Zabezpieczanie telefonicznego uwierzytelniania wieloskładnikowego

Dzięki uwierzytelnianiu wieloskładnikowemu Microsoft Entra użytkownicy mogą wybrać opcję odbierania automatycznego połączenia głosowego pod numerem telefonu, który rejestrują w celu weryfikacji. Złośliwi użytkownicy mogą wykorzystać tę metodę, tworząc wiele kont i nawiązując połączenia telefoniczne bez ukończenia procesu rejestracji uwierzytelniania wieloskładnikowego. Te liczne nieudane rejestracje mogą wyczerpać dopuszczalny limit prób rejestracji, uniemożliwiając innym użytkownikom rejestrowanie się w celu uzyskania nowych kont w dzierżawie usługi Azure AD B2C. Aby ułatwić ochronę przed tymi atakami, możesz użyć usługi Azure Monitor do monitorowania niepowodzeń uwierzytelniania telefonicznego i ograniczania nieuczciwych rejestracji.

Wymagania wstępne

Przed rozpoczęciem utwórz obszar roboczy usługi Log Analytics.

Tworzenie skoroszytu zdarzeń uwierzytelniania wieloskładnikowego opartego na telefonie

Repozytorium raportów i alertów usługi Azure AD B2C w usłudze GitHub zawiera artefakty, których można użyć do tworzenia i publikowania raportów, alertów i pulpitów nawigacyjnych na podstawie dzienników usługi Azure AD B2C. Szkic skoroszytu przedstawiony poniżej przedstawia awarie związane z telefonem.

Zakładka Przegląd

Na karcie Przegląd są wyświetlane następujące informacje:

• Przyczyny niepowodzenia (łączna liczba nieudanych uwierzytelnień telefonicznych dla każdego podanego powodu)
• Zablokowane z powodu złej reputacji
• Adres IP z nieudanymi uwierzytelnieniami telefonicznymi (łączna liczba nieudanych uwierzytelnień telefonicznych dla każdego danego adresu IP)
• Numery telefonów z adresem IP — nieudane uwierzytelnienia telefoniczne
• Przeglądarka (niepowodzenia uwierzytelniania telefonicznego w przeglądarce klienta)
• System operacyjny (niepowodzenia uwierzytelniania telefonicznego na system operacyjny klienta)

Zakładka Szczegóły

Na karcie Szczegóły są raportowane następujące informacje:

• Zasady usługi Azure AD B2C — nieudane uwierzytelnianie telefoniczne
• Niepowodzenia uwierzytelniania telefonicznego według numeru telefonu — wykres czasowy (regulowana oś czasu)
• Niepowodzenia uwierzytelniania telefonicznego według zasad usługi Azure AD B2C — wykres czasu (regulowana oś czasu)
• Niepowodzenia uwierzytelniania telefonicznego według adresu IP - wykres czasowy (regulowana oś czasu)
• Wybierz numer telefonu, aby wyświetlić szczegóły awarii (wybierz numer telefonu, aby wyświetlić szczegółową listę błędów)

Używanie skoroszytu do identyfikowania fałszywych rejestracji

Za pomocą skoroszytu można zrozumieć zdarzenia uwierzytelniania wieloskładnikowego opartego na telefonie i zidentyfikować potencjalnie złośliwe użycie usługi telefonii.

1. Dowiedz się, co jest normalne dla Twojego najemcy, odpowiadając na następujące pytania:

   • Gdzie są regiony, z których spodziewasz się telefonicznego uwierzytelniania wieloskładnikowego?
   • Sprawdź pokazane przyczyny nieudanych prób uwierzytelniania wieloskładnikowego opartego na telefonie; Czy są one uważane za normalne czy oczekiwane?

2. Rozpoznaj cechy fałszywej rejestracji:

   • Oparte na lokalizacji: sprawdź błędy uwierzytelniania telefonicznego według adresu IP dla wszystkich kont skojarzonych z lokalizacjami, z których nie oczekujesz, że użytkownicy będą się rejestrować.

