Zabezpečení vícefaktorového ověřování založeného na telefonu

S vícefaktorovým ověřováním Microsoft Entra se uživatelé můžou rozhodnout, že dostanou automatizovaný hlasový hovor na telefonním čísle, které zaregistrují k ověření. Uživatelé se zlými úmysly mohou tuto metodu využít vytvořením více účtů a umístěním telefonních hovorů bez dokončení procesu registrace vícefaktorového ověřování. Tato řada neúspěšných registrací může vyčerpat povolené pokusy o registraci, což ostatním uživatelům brání v registraci nových účtů ve vašem tenantovi Azure AD B2C. Pokud chcete pomoct s ochranou před těmito útoky, můžete pomocí služby Azure Monitor monitorovat selhání ověřování telefonu a zmírnit podvodné registrace.

Důležité

Ověřovací aplikace (TOTP) poskytuje silnější zabezpečení než ověřování typu SMS/Telefon vícefaktorové ověřování. Pokud chcete toto nastavení nastavit, přečtěte si naše pokyny pro povolení vícefaktorového ověřování v Azure Active Directory B2C.

Předpoklady

Než začnete, vytvořte pracovní prostor služby Log Analytics.

Vytvoření sešitu událostí vícefaktorového ověřování založeného na telefonu

Úložiště upozornění sestav & Azure AD B2C na GitHubu obsahuje artefakty, které můžete použít k vytváření a publikování sestav, výstrah a řídicích panelů na základě protokolů Azure AD B2C. Koncept sešitu, který je znázorněn níže, zvýrazní chyby související s telefonem.

Karta Přehled

Na kartě Přehled se zobrazí následující informace:

• Důvody selhání (celkový počet neúspěšných telefonních ověření z jednotlivých důvodů)
• Blokováno kvůli špatné reputaci
• IP adresa s neúspěšnými ověřováními Telefon (celkový počet neúspěšných ověření pro telefon pro každou danou IP adresu)
• Telefon čísla s IP adresou – Ověřování Telefon se nezdařilo
• Prohlížeč (selhání ověření telefonu na prohlížeč klienta)
• Operační systém (selhání ověření telefonu na klientský operační systém)

Karta Podrobnosti

Na kartě Podrobnosti se zobrazí následující informace:

• Zásady Azure AD B2C – Neúspěšné ověřování Telefon
• Telefon selhání ověřování podle čísla Telefon – časového grafu (upravitelná časová osa)
• Telefon selhání ověřování podle zásad Azure AD B2C – časový graf (upravitelná časová osa)
• Telefon selhání ověřování podle IP adresy – časový graf (upravitelná časová osa)
• Vyberte Telefon Číslo pro zobrazení podrobností o selhání (vyberte telefonní číslo pro podrobný seznam selhání).

Identifikace podvodných registrací pomocí sešitu

Sešit můžete použít k pochopení událostí vícefaktorového ověřování založeného na telefonu a identifikaci potenciálně škodlivého použití telefonní služby.

1. Odpovědi na tyto otázky vám pomůžou pochopit, co je pro vašeho tenanta normální:

   • Kde jsou oblasti, ze kterých očekáváte vícefaktorové ověřování založené na telefonu?
   • Projděte si důvody neúspěšných pokusů o vícefaktorové ověřování založené na telefonu; jsou považovány za normální nebo očekávané?

2. Poznáte charakteristiky podvodné registrace:

   • Umístění: Zkontrolujte selhání ověřování Telefon podle IP adresy u všech účtů přidružených k umístěním, ze kterých neočekáváte, že se uživatelé zaregistrují.

   Poznámka:

   Zadanou IP adresu je přibližná oblast.

   • Rychlost založená: Podívejte se na neúspěšné ověřování Telefon přesčas (za den) označující telefonní čísla, která vytvářejí neobvyklý počet neúspěšných pokusů o ověření telefonu za den, seřazených od nejvyšších (vlevo) po nejnižší (vpravo).

3. Zmírnit podvodné registrace pomocí kroků v další části.

Zmírnění podvodných registrací

Pomocí následujících akcí můžete zmírnit podvodné registrace.

• K provedení následujících kroků použijte doporučené verze toků uživatelů:

  • Povolte funkci jednorázového hesla e-mailu pro vícefaktorové ověřování ( platí pro toky registrace i přihlašování).
  • Nakonfigurujte zásady podmíněného přístupu tak, aby blokovaly přihlášení na základě umístění (platí jenom pro toky přihlašování, ne toky registrace).
  • Konektory rozhraní API můžete použít k integraci s antibotovým řešením, jako je reCAPTCHA (platí pro toky registrace).

• Odeberte kódy zemí, které nejsou pro vaši organizaci relevantní, z rozevírací nabídky, kde uživatel ověří svoje telefonní číslo (tato změna se použije pro budoucí registrace):

  1. Přihlaste se k webu Azure Portal jako globální správce vašeho tenanta Azure AD B2C.

  2. Pokud máte přístup k více tenantům, v horní nabídce vyberte ikonu Nastavení a v nabídce Adresáře a předplatná přepněte do svého tenanta Azure AD B2C.

  3. Zvolte Všechny služby v levém horním rohu portálu Azure Portal a vyhledejte a vyberte Azure AD B2C.

  4. Vyberte tok uživatele a pak vyberte Jazyky. Výběrem jazyka zeměpisné polohy vaší organizace otevřete panel podrobností o jazyce. (V tomto příkladu vybereme Angličtina en pro USA). Vyberte stránku Vícefaktorové ověřování a pak vyberte Stáhnout výchozí hodnoty (en).

     

  5. Otevřete soubor JSON stažený v předchozím kroku. V souboru vyhledejte DEFAULTa nahraďte řádek "Value": "{\"DEFAULT\":\"Country/Region\",\"US\":\"United States\"}". Nezapomeňte nastavit Overrides na truehodnotu .

  Poznámka:

  Seznam povolených kódů zemí v countryList prvku můžete přizpůsobit (viz příklad stránky Telefon factor authentication).

  1. Uložte soubor JSON. Na panelu podrobností jazyka v části Nahrát nové přepsání vyberte upravený soubor JSON, který chcete nahrát.

  2. Zavřete panel a vyberte Spustit tok uživatele. V tomto příkladu ověřte, že USA je jediným kódem země dostupným v rozevíracím seznamu:

     

Další kroky

• Informace o ochraně identit a podmíněném přístupu pro Azure AD B2C

• Použití podmíněného přístupu na toky uživatelů v Azure Active Directory B2C