From b4ef677ea55c1ca198ae886aa0e79af23f16aefc Mon Sep 17 00:00:00 2001 From: Translator Date: Sun, 9 Feb 2025 17:53:44 +0000 Subject: [PATCH] Translated ['src/pentesting-cloud/azure-security/az-services/az-azuread. --- .../azure-security/az-services/az-azuread.md | 186 ++++++++++-------- 1 file changed, 106 insertions(+), 80 deletions(-) diff --git a/src/pentesting-cloud/azure-security/az-services/az-azuread.md b/src/pentesting-cloud/azure-security/az-services/az-azuread.md index 98a77428e..459a04e38 100644 --- a/src/pentesting-cloud/azure-security/az-services/az-azuread.md +++ b/src/pentesting-cloud/azure-security/az-services/az-azuread.md @@ -4,9 +4,9 @@ ## Basic Information -Το Azure Active Directory (Azure AD) λειτουργεί ως η υπηρεσία διαχείρισης ταυτοτήτων και πρόσβασης της Microsoft που βασίζεται στο cloud. Είναι καθοριστικής σημασίας για την δυνατότητα των υπαλλήλων να συνδέονται και να αποκτούν πρόσβαση σε πόρους, τόσο εντός όσο και εκτός της οργάνωσης, περιλαμβάνοντας το Microsoft 365, την πύλη Azure και μια πληθώρα άλλων SaaS εφαρμογών. Ο σχεδιασμός του Azure AD επικεντρώνεται στην παροχή βασικών υπηρεσιών ταυτοποίησης, περιλαμβάνοντας κυρίως **authentication, authorization, and user management**. +Το Azure Active Directory (Azure AD) λειτουργεί ως η υπηρεσία της Microsoft για τη διαχείριση ταυτοτήτων και προσβάσεων στο cloud. Είναι καθοριστικής σημασίας για την επιτρεπτή είσοδο των υπαλλήλων και την πρόσβαση σε πόρους, τόσο εντός όσο και εκτός της οργάνωσης, περιλαμβάνοντας το Microsoft 365, την πύλη Azure και μια πληθώρα άλλων SaaS εφαρμογών. Ο σχεδιασμός του Azure AD επικεντρώνεται στην παροχή βασικών υπηρεσιών ταυτοποίησης, περιλαμβάνοντας κυρίως **authentication, authorization, and user management**. -Τα κύρια χαρακτηριστικά του Azure AD περιλαμβάνουν **multi-factor authentication** και **conditional access**, μαζί με την απρόσκοπτη ενσωμάτωσή του με άλλες υπηρεσίες ασφάλειας της Microsoft. Αυτά τα χαρακτηριστικά αυξάνουν σημαντικά την ασφάλεια των ταυτοτήτων των χρηστών και ενδυναμώνουν τις οργανώσεις να εφαρμόζουν και να επιβάλλουν αποτελεσματικά τις πολιτικές πρόσβασης τους. Ως θεμελιώδες στοιχείο του οικοσυστήματος υπηρεσιών cloud της Microsoft, το Azure AD είναι κρίσιμο για τη διαχείριση ταυτοτήτων χρηστών που βασίζεται στο cloud. +Τα κύρια χαρακτηριστικά του Azure AD περιλαμβάνουν **multi-factor authentication** και **conditional access**, μαζί με απρόσκοπτη ενσωμάτωση με άλλες υπηρεσίες ασφάλειας της Microsoft. Αυτά τα χαρακτηριστικά αυξάνουν σημαντικά την ασφάλεια των ταυτοτήτων των χρηστών και ενδυναμώνουν τις οργανώσεις να εφαρμόσουν και να επιβάλουν αποτελεσματικά τις πολιτικές πρόσβασης τους. Ως θεμελιώδης συνιστώσα του οικοσυστήματος υπηρεσιών cloud της Microsoft, το Azure AD είναι κρίσιμο για τη διαχείριση ταυτοτήτων χρηστών στο cloud. ## Enumeration @@ -365,7 +365,7 @@ $password = "ThisIsTheNewPassword.!123" | ConvertTo- SecureString -AsPlainText ``` ### MFA & Conditional Access Policies -Συνιστάται ανεπιφύλακτα να προσθέσετε