Az - Dynamic Groups Privesc
Informations de base
Les groupes dynamiques sont des groupes qui ont un ensemble de règles configurées et tous les utilisateurs ou appareils qui correspondent aux règles sont ajoutés au groupe. Chaque fois qu'un attribut d'utilisateur ou d'appareil est modifié, les règles dynamiques sont réexaminées. Et lorsqu'une nouvelle règle est créée, tous les appareils et utilisateurs sont vérifiés.
Les groupes dynamiques peuvent se voir attribuer des rôles Azure RBAC, mais il n'est pas possible d'ajouter des rôles AzureAD aux groupes dynamiques.
Cette fonctionnalité nécessite une licence Azure AD Premium P1.
Élévation de privilèges
Notez qu'en principe, tout utilisateur peut inviter des invités dans Azure AD, donc, si une règle de groupe dynamique donne des autorisations aux utilisateurs en fonction des attributs qui peuvent être définis dans un nouvel invité, il est possible de créer un invité avec ces attributs et d'élever les privilèges. Il est également possible pour un invité de gérer son propre profil et de modifier ces attributs.
Obtenez les groupes autorisant l'adhésion dynamique : Get-AzureADMSGroup | ?{$_.GroupTypes -eq 'DynamicMembership'}
Exemple
Exemple de règle :
(user.otherMails -any (_ -contains "tester")) -and (user.userType -eq "guest")
Description de la règle : Tout utilisateur invité avec un email secondaire contenant la chaîne 'tester' sera ajouté au groupe
Allez dans Azure Active Directory -> Utilisateurs et cliquez sur
Voulez-vous revenir à l'expérience de liste d'utilisateurs héritée ? Cliquez ici pour quitter l'aperçu
Cliquez sur
Nouvel utilisateur invité
et invitez un emailLe profil de l'utilisateur sera ajouté à Azure AD dès l'envoi de l'invitation. Ouvrez le profil de l'utilisateur et cliquez sur (gérer) sous Invitation acceptée.
Changez
Renvoyer l'invitation ?
en Oui et vous obtiendrez une URL d'invitation :
Copiez l'URL et ouvrez la, connectez-vous en tant qu'utilisateur invité et acceptez l'invitation
Connectez-vous dans le cli en tant qu'utilisateur et définissez l'email secondaire
Références
Dernière mise à jour