保護電話型多重要素驗證
透過 Microsoft Entra 多重要素驗證,使用者可以選擇在註冊進行驗證的電話號碼上接收自動語音通話。 惡意使用者可以藉由建立多個帳戶並撥打電話而不完成 MFA 註冊程式,來利用此方法。 這些失敗的註冊可能會耗盡允許的註冊嘗試,以防止其他使用者在您的 Azure AD B2C 租用戶中註冊新帳戶。 為了協助防範這些攻擊,您可以使用 Azure 監視器來監視電話驗證失敗,並降低詐騙註冊的風險。
重要
驗證器應用程式 (TOTP) 提供比 SMS/電話 多重要素驗證更強的安全性。 若要設定此設定,請閱讀我們在 Azure Active Directory B2C 中啟用多重要素驗證的指示。
必要條件
開始之前,請先建立 Log Analytics工作區。
建立電話式 MFA 事件活頁簿
GitHub 中的 Azure AD B2C 報告&警示存放庫包含可用來根據 Azure AD B2C 記錄建立和發佈報告、警示和儀錶板的成品。 下圖的草稿活頁簿會反白顯示手機相關失敗。
概觀索引標籤
下列資訊會顯示在 [ 概觀 ] 索引標籤上:
- 失敗原因(每個給定原因的電話驗證失敗總數)
- 因信譽不良而遭到封鎖
- 具有失敗 電話 驗證的 IP 位址(每個指定 IP 位址的電話驗證失敗總數)
- 具有IP位址的 電話號碼 - 驗證失敗 電話
- 瀏覽器(每個用戶端瀏覽器的電話驗證失敗)
- 作業系統(每個用戶端作業系統的電話驗證失敗)
詳細資料索引標籤
下列資訊會在 [ 詳細 數據] 索引標籤上回報:
- Azure AD B2C 原則 - 驗證失敗 電話
- 依 電話 數字 電話 驗證失敗 - 時間圖表(可調整的時間軸)
- 電話 Azure AD B2C 原則的驗證失敗 – 時程圖表 (可調整的時間軸)
- 依 IP 位址 電話 驗證失敗 – 時間圖表 (可調整的時間軸)
- 選取 [電話 號碼] 以檢視失敗詳細資料(選取電話號碼以取得詳細的失敗清單)
使用活頁簿來識別詐騙註冊
您可以使用活頁簿來了解電話型 MFA 事件,並識別電話語音服務的潛在惡意用法。
藉由回答下列問題,瞭解租使用者的正常狀況:
- 您預期手機型 MFA 的區域位於何處?
- 檢查失敗的電話式 MFA 嘗試原因;它們是否被視為正常或預期?
辨識詐騙註冊的特性:
- 位置型:檢查與使用者不預期用戶註冊位置相關聯的任何帳戶,依IP位址 電話 驗證失敗。
注意
提供的IP位址是大約的區域。
- 速度型:查看失敗的 電話 驗證加班時間(每天),這表示每天進行異常失敗電話驗證嘗試的電話號碼,從最高(左)排序到最低(右)。
遵循下一節中的步驟,減輕詐騙註冊的風險。
降低詐騙註冊的風險
採取下列動作來協助減輕詐騙註冊。
使用建議的使用者流程版本來執行下列動作:
- 啟用 MFA 的電子郵件一次性密碼功能 (OTP) (適用於註冊和登入流程)。
- 設定條件式存取原則 ,以根據位置封鎖登入(僅適用於登入流程,而非註冊流程)。
- 使用 API 連接器與 反 Bot 解決方案整合,例如 reCAPTCHA (適用於註冊流程)。
從使用者驗證電話號碼的下拉功能表中移除與貴組織無關的國家/地區代碼(這項變更適用於未來的註冊):
以 Azure AD B2C 租使用者的全域管理員身分登入 Azure 入口網站。
如果您有多個租使用者的存取權,請選取頂端功能表中的 [設定] 圖示,從 [目錄 + 訂用帳戶] 功能表切換至您的 Azure AD B2C 租使用者。
選擇 Azure 入口網站 左上角的 [所有服務],搜尋並選取 [Azure AD B2C]。
選取使用者流程,然後選取 [ 語言]。 選取您組織地理位置的語言,以開啟語言詳細數據面板。 (在此範例中,我們將選取美國 的英文 en)。 選取 [多重要素驗證] 頁面,然後選取 [ 下載預設值] (en)。
開啟在上一個步驟中下載的 JSON 檔案。 在檔案中,搜尋
DEFAULT,並將行取代為"Value": "{\"DEFAULT\":\"Country/Region\",\"US\":\"United States\"}"。 請務必將 設定Overrides為true。
注意
您可以在 元素中
countryList自定義允許的國家/地區代碼清單(請參閱 電話 要素驗證頁面範例)。儲存 JSON 檔案。 在語言詳細數據面板中,於 [上傳新的覆寫] 底下,選取修改過的 JSON 檔案以上傳它。
關閉面板,然後選取 [ 執行使用者流程]。 在此範例中,確認 美國 是下拉式清單中唯一可用的國家/地區代碼:
