Az AD Connect - Hybrid Identity

基本信息

本地活动目录 (AD) 与 Azure AD 之间的集成由 Azure AD Connect 实现，提供支持 单点登录 (SSO) 的各种方法。每种方法虽然有用，但都存在潜在的安全漏洞，可能被利用来 compromise 云端或本地环境：

• 透传身份验证 (PTA):

• 可能会 compromise 本地 AD 上的代理，允许验证用户密码以进行 Azure 连接 (本地到云端)。

• 可能性注册新代理以验证新位置的身份验证 (云端到本地)。

• 密码哈希同步 (PHS):

• 可能从 AD 中提取特权用户的明文密码，包括高特权、自动生成的 AzureAD 用户的凭据。

• 联合:

• 窃取用于 SAML 签名的私钥，使得可以冒充本地和云端身份。

• 无缝 SSO:

• 窃取 AZUREADSSOACC 用户的密码，用于签署 Kerberos 银票据，允许冒充任何云用户。

• 云 Kerberos 信任:

• 通过操纵 AzureAD 用户用户名和 SID 并从 AzureAD 请求 TGT，可能从全局管理员升级到本地域管理员。

• 默认应用:

• compromise 应用管理员帐户或本地同步帐户允许修改目录设置、组成员、用户帐户、SharePoint 站点和 OneDrive 文件。

对于每种集成方法，用户同步都会进行，并在本地 AD 中创建一个 MSOL_<installationidentifier> 帐户。值得注意的是，PHS 和 PTA 方法都支持 无缝 SSO，允许 Azure AD 计算机自动登录到本地域。

要验证 Azure AD Connect 的安装，可以使用以下 PowerShell 命令，利用默认安装的 AzureADConnectHealthSync 模块 (与 Azure AD Connect 一起安装)：

Get-ADSyncConnector