MFA σε κάθε χρήστη, ωστόσο, ορισμένες εταιρείες δεν θα το ρυθμίσουν ή μπορεί να το ρυθμίσουν με Conditional Access: Ο χρήστης θα είναι **υποχρεωμένος σε MFA αν** συνδεθεί από μια συγκεκριμένη τοποθεσία, πρόγραμμα περιήγησης ή **κάποια συνθήκη**. Αυτές οι πολιτικές, αν δεν ρυθμιστούν σωστά, μπορεί να είναι επιρρεπείς σε **bypasses**. Ελέγξτε: +Συνιστάται ανεπιφύλακτα να προσθέσετε MFA σε κάθε χρήστη, ωστόσο, ορισμένες εταιρείες δεν θα το ρυθμίσουν ή μπορεί να το ρυθμίσουν με Conditional Access: Ο χρήστης θα είναι **υποχρεωμένος σε MFA αν** συνδεθεί από μια συγκεκριμένη τοποθεσία, πρόγραμμα περιήγησης ή **κάποια προϋπόθεση**. Αυτές οι πολιτικές, αν δεν ρυθμιστούν σωστά, μπορεί να είναι επιρρεπείς σε **bypasses**. Ελέγξτε: {{#ref}} ../az-privilege-escalation/az-entraid-privesc/az-conditional-access-policies-mfa-bypass.md @@ -487,7 +487,7 @@ Get-AzureADGroup -ObjectId | Get-AzureADGroupAppRoleAssignment | fl * Add-AzureADGroupMember -ObjectId -RefObjectId -Verbose ``` > [!WARNING] -> Οι ομάδες μπορεί να είναι δυναμικές, που σημαίνει βασικά ότι **αν ένας χρήστης πληροί ορισμένες προϋποθέσεις, θα προστεθεί σε μια ομάδα**. Φυσικά, αν οι προϋποθέσεις βασίζονται σε **γνωρίσματα** που μπορεί να **ελέγξει** ένας **χρήστης**, θα μπορούσε να καταχραστεί αυτή τη δυνατότητα για να **μπει σε άλλες ομάδες**.\ +> Οι ομάδες μπορεί να είναι δυναμικές, που σημαίνει ότι **αν ένας χρήστης πληροί ορισμένες προϋποθέσεις, θα προστεθεί σε μια ομάδα**. Φυσικά, αν οι προϋποθέσεις βασίζονται σε **γνωρίσματα** που μπορεί να **ελέγξει** ένας **χρήστης**, θα μπορούσε να καταχραστεί αυτή τη δυνατότητα για να **μπει σε άλλες ομάδες**.\ > Δείτε πώς να καταχραστείτε τις δυναμικές ομάδες στην παρακάτω σελίδα: {{#ref}} @@ -708,7 +708,7 @@ Write-Output "Failed to Enumerate the Applications." ### Εφαρμογές -Για περισσότερες πληροφορίες σχετικά με τις Εφαρμογές ελέγξτε: +Για περισσότερες πληροφορίες σχετικά με τις Εφαρμογές, ελέγξτε: {{#ref}} ../az-basic-information/ @@ -840,11 +840,15 @@ az role definition list --resource-group # Get only roles assigned to the indicated scope az role definition list --scope # Get all the principals a role is assigned to -az role assignment list --all --query "[].{principalName:principalName,principalType:principalType,resourceGroup:resourceGroup,roleDefinitionName:roleDefinitionName}[?roleDefinitionName=='']" +az role assignment list --all --query "[].{principalName:principalName,principalType:principalType,scope:scope,roleDefinitionName:roleDefinitionName}[?roleDefinitionName=='']" # Get all the roles assigned to a user az role assignment list --assignee "" --all --output table # Get all the roles assigned to a user by filtering az role assignment list --all --query "[?principalName=='admin@organizationadmin.onmicrosoft.com']" --output table +# Get deny assignments +az rest --method GET --uri "https://management.azure.com/{scope}/providers/Microsoft.Authorization/denyAssignments?api-version=2022-04-01" +## Example scope of subscription +az rest --method