Protezione dell'autenticazione a più fattori basata sul telefono

Importante

A partire dal 1° maggio 2025, Azure AD B2C non sarà più disponibile per l'acquisto per i nuovi clienti. Altre informazioni sono disponibili nelle domande frequenti.

Con l'autenticazione a più fattori Di Microsoft Entra, gli utenti possono scegliere di ricevere una chiamata vocale automatica a un numero di telefono registrato per la verifica. Gli utenti malintenzionati potrebbero sfruttare questo metodo creando più account e effettuando chiamate telefoniche senza completare il processo di registrazione dell'autenticazione a più fattori. Questi numerosi accessi non riusciti potrebbero esaurire i tentativi di iscrizione consentiti, impedendo ad altri utenti di iscriversi per nuovi account nel tenant di Azure AD B2C. Per proteggersi da questi attacchi, è possibile usare Monitoraggio di Azure per monitorare gli errori di autenticazione tramite telefono e attenuare gli accessi fraudolenti.

Importante

L'app Authenticator (TOTP) offre una sicurezza più avanzata rispetto all'autenticazione a più fattori SMS/Phone. Per configurare questa impostazione, leggere le istruzioni per abilitare l'autenticazione a più fattori in Azure Active Directory B2C.

Prerequisiti

Prima di iniziare, creare un'area di lavoro Log Analytics.

Creare una cartella di lavoro degli eventi MFA basata su telefono

Il repository Report e avvisi di Azure AD B2C in GitHub contiene elementi che è possibile usare per creare e pubblicare report, avvisi e dashboard in base ai log di Azure AD B2C. La bozza di cartella di lavoro illustrata di seguito evidenzia gli errori relativi al telefono.

Scheda Panoramica

Le informazioni seguenti sono visualizzate nella scheda Panoramica :

• Motivi di errore (numero totale di autenticazioni telefoniche non riuscite per ogni motivo specificato)
• Bloccato a causa di una cattiva reputazione
• Indirizzo IP con autenticazioni telefoniche non riuscite (numero totale di autenticazioni telefoniche non riuscite per ogni indirizzo IP specificato)
• Numeri di telefono con indirizzo IP - Autenticazione telefono non riuscita
• Browser (errori di autenticazione telefonica per ciascun browser client)
• Sistema operativo (errori di autenticazione telefonica per sistema operativo client)

Scheda dei Dettagli

Nella scheda Dettagli sono riportate le informazioni seguenti:

• Criteri di Azure AD B2C - Autenticazioni telefoniche non riuscite
• Errori di autenticazione telefonica per numero di telefono - Grafico orario (sequenza temporale regolabile)
• Errori di autenticazione telefonica in base ai criteri di Azure AD B2C : grafico dell'ora (sequenza temporale regolabile)
• Errori di autenticazione telefonica in base all'indirizzo IP - Grafico dell'ora (sequenza temporale regolabile)
• Selezionare Numero di telefono per visualizzare i dettagli degli errori (selezionare un numero di telefono per un elenco dettagliato degli errori)

Usare la cartella di lavoro per identificare le registrazioni fraudolente

È possibile usare la cartella di lavoro per comprendere gli eventi MFA basati sul telefono e identificare l'uso potenzialmente dannoso del servizio di telefonia.

1. Comprendere cosa è normale per il tenant rispondendo a queste domande:

   • Dove si trovano le aree da cui si prevede l'autenticazione a più fattori basata sul telefono?
   • Esaminare i motivi mostrati per i tentativi di autenticazione a più fattori basati sul telefono non riusciti; sono considerati normali o previsti?

2. Riconoscere le caratteristiche dell'iscrizione fraudolenta:

   • Basato sulla posizione: esaminare gli errori di autenticazione telefono in base all'indirizzo IP per tutti gli account associati alle posizioni da cui non si prevede che gli utenti eseseguono l'iscrizione.

   Annotazioni

   L'indirizzo IP specificato è un'area approssimativa.

   • Basato sulla velocità: esaminare le autenticazioni telefoniche non riuscite (al giorno), che indica i numeri di telefono che effettuano un numero anomalo di tentativi di autenticazione telefonica non riusciti al giorno, ordinati dal più alto (a sinistra) al più basso (a destra).

3. Ridurre le registrazioni fraudolente seguendo la procedura descritta nella sezione successiva.

Mitigare le registrazioni fraudolente per il flusso utente

Eseguire le azioni seguenti per attenuare gli accessi fraudolenti.

• Usare le versioni consigliate dei flussi utente per eseguire le operazioni seguenti:

  • Abilitare la funzionalità di passcode monouso tramite posta elettronica (OTP) per MFA (si applica sia ai flussi di iscrizione che di accesso).
  • Configurare un criterio di accesso condizionale per bloccare gli accessi in base alla posizione (si applica solo ai flussi di accesso, non ai flussi di iscrizione).
  • Per evitare attacchi automatizzati sulle app rivolte agli utenti, abilitare CAPTCHA. CAPTCHA di Azure AD B2C supporta sia le sfide CAPTCHA audio che visive e si applica sia ai flussi di registrazione che di accesso per gli account locali.

