HackTricks CloudAtaki różne związane z tożsamością hybrydową
{{#include ../../../../banners/hacktricks-training.md}}
Wymuszanie synchronizacji użytkowników Entra ID do on-prem
Jak wspomniano w https://www.youtube.com/watch?v=JEIR5oGCwdg, możliwe było zmienienie wartości ProxyAddress w użytkowniku AD w on-prem, dodając e-mail użytkownika admina Entra ID i upewniając się, że UPN użytkownika w AD i w Entra ID się zgadza (to jest Entra ID ponownie), jak SMTP:admin@domain.onmicrosoft.com. I to wymusi synchronizację tego użytkownika z Entra ID do on-prem AD, więc jeśli hasło użytkownika było znane, mogło być użyte do dostępu do admina używanego w Entra ID.
Aby zsynchronizować nowego użytkownika z Entra ID do on-prem AD, wymagania są następujące:
- Kontrolować atrybuty użytkownika w on-prem AD (lub mieć uprawnienia do tworzenia nowych użytkowników)
- Znać użytkownika tylko w chmurze, aby zsynchronizować z Entra ID do on-prem AD
- Może być również konieczne, aby móc zmienić atrybut immutableID z użytkownika Entra ID na użytkownika on-prem AD, aby wykonać twarde dopasowanie.
Caution
Entra ID nie pozwala już na synchronizację adminów z Entra ID do on-prem AD. Ponadto, to nie obejdzie MFA.
Odniesienia
- https://www.youtube.com/watch?v=JEIR5oGCwdg
- https://activedirectorypro.com/sync-on-prem-ad-with-existing-azure-ad-users/
- https://www.orbid365.be/manually-match-on-premise-ad-user-to-existing-office365-user/
{{#include ../../../../banners/hacktricks-training.md}}