GET --uri "https://management.azure.com/subscriptions/9291ff6e-6afb-430e-82a4-6f04b2d05c7f/providers/Microsoft.Authorization/denyAssignments?api-version=2022-04-01" ``` {{#endtab }} @@ -877,12 +881,20 @@ Get-AzRoleDefinition -Name "Virtual Machine Command Executor" # Get roles of a user or resource Get-AzRoleAssignment -SignInName test@corp.onmicrosoft.com Get-AzRoleAssignment -Scope /subscriptions//resourceGroups//providers/Microsoft.Compute/virtualMachines/ +# Get deny assignments +Get-AzDenyAssignment # Get from current subscription +Get-AzDenyAssignment -Scope '/subscriptions/96231a05-34ce-4eb4-aa6a-70759cbb5e83/resourcegroups/testRG/providers/Microsoft.Web/sites/site1' ``` +{{#endtab }} +{{#endtabs }} +``` + {{#endtab }} {{#tab name="Raw" }} + ```bash -# Get permissions over a resource using ARM directly +# Αποκτήστε άδειες πρόσβασης σε έναν πόρο χρησιμοποιώντας απευθείας το ARM $Token = (Get-AzAccessToken).Token $URI = 'https://management.azure.com/subscriptions/b413826f-108d-4049-8c11-d52d5d388768/resourceGroups/Research/providers/Microsoft.Compute/virtualMachines/infradminsrv/providers/Microsoft.Authorization/permissions?api-version=2015-07-01' $RequestParams = @{ @@ -894,12 +906,13 @@ Headers = @{ } (Invoke-RestMethod @RequestParams).value ``` + {{#endtab }} {{#endtabs }} -### Ρόλοι Entra ID +### Entra ID Roles -Για περισσότερες πληροφορίες σχετικά με τους ρόλους Azure, ελέγξτε: +For more information about Azure roles check: {{#ref}} ../az-basic-information/ @@ -907,125 +920,134 @@ Headers = @{ {{#tabs }} {{#tab name="az cli" }} + ```bash -# List template Entra ID roles +# Λίστα προτύπων ρόλων Entra ID az rest --method GET \ --uri "https://graph.microsoft.com/v1.0/directoryRoleTemplates" -# List enabled built-in Entra ID roles +# Λίστα ενεργών ενσωματωμένων ρόλων Entra ID az rest --method GET \ --uri "https://graph.microsoft.com/v1.0/directoryRoles" -# List all Entra ID roles with their permissions (including custom roles) +# Λίστα όλων των ρόλων Entra ID με τις άδειές τους (συμπεριλαμβανομένων των προσαρμοσμένων ρόλων) az rest --method GET \ --uri "https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions" -# List only custom Entra ID roles +# Λίστα μόνο προσαρμοσμένων ρόλων Entra ID az rest --method GET \ --uri "https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions" | jq '.value[] | select(.isBuiltIn == false)' -# List all assigned Entra ID roles +# Λίστα όλων των ανατεθειμένων ρόλων Entra ID az rest --method GET \ --uri "https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments" -# List members of a Entra ID roles +# Λίστα μελών ενός ρόλου Entra ID az rest --method GET \ --uri "https://graph.microsoft.com/v1.0/directoryRoles//members" -# List Entra ID roles assigned to a user +# Λίστα ρόλων Entra ID που έχουν ανατεθεί σε έναν χρήστη az rest --method GET \ --uri "https://graph.microsoft.com/v1.0/users//memberOf/microsoft.graph.directoryRole" \ --query "value[]" \ --output json -# List Entra ID roles assigned to a group +# Λίστα ρόλων Entra ID που έχουν ανατεθεί σε μια ομάδα az rest --method GET \ --uri "https://graph.microsoft.com/v1.0/groups/$GROUP_ID/memberOf/microsoft.graph.directoryRole" \ --query "value[]" \ --output json -# List Entra ID roles assigned to a service principal +# Λίστα ρόλων Entra ID που έχουν ανατεθεί σε έναν service principal az rest --method GET \ --uri "https://graph.microsoft.com/v1.0/servicePrincipals/$SP_ID/memberOf/microsoft.graph.directoryRole" \ --query "value[]" \ --output json ``` + {{#endtab }} {{#tab name="Azure AD" }} + ```bash -# Get all available role templates +# Λάβετε όλα τα διαθέσιμα πρότυπα ρόλων Get-AzureADDirectoryroleTemplate -# Get enabled roles (Assigned roles) +# Λάβετε ενεργούς ρόλους (Ανατεθειμένοι ρόλοι) Get-AzureADDirectoryRole -Get-AzureADDirectoryRole -ObjectId #Get info about the role -# Get custom roles - use AzureAdPreview +Get-AzureADDirectoryRole -ObjectId #Λάβετε πληροφορίες σχετικά με τον ρόλο +# Λάβετε προσαρμοσμένους ρόλους - χρησιμοποιήστε AzureAdPreview Get-AzureADMSRoleDefinition | ?{$_.IsBuiltin -eq $False} | select DisplayName -# Users assigned a role (Global Administrator) +# Χρήστες που έχουν ανατεθεί σε ρόλο (Παγκόσμιος Διαχειριστής) Get-AzureADDirectoryRole -Filter "DisplayName eq 'Global Administrator'" | Get-AzureADDirectoryRoleMember Get-AzureADDirectoryRole -ObjectId | fl -# Roles of the Administrative Unit (who has permissions over the administrative unit and its members) +# Ρόλοι της Διοικητικής Μονάδας (ποιος έχει δικαιώματα πάνω στη διοικητική μονάδα και τα μέλη της) Get-AzureADMSScopedRoleMembership -Id | fl * ``` + {{#endtab }} {{#endtabs }} -### Συσκευές +### Devices {{#tabs }} {{#tab name="az cli" }} + ```bash -# If you know how to do this send a PR! +# Αν ξέρεις πώς να το κάνεις, στείλε ένα PR! ``` + {{#endtab }} {{#tab name="MS Graph" }} + ```bash -# Enumerate devices using Microsoft Graph PowerShell +# Καταμέτρηση συσκευών χρησιμοποιώντας το Microsoft Graph PowerShell Get-MgDevice -All -# Get device details +# Λάβετε λεπτομέρειες συσκευής Get-MgDevice -DeviceId | Format-List * -# Get devices managed using Intune +# Λάβετε συσκευές που διαχειρίζονται μέσω του Intune Get-MgDevice -Filter "isCompliant eq true" -All -# Get devices owned by a user +# Λάβετε συσκευές που ανήκουν σε έναν χρήστη Get-MgUserOwnedDevice -UserId test@corp.onmicrosoft.com -# List available commands in Microsoft Graph PowerShell +# Λίστα διαθέσιμων εντολών στο Microsoft Graph PowerShell Get-Command -Module Microsoft.Graph.Identity.DirectoryManagement ``` {{#endtab }} {{#tab name="Azure AD" }} + ```bash -# Enumerate Devices +# Καταμέτρηση Συσκευών Get-AzureADDevice -All $true | fl * -# List all the active devices (and not the stale devices) +# Λίστα με όλες τις ενεργές συσκευές (και όχι τις παλιές συσκευές) Get-AzureADDevice -All $true | ?