Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Dieser Artikel enthält die bewährten Methoden zum Sichern Ihrer Azure Active Directory B2C (Azure AD B2C)-Lösung. Um Ihre Identitätslösung mit Azure AD B2C zu erstellen, umfasst viele Komponenten, die Sie schützen und überwachen sollten.
Je nach Lösung verfügen Sie über eine oder mehrere der folgenden Komponenten im Rahmen:
- Azure AD B2C-Authentifizierungsendpunkte
-
Azure AD B2C-Benutzerflüsse oder benutzerdefinierte Richtlinien
- Anmelden
- Anmelden
- Einmaliges E-Mail-Kennwort (OTP)
- Mehrfaktor-Authentifizierungskontrollen
- Externe REST-APIs
Sie müssen alle diese Komponenten schützen und überwachen, um sicherzustellen, dass Ihre Benutzer sich ohne Unterbrechung bei Anwendungen anmelden können. Befolgen Sie die Anleitungen in diesem Artikel, um Ihre Lösung vor Bot-Angriffen, betrügerischer Kontoerstellung, internationalem Umsatzbeteiligungsbetrug (ISRF) und Kennwortsprühen zu schützen.
So sichern Sie Ihre Lösung
Ihre Identitätslösung verwendet mehrere Komponenten, um eine reibungslose Anmeldung zu ermöglichen. In der folgenden Tabelle sind Schutzmechanismen aufgeführt, die für jede Komponente empfohlen werden.
| Komponente | Endpunkt | Warum | Wie man schützt |
|---|---|---|---|
| Azure AD B2C-Authentifizierungsendpunkte |
/authorize
/token
/.well-known/openid-configuration
/discovery/v2.0/keys
|
Ressourcenauslastung verhindern | Webanwendungsfirewall (WAF) und Azure Front Door (AFD) |
| Anmelden | Nicht verfügbar | Bei böswilligen Anmeldeversuchen können Personen versuchen, sich per Brute-Force-Angriff Zugang zu Konten zu verschaffen oder kompromittierte Anmeldeinformationen zu verwenden. | Schutz der Identität (Identity Protection) |
| Anmeldung | Nicht verfügbar | Betrügerische Registrierungen können versuchen, eine Ressourcenauslastung herbeizuführen. |
Endpunktschutz Betrugspräventionstechnologien wie Dynamics Fraud Protection |
| E-Mail-OTP | Nicht verfügbar | Betrügerische Versuche, gewaltsam vorzugehen oder Ressourcen zu erschöpfen | Endpunktschutz und Authenticator-App |
| Mehrfaktor-Authentifizierungskontrollen | Nicht verfügbar | Unerwünschte Telefonanrufe oder SMS-Nachrichten oder Ressourcenerschöpfung. | Endpunktschutz und Authenticator-App |
| Externe REST-APIs | Ihre REST-API-Endpunkte | Die böswillige Verwendung von Benutzerflüssen oder benutzerdefinierten Richtlinien kann zu Einer Ressourcenausschöpfung an Ihren API-Endpunkten führen. | WAF und AFD |
Schutzmechanismen
In der folgenden Tabelle finden Sie eine Übersicht über die verschiedenen Schutzmechanismen, die Sie zum Schutz verschiedener Komponenten verwenden können.
| Was | Warum | Wie? |
|---|---|---|
| Webanwendungsfirewall (WAF) | WAF dient als erste Schutzebene gegen böswillige Anforderungen, die an Azure AD B2C-Endpunkte gesendet werden. Es bietet einen zentralen Schutz vor allgemeinen Exploits und Sicherheitsrisiken wie DDoS, Bots, OWASP Top 10 usw. Verwenden Sie WAF, um sicherzustellen, dass schädliche Anforderungen gar nicht erst bei Azure AD B2C-Endpunkten ankommen.
