同盟簽署憑證的有效期出現異常

同盟網域不同於受管理網域，處理驗證的是第三方身分識別提供者 (例如 Microsoft AD FS 伺服器) 而非 Entra ID。在此設定中，Entra ID 會與身分識別提供者建立信任關係。

當 AD FS 作為身分識別提供者時，會產生預設有效期為一年的簽署憑證。雖然您可以變更此持續時間，但在大多數環境中仍然普遍使用該時限。

因此請務必謹記，此啟發式只是一種參考依據，不構成直接的入侵指標 (IoC)，需要與身分識別提供者的有效設定比對確認。相對而言，它更像是展現某些 Entra ID 攻擊中觀察到的行為徵兆，例如 Solorigate 攻擊。

此外，請務必注意以下限制: 若插入流氓簽署憑證的攻擊者將期限設為一年 (該選項的預設值)，或者持續時間與您環境中的正常簽署憑證相同，曝險指標 (IoE) 無法偵測到異常。

首先，請確認與同盟網域相關的簽署憑證是否正當，是否是由您使用身分識別提供者中的指定設定自行建立。

如要在 Azure 入口網站中查看同盟網域清單，請前往「自訂網域名稱」窗格，並在「同盟」欄中找到有勾選標記的網域。潛在惡意網域的名稱將與結果中顯示的相同。然而，不同於 MS Graph API，Azure 入口網站不會顯示同盟的技術詳細資料。

來自 MS Graph API 的 PowerShell 指令程式允許您列出有 Get-MgDomain 的網域，以及這些網域具有 Get-MgDomainFederationConfiguration 的同盟設定:

Connect-MgGraph -Scopes "Domain.Read.All"
Get-MgDomain -All | Where-Object { $_.AuthenticationType -eq "Federated" } | ForEach-Object { $_​ ; Get-MgDomainFederationConfiguration -DomainId $_.Id }

如果您在 Entra ID 信任的身分識別提供者中設有不同的有效期，請相應調整相關選項的值。或者，如果是專門設置此設定，可以考慮將簽署憑證設為排除項目。

在其他情況下，請進行鑑識調查，確定同盟網域是否受到入侵並評估入侵程度。 由於安裝此類後門程式需要較高的特權 (通常需要「全域管理員」以及其他較不常見的 Entra 角色)，Entra ID 很可能會遭到完全入侵。

保留證據​以供最終的鑑識分析，隨後採取下列行動:

• 如果確定為不正當網域，請使用 Remove-MgDomain 將其移除。
• 如果確定為正當網域，但同盟設定具有惡意，請使用 Remove-MgDomainFederationConfiguration 移除同盟設定。

如果此同盟網域包含其他正當簽署憑證，則應先重新建立，然後手動加入這些簽署憑證。

名稱: 同盟簽署憑證的有效期出現異常

代碼名稱: UNUSUAL-FEDERATION-SIGNING-CERTIFICATE-VALIDITY-PERIOD

嚴重性: Medium

類型: Microsoft Entra ID Indicator of Exposure