Face Check はプライバシーを尊重した顔照合です。 企業は顔チェックを使って安全かつシンプルに、大規模に高保証検証を実行できるようになります。 Face Check は、ユーザーのリアルタイムの自撮り写真と任意の写真で顔照合を実行して、信頼性に不可欠な層を追加します。 顔認証では Azure AI サービスを活用します。 Face Check では、照合結果のみを共有して機密性の高い ID データは共有しないことで、ユーザーのプライバシーが保護され、組織は ID を主張する人物が本人であることを確認できます。
前提条件
Face Check は Verified ID 内のプレミアム機能です。 Face Check 検証を行う前に、Microsoft Entra Verified ID セットアップで Face Check アドオンを有効にする必要があります。
- Face Check を使用する前に、Microsoft Entra Verified ID がテナント内に設定されていることを確認してください。
- Microsoft Entra テナントに Azure サブスクリプションを関連付ける、または追加する
- Face Check を設定するユーザーが Azure サブスクリプションの共同作成者ロールを持っていることを確認します。
Microsoft Entra Verified ID で Face Check を設定する
Face Check アドオンには、Microsoft Entra 管理センターから有効にする方法と、CLI 経由で Azure Resource Manager (ARM) Rest API を使用して有効にする方法の 2 つのやり方があります。 Microsoft Entra Suite ライセンスを持つテナントで Face Check を使用する場合、Face Check はテナント レベルで有効になり、そのテナント内のすべての機関に構成が適用されます。 その他のライセンスについては、Azure Resource Manager (ARM) Rest API を使用して、テナントの各機関によって Face Check を個別に有効にすることができます。
注
Microsoft Entra Verified ID 用の ARM Rest API は現在パブリック プレビュー中です。
管理センター内に Microsoft Entra Verified ID で Face Check を設定する
- Verified ID の概要ページで、[新しいアドオン] セクションまで下にスクロールし、Face Check アドオンを
Enableにします。
![[有効] ボタンが表示された [アドオン] セクションの Face Check アドオンを示す Microsoft Entra Verified ID の概要ページのスクリーンショット。](media/using-facecheck/face-check-add-on.png)
- "サブスクリプションのリンク" 手順で、サブスクリプション、リソース グループ、およびリソースの場所を選択します。 次に、
Validateを選択します。 サブスクリプションが一覧に表示されない場合は、「サブスクリプションが見つからない場合はどうすればよいですか?」を参照してください。
- 検証が済んだら、アドオンを
Enableにできます。
![サービスをアクティブ化するための [有効] ボタンを使用して検証に成功したことを示す Face Check アドオン構成のスクリーンショット。](media/using-facecheck/face-check-add-on-enabled.png)
これで、エンタープライズ アプリケーションで Face Check を使用できるようになります。
Azure Resource Manager (ARM) Rest API を使用して Microsoft Entra Verified ID で Face Check を設定する
注
Microsoft Entra Verified ID 用の ARM Rest API は現在パブリック プレビュー中です。
指定した機関に Face Check アドオンを設定するには、マシンに Azure PowerShell ツールがインストールされている必要があります。 このメカニズムは、REST 呼び出しをラップします。 または、Azure Resource Manager (ARM) REST API PUT を適宜使用することもできます。
- PowerShell で次のコマンドを実行します
az login --tenant <tenant ID>
Face Check の課金を有効にするサブスクリプションを選択します
次のコマンドを実行します。
az rest --method PUT --uri /subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.VerifiedId/authorities/<authority-id>?api-version=2024-01-26-preview --body "{'location':'<rp-location>'}"
