Az- Synchronising New Users
AzureAD ユーザーをオンプレミスに同期して、オンプレミスから AzureAD にエスカレーションする
AzureAD からオンプレミスの AD に新しいユーザーを同期するためには、以下の要件が必要です:
AzureAD ユーザーにはプロキシアドレス(メールボックス)が必要です
ライセンスは必要ありません
すでに同期されていない必要があります
AzureAD にこのようなユーザーが見つかった場合、オンプレミス AD からアクセスするためには、SMTP メールの proxyAddress を持つ 新しいアカウント を作成するだけです。
これにより、このユーザーは自動的に AzureAD からオンプレミス AD ユーザーに 同期されます。
この攻撃を実行するためには、ドメイン管理者権限は必要ありません。新しいユーザーを作成する権限があれば十分です。
また、これは MFA をバイパスすることはできません。
さらに、管理者アカウントに対するアカウント同期はもはや不可能と報告されています。
参考文献
最終更新