Skydda telefonbaserad multifaktorautentisering

Med Microsoft Entra multifaktorautentisering kan användarna välja att ta emot ett automatiserat röstsamtal på ett telefonnummer som de registrerar för verifiering. Skadliga användare kan dra nytta av den här metoden genom att skapa flera konton och ringa telefonsamtal utan att slutföra MFA-registreringsprocessen. Dessa många misslyckade registreringar kan uttömma de tillåtna registreringsförsöken, vilket hindrar andra användare från att registrera sig för nya konton i din Azure AD B2C-klientorganisation. För att skydda dig mot dessa attacker kan du använda Azure Monitor för att övervaka telefonautentiseringsfel och minimera bedrägliga registreringar.

Förutsättningar

Innan du börjar skapar du en Log Analytics-arbetsyta.

Skapa en telefonbaserad MFA-händelsearbetsbok

Azure AD B2C Reports & Alerts-arkivet i GitHub innehåller artefakter som du kan använda för att skapa och publicera rapporter, aviseringar och instrumentpaneler baserat på Azure AD B2C-loggar. Utkastet till arbetsbok som visas nedan belyser telefonrelaterade fel.

Fliken Översikt

Följande information visas på fliken Översikt :

• Fel orsaker (det totala antalet misslyckade telefonautentiseringar för varje specificerad orsak)
• Blockerad på grund av dåligt rykte
• IP-adress med misslyckade telefonautentiseringar (det totala antalet misslyckade telefonautentiseringar för varje angiven IP-adress)
• Telefonnummer med IP-adress – Misslyckade telefonautentiseringar
• Webbläsare (telefonautentiseringsfel per klientwebbläsare)
• Operativsystem (telefonautentiseringsfel per klientoperativsystem)

Fliken Detaljer

Följande information rapporteras på fliken Information :

• Azure AD B2C-princip – Misslyckade telefonautentiseringar
• Telefonautentiseringsfel efter telefonnummer – tidsschema (justerbar tidslinje)
• Telefonautentiseringsfel enligt Azure AD B2C-policy: Tiddiagram (justerbar tidslinje)
• Telefonautentiseringsfel efter IP-adress – tidsschema (justerbar tidslinje)
• Välj Telefonnummer för att visa information om fel (välj ett telefonnummer för en detaljerad lista över fel)

Använda arbetsboken för att identifiera bedrägliga registreringar

Du kan använda arbetsboken för att förstå telefonbaserade MFA-händelser och identifiera potentiellt skadlig användning av telefonitjänsten.

1. Förstå vad som är normalt för din hyresgäst genom att svara på följande frågor:

   • Var finns de regioner som du förväntar dig telefonbaserad MFA från?
   • Granska de orsaker som visas för misslyckade telefonbaserade MFA-försök. anses de vara normala eller förväntade?

2. Identifiera egenskaperna för bedräglig registrering:

   • Platsbaserad: Undersök telefonautentiseringsfel efter IP-adress för konton som är associerade med platser som du inte förväntar dig att användarna ska registrera sig från.

   Anmärkning

   Den angivna IP-adressen är en ungefärlig region.

   • Hastighetsbaserad: Titta på Misslyckad telefonautentisering övertid (per dag) som anger telefonnummer som gör ett onormalt antal misslyckade telefonautentiseringsförsök per dag, ordnade från högsta (vänster) till lägsta (höger).

3. Minimera bedrägliga registreringar genom att följa stegen i nästa avsnitt.

Minimera bedrägliga registreringar för användarflöde

Vidta följande åtgärder för att minimera bedrägliga registreringar.

• Använd de rekommenderade versionerna av användarflöden för att göra följande:

  • Aktivera funktionen för engångslösenord för e-post (OTP) för MFA (gäller för både registrerings- och inloggningsflöden).
  • Konfigurera en princip för villkorlig åtkomst för att blockera inloggningar baserat på plats (gäller endast inloggningsflöden, inte registreringsflöden).
  • Om du vill förhindra automatiserade attacker på dina konsumentinriktade appar aktiverar du CAPTCHA. Azure AD B2C:s CAPTCHA stöder både ljud- och visuella CAPTCHA-utmaningar och gäller både registrerings- och inloggningsflöden för dina lokala konton.