<subscription-id>をサブスクリプション ID に置き換える<resource-group-name>を使用するリソース グループ名に置き換えます<authority-id>を使用する機関 ID に置き換えます。authority-idは、Admin API から GET Authorities 呼び出しを使用して取得できます。- 次の 2 つの値のいずれかを使用して
<rp-location>を置き換えます。- ヨーロッパのテナントの場合は、
northeuropeを使用します - ヨーロッパ以外の場合は、
westus2を使用します
- ヨーロッパのテナントの場合は、
Face Check アドオンがテナント内で有効になりました。
MyAccount を使って Face Check を開始する
VerifiedEmployee 資格情報を発行できる MyAccount と、Microsoft が提供するパブリック テスト アプリを使用すると、Face Check を簡単に開始することができます。 開始するには、次の手順を実行する必要があります。
- Microsoft Entra テナントにテスト ユーザーを作成し、自分の写真をアップロードします
- MyAccount に移動し、テスト ユーザーとしてサインインして、ユーザーの
VerifiedEmployee資格情報を発行します。 - パブリック テスト アプリを使用して、Face Check を使用して
VerifiedEmployee資格情報を提示します。
Microsoft Authenticator が Face Check を含むプレゼンテーション要求を受け取ると、ユーザーが共有するように求められる資格情報の種類の後に追加の項目が表示されます。 ユーザーがその項目を選択すると、実際の Face Check が実行され、ユーザーは要求された資格情報と顔チェックの信頼度スコアをパブリック テスト アプリ (証明書利用者) と共有できるようになります。 テスト アプリで結果を確認できます。
注
MyAccount は、VerifiedEmployee 資格情報を発行するときに、Entra ID ユーザー プロファイルの写真を使用します。 Microsoft Graph API を使用して写真を取得できます https://graph.microsoft.com/v1.0/me/photos/240x240/$value
要求サービス API を使用して Face Check を開始する
アプリでは要求サービス API を使用して、VerifiedEmployee 資格情報、都道府県が発行する政府 ID、または信頼できる写真付きのカスタム デジタル資格情報に対して Face Check を実行するようユーザーに求める要求を作成できます。 たとえば、ヘルプ デスク サービスの場合、VerifiedEmployee 資格情報に対する Face Check を要求して ID を迅速かつ安全に検証し、パスキーのアクティブ化やパスワードのリセットなど、さまざまなセルフサービス シナリオを実現できます。 コンプライアンス リスクを軽減するため、アプリは、生体データにアクセスすることなく、目的の資格情報から取得した写真との一致に関する信頼度スコアを受け取ります。
写真付き Verified ID 資格情報の発行
idTokenHint 認証フローを使用するカスタムの資格情報の種類では、写真を含んだ Verified ID 資格情報を発行することもできます。 資格情報の定義には、写真要求の表示とルールの定義が必要です。
写真要求の表示の定義では、Microsoft Authenticator がそれを写真として正しくレンダリングする必要があることを理解できるように、種類を [image/jpg;base64url] に設定する必要があります。
{
"claim": "vc.credentialSubject.photo",
"label": "User picture",
"type": "image/jpg;base64url"
}
写真の実際の要求値を設定する場合は、形式 UrlEncode(Base64Encode(JPEG image)) にする必要があります。
{
"outputClaim": "photo",
"required": false,
"inputClaim": "photo",
"indexed": false
}
注
写真を使用してカスタム資格情報を発行する場合、使用する JPEG を提供してエンコードするのはアプリの責任です。
Face Check 含むプレゼンテーション要求
プレゼンテーション要求を作成するための要求サービス API への JSON ペイロードでは、Face Check を実行するように指定する必要があります。 写真を含む要求には名前を付ける必要があり、必要に応じて信頼度のしきい値を 50 から 100 の整数として指定することもできます。 既定値は 70 です。
// POST https://verifiedid.did.msidentity.com/v1.0/verifiableCredentials/createPresentationRequest
...
