Zabezpečení vícefaktorového ověřování založeného na telefonu

Článek
11/08/2023

S vícefaktorovým ověřováním Microsoft Entra se uživatelé můžou rozhodnout, že dostanou automatizovaný hlasový hovor na telefonním čísle, které zaregistrují k ověření. Uživatelé se zlými úmysly mohou tuto metodu využít vytvořením více účtů a umístěním telefonních hovorů bez dokončení procesu registrace vícefaktorového ověřování. Tato řada neúspěšných registrací může vyčerpat povolené pokusy o registraci, což ostatním uživatelům brání v registraci nových účtů ve vašem tenantovi Azure AD B2C. Pokud chcete pomoct s ochranou před těmito útoky, můžete pomocí služby Azure Monitor monitorovat selhání ověřování telefonu a zmírnit podvodné registrace.

Důležité

Ověřovací aplikace (TOTP) poskytuje silnější zabezpečení než ověřování typu SMS/Telefon vícefaktorové ověřování. Pokud chcete toto nastavení nastavit, přečtěte si naše pokyny pro povolení vícefaktorového ověřování v Azure Active Directory B2C.

Předpoklady

Než začnete, vytvořte pracovní prostor služby Log Analytics.

Vytvoření sešitu událostí vícefaktorového ověřování založeného na telefonu

Úložiště upozornění sestav & Azure AD B2C na GitHubu obsahuje artefakty, které můžete použít k vytváření a publikování sestav, výstrah a řídicích panelů na základě protokolů Azure AD B2C. Koncept sešitu, který je znázorněn níže, zvýrazní chyby související s telefonem.

Karta Přehled

Na kartě Přehled se zobrazí následující informace:

Důvody selhání (celkový počet neúspěšných telefonních ověření z jednotlivých důvodů)
Blokováno kvůli špatné reputaci
IP adresa s neúspěšnými ověřováními Telefon (celkový počet neúspěšných ověření pro telefon pro každou danou IP adresu)
Telefon čísla s IP adresou – Ověřování Telefon se nezdařilo
Prohlížeč (selhání ověření telefonu na prohlížeč klienta)
Operační systém (selhání ověření telefonu na klientský operační systém)

Overview tab

Karta Podrobnosti

Na kartě Podrobnosti se zobrazí následující informace:

Zásady Azure AD B2C – Neúspěšné ověřování Telefon
Telefon selhání ověřování podle čísla Telefon – časového grafu (upravitelná časová osa)
Telefon selhání ověřování podle zásad Azure AD B2C – časový graf (upravitelná časová osa)
Telefon selhání ověřování podle IP adresy – časový graf (upravitelná časová osa)
Vyberte Telefon Číslo pro zobrazení podrobností o selhání (vyberte telefonní číslo pro podrobný seznam selhání).

Details tab 1 of 3

Details tab 2 of 3

Details tab 3 of 3

Identifikace podvodných registrací pomocí sešitu

Sešit můžete použít k pochopení událostí vícefaktorového ověřování založeného na telefonu a identifikaci potenciálně škodlivého použití telefonní služby.

Odpovědi na tyto otázky vám pomůžou pochopit, co je pro vašeho tenanta normální:
- Kde jsou oblasti, ze kterých očekáváte vícefaktorové ověřování založené na telefonu?
- Projděte si důvody neúspěšných pokusů o vícefaktorové ověřování založené na telefonu; jsou považovány za normální nebo očekávané?
Poznáte charakteristiky podvodné registrace:
- Umístění: Zkontrolujte selhání ověřování Telefon podle IP adresy u všech účtů přidružených k umístěním, ze kterých neočekáváte, že se uživatelé zaregistrují.
Poznámka:

Zadanou IP adresu je přibližná oblast.
- Rychlost založená: Podívejte se na neúspěšné ověřování Telefon přesčas (za den) označující telefonní čísla, která vytvářejí neobvyklý počet neúspěšných pokusů o ověření telefonu za den, seřazených od nejvyšších (vlevo) po nejnižší (vpravo).
Zmírnit podvodné registrace pomocí kroků v další části.

Zmírnění podvodných registrací

Pomocí následujících akcí můžete zmírnit podvodné registrace.

K provedení následujících kroků použijte doporučené verze toků uživatelů:
- Povolte funkci jednorázového hesla e-mailu pro vícefaktorové ověřování ( platí pro toky registrace i přihlašování).
- Nakonfigurujte zásady podmíněného přístupu tak, aby blokovaly přihlášení na základě umístění (platí jenom pro toky přihlašování, ne toky registrace).
- Konektory rozhraní API můžete použít k integraci s antibotovým řešením, jako je reCAPTCHA (platí pro toky registrace).
Odeberte kódy zemí, které nejsou pro vaši organizaci relevantní, z rozevírací nabídky, kde uživatel ověří svoje telefonní číslo (tato změna se použije pro budoucí registrace):
1. Přihlaste se k webu Azure Portal jako globální správce vašeho tenanta Azure AD B2C.
2. Pokud máte přístup k více tenantům, v horní nabídce vyberte ikonu Nastavení a v nabídce Adresáře a předplatná přepněte do svého tenanta Azure AD B2C.
3. Zvolte Všechny služby v levém horním rohu portálu Azure Portal a vyhledejte a vyberte Azure AD B2C.
4. Vyberte tok uživatele a pak vyberte Jazyky. Výběrem jazyka zeměpisné polohy vaší organizace otevřete panel podrobností o jazyce. (V tomto příkladu vybereme Angličtina en pro USA). Vyberte stránku Vícefaktorové ověřování a pak vyberte Stáhnout výchozí hodnoty (en).
5. Otevřete soubor JSON stažený v předchozím kroku. V souboru vyhledejte DEFAULTa nahraďte řádek "Value": "{\"DEFAULT\":\"Country/Region\",\"US\":\"United States\"}". Nezapomeňte nastavit Overrides na truehodnotu .
Poznámka:

Seznam povolených kódů zemí v countryList prvku můžete přizpůsobit (viz příklad stránky Telefon factor authentication).
1. Uložte soubor JSON. Na panelu podrobností jazyka v části Nahrát nové přepsání vyberte upravený soubor JSON, který chcete nahrát.
2. Zavřete panel a vyberte Spustit tok uživatele. V tomto příkladu ověřte, že USA je jediným kódem země dostupným v rozevíracím seznamu:

Další kroky

Informace o ochraně identit a podmíněném přístupu pro Azure AD B2C
Použití podmíněného přístupu na toky uživatelů v Azure Active Directory B2C

Sdílet prostřednictvím