• Ta bort landskoder som inte är relevanta för din organisation från den nedrullningsbara menyn där användaren verifierar sitt telefonnummer (den här ändringen gäller för framtida registreringar):

  1. Logga in på Azure-portalen som administratör för externt ID-användarflöde för din Azure AD B2C-klient.

  2. Om du har åtkomst till flera klientorganisationer väljer du ikonen Inställningar på den översta menyn för att växla till din Azure AD B2C-klientorganisation från menyn Kataloger + prenumerationer.

  3. Välj Alla tjänster i det övre vänstra hörnet i Azure-portalen, sök efter och välj Azure AD B2C.

  4. Välj användarflödet och välj sedan Språk. Välj språket för organisationens primära geografiska plats för att öppna panelen med språkinformation. (I det här exemplet väljer vi Engelska en för USA). Välj sidan Multifaktorautentisering och välj sedan Ladda ned standardvärden (en).

     

  5. Öppna JSON-filen som laddades ned i föregående steg. I filen söker du efter DEFAULT och ersätter raden med "Value": "{\"DEFAULT\":\"Country/Region\",\"US\":\"United States\"}". Var noga med att ange Overrides till true.

Om du vill implementera SMS-blockering effektivt kontrollerar du att inställningen Åsidosättningar är aktiverad (inställd på true) endast för organisationens primära språk eller standardspråk. Aktivera inte åsidosättningar för sekundära eller icke-primära språk, eftersom detta kan orsaka oväntad SMS-blockering. Eftersom countryList i JSON-filen fungerar som en tillåtna lista bör du inkludera alla länder som ska få skicka SMS i den här listan för den primära språkkonfigurationen när Overrides är sant.

1. Spara JSON-filen. I panelen språkinformation går du till Ladda upp nya åsidosättningar och väljer den ändrade JSON-filen för att ladda upp den.

2. Stäng panelen och välj Kör användarflöde. I det här exemplet bekräftar du att USA är den enda landskoden som är tillgänglig i listrutan:

   

Minimera bedrägliga registreringar för anpassad policy

För att förhindra bedrägliga registreringar tar du bort landskoder som inte gäller för din organisation genom att följa dessa steg:

1. Leta upp principfilen som definierar RelyingParty. I startpaketet är det till exempel vanligtvis den SignUpOrSignin.xml filen.

2. I avsnittet i BuildingBlocks den här principfilen lägger du till följande kod. Se till att endast inkludera de landskoder som är relevanta för din organisation:

    <BuildingBlocks>
   
      <ContentDefinitions>
        <ContentDefinition Id="api.phonefactor">
          <LoadUri>~/tenant/templates/AzureBlue/multifactor-1.0.0.cshtml</LoadUri>
          <DataUri>urn:com:microsoft:aad:b2c:elements:contract:multifactor:1.2.20</DataUri>
          <Metadata>
            <Item Key="TemplateId">azureBlue</Item>
          </Metadata>
          <LocalizedResourcesReferences MergeBehavior="Prepend">
            <!-- Add only primary business language here -->
            <LocalizedResourcesReference Language="en" LocalizedResourcesReferenceId="api.phonefactor.en" />        
          </LocalizedResourcesReferences>
        </ContentDefinition>
      </ContentDefinitions>
   
      <Localization Enabled="true">
        <SupportedLanguages DefaultLanguage="en" MergeBehavior="ReplaceAll">
          <!-- Add only primary business language here -->
          <SupportedLanguage>en</SupportedLanguage>
        </SupportedLanguages>
   
        <!-- Phone factor for primary business language -->
        <LocalizedResources Id="api.phonefactor.en">
          <LocalizedStrings>
           <LocalizedString ElementType="UxElement" StringId="countryList">{"DEFAULT":"Country/Region","JP":"Japan","BG":"Bulgaria","US":"United States"}</LocalizedString>
          </LocalizedStrings>
        </LocalizedResources>
      </Localization>
   
     </BuildingBlocks>
   

CountryList fungerar som en lista över tillåtna. Endast de länder som du anger i den här listan (till exempel Japan, Bulgarien och USA) får använda MFA. Alla andra länder är blockerade.

Relaterat innehåll

• Lär dig mer om identitetsskydd och villkorsstyrd åtkomst för Azure AD B2C

• Tillämpa villkorlig åtkomst på användarflöden i Azure Active Directory B2C