Translated ['src/pentesting-cloud/azure-security/az-services/az-azuread.

2025-12-29 06:03:26 -08:00 · 2025-02-09 17:53:42 +00:00
parent 13db187078
commit 44eeed572c
1 changed files with 106 additions and 80 deletions
--- a/src/pentesting-cloud/azure-security/az-services/az-azuread.md
+++ b/src/pentesting-cloud/azure-security/az-services/az-azuread.md
@@ -184,11 +184,11 @@ Connect-AzureAD -AccountId test@corp.onmicrosoft.com -AadAccessToken $token
 {{#endtab }}
 {{#endtabs }}

-Cuando **inicias sesión** a través de **CLI** en Azure con cualquier programa, estás utilizando una **Aplicación de Azure** de un **inquilino** que pertenece a **Microsoft**. Estas Aplicaciones, como las que puedes crear en tu cuenta, **tienen un id de cliente**. **No podrás ver todas ellas** en las **listas de aplicaciones permitidas** que puedes ver en la consola, **pero están permitidas por defecto**.
+Cuando inicias sesión a través de CLI en Azure con cualquier programa, estás utilizando una Aplicación de Azure de un inquilino que pertenece a Microsoft. Estas Aplicaciones, como las que puedes crear en tu cuenta, tienen un id de cliente. No podrás ver todas ellas en las listas de aplicaciones permitidas que puedes ver en la consola, pero están permitidas por defecto.

-Por ejemplo, un **script de powershell** que **autentica** utiliza una aplicación con el id de cliente **`1950a258-227b-4e31-a9cf-717495945fc2`**. Incluso si la aplicación no aparece en la consola, un sysadmin podría **bloquear esa aplicación** para que los usuarios no puedan acceder utilizando herramientas que se conectan a través de esa App.
+Por ejemplo, un script de powershell que autentica utiliza una aplicación con el id de cliente `1950a258-227b-4e31-a9cf-717495945fc2`. Incluso si la aplicación no aparece en la consola, un sysadmin podría bloquear esa aplicación para que los usuarios no puedan acceder utilizando herramientas que se conectan a través de esa App.

-Sin embargo, hay **otros ids de cliente** de aplicaciones que **te permitirán conectarte a Azure**:
+Sin embargo, hay otros ids de cliente de aplicaciones que te permitirán conectarte a Azure:
 ```bash
 # The important part is the ClientId, which identifies the application to login inside Azure

@@ -365,7 +365,7 @@ $password = "ThisIsTheNewPassword.!123" | ConvertTo- SecureString -AsPlainText
 ```
 ### MFA y Políticas de Acceso Condicional

-Se recomienda encarecidamente agregar MFA a cada usuario, sin embargo, algunas empresas no lo configurarán o podrían configurarlo con un Acceso Condicional: El usuario será **requerido MFA si** inicia sesión desde una ubicación, navegador o **alguna condición** específica. Estas políticas, si no se configuran correctamente, podrían ser propensas a **bypasses**. Verifica:
+Se recomienda encarecidamente agregar MFA a cada usuario, sin embargo, algunas empresas no lo configurarán o podrían configurarlo con un Acceso Condicional: El usuario será **requerido MFA si** inicia sesión desde una ubicación específica, navegador o **alguna condición**. Estas políticas, si no se configuran correctamente, pueden ser propensas a **bypasses**. Verifica:

