Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Den här artikeln innehåller metodtips för att skydda din Azure Active Directory B2C-lösning (Azure AD B2C). För att skapa din identitetslösning med Hjälp av Azure AD B2C ingår många komponenter som du bör överväga att skydda och övervaka.
Beroende på din lösning har du en eller flera av följande komponenter i omfånget:
- Azure AD B2C-autentiseringsslutpunkter
-
Azure AD B2C-användarflöden eller anpassade principer
- Logga in
- Registrera sig
- E-post engångslösenord (OTP)
- Multifaktorautentiseringskontroller
- Externa REST-API:er
Du måste skydda och övervaka alla dessa komponenter för att säkerställa att användarna kan logga in på program utan avbrott. Följ riktlinjerna i den här artikeln för att skydda din lösning mot robotattacker, bedrägligt kontoskapande, isrf (international revenue share fraud) och lösenordsspray.
Så här skyddar du din lösning
Din identitetslösning använder flera komponenter för att ge en smidig inloggning. I följande tabell visas skyddsmekanismer som vi rekommenderar för varje komponent.
| Komponent | Slutpunkt | Varför | Så här skyddar du |
|---|---|---|---|
| Azure AD B2C-autentiseringsslutpunkter |
/authorize, /token, , /.well-known/openid-configuration/discovery/v2.0/keys |
Förhindra resursöverbelastning | Brandvägg för webbprogram (WAF) och Azure Front Door (AFD) |
| Logga in | NA | Skadliga inloggningar kan försöka bruteforce-attacker mot konton eller använda läckta autentiseringsuppgifter. | Identitetsskydd |
| Registrera dig | NA | Bedrägliga registreringar som kan försöka uttömma resurser. |
Slutpunktsskydd Tekniker för bedrägeriskydd, till exempel Dynamics Fraud Protection |
| E-postadress för OTP | NA | Bedrägliga försök att råstyra eller avga resurser | Endpoint Protection och Authenticator App |
| Multifaktorautentiseringskontroller | NA | Oönskade telefonsamtal eller SMS eller resursöverbelastning. | Endpoint Protection och Authenticator App |
| Externa REST-API:er | Dina REST API-slutpunkter | Skadlig användning av användarflöden eller anpassade principer kan leda till resursöverbelastning vid DINA API-slutpunkter. | WAF och AFD |
Skyddsmekanismer
Följande tabell innehåller en översikt över de olika skyddsmekanismer som du kan använda för att skydda olika komponenter.
| Vad | Varför | Hur |
|---|---|---|
| Brandvägg för webbaserade program (WAF) | WAF fungerar som det första skyddsskiktet mot skadliga begäranden som görs till Azure AD B2C-slutpunkter. Det ger ett centraliserat skydd mot vanliga sårbarheter som DDoS, robotar, OWASP Top 10 och så vidare. Vi rekommenderar att du använder WAF för att säkerställa att skadliga begäranden stoppas redan innan de når Azure AD B2C-slutpunkter.
Om du vill aktivera WAF måste du först aktivera anpassade domäner i Azure AD B2C med AFD. |
|
| Azure Front Door (AFD) | AFD är en global, skalbar startpunkt som använder Microsofts globala gränsnätverk för att skapa snabba, säkra och mycket skalbara webbprogram. De viktigaste funktionerna i AFD är:
|
|
| Identitetsverifiering och bevis/bedrägeriskydd | Identitetsverifiering och bevis är viktiga för att skapa en betrodd användarupplevelse och skydda mot kontoövertagande och skapande av bedrägliga konton. Det bidrar också till klientorganisationens hygien genom att se till att användarobjekt återspeglar de faktiska användarna, som överensstämmer med affärsscenarier.