Um WAF zu aktivieren, müssen Sie zuerst benutzerdefinierte Domänen in Azure AD B2C mit AFD aktivieren. |
|
| Azure Front Door (AFD) | AFD ist ein globaler, skalierbarer Einstiegspunkt, der das globale Microsoft Edge-Netzwerk verwendet, um schnelle, sichere und weit skalierbare Webanwendungen zu erstellen. Die wichtigsten Funktionen von AFD sind:
|
|
| Identitätsüberprüfung & Nachweise / Betrugsschutz | Identitätsüberprüfung und Nachweise sind für die Erstellung einer vertrauenswürdigen Benutzererfahrung und der Schutz vor Kontoübernahme und betrügerischer Kontoerstellung von entscheidender Bedeutung. Sie trägt auch zur Mandantenhygiene bei, indem sichergestellt wird, dass Benutzerobjekte die tatsächlichen Benutzer widerspiegeln, die sich an Geschäftsszenarien orientieren.
Azure AD B2C ermöglicht die Integration von Identitätsüberprüfung und -nachweis sowie Betrugsschutz von verschiedenen Softwareanbieterpartnern. |
|
| Identitätsschutz | Identitätsschutz bietet fortlaufende Risikoerkennung. Wenn während der Anmeldung ein Risiko erkannt wird, können Sie die bedingte Azure AD B2C-Richtlinie konfigurieren, damit der Benutzer das Risiko beheben kann, bevor Sie mit der Anmeldung fortfahren. Administratoren können auch Identitätsschutzberichte verwenden, um riskante Benutzer zu überprüfen, die risikobehaftet sind, und Erkennungsdetails überprüfen. Der Bericht "Risikoerkennungen" enthält Informationen zu jeder Risikoerkennung, z. B. deren Typ, den Standort des Anmeldeversuchs und vieles mehr. Administratoren können auch bestätigen oder verweigern, dass der Benutzer kompromittiert ist. | |
| Bedingter Zugriff (Ca) | Wenn ein Benutzer versucht, sich anzumelden, sammelt die Zertifizierungsstelle verschiedene Signale, z. B. Risiken aus identitätsschutz, um Entscheidungen zu treffen und Organisationsrichtlinien durchzusetzen. Die Zertifizierungsstelle kann Administratoren bei der Entwicklung von Richtlinien unterstützen, die mit dem Sicherheitsstatus ihrer Organisation konsistent sind. Die Richtlinien können die Möglichkeit umfassen, den Benutzerzugriff vollständig zu blockieren oder Zugriff bereitzustellen, nachdem der Benutzer eine andere Authentifizierung wie MFA abgeschlossen hat. | |
| Mehrstufige Authentifizierung | MFA fügt dem Anmelde- und Anmeldeprozess eine zweite Sicherheitsebene hinzu und ist ein wesentlicher Bestandteil der Verbesserung des Sicherheitsstatus der Benutzerauthentifizierung in Azure AD B2C. Die Authenticator-App – TOTP ist die empfohlene MFA-Methode in Azure AD B2C. | |
| Security Information and Event Management (SIEM)/ Security Orchestration, Automation and Response (SOAR) | Sie benötigen ein zuverlässiges Überwachungs- und Warnsystem für die Analyse von Nutzungsmustern wie Anmeldungen und Registrierungen und erkennen alle anomalien Verhaltensweisen, die möglicherweise auf einen Cyberangriff hinweisen. Es ist ein wichtiger Schritt, der eine zusätzliche Sicherheitsebene hinzufügt. Es hilft Ihnen auch, Muster und Trends zu verstehen, die nur im Laufe der Zeit erfasst und aufgebaut werden können. Die Warnung hilft bei der Ermittlung von Faktoren wie der Änderungsrate der allgemeinen Anmeldungen, einer Zunahme fehlgeschlagener Anmeldungen und fehlgeschlagener Anmeldewege, telefonbasierter Betrug wie IRSF-Angriffe usw. All dies kann Indikatoren für einen laufenden Cyberangriff sein, der sofortige Aufmerksamkeit erfordert. Azure AD B2C unterstützt sowohl die allgemeine als auch die Feinkornprotokollierung sowie die Generierung von Berichten und Warnungen. Es empfiehlt sich, Überwachung und Warnungen in allen Produktionsmandanten zu implementieren. |
Schutz Ihrer REST-APIs
Mit Azure AD B2C können Sie mithilfe der API-Connectors oder des technischen Profils der REST-API eine Verbindung mit externen Systemen herstellen. Sie müssen diese Schnittstellen schützen. Sie können böswillige Anforderungen an Ihre REST-APIs verhindern, indem Sie die Azure AD B2C-Authentifizierungsendpunkte schützen. Sie können diese Endpunkte mit einer WAF und AFD schützen.