 {{#ref}}
 ../az-privilege-escalation/az-entraid-privesc/az-conditional-access-policies-mfa-bypass.md
@@ -487,7 +487,7 @@ Los propietarios del grupo pueden agregar nuevos usuarios al grupo.
 Add-AzureADGroupMember -ObjectId <group_id> -RefObjectId <user_id> -Verbose
 ```
 > [!WARNING]
-> Los grupos pueden ser dinámicos, lo que básicamente significa que **si un usuario cumple ciertas condiciones, será agregado a un grupo**. Por supuesto, si las condiciones se basan en **atributos** que un **usuario** puede **controlar**, podría abusar de esta función para **entrar en otros grupos**.\
+> Los grupos pueden ser dinámicos, lo que básicamente significa que **si un usuario cumple ciertas condiciones, será agregado a un grupo**. Por supuesto, si las condiciones se basan en **atributos** que un **usuario** puede **controlar**, podría abusar de esta función para **ingresar a otros grupos**.\
 > Consulta cómo abusar de grupos dinámicos en la siguiente página:

 {{#ref}}
@@ -840,11 +840,15 @@ az role definition list --resource-group <resource_group>
 # Get only roles assigned to the indicated scope
 az role definition list --scope <scope>
 # Get all the principals a role is assigned to
-az role assignment list --all --query "[].{principalName:principalName,principalType:principalType,resourceGroup:resourceGroup,roleDefinitionName:roleDefinitionName}[?roleDefinitionName=='<ROLE_NAME>']"
+az role assignment list --all --query "[].{principalName:principalName,principalType:principalType,scope:scope,roleDefinitionName:roleDefinitionName}[?roleDefinitionName=='<ROLE_NAME>']"
 # Get all the roles assigned to a user
 az role assignment list --assignee "<email>" --all --output table
 # Get all the roles assigned to a user by filtering
 az role assignment list --all --query "[?principalName=='admin@organizationadmin.onmicrosoft.com']" --output table
+# Get deny assignments
+az rest --method GET --uri "https://management.azure.com/{scope}/providers/Microsoft.Authorization/denyAssignments?api-version=2022-04-01"
+## Example scope of subscription
+az rest --method GET --uri "https://management.azure.com/subscriptions/9291ff6e-6afb-430e-82a4-6f04b2d05c7f/providers/Microsoft.Authorization/denyAssignments?api-version=2022-04-01"
 ```
 {{#endtab }}

@@ -877,12 +881,20 @@ Get-AzRoleDefinition -Name "Virtual Machine Command Executor"
 # Get roles of a user or resource
 Get-AzRoleAssignment -SignInName test@corp.onmicrosoft.com
 Get-AzRoleAssignment -Scope /subscriptions/<subscription-id>/resourceGroups/<res_group_name>/providers/Microsoft.Compute/virtualMachines/<vm_name>
+# Get deny assignments
+Get-AzDenyAssignment # Get from current subscription
+Get-AzDenyAssignment -Scope '/subscriptions/96231a05-34ce-4eb4-aa6a-70759cbb5e83/resourcegroups/testRG/providers/Microsoft.Web/sites/site1'
 ```
+{{#endtab }}
+{{#endtabs }}
+```
+
 {{#endtab }}

 {{#tab name="Raw" }}
+
 ```bash
-# Get permissions over a resource using ARM directly
+# Obtener permisos sobre un recurso usando ARM directamente
 $Token = (Get-AzAccessToken).Token
 $URI = 'https://management.azure.com/subscriptions/b413826f-108d-4049-8c11-d52d5d388768/resourceGroups/Research/providers/Microsoft.Compute/virtualMachines/infradminsrv/providers/Microsoft.Authorization/permissions?api-version=2015-07-01'
 $RequestParams = @{
@@ -894,12 +906,13 @@ Headers = @{
 }
 (Invoke-RestMethod @RequestParams).value
 ```
+
 {{#endtab }}
 {{#endtabs }}

-### Roles de Entra ID
+### Entra ID Roles

-Para más información sobre los roles de Azure, consulta:
+For more information about Azure roles check:

 {{#ref}}
 ../az-basic-information/
@@ -907,125 +920,134 @@ Para más información sobre los roles de Azure, consulta:

 {{#tabs }}
 {{#tab name="az cli" }}
+
 ```bash
-# List template Entra ID roles
+# Listar plantillas de roles de Entra ID
 az rest --method GET \
 --uri "https://graph.microsoft.com/v1.0/directoryRoleTemplates"

-# List enabled built-in Entra ID roles
+# Listar roles integrados habilitados de Entra ID
 az rest --method GET \
 --uri "https://graph.microsoft.com/v1.0/directoryRoles"

-# List all Entra ID roles with their permissions (including custom roles)
+# Listar todos los roles de Entra ID con sus permisos (incluidos los roles personalizados)
 az rest --method GET \
 --uri "https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions"

-# List only custom Entra ID roles
+# Listar solo roles personalizados de Entra ID
 az rest --method GET \
 --uri "https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions" | jq '.value[] | select(.isBuiltIn == false)'

-# List all assigned Entra ID roles
+# Listar todos los roles de Entra ID asignados
 az rest --method GET \
 --uri "https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments"

-# List members of a Entra ID roles
+# Listar miembros de un rol de Entra ID
 az rest --method GET \
 --uri "https://graph.microsoft.com/v1.0/directoryRoles/<role-id>/members"

-# List Entra ID roles assigned to a user
+# Listar roles de Entra ID asignados a un usuario
 az rest --method GET \
 --uri "https://graph.microsoft.com/v1.0/users/<user-id>/memberOf/microsoft.graph.directoryRole" \
 --query "value[]" \
 --output json