"requestedCredentials": [
{
"type": "VerifiedEmployee",
"acceptedIssuers": [ "did:web:yourdomain.com" ],
"configuration": {
"validation": {
"allowRevoked": false,
"validateLinkedDomain": true,
"faceCheck": {
"sourcePhotoClaimName": "photo",
"matchConfidenceThreshold": 70
}
}
成功した Face Check presentation_verified コールバック イベント
presentation_verifiedの JSON ペイロードには、検証済み ID 資格情報のプレゼンテーション中に Face Check が正常に実行された場合の応答により多くのデータが含まれます。 matchConfidenceScore を含む faceCheck セクションが追加されました。 注: 要求に faceCheck が含まれている場合、プレゼンテーションの確認メッセージを要求および受信することはできません。
"verifiedCredentialsData": [
{
"issuer": "did:web:yourdomain.com",
"type": [ "VerifiableCredential", "VerifiedEmployee" ],
"claims": {
...
},
...
"faceCheck": {
"matchConfidenceScore": 86.314159,
"sourcePhotoQuality": "HIGH"
}
}
],
Face Check presentation_verified コールバック イベントの確認メッセージ
レシートを要求してプレゼンテーション要求が作成された場合、presentation_verifiedコールバックには faceCheck という名前の属性が含まれます。
{
"requestId": "11111111-2222-3333-4444-55555555",
"requestStatus": "presentation_verified",
"receipt": {
...
"faceCheck": "eyJhbGc...svw"
},
...
}
faceCheck属性の値は、ライブネス チェックのソース データである署名付き JWT トークンです。 JWT トークンを Base64 デコードすると、 MicrosoftFaceCheckReceipt型の検証可能な資格情報が提供されます。 sourceVcJtiは、ライブネス チェックに一致するために使用される資格情報の ID です。
...
"type": [
"VerifiableCredential",
"MicrosoftFaceCheckReceipt"
],
"credentialSubject": {
"faceCheckResults": [
{
"sourceVcJti": "urn:pic:4f741111222233334444000000000000",
"matchConfidenceThreshold": 70,
"matchConfidenceScore": 86.314159,
"sourcePhotoQuality": "HIGH"
}
]
失敗した Face Check コールバック イベント
信頼度スコアがしきい値より低い場合、プレゼンテーション要求は失敗して presentation_error が返されます。 検証アプリケーションにはスコアは返されません。
{
"requestId": "...",
"requestStatus": "presentation_error",
"state": "...",
"error": {
"code": "claimValidationError",
"message": "Match confidence score failing to meet the threshold."
}
}
Authenticator は、信頼度スコアがしきい値に満たなかったことをユーザーに通知するエラー メッセージを表示します。
Microsoft Entra Verified ID による Face Check に関してよく寄せられる質問
Face Check とは何ですか?
Microsoft Entra Verified ID による Face Check は、プライバシーを尊重した顔照合に使用される Verified ID 内のプレミアム機能です。 企業は顔チェックを使って安全かつシンプルに、大規模に高保証検証を実行できるようになります。 Face Check は、ユーザーのリアルタイムの自撮り写真と任意の写真で顔照合を実行して、信頼性に不可欠な層を追加します。 顔認証では Azure AI サービスを活用します。
Face Check と Face ID の違いは何ですか?
Face ID は、デバイスのロックを解除してモバイル アプリにアクセスするために Apple 製品に提供される、視覚ベースの生体認証セキュリティ オプションです。 Face Check は Microsoft Entra Verified ID の機能であり、こちらも視覚ベースの AI テクノロジを使用していますが、ユーザーと提示された認証済み ID を比較します。 Face Check は、高保証アクセスが必要なさまざまなオンライン シナリオにわたってユーザー ID を判別します。 価値の高いビジネス プロセスや機密性の高い企業情報へのアクセスなどは、その一例です。 どちらのメカニズムでもユーザーは処理の間、カメラに顔を向ける必要があります。ただし、操作方法は異なります。
Face Check の生体認証視覚チェックはモバイル デバイスで実行されますか?
その必要はありません。 写真とキャプチャされた生体データの間で行われる生体認証チェックは、Azure AI Vision Face API を使用してクラウドで実行されます。 処理中にキャプチャされたユーザーの自撮り写真は、要求元の ID 検証サイトと共有されることはありません。
Face Liveness Check とは何ですか?
