租户在使用具有应用程序权限的Microsoft Graph API时没有SPO许可证 - 腾讯云开发者社区

文章/答案/技术大牛

发布

OpenAI推出企业级SharePoint连接器，挑战Microsoft 365 Copilot

访问通过针对Entra ID的OAuth认证授予，并且仅限于用户可访问的信息，就像任何其他使用Graph API与SharePoint Online和OneDrive for Business交互的应用一样...根据OpenAI的说法，新文件或对SharePoint文件的更新在一小时内即可在ChatGPT中使用。文件访问受"SharePoint和ChatGPT之间的严格电子邮件域名匹配"控制。...SharePoint连接器总体而言，新版本的ChatGPT连接器似乎使用应用程序权限（如Sites.Read.All和Files.Read.All）来访问SharePoint和OneDrive内容并将其同步到...使用Graph权限读取SharePoint的应用示例可在此处找到。...除了避免购买Microsoft 365 Copilot许可证外，我始终无法理解为什么Microsoft 365租户允许人们将企业信息上传到ChatGPT进行处理。

1781 0

快速提升Entra ID安全性的实用指南

还有一个应用程序权限（Graph:RoleManagement.ReadWrite.Directory）也提供管理权限。Entra ID租户中最多有500个角色可分配组（创建最大值）。...RoleManagement.ReadWrite.Directory允许应用程序在没有登录用户的情况下读取和管理租户的基于角色的访问控制（RBAC）设置。...这也允许应用程序充当其他实体并使用它们被授予的权限。当至少有一个应用程序是Tier 0时，此应用程序权限是Tier 0。然后此权限提供应用程序向该应用程序添加凭据并模拟它的能力。...MMP在引入租户90天后开启（设置为启用）目前专注于3个领域：访问Microsoft管理员门户的管理员的MFA为用户配置的每用户MFA的MFA风险登录的MFA和重新身份验证关键条件访问策略要求具有管理角色的帐户使用...，确保所有者未设置在Tier 0角色上仔细审查任何具有Tier 0应用程序权限的应用程序确保条件访问要求Tier 0角色成员每次身份验证都使用MFA，最好是FIDO2/Microsoft Authenticator

2081 0

您找到你想要的搜索结果了吗？

是的

没有找到

Azure AD（四）知识补充-服务主体

安全主体定义 Azure AD 租户中用户/应用程序的访问策略和权限。这样便可实现核心功能，如在登录时对用户/应用程序进行身份验证，在访问资源时进行授权。...当应用程序被授予了对租户中资源的访问权限时（根据注册或许可），将创建一个服务主体对象。 Microsoft Graph ServicePrincipal 实体定义服务主体对象属性的架构。...2，应用程序和服务主体的关系可以将应用程序对象视为应用程序的全局表示形式（供所有租户使用），将服务主体视为本地表示形式（在特定租户中使用）。...多租户 Web 应用程序/API 还会在租户中的某个用户已同意使用它的每个租户中创建服务主体。...三，总结　　使用Azure服务的自动化工具应始终具有受限权限。

2.2K2 0

多租户或多实例 ?

具有不同地理位置的企业可能会考虑使用多个租户来分离Dynamics 365（在线）许可证。多个实例可以在实例之间共享用户; 多个租户不能。...术语 Tenant: 对于Dynamics 365(在线)，租户是您在Microsoft在线服务环境中注册一个Dynamics 365(在线)订阅时创建的帐户。...对在线服务的访问权限由分配给用户帐户的许可证控制。用户帐户存储在Azure Active Directory中组织的云目录中，通常在用户离开组织时删除。...如果管理员具有访问权限，则可以从Dynamics 365（在线）界面中看到租户中的多个实例。您无法在租户注册之间重新分配许可。...注册的会员可以在一次注册下使用许可证减少，并将许可证添加到另一个注册表以促进此操作。

