Protección de la autenticación multifactor basada en teléfono

Con la autenticación multifactor de Microsoft Entra, los usuarios pueden optar por recibir una llamada de voz automatizada en un número de teléfono que se registran para su comprobación. Los usuarios malintencionados podrían aprovechar este método mediante la creación de varias cuentas y la colocación de llamadas telefónicas sin completar el proceso de registro de MFA. Estos numerosos registros con error podrían agotar los intentos de registro permitidos, para evitar que otros usuarios se suscriban a nuevas cuentas en su inquilino de Azure AD B2C. Para ayudar a protegerse contra estos ataques, puede usar Azure Monitor para supervisar los errores de autenticación telefónica y mitigar los registros fraudulentos.

Prerrequisitos

Antes de empezar, cree un área de trabajo de Log Analytics.

Creación de un libro de eventos de MFA basado en teléfono

El repositorio Informes y alertas de Azure AD B2C en GitHub contiene artefactos que puede usar para crear y publicar informes, alertas y paneles basados en registros de Azure AD B2C. El borrador del libro que se muestra a continuación resalta los errores relacionados con el teléfono.

Pestaña de información general

La siguiente información se muestra en la pestaña Información general :

• Motivos de error (el número total de autenticaciones telefónicas con error por cada motivo determinado)
• Bloqueado debido a una mala reputación
• Dirección IP con autenticaciones telefónicas erróneas (el recuento total de autenticaciones telefónicas con error para cada dirección IP determinada)
• Números de teléfono con dirección IP: autenticaciones telefónicas con error
• Navegador (fallos de autenticación telefónica por navegador del cliente)
• Sistema operativo (errores de autenticación telefónica por sistema operativo cliente)

Pestaña Detalles

La siguiente información se notifica en la pestaña Detalles :

• Directiva de Azure AD B2C: autenticaciones telefónicas con errores
• Errores de autenticación de teléfono por número de teléfono: gráfico de tiempo (escala de tiempo ajustable)
• Errores de autenticación telefónica por directiva de Azure AD B2C: gráfico de tiempo (escala de tiempo ajustable)
• Errores de autenticación telefónica por dirección IP: gráfico de tiempo (escala de tiempo ajustable)
• Seleccione Número de teléfono para ver los detalles del error (seleccione un número de teléfono para obtener una lista detallada de errores).

Usa el libro de trabajo para identificar registros fraudulentos

Puede usar el libro para comprender los eventos de MFA basados en teléfono e identificar el uso potencialmente malintencionado del servicio de telefonía.

1. Comprenda lo que es normal para su inquilino respondiendo a estas preguntas:

   • ¿Dónde están las regiones desde las que espera MFA basada en teléfono?
   • Examine los motivos que se muestran para los intentos de MFA por teléfono fallidos; ¿se consideran normales o esperados?

2. Reconocer las características del registro fraudulento:

   • Basado en ubicación: examine los errores de autenticación telefónica por dirección IP de las cuentas asociadas a ubicaciones desde las que no espera que los usuarios se registren.

   Nota:

   La dirección IP proporcionada es una región aproximada.

   • Basado en velocidad: examine Error de autenticación telefónica extra (por día), que indica los números de teléfono que están realizando un número anómalo de intentos de autenticación telefónica erróneas por día, ordenados de mayor (izquierda) a inferior (derecha).

3. Mitigue los registros fraudulentos siguiendo los pasos descritos en la sección siguiente.

Mitigación de los registros fraudulentos para el flujo de usuario

Realice las siguientes acciones para ayudar a mitigar los registros fraudulentos.

• Use las versiones recomendadas de los flujos de usuario para hacer lo siguiente:

  • Habilite la característica de código de acceso de un solo uso (OTP) de correo electrónico para MFA (se aplica tanto a flujos de registro como de inicio de sesión).
  • Configure una directiva de acceso condicional para bloquear los inicios de sesión en función de la ubicación (solo se aplica a los flujos de inicio de sesión, no a los flujos de registro).
  • Para evitar ataques automatizados en las aplicaciones orientadas al consumidor, habilite CAPTCHA. El CAPTCHA de Azure AD B2C admite desafíos de audio y visuales, y se aplica tanto a los flujos de registro como de inicio de sesión para las cuentas locales.

• Quite los códigos de país o región que no son relevantes para su organización en el menú desplegable donde el usuario comprueba su número de teléfono (este cambio se aplicará a los registros futuros):

  1. Inicie sesión en Azure Portal como Administrador de flujo de usuario de Id. externa del inquilino de Azure AD B2C.

  2. Si tiene acceso a varios inquilinos, seleccione el icono Configuración en el menú superior para cambiar a su inquilino de Azure AD B2C desde el menú Directorios y suscripciones.

