Telefon tabanlı çok faktörlü kimlik doğrulamasını güvenli hale getirme

Microsoft Entra çok faktörlü kimlik doğrulaması ile kullanıcılar doğrulama için kaydettikleri bir telefon numarasında otomatik sesli arama almayı seçebilir. Kötü amaçlı kullanıcılar, MFA kayıt işlemini tamamlamadan birden çok hesap oluşturup telefon aramaları yaparak bu yöntemden yararlanabilir. Bu çok sayıda başarısız kayıt işlemi izin verilen kaydolma girişimlerini tüketerek diğer kullanıcıların Azure AD B2C kiracınızdaki yeni hesaplara kaydolmasını engelleyebilir. Bu saldırılara karşı korunmaya yardımcı olmak için Azure İzleyici'yi kullanarak telefon kimlik doğrulaması hatalarını izleyebilir ve sahte kaydolmaları azaltabilirsiniz.

Önemli

Authenticator uygulaması (TOTP), SMS/Telefon çok faktörlü kimlik doğrulamasından daha güçlü güvenlik sağlar. Bunu ayarlamak için lütfen Azure Active Directory B2C'de çok faktörlü kimlik doğrulamasını etkinleştirme yönergelerimizi okuyun.

Önkoşullar

Başlamadan önce bir Log Analytics çalışma alanı oluşturun.

Telefon tabanlı MFA olay çalışma kitabı oluşturma

GitHub'daki Azure AD B2C Raporları & Uyarıları deposu, Azure AD B2C günlüklerini temel alan raporlar, uyarılar ve panolar oluşturmak ve yayımlamak için kullanabileceğiniz yapıtlar içerir. Aşağıda resmedilen taslak çalışma kitabı, telefonla ilgili hataları vurgular.

Genel bakış sekmesi

Genel Bakış sekmesinde aşağıdaki bilgiler gösterilir:

• Hata Nedenleri (her bir nedenden dolayı başarısız olan telefon kimlik doğrulamalarının toplam sayısı)
• Kötü Itibar Nedeniyle Engellendi
• Başarısız Telefon Kimlik Doğrulamalarına sahip IP Adresi (verilen her IP adresi için başarısız telefon kimlik doğrulamalarının toplam sayısı)
• IP adresi olan numaraları Telefon - Başarısız Telefon Kimlik Doğrulamaları
• Tarayıcı (istemci tarayıcısı başına telefon kimlik doğrulaması hataları)
• İşletim Sistemi (istemci işletim sistemi başına telefon kimlik doğrulaması hataları)

Ayrıntılar sekmesi

Ayrıntılar sekmesinde aşağıdaki bilgiler bildirilir:

• Azure AD B2C İlkesi - Başarısız Telefon Kimlik Doğrulamaları
• Telefon Sayıya Göre Kimlik Doğrulama Hatalarını Telefon – Zaman Çizelgesi (ayarlanabilir zaman çizelgesi)
• Azure AD B2C İlkesi tarafından Telefon Kimlik Doğrulama Hataları – Zaman Çizelgesi (ayarlanabilir zaman çizelgesi)
• IP Adresine göre kimlik doğrulama hatalarını Telefon – Zaman Çizelgesi (ayarlanabilir zaman çizelgesi)
• Hata Ayrıntılarını Görüntülemek için Telefon Numarası seçin (ayrıntılı hata listesi için bir telefon numarası seçin)

Sahte kaydolmaları tanımlamak için çalışma kitabını kullanma

Telefon tabanlı MFA olaylarını anlamak ve telefon hizmetinin kötü amaçlı olabilecek kullanımını belirlemek için çalışma kitabını kullanabilirsiniz.

1. Şu soruları yanıtlayarak kiracınız için nelerin normal olduğunu anlayın:

   • Telefon tabanlı MFA beklediğiniz bölgeler nerede?
   • Telefon tabanlı MFA girişimlerinin başarısız olmasının nedenlerini inceleyin; bunlar normal mi yoksa beklenen mi?

2. Sahte kaydolmanın özelliklerini tanıma:

   • Konum tabanlı: Kullanıcıların kaydolmasını beklemediğiniz konumlarla ilişkili tüm hesapların IP Adresine göre Telefon Kimlik Doğrulama Hatalarını inceleyin.

   Dekont

   Sağlanan IP Adresi yaklaşık bir bölgedir.

   • Hız tabanlı: En yüksekten (soldan en düşüke) (sağ) sıralanmış, günde olağan dışı sayıda başarısız telefon kimlik doğrulaması girişiminde bulunan telefon numaralarını gösteren Başarısız Telefon Kimlik Doğrulamaları Fazla Mesaisi (Gün Başına) bölümüne bakın.

3. Bir sonraki bölümdeki adımları izleyerek sahte kaydolmaları azaltın.

Sahte kaydolmaları azaltma

Sahte kayıt işlemlerini azaltmaya yardımcı olmak için aşağıdaki eylemleri gerçekleştirin.

• Aşağıdakileri yapmak için kullanıcı akışlarının Önerilen sürümlerini kullanın:

  • MFA için tek seferlik e-posta geçiş kodu özelliğini (OTP) etkinleştirin (hem kaydolma hem de oturum açma akışları için geçerlidir).
  • Konuma göre oturum açmaları engellemek için koşullu erişim ilkesi yapılandırın (kaydolma akışları için değil, yalnızca oturum açma akışları için geçerlidir).
  • RECAPTCHA gibi bir bot önleyici çözümle tümleştirmek için API bağlayıcılarını kullanın (kaydolma akışları için geçerlidir).

• Kullanıcının telefon numarasını doğruladığı açılan menüden kuruluşunuzla ilgili olmayan ülke kodlarını kaldırın (bu değişiklik gelecekteki kayıtlarda geçerli olacaktır):

  1. Azure portalda Azure AD B2C kiracınızın genel yöneticisi olarak oturum açın.

  2. Birden çok kiracıya erişiminiz varsa, Dizinler + abonelikler menüsünden Azure AD B2C kiracınıza geçmek için üstteki menüden Ayarlar simgesini seçin.

  3. Azure portalın sol üst köşesinde Tüm hizmetler’i seçin ve Azure AD B2C’yi arayıp seçin.

  4. Kullanıcı akışını ve ardından Diller'i seçin. Dil ayrıntıları panelini açmak için kuruluşunuzun coğrafi konumunun dilini seçin. (Bu örnekte Birleşik Devletler için İngilizce en). Çok faktörlü kimlik doğrulama sayfasını ve ardından Varsayılanları indir (en) seçeneğini belirleyin.

     

  5. Önceki adımda indirilen JSON dosyasını açın. dosyasında öğesini arayın DEFAULTve satırını ile "Value": "{\"DEFAULT\":\"Country/Region\",\"US\":\"United States\"}"değiştirin. olarak ayarladığınızdan Overridestrueemin olun.

  Dekont

  öğesinde countryList izin verilen ülke kodlarının listesini özelleştirebilirsiniz (Telefon faktör kimlik doğrulaması sayfası örneğine bakın).

  1. JSON dosyasını kaydedin. Dil ayrıntıları panelindeki Yeni geçersiz kılmaları karşıya yükle'nin altında, değiştirilmiş JSON dosyasını seçerek karşıya yükleyin.

  2. Paneli kapatın ve Kullanıcı akışını çalıştır'ı seçin. Bu örnekte, açılan listede kullanılabilen tek ülke kodunun Birleşik Devletler olduğunu onaylayın:

     

Sonraki adımlar

• Azure AD B2C için Kimlik Koruması ve Koşullu Erişim hakkında bilgi edinin

• Azure Active Directory B2C'de kullanıcı akışlarına Koşullu Erişim uygulama