4.3K2 0

【壹刊】Azure AD 保护的 ASP.NET Core Web API （下）

通过User的用户名和密码向认证中心申请访问令牌。　　按照惯例，在postman中直接进行调用order的接口。 ResponseCode:401,提示没有权限。...其实不难看出，这个账号就是我们当前azure portal的登录账号，也是当前订阅的管理员账号，而且我们在创建MyCommany这个租户的时候也是使用的当前登录的账号，所有当前登录的账号也就自然而然的成为当前租户下应用注册的资源所有者...5）测试　　1）统一验证，获取token 　　　　tenant：应用程序计划对其进行操作的目录租户。参数必传　　　　client_id：分配给应用的应用程序ID，可以在注册应用的门户中找到。...://graph.microsoft.com/.default。...此值告知 Microsoft 标识平台终结点：在为应用配置的所有直接应用程序权限中，终结点应该为与要使用的资源关联的权限颁发令牌使用共享机密访问令牌请求：https://docs.microsoft.com

3K1 0

基于微软 Entra B2B 邀请机制的 TOAD 钓鱼攻击分析与防御策略

Graph API 的代码示例，验证防御措施的可行性。...邀请可通过以下方式发起：手动邀请：管理员或具有“Guest Inviter”角色的用户通过 Azure 门户、Microsoft Graph API 或 PowerShell 发送邀请。...一旦获得权限，攻击者可通过 Microsoft Graph API 发送邀请。...Single User条件：同一用户在 1 小时内发送超过 5 次邀请响应：自动禁用该用户邀请权限并告警Graph API 查询示例：GET https://graph.microsoft.com/v1.0...；即使绕过（如使用管理员账户），邮件也被标记，用户识别率提升 78%。此外，通过 Graph API 监控，我们能在 5 分钟内检测到异常邀请模式并自动响应。

1710 0

基于OAuth同意滥用的假冒微软应用钓鱼攻击研究

摘要近年来，攻击者利用Microsoft Entra ID（原Azure AD）的多租户应用注册机制，创建高度仿真的假冒OAuth应用，诱导用户在合法微软授权页面授予高权限（如Mail.Read、User.ReadWrite.All...此类攻击不依赖凭据窃取，而是滥用OAuth 2.0授权框架中的“用户同意”流程，使恶意应用获得长期有效的刷新令牌（refresh token），进而通过Microsoft Graph API静默读取邮件...）；用户点击“接受”，微软返回授权码；应用用授权码向令牌端点兑换访问令牌与刷新令牌；应用使用令牌调用Microsoft Graph API。...5 实验验证在测试租户中模拟攻击流程：注册假冒应用，请求Mail.Read + offline_access；使用普通用户账户完成同意；通过脚本每小时读取100封邮件，持续72小时。...结果：对照组：攻击成功，72小时内读取300封邮件，未触发任何告警；实验组：用户尝试同意时被条件访问策略阻止（62%）；若管理员误批准，Cloud Apps在2小时内标记高风险（28%）；剩余10%在24

2431 0

如何调整敏感度标签的离线访问期限

尽管微软没有公布使用敏感度标签的Microsoft 365租户数量，或者受敏感度标签保护的SharePoint Online和OneDrive for Business中文件的比例，但我猜测过去几年的使用量一直在稳步增长...微软确实通过在不同地方增加使用来鼓励使用敏感度标签。对受保护内容的离线访问通过分配敏感度标签应用加密来保护文件是核心功能。...当经过身份验证的用户尝试访问受保护项目时，他们会从Azure Rights Management服务获取使用许可证。...使用许可证是一个证书，包含项目的访问权限（如用户是否可以打印项目）、用于加密内容的加密密钥，以及访问是否在任何时间点过期。重要的是，使用许可证的有效期是有限的。...如果对项目的访问没有日期限制，服务会根据敏感度标签中包含的离线访问设置（默认为30天）发出具有有效期的使用许可证。有效期控制用户下次必须重新进行身份验证以继续访问项目的时间。

1171 0

从 Azure AD 到 Active Directory（通过 Azure）——意外的攻击路径

Acme IT 根据强化建议锁定了 DC，并将 Azure 管理限制在托管 DC 的 VM 上。Acme 在 Azure 的服务器上托管了其他敏感应用程序。...这将导致攻击者控制的帐户拥有对 Azure VM 的完全访问权限。在探索各种 Azure RBAC 角色时，我意识到一种更隐蔽的方法是“虚拟机贡献者”，这听起来很无害。...IAM 角色的帐户，具有最少的日志记录，并且在 Azure AD 中没有明确标识“Azure 资源的访问管理”已针对帐户进行了修改，并且没有对此的默认 Azure 日志记录警报。...当我遍历我的攻击链时，似乎没有任何此类活动的明确记录（在 Office 365、Azure AD 或 Azure 日志中）。无法在 Azure AD 中检测此配置 - 没有可查询帐户的属性。...Azure AD 全局管理员的功能是“设计的”；但是，在阅读有关 Azure AD 全局管理员可以做什么时，Microsoft 没有预料到并且没有很好地记录。

