Az - Dynamic Groups Privesc
基本情報
Dynamic groups は、設定された一連の ルール を持つグループであり、ルールに一致する ユーザーまたはデバイス がグループに追加されます。ユーザーまたはデバイスの 属性 が 変更 されるたびに、動的ルールが 再チェック されます。そして 新しいルール が 作成 されると、すべてのデバイスとユーザーが チェック されます。
Dynamic groups には Azure RBAC ロール が割り当てられる可能性がありますが、AzureAD ロール を動的グループに追加することは できません。
この機能には Azure AD プレミアム P1 ライセンスが必要です。
特権昇格
デフォルトでは、Azure AD ではどのユーザーでもゲストを招待できるため、動的グループの ルール が 権限 をユーザーに与える場合、新しい ゲスト に設定できる 属性 に基づいて、その属性を持つゲストを作成して 特権を昇格 させることが可能です。また、ゲストは自分自身のプロファイルを管理し、これらの属性を変更することも可能です。
動的メンバーシップを許可するグループを取得: Get-AzureADMSGroup | ?{$_.GroupTypes -eq 'DynamicMembership'}
例
ルール例:
(user.otherMails -any (_ -contains "tester")) -and (user.userType -eq "guest")
ルールの説明: 文字列 'tester' を持つセカンダリメールを持つ任意のゲストユーザーがグループに追加されます
Azure Active Directory に移動し、ユーザー をクリックして
Want to switch back to the legacy users list experience? Click here to leave the preview
をクリックしますNew guest user
をクリックして、メールを 招待 します招待状が送信されると、ユーザーのプロファイル が Azure AD に 追加 されます。ユーザーのプロファイルを開き、Invitation accepted の下の (manage) をクリックします。
Resend invite?
を Yes に変更し、招待URLを取得します:
URL をコピーして 開き、招待されたユーザーとして ログイン し、招待を 受け入れ ます
ユーザーとしてログインし、セカンダリメールを設定します
参考
最終更新