หน้าแรก>การเขียนโปรแกรมที่เกี่ยวข้อง>ซอร์สโค้ดอื่น ๆ
ดาวน์โหลด

เห่า

BARK ย่อมาจาก BloodHound Attack Research Kit เป็นสคริปต์ PowerShell ที่สร้างขึ้นเพื่อช่วยทีม BloodHound Enterprise ในการค้นคว้าและตรวจสอบการละเมิดแบบดั้งเดิมอย่างต่อเนื่อง ปัจจุบัน BARK มุ่งเน้นไปที่ชุดผลิตภัณฑ์และบริการ Azure ของ Microsoft

BARK ไม่จำเป็นต้องพึ่งพาบุคคลที่สาม ฟังก์ชั่นของ BARK ได้รับการออกแบบให้เรียบง่ายและบำรุงรักษาได้มากที่สุด ฟังก์ชันส่วนใหญ่เป็น wrappers ที่เรียบง่ายสำหรับส่งคำขอไปยังจุดสิ้นสุด REST API ต่างๆ ฟังก์ชันพื้นฐานของ BARK ไม่จำเป็นต้องใช้ซึ่งกันและกัน คุณสามารถดึงฟังก์ชัน BARK เกือบทั้งหมดออกจาก BARK ได้ และมันจะทำงานได้อย่างสมบูรณ์แบบในฐานะฟังก์ชันสแตนด์อโลนในสคริปต์ของคุณเอง

ผู้เขียนและผู้มีส่วนร่วม

ผู้เขียนหลัก: Andy Robbins @_wald0

ผู้ร่วมให้ข้อมูล:

  • โจนัส บูโลว์ คนุดเซ่น @Jonas_B_K
  • ฟาเบียน เบเดอร์
  • ติ่งคู่เกย์
  • @g60ocR

เริ่มต้นใช้งาน

มีหลายวิธีในการนำเข้าสคริปต์ PowerShell นี่เป็นวิธีหนึ่ง:

ขั้นแรก ดาวน์โหลด BARK.ps1 โดยการโคลน repo นี้ หรือเพียงคัดลอก/วางเนื้อหาดิบจาก GitHub 

 git clone https://github.com/BloodHoundAD/BARK

ตอนนี้ cd ลงในไดเร็กทอรีที่ PS1 อยู่: 

 cd BARK

สุดท้าย คุณสามารถนำเข้า PS1 ได้ดังนี้: 

 . .BARK.ps1

กด Enter จากนั้นอินสแตนซ์ PowerShell ของคุณจะสามารถเข้าถึงฟังก์ชันทั้งหมดของ BARK ได้

รันคำสั่ง BARK แรกของคุณ

ด้วยข้อยกเว้นเพียงเล็กน้อย ตำแหน่งข้อมูล Azure API จำเป็นต้องมีการรับรองความถูกต้องจึงจะโต้ตอบได้ BARK มาพร้อมกับฟังก์ชันบางอย่างที่จะช่วยให้คุณได้รับโทเค็นที่จำเป็นสำหรับการโต้ตอบกับ MS Graph และ Azure REST API ฟังก์ชัน BARK ใดๆ ที่โต้ตอบกับ Azure API ที่ต้องมีการตรวจสอบสิทธิ์จะต้องให้คุณระบุโทเค็น

สมมติว่าคุณต้องการแสดงรายการผู้ใช้ทั้งหมดในผู้เช่า Entra ID ก่อนอื่นคุณต้องได้รับโทเค็นที่กำหนดขอบเขตสำหรับ MS Graph มีหลายวิธีในการรับโทเค็นนี้:

หากคุณมีชื่อผู้ใช้/รหัสผ่านรวมกันสำหรับผู้ใช้ Entra ในผู้เช่านั้น คุณสามารถรับโทเค็นการรีเฟรชสำหรับผู้ใช้ได้ก่อนโดยใช้ฟังก์ชัน Get-EntraRefreshTokenWithUsernamePassword ของ BARK: 

 $MyRefreshTokenRequest = Get-EntraRefreshTokenWithUsernamePassword -username "[email protected]" -password "MyVeryCoolPassword" -TenantID "contoso.onmicrosoft.com"