Microsoft Entra Verified ID による Face Check では、Azure AI Vision Face API の生体チェックを使用して、ユーザーのデバイスのカメラで撮影した自撮り映像に写っているのが実在の人物かどうかを検証します。 このチェックを行うことで、ユーザーの静止画や 2D ビデオが生身のユーザーの代わりに使用されないようにすることができます。
収集された生体データはどのように扱われますか?
モバイル デバイスでカメラをオンにすると、モバイル デバイスでライブ映像がキャプチャされます。 この映像は Verified ID に渡され、Verified ID はそれを使用して Azure AI サービスのサービスを呼び出します。
Microsoft Authenticator、Verified ID、Azure AI のいずれのサービスもデータを格納したり保持したりすることはありません。 さらに、映像は検証アプリケーションとも共有されません。 検証アプリケーションは、返される信頼度スコアのみを代わりに取得します。 AI ベースのシステムにおいて、信頼度スコアはシステムへのクエリに対する確率 (%) の回答になります。 このシナリオの場合、信頼度スコアは、Verified ID ユーザーの写真がモバイル デバイス上のユーザー キャプチャと一致する可能性を表します。 Azure AI サービスのデータとプライバシーについては、こちらを参照してください。
Face Check の料金はいくらですか?
使用量の課金と価格の最新情報については、「Microsoft Entra の価格」を参照してください。
サブスクリプションが見つからない場合はどうすればよいですか?
[サブスクリプションのリンク] ウィンドウに使用できるサブスクリプションがない場合は、次のような原因が考えられます。
適切なアクセス許可がありません。 必ず、サブスクリプション内、またはサブスクリプション内のリソース グループ内に、共同作成者が少なくとも存在している Azure アカウントでサインインします。
サブスクリプションは存在しますが、ディレクトリに関連付けられていません。 既存のサブスクリプションをテナントに関連付けてから、テナントにリンクする手順を繰り返すことができます。
サブスクリプションが存在しません。 [サブスクリプションのリンク] ペインで、[サブスクリプションをまだお持ちでない場合は、こちらで作成できます] のリンクを選択すると、新しいサブスクリプションを作成できます。 新しいサブスクリプションを作成した後、新しいサブスクリプションにリソース グループを作成し、テナントに関連付けるための手順を繰り返す必要があります。
Face Check 開発者に向けてよく寄せられる質問
Face Check には MS Authenticator が必要ですか?
はい。 Face Check は、MS Authenticator による Verified ID の使用に制限されています。 この制限は、Face Check へのインジェクション攻撃を防ぐために設けられています。 Face Check 以外のシナリオでは、Wallet SDK をその他の Verified ID ソリューションで利用できます。 詳細については、こちらを参照してください
信頼度一致率 (%) とは何ですか? また、信頼度とはどういう意味ですか?
組織は、Face Check 検証を受け入れるために独自のアプリケーションに対して信頼度スコアのしきい値を選択できます。 しきい値を高くすると、偽装者が誤って受け入れられる可能性が低くなります。 既定の信頼度スコアが 50% の場合、ライブ自撮り写真に写っている人物が正当な資格情報の所有者ではない可能性は 100,000 分の 1 になります。 必要なレベルは、特定のシナリオ、エントリ ポイントの公開度、計画されているユーザーなどによって異なります。 信頼度スコアが 90% の場合、擬陽性のユーザー確率は 10 億分の 1 になります。 しきい値を高くすると、アプリケーションの機密性が高くなるため、承認されたユーザーが拒否される可能性が高くなります。 アプリケーションのセキュリティを確保するために信頼度スコアのしきい値を高く設定しつつ、外観のわずかな変化や照明などの周囲の視覚条件を根拠に承認されたユーザーが頻繁に拒否されるほど高く設定しないように、適切なバランスを見つけることが重要です。
Azure Face API の詳細。
Azure AI Vision Face API とは
Azure AI は、Azure プラットフォーム上のクラウド サービス スイートです。 Azure AI Vision Face API は、顔検出、顔認識、顔の一致、生体認証チェックのサービスを提供します。 Microsoft Entra Verified ID は、FaceCheck を実行するときに、顔検出、顔の一致、顔生体チェック サービスを使用します。 詳細については、こちらを参照してください。
Azure AI Vision Face API はどの程度公平ですか?