3.9K1 0

.NET周刊【8月第2期 2024-08-11】

IoTClient具有跨平台特性，可以在Windows、Linux和Raspberry Pi等平台上运行。该库采用MIT许可证发布，允许自由使用和修改。...内置权限管理、表单设计、多租户架构等功能，使用 ORM 处理数据，提升开发效率。框架采用模块化设计，支持多数据库、响应式布局和定时任务，适用于各种管理软件开发。...使用 Microsoft Graph API 下载 SharePoint 文件 ~ API 理解版 ~ - Qiita https://qiita.com/Takuma_Kondo/items/af11257b3e2dcb9d8869...如何使用 Microsoft Graph API 在 SharePoint 上下载文件。...使用 Microsoft Graph API (C#) 下载 SharePoint 文件 ~ 实现版本 ~ - Qiita 库、存储库、工具等。

1.4K1 0

Microsoft Sentinel （一）服务概述与数据源配置

· 使用 Microsoft 的分析和出色的威胁情报检测以前未检测到的威胁，并最大限度地减少误报。...Azure AD 连接器包含以下三个其他类别的登录日志： o 非交互式用户登录日志，包含了客户端代表用户进行登录的信息，没有来自用户的任何交互或身份验证因素。...2、必须在工作区中为你的用户分配 Microsoft Sentinel 参与者角色。 3、必须在要从中流式传输日志的租户上为用户分配全局管理员或安全管理员角色。...4、用户必须具有对 Azure AD 诊断设置进行读取和写入的权限，才能查看连接状态。...3、勾选要流式传输到 Microsoft Sentinel 的日志类型旁的复选框，然后选择“连接”。 4、成功建立连接后，数据将显示在“日志管理”部分下的“日志”中，如下表：

1.3K2 0

MAAD-AF：一款针对M365和Azure AD的安全测试工具

通过其几乎无需设置和易于使用的交互式攻击模块，安全团队可以轻松快速地测试其安全控制、检测和响应能力。...PnP.PowerShell Microsoft.Graph.Identity.SignIns 工具限制当前版本的MAAD-AF仅支持Windows操作系统。...）工具使用该工具的使用非常简单，“即插即用”。...首先，我们需要以管理员权限运行PowerShell，然后切换到本地的MAAD-AF目录中： cd /MAAD-AF 然后使用下列命令运行MAAD_Attack.ps1脚本即可： ..../MAAD_Attack.ps1 许可证协议本项目的开发与发布遵循GPL-3.0开源许可证协议。

8271 0

基于恶意OAuth应用的MFA绕过攻击：微软身份体系中的新型钓鱼威胁研究

本文聚焦于2025年披露的一类高隐蔽性钓鱼攻击：攻击者诱导用户授权伪装成合法工具的恶意OAuth应用，利用其申请的高权限API作用域（如Mail.Read、Files.ReadWrite.All），在无需密码或一次性验证码的情况下访问邮箱...关键词：OAuth 2.0；MFA绕过；Microsoft Entra ID；钓鱼攻击；身份安全；API权限；条件访问；第三方应用治理1 引言随着云办公的普及，Microsoft 365已成为全球企业数字基础设施的核心组成部分...OAuth 2.0作为现代身份联合与资源授权的标准协议，在Microsoft Entra ID中被广泛用于第三方应用集成。用户通过一次授权操作，即可授予外部应用对其邮箱、日历、文件等资源的访问权限。...（Access Token）与刷新令牌（Refresh Token）；应用使用令牌调用Microsoft Graph API。...3.4 数据窃取与横向移动获得令牌后，攻击者可调用Microsoft Graph API执行以下操作：# 读取最新100封邮件Invoke-RestMethod -Uri "https://graph.microsoft.com

