异常联合签名证书有效期

与托管域不同，对于联合域，身份验证由第三方身份提供程序（如 Microsoft AD FS 服务器）处理，而不是由 Entra ID 处理。在这种设置中，Entra ID 与身份提供程序建立了信任关系。

当 AD FS 作为身份提供程序时，会生成默认有效期为一年的签名证书。虽然您可以更改此持续时间，但这种设置在大多数环境中仍然常见。

因此，请务必注意，这一启发式方法仅作为需要与身份提供程序的有效配置进行比较的指示，而不是直接的入侵指标 (IoC)。它并不会直接显示攻击详情，而是提供在某些 Entra ID 攻击（例如 Solorigate 攻击）中观察到的行为指标。

此外，需要注意一个限制：如果攻击者插入持续时间为一年（选项的默认值）或与环境中正常签名证书持续时间相同的恶意签名证书，则 IoE 无法检测到攻击者。

首先，验证与联合域关联的签名证书是否合法，以及该证书是否由您自己使用身份提供程序中指定的配置创建。

要检查 Azure 门户中的联合域，请导航到“自定义域名”模块，并在“联合”列中识别带有复选标记的域名。潜在的恶意域名将与发现结果中指示的名称相同。然而，与 MS Graph API 不同，Azure 门户不会显示联合的技术细节。借助

MS Graph API 的 PowerShell cmdlet，您可以使用 Get-MgDomain 列出相关域，并使用 Get-MgDomainFederationConfiguration 获取其联合配置，命令如下：

Connect-MgGraph -Scopes "Domain.Read.All"
Get-MgDomain -All | Where-Object { $_.AuthenticationType -eq "Federated" } | ForEach-Object { $_​ ; Get-MgDomainFederationConfiguration -DomainId $_.Id }

如果您在 Entra ID 信任的身份提供程序中配置的有效期不同，请相应地调整相关选项的值。或者，如果此配置特定于您的设置，则考虑通过排除项来允许签名证书。

否则，应进行取证调查，以确定联合域是否已遭到入侵，并评估入侵的程度。 鉴于安装此类后门程序需要更高的特权（通常需要“全局管理员”角色，以及较少为人所知的 Entra 角色），Entra ID 可能已遭到完全入侵。

为最终进行取证分析而保存证据​后：

• 如果域非法，请使用 Remove-MgDomain 将其移除。
• 如果域合法，但联合配置恶意，请使用 Remove-MgDomainFederationConfiguration 移除联合配置。

如果此联合域包含其他合法的签名证书，则应在移除后手动重新创建这些证书。

名称: 异常联合签名证书有效期

代码名称: UNUSUAL-FEDERATION-SIGNING-CERTIFICATE-VALIDITY-PERIOD

严重性: Medium

类型: Microsoft Entra ID Indicator of Exposure