Microsoft は Face API の公平性テストを実施しています。 Azure AI サービス チームは、AI の責任ある包括的な使用を実現するために継続的に取り組んでいます。 Face API 公平性レポートを表示します。
iBeta レベル 2 に準拠していますか?
はい。 Azure Face API AI と Face Check は iBeta レベル 2 の基準に準拠しており、ユーザーになりすますためのさまざまなスタイルのプレゼンテーション攻撃に対して耐性があります。 iBeta の ISO プレゼンテーション攻撃検出テストについての詳細。
Azure AI Vision Face API はどの程度公平ですか?
Microsoft は Face API の公平性テストを実施しました。 Azure AI サービス チームは、生体 AI の責任ある包括的な使用を実現するために継続的に取り組んでいます。 Face API 公平性レポートは、こちらを参照してください。
ユーザーが最近髪を切ったり、ひげを剃ったり、その他の身体的外観を変えたりした場合、Face Check 検証を完了できないでしょうか?
Face Check では、ユーザーのライブ自撮り写真と Verified ID に関連付けられた写真を比較します。 ユーザーの見た目とその写真の類似点が少ないほど、一致スコアは低くなります。 Face Check 検証が承認されるかどうかは、ユーザーが以前保存した写真と現在の見た目がどの程度異なっているか、およびアプリケーションの信頼度スコアのしきい値がどの程度高いかによって決まります。 アプリケーションのしきい値が比較的高い場合は、アップロードした Verified ID 写真と一致する外見を維持するか、ユーザーの現在の外見を反映した写真に置き換えることをお勧めします。
Face Check を使用すると、私のデータはどこに行くのでしょうか? どこに格納されていますか?
Face Check 時に使用される画像は長期保存されません。 Face Check 要求時に、ユーザーのモバイル デバイスから自撮り写真がキャプチャされます。 この画像は Verified ID に渡され、Azure Face API AI サービスの呼び出しに使用されます。 処理が完了すると自撮り画像は破棄され、どのデバイスやサービスにも保存されません。 Microsoft Authenticator、Verified ID、Azure AI サービスでは、このデータを格納したり保持したりしません。 さらに、キャプチャされた自撮り画像も検証アプリケーションとは共有されません。 検証アプリケーションは、結果の一致に関する信頼度スコアのみを受け取ります。
Azure AI サービスのデータとプライバシーについては、こちらを参照してください。
Microsoft Entra Verified ID による Face Check の検証はウォレット内で行われますか、それともクラウド上で行われますか?
Verified ID サービスは、デバイス上ではなくクラウドで検証プロセスを実行します。 資格情報はユーザーのデバイスに保存されるため、ユーザーは資格情報の使用を完全に制御できます。 資格情報を検証で処理するには、ユーザーが資格情報を検証ツールと共有することを選択する必要があります。
Verified ID における写真の要件は何ですか?
写真は鮮明でシャープな品質で、200 ピクセル x 200 ピクセル以上である必要があります。 顔は画像の中央に配置され、視界を遮るものがないようにしてください。 資格情報の写真の最大サイズは 1 MB です。 画像を大きくしても、より良い結果が得られないことに注意してください。 良い小さな写真は大きな悪い写真よりも優れています。
写真処理の精度を向上させる方法の詳細については、こちらを参照してください。
検証可能な資格情報のサイズ制限の詳細については、こちらを参照してください。
次のステップ
- Microsoft Entra Verified ID 用にテナントを構成し、MyAccount を使用する方法を学習する。
- Web アプリケーションから Microsoft Entra Verified ID 資格情報を発行する方法について学習する。
- Microsoft Entra Verified ID 資格情報を確認する方法について学習する。