   Uwaga / Notatka

   Podany adres IP jest przybliżonym regionem.

   • Oparte na prędkości: Przyjrzyj się nadgodzinom nieudanych uwierzytelnień telefonicznych (dziennie), które wskazują numery telefonów, które wykonują nietypową liczbę nieprawidłowych prób uwierzytelnienia telefonicznego dziennie, uporządkowane od najwyższej (po lewej) do najniższej (po prawej).

3. Ogranicz liczbę fałszywych rejestracji, wykonując czynności opisane w następnej sekcji.

Eliminowanie fałszywych rejestracji w przepływie użytkownika

Wykonaj następujące działania, aby ograniczyć liczbę fałszywych rejestracji.

• Użyj zalecanych wersji przepływów użytkownika, aby wykonać następujące czynności:

  • Włącz funkcję jednorazowego kodu dostępu poczty e-mail (OTP) dla uwierzytelniania wieloskładnikowego (dotyczy zarówno przepływów rejestracji, jak i logowania).
  • Skonfiguruj zasady dostępu warunkowego , aby blokować logowania na podstawie lokalizacji (dotyczy tylko przepływów logowania, a nie przepływów rejestracji).
  • Aby zapobiec automatycznym atakom na aplikacje skierowane do konsumentów, włącz protokół CAPTCHA. Usługa CAPTCHA usługi Azure AD B2C obsługuje zarówno dźwiękowe, jak i wizualne wyzwania CAPTCHA i ma zastosowanie zarówno do przepływów rejestracji, jak i logowania dla kont lokalnych.

• Usuń kody kraju/regionu, które nie są istotne dla twojej organizacji z menu rozwijanego, w którym użytkownik weryfikuje swój numer telefonu (ta zmiana zostanie zastosowana do przyszłych rejestracji):

  1. Zaloguj się do portalu Azure jako Administrator Przepływu Użytkownika Identyfikatora Zewnętrznego dzierżawy usługi Azure AD B2C.

  2. Jeśli masz dostęp do wielu dzierżaw, wybierz ikonę Ustawienia w górnym menu, aby przełączyć się na dzierżawę Azure AD B2C z menu Katalogi + subskrypcje.

  3. Wybierz pozycję Wszystkie usługi w lewym górnym rogu witryny Azure Portal, wyszukaj i wybierz pozycję Azure AD B2C.

  4. Wybierz przepływ użytkownika, a następnie wybierz Języki. Wybierz język podstawowej lokalizacji geograficznej organizacji, aby otworzyć panel szczegółów języka. (W tym przykładzie wybierzemy angielski en dla Stanów Zjednoczonych). Wybierz stronę Uwierzytelnianie wieloskładnikowe, a następnie wybierz pozycję Pobierz ustawienia domyślne (en).

     

  5. Otwórz plik JSON, który został pobrany w poprzednim kroku. W pliku wyszukaj DEFAULT, a następnie zastąp wiersz "Value": "{\"DEFAULT\":\"Country/Region\",\"US\":\"United States\"}". Pamiętaj, aby ustawić Overrides na true.

Aby skutecznie zaimplementować blokowanie wiadomości SMS, upewnij się, że ustawienie Zastąpienia jest włączone (ustawione na wartość true) tylko dla języka podstawowego lub domyślnego organizacji. Nie należy włączać przesłonięć dla żadnych języków pomocniczych lub innych niż podstawowe, ponieważ może to spowodować nieoczekiwane blokowanie wiadomości SMS. Ponieważ lista krajów w pliku JSON działa jako lista dozwolonych, pamiętaj, aby uwzględnić wszystkie kraje/regiony, które powinny mieć zezwolenie na wysyłanie wiadomości SMS na tej liście, jeśli przesłanianie jest włączone, dla konfiguracji podstawowego języka.

1. Zapisz plik JSON. W panelu szczegółów języka pod Załaduj nowe zastąpienia wybierz zmodyfikowany plik JSON, aby go przesłać.

