Sicherung der telefonbasierten Multifaktor-Authentifizierung

Mit der Multifaktor-Authentifizierung von Microsoft Entra können Benutzer einen automatisierten Sprachanruf an eine Telefonnummer erhalten, die sie zur Verifizierung registrieren. Böswillige Benutzer könnten diese Methode ausnutzen, indem sie mehrere Konten erstellen und Anrufe tätigen, ohne den MFA-Registrierungsprozess abzuschließen. Diese zahlreichen fehlgeschlagenen Registrierungen können dazu führen, dass die zulässigen Registrierungsversuche erschöpft sind, sodass sich andere Benutzer nicht für neue Konten in Ihrem Azure AD B2C-Mandanten registrieren können. Zum Schutz vor diesen Angriffen können Sie Azure Monitor verwenden, um Fehler bei der Telefonauthentifizierung zu überwachen und betrügerische Registrierungen zu verhindern.

Voraussetzungen

Bevor Sie beginnen, erstellen Sie einen Log Analytics-Arbeitsbereich.

Erstellen einer arbeitsmappe für telefonbasierte MFA-Ereignisse

Das Azure AD B2C-Repository für Berichte und Warnungen in GitHub enthält Artefakte, die Sie zum Erstellen und Veröffentlichen von Berichten, Warnungen und Dashboards basierend auf Azure AD B2C-Protokollen verwenden können. In der unten abgebildeten Entwurfsarbeitsmappe werden Fehler im Zusammenhang mit dem Telefon hervorgehoben.

Registerkarte „Übersicht“

Die folgenden Informationen werden auf der Registerkarte Übersicht angezeigt:

• Fehlergründe (die Gesamtzahl der fehlgeschlagenen Telefonauthentifizierungen für jeden angegebenen Grund)
• Gesperrt wegen schlechter Reputation
• IP-Adresse mit fehlgeschlagenen Telefonauthentifizierungen (die Gesamtanzahl fehlgeschlagener Telefonauthentifizierungen für jede angegebene IP-Adresse)
• Telefonnummern mit IP-Adresse - fehlgeschlagene Telefonauthentifizierungen
• Browser (Fehler bei der Telefonauthentifizierung pro Client-Browser)
• Betriebssystem (Fehler bei der Telefonauthentifizierung pro Clientbetriebssystem)

Registerkarte „Details“

Die folgenden Informationen werden auf der Registerkarte Details angezeigt:

• Azure AD B2C-Richtlinie – Fehler bei der Authentifizierung per Telefon
• Fehler bei der Telefonauthentifizierung nach Telefonnummer – Zeitdiagramm (anpassbare Zeitachse)
• Telefonauthentifizierungsfehler durch Azure AD B2C-Richtlinien – Zeitdiagramm (anpassbare Zeitachse)
• Fehler bei der Telefonauthentifizierung nach IP-Adresse – Zeitdiagramm (anpassbare Zeitachse)
• Wählen Sie Telefonnummer aus, um Fehlerdetails anzuzeigen (wählen Sie eine Telefonnummer aus, um eine detaillierte Liste der Fehler anzuzeigen)

Verwenden Sie die Arbeitsmappe, um betrügerische Anmeldungen zu identifizieren

Sie können die Arbeitsmappe verwenden, um telefonbasierte MFA-Ereignisse zu verstehen und potenziell böswillige Verwendung des Telefoniediensts zu identifizieren.

1. Verstehen Sie, was für Ihren Mieter normal ist, indem Sie diese Fragen beantworten:

   • Wo befinden sich die Regionen, aus denen Sie eine telefonbasierte MFA erwarten?
   • Untersuchen Sie die Gründe, die für fehlgeschlagene telefonbasierte MFA-Versuche angezeigt werden. Werden sie als normal oder als erwartet angesehen?

2. Erkennen Sie die Merkmale einer betrügerischen Anmeldung:

   • Standortbasiert: Untersuchen Sie Fehler bei der Telefonauthentifizierung nach IP-Adresse für alle Konten, die mit Standorten verknüpft sind, von denen Sie nicht erwarten, dass sich Benutzer registrieren.

