Translated ['src/pentesting-cloud/azure-security/az-services/az-azuread.

2026-02-05 11:26:11 -08:00 · 2025-02-09 17:53:56 +00:00
parent a8ff6dc4d5
commit 16f4a09efe
1 changed files with 108 additions and 82 deletions
--- a/src/pentesting-cloud/azure-security/az-services/az-azuread.md
+++ b/src/pentesting-cloud/azure-security/az-services/az-azuread.md
@@ -6,7 +6,7 @@

 Azure Active Directory (Azure AD) serve como o serviço baseado em nuvem da Microsoft para gerenciamento de identidade e acesso. É fundamental para permitir que os funcionários façam login e tenham acesso a recursos, tanto dentro quanto fora da organização, abrangendo Microsoft 365, o portal Azure e uma multitude de outras aplicações SaaS. O design do Azure AD foca em fornecer serviços essenciais de identidade, incluindo **autenticação, autorização e gerenciamento de usuários**.

-As principais características do Azure AD envolvem **autenticação multifatorial** e **acesso condicional**, juntamente com integração perfeita com outros serviços de segurança da Microsoft. Essas características elevam significativamente a segurança das identidades dos usuários e capacitam as organizações a implementar e fazer cumprir suas políticas de acesso de forma eficaz. Como um componente fundamental do ecossistema de serviços em nuvem da Microsoft, o Azure AD é crucial para o gerenciamento baseado em nuvem das identidades dos usuários.
+As principais características do Azure AD envolvem **autenticação multifatorial** e **acesso condicional**, juntamente com integração perfeita com outros serviços de segurança da Microsoft. Essas características elevam significativamente a segurança das identidades dos usuários e capacitam as organizações a implementar e aplicar efetivamente suas políticas de acesso. Como um componente fundamental do ecossistema de serviços em nuvem da Microsoft, o Azure AD é crucial para o gerenciamento baseado em nuvem das identidades dos usuários.

 ## Enumeração

@@ -184,9 +184,9 @@ Connect-AzureAD -AccountId test@corp.onmicrosoft.com -AadAccessToken $token
 {{#endtab }}
 {{#endtabs }}

-Quando você **faz login** via **CLI** no Azure com qualquer programa, você está usando uma **Aplicação Azure** de um **inquilino** que pertence à **Microsoft**. Essas Aplicações, como as que você pode criar em sua conta, **têm um id de cliente**. Você **não poderá ver todas elas** nas **listas de aplicações permitidas** que você pode ver no console, **mas elas são permitidas por padrão**.
+Quando você **faz login** via **CLI** no Azure com qualquer programa, você está usando uma **Aplicação Azure** de um **tenant** que pertence à **Microsoft**. Essas Aplicações, como as que você pode criar em sua conta, **têm um id de cliente**. Você **não poderá ver todas elas** nas **listas de aplicações permitidas** que você pode ver no console, **mas elas são permitidas por padrão**.

-Por exemplo, um **script powershell** que **autentica** usa um aplicativo com id de cliente **`1950a258-227b-4e31-a9cf-717495945fc2`**. Mesmo que o aplicativo não apareça no console, um administrador de sistema poderia **bloquear essa aplicação** para que os usuários não possam acessar usando ferramentas que se conectam via esse App.
+Por exemplo, um **script powershell** que **autentica** usa um app com id de cliente **`1950a258-227b-4e31-a9cf-717495945fc2`**. Mesmo que o app não apareça no console, um sysadmin poderia **bloquear essa aplicação** para que os usuários não possam acessar usando ferramentas que se conectam via esse App.

