Az - Dynamic Groups Privesc
Grundlegende Informationen
Dynamische Gruppen sind Gruppen, die eine Reihe von Regeln konfiguriert haben und alle Benutzer oder Geräte, die den Regeln entsprechen, der Gruppe hinzugefügt werden. Jedes Mal, wenn ein Benutzer- oder Geräteattribut geändert wird, werden die dynamischen Regeln erneut überprüft. Und wenn eine neue Regel erstellt wird, werden alle Geräte und Benutzer überprüft.
Dynamische Gruppen können Azure RBAC-Rollen zugewiesen haben, aber es ist nicht möglich, AzureAD-Rollen zu dynamischen Gruppen hinzuzufügen.
Diese Funktion erfordert eine Azure AD Premium P1-Lizenz.
Privilegienerhöhung
Beachten Sie, dass standardmäßig jeder Benutzer in Azure AD Gäste einladen kann. Wenn eine dynamische Gruppenregel Berechtigungen für Benutzer basierend auf Attributen vergibt, die in einem neuen Gast festgelegt werden können, ist es möglich, einen Gast mit diesen Attributen zu erstellen und Berechtigungen zu eskalieren. Es ist auch möglich, dass ein Gast sein eigenes Profil verwalten und diese Attribute ändern kann.
Gruppen abrufen, die dynamische Mitgliedschaft zulassen: Get-AzureADMSGroup | ?{$_.GroupTypes -eq 'DynamicMembership'}
Beispiel
Beispiel für Regel:
(user.otherMails -any (_ -contains "tester")) -and (user.userType -eq "guest")
Regelbeschreibung: Jeder Gastbenutzer mit einer sekundären E-Mail mit dem Text 'tester' wird der Gruppe hinzugefügt
Gehen Sie zu Azure Active Directory -> Benutzer und klicken Sie auf
Möchten Sie zum alten Benutzerlisten-Erlebnis zurückkehren? Klicken Sie hier, um die Vorschau zu verlassen
Klicken Sie auf
Neuer Gastbenutzer
und laden Sie eine E-Mail einDas Benutzerprofil wird dem Azure AD hinzugefügt, sobald die Einladung gesendet wird. Öffnen Sie das Benutzerprofil und klicken Sie auf (verwalten) unter Einladung akzeptiert.
Ändern Sie
Einladung erneut senden?
auf Ja und Sie erhalten eine Einladungs-URL:
Kopieren Sie die URL und öffnen Sie sie, melden Sie sich als eingeladener Benutzer an und akzeptieren Sie die Einladung
Melden Sie sich in der Befehlszeile als Benutzer an und setzen Sie die sekundäre E-Mail
Referenzen
Last updated