{$_.ApproximateLastLogonTimeStamp -ne $null} -# Get owners of all devices +# Λάβετε τους ιδιοκτήτες όλων των συσκευών Get-AzureADDevice -All $true | Get-AzureADDeviceRegisteredOwner Get-AzureADDevice -All $true | %{if($user=Get-AzureADDeviceRegisteredOwner -ObjectId $_.ObjectID){$_;$user.UserPrincipalName;"`n"}} -# Registred users of all the devices +# Καταχωρημένοι χρήστες όλων των συσκευών Get-AzureADDevice -All $true | Get-AzureADDeviceRegisteredUser Get-AzureADDevice -All $true | %{if($user=Get-AzureADDeviceRegisteredUser -ObjectId $_.ObjectID){$_;$user.UserPrincipalName;"`n"}} -# Get dives managed using Intune +# Λάβετε συσκευές που διαχειρίζονται μέσω Intune Get-AzureADDevice -All $true | ?{$_.IsCompliant -eq "True"} -# Get devices owned by a user +# Λάβετε συσκευές που ανήκουν σε έναν χρήστη Get-AzureADUserOwnedDevice -ObjectId test@corp.onmicrosoft.com -# Get Administrative Units of a device +# Λάβετε Διοικητικές Μονάδες μιας συσκευής Get-AzureADMSAdministrativeUnit | where { Get-AzureADMSAdministrativeUnitMember -ObjectId $_.ObjectId | where {$_.ObjectId -eq $deviceObjId} } ``` + {{#endtab }} {{#endtabs }} > [!WARNING] -> Αν μια συσκευή (VM) είναι **συνδεδεμένη με AzureAD**, οι χρήστες από το AzureAD θα είναι **σε θέση να συνδεθούν**.\ -> Επιπλέον, αν ο συνδεδεμένος χρήστης είναι **Ιδιοκτήτης** της συσκευής, θα είναι **τοπικός διαχειριστής**. +> If a device (VM) is **AzureAD joined**, users from AzureAD are going to be **able to login**.\ +> Moreover, if the logged user is **Owner** of the device, he is going to be **local admin**. -### Διοικητικές Μονάδες +### Administrative Units -Για περισσότερες πληροφορίες σχετικά με τις διοικητικές μονάδες, ελέγξτε: +For more information about administrative units check: {{#ref}} ../az-basic-information/ @@ -1033,100 +1055,104 @@ Get-AzureADMSAdministrativeUnit | where { Get-AzureADMSAdministrativeUnitMember {{#tabs }} {{#tab name="az cli" }} + ```bash -# List all administrative units +# Λίστα όλων των διοικητικών μονάδων az rest --method GET --uri "https://graph.microsoft.com/v1.0/directory/administrativeUnits" -# Get AU info +# Λάβετε πληροφορίες AU az rest --method GET --uri "https://graph.microsoft.com/v1.0/directory/administrativeUnits/a76fd255-3e5e-405b-811b-da85c715ff53" -# Get members +# Λάβετε μέλη az rest --method GET --uri "https://graph.microsoft.com/v1.0/directory/administrativeUnits/a76fd255-3e5e-405b-811b-da85c715ff53/members" -# Get principals with roles over the AU +# Λάβετε κύριους με ρόλους πάνω από το AU az rest --method GET --uri "https://graph.microsoft.com/v1.0/directory/administrativeUnits/a76fd255-3e5e-405b-811b-da85c715ff53/scopedRoleMembers" ``` + {{#endtab }} {{#tab name="AzureAD" }} + ```bash -# Get Administrative Units +# Λάβετε Διοικητικές Μονάδες Get-AzureADMSAdministrativeUnit Get-AzureADMSAdministrativeUnit -Id -# Get ID of admin unit by string +# Λάβετε το ID της διοικητικής μονάδας με βάση τη συμβολοσειρά $adminUnitObj = Get-AzureADMSAdministrativeUnit -Filter "displayname eq 'Test administrative unit 2'" -# List the users, groups, and devices affected by the administrative unit +# Λίστα των χρηστών, ομάδων και συσκευών που επηρεάζονται από τη διοικητική μονάδα Get-AzureADMSAdministrativeUnitMember -Id -# Get the roles users have over the members of the AU -Get-AzureADMSScopedRoleMembership -Id | fl #Get role ID and role members +# Λάβετε τους ρόλους που έχουν οι χρήστες πάνω στα μέλη της AU +Get-AzureADMSScopedRoleMembership -Id | fl #Λάβετε το ID ρόλου και τα μέλη του ρόλου ``` + {{#endtab }} {{#endtabs }} -## Εξαπάτηση Προνομίων Entra ID +## Entra ID Privilege Escalation {{#ref}} ../az-privilege-escalation/az-entraid-privesc/ {{#endref}} -## Εξαπάτηση Προνομίων Azure +## Azure Privilege Escalation {{#ref}} ../az-privilege-escalation/az-authorization-privesc.md {{#endref}} -## Αμυντικοί Μηχανισμοί +## Defensive Mechanisms -### Διαχείριση Προνομιακής Ταυτότητας (PIM) +### Privileged Identity Management (PIM) -Η Διαχείριση Προνομιακής Ταυτότητας (PIM) στο Azure βοηθά στην **πρόληψη της υπερβολικής εκχώρησης προνομίων** σε χρήστες χωρίς λόγο. +Privileged Identity Management (PIM) in Azure helps to **prevent excessive privileges** to being assigned to users unnecessarily. -Μία από τις κύριες δυνατότητες που παρέχει το PIM είναι ότι επιτρέπει να μην εκχωρούνται ρόλοι σε κύριους που είναι συνεχώς ενεργοί, αλλά να γίνονται **επιλέξιμοι για μια περίοδο (π.χ. 6 μήνες)**. Στη συνέχεια, όποτε ο χρήστης θέλει να ενεργοποιήσει αυτόν τον ρόλο, πρέπει να ζητήσει αυτόν, υποδεικνύοντας τον χρόνο που χρειάζεται το προνόμιο (π.χ. 3 ώρες). Στη συνέχεια, ένας **διαχειριστής πρέπει να εγκρίνει** το αίτημα.\ -Σημειώστε ότι ο χρήστης θα μπορεί επίσης να ζητήσει να **επέκταση** του χρόνου. +One of the main features provided by PIM is that It allows to not assign roles to principals that are constantly active, but make them **eligible for a period of time (e.g. 6months)**. Then, whenever the user wants to activate that role, he needs to ask for it indicating the time he needs the privilege (e.g. 3 hours). Then an **admin needs to approve** the request.\ +Note that the user will also be able to ask to **extend** the time. -Επιπλέον, **το PIM στέλνει email** όποτε εκχωρείται ένας προνομιακός ρόλος σε κάποιον. +Moreover, **PIM send emails** whenever a privileged role is being assigned to someone.
-Όταν το PIM είναι ενεργοποιημένο, είναι δυνατή η ρύθμιση κάθε ρόλου με συγκεκριμένες απαιτήσεις όπως: +When PIM is enabled it's possible to configure each role with certain requirements like: -- Μέγιστη διάρκεια (ώρες) ενεργοποίησης -- Απαιτεί MFA κατά την ενεργοποίηση -- Απαιτεί πλαίσιο αυθεντικοποίησης Conditional Access -- Απαιτεί δικαιολόγηση κατά την ενεργοποίηση -- Απαιτεί πληροφορίες εισιτηρίου κατά την ενεργοποίηση -- Απαιτεί έγκριση για ενεργοποίηση -- Μέγιστος χρόνος λήξης των επιλέξιμων εκχωρήσεων -- Πολλές άλλες ρυθμίσεις σχετικά με το πότε και ποιος να στέλνει ειδοποιήσεις όταν συμβαίνουν συγκεκριμένες ενέργειες με αυτόν τον ρόλο +- Maximum duration (hours) of activation +- Require MFA on activation +- Require Conditional Access acuthenticaiton context +- Require justification on activation +- Require ticket