Hybrid Identity Verschiedene Angriffe

Reading time: 3 minutes

Erzwingen der Synchronisierung von Entra ID-Benutzern zu on-prem

Wie in https://www.youtube.com/watch?v=JEIR5oGCwdg erwähnt, war es möglich, den Wert von ProxyAddress innerhalb eines AD-Benutzers im on-prem AD zu ändern, indem die E-Mail eines Entra ID-Adminbenutzers hinzugefügt wurde und auch sichergestellt wurde, dass der UPN des Benutzers im AD und in Entra ID übereinstimmte (das ist wieder die Entra ID), wie SMTP:admin@domain.onmicrosoft.com. Und dies würde die Synchronisierung dieses Benutzers von Entra ID zum on-prem AD erzwingen, sodass, wenn das Passwort des Benutzers bekannt war, es verwendet werden könnte, um auf den Admin in Entra ID zuzugreifen.

Um einen neuen Benutzer von Entra ID zum on-prem AD zu synchronisieren, sind die Anforderungen, die einzigen Anforderungen:

• Kontrolle über die Attribute eines Benutzers im on-prem AD (oder Berechtigungen zum Erstellen neuer Benutzer haben)
• Den Benutzer cloud-only kennen, um von Entra ID zum on-prem AD zu synchronisieren
• Möglicherweise müssen Sie auch in der Lage sein, das immutableID-Attribut vom Entra ID-Benutzer zum on-prem AD-Benutzer zu ändern, um einen harten Abgleich durchzuführen.

Referenzen

• https://www.youtube.com/watch?v=JEIR5oGCwdg
• https://activedirectorypro.com/sync-on-prem-ad-with-existing-azure-ad-users/
• https://www.orbid365.be/manually-match-on-premise-ad-user-to-existing-office365-user/