Zabezpečení vícefaktorového ověřování Multi-Factor Authentication (MFA)

Poznámka

Tato funkce je ve verzi Public Preview.

v případě služby Azure Active Directory (Azure AD) Multi-Factor Authentication (MFA) si uživatelé mohou přijmout automatizované hlasové volání na telefonním čísle, které se registrují k ověření. Uživatelé se zlými úmysly mohou tuto metodu využít vytvořením několika účtů a voláním telefonního hovoru bez dokončení procesu registrace MFA. Tato řada neúspěšných přihlášení by mohla vyčerpat povolený počet pokusů o registraci a zabránit ostatním uživatelům v registraci nových účtů ve vašem tenantovi Azure AD B2C. K ochraně proti těmto útokům můžete použít Azure Monitor k monitorování selhání ověřování na telefonu a zmírnění falešných podpisů.

Požadavky

Než začnete, vytvořte pracovní prostor Log Analytics.

Vytvoření sešitu událostí MFA založeného na telefonu

Azure AD B2C sestavy & úložiště výstrahy v GitHub obsahuje artefakty, které můžete použít k vytváření a publikování sestav, výstrah a řídicích panelů na základě protokolů Azure AD B2C. Pracovní sešit s obrázkem níže popisuje chyby související s telefonem.

Karta Přehled

Na kartě Přehled se zobrazí následující informace:

  • Důvody selhání (celkový počet neúspěšných ověření pro telefon pro každý z daných důvodů)
  • Blokováno kvůli špatné pověsti
  • IP adresa s neúspěšnými ověřováními Telefon (celkový počet neúspěšných ověření telefonického telefonu pro každou zadanou IP adresu)
  • Telefon čísla s IP adresou – neúspěšná Telefon ověřování
  • Prohlížeč (počet selhání ověřování na telefon na klientský prohlížeč)
  • Operační systém (počet selhání ověřování na telefon na klientský operační systém)

Karta Přehled

Karta Podrobnosti

Na kartě Podrobnosti jsou uvedeny následující informace:

  • zásady Azure AD B2C – neúspěšná Telefon ověřování
  • Telefon selhání ověřování podle Telefon číslo – časový graf (upravitelná časová osa)
  • Telefon Selhání ověřování podle zásad Azure AD B2C – časový graf (upravitelná časová osa)
  • Telefon Selhání ověřování podle IP adresy – časový graf (upravitelná časová osa)
  • výběrem Telefon číslo zobrazíte podrobnosti o selhání (vyberte telefonní číslo pro podrobný seznam selhání).

Karta podrobností 1 ze 3

Karta podrobností 2 ze 3

Karta Podrobnosti 3 ze 3

Použití sešitu k identifikaci podvodného přihlášení

Pomocí sešitu můžete pochopit události vícefaktorového ověřování na telefonu a identifikovat potenciálně škodlivé používání služby Telephony Service.

  1. Porozumět tomu, co je pro vašeho tenanta normální, pomocí zodpovězení těchto otázek:

    • Kde jsou oblasti, ze kterých očekáváte telefonický MFA?
    • Projděte si důvody pro neúspěšné pokusy o ověřování MFA (Phone-based). považují se za normální nebo očekávané?
  2. Rozpoznat charakteristiky podvodného přihlášení:

    • založeno na umístění: prověřte Telefon selhání ověřování podle IP adresy pro všechny účty, které jsou přidružené k umístěním, ze kterých neočekáváte, aby se uživatelé mohli zaregistrovat.

    Poznámka

    Zadaná IP adresa je přibližná oblast.

    • založené na rychlosti: podívejte se na neúspěšné Telefon ověřování přesčasy (za den), které označují telefonní čísla, která provádějí neobvyklý počet neúspěšných pokusů o ověření telefonického ověřování za den, seřazené od nejvyšší (vlevo) do nejnižší (vpravo).
  3. Pomocí postupu v následující části zmírnit podvodné přihlašování.

Zmírnění falešných podpisů

Proveďte následující akce, které vám pomůžou zmírnit podvodné podepisování.

  • Použijte Doporučené verze uživatelských toků k následujícím akcím:

  • Z rozevírací nabídky, kde si uživatel ověří své telefonní číslo (Tato změna bude platit pro budoucí přihlašování), odeberte kódy zemí, které nejsou relevantní pro vaši organizaci:

    1. Přihlaste se k webu Azure Portal jako globální správce vašeho tenanta Azure AD B2C.

    2. Ujistěte se, že používáte adresář, který obsahuje vašeho tenanta Azure AD B2C. Na panelu nástrojů portálu vyberte ikonu adresáře a odběry .

    3. Na nastavení portálu | Adresáře a odběry stránky, vyhledejte adresář Azure AD B2C v seznamu název adresáře a pak vyberte přepínač.

    4. Zvolte Všechny služby v levém horním rohu portálu Azure Portal a vyhledejte a vyberte Azure AD B2C.

    5. Vyberte tok uživatele a pak vyberte jazyky. Vyberte jazyk pro zeměpisnou polohu vaší organizace a otevřete panel podrobnosti o jazyku. (V tomto příkladu vybereme pro USA angličtinu EN ). Vyberte stránku vícefaktorového ověřování a pak vyberte Stáhnout výchozí (EN).

      Upload nových přepsání ke stažení výchozích hodnot

    6. Otevřete soubor JSON, který jste stáhli v předchozím kroku. V souboru vyhledejte DEFAULT a nahraďte řádek řetězcem "Value": "{\"DEFAULT\":\"Country/Region\",\"US\":\"United States\"}" . Nezapomeňte nastavit Overrides na true .

    Poznámka

    seznam povolených kódů zemí lze přizpůsobit v countryList prvku (viz příklad stránky Telefon factor authentication).

    1. Uložte soubor JSON. na panelu podrobnosti o jazyku v části Upload nové přepsání vyberte upravený soubor JSON, který chcete nahrát.

    2. Zavřete panel a vyberte Spustit tok uživatele. V tomto příkladu potvrďte, že USA je jediný kód země dostupný v rozevíracím seznamu:

      Rozevírací seznam pro kód země

Další kroky