-# List Entra ID roles assigned to a group
+# Listar roles de Entra ID asignados a un grupo
 az rest --method GET \
 --uri "https://graph.microsoft.com/v1.0/groups/$GROUP_ID/memberOf/microsoft.graph.directoryRole" \
 --query "value[]" \
 --output json

-# List Entra ID roles assigned to a service principal
+# Listar roles de Entra ID asignados a un principal de servicio
 az rest --method GET \
 --uri "https://graph.microsoft.com/v1.0/servicePrincipals/$SP_ID/memberOf/microsoft.graph.directoryRole" \
 --query "value[]" \
 --output json
 ```
+
 {{#endtab }}

 {{#tab name="Azure AD" }}
+
 ```bash
-# Get all available role templates
+# Obtener todas las plantillas de roles disponibles
 Get-AzureADDirectoryroleTemplate
-# Get enabled roles (Assigned roles)
+# Obtener roles habilitados (roles asignados)
 Get-AzureADDirectoryRole
-Get-AzureADDirectoryRole -ObjectId <roleID> #Get info about the role
-# Get custom roles - use AzureAdPreview
+Get-AzureADDirectoryRole -ObjectId <roleID> #Obtener información sobre el rol
+# Obtener roles personalizados - usar AzureAdPreview
 Get-AzureADMSRoleDefinition | ?{$_.IsBuiltin -eq $False} | select DisplayName
-# Users assigned a role (Global Administrator)
+# Usuarios asignados a un rol (Administrador Global)
 Get-AzureADDirectoryRole -Filter "DisplayName eq 'Global Administrator'" | Get-AzureADDirectoryRoleMember
 Get-AzureADDirectoryRole -ObjectId <id> | fl
-# Roles of the Administrative Unit (who has permissions over the administrative unit and its members)
+# Roles de la Unidad Administrativa (quién tiene permisos sobre la unidad administrativa y sus miembros)
 Get-AzureADMSScopedRoleMembership -Id <id> | fl *
 ```
+
 {{#endtab }}
 {{#endtabs }}

-### Dispositivos
+### Devices

 {{#tabs }}
 {{#tab name="az cli" }}
+
 ```bash
-# If you know how to do this send a PR!
+# Si sabes cómo hacer esto, ¡envía un PR!
 ```
+
 {{#endtab }}
 {{#tab name="MS Graph" }}
+
 ```bash
-# Enumerate devices using Microsoft Graph PowerShell
+# Enumerar dispositivos usando Microsoft Graph PowerShell
 Get-MgDevice -All

-# Get device details
+# Obtener detalles del dispositivo
 Get-MgDevice -DeviceId <DeviceId> | Format-List *

-# Get devices managed using Intune
+# Obtener dispositivos gestionados usando Intune
 Get-MgDevice -Filter "isCompliant eq true" -All

-# Get devices owned by a user
+# Obtener dispositivos propiedad de un usuario
 Get-MgUserOwnedDevice -UserId test@corp.onmicrosoft.com

