Last updated
学习与实践 AWS 黑客技术:HackTricks 培训 AWS 红队专家 (ARTE) 学习与实践 GCP 黑客技术:HackTricks 培训 GCP 红队专家 (GRTE)
动态组是配置了一组规则的组,所有符合规则的用户或设备将被添加到该组。每当用户或设备的属性被更改时,动态规则会被重新检查。当新规则被创建时,所有设备和用户都会被检查。
动态组可以被分配Azure RBAC 角色,但无法将AzureAD 角色添加到动态组。
此功能需要 Azure AD Premium P1 许可证。
请注意,默认情况下,任何用户都可以在 Azure AD 中邀请访客,因此,如果动态组的规则根据可以在新访客中设置的属性授予权限,则可以创建具有这些属性的访客并提升权限。访客也可以管理自己的个人资料并更改这些属性。
获取允许动态成员资格的组:Get-AzureADMSGroup | ?{$_.GroupTypes -eq 'DynamicMembership'}
规则示例:(user.otherMails -any (_ -contains "tester")) -and (user.userType -eq "guest")
规则描述:任何具有字符串 'tester' 的次要电子邮件的访客用户将被添加到该组
转到 Azure Active Directory -> 用户,并点击 想要切换回旧版用户列表体验吗?点击这里以离开预览
点击 新建访客用户 并邀请一个电子邮件
一旦邀请发送,用户的个人资料将被添加到 Azure AD。打开用户的个人资料并点击在“邀请已接受”下的 (管理)。
将 重新发送邀请? 更改为 是,您将获得一个邀请 URL:
复制 URL 并打开它,以被邀请用户身份登录并接受邀请
以用户身份登录 CLI 并设置次要电子邮件
学习与实践 AWS 黑客技术:HackTricks 培训 AWS 红队专家 (ARTE) 学习与实践 GCP 黑客技术:HackTricks 培训 GCP 红队专家 (GRTE)