ออบเจ็กต์ผลลัพธ์ที่คุณเพิ่งสร้างขึ้น $MyRefreshTokenRequest จะมีโทเค็นการรีเฟรชสำหรับผู้ใช้ของคุณเป็นส่วนหนึ่งของมัน ตอนนี้คุณสามารถขอโทเค็นที่กำหนดขอบเขต MS Graph ได้โดยใช้โทเค็นการรีเฟรชนี้: 

 $MyMSGraphToken = Get-MSGraphTokenWithRefreshToken -RefreshToken $MyRefreshTokenRequest.refresh_token -TenantID "contoso.onmicrosoft.com"

ตอนนี้วัตถุใหม่นี้ $MyMSGraphToken จะมีหนึ่งในค่าคุณสมบัติ JWT ที่มีการกำหนดขอบเขต MS Graph สำหรับผู้ใช้ของคุณ ตอนนี้คุณพร้อมที่จะใช้โทเค็นนี้เพื่อแสดงรายการผู้ใช้ทั้งหมดในผู้เช่า Entra: 

 $MyUsers = Get-AllEntraUsers -Token $MyMSGraphToken.access_token -ShowProgress

เมื่อเสร็จแล้ว ตัวแปร $MyEntraUsers จะถูกเติมด้วยอ็อบเจ็กต์ที่แสดงถึงผู้ใช้ทั้งหมดในผู้เช่า Entra ของคุณ

ฟังก์ชั่นการจัดการโทเค็นและการจัดการ

  • Get-AzureKeyVaultTokenWithClientCredentials ร้องขอโทเค็นจาก STS ด้วย Azure Vault ที่ระบุว่าเป็นทรัพยากร/กลุ่มเป้าหมายที่ใช้รหัสไคลเอ็นต์และข้อมูลลับ
  • Get-AzureKeyVaultTokenWithUsernamePassword ร้องขอโทเค็นจาก STS ด้วย Azure Vault ที่ระบุว่าเป็นทรัพยากร/ผู้ชมเป้าหมายโดยใช้ชื่อผู้ใช้และรหัสผ่านที่ผู้ใช้ระบุ
  • Get-AzurePortalTokenWithRefreshToken ร้องขอโทเค็นการรีเฟรช Azure Portal Auth ด้วยโทเค็นการรีเฟรชที่ผู้ใช้ระบุ
  • Get-AzureRMTokenWithClientCredentials ร้องขอ JWT ที่กำหนดขอบเขต AzureRM พร้อมด้วยรหัสไคลเอ็นต์และความลับ มีประโยชน์สำหรับการตรวจสอบสิทธิ์เป็นบริการหลักของ Entra
  • Get-AzureRMTokenWithPortalAuthRefreshToken ร้องขอ JWT ที่มีขอบเขต AzureRM พร้อมด้วยโทเค็น Azure Portal Auth Refresh ที่ผู้ใช้ระบุ
  • Get-AzureRMTokenWithRefreshToken ร้องขอ JWT ที่กำหนดขอบเขต AzureRM พร้อมด้วยโทเค็นการรีเฟรชที่ผู้ใช้ระบุ
  • Get-AzureRMTokenWithUsernamePassword ร้องขอ JWT ที่กำหนดขอบเขต AzureRM ด้วยชื่อผู้ใช้และรหัสผ่านที่ผู้ใช้ระบุ
  • Get-EntraRefreshTokenWithUsernamePassword ร้องขอคอลเลกชันของโทเค็น รวมถึงโทเค็นการรีเฟรช จาก login.microsoftonline.com ด้วยชื่อผู้ใช้และรหัสผ่านที่ผู้ใช้ระบุ สิ่งนี้จะล้มเหลวหากผู้ใช้มีข้อกำหนดการตรวจสอบสิทธิ์แบบหลายปัจจัยหรือได้รับผลกระทบจากนโยบายการเข้าถึงแบบมีเงื่อนไข
  • Get-MSGraphTokenWithClientCredentials ร้องขอ JWT ที่มีขอบเขตกราฟ MS พร้อมรหัสไคลเอ็นต์และความลับ มีประโยชน์สำหรับการตรวจสอบสิทธิ์เป็นบริการหลักของ Entra
  • Get-MSGraphTokenWithPortalAuthRefreshToken ร้องขอ JWT ที่มีขอบเขตเป็น MS Graph พร้อมด้วยโทเค็น Azure Portal Auth Refresh ที่ผู้ใช้ระบุ
  • Get-MSGraphTokenWithRefreshToken ร้องขอ JWT ที่มีขอบเขตเป็น MS Graph พร้อมด้วยโทเค็นการรีเฟรชที่ผู้ใช้ระบุ
  • Get-MSGraphTokenWithUsernamePassword ร้องขอ JWT ที่มีขอบเขตเป็น MS Graph ด้วยชื่อผู้ใช้และรหัสผ่านที่ผู้ใช้ระบุ
  • Parse-JWTToken จะใช้ JWT ที่เข้ารหัส Base64 เป็นอินพุตและแยกวิเคราะห์ให้คุณ มีประโยชน์สำหรับการตรวจสอบผู้ชมโทเค็นและการอ้างสิทธิ์ที่ถูกต้อง

