteitsverificatie is een configuratieobject dat het gedrag van identiteitsverificatie definieert voor een groep gebruikers. Profielen specificeren:

  • Naam en beschrijving : een weergavenaam en beschrijving die het doel van het profiel aangeeft.
  • Status : of het profiel is ingeschakeld of uitgeschakeld.
  • Bereik van gebruikersgroep : op welke gebruikers het profiel van toepassing is, gedefinieerd via toewijzing op basis van een groep.
  • Id-verificatieprovider : de externe provider die identiteitscontrole uitvoert, geïdentificeerd door een verifier DID (Gedecentraliseerde id) - een unieke cryptografische id voor de verifier in de referentie-uitwisseling.
  • Configuratie van gezichtscontrole — Instellingen voor het gedrag van Microsoft Entra geverifieerde ID Gezichtscontrole tijdens de verificatie.
  • Profielconfiguratie : de geaccepteerde referentieverlener, hoe identiteitsclaims worden toegewezen aan gebruikerseigenschappen en het referentietype voor de uitwisseling.
  • Gebruiksconfiguraties : de scenario's waarvoor het profiel van toepassing is, zoals recovery. In de toekomst kunnen aanvullende scenario's worden ondersteund.
  • Prioriteit : de verwerkingsvolgorde wanneer een gebruiker overeenkomt met meerdere profielen.

Automatische aanmaak via accountherstel

Profielen voor identiteitsverificatie worden automatisch gemaakt en geconfigureerd wanneer een Authentication Administrator accountherstel instelt via de Microsoft Entra-beheercentrum (Entra ID>Account recovery). De wizard AccountRecovery verwerkt het maken van profielen, configuratie van aanbieders, afbakening van gebruikersgroepen en accountvalidatieregels.

Important

Profielen die zijn gemaakt via accountherstel, vereisen geen afzonderlijk beheer in de beleidsinstellingen voor verificatiemethoden. U wordt aangeraden geverifieerde id-toewijzing te beheren voor hersteldoeleinden via de wizard Accountherstel, die een begeleide ervaring biedt voor het maken en configureren van profielen.

Profielbeheer in verificatiemethodebeleid

Het verificatiemethodebeleid voor geverifieerde id's biedt inzicht in profielen en gebruikerstoewijzingen.

Screenshot dat de beleidspagina van de verificatiemethode voor geverifieerde ID's toont met de Inschakelen-schakelaar, de tabbladen Opnemen en Uitsluiten, de tabel voor groepstoewijzing en de profiel-dropdown.

Vanuit de beleidsinstellingen kunnen beheerders het volgende doen:

  • Profielgegevens weergeven : bekijk de configuratie, provider, status en prioriteit van elk identiteitsverificatieprofiel, inclusief de toewijzing van accountvalidatieclaims en aangepaste instellingen voor authenticatie-extensies.

    Schermopname van het deelvenster Details van identiteitsverificatieprofiel met profielmodus, profieldetails, gebruikersgroep, id-verificatieprovider, tabel met accountvalidatieclaims en aangepaste verificatie-extensie.

  • Bereik van gebruikersgroepen : wijs een groep gebruikers toe aan een specifiek geverifieerd id-profiel, waarmee wordt bepaald welke gebruikers kunnen deelnemen aan de geverifieerde referentiestroom.

  • Nieuwe toewijzingen maken : nieuwe groeps-naar-profieltoewijzingen toevoegen voor gebruikers die toegang nodig hebben tot een specifiek profiel voor identiteitsverificatie.

  • Globale uitsluiting : sluit specifieke groepen uit van alle identiteitsverificatieprofielen. Uitgesloten gebruikers kunnen niet deelnemen aan een geverifieerde id-stroom, ongeacht welke profielen zijn geconfigureerd.

Tip

De beleidsweergave voor verificatiemethoden is handig voor het controleren van profieltoewijzingen in de hele organisatie. Gebruik de accountherstelwizard voor het maken en configureren van profielen.

Meerdere profielen

Organisaties kunnen meerdere identiteitsverificatieprofielen maken ter ondersteuning van verschillende gebruikerspopulaties. Voorbeeld:

  • Een profiel voor zakelijke werknemers die één id-verificatieprovider gebruiken met exacte naamkoppeling
  • Een profiel voor frontlijnwerkers gebruikmakend van een andere provider met ontspannen overeenstemming
  • Een profiel voor een testgroep die een nieuwe provider test vóór een brede implementatie

Wanneer een gebruiker behoort tot groepen die overeenkomen met meerdere profielen, evalueert het systeem profielen in prioriteitsvolgorde en past het eerste overeenkomende profiel toe.

Gebruiksscenario's

Elk profiel voor identiteitsverificatie bevat een of meer gebruiksconfiguraties waarmee wordt gedefinieerd op welke scenario's het profiel van toepassing is.

Accountherstel

Accountherstel is momenteel het primaire gebruiksscenario voor geverifieerde id-profielen. Wanneer een gebruiker alle geregistreerde verificatiemethoden verliest, zoals wanneer een apparaat verloren gaat, wordt gestolen of gecompromitteerd, het accountherstel het geverifieerde id-profiel gebruikt om het volgende te bepalen:

  • Welke id-verificatieprovider verifieert de identiteit van de gebruiker
  • Hoe identiteitsclaims van de provider worden vergeleken met het Microsoft Entra ID profiel van de gebruiker
  • Of het profiel werkt in de evaluatiemodus (testen) of productiemodus (volledig herstel)

Zie Enable en configureer accountherstel in Microsoft Entra ID voor meer informatie over het configureren van accountherstel.

Opmerking

Id-verificatieproviders zijn externe services die beschikbaar zijn via de Microsoft Beveiliging Store. Controleer het privacy-, gegevensretentie- en nalevingsbeleid van uw provider voordat u een profiel implementeert voor productiegebruikers.

Profieleigenschappen

Met de volgende eigenschappen wordt een geverifieerd id-profiel gedefinieerd:

Vastgoed Description
name Weergavenaam voor het profiel
beschrijving Beschrijving van het doel van het profiel
state Of het profiel nu is enabled of disabled
voorrang Order verwerken wanneer meerdere profielen overeenkomen met een gebruiker
verifierDid De gedecentraliseerde id (DID) die de verifier vertegenwoordigt in de referentie-uitwisseling
faceCheckConfiguration Instellingen voor het gedrag van Entra Verified ID Gezichtscontrole
geverifieerdeIDProfielconfiguratie De geaccepteerde verlener, koppeling van claims en referentietype
verifiedIdUsageConfigurations De scenario's waarvoor het profiel van toepassing is (zoals recovery)
lastModifiedDateTime Toen het profiel voor het laatst is gewijzigd

Zie geverifieerdIdProfile-resourcetype (bèta) voor de volledige API-verwijzing.

Gezichtscontrole

Geverifieerde id-profielen bevatten de configuratie van Face Check om het bewijs van aanwezigheid tijdens identiteitsverificatie te verifiëren. Face Check vergelijkt de foto op de door de overheid uitgegeven id met een realtime biometrische controle, waarbij wordt bevestigd dat de persoon die de referentie presenteert fysiek aanwezig is.

Face Check vereist een Face Check-licentie, beschikbaar via Entra Suite of als zelfstandige licentie.

Verwante inhoud

  • Last updated on