Azure AD B2C möjliggör integrering av identitetsverifiering och bevis samt bedrägeriskydd från olika programvaruleverantörspartner. |
|
| Identitetsskydd | Identity Protection ger kontinuerlig riskidentifiering. När en risk identifieras under inloggningen kan du konfigurera en villkorsprincip för Azure AD B2C så att användaren kan åtgärda risken innan du fortsätter med inloggningen. Administratörer kan också använda identitetsskyddsrapporter för att granska riskfyllda användare som är i riskzonen och granska identifieringsinformation. Riskidentifieringsrapporten innehåller information om varje riskidentifiering, till exempel dess typ och platsen för inloggningsförsöket med mera. Administratörer kan också bekräfta eller neka att användaren har komprometterats. | |
| Villkorlig åtkomst (CA) | När en användare försöker logga in samlar CA in olika signaler, till exempel risker från identitetsskydd, för att fatta beslut och tillämpa organisationsprinciper. Ca kan hjälpa administratörer att utveckla principer som överensstämmer med organisationens säkerhetsstatus. Principerna kan omfatta möjligheten att helt blockera användaråtkomst eller ge åtkomst när användaren har slutfört en annan autentisering som MFA. | |
| Multifaktorautentisering | MFA lägger till ett andra säkerhetslager i registreringsprocessen och är en viktig komponent för att förbättra säkerhetsstatusen för användarautentisering i Azure AD B2C. Authenticator-appen – TOTP är den rekommenderade MFA-metoden i Azure AD B2C. | |
| Säkerhetsinformation och händelsehantering (SIEM)/Säkerhetsorkestrering, automatisering och svar (SOAR) | Du behöver ett tillförlitligt övervaknings- och aviseringssystem för att analysera användningsmönster, till exempel inloggningar och registreringar, och identifiera avvikande beteende som kan tyda på en cyberattack. Det är ett viktigt steg som lägger till ett extra säkerhetslager. Du kan också förstå mönster och trender som bara kan fångas in och byggas vidare över tid. Aviseringar hjälper till att fastställa faktorer som förändringstakten i de totala inloggningarna, en ökning av misslyckade inloggningar och misslyckade registreringsresor, telefonbaserade bedrägerier som IRSF-attacker och så vidare. Allt detta kan vara indikatorer på en pågående cyberattack som kräver omedelbar uppmärksamhet. Azure AD B2C stöder både hög och detaljerad loggning, samt generering av rapporter och aviseringar. Vi rekommenderar att du implementerar övervakning och aviseringar i alla produktionsklientorganisationer. |
Skydda dina REST-API:er
Med Azure AD B2C kan du ansluta till externa system med hjälp av API Connectors eller den tekniska REST API-profilen. Du måste skydda dessa gränssnitt. Du kan förhindra skadliga begäranden till dina REST-API:er genom att skydda Azure AD B2C-autentiseringsslutpunkterna. Du kan skydda dessa slutpunkter med en WAF och AFD.
Scenario 1: Så här skyddar du din inloggningsupplevelse
När du har skapat en inloggningsupplevelse eller ett användarflöde måste du skydda specifika komponenter i flödet mot skadlig aktivitet. Om ditt inloggningsflöde till exempel omfattar följande visar tabellen de komponenter som du behöver skydda och tillhörande skyddsteknik:
- E-post- och lösenordsautentisering för lokalt konto
- Microsoft Entra multifaktorautentisering med SMS eller telefonsamtal
| Komponent | Slutpunkt | Så här skyddar du |
|---|---|---|
| Azure AD B2C-autentiseringsslutpunkter |
/authorize, /token, , /.well-known/openid-configuration/discovery/v2.0/keys |
WAP och AFD |
| Logga in | NA | Identitetsskydd |
| Multifaktorautentiseringskontroller | NA | Autentiseringsapp |
| Extern REST-API | API-slutpunkten. | Authenticator-app, WAF och AFD |
Scenario 2: Så här skyddar du din registreringsupplevelse
När du har skapat en registreringsupplevelse eller ett användarflöde måste du skydda specifika komponenter i flödet från skadlig aktivitet. Om inloggningsflödet omfattar följande visar tabellen de komponenter som du behöver skydda och tillhörande skyddsteknik:
- E-post och lösenordsregistrering för lokalt konto
- E-postverifiering med engångslösenord via e-post.
- Microsoft Entra multifaktorautentisering med SMS eller telefonsamtal
| Komponent | Slutpunkt | Så här skyddar du |
|---|---|---|
| Azure AD B2C-autentiseringsslutpunkter |
/authorize, /token, , /.well-known/openid-configuration/discovery/v2.0/keys |
WAF och AFD |
| Registrera sig | NA | Dynamics Bedrägeriskydd |
| E-postadress för OTP | NA | WAF och AFD |
| Multifaktorautentiseringskontroller | NA | Autentiseringsapp |
I det här scenariot skyddar användningen av WAF- och AFD-skyddsmekanismerna både Azure AD B2C-autentiseringsslutpunkterna och OTP-komponenterna för e-post.
Nästa steg
- Konfigurera en brandvägg för webbprogram för att skydda Azure AD B2C-autentiseringsslutpunkter.
- Konfigurera bedrägeriskydd med Dynamics för att skydda dina autentiseringsupplevelser.
- Undersök risker med Identity Protection i Azure AD B2C för att identifiera, undersöka och åtgärda identitetsbaserade risker.
- Skydda telefonbaserad multifaktorautentisering för att skydda din telefonbaserade multifaktorautentisering.
- Konfigurera Identity Protection för att skydda inloggningen.
- Konfigurera övervakning och aviseringar så att de aviseras om eventuella hot.