 No entanto, existem **outros ids de cliente** de aplicações que **permitirão que você se conecte ao Azure**:
 ```bash
@@ -363,15 +363,15 @@ $password = "ThisIsTheNewPassword.!123" | ConvertTo- SecureString -AsPlainText

 (Get-AzureADUser -All $true | ?{$_.UserPrincipalName -eq "victim@corp.onmicrosoft.com"}).ObjectId | Set- AzureADUserPassword -Password $password –Verbose
 ```
-### MFA & Políticas de Acesso Condicional
+### MFA & Conditional Access Policies

-É altamente recomendável adicionar MFA a cada usuário, no entanto, algumas empresas não o farão ou podem configurá-lo com um Acesso Condicional: O usuário será **obrigado a usar MFA se** fizer login de um local específico, navegador ou **alguma condição**. Essas políticas, se não configuradas corretamente, podem ser suscetíveis a **bypasses**. Verifique:
+É altamente recomendável adicionar MFA a cada usuário, no entanto, algumas empresas não o farão ou podem configurá-lo com um Acesso Condicional: O usuário será **obrigado a usar MFA se** fizer login de um local específico, navegador ou **alguma condição**. Essas políticas, se não configuradas corretamente, podem ser propensas a **bypasses**. Verifique:

 {{#ref}}
 ../az-privilege-escalation/az-entraid-privesc/az-conditional-access-policies-mfa-bypass.md
 {{#endref}}

-### Grupos
+### Groups

 Para mais informações sobre grupos do Entra ID, verifique:

@@ -487,7 +487,7 @@ Os proprietários do grupo podem adicionar novos usuários ao grupo
 Add-AzureADGroupMember -ObjectId <group_id> -RefObjectId <user_id> -Verbose
 ```
 > [!WARNING]
-> Grupos podem ser dinâmicos, o que basicamente significa que **se um usuário cumprir certas condições, ele será adicionado a um grupo**. Claro, se as condições forem baseadas em **atributos** que um **usuário** pode **controlar**, ele poderia abusar dessa funcionalidade para **entrar em outros grupos**.\
+> Grupos podem ser dinâmicos, o que basicamente significa que **se um usuário cumprir certas condições, ele será adicionado a um grupo**. Claro, se as condições forem baseadas em **atributos** que um **usuário** pode **controlar**, ele pode abusar desse recurso para **entrar em outros grupos**.\
 > Confira como abusar de grupos dinâmicos na página a seguir:

 {{#ref}}
@@ -840,11 +840,15 @@ az role definition list --resource-group <resource_group>
 # Get only roles assigned to the indicated scope
 az role definition list --scope <scope>
 # Get all the principals a role is assigned to
-az role assignment list --all --query "[].{principalName:principalName,principalType:principalType,resourceGroup:resourceGroup,roleDefinitionName:roleDefinitionName}[?roleDefinitionName=='<ROLE_NAME>']"
+az role assignment list --all --query "[].{principalName:principalName,principalType:principalType,scope:scope,roleDefinitionName:roleDefinitionName}[?roleDefinitionName=='<ROLE_NAME>']"
 # Get all the roles assigned to a user
 az role assignment list --assignee "<email>" --all --output table
 # Get all the roles assigned to a user by filtering
 az role assignment list --all --query "[?principalName=='admin@organizationadmin.onmicrosoft.com']" --output table
+# Get deny assignments
+az rest --method GET --uri "https://management.azure.com/{scope}/providers/Microsoft.Authorization/denyAssignments?api-version=2022-04-01"
+## Example scope of subscription
+az rest --method GET --uri "https://management.azure.com/subscriptions/9291ff6e-6afb-430e-82a4-6f04b2d05c7f/providers/Microsoft.Authorization/denyAssignments?api-version=2022-04-01"
 ```
 {{#endtab }}

