本文介绍如何调查和解决多重身份验证(MFA)语音呼叫或短信登录方法的问题。 它解释了电信交付在幕后的工作原理、Microsoft可以和看不到的内容,以及调查期间会发生什么。
迁移到现代化、抗网络钓鱼的身份验证
重要
Microsoft致力于帮助组织采用现代、抗网络钓鱼的身份验证方法。 虽然基于电信的 MFA 提供了重要的安全层,但Windows Hello 企业版等方法提供更有力的防范拦截和社会工程攻击。
这些方法还避免了全球电信网络固有的传递可变性。 Microsoft建议过渡到以下更安全的替代方案:
全球电信交付的工作原理
Microsoft与具有全球影响力的主要电信提供商合作。 这些提供商依赖于自己的供应商网络,这些供应商通过本地端运营商网络控制短信和语音呼叫的路由。 这个供应链代表了全球数千家各个运营商和航线。
Microsoft维护可靠的流程,以帮助确保成功传送每个短信和语音 MFA 请求。 但是,一旦请求离开Microsoft网络,就会将传送委托给外部电信提供商。
这些提供商通常会在给定目的地国家/地区共享相同的最终路线和运营商,但可能在不同的合同协议或交通优先级下运营。 因此,通过其他提供程序路由请求并不总是解决问题 — 新请求可能遵循相同的下游路径并遇到相同的障碍。
短信或语音多因素认证请求的流程
登录并触发短信或语音 MFA 质询时,通过关联 ID 和时间戳,Microsoft 可以确认以下步骤:
- 收到请求。 Microsoft Entra 生成 MFA 请求,并使用预期的 Microsoft 或公司品牌构建短信或语音请求的数据包。
- 已选择供应商。 Microsoft将请求发送到与国家/地区代码匹配的多个外部第三方电信提供商之一。
- 通道已匹配。 根据配置、选择和策略要求,请求通过正确的通道(短信或语音)路由。
- 已确认送达。 提供商确认收到电信请求,并将其标记为成功交付,无需更改。
提供商确认交货后,请求将进入外部电信网络,在这方面微软没有直接可见性。 超出这一点的问题需要与提供商协作进行调查。
传递到提供商后会发生什么问题
请求到达外部电信提供商后,可能会出现两种类型的问题。
呼叫或消息被丢弃或阻止
提供商应向Microsoft确认此问题。 常见原因包括:
- 设备级配置。 即使发送消息的所有步骤都正确,设备本身也可以拒绝呼叫或将其路由到语音邮件。 Microsoft跨不同提供程序自动重试这些失败。
- 运营商级阻塞。 由于国际自动欺诈检测系统,运营商可能会阻止呼叫或消息。
- 区域可用性问题。 在极少数情况下,由于特定国家/地区的可用性问题,消息会被删除。 Microsoft及其供应商在这些情况下具有可靠的重试和重新路由机制,并在影响被广泛报告时发布自动故障通知。
通话或消息被下游运营商修改
由于提供程序已确认传递,因此Microsoft只能按其规范看到成功的传递。 更改消息内容时:
- 客户应提供在设备上收到的消息未与预期的品牌或频道一起显示的证据。
- Microsoft与提供商协作,以了解应请求而采取的最终承载者行为。
- 提供商可能会更正受影响国家/地区代码或电话号码的路线,以避免不符合原始消息合同的运营商。
调查期间会发生什么
由于全球电信路由的复杂性和提供商的可见性有限,电信交付调查涉及跨多个公司和利益干系人之间的协调。
日程表
对下游客户报告的交付问题的调查可能需要 4-6 周时间。 提供程序会检查其日志,如果未在本地发现任何问题,请查询可能使用其他提供程序的下游合作伙伴。
根本原因分析 (RCA) 策略
Microsoft不会针对源自外部电信提供商的问题发布 RCA。 由于国际知名度和竞争协议,运营商通常不会与Microsoft分享根本原因详细信息。
协助调查
为了帮助 Microsoft 支持部门调查提供程序相关问题:
请提交需要调查的登录相关的关联 ID 和时间戳。 可以在 登录日志中找到这些值。 相关 ID 返回与登录关联的所有请求 ID。
若要查看Microsoft Entra 管理中心中的登录日志,请执行以下操作:
- 至少以报告查看者身份登录到Microsoft Entra 管理中心。
- 浏览到 Entra ID>监控与健康>登录日志。
提供新的示例。 最终运营商通常需要过去 48-72 小时内的相关 ID。 较早的请求可能不会及时传达到最终承运商以便调查。 系统可能会要求你提供多个示例。
提供已更改消息的证据。 如果收到的消息未与预期的品牌或频道一起显示,请共享收到的屏幕截图或说明。
相关内容
Microsoft Entra ID中的语音呼叫身份验证方法 - 使用 Microsoft Entra ID 配置并为用户启用基于短信的身份验证