En Azure esto se puede hacer contra diferentes puntos finales de API como Azure AD Graph, Microsoft Graph, el servicio web de informes de Office 365, etc.
Sin embargo, ten en cuenta que esta técnica es muy ruidosa y el Equipo Azul puede detectarla fácilmente. Además, la complejidad forzada de la contraseña y el uso de MFA pueden hacer que esta técnica sea un poco inútil.
Puedes realizar un ataque de rociado de contraseñas con MSOLSpray