   Hinweis

   Bei der angegebenen IP-Adresse handelt es sich um eine ungefähre Region.

   • Geschwindigkeitsbasiert: Sehen Sie sich die fehlgeschlagenen Telefonauthentifizierungen im Laufe der Zeit (pro Tag) an, die Telefonnummern anzeigen, die eine ungewöhnliche Anzahl fehlgeschlagener Telefonauthentifizierungsversuche pro Tag durchführen, sortiert vom höchsten (links) zum niedrigsten (rechts).

3. Verringern Sie betrügerische Anmeldungen, indem Sie die Schritte im nächsten Abschnitt befolgen.

Betrügerische Registrierungen im Nutzerprozess verringern

Ergreifen Sie die folgenden Maßnahmen, um betrügerische Anmeldungen einzudämmen.

• Verwenden Sie die empfohlenen Versionen von Benutzerflows, um Folgendes zu tun:

  • Aktivieren Sie die E-Mail-Einmalkennungsfunktion (OTP) für MFA (gilt sowohl für Registrierungs- als auch für Anmeldevorgänge).
  • Konfigurieren Sie eine Richtlinie für bedingten Zugriff , um Anmeldungen basierend auf dem Standort zu blockieren (gilt nur für Anmeldeflows, nicht für Registrierungsflows).
  • Um automatisierte Angriffe auf Ihre verbraucherorientierten Apps zu verhindern, aktivieren Sie CAPTCHA. Das CAPTCHA von Azure AD B2C unterstützt sowohl audiovisuelle als auch visuelle CAPTCHA-Herausforderungen und gilt sowohl für Registrierungs- als auch für Anmeldeabläufe für Ihre lokalen Konten.

• Entfernen Sie Länder-/Regionscodes, die für Ihre Organisation nicht relevant sind, aus dem Dropdownmenü, in dem der Benutzer seine Telefonnummer überprüft (diese Änderung gilt für zukünftige Registrierungen):

  1. Melden Sie sich beim Azure-Portal als globale administrierende Person Ihres Azure AD B2C-Mandanten an.

  2. Wenn Sie Zugriff auf mehrere Mandanten haben, wählen Sie das Symbol Einstellungen im Menü oben aus, um über das Menü Verzeichnisse + Abonnements zu Ihrem Azure AD B2C-Mandanten zu wechseln.

  3. Wählen Sie "Alle Dienste " in der oberen linken Ecke des Azure-Portals aus, suchen Und wählen Sie Azure AD B2C aus.

  4. Wählen Sie den Benutzerflow und dann Sprachen aus. Wählen Sie die Sprache für den primären geografischen Standort Ihrer Organisation aus, um den Bereich "Sprachdetails" zu öffnen. (In diesem Beispiel wählen wir English en für die USA aus.) Wählen Sie Seite für mehrstufige Authentifizierung und dann Standardwerte herunterladen (de) aus.

     

  5. Öffnen Sie die JSON-Datei, die im vorherigen Schritt heruntergeladen wurde. Suchen Sie in der Datei nach DEFAULT, und ersetzen Sie die Zeile durch "Value": "{\"DEFAULT\":\"Country/Region\",\"US\":\"United States\"}". Stellen Sie sicher, dass Sie Overrides auf truefestlegen.

Um die SMS-Blockierung effektiv zu implementieren, stellen Sie sicher, dass die Einstellung "Außerkraftsetzungen" nur für die primäre oder Standardsprache Ihrer Organisation aktiviert ist (auf "true" festgelegt). Aktivieren Sie keine Außerkraftsetzungen für sekundäre oder nicht primäre Sprachen, da dies zur unerwarteten SMS-Blockierung führen kann. Da „countryList“ in der JSON-Datei als Zulassungsliste fungiert, müssen Sie unbedingt alle Länder/Regionen einschließen, die SMS in dieser Liste für die Konfiguration der primären Sprache senden dürfen, wenn Überschreibungen aktiviert sind.

1. Speichern Sie die JSON-Datei. Wählen Sie im Bereich "Sprachdetails" unter "Neue Außerkraftsetzungen hochladen" die geänderte JSON-Datei aus, um sie hochzuladen.

