如何将microsoft graph api登录端点指定为特定于租户的？ - 腾讯云开发者社区

文章/答案/技术大牛

发布

基于微软 Entra B2B 邀请机制的 TOAD 钓鱼攻击分析与防御策略

Graph API 的代码示例，验证防御措施的可行性。...邀请可通过以下方式发起：手动邀请：管理员或具有“Guest Inviter”角色的用户通过 Azure 门户、Microsoft Graph API 或 PowerShell 发送邀请。...一旦获得权限，攻击者可通过 Microsoft Graph API 发送邀请。...Single User条件：同一用户在 1 小时内发送超过 5 次邀请响应：自动禁用该用户邀请权限并告警Graph API 查询示例：GET https://graph.microsoft.com/v1.0...此外，通过 Graph API 监控，我们能在 5 分钟内检测到异常邀请模式并自动响应。6 讨论本攻击揭示了现代 IAM 系统的一个根本矛盾：便利性与安全性之间的张力。

1730 0

运营数据库系列之应用支持

.Net界面支持 Microsoft.Phoenix.Client nuget包为您提供了可用于开发.Net应用程序的兼容类的集合。...OpDB中的Apache Phoenix提供了JDBC SQL端点来与存储在Apache HBase中的数据进行交互。...临时功能特定于会话/连接，无法在其他会话/连接中访问。永久功能元信息将存储在名为SYSTEM.FUNCTION的系统表中。我们正在支持特定于租户的功能。...在特定于租户的连接中创建的功能对其他特定于租户的连接不可见。所有连接仅可见特定于全局租户（无租户）的功能。...您可以使用REST服务器创建，删除表，以及执行其他具有REST端点的操作，这些端点在此处的表中有所描述：http : //hbase.apache.org/book.html#_using_rest_endpoints

2.2K0 0

您找到你想要的搜索结果了吗？

是的

没有找到

设备代码钓鱼攻击对Microsoft 365 OAuth授权机制的威胁分析与防御策略

一旦授权完成，攻击者即可通过device_code兑换令牌，获得与用户同等的API访问权限。...并输入代码：ABC123”；用户信以为真，在微软官方页面输入代码并完成MFA；攻击者轮询令牌端点，成功获取access_token与refresh_token；利用令牌调用Microsoft Graph...假设攻击者已注册一个Azure AD应用，client_id为“a1b2c3d4-5678-90ef-ghij-klmnopqrstuv”，并申请了以下API权限：Microsoft Graph: Mail.ReadWrite...随后，攻击者可使用该令牌调用Graph API：# Example: Read user's mailboxheaders = {'Authorization': f'Bearer {token_json...未来需推动更细粒度的权限委托机制（如Microsoft Graph Delegated Permissions with Scopes Restriction）。另一个挑战是刷新令牌的长期有效性。

2491 0

基于OAuth同意滥用的假冒微软应用钓鱼攻击研究

摘要近年来，攻击者利用Microsoft Entra ID（原Azure AD）的多租户应用注册机制，创建高度仿真的假冒OAuth应用，诱导用户在合法微软授权页面授予高权限（如Mail.Read、User.ReadWrite.All...此类攻击不依赖凭据窃取，而是滥用OAuth 2.0授权框架中的“用户同意”流程，使恶意应用获得长期有效的刷新令牌（refresh token），进而通过Microsoft Graph API静默读取邮件...本文系统分析该类攻击的技术路径、权限滥用模式与隐蔽性特征，指出传统基于登录异常或密码泄露的检测机制对此类“合法授权”行为存在显著盲区。...）；用户点击“接受”，微软返回授权码；应用用授权码向令牌端点兑换访问令牌与刷新令牌；应用使用令牌调用Microsoft Graph API。...可通过Microsoft Graph API动态评估权限风险：HIGH_RISK_SCOPES = {'Mail.ReadWrite', 'MailboxSettings.ReadWrite','User.ReadWrite.All

