次の方法で共有

電話ベースの多要素認証 のセキュリティ保護

  • [アーティクル]

Microsoft Entra 多要素認証 によって、ユーザーは検証用に登録した電話番号で自動音声通話を受信するように選択できます。 悪意のあるユーザーは、複数のアカウントを作成し、MFA 登録プロセスを実行することなく電話をかけることで、この方法を利用できます。 こうした大量の失敗したサインアップにより、許可されたサインアップ試行が使い果たされ、他のユーザーが Azure AD B2C テナントの新しいアカウントにサインアップすることが妨げられる可能性があります。 これらの攻撃から保護するために、Azure Monitor を使用して、電話認証の失敗を監視し、不正なサインアップを軽減できます。

重要

認証 アプリ (TOTP) は、SMS/Phone 多要素認証よりも強力なセキュリティを実現します。 これを設定するには、Azure Active Directory B2C で多要素認証を有効にするための手順を参照してください。

前提条件

始める前に、Log Analytics ワークスペースを作成します。

電話ベースの MFA イベント ブックを作成する

GitHub の Azure AD B2C レポートとアラートリポジトリには、Azure AD B2C ログに基づいてレポート、アラート、およびダッシュボードを作成して、公開するために使用できる成果物が格納されています。 次に示すドラフトのブックは、電話関連のエラーを強調表示しています。

[概要] タブ

[概要] タブには、次の情報が表示されます。

  • 失敗の理由 (特定の理由ごとの失敗した電話認証の合計数)
  • 評判が悪いためにブロックされた
  • 電話認証が失敗した IP アドレス (特定の IP アドレスごとの失敗した電話認証の合計数)
  • IP アドレス付きの電話番号 - 失敗した電話認証
  • ブラウザー (クライアント ブラウザーごとの電話認証の失敗)
  • オペレーティング システム (クライアント オペレーティング システムごとの電話認証の失敗)

Overview tab

[詳細] タブ

[詳細] タブでは、次の情報が報告されます。

  • Azure AD B2C ポリシー - 失敗した電話認証
  • 電話番号別の電話認証の失敗 - 時間グラフ (調整可能タイムライン)
  • Azure AD B2C ポリシー別の電話認証の失敗 - 時間グラフ (調整可能タイムライン)
  • IP アドレス別の電話認証の失敗 - 時間グラフ (調整可能タイムライン)
  • 失敗の詳細を表示する電話番号の選択 (失敗の詳細な一覧については、電話番号を選択)

Details tab 1 of 3

Details tab 2 of 3

Details tab 3 of 3

ブックを使用して不正なサインアップを特定する

ブックを使用して、電話ベースの MFA イベントを確認し、テレフォニー サービスの悪意のある可能性がある使用を特定できます。

  1. 次の質問に答えることで、テナントの通常の状態を確認します。

    • 電話ベースの MFA が予想されるリージョンはどこですか。
    • 失敗した電話ベースの MFA 試行について表示された理由を調べます。これらは通常または予想されたものですか。

  2. 不正なサインアップの特性を認識します。

    • 場所ベース:ユーザーのサインアップを予期していない場所に関連付けられているアカウントについて、IP アドレス別の電話認証の失敗を調べます。

    注意

    提供される IP アドレスは、おおよそのリージョンです。

    • ベロシティベース:長時間の失敗した電話認証 (1 日あたり) を確認します。これは、1 日あたりの失敗した電話認証試行が異常な回数になっている電話番号を最高 (左) から最低 (右) の順序で示しています。

  3. 次のセクションの手順に従って、不正なサインアップを軽減します。

不正なサインアップを軽減する

次のアクションを実行して、不正なサインアップの軽減に役立てます。

  • ユーザー フローの推奨されるバージョンを使用して、次の操作を実行します。

  • ユーザーが電話番号を検証するドロップダウン メニューから、組織に関係のない国番号を削除します (この変更は今後のサインアップに適用されます)。

    1. Azure AD B2C テナントの全体管理者として Azure Portal にサインインします。

    2. 複数のテナントにアクセスできる場合、上部のメニューの [設定] アイコンを選択し、[ディレクトリとサブスクリプション] メニューからお使いの Azure AD B2C テナントに切り替えます。

    3. Azure Portal の左上隅の [すべてのサービス] を選択し、 [Azure AD B2C] を検索して選択します。

    4. ユーザー フローを選択し、 [言語] を選択します。 組織の地理的な場所の言語を選択して、言語の詳細パネルを開きます。 (この例では、米国の場合の [英語 en] を選択します)。 [多要素認証] ページを選択し、 [既定値のダウンロード (en)] を選択します。

      Upload new overrides to download defaults

    5. 前の手順でダウンロードした JSON ファイルを開きます。 ファイルで DEFAULT を検索し、行を "Value": "{\"DEFAULT\":\"Country/Region\",\"US\":\"United States\"}" に置き換えます。 Overridestrue に設定してください。

    注意

    countryList 要素で許可されている国番号の一覧をカスタマイズできます (「電話ファクター認証ページの例」を参照してください)。

    1. JSON ファイルを保存します。 言語の詳細パネルの、 [新しいオーバーライドのアップロード] で、変更済みの JSON ファイルを選択してアップロードします。

    2. パネルを閉じ、 [ユーザー フローを実行します] を選択します。 この例では、 [米国] が、ドロップダウンで使用できる唯一の国番号であることを確認します。

      Country code drop-down

次のステップ