Enumeração de Tenant do Microsoft 365 Está Praticamente Morta

A Microsoft fechou todos os caminhos não autenticados para a enumeração completa de domínios de tenants do M365, primeiro neutralizando a chamada SOAP `GetFederationInformation` do Autodiscover em 2025 e, em seguida, corrigindo o endpoint ACS `/metadata/json/1` (espelhado em login.microsoftonline.com, sts.windows.net e outros hosts de identidade) em maio. Operadores ainda podem reconstruir a maior parte dessa capacidade de forma fragmentada: resolver o GUID do tenant via configurações OpenID não autenticadas ou endpoints de provedor de federação ODC, recuperar o prefixo MOERA `onmicrosoft.com` permanente dos registros CNAME DKIM `selector1`/`selector2`, recorrer a brute-forcing de MX para prefixos adivinhados, e usar a chamada autenticada do Graph `findTenantInformationByDomainName` quando o nome não é adivinhável.

Defensores devem tratar os CNAMEs DKIM como um vector de divulgação de nome de tenant, monitorar a sondagem de hosts resultante de SharePoint, OneDrive e MDI (`TENANTNAME-my.sharepoint.com`, `TENANTNAME.atp.azure.com`), e reconhecer que bancos de dados de varredura pré-construídos como azmap.dev agora fornecem mapeamentos de domínio para tenant instantaneamente, o que significa que a obscuridade não oferece proteção.