Az- Synchronising New Users
AzureADユーザーをオンプレミスに同期して、オンプレミスからAzureADにエスカレーションする
新しいユーザーをAzureADからオンプレミスADに同期するためには、以下の要件が必要です:
AzureADユーザーはプロキシアドレス(メールボックス)を持っている必要があります
ライセンスは必要ありません
すでに同期されていない必要があります
AzureAD でこのようなユーザーが見つかった場合、オンプレミス AD からアクセスするためには、SMTP メールの proxyAddress を持つ 新しいアカウント を作成するだけです。
これにより、このユーザーは自動的に AzureAD からオンプレミス AD ユーザーに同期されます。
この攻撃を実行するためには、ドメイン管理者権限は必要ありません。新しいユーザーを作成する権限だけが必要です。
また、これは MFA をバイパスすることはできません。
さらに、管理者アカウントに対してアカウント同期がもはや不可能であると報告されています。
参考文献
Last updated