-# List available commands in Microsoft Graph PowerShell
+# Listar comandos disponibles en Microsoft Graph PowerShell
 Get-Command -Module Microsoft.Graph.Identity.DirectoryManagement
 ```
 {{#endtab }}

 {{#tab name="Azure AD" }}
+
 ```bash
-# Enumerate Devices
+# Enumerar Dispositivos
 Get-AzureADDevice -All $true | fl *
-# List all the active devices (and not the stale devices)
+# Listar todos los dispositivos activos (y no los dispositivos obsoletos)
 Get-AzureADDevice -All $true | ?{$_.ApproximateLastLogonTimeStamp -ne $null}
-# Get owners of all devices
+# Obtener propietarios de todos los dispositivos
 Get-AzureADDevice -All $true | Get-AzureADDeviceRegisteredOwner
 Get-AzureADDevice -All $true | %{if($user=Get-AzureADDeviceRegisteredOwner -ObjectId $_.ObjectID){$_;$user.UserPrincipalName;"`n"}}
-# Registred users of all the devices
+# Usuarios registrados de todos los dispositivos
 Get-AzureADDevice -All $true | Get-AzureADDeviceRegisteredUser
 Get-AzureADDevice -All $true | %{if($user=Get-AzureADDeviceRegisteredUser -ObjectId $_.ObjectID){$_;$user.UserPrincipalName;"`n"}}
-# Get dives managed using Intune
+# Obtener dispositivos gestionados usando Intune
 Get-AzureADDevice -All $true | ?{$_.IsCompliant -eq "True"}
-# Get devices owned by a user
+# Obtener dispositivos propiedad de un usuario
 Get-AzureADUserOwnedDevice -ObjectId test@corp.onmicrosoft.com
-# Get Administrative Units of a device
+# Obtener Unidades Administrativas de un dispositivo
 Get-AzureADMSAdministrativeUnit | where { Get-AzureADMSAdministrativeUnitMember -ObjectId $_.ObjectId | where {$_.ObjectId -eq $deviceObjId} }
 ```
+
 {{#endtab }}
 {{#endtabs }}

 > [!WARNING]
-> Si un dispositivo (VM) está **unido a AzureAD**, los usuarios de AzureAD podrán **iniciar sesión**.\
-> Además, si el usuario conectado es **Propietario** del dispositivo, será **administrador local**.
+> If a device (VM) is **AzureAD joined**, users from AzureAD are going to be **able to login**.\
+> Moreover, if the logged user is **Owner** of the device, he is going to be **local admin**.

-### Unidades Administrativas
+### Administrative Units

-Para más información sobre unidades administrativas, consulta:
+For more information about administrative units check:

 {{#ref}}
 ../az-basic-information/
@@ -1033,100 +1055,104 @@ Para más información sobre unidades administrativas, consulta:

 {{#tabs }}
 {{#tab name="az cli" }}
+
 ```bash
-# List all administrative units
+# Listar todas las unidades administrativas
 az rest --method GET --uri "https://graph.microsoft.com/v1.0/directory/administrativeUnits"
-# Get AU info
+# Obtener información de la AU
 az rest --method GET --uri "https://graph.microsoft.com/v1.0/directory/administrativeUnits/a76fd255-3e5e-405b-811b-da85c715ff53"
-# Get members
+# Obtener miembros
 az rest --method GET --uri "https://graph.microsoft.com/v1.0/directory/administrativeUnits/a76fd255-3e5e-405b-811b-da85c715ff53/members"
-# Get principals with roles over the AU
+# Obtener principios con roles sobre la AU
 az rest --method GET --uri "https://graph.microsoft.com/v1.0/directory/administrativeUnits/a76fd255-3e5e-405b-811b-da85c715ff53/scopedRoleMembers"
 ```
+
 {{#endtab }}

 {{#tab name="AzureAD" }}
+
 ```bash
-# Get Administrative Units
+# Obtener Unidades Administrativas
 Get-AzureADMSAdministrativeUnit
 Get-AzureADMSAdministrativeUnit -Id <id>
-# Get ID of admin unit by string
+# Obtener ID de la unidad administrativa por cadena
 $adminUnitObj = Get-AzureADMSAdministrativeUnit -Filter "displayname eq 'Test administrative unit 2'"
-# List the users, groups, and devices affected by the administrative unit
+# Listar los usuarios, grupos y dispositivos afectados por la unidad administrativa
 Get-AzureADMSAdministrativeUnitMember -Id <id>
-# Get the roles users have over the members of the AU
-Get-AzureADMSScopedRoleMembership -Id <id> | fl #Get role ID and role members
+# Obtener los roles que los usuarios tienen sobre los miembros de la AU
+Get-AzureADMSScopedRoleMembership -Id <id> | fl #Obtener ID de rol y miembros del rol
 ```
+
 {{#endtab }}
 {{#endtabs }}

-## Escalación de Privilegios de Entra ID
+## Entra ID Privilege Escalation

 {{#ref}}
 ../az-privilege-escalation/az-entraid-privesc/
 {{#endref}}

-## Escalación de Privilegios de Azure
+## Azure Privilege Escalation

 {{#ref}}
 ../az-privilege-escalation/az-authorization-privesc.md
 {{#endref}}

-## Mecanismos Defensivos
+## Defensive Mechanisms

-### Gestión de Identidades Privilegiadas (PIM)
+### Privileged Identity Management (PIM)

-La Gestión de Identidades Privilegiadas (PIM) en Azure ayuda a **prevenir que se asignen privilegios excesivos** a los usuarios innecesariamente.
+Privileged Identity Management (PIM) in Azure helps to **prevent excessive privileges** to being assigned to users unnecessarily.

