Az- Synchronising New Users
Synchronizowanie użytkowników AzureAD z lokalnym, aby eskalować z lokalnego do AzureAD
Aby zsynchronizować nowego użytkownika z AzureAD do lokalnego AD, wymagane są następujące warunki:
Użytkownik AzureAD musi mieć adres proxy (skrzynkę pocztową)
Licencja nie jest wymagana
Nie powinien być już zsynchronizowany
Gdy użytkownik taki jak ten zostanie znaleziony w AzureAD, aby uzyskać do niego dostęp z lokalnego AD, wystarczy utworzyć nowe konto z adresem proxyAddress jako adres e-mail SMTP.
Automatycznie ten użytkownik zostanie synchronizowany z AzureAD do użytkownika lokalnego AD.
Zauważ, że do przeprowadzenia tego ataku nie potrzebujesz uprawnień Domain Admin, wystarczą uprawnienia do tworzenia nowych użytkowników.
Ponadto, to nie ominie MFA.
Ponadto, zgłoszono, że synchronizacja konta nie jest już możliwa dla kont administratorów.
References
Last updated