2671 0

CyberDrain推免费工具帮中小企业守住Microsoft 365大门

公共互联网反网络钓鱼工作组技术专家芦笛指出，“而Microsoft 365因其广泛使用和强大API能力，成了攻击者的首选目标。”...它不依赖外部SaaS服务，而是直接调用Microsoft Graph API，实时扫描租户内的高风险行为：检测异常收件箱规则：如自动转发至外部域名、删除特定关键词邮件等；识别可疑OAuth应用授权：尤其是请求...技术内核：Graph API + 自动化剧本 = 主动防御要理解这款工具为何有效，得先了解Microsoft 365的安全架构。...微软通过Microsoft Graph API开放了对用户邮箱、日历、设备、身份等数据的编程访问接口。...而CyberDrain的工具，本质上是一组自动化剧本（Playbooks），通过合法API权限主动“体检”整个租户。

1651 0

office365 E5调用api使E5开发者续订修复版AutoApi （不使用服务器）

microsoft graph的api，一次调用10个api，5个onedrive的api还有4个outlook的api,剩下一个是组的api，调用一次后延时等待五分钟再重复调用。...记录ID 下面会用到点击左边管理的证书和密码，点击+新客户端密码，点击添加，复制新客户端密码的值记录这个值下面会用到点击左边管理的API权限，点击+添加权限，点击常用Microsoft API...里的Microsoft Graph(就是那个蓝色水晶)，点击委托的权限，然后在下面的条例搜索以下12个最后点击底部添加权限 Calendars.ReadWrite 、 Contacts.ReadWrite...工作流程说明 Run api.Write：创建系api，一天自动运行一次 Run api.Read: 查询系api，每6小时自动运行一次 Update Token：微软密钥更新...流程 -> build -> run api 就能看到每次的运行日志（必需点进去build里面的run api.XXX看下，api有没有调用到位，操作有没有成功，有没有出错） image 再点两次星星

8.1K1 1

Office开发者计划-永久白嫖Office365

服务都失效了，在B站偶然刷到相关的内容，刚好满足我的白嫖心理~ 步骤说明注册Microsoft账号，并加入开发者计划下载Microsoft365，登录账号并激活自动续时：保持开发者身份...权限配置注册的应用程序API权限类型有两种，其主要区别如下表所示：权限类型委托的权限(用户登录) 应用程序权限(非用户登录) 官方释义应用程序必须以登录用户身份访问API 应用程序在用户未登录的情况下作为后台服务或守护程序运行...版程序自动配置添加API权限必须手动配置API权限可以选择相应的API进行配置此处以Microsoft Graph为参考，选择“委托的权限”，根据列出的API权限需求表进行选择...：证书和密码->添加客户端密码确认完成在列表处可以看到生成的记录，点击选择复制值（即客户端密码） b.API调用工具 Microsoft Graph 浏览器是一种基于 Web 的工具...Graph API 发出请求的工具：Postman&Microsoft Graph API使用 c.Microsoft Graph 快速入门示例 Microsoft Graph入门

11.4K3 2

Monkey365：一款针对Microsoft 365和Azure的安全配置审查工具

该工具易于使用，无需从一开始就花费大量学习工具API或复杂的管理面板。除此之外，Monkey365还提供了几种方法来识别所需租户设置和配置中的安全漏洞。...值得一提的是，Monkey365还给广大研究人员提供了关于如何最佳配置这些设置以充分利用Microsoft 365租户或Azure订阅的宝贵建议。...使用Monkey365，我们可以根据Azure、Azure AD和Microsoft365核心应用程序的安全最佳实践和合规标准，扫描公共云帐户中的潜在错误配置和安全问题。 ...如果没有提供凭证，Monkey365将提醒输入凭证信息： $param = @{ Instance = 'Microsoft365'; Analysis = 'SharePointOnline...报告将包含用于快速检查和验证结果的结构化数据。许可证协议本项目的开发与发布遵循Apache-2.0开源许可证协议。

7523 0

高级OAuth钓鱼攻击的演化机制与防御体系构建

尤其在Microsoft 365、Google Workspace等企业生产力平台中，OAuth被深度集成于单点登录（SSO）、API调用、跨应用数据共享等关键场景。...；用户在授权服务器页面登录并同意权限请求；授权服务器生成授权码（Authorization Code），通过重定向返回至Client指定的redirect_uri；Client使用授权码、client_secret...向令牌端点换取访问令牌与刷新令牌；Client使用访问令牌调用受保护资源（如Microsoft Graph API）。...返回的JSON响应包含access_token与refresh_token。前者有效期通常为1小时，后者可达90天（取决于租户策略）。攻击者利用刷新令牌可无限续期访问令牌，实现长期潜伏。...获得令牌后，攻击者通过Microsoft Graph API执行侦察：import requeststoken = "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.xxxxx"headers

2861 0

如何使用AzurEnum快速枚举Microsoft Entra ID（Azure AD）

AzurEnum是一款针对Azure的安全工具，在该工具的帮助下，广大研究人员可以轻松快速地枚举Microsoft Entra ID（Azure AD）。...我们无需担心AzurEnum会对环境执行某些更改，因为它所做的只是对Azure API执行只读查询。随着时间的推移，组织不断将越来越多的IT资产转移到云中。...功能介绍 1、支持枚举常见信息，例如用户数量、组、应用程序、Entra ID许可证、租户ID等； 2、支持枚举常规安全设置，例如组创建、同意策略、访客访问等； 3、管理Entra ID角色； 4、PIM...3； 2、msal Python库； 3、一个有效的Azure凭证集；建议广大研究人员在Linux设备上运行和使用该工具。...out.txt 工具运行截图主界面基本信息常规设置 Entra ID角色服务主体API权限管理单元动态组位置命名和条件访问设备概览主体和组属性中的凭据搜索许可证协议本项目的开发与发布遵循

4491 0

迁移到云端时，关键的软件许可证应该避免

如今，许多企业IT数据中心管理人员克服了大量障碍和恐惧，以便开始在公共云中运行工作负载。在某些情况下，将私有数据中心的应用程序转移到公共云上已经变得日常化。...例如，安全专业人士已经意识到，云提供商的安全性比大多数组织更好。虽然对如何在多租户基础架构中实现类似的应用程序性能有很好的理解，但软件许可证可能仍然是一个盲点。...然而，SAP，Oracle和Microsoft继续保持与AWS公司进行竞争。软件许可是传统IT供应商在其云战略中可用的工具之一。Oracle公司是利用其软件定价策略的供应商的示例。...Oracle有效地在AWSEC2实例上运行Oracle软件的成本减半，以防止使用另一个云平台。希望在多租户云中运行Oracle软件的客户被鼓励在Oracle云平台上运行该软件。...许可证的可移植性基础设施在发展时，许可证混乱并不是新的挑战。从微软到Oracle等供应商多年来一直对其许可计划进行了调整，许多其他厂商对物理处理器的容量进行了许可。

8577 0

点击加载更多

OpenAI推出企业级SharePoint连接器，挑战Microsoft 365 Copilot

快速提升Entra ID安全性的实用指南

Azure AD（四）知识补充-服务主体

多租户或多实例 ?

【壹刊】Azure AD 保护的 ASP.NET Core Web API （下）

基于微软 Entra B2B 邀请机制的 TOAD 钓鱼攻击分析与防御策略

基于OAuth同意滥用的假冒微软应用钓鱼攻击研究

如何调整敏感度标签的离线访问期限

从 Azure AD 到 Active Directory（通过 Azure）——意外的攻击路径

.NET周刊【8月第2期 2024-08-11】

Microsoft Sentinel （一）服务概述与数据源配置

MAAD-AF：一款针对M365和Azure AD的安全测试工具

基于恶意OAuth应用的MFA绕过攻击：微软身份体系中的新型钓鱼威胁研究

CyberDrain推免费工具帮中小企业守住Microsoft 365大门

office365 E5调用api使E5开发者续订修复版AutoApi （不使用服务器）

Office开发者计划-永久白嫖Office365

Monkey365：一款针对Microsoft 365和Azure的安全配置审查工具

高级OAuth钓鱼攻击的演化机制与防御体系构建

如何使用AzurEnum快速枚举Microsoft Entra ID（Azure AD）

迁移到云端时，关键的软件许可证应该避免

相关资讯

热门标签

活动推荐

运营活动

社区

活动

圈层

关于

腾讯云开发者

热门产品

热门推荐

更多推荐