在 Azure AD 中配置 MFA 欺诈警报 - 安全紧急警报

在快节奏的数字世界中，即使是最小的登录风险也会迅速升级为主要的网络安全威胁。令人震惊的是，Barracuda Networks 最近的一份报告发现，仅 2021 年就有五分之一的组织遭遇过帐户泄露！

值得庆幸的是，微软引入了多重身份验证来保护用户帐户免受登录风险，并提供额外的保护层以防止潜在的违规行为。因此，管理员开始在其 Office 365 环境中配置多重身份验证以防御攻击。

尽管它在一定程度上保护组织免受登录风险，但网络犯罪分子总是想方设法匿名绕过它们。因此，为了阻止黑客通过用户帐户入侵组织，微软引入了多因素身份验证欺诈警报的概念。 MFA 欺诈警报是一项功能，用于在用户的帐户中遇到不熟悉的 MFA 请求时向管理员发出警报。因此，事不宜迟，让我们深入探讨 MFA 欺诈警报的概念及其配置。

什么是多重身份验证欺诈警报？

MFA 欺诈警报用于在用户不关心的情况下发起多重身份验证请求时向管理员发出警报。在 MFA 中欺诈警报，用户通过报告其帐户中发生的欺诈活动来通知管理员。

用户可以在身份验证器应用程序中拒绝 MFA 请求时或通过在自动电话系统中输入欺诈代码来报告欺诈活动。

MFA 欺诈警报的目的是什么？

现在您可能想知道此 MFA 欺诈警报的确切目的是什么以及它们的作用。那么，让我们看看 MFA 欺诈警报的目的。

• 此 MFA 欺诈警报的主要目的是通知管理员已向用户发起可疑的 MFA 请求。虽然这些警报通知不能直接解决问题，但它可以让您了解情况并做好应对问题的充分准备！
• 最重要的是，MFA 欺诈警报可降低 MFA 疲劳攻击（也称为 MFA 轰炸）的潜在风险。去年 9 月，一项此类技术最近攻击了巨头公司 Uber。

• • MFA 疲劳攻击是一种利用人为错误来获取信息的社会工程技术。具体来说，攻击者通过暴力或密码喷射攻击窃取用户的凭据。然后，他们会发送连续的 MFA 请求，提示用户意外地接受一个请求。一旦用户接受 MFA 请求，黑客就可以轻松进入用户帐户并利用它。

因此，请使用 MFA 欺诈警报在初始阶段避免 MFA 疲劳！它允许您调查欺诈活动并采取必要的安全措施。那么，现在让我们看看如何在 Microsoft 365 中配置 MFA 欺诈警报。

如何在 Azure AD 中配置 MFA 欺诈警报？

只需点击几下，您就可以为您的组织设置 MFA 欺诈警报并防范欺诈活动。要启用设置，请浏览以下路径。

1. Microsoft Entra 管理中心 ? 保护和安全 ? 安全中心（点击“显示更多”） ? 管理 ? 多重身份验证。 span>
   
2. 现在进入“多重身份验证”页面，在安全设置中选择欺诈警报。
   
3. 然后，您可以配置下面的欺诈警报设置。

• 允许用户提交欺诈警报 - 启用此设置以允许用户在发起他们未请求的 MFA 请求时提交报告。因此，您将能够识别未知 MFA 请求所针对的用户帐户，并采取措施保护您的组织免受网络钓鱼诈骗等未来新出现的威胁。

• 自动阻止报告欺诈的用户 -要立即阻止试图进行入侵的目标用户帐户，请将此切换按钮推至“打开”状态。

阻止用户选项的优点和缺点：

• • 如果关闭此阻止选项，用户不会立即被阻止。因此，作为替代选项，管理员可以配置向特定用户发送有关可疑 MFA 请求的电子邮件警报通知。然后，他们应该调查情况并决定采取何种应对措施。
    

• 虽然启用此选项既有优点也有缺点！启用此设置的最大优点之一是它立即阻止来自黑客的进一步请求。
  

  • 但遗憾的是，如果用户报告可疑的 MFA 请求，用户帐户将被阻止，直到管理员取消阻止该帐户。最终，阻止用户帐户会给用户的工作效率带来麻烦。因此，最终，管理员必须根据组织的安全状况决定是否启用此设置。

• 在初始问候期间报告欺诈的代码 - 默认情况下，用户可以通过输入代码 0 来报告可疑的 MFA 请求。现在，通过此设置，管理员可以自定义代码编号以报告欺诈性的 MFA 请求。

4. 完成配置后，使用保存选项存储它们。此后，你的用户将能够在 Microsoft Authenticator 应用中报告任何可疑的多重身份验证请求，同时拒绝该请求。下面给出了报告选项的示例。

由于我们现在已经清楚配置多因素身份验证欺诈警报，因此让我们看看如何为管理员或安全团队打开通知。

打开有关 MFA 欺诈警报的通知

管理员不必每次都查看报告来了解组织周围发生的可疑活动，而是可以实时收到有关每个异常行为的通知。为了在用户通过身份验证器应用程序或自动电话系统报告欺诈警报时通过电子邮件接收通知，管理员应按照以下步骤操作并为特定用户配置电子邮件警报通知。

