Az - Dynamic Groups Privesc
기본 정보
동적 그룹은 구성된 규칙 세트를 가진 그룹으로, 규칙과 일치하는 사용자 또는 장치가 그룹에 추가됩니다. 사용자 또는 장치 속성이 변경될 때마다 동적 규칙이 재확인됩니다. 그리고 새로운 규칙이 생성될 때 모든 장치와 사용자가 확인됩니다.
동적 그룹에는 Azure RBAC 역할이 할당될 수 있지만, 동적 그룹에 AzureAD 역할을 추가할 수는 없습니다.
이 기능에는 Azure AD 프리미엄 P1 라이선스가 필요합니다.
Privesc
기본적으로 Azure AD에서는 모든 사용자가 게스트를 초대할 수 있으므로, 동적 그룹 규칙이 속성을 기반으로 사용자에게 권한을 부여하는 경우, 이러한 속성을 가진 새로운 게스트를 만들고 권한을 상승시킬 수 있습니다. 또한 게스트는 자신의 프로필을 관리하고 이러한 속성을 변경할 수도 있습니다.
동적 멤버십을 허용하는 그룹 가져오기: Get-AzureADMSGroup | ?{$_.GroupTypes -eq 'DynamicMembership'}
예시
규칙 예시:
(user.otherMails -any (_ -contains "tester")) -and (user.userType -eq "guest")
규칙 설명: 문자열 'tester'를 포함하는 보조 이메일을 가진 모든 게스트 사용자가 그룹에 추가됩니다.
Azure Active Directory로 이동 -> 사용자 및 **
Want to switch back to the legacy users list experience? Click here to leave the preview
**를 클릭합니다.**
New guest user
**를 클릭하고 이메일을 초대합니다.초대장을 보내면 사용자 프로필이 Azure AD에 추가됩니다. 사용자 프로필을 열고 Invitation accepted 아래의 (manage)를 클릭합니다.
**
Resend invite?
**를 Yes로 변경하면 초대 URL을 받을 수 있습니다:
URL을 복사하고 열어서 초대된 사용자로 로그인하고 초대를 수락합니다.
사용자로 로그인하여 보조 이메일을 설정합니다.
참고 자료
最終更新