  3. Elija Todos los servicios en la esquina superior izquierda de Azure Portal, busque y seleccione Azure AD B2C.

  4. Seleccione el flujo de usuario y, a continuación, seleccione Idiomas. Seleccione el idioma de la ubicación geográfica principal de la organización para abrir el panel de detalles del idioma. (En este ejemplo, seleccionaremos inglés en para Estados Unidos). Seleccione la página Autenticación multifactor y, a continuación, seleccione Descargar valores predeterminados (en)..

     

  5. Abra el archivo JSON que se descargó en el paso anterior. En el archivo, busque DEFAULTy reemplace la línea por "Value": "{\"DEFAULT\":\"Country/Region\",\"US\":\"United States\"}". Asegúrese de establecer Overrides en true.

Para implementar el bloqueo de SMS de forma eficaz, asegúrese de que la configuración Invalidaciones (Overrides) esté habilitada (establecida en true) solo para el idioma principal o predeterminado de la organización. No habilite anulaciones para ningún idioma secundario o no principal, ya que esto puede provocar un bloqueo inesperado de SMS. Puesto que countryList en el archivo JSON funciona como una lista de autorización, asegúrese de incluir todos los países o regiones que deben permitirse enviar SMS a través de esta lista en la configuración del idioma principal cuando Overrides es verdadero.

1. Guarde el archivo JSON. En el panel de detalles del idioma, en Subir nuevas sobrescrituras, seleccione el archivo JSON modificado para subirlo.

2. Cierre el panel y seleccione Ejecutar flujo de usuario. En este ejemplo, confirme que Estados Unidos es el único código de país disponible en la lista desplegable:

   

Mitigación de los registros fraudulentos para la directiva personalizada

Para ayudar a evitar registros fraudulentos, quite los códigos de país o región que no se apliquen a su organización siguiendo estos pasos:

1. Busque el archivo de política que define el RelyingParty. Por ejemplo, en el Paquete de inicio, suele ser el archivo SignUpOrSignin.xml. Consulte el siguiente fragmento de código.

   <?xml version="1.0" encoding="UTF-8" standalone="yes"?>
   <TrustFrameworkPolicy xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
    xmlns:xsd="http://www.w3.org/2001/XMLSchema"
    xmlns="http://schemas.microsoft.com/online/cpim/schemas/2013/06" PolicySchemaVersion="0.3.0.0" TenantId="yourtenant.onmicrosoft.com" PolicyId="B2C_1A_signup_signin" PublicPolicyUri="http://yourtenant.onmicrosoft.com/B2C_1A_signup_signin">
   
    <BasePolicy>
      <TenantId>yourtenant.onmicrosoft.com</TenantId>
      <PolicyId>B2C_1A_TrustFrameworkExtensions</PolicyId>
    </BasePolicy>
   
    <BuildingBlocks>
       <!-- Add the XML code outlined in Step 2 if this section. -->
    </BuildingBlocks>
   
    <RelyingParty>
      ...
    </RelyingParty>
   </TrustFrameworkPolicy>
   

2. En la BuildingBlocks sección de este archivo de directiva, agregue el código siguiente. Asegúrese de incluir solo los códigos de país o región pertinentes para su organización:

    <BuildingBlocks>
   
      <ContentDefinitions>
        <ContentDefinition Id="api.phonefactor">
          <LoadUri>~/tenant/templates/AzureBlue/multifactor-1.0.0.cshtml</LoadUri>
          <DataUri>urn:com:microsoft:aad:b2c:elements:contract:multifactor:1.2.20</DataUri>
          <Metadata>
            <Item Key="TemplateId">azureBlue</Item>
          </Metadata>
          <LocalizedResourcesReferences MergeBehavior="Prepend">
            <!-- Add only primary business language here -->
            <LocalizedResourcesReference Language="en" LocalizedResourcesReferenceId="api.phonefactor.en" />        
          </LocalizedResourcesReferences>
        </ContentDefinition>
      </ContentDefinitions>
   
      <Localization Enabled="true">
        <SupportedLanguages DefaultLanguage="en" MergeBehavior="ReplaceAll">
          <!-- Add only primary business language here -->
          <SupportedLanguage>en</SupportedLanguage>
        </SupportedLanguages>
   
        <!-- Phone factor for primary business language -->
        <LocalizedResources Id="api.phonefactor.en">
          <LocalizedStrings>
           <LocalizedString ElementType="UxElement" StringId="countryList">{"DEFAULT":"Country/Region","JP":"Japan","BG":"Bulgaria","US":"United States"}</LocalizedString>
          </LocalizedStrings>
        </LocalizedResources>
      </Localization>
   
     </BuildingBlocks>
   

   countryList actúa como una lista de permitidos. Solo los países o regiones que especifique en esta lista (por ejemplo, Japón, Bulgaria y Estados Unidos) pueden usar MFA. Todos los demás países o regiones están bloqueados.

Contenido relacionado

• Más información sobre Identity Protection y el acceso condicional para Azure AD B2C

• Aplicación del acceso condicional a los flujos de usuario en Azure Active Directory B2C