Microsoft Entra 管理中心 ? 保护和安全 ? 安全中心 ? 多重身份验证?通知。

在通知页面上，您可以添加您希望接收未知 MFA 请求通知的人员的电子邮件地址。添加所有收件人后，请不要忘记保存它们。请查看下面的屏幕截图，了解 MFA 欺诈警报的通知页面和电子邮件。

查看 Azure AD 审核日志中的可疑活动报告

当用户报告不熟悉的 MFA 请求时，该请求会记录在 Azure AD 审核日志中，因为该用户已被阻止进行 MFA。管理员可以使用此报告来识别和禁用受影响的用户。因此，通过导航到以下路径来查看报告：

Microsoft Entra 管理中心 ? 用户 ? 所有用户 ? 审核日志。

审核日志中的欺诈活动报告在活动类型下显示为报告欺诈 - 用户被 MFA 阻止和报告欺诈 - 未采取任何操作。

Azure AD 登录日志中的 MFA 欺诈报告

当用户报告未知的 MFA 请求时，该事件将作为登录请求被拒绝记录在登录日志中。 MFA 欺诈报告作为标准 Azure AD 登录报告的一部分显示在结果详细信息中。 MFA 欺诈报告在结果详细信息列中显示为 MFA 被拒绝：电话应用报告欺诈。

您还可以使用以下路径查看登录报告中的可疑事件。

Microsoft Entra 管理中心 ? 用户 ? 所有用户 ? 登录-输入日志?身份验证详细信息。

因此，请在您的租户中实施多因素身份验证欺诈警报，以保护您的组织免受 MFA 轰炸等网络安全威胁。

建议的欺诈警报报告安全措施：

• 首先，当管理员观察到持续的用户报告活动时，如果他们认为风险太高，可以手动阻止特定用户登录。
  
• 否则，他们可以重置目标用户的密码，因为该用户帐户不会对组织造成太大威胁。

Azure AD 中新的“报告可疑活动”

报告可疑活动功能是 MFA 欺诈警报的新更新版本。此功能现已在公共预览版中提供，其中 MFA 欺诈警报与此可疑活动报告并行运行。

Azure AD 中报告可疑活动功能的新增功能

• 当发起可疑的 MFA 请求时，此新功能将用户的风险设置为高。
• 此外，管理员还可以使用基于风险的策略或启用自助密码重置选项以立即修复。

仅报告可疑活动不足以保证安全。相反，报告和监控所有 MFA 事件对于实现 Microsoft 365 的最大安全性至关重要。最终使用本机方法作为监控 MFA 的解决方案并不是一件坏事。但是您认为通过管理中心或 PowerShell 监控它们需要多长时间才能完成所有艰苦的工作？ ?

找不到完美的替代品？那么 AdminDroid Microsoft 365 记者 来为您完成所有艰苦的工作！让我们深入了解 AdminDroid 的精彩功能。 ?

获取 AdminDroid 免费 MFA 报告以防御 MFA 攻击！

使用 AdminDroid 的双筒望远镜接触您的 Microsoft 365 不会造成任何伤害！

对最新的多因素身份验证报告中的每种身份验证方法有一个立体视图，以预见过去趋势数据的问题。 ? AdminDroid MFA 报告提供以下详细报告。

• 具有和不具有 MFA 的用户
• 没有 MFA 的管理员
• 启用 MFA 的用户
• MFA 强制用户
• MFA 激活和未激活的用户
• MFA 设备详细信息

此外，还可享受 AdminDroid 的免费 Azure AD 报告工具，它提供关于 Microsoft 365 用户、组、管理员、密码更改、许可证、外部用户等，以最终监视您的 Azure AD 环境。

除了这些报告之外，您还可以使用 AdminDroid 分析执行深入的 MFA 分析。通过使用 AdminDroid 仔细分析每个 MFA 事件，增强并保护您的 Microsoft 365 空间。 ? 通过下面详细的 MFA 报告，管理员可以有效评估 Microsoft 365 环境中 MFA 措施的实施情况和有效性，确保更高级别的安全性并防范潜在威胁。 AdminDroid MFA 分析报告包括：

• CA 政策执行 MFA
• 按用户级别执行 MFA
• MFA 身份验证方法组织和用户级别概述
• 成功的 MFA 登录
• MFA 挑战失败
• 通过短信进行 MFA 身份验证
• 通过移动应用程序通知进行 MFA 身份验证
• 通过手机验证码进行MFA认证
• 通过电话进行 MFA 身份验证

别再犹豫了！现在，使用 AdminDroid 查找对您的 Microsoft 365 重要的所有内容。 ? 凭借其用户友好的界面和巧妙的警报、调度 功能、过滤和细粒度访问授权、告别传统方法。

立即尝试使用 AdminDroid 并进行15 天试用在 Microsoft 365 报告和监控方面拥有开拓性的现场经验。 ✨

总体而言，通过同时启用 MFA 欺诈警报和报告可疑活动，开始增强组织的安全状况。不要让黑客侵入您的组织！因此，请配置上述高级安全设置并防御此类入侵。

希望这篇博客能让您清楚地了解多因素身份验证欺诈警报。在评论部分留下你的想法。