@@ -877,12 +881,20 @@ Get-AzRoleDefinition -Name "Virtual Machine Command Executor"
 # Get roles of a user or resource
 Get-AzRoleAssignment -SignInName test@corp.onmicrosoft.com
 Get-AzRoleAssignment -Scope /subscriptions/<subscription-id>/resourceGroups/<res_group_name>/providers/Microsoft.Compute/virtualMachines/<vm_name>
+# Get deny assignments
+Get-AzDenyAssignment # Get from current subscription
+Get-AzDenyAssignment -Scope '/subscriptions/96231a05-34ce-4eb4-aa6a-70759cbb5e83/resourcegroups/testRG/providers/Microsoft.Web/sites/site1'
 ```
+{{#endtab }}
+{{#endtabs }}
+```
+
 {{#endtab }}

 {{#tab name="Raw" }}
+
 ```bash
-# Get permissions over a resource using ARM directly
+# Obter permissões sobre um recurso usando ARM diretamente
 $Token = (Get-AzAccessToken).Token
 $URI = 'https://management.azure.com/subscriptions/b413826f-108d-4049-8c11-d52d5d388768/resourceGroups/Research/providers/Microsoft.Compute/virtualMachines/infradminsrv/providers/Microsoft.Authorization/permissions?api-version=2015-07-01'
 $RequestParams = @{
@@ -894,12 +906,13 @@ Headers = @{
 }
 (Invoke-RestMethod @RequestParams).value
 ```
+
 {{#endtab }}
 {{#endtabs }}

-### Funções do Entra ID
+### Entra ID Roles

-Para mais informações sobre funções do Azure, consulte:
+For more information about Azure roles check:

 {{#ref}}
 ../az-basic-information/
@@ -907,125 +920,134 @@ Para mais informações sobre funções do Azure, consulte:

 {{#tabs }}
 {{#tab name="az cli" }}
+
 ```bash
-# List template Entra ID roles
+# Listar modelos de funções do Entra ID
 az rest --method GET \
 --uri "https://graph.microsoft.com/v1.0/directoryRoleTemplates"

-# List enabled built-in Entra ID roles
+# Listar funções integradas do Entra ID habilitadas
 az rest --method GET \
 --uri "https://graph.microsoft.com/v1.0/directoryRoles"

-# List all Entra ID roles with their permissions (including custom roles)
+# Listar todas as funções do Entra ID com suas permissões (incluindo funções personalizadas)
 az rest --method GET \
 --uri "https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions"

-# List only custom Entra ID roles
+# Listar apenas funções personalizadas do Entra ID
 az rest --method GET \
 --uri "https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions" | jq '.value[] | select(.isBuiltIn == false)'

-# List all assigned Entra ID roles
+# Listar todas as funções do Entra ID atribuídas
 az rest --method GET \
 --uri "https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments"

-# List members of a Entra ID roles
+# Listar membros de uma função do Entra ID
 az rest --method GET \
 --uri "https://graph.microsoft.com/v1.0/directoryRoles/<role-id>/members"

-# List Entra ID roles assigned to a user
+# Listar funções do Entra ID atribuídas a um usuário
 az rest --method GET \
 --uri "https://graph.microsoft.com/v1.0/users/<user-id>/memberOf/microsoft.graph.directoryRole" \
 --query "value[]" \
 --output json

-# List Entra ID roles assigned to a group
+# Listar funções do Entra ID atribuídas a um grupo
 az rest --method GET \
 --uri "https://graph.microsoft.com/v1.0/groups/$GROUP_ID/memberOf/microsoft.graph.directoryRole" \
 --query "value[]" \
 --output json

-# List Entra ID roles assigned to a service principal
+# Listar funções do Entra ID atribuídas a um principal de serviço
 az rest --method GET \
 --uri "https://graph.microsoft.com/v1.0/servicePrincipals/$SP_ID/memberOf/microsoft.graph.directoryRole" \
 --query "value[]" \
 --output json
 ```
+
 {{#endtab }}

 {{#tab name="Azure AD" }}
+
 ```bash
-# Get all available role templates
+# Obter todos os modelos de função disponíveis
 Get-AzureADDirectoryroleTemplate
-# Get enabled roles (Assigned roles)
+# Obter funções habilitadas (Funções atribuídas)
 Get-AzureADDirectoryRole
-Get-AzureADDirectoryRole -ObjectId <roleID> #Get info about the role
-# Get custom roles - use AzureAdPreview
+Get-AzureADDirectoryRole -ObjectId <roleID> #Obter informações sobre a função
+# Obter funções personalizadas - use AzureAdPreview
 Get-AzureADMSRoleDefinition | ?{$_.IsBuiltin -eq $False} | select DisplayName
-# Users assigned a role (Global Administrator)
+# Usuários atribuídos a uma função (Administrador Global)
 Get-AzureADDirectoryRole -Filter "DisplayName eq 'Global Administrator'" | Get-AzureADDirectoryRoleMember
 Get-AzureADDirectoryRole -ObjectId <id> | fl
-# Roles of the Administrative Unit (who has permissions over the administrative unit and its members)
+# Funções da Unidade Administrativa (quem tem permissões sobre a unidade administrativa e seus membros)
 Get-AzureADMSScopedRoleMembership -Id <id> | fl *
 ```
+
 {{#endtab }}
 {{#endtabs }}

-### Dispositivos
+### Devices

 {{#tabs }}
 {{#tab name="az cli" }}
+
 ```bash
-# If you know how to do this send a PR!
+# Se você sabe como fazer isso, envie um PR!
 ```
+
 {{#endtab }}
 {{#tab name="MS Graph" }}
+
 ```bash
-# Enumerate devices using Microsoft Graph PowerShell
+# Enumerar dispositivos usando Microsoft Graph PowerShell
 Get-MgDevice -All