-Una de las principales características que ofrece PIM es que permite no asignar roles a los principales que están constantemente activos, sino hacerlos **elegibles por un período de tiempo (por ejemplo, 6 meses)**. Luego, cada vez que el usuario quiera activar ese rol, necesita solicitarlo indicando el tiempo que necesita el privilegio (por ejemplo, 3 horas). Luego, un **administrador necesita aprobar** la solicitud.\
-Tenga en cuenta que el usuario también podrá solicitar **extender** el tiempo.
+One of the main features provided by PIM is that It allows to not assign roles to principals that are constantly active, but make them **eligible for a period of time (e.g. 6months)**. Then, whenever the user wants to activate that role, he needs to ask for it indicating the time he needs the privilege (e.g. 3 hours). Then an **admin needs to approve** the request.\
+Note that the user will also be able to ask to **extend** the time.

-Además, **PIM envía correos electrónicos** cada vez que se asigna un rol privilegiado a alguien.
+Moreover, **PIM send emails** whenever a privileged role is being assigned to someone.

 <figure><img src="../../../images/image (354).png" alt=""><figcaption></figcaption></figure>

-Cuando PIM está habilitado, es posible configurar cada rol con ciertos requisitos como:
+When PIM is enabled it's possible to configure each role with certain requirements like:

- Duración máxima (horas) de activación
- Requerir MFA en la activación
- Requerir contexto de autenticación de Acceso Condicional
- Requerir justificación en la activación
- Requerir información de ticket en la activación
- Requerir aprobación para activar
- Tiempo máximo para expirar las asignaciones elegibles
- Mucha más configuración sobre cuándo y a quién enviar notificaciones cuando ocurren ciertas acciones con ese rol
+- Maximum duration (hours) of activation
+- Require MFA on activation
+- Require Conditional Access acuthenticaiton context
+- Require justification on activation
+- Require ticket information on activation
+- Require approval to activate
+- Max time to expire the elegible assignments
+- A lot more configuration on when and who to send notifications when certain actions happen with that role

-### Políticas de Acceso Condicional
+### Conditional Access Policies

-Ver:
+Check:

 {{#ref}}
 ../az-privilege-escalation/az-entraid-privesc/az-conditional-access-policies-mfa-bypass.md
 {{#endref}}

-### Protección de Identidad de Entra
+### Entra Identity Protection

-La Protección de Identidad de Entra es un servicio de seguridad que permite **detectar cuando un usuario o un inicio de sesión es demasiado arriesgado** para ser aceptado, permitiendo **bloquear** al usuario o el intento de inicio de sesión.
+Entra Identity Protection is a security service that allows to **detect when a user or a sign-in is too risky** to be accepted, allowing to **block** the user or the sig-in attempt.

-Permite al administrador configurarlo para **bloquear** intentos cuando el riesgo es "Bajo y superior", "Medio y superior" o "Alto". Aunque, por defecto está completamente **deshabilitado**:
+It allows the admin to configure it to **block** attempts when the risk is "Low and above", "Medium and above" or "High". Although, by default it's completely **disabled**:

 <figure><img src="../../../images/image (356).png" alt=""><figcaption></figcaption></figure>

 > [!TIP]
-> Hoy en día se recomienda agregar estas restricciones a través de políticas de Acceso Condicional donde es posible configurar las mismas opciones.
+> Nowadays it's recommended to add these restrictions via Conditional Access policies where it's possible to configure the same options.

-### Protección de Contraseñas de Entra
+### Entra Password Protection

-La Protección de Contraseñas de Entra ([https://portal.azure.com/index.html#view/Microsoft_AAD_ConditionalAccess/PasswordProtectionBlade](https://portal.azure.com/#view/Microsoft_AAD_ConditionalAccess/PasswordProtectionBlade)) es una característica de seguridad que **ayuda a prevenir el abuso de contraseñas débiles al bloquear cuentas cuando ocurren varios intentos de inicio de sesión fallidos**.\
-También permite **prohibir una lista de contraseñas personalizadas** que debe proporcionar.
+Entra Password Protection ([https://portal.azure.com/index.html#view/Microsoft_AAD_ConditionalAccess/PasswordProtectionBlade](https://portal.azure.com/#view/Microsoft_AAD_ConditionalAccess/PasswordProtectionBlade)) is a security feature that **helps prevent the abuse of weak passwords in by locking out accounts when several unsuccessful login attempts happen**.\
+It also allows to **ban a custom password list** that you need to provide.

-Se puede **aplicar tanto** a nivel de nube como en Active Directory local.
+It can be **applied both** at the cloud level and on-premises Active Directory.

-El modo predeterminado es **Auditoría**:
+The default mode is **Audit**:

 <figure><img src="../../../images/image (355).png" alt=""><figcaption></figcaption></figure>

-## Referencias
+## References

 - [https://learn.microsoft.com/en-us/azure/active-directory/roles/administrative-units](https://learn.microsoft.com/en-us/azure/active-directory/roles/administrative-units)