Szenario 1: Wie Sie Ihre Anmeldung absichern
Nachdem Sie eine Anmeldeumgebung oder einen Benutzerablauf erstellt haben, müssen Sie bestimmte Komponenten Ihres Flusses vor böswilligen Aktivitäten schützen. Wenn Ihr Anmeldefluss beispielsweise Folgendes umfasst, zeigt die Tabelle die Komponenten an, die Sie schützen müssen, und die zugehörige Schutztechnik:
- E-Mail- und Kennwortauthentifizierung für lokale Konten
- Mehrstufige Microsoft Entra-Authentifizierung mit SMS oder Telefonanruf
| Komponente | Endpunkt | Wie man schützt |
|---|---|---|
| Azure AD B2C-Authentifizierungsendpunkte |
/authorize
/token
/.well-known/openid-configuration
/discovery/v2.0/keys
|
WAP und AFD |
| Anmelden | Nicht verfügbar | Identitätsschutz |
| Mehrfaktor-Authentifizierungskontrollen | Nicht verfügbar | Authenticator-App |
| Externe REST-API | Ihr API-Endpunkt. | Authenticator-App, WAF und AFD |
Szenario 2: So sichern Sie Ihre Registrierungserfahrung
Nachdem Sie eine Anmeldeumgebung oder einen Benutzerablauf erstellt haben, müssen Sie bestimmte Komponenten Ihres Flusses vor böswilligen Aktivitäten schützen. Wenn ihr Anmeldefluss Folgendes umfasst, zeigt die Tabelle die Komponenten an, die Sie schützen müssen, und die zugehörige Schutztechnik:
- E-Mail- und Kennwortanmeldung für lokales Konto
- E-Mail-Überprüfung mithilfe von E-Mail OTP
- Mehrstufige Microsoft Entra-Authentifizierung mit SMS oder Telefonanruf
| Komponente | Endpunkt | Wie man schützt |
|---|---|---|
| Azure AD B2C-Authentifizierungsendpunkte |
/authorize
/token
/.well-known/openid-configuration
/discovery/v2.0/keys
|
WAF und AFD |
| Registrieren | Nicht verfügbar | Dynamics 365 Fraud Protection |
| E-Mail-OTP | Nicht verfügbar | WAF und AFD |
| Mehrfaktor-Authentifizierungskontrollen | Nicht verfügbar | Authenticator-App |
In diesem Szenario schützt die Verwendung der WAF- und AFD-Schutzmechanismen sowohl die Azure AD B2C-Authentifizierungsendpunkte als auch die E-Mail-OTP-Komponenten.
Nächste Schritte
- Konfigurieren Sie eine Webanwendungsfirewall zum Schutz von Azure AD B2C-Authentifizierungsendpunkten.
- Konfigurieren Sie die Betrugsprävention mit Dynamics , um Ihre Authentifizierungsfunktionen zu schützen.
- Untersuchen Sie das Risiko mit Identity Protection in Azure AD B2C , um identitätsbasierte Risiken zu ermitteln, zu untersuchen und zu beheben.
- Schützen Sie Ihre telefonbasierte Multi-Faktor-Authentifizierung.
- Konfigurieren Sie Identitätsschutz , um Ihre Anmeldeerfahrung zu schützen.
- Konfigurieren Sie die Überwachung und Warnung , um auf Bedrohungen aufmerksam zu werden.