2. Schließen Sie das Panel und wählen Sie Benutzerfluss ausführen. Vergewissern Sie sich in diesem Beispiel, dass USA der einzige Ländercode ist, der in der Dropdownliste verfügbar ist:

   

Entschärfen betrügerischer Registrierungen für benutzerdefinierte Richtlinie

Um betrügerische Anmeldungen zu verhindern, entfernen Sie alle Länder-/Regionscodes, die nicht für Ihre Organisation gelten, indem Sie die folgenden Schritte ausführen:

1. Suchen Sie die Richtliniendatei, die RelyingParty definiert. Im Starter Pack ist dies in der Regel die SignUpOrSignin.xml Datei. Sehen Sie sich den folgenden Codeausschnitt an.

   <?xml version="1.0" encoding="UTF-8" standalone="yes"?>
   <TrustFrameworkPolicy xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
    xmlns:xsd="http://www.w3.org/2001/XMLSchema"
    xmlns="http://schemas.microsoft.com/online/cpim/schemas/2013/06" PolicySchemaVersion="0.3.0.0" TenantId="yourtenant.onmicrosoft.com" PolicyId="B2C_1A_signup_signin" PublicPolicyUri="http://yourtenant.onmicrosoft.com/B2C_1A_signup_signin">
   
    <BasePolicy>
      <TenantId>yourtenant.onmicrosoft.com</TenantId>
      <PolicyId>B2C_1A_TrustFrameworkExtensions</PolicyId>
    </BasePolicy>
   
    <BuildingBlocks>
       <!-- Add the XML code outlined in Step 2 if this section. -->
    </BuildingBlocks>
   
    <RelyingParty>
      ...
    </RelyingParty>
   </TrustFrameworkPolicy>
   

2. Fügen Sie im BuildingBlocks Abschnitt dieser Richtliniendatei den folgenden Code hinzu. Stellen Sie sicher, dass sie nur die Länder-/Regionscodes enthalten, die für Ihre Organisation relevant sind:

    <BuildingBlocks>
   
      <ContentDefinitions>
        <ContentDefinition Id="api.phonefactor">
          <LoadUri>~/tenant/templates/AzureBlue/multifactor-1.0.0.cshtml</LoadUri>
          <DataUri>urn:com:microsoft:aad:b2c:elements:contract:multifactor:1.2.20</DataUri>
          <Metadata>
            <Item Key="TemplateId">azureBlue</Item>
          </Metadata>
          <LocalizedResourcesReferences MergeBehavior="Prepend">
            <!-- Add only primary business language here -->
            <LocalizedResourcesReference Language="en" LocalizedResourcesReferenceId="api.phonefactor.en" />        
          </LocalizedResourcesReferences>
        </ContentDefinition>
      </ContentDefinitions>
   
      <Localization Enabled="true">
        <SupportedLanguages DefaultLanguage="en" MergeBehavior="ReplaceAll">
          <!-- Add only primary business language here -->
          <SupportedLanguage>en</SupportedLanguage>
        </SupportedLanguages>
   
        <!-- Phone factor for primary business language -->
        <LocalizedResources Id="api.phonefactor.en">
          <LocalizedStrings>
           <LocalizedString ElementType="UxElement" StringId="countryList">{"DEFAULT":"Country/Region","JP":"Japan","BG":"Bulgaria","US":"United States"}</LocalizedString>
          </LocalizedStrings>
        </LocalizedResources>
      </Localization>
   
     </BuildingBlocks>
   

   „countryList“ fungiert als Zulassungsliste. Nur die Länder/Regionen, die Sie in dieser Liste angeben (z. B. Japan, Bulgarien und die Vereinigten Staaten), dürfen MFA verwenden. Alle anderen Länder/Regionen werden blockiert.

Verwandte Inhalte

• Erfahren Sie mehr über Identity Protection und bedingten Zugriff für Azure AD B2C.

• Bedingten Zugriff auf Benutzerflüsse in Azure Active Directory B2C anwenden