2. Zamknij panel i wybierz Uruchom przepływ użytkownika. W tym przykładzie upewnij się, że Stany Zjednoczone jest jedynym kodem kraju dostępnym na liście rozwijanej:

   

Zmniejszenie liczby fałszywych rejestracji w ramach polityki niestandardowej

Aby zapobiec fałszywym rejestracjom, usuń wszystkie kody krajów/regionów, które nie mają zastosowania do organizacji, wykonując następujące kroki:

1. Znajdź plik zasad, który definiuje element RelyingParty. Na przykład w pakiecie startowym jest to zazwyczaj plik SignUpOrSignin.xml. Zobacz poniższy fragment kodu.

   <?xml version="1.0" encoding="UTF-8" standalone="yes"?>
   <TrustFrameworkPolicy xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
    xmlns:xsd="http://www.w3.org/2001/XMLSchema"
    xmlns="http://schemas.microsoft.com/online/cpim/schemas/2013/06" PolicySchemaVersion="0.3.0.0" TenantId="yourtenant.onmicrosoft.com" PolicyId="B2C_1A_signup_signin" PublicPolicyUri="http://yourtenant.onmicrosoft.com/B2C_1A_signup_signin">
   
    <BasePolicy>
      <TenantId>yourtenant.onmicrosoft.com</TenantId>
      <PolicyId>B2C_1A_TrustFrameworkExtensions</PolicyId>
    </BasePolicy>
   
    <BuildingBlocks>
       <!-- Add the XML code outlined in Step 2 if this section. -->
    </BuildingBlocks>
   
    <RelyingParty>
      ...
    </RelyingParty>
   </TrustFrameworkPolicy>
   

2. BuildingBlocks W sekcji tego pliku zasad dodaj następujący kod. Pamiętaj, aby uwzględnić tylko kody kraju/regionu odpowiednie dla twojej organizacji:

    <BuildingBlocks>
   
      <ContentDefinitions>
        <ContentDefinition Id="api.phonefactor">
          <LoadUri>~/tenant/templates/AzureBlue/multifactor-1.0.0.cshtml</LoadUri>
          <DataUri>urn:com:microsoft:aad:b2c:elements:contract:multifactor:1.2.20</DataUri>
          <Metadata>
            <Item Key="TemplateId">azureBlue</Item>
          </Metadata>
          <LocalizedResourcesReferences MergeBehavior="Prepend">
            <!-- Add only primary business language here -->
            <LocalizedResourcesReference Language="en" LocalizedResourcesReferenceId="api.phonefactor.en" />        
          </LocalizedResourcesReferences>
        </ContentDefinition>
      </ContentDefinitions>
   
      <Localization Enabled="true">
        <SupportedLanguages DefaultLanguage="en" MergeBehavior="ReplaceAll">
          <!-- Add only primary business language here -->
          <SupportedLanguage>en</SupportedLanguage>
        </SupportedLanguages>
   
        <!-- Phone factor for primary business language -->
        <LocalizedResources Id="api.phonefactor.en">
          <LocalizedStrings>
           <LocalizedString ElementType="UxElement" StringId="countryList">{"DEFAULT":"Country/Region","JP":"Japan","BG":"Bulgaria","US":"United States"}</LocalizedString>
          </LocalizedStrings>
        </LocalizedResources>
      </Localization>
   
     </BuildingBlocks>
   

   Lista krajów działa jako lista dozwolonych. Tylko kraje/regiony określone na tej liście (na przykład Japonia, Bułgaria i Stany Zjednoczone) mogą korzystać z uwierzytelniania wieloskładnikowego. Wszystkie inne kraje/regiony są blokowane.

Treści powiązane

• Dowiedz się więcej o ochronie tożsamości i dostępie warunkowym dla usługi Azure AD B2C

• Stosowanie dostępu warunkowego do przepływów użytkowników w usłudze Azure Active Directory B2C