information on activation +- Require approval to activate +- Max time to expire the elegible assignments +- A lot more configuration on when and who to send notifications when certain actions happen with that role -### Πολιτικές Conditional Access +### Conditional Access Policies -Ελέγξτε: +Check: {{#ref}} ../az-privilege-escalation/az-entraid-privesc/az-conditional-access-policies-mfa-bypass.md {{#endref}} -### Προστασία Ταυτότητας Entra +### Entra Identity Protection -Η Προστασία Ταυτότητας Entra είναι μια υπηρεσία ασφαλείας που επιτρέπει να **ανιχνεύει πότε ένας χρήστης ή μια είσοδος είναι πολύ ριψοκίνδυνη** για να γίνει αποδεκτή, επιτρέποντας να **μπλοκάρει** τον χρήστη ή την προσπάθεια εισόδου. +Entra Identity Protection is a security service that allows to **detect when a user or a sign-in is too risky** to be accepted, allowing to **block** the user or the sig-in attempt. -Επιτρέπει στον διαχειριστή να το ρυθμίσει ώστε να **μπλοκάρει** τις προσπάθειες όταν ο κίνδυνος είναι "Χαμηλός και άνω", "Μέτριος και άνω" ή "Υψηλός". Αν και, από προεπιλογή είναι εντελώς **απενεργοποιημένο**: +It allows the admin to configure it to **block** attempts when the risk is "Low and above", "Medium and above" or "High". Although, by default it's completely **disabled**:
> [!TIP] -> Σήμερα συνιστάται να προστίθενται αυτούς τους περιορισμούς μέσω πολιτικών Conditional Access όπου είναι δυνατή η ρύθμιση των ίδιων επιλογών. +> Nowadays it's recommended to add these restrictions via Conditional Access policies where it's possible to configure the same options. -### Προστασία Κωδικών Entra +### Entra Password Protection -Η Προστασία Κωδικών Entra ([https://portal.azure.com/index.html#view/Microsoft_AAD_ConditionalAccess/PasswordProtectionBlade](https://portal.azure.com/#view/Microsoft_AAD_ConditionalAccess/PasswordProtectionBlade)) είναι μια λειτουργία ασφαλείας που **βοηθά στην πρόληψη της κακής χρήσης αδύναμων κωδικών κλειδιών αποκλείοντας λογαριασμούς όταν συμβαίνουν πολλές αποτυχημένες προσπάθειες σύνδεσης**.\ -Επιτρέπει επίσης να **απαγορεύσετε μια προσαρμοσμένη λίστα κωδικών** που πρέπει να παρέχετε. +Entra Password Protection ([https://portal.azure.com/index.html#view/Microsoft_AAD_ConditionalAccess/PasswordProtectionBlade](https://portal.azure.com/#view/Microsoft_AAD_ConditionalAccess/PasswordProtectionBlade)) is a security feature that **helps prevent the abuse of weak passwords in by locking out accounts when several unsuccessful login attempts happen**.\ +It also allows to **ban a custom password list** that you need to provide. -Μπορεί να **εφαρμοστεί και** σε επίπεδο cloud και σε τοπικό Active Directory. +It can be **applied both** at the cloud level and on-premises Active Directory. -Η προεπιλεγμένη λειτουργία είναι **Audit**: +The default mode is **Audit**:
-## Αναφορές +## References - [https://learn.microsoft.com/en-us/azure/active-directory/roles/administrative-units](https://learn.microsoft.com/en-us/azure/active-directory/roles/administrative-units)