Az- Synchronising New Users
Для синхронізації нового користувача з AzureAD на місцевий сервер AD потрібно виконати наступні вимоги:
Користувач AzureAD повинен мати проксі-адресу (поштову скриньку)
Ліцензія не потрібна
Необхідно, щоб не було вже синхронізовано
Коли користувач, подібний до цього, знаходиться в AzureAD, для доступу до нього з on-prem AD вам просто потрібно створити новий обліковий запис з proxyAddress - електронною поштою SMTP.
Автоматично цей користувач буде синхронізований з AzureAD на користувача on-prem AD.
Зверніть увагу, що для виконання цього атаки вам не потрібен Domain Admin, вам просто потрібні дозволи на створення нових користувачів.
Крім того, це не обійде MFA.
Більше того, було повідомлено, що синхронізація облікового запису більше не можлива для облікових записів адміністраторів.
References
Last updated