-# Get device details
+# Obter detalhes do dispositivo
 Get-MgDevice -DeviceId <DeviceId> | Format-List *

-# Get devices managed using Intune
+# Obter dispositivos gerenciados usando Intune
 Get-MgDevice -Filter "isCompliant eq true" -All

-# Get devices owned by a user
+# Obter dispositivos de propriedade de um usuário
 Get-MgUserOwnedDevice -UserId test@corp.onmicrosoft.com

-# List available commands in Microsoft Graph PowerShell
+# Listar comandos disponíveis no Microsoft Graph PowerShell
 Get-Command -Module Microsoft.Graph.Identity.DirectoryManagement
 ```
 {{#endtab }}

 {{#tab name="Azure AD" }}
+
 ```bash
-# Enumerate Devices
+# Enumerar Dispositivos
 Get-AzureADDevice -All $true | fl *
-# List all the active devices (and not the stale devices)
+# Listar todos os dispositivos ativos (e não os dispositivos obsoletos)
 Get-AzureADDevice -All $true | ?{$_.ApproximateLastLogonTimeStamp -ne $null}
-# Get owners of all devices
+# Obter proprietários de todos os dispositivos
 Get-AzureADDevice -All $true | Get-AzureADDeviceRegisteredOwner
 Get-AzureADDevice -All $true | %{if($user=Get-AzureADDeviceRegisteredOwner -ObjectId $_.ObjectID){$_;$user.UserPrincipalName;"`n"}}
-# Registred users of all the devices
+# Usuários registrados de todos os dispositivos
 Get-AzureADDevice -All $true | Get-AzureADDeviceRegisteredUser
 Get-AzureADDevice -All $true | %{if($user=Get-AzureADDeviceRegisteredUser -ObjectId $_.ObjectID){$_;$user.UserPrincipalName;"`n"}}
-# Get dives managed using Intune
+# Obter dispositivos gerenciados usando Intune
 Get-AzureADDevice -All $true | ?{$_.IsCompliant -eq "True"}
-# Get devices owned by a user
+# Obter dispositivos pertencentes a um usuário
 Get-AzureADUserOwnedDevice -ObjectId test@corp.onmicrosoft.com
-# Get Administrative Units of a device
+# Obter Unidades Administrativas de um dispositivo
 Get-AzureADMSAdministrativeUnit | where { Get-AzureADMSAdministrativeUnitMember -ObjectId $_.ObjectId | where {$_.ObjectId -eq $deviceObjId} }
 ```
+
 {{#endtab }}
 {{#endtabs }}

 > [!WARNING]
-> Se um dispositivo (VM) estiver **juntado ao AzureAD**, usuários do AzureAD poderão **fazer login**.\
-> Além disso, se o usuário logado for **Proprietário** do dispositivo, ele será **administrador local**.
+> If a device (VM) is **AzureAD joined**, users from AzureAD are going to be **able to login**.\
+> Moreover, if the logged user is **Owner** of the device, he is going to be **local admin**.

-### Unidades Administrativas
+### Administrative Units

-Para mais informações sobre unidades administrativas, consulte:
+For more information about administrative units check:

 {{#ref}}
 ../az-basic-information/
@@ -1033,100 +1055,104 @@ Para mais informações sobre unidades administrativas, consulte:

 {{#tabs }}
 {{#tab name="az cli" }}
+
 ```bash
-# List all administrative units
+# Listar todas as unidades administrativas
 az rest --method GET --uri "https://graph.microsoft.com/v1.0/directory/administrativeUnits"
-# Get AU info
+# Obter informações da AU
 az rest --method GET --uri "https://graph.microsoft.com/v1.0/directory/administrativeUnits/a76fd255-3e5e-405b-811b-da85c715ff53"
-# Get members
+# Obter membros
 az rest --method GET --uri "https://graph.microsoft.com/v1.0/directory/administrativeUnits/a76fd255-3e5e-405b-811b-da85c715ff53/members"
-# Get principals with roles over the AU
+# Obter principais com funções sobre a AU