2441 0

基于Security Copilot的钓鱼邮件智能分拣机制研究

2 分拣代理的技术架构与工作原理2.1 系统定位与触发机制分拣代理运行于Microsoft云安全基础设施之上，其激活条件为：用户在Outlook客户端点击“报告 > 钓鱼”；或管理员在Defender门户手动提交可疑邮件...；邮件需属于当前租户（即收件人为组织成员）。...上下文关联：查询Microsoft Graph，确认发件人是否为已知联系人、近期是否有类似通信。...例如，对一封伪造Microsoft 365登录通知的邮件，代理返回：“判定为高风险钓鱼邮件。...Graph API提交反馈import requestsdef submit_feedback(message_id, is_phish, comment):url = f"https://graph.microsoft.com

2631 0

高级OAuth钓鱼攻击的演化机制与防御体系构建

尤其在Microsoft 365、Google Workspace等企业生产力平台中，OAuth被深度集成于单点登录（SSO）、API调用、跨应用数据共享等关键场景。...其标准流程如下：用户访问第三方应用（Client）；Client重定向用户至授权服务器（如Microsoft Entra ID）的授权端点，携带client_id、redirect_uri、scope等参数...向令牌端点换取访问令牌与刷新令牌；Client使用访问令牌调用受保护资源（如Microsoft Graph API）。...获得令牌后，攻击者通过Microsoft Graph API执行侦察：import requeststoken = "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.xxxxx"headers...以下Python脚本利用Microsoft Graph API实现自动化审计：import requestsfrom datetime import datetime, timedeltadef audit_shadow_apps

2861 0

基于恶意OAuth应用的MFA绕过攻击：微软身份体系中的新型钓鱼威胁研究

关键词：OAuth 2.0；MFA绕过；Microsoft Entra ID；钓鱼攻击；身份安全；API权限；条件访问；第三方应用治理1 引言随着云办公的普及，Microsoft 365已成为全球企业数字基础设施的核心组成部分...以授权码模式（Authorization Code Flow）为例，典型步骤如下：用户访问第三方应用：例如点击“使用Microsoft登录”按钮；重定向至Microsoft登录页：URL包含client_id...（Access Token）与刷新令牌（Refresh Token）；应用使用令牌调用Microsoft Graph API。...3 攻击技术路径分析3.1 恶意OAuth应用注册与伪装攻击者首先在Microsoft Entra ID公共租户中注册一个新应用。...3.4 数据窃取与横向移动获得令牌后，攻击者可调用Microsoft Graph API执行以下操作：# 读取最新100封邮件Invoke-RestMethod -Uri "https://graph.microsoft.com

2671 0

从上而下的死亡：从 Azure 到 On-Prem AD 的横向移动

许多组织的管理员希望使用同一系统 Azure 来管理用户登录和访问公司资源的系统。...通过执行以下步骤，您可以在 Azure 门户中轻松查看混合连接的设备：登录 Azure 后，单击或搜索“Azure Active Directory：” image.png 这会将您带到租户概览页面...Microsoft 已表示他们正在将所有当前端点管理系统整合到一个名为 Microsoft Endpoint Manager 的统一工具下，因此我们将在本文中重点介绍该工具。...如果您将“分配给”下拉菜单保留为“选定组”的默认选择，您可以将脚本限定为仅在系统上执行或为属于某些安全组的用户执行。...您可以选择：在每个可能的系统上运行脚本，或者通过将脚本限定为现有安全组或将特定设备或用户添加到新安全组来将其限制为仅在某些系统上运行。

3.4K1 0

微软365“设备代码钓鱼”风暴来袭：无需密码，黑客秒控企业邮箱

；用户登录并授权该应用；客户端轮询 /token 端点，一旦用户授权，立即获取 Access Token。...Graph API 窃取数据breakelif token_resp.json().get("error") == "authorization_pending":time.sleep(5)else:...print("❌ 授权失败:", token_resp.text)break一旦拿到 access_token，攻击者即可调用 Microsoft Graph API 执行任意操作：# 示例：读取受害者最近...API。”...四、企业自救指南：三步堵住“合法后门”面对如此高阶的攻击，企业不能坐以待毙。芦笛与安全社区共同提出以下防御策略：1. 禁用不必要的设备代码授权在 Azure AD 中，默认所有租户都启用了设备代码流。