ฟังก์ชันที่ใช้โทเค็นการรีเฟรชใน BARK นั้นอิงตามฟังก์ชันใน TokenTactics โดย Steve Borosh

ฟังก์ชันการแจงนับ Entra

  • Get-AllEntraApps รวบรวมวัตถุการลงทะเบียนแอปพลิเคชัน Entra ทั้งหมด
  • Get-AllEntraGroups รวบรวมกลุ่ม Entra ทั้งหมด
  • Get-AllEntraRoles รวบรวมบทบาทผู้ดูแลระบบ Entra ทั้งหมด
  • Get-AllEntraServicePrincipals รวบรวมออบเจ็กต์หลักของบริการ Entra ทั้งหมด
  • Get-AllEntraUsers รวบรวมผู้ใช้ Entra ทั้งหมด
  • Get-EntraAppOwner รวบรวมเจ้าของการลงทะเบียนแอป Entra
  • Get-EntraDeviceRegisteredUsers รวบรวมผู้ใช้อุปกรณ์ Entra
  • Get-EntraGroupMembers รวบรวมสมาชิกของกลุ่ม Entra
  • Get-EntraGroupOwner รวบรวมเจ้าของกลุ่ม Entra
  • Get-EntraRoleTemplates รวบรวมเทมเพลตบทบาทของผู้ดูแลระบบ Entra
  • Get-EntraServicePrincipal รวบรวมหลักการบริการของ Entra
  • Get-EntraServicePrincipalOwner รวบรวมเจ้าของบริการหลักของ Entra
  • Get-EntraTierZeroServicePrincipals รวบรวมหลักการบริการของ Entra ที่มีบทบาทผู้ดูแลระบบ Entra Tier Zero หรือการกำหนดบทบาทแอป Tier Zero MS Graph
  • Get-MGAppRoles รวบรวมบทบาทของแอปที่มีให้โดยบริการหลักของ MS Graph

ฟังก์ชันการแจงนับตัวจัดการทรัพยากร Azure

  • Get-AllAzureManagedIdentityAssignments รวบรวมการกำหนดข้อมูลประจำตัวที่ได้รับการจัดการทั้งหมด
  • Get-AllAzureRMAKSClusters รวบรวมคลัสเตอร์บริการ kubernetes ทั้งหมดภายใต้การสมัครใช้งาน
  • Get-AllAzureRMAutomationAccounts รวบรวมบัญชีอัตโนมัติทั้งหมดภายใต้การสมัครสมาชิก
  • Get-AllAzureRMAzureContainerRegistries รวบรวมการลงทะเบียนคอนเทนเนอร์ทั้งหมดภายใต้การสมัครใช้งาน
  • Get-AllAzureRMFunctionApps รวบรวมแอปฟังก์ชันทั้งหมดภายใต้การสมัครสมาชิก
  • Get-AllAzureRMKeyVaults รวบรวม Key Vaults ทั้งหมดภายใต้การสมัครสมาชิก
  • Get-AllAzureRMLogicApps รวบรวมแอปลอจิกทั้งหมดภายใต้การสมัครรับข้อมูล
  • Get-AllAzureRMResourceGroups รวบรวมกลุ่มทรัพยากรทั้งหมดภายใต้การสมัครใช้งาน
  • Get-AllAzureRMSubscriptions รวบรวมการสมัคร AzureRM ทั้งหมด
  • Get-AllAzureRMVMScaleSetsVMs รวบรวมเครื่องเสมือนทั้งหมดภายใต้ชุดมาตราส่วน VM
  • Get-AllAzureRMVMScaleSets รวบรวมชุดมาตราส่วนