Telefon tabanlı çok faktörlü kimlik doğrulamasının (MFA) güvenliğini sağlama

Not

Bu özellik genel önizleme aşamasındadır.

Azure Active Directory (Azure AD) Multi-Factor Authentication (MFA) ile kullanıcılar doğrulama için kaydolacakları telefon numarasında otomatik sesli arama alma seçeneğine sahip olabilir. Kötü amaçlı kullanıcılar, MFA kayıt işlemini tamamlamadan birden çok hesap oluşturarak ve telefon çağrıları yerleştirerek bu yöntemden faydalanabilirsiniz. Bu çok sayıda başarısız kayıt işlemi, izin verilen kaydolma girişimlerini tüketerek diğer kullanıcıların kiracınız için yeni hesaplara Azure AD B2C önlenebilir. Bu saldırılara karşı korunmaya yardımcı olmak için telefon Azure İzleyici hatalarını izlemek ve sahte kayıtları azaltmak için Azure İzleyici'i kullanabilirsiniz.

Önkoşullar

Başlamadan önce bir Log Analytics çalışma alanı oluşturun.

Telefon tabanlı MFA olayları çalışma kitabı oluşturma

Azure AD B2C & Uyarılar deposu, GitHub günlüklerini temel alan raporlar, uyarılar ve panolar oluşturmak ve yayımlamak için kullanabileceğiniz Azure AD B2C içerir. Aşağıda resimde yer alan taslak çalışma kitabında telefonla ilgili hatalar vurgulanmıştır.

Genel Bakış sekmesi

Genel Bakış sekmesinde aşağıdaki bilgiler gösterilir:

  • Hata Nedenleri (verilen her neden için başarısız olan telefon kimlik doğrulamalarının toplam sayısı)
  • Kötü Saygınlığı Nedeniyle Engellendi
  • Başarısız Kimlik Doğrulamaları Telefon IP Adresi (verilen her IP adresi için başarısız telefon kimlik doğrulamalarının toplam sayısı)
  • Telefon IP adresi olan sayılar - Başarısız Telefon Kimlik Doğrulamaları
  • Tarayıcı (istemci tarayıcısı başına telefon kimlik doğrulaması hataları)
  • İşletim Sistemi (istemci işletim sistemi başına telefon kimlik doğrulaması hataları)

Genel Bakış sekmesi

Ayrıntılar sekmesi

Ayrıntılar sekmesinde aşağıdaki bilgiler raporlanır:

  • Azure AD B2C İlkesi - Başarısız Telefon Kimlik Doğrulamaları
  • Telefon Telefon Sayısına göre Kimlik Doğrulama Hataları – Zaman Grafiği (ayarlanabilir zaman çizelgesi)
  • Telefon Azure AD B2C İlkesine göre Kimlik Doğrulama Hataları – Zaman Grafiği (ayarlanabilir zaman çizelgesi)
  • Telefon IP Adresine Göre Kimlik Doğrulama Hataları – Zaman Grafiği (ayarlanabilir zaman çizelgesi)
  • Hata Telefon Görüntülemek için Bir Numara seçin (ayrıntılı hata listesi için bir telefon numarası seçin)

Ayrıntılar sekmesi 1/3

Ayrıntılar sekmesi 2/3

Ayrıntılar sekmesi 3/3

Sahte kaydolmaları belirlemek için çalışma kitabını kullanma

Telefon tabanlı MFA olaylarını anlamak ve telefon hizmetinin kötü amaçlı olabilecek kullanımını belirlemek için çalışma kitabını kullanabilirsiniz.

  1. Şu soruları yanıtlayarak kiracınız için normal olan şeyi anlayarak:

    • Telefon tabanlı MFA beklediğiniz bölgeler nerede?
    • Başarısız telefon tabanlı MFA denemelerinin nedenlerini inceleme; bunlar normal mi yoksa beklenen mi?
  2. Sahte kaydolmanın özelliklerini tanıma:

    • Konum tabanlı: Telefon konumlarla ilişkili tüm hesaplar için IP Adresine göre Kimlik Doğrulama Hatalarını incele.

    Not

    Sağlanan IP Adresi yaklaşık bir bölgedir.

    • Hız tabanlı: Günde olağan dışı sayıda başarısız telefon kimlik doğrulaması denemesi yapan telefon numaralarının en yüksek (sol) ile en düşük (sağ) arasında sıralandırılıyor olduğunu gösteren Başarısız Telefon Kimlik Doğrulamaları Fazla (Günlük) 'e bakın.
  3. Sonraki bölümde yer alan adımları takip edin ve sahte kaydolmaları hafifletin.

Sahte kaydolmaları hafifletin

Sahte kaydolmaları azaltmak için aşağıdaki eylemleri gerçekleştirin.

  • Şunları yapmak için Kullanıcı akışlarının Önerilen sürümlerini kullanın:

    • MFA için e-posta bir kez geçiş kodu özelliğini (OTP) etkinleştirin (hem kaydolma hem de oturum açma akışları için geçerlidir).
    • Konuma göre oturum açmaları engellemek için bir Koşullu Erişim ilkesi yapılandırma (kaydolma akışları için değil yalnızca oturum açma akışları için geçerlidir).
    • RECAPTCHA (kayıt akışları için geçerlidir) gibi bir bot önleme çözümüyle tümleşmek için API bağlayıcılarını kullanın.
  • Kullanıcının telefon numarasını doğrulaya açılan menüden, kuruluşla ilgili olmayan ülke kodlarını kaldırın (bu değişiklik gelecekteki kayıtlarda geçerli olacaktır):

    1. Azure portalda Azure AD B2C kiracınızın genel yöneticisi olarak oturum açın.

    2. Kiracınız için kiracınızı içeren dizini Azure AD B2C olun. Portal araç çubuğunda Dizinler + abonelikler simgesini seçin.

    3. Portal ayarları sayfasında | Dizinler + abonelikler sayfasında, dizin Azure AD B2C dizinlerinizi dizin adı listesinde bulup Değiştir'i seçin.

    4. Azure portalın sol üst köşesinde Tüm hizmetler’i seçin ve Azure AD B2C’yi arayıp seçin.

    5. Kullanıcı akışını ve ardından Diller'i seçin. Dil ayrıntıları panelini açmak için, kuruluşun coğrafi konumunun dilini seçin. (Bu örnekte, İngilizce en'yi seçerek Birleşik Devletler). Çok faktörlü kimlik doğrulaması sayfası'nın ardından Varsayılanları indir (en) seçeneğini seçin.

      Upload indirmek için yeni geçersiz kılmalar yükleme

    6. Önceki adımda indirilen JSON dosyasını açın. dosyasında için arama ve DEFAULT satırı ile "Value": "{\"DEFAULT\":\"Country/Region\",\"US\":\"United States\"}" değiştirin. olarak ayarlanmış olduğundan Overrides emin true olun.

    Not

    öğesinde izin verilen ülke kodlarının listesini countryList özelleştirebilirsiniz (Telefon faktör kimlik doğrulaması sayfa örneğine bakın).

    1. JSON dosyasını kaydedin. Dil ayrıntıları panelinde, yeni geçersiz Upload altında, değiştirilen JSON dosyasını seçerek karşıya yükleyin.

    2. Paneli kapatın ve Kullanıcı akışını çalıştır'ı seçin. Bu örnekte, açılan Birleşik Devletler ülke kodunun yalnızca ülke kodu olduğunu onaylayın:

      Ülke kodu açılan listesinde

Sonraki adımlar