3191 0

设备代码钓鱼攻击的战术趋同化及其对企业身份安全的挑战

以Microsoft Entra ID为例，设备授权端点为：POST https://login.microsoftonline.com/{tenant}/oauth2/v2.0/devicecodeContent-Type...其典型手法包括：利用已攻陷的政府邮箱发送伪造“安全警报”，诱导目标扫描QR码或点击链接进入设备登录页面；注册高可信度域名（如microsoft-security[.]com）托管钓鱼页面，但最终跳转至真实...留空（设备授权无需回调）API权限：勾选Microsoft Graph的Delegated权限，如：Mail.ReadWriteCalendars.ReadWriteUser.Read.AllFiles.ReadWrite.All4.2...Graph API读取邮件：import requestswith open('stolen_token.json') as f:token = json.load(f)headers = {'Authorization...例如，Mail.ReadWrite权限无法限定为“仅收件箱”，这使得即使合法应用也可能被滥用于数据窃取。未来需推动更细粒度的权限委托机制。

2301 0

快速提升Entra ID安全性的实用指南

还有一个应用程序权限（Graph:RoleManagement.ReadWrite.Directory）也提供管理权限。Entra ID租户中最多有500个角色可分配组（创建最大值）。...AppRoleAssignment.ReadWrite.All允许应用程序代表登录用户管理对任何API的应用程序权限授予和任何应用程序的应用程序分配。...RoleManagement.ReadWrite.Directory允许应用程序在没有登录用户的情况下读取和管理租户的基于角色的访问控制（RBAC）设置。...MMP在引入租户90天后开启（设置为启用）目前专注于3个领域：访问Microsoft管理员门户的管理员的MFA为用户配置的每用户MFA的MFA风险登录的MFA和重新身份验证关键条件访问策略要求具有管理角色的帐户使用...保护无缝单点登录（SSSO）攻击Azure AD无缝单点登录由Azure AD Connect管理"Azure AD公开一个公开可用的端点，接受Kerberos票据并将其转换为SAML和JWT令牌"危害

2081 0

VoidProxy平台对多因素认证的绕过机制与防御对策研究

更严重的是，若攻击者获取IdP管理员权限，可直接修改条件访问策略或注册恶意应用，造成全租户级风险。...，即使用户登出仍有效；Access Token：短期有效（通常1小时），但可用于调用Microsoft Graph API。.../.default返回的Access Token可立即用于读取邮件：GET /v1.0/me/messages HTTP/1.1Host: graph.microsoft.comAuthorization...Microsoft Graph提供/revokeSignInSessions API，可编程终止可疑会话：import requestsdef revoke_suspicious_sessions(user_id...例如，欧盟NIS2指令已要求关键实体实施“强客户认证”（SCA），未来或明确禁止长期有效的非绑定刷新令牌。六、结语VoidProxy平台揭示了当前MFA部署模型在面对实时会话劫持时的根本性不足。

2471 0

CyberDrain推免费工具帮中小企业守住Microsoft 365大门

公共互联网反网络钓鱼工作组技术专家芦笛指出，“而Microsoft 365因其广泛使用和强大API能力，成了攻击者的首选目标。”...它不依赖外部SaaS服务，而是直接调用Microsoft Graph API，实时扫描租户内的高风险行为：检测异常收件箱规则：如自动转发至外部域名、删除特定关键词邮件等；识别可疑OAuth应用授权：尤其是请求...技术内核：Graph API + 自动化剧本 = 主动防御要理解这款工具为何有效，得先了解Microsoft 365的安全架构。...微软通过Microsoft Graph API开放了对用户邮箱、日历、设备、身份等数据的编程访问接口。...而CyberDrain的工具，本质上是一组自动化剧本（Playbooks），通过合法API权限主动“体检”整个租户。

