Microsoft は、Descope社から報告された、承認のためにアクセストークンからの電子メール要求を使用すると特権が昇格する可能性がある、Azure AD アプリケーションで使用される安全ではないアンチパターンの軽減策を開発しました。
Potential Risk of Privilege Escalation in Azure AD Applications | MSRC Blog | Microsoft Security Response Center

 

Microsoft では、認可の目的で電子メールクレームを使用しないことをお勧めしています。
アプリケーションが認可またはプライマリユーザーの識別目的で電子メールクレームを使用すると、アカウントと特権昇格の攻撃対象になります。
アプリケーション開発者は、認可のビジネスロジックを確認し、ベストプラクティスに従うことをお勧めします。

Microsoft ID プラットフォームのベストプラクティス
クレームを検証してアプリケーションと API をセキュリティで保護する - Microsoft Entra | Microsoft Learn

 

Microsoft は、「未確認のドメイン所有者の電子メールアドレス」を使用するユーザーを持つ、幾つかのマルチテナントアプリケーションを特定して、それらアプリのオーナーに通知し、変更方法に関するガイダンスを提供しています。
特権昇格に対する脆弱性からの保護のため、Microsoft は、ほとんどのアプリケーションについて、未確認のドメイン所有者からのトークン要求は切り捨てる緩和策を展開しました。

 

プロビジョニングされたメールボックスを持たない AAD ユーザーは、メール（Primary SMTP）属性に任意の電子メールアドレスを設定できます。
この属性は、検証済みの電子メールアドレスであるとは限らず、特権ユーザーであれば、別の AAD ユーザーを偽装する電子メールに変更できてしまいます。
悪意あるアクターは、有効な AAD ユーザーを偽装するトークンを発行することで、承認されていないアクセスを取得する可能性があります。

電子メール クレームは、変更される可能性や一意性がないため、アプリケーションの認可に使用しないよう、ビジネスロジックから完全に削除する必要があります。
Microsoft では、アプリケーション更新には時間がかかると認識しており、意向のガイダンスとリスク軽減のためのメカニズム説明の参照をお勧めしています。

移行ガイダンス
ユーザー識別や認可にメール要求を使用しないように移行を行う - Microsoft Entra | Microsoft Learn