未经验证的域

Microsoft Entra 租户可以与外部域联合，以便与另一个域建立信任，从而进行身份验证和授权。 然而，如果恶意攻击者在 Microsoft Entra ID 中获得了更高的特权，他们可以通过添加自己的联合域或编辑现有的联合域来添加包含自己设置的辅助配置，从而滥用这种联合机制来创建后门程序​。

最好避免在 Entra ID 中长时间配置未验证的自定义域。

在 Microsoft 于 2020 年春季修复此问题之前，攻击者甚至可能使用未经验证的新域创建联合域后门程序。这可通过开源攻击工具 AADInternals 中的 New-AADIntBackdoor cmdlet 来实现。

此风险暴露指标列出了您 Entra ID 环境中所有未经验证的自定义域​，以便您验证其合法性。

您应处理此风险暴露指标发现结果中列出的未经验证的自定义域，因为它们可能是攻击者的潜在后门程序​，或有助于建立后门程序。

要在 Azure 门户中查看域列表，请导航到“自定义域名”模块，并在“状态”列中查找标记为“未验证”的域。任何潜在的恶意域都将与发现结果中列出的名称匹配。借助 MS Graph API 的 PowerShell cmdlet ，您可以使用 Get-MgDomain 列出相关域，命令如下：

Connect-MgGraph -Scopes "Domain.Read.All"Get-MgDomain -All | ? { $_.IsVerified -eq $True }

完成未经验证的域的配置或移除这些域。

如果这是合法且受信任的域，则您需要在域注册商处创建所需的 DNS 条目，然后完成验证过程。

否则，应进行取证调查​，以确定域是否已遭到入侵，并评估入侵的程度。 由于添加自定义域通常需要更高的特权（例如“全局管理员”角色，可能还有其他较少为人所知的 Entra 角色），如果滥用这些特权，则可能导致 Entra ID 遭到完全入侵。

为进行潜在的取证分析而保存证据​后，如果您认为该域非法，请使用 Remove-MgDomain 将其移除。 最后，考虑攻击者是否有可能已经建立了其他持久性机制（例如后门程序）。咨询事件响应专家，以识别和消除这些额外的威胁。

名称: 未经验证的域

代码名称: UNVERIFIED-DOMAIN

严重性: Low

类型: Microsoft Entra ID Indicator of Exposure