In Azure questo può essere fatto contro diversi endpoint API come Azure AD Graph, Microsoft Graph, Office 365 Reporting webservice, ecc.
Tuttavia, nota che questa tecnica è molto rumorosa e il Blue Team può facilmente rilevarla. Inoltre, la complessità forzata della password e l'uso di MFA possono rendere questa tecnica inutile.
Puoi eseguire un attacco di password spray con MSOLSpray