1681 0

【壹刊】Azure AD 保护的 ASP.NET Core Web API （下）

其实不难看出，这个账号就是我们当前azure portal的登录账号，也是当前订阅的管理员账号，而且我们在创建MyCommany这个租户的时候也是使用的当前登录的账号，所有当前登录的账号也就自然而然的成为当前租户下应用注册的资源所有者...1）统一验证，获取token，需要额外注意此处的租户Id，以及scope 　　　　tenant：应用程序计划对其进行操作的目录租户。...参数必传这时候，就又有人问了，为什么这里的 scope 参数的值和上面不一样，确实，我也有这个疑问，后来找到微软官方给我的文档解释道： Microsoft Graph 示例中，该值为 https...://graph.microsoft.com/.default。...此值告知 Microsoft 标识平台终结点：在为应用配置的所有直接应用程序权限中，终结点应该为与要使用的资源关联的权限颁发令牌使用共享机密访问令牌请求：https://docs.microsoft.com

3K1 0

ConsentFix攻击机制与OAuth授权滥用的防御对策研究

例如，用户在Google搜索“公司邮箱无法登录”，点击一个已被SEO投毒的合法但遭篡改的第三方支持页面。...若用户已处于活动会话（即已登录Outlook Web），系统将直接显示授权同意页面，列出请求的权限范围（如“读取您的邮件”、“访问您的文件”）。...Graph API读取邮件、发送钓鱼邮件、下载OneDrive文件等。...（二）策略管理层：建立授权生命周期管理定期授权审计：每季度导出全组织应用授权清单，清理未使用或来源不明的应用；实施最小权限原则：推动业务部门使用权限更细的现代API（如Microsoft Graph的delegated...permissions with scopes）；自动化撤销机制：当检测到可疑活动时，自动调用Microsoft Graph API撤销相关应用授权：# 使用Microsoft Graph API撤销用户授权

1931 0

IdentityServer4入门教程：打造专业的身份认证服务器

它提供了：集中式认证 - 所有应用共用一个登录界面和用户存储单点登录(SSO) - 用户只需登录一次，就能访问所有授权的应用API访问控制 - 细粒度管理客户端对API的访问权限跨平台支持 - 不管是Web...端点```csharp// 身份资源的例子new IdentityResources.OpenId(),new IdentityResources.Profile()// API资源的例子new ApiResource...接下来，访问https://localhost:5001/.well-known/openid-configuration，你应该能看到一个JSON文档，这是OpenID Connect的发现文档，包含了服务器的各种端点信息...Q: 我的项目需要支持多租户，IdentityServer4能做到吗？A: 是的，IdentityServer4可以支持多租户架构。...你可以通过自定义存储实现多租户，或者为每个租户部署一个单独的IdentityServer实例。Q: 使用IdentityServer4有什么安全注意事项？

2431 0

Azure AD（四）知识补充-服务主体

安全主体定义 Azure AD 租户中用户/应用程序的访问策略和权限。这样便可实现核心功能，如在登录时对用户/应用程序进行身份验证，在访问资源时进行授权。...当应用程序被授予了对租户中资源的访问权限时（根据注册或许可），将创建一个服务主体对象。 Microsoft Graph ServicePrincipal 实体定义服务主体对象属性的架构。...必须在将使用应用程序的每个租户中创建服务主体，让它能够建立用于登录和/或访问受租户保护的资源的标识。单租户应用程序只有一个服务主体（在其宿主租户中），在应用程序注册期间创建并被允许使用。...多租户 Web 应用程序/API 还会在租户中的某个用户已同意使用它的每个租户中创建服务主体。...该角色具有读取和写入Azure帐户的完整权限参考资料：RBAC内置角色：https://docs.microsoft.com/en-us/azure/role-based-access-control

2.2K2 0

Authentik：开源身份认证与访问管理平台

项目标题与描述Authentik是一个开源的灵活身份提供商(Identity Provider)，强调多功能性和可扩展性，支持广泛的认证协议。...该项目可作为自托管的身份认证解决方案，替代商业产品如Okta、Auth0、Microsoft Entra ID等。...核心功能包括：多协议支持用户生命周期管理认证流程定制权限与访问控制多租户支持功能特性多协议认证：支持OAuth2、SAML等多种认证协议可视化流程设计：通过图形界面设计认证流程用户自助服务：提供密码重置...、账户恢复等功能细粒度权限控制：基于RBAC的权限管理系统审计日志：记录所有关键操作事件多租户支持：可为不同客户提供独立实例蓝本系统：通过YAML文件定义和部署配置Webfinger发现：支持Webfinger...(response.json())用户认证流程用户访问受保护应用重定向到Authentik登录页面完成认证（用户名/密码、MFA等）返回应用并授予访问权限核心API端点/api/v3/core/users