 az rest --method GET --uri "https://graph.microsoft.com/v1.0/directory/administrativeUnits/a76fd255-3e5e-405b-811b-da85c715ff53/scopedRoleMembers"
 ```
+
 {{#endtab }}

 {{#tab name="AzureAD" }}
+
 ```bash
-# Get Administrative Units
+# Obter Unidades Administrativas
 Get-AzureADMSAdministrativeUnit
 Get-AzureADMSAdministrativeUnit -Id <id>
-# Get ID of admin unit by string
+# Obter ID da unidade administrativa por string
 $adminUnitObj = Get-AzureADMSAdministrativeUnit -Filter "displayname eq 'Test administrative unit 2'"
-# List the users, groups, and devices affected by the administrative unit
+# Listar os usuários, grupos e dispositivos afetados pela unidade administrativa
 Get-AzureADMSAdministrativeUnitMember -Id <id>
-# Get the roles users have over the members of the AU
-Get-AzureADMSScopedRoleMembership -Id <id> | fl #Get role ID and role members
+# Obter os papéis que os usuários têm sobre os membros da AU
+Get-AzureADMSScopedRoleMembership -Id <id> | fl #Obter ID do papel e membros do papel
 ```
+
 {{#endtab }}
 {{#endtabs }}

-## Escalação de Privilégios do Entra ID
+## Entra ID Privilege Escalation

 {{#ref}}
 ../az-privilege-escalation/az-entraid-privesc/
 {{#endref}}

-## Escalação de Privilégios do Azure
+## Azure Privilege Escalation

 {{#ref}}
 ../az-privilege-escalation/az-authorization-privesc.md
 {{#endref}}

-## Mecanismos Defensivos
+## Defensive Mechanisms

-### Gerenciamento de Identidade Privilegiada (PIM)
+### Privileged Identity Management (PIM)

-O Gerenciamento de Identidade Privilegiada (PIM) no Azure ajuda a **prevenir a atribuição excessiva de privilégios** a usuários desnecessariamente.
+Privileged Identity Management (PIM) in Azure helps to **prevent excessive privileges** to being assigned to users unnecessarily.

-Uma das principais características fornecidas pelo PIM é que ele permite não atribuir funções a principais que estão constantemente ativos, mas torná-los **elegíveis por um período de tempo (por exemplo, 6 meses)**. Então, sempre que o usuário quiser ativar essa função, ele precisa solicitá-la indicando o tempo que precisa do privilégio (por exemplo, 3 horas). Em seguida, um **administrador precisa aprovar** a solicitação.\
-Observe que o usuário também poderá solicitar a **prorrogação** do tempo.
+One of the main features provided by PIM is that It allows to not assign roles to principals that are constantly active, but make them **eligible for a period of time (e.g. 6months)**. Then, whenever the user wants to activate that role, he needs to ask for it indicating the time he needs the privilege (e.g. 3 hours). Then an **admin needs to approve** the request.\
+Note that the user will also be able to ask to **extend** the time.

-Além disso, **o PIM envia e-mails** sempre que um papel privilegiado está sendo atribuído a alguém.
+Moreover, **PIM send emails** whenever a privileged role is being assigned to someone.

 <figure><img src="../../../images/image (354).png" alt=""><figcaption></figcaption></figure>

-Quando o PIM está habilitado, é possível configurar cada função com certos requisitos, como:
+When PIM is enabled it's possible to configure each role with certain requirements like:

- Duração máxima (horas) de ativação
- Exigir MFA na ativação
- Exigir contexto de autenticação de Acesso Condicional
- Exigir justificativa na ativação
- Exigir informações de ticket na ativação
- Exigir aprovação para ativar
- Tempo máximo para expirar as atribuições elegíveis
