다음을 통해 공유

전화 기반 다단계 인증 보안

  • 아티클

Microsoft Entra 다단계 인증을 사용하면 사용자는 확인을 위해 등록한 전화번호로 자동 음성 통화를 받도록 선택할 수 있습니다. 악의적인 사용자는 MFA 등록 프로세스를 완료하지 않고 여러 계정을 만들고 전화를 걸어 이 방법을 이용할 수 있습니다. 이러한 수많은 실패한 등록으로 인해 허용된 등록 시도가 모두 사용되어 다른 사용자가 Azure AD B2C 테넌트에서 새 계정에 등록하지 못할 수 있습니다. 이러한 공격으로부터 보호하기 위해 Azure Monitor를 사용하여 전화 인증 실패를 모니터링하고 사기성 등록을 완화할 수 있습니다.

Important

인증 앱(TOTP)은 SMS/전화 다단계 인증보다 더 강력한 보안을 제공합니다. 이를 설정하려면 Azure Active Directory B2C에서 다단계 인증 사용에 대한 지침을 참조하세요.

필수 조건

시작하기 전에 Log Analytics 작업 영역을 만듭니다.

전화 기반 MFA 이벤트 통합 문서 만들기

GitHub의 Azure AD B2C 보고서 및 경고 리포지토리에는 Azure AD B2C 로그를 기반으로 보고서, 경고 및 대시보드를 만들고 게시하는 데 사용할 수 있는 아티팩트가 포함되어 있습니다. 아래 그림의 초안 통합 문서는 전화 관련 오류를 강조 표시합니다.

개요 탭

개요 탭에는 다음 정보가 표시됩니다.

  • 실패 이유(각 원인에 대한 실패한 전화 인증의 총 수)
  • 평판이 좋지 않아 차단됨
  • 전화 인증에 실패한 IP 주소(주어진 각 IP 주소에 대해 실패한 전화 인증의 총 수)
  • IP 주소가 있는 전화번호 - 전화 인증 실패
  • 브라우저(클라이언트 브라우저별 전화 인증 실패)
  • 운영 체제(클라이언트 운영 체제별 전화 인증 실패)

Overview tab

Details 탭

세부 정보 탭에 보고되는 정보는 다음과 같습니다.

  • Azure AD B2C 정책 - 전화 인증 실패
  • 전화번호별 전화 인증 실패 타임 차트(타임라인 조정 가능)
  • Azure AD B2C 정책 시간 차트에 의한 전화 인증 실패(조정 가능한 타임라인)
  • IP 주소별 전화 인증 실패 타임 차트(타임라인 조정 가능)
  • 전화번호를 선택하여 오류 세부 정보 보기(자세한 오류 목록을 보려면 전화번호 선택)

Details tab 1 of 3

Details tab 2 of 3

Details tab 3 of 3

통합 문서를 사용하여 사기성 등록 식별

통합 문서를 사용하여 전화 기반 MFA 이벤트를 이해하고 전화 통신 서비스의 잠재적인 악의적인 사용을 식별할 수 있습니다.

  1. 다음 질문에 답하여 테넌트에게 정상적인 것이 무엇인지 이해합니다.

    • 전화 기반 MFA가 필요한 지역은 어디인가요?
    • 실패한 전화 기반 MFA 시도에 대해 표시된 이유를 조사합니다. 정상 또는 예상되는 것으로 간주되나요?

  2. 사기 등록의 특징을 파악합니다.

    • 위치 기반: 사용자가 등록할 것으로 예상되지 않는 위치와 연결된 계정에 대해 IP 주소별 전화 인증 실패를 조사합니다.

    참고 항목

    제공된 IP 주소는 대략적인 지역입니다.

    • 속도 기반: 실패한 전화 인증 초과 시간(일당)을 살펴봅니다. 이는 하루 전화 인증 실패 횟수가 비정상적으로 많은 전화번호를 가장 높은(왼쪽)에서 가장 낮은(오른쪽) 순서로 표시합니다.

  3. 다음 섹션의 단계에 따라 사기성 등록을 완화합니다.

사기성 등록 완화

사기성 등록을 완화하려면 다음 작업을 취합니다.

  • 사용자 흐름의 권장 버전을 사용하여 다음을 수행합니다.

  • 사용자가 전화번호를 확인하는 드롭다운 메뉴에서 조직과 관련이 없는 국가 코드를 제거합니다(이 변경 사항은 향후 등록에 적용됨).

    1. Azure AD B2C 테넌트의 전역 관리자로 Azure Portal에 로그인합니다.

    2. 여러 테넌트에 액세스할 수 있는 경우 상단 메뉴의 설정 아이콘을 선택하여 디렉터리 + 구독 메뉴에서 Azure AD B2C 테넌트로 전환합니다.

    3. Azure Portal의 왼쪽 상단 모서리에서 모든 서비스를 선택하고 Azure AD B2C를 검색하여 선택합니다.

    4. 사용자 흐름을 선택한 다음 언어를 선택합니다. 조직의 지리적 위치에 대한 언어를 선택하여 언어 세부 정보 패널을 엽니다. (이 예에서는 미국의 경우 English en을 선택합니다.) 다단계 인증 페이지를 선택한 다음 기본값 다운로드(en)를 선택합니다.

      Upload new overrides to download defaults

    5. 이전 단계에서 다운로드한 JSON 파일을 엽니다. 파일에서 DEFAULT을 검색하고 행을 "Value": "{\"DEFAULT\":\"Country/Region\",\"US\":\"United States\"}"로 바꿉니다. Overridestrue로 설정해야 합니다.

    참고 항목

    countryList 요소에서 허용되는 국가 코드 목록을 사용자 지정할 수 있습니다(전화 요소 인증 페이지 예 참조).

    1. JSON 파일을 저장합니다. 언어 세부 정보 패널의 새 재정의 업로드에서 수정된 JSON 파일을 선택하여 업로드합니다.

    2. 패널을 닫고 사용자 흐름 실행을 선택합니다. 이 예에서는 미국이 드롭다운에서 사용할 수 있는 유일한 국가 코드인지 확인합니다.

      Country code drop-down

다음 단계