7710 0

GraphRAG：终极 RAG 引擎 - 语义搜索、嵌入、矢量搜索等等！

接着输入cd graph rag进入目录，并输入export graph rag_API_key填入你的API密钥。你需要创建一个输入文件夹以存放所有文件或文档。...你还可以在.env文件中粘贴你的API密钥，如果使用其他模型，可以在此处进行配置。配置完成后，保存文件并运行代码。最后，运行以下命令以启动对话：python -m graph rag query。...我强烈推荐使用Ollama，它易于设置，只需设置端点即可。下面提供官方的文档介绍、相关资源、部署教程等，进一步支撑你的行动，以提升本文的帮助力。...• GraphRAG 的预期用途是什么？ • GraphRAG 如何评估？使用了哪些性能指标？ • GraphRAG 的局限性是什么？用户如何将其影响降到最低？...v=kHZHMzv3Shg 参考链接： Github Repo：github.com/microsoft/graphrag 博客文章：microsoft.github.io/graphrag 项目页面：

2.5K1 0

国家级黑客与黑产“共用武器库”：M365设备代码钓鱼成云时代通用入侵钥匙

一、一场“巧合”的攻击暴露了更危险的趋势2025年10月，一家位于德国的能源企业安全团队在例行日志审计中发现异常：多个高管账户在凌晨时段调用了Microsoft Graph API，读取了大量内部邮件和.../devicelogin，输入user_code；同时，受限设备后台持续轮询令牌端点；用户在网页端登录并同意授权后，服务器向设备返回Access Token。...此时，受害者实际上是在向攻击者控制的应用授权！一旦确认，攻击者的轮询脚本立即获得Access Token，并可调用任意Graph API权限。...（4）员工培训升级：从“防链接”到“防授权”培训内容需更新：任何要求“输入代码到微软登录页”的请求都需警惕；授权前务必确认应用名称是否可信（如“Microsoft Teams” vs “FileShare...Gartner预测，到2026年，30%的大型企业将弃用密码作为主要认证方式，转向FIDO2、证书或生物识别。微软自身也宣布，2025年起新租户默认启用“无密码体验”。

1731 0

点击加载更多

基于微软 Entra B2B 邀请机制的 TOAD 钓鱼攻击分析与防御策略

运营数据库系列之应用支持

设备代码钓鱼攻击对Microsoft 365 OAuth授权机制的威胁分析与防御策略

基于OAuth同意滥用的假冒微软应用钓鱼攻击研究

基于Security Copilot的钓鱼邮件智能分拣机制研究

高级OAuth钓鱼攻击的演化机制与防御体系构建

基于恶意OAuth应用的MFA绕过攻击：微软身份体系中的新型钓鱼威胁研究

从上而下的死亡：从 Azure 到 On-Prem AD 的横向移动

微软365“设备代码钓鱼”风暴来袭：无需密码，黑客秒控企业邮箱

设备代码钓鱼攻击的战术趋同化及其对企业身份安全的挑战

快速提升Entra ID安全性的实用指南

VoidProxy平台对多因素认证的绕过机制与防御对策研究

CyberDrain推免费工具帮中小企业守住Microsoft 365大门

【壹刊】Azure AD 保护的 ASP.NET Core Web API （下）

ConsentFix攻击机制与OAuth授权滥用的防御对策研究

IdentityServer4入门教程：打造专业的身份认证服务器

Azure AD（四）知识补充-服务主体

Authentik：开源身份认证与访问管理平台

GraphRAG：终极 RAG 引擎 - 语义搜索、嵌入、矢量搜索等等！

国家级黑客与黑产“共用武器库”：M365设备代码钓鱼成云时代通用入侵钥匙

相关资讯

热门标签

活动推荐

运营活动

社区

活动

圈层

关于

腾讯云开发者

热门产品

热门推荐

更多推荐