- Muitas mais configurações sobre quando e quem enviar notificações quando certas ações acontecem com esse papel
+- Maximum duration (hours) of activation
+- Require MFA on activation
+- Require Conditional Access acuthenticaiton context
+- Require justification on activation
+- Require ticket information on activation
+- Require approval to activate
+- Max time to expire the elegible assignments
+- A lot more configuration on when and who to send notifications when certain actions happen with that role

-### Políticas de Acesso Condicional
+### Conditional Access Policies

-Verifique:
+Check:

 {{#ref}}
 ../az-privilege-escalation/az-entraid-privesc/az-conditional-access-policies-mfa-bypass.md
 {{#endref}}

-### Proteção de Identidade do Entra
+### Entra Identity Protection

-A Proteção de Identidade do Entra é um serviço de segurança que permite **detectar quando um usuário ou um login é muito arriscado** para ser aceito, permitindo **bloquear** o usuário ou a tentativa de login.
+Entra Identity Protection is a security service that allows to **detect when a user or a sign-in is too risky** to be accepted, allowing to **block** the user or the sig-in attempt.

-Permite que o administrador o configure para **bloquear** tentativas quando o risco é "Baixo e acima", "Médio e acima" ou "Alto". Embora, por padrão, esteja completamente **desativado**:
+It allows the admin to configure it to **block** attempts when the risk is "Low and above", "Medium and above" or "High". Although, by default it's completely **disabled**:

 <figure><img src="../../../images/image (356).png" alt=""><figcaption></figcaption></figure>

 > [!TIP]
-> Atualmente, é recomendado adicionar essas restrições por meio de políticas de Acesso Condicional, onde é possível configurar as mesmas opções.
+> Nowadays it's recommended to add these restrictions via Conditional Access policies where it's possible to configure the same options.

-### Proteção de Senha do Entra
+### Entra Password Protection

-A Proteção de Senha do Entra ([https://portal.azure.com/index.html#view/Microsoft_AAD_ConditionalAccess/PasswordProtectionBlade](https://portal.azure.com/#view/Microsoft_AAD_ConditionalAccess/PasswordProtectionBlade)) é um recurso de segurança que **ajuda a prevenir o abuso de senhas fracas ao bloquear contas quando várias tentativas de login malsucedidas ocorrem**.\
-Também permite **proibir uma lista de senhas personalizadas** que você precisa fornecer.
+Entra Password Protection ([https://portal.azure.com/index.html#view/Microsoft_AAD_ConditionalAccess/PasswordProtectionBlade](https://portal.azure.com/#view/Microsoft_AAD_ConditionalAccess/PasswordProtectionBlade)) is a security feature that **helps prevent the abuse of weak passwords in by locking out accounts when several unsuccessful login attempts happen**.\
+It also allows to **ban a custom password list** that you need to provide.

-Pode ser **aplicada tanto** no nível da nuvem quanto no Active Directory local.
+It can be **applied both** at the cloud level and on-premises Active Directory.

-O modo padrão é **Auditoria**:
+The default mode is **Audit**:

 <figure><img src="../../../images/image (355).png" alt=""><figcaption></figcaption></figure>

-## Referências
+## References

 - [https://learn.microsoft.com/en-us/azure/active-directory/roles/administrative-units](https://learn.microsoft.com/en-us/azure/active-directory/roles/administrative-units)