• Rimuovere i codici paese che non sono rilevanti per l'organizzazione dal menu a discesa in cui l'utente verifica il proprio numero di telefono (questa modifica verrà applicata alle iscrizione future):

  1. Accedi al portale di Azure come Amministratore del flusso utente ID Esterno del tenant di Azure AD B2C.

  2. Se si dispone dell'accesso a più tenant, selezionare l'icona Impostazioni nel menu superiore per passare al tenant di Azure AD B2C dal menu Directory + sottoscrizioni.

  3. Scegliere Tutti i servizi nell'angolo in alto a sinistra del portale di Azure, cercare e selezionare Azure AD B2C.

  4. Selezionare il flusso utente e quindi selezionare Lingue. Selezionare la lingua per la posizione geografica principale dell'organizzazione per aprire il pannello dei dettagli della lingua. Per questo esempio, si selezionerà inglese en per gli Stati Uniti. Selezionare la pagina Autenticazione a più fattori e quindi selezionare Scarica impostazioni predefinite (en).

     

  5. Aprire il file JSON scaricato nel passaggio precedente. Nel file cercare DEFAULTe sostituire la riga con "Value": "{\"DEFAULT\":\"Country/Region\",\"US\":\"United States\"}". Assicurarsi di impostare Overrides su true.

Per implementare il blocco SMS in modo efficace, assicurarsi che l'impostazione Override sia abilitata (impostata su true) solo per la lingua primaria o predefinita dell'organizzazione. Non abilitare override per qualsiasi linguaggio secondario o non primario, perché ciò può causare un blocco SMS imprevisto. Poiché countryList nel file JSON funge da elenco di elementi consentiti, assicurarsi di includere in questo elenco tutti i paesi autorizzati a inviare SMS per la configurazione della lingua primaria quando Overrides è true.

Annotazioni

È possibile personalizzare l'elenco dei codici paese consentiti nell'elemento (vedere l'esempio countryList di pagina Autenticazione fattore telefono).

1. Salvare il file JSON. Nel pannello dei dettagli della lingua, in Carica nuove sostituzioni, selezionare il file JSON modificato per caricarlo.

2. Chiudere il pannello e selezionare Esegui flusso utente. Per questo esempio, verificare che Stati Uniti sia l'unico codice paese disponibile nell'elenco a discesa:

   

Ridurre le registrazioni fraudolente per la policy personalizzata

Per evitare l'iscrizione fraudolenta, rimuovere i codici paese che non si applicano all'organizzazione seguendo questa procedura:

1. Individuare il file di criteri che definisce l'oggetto RelyingParty. Ad esempio, nello Starter Pack, si tratta in genere del file SignUpOrSignin.xml.

2. BuildingBlocks Nella sezione di questo file di criteri aggiungere il codice seguente. Assicurarsi di includere solo i codici paese rilevanti per l'organizzazione:

    <BuildingBlocks>
   
      <ContentDefinitions>
        <ContentDefinition Id="api.phonefactor">
          <LoadUri>~/tenant/templates/AzureBlue/multifactor-1.0.0.cshtml</LoadUri>
          <DataUri>urn:com:microsoft:aad:b2c:elements:contract:multifactor:1.2.20</DataUri>
          <Metadata>
            <Item Key="TemplateId">azureBlue</Item>
          </Metadata>
          <LocalizedResourcesReferences MergeBehavior="Prepend">
            <!-- Add only primary business language here -->
            <LocalizedResourcesReference Language="en" LocalizedResourcesReferenceId="api.phonefactor.en" />        
          </LocalizedResourcesReferences>
        </ContentDefinition>
      </ContentDefinitions>
   
      <Localization Enabled="true">
        <SupportedLanguages DefaultLanguage="en" MergeBehavior="ReplaceAll">
          <!-- Add only primary business language here -->
          <SupportedLanguage>en</SupportedLanguage>
        </SupportedLanguages>
   
        <!-- Phone factor for primary business language -->
        <LocalizedResources Id="api.phonefactor.en">
          <LocalizedStrings>
           <LocalizedString ElementType="UxElement" StringId="countryList">{"DEFAULT":"Country/Region","JP":"Japan","BG":"Bulgaria","US":"United States"}</LocalizedString>
          </LocalizedStrings>
        </LocalizedResources>
      </Localization>
   
     </BuildingBlocks>
   

L'elenco CountryList funge da elenco di elementi consentiti. Solo i paesi specificati in questo elenco ,ad esempio Giappone, Bulgaria e Stati Uniti, sono autorizzati a usare l'autenticazione a più fattori. Tutti gli altri paesi sono bloccati.

Contenuti correlati

• Informazioni su Identity Protection e l'accesso condizionale per Azure AD B2C

• Applicare l'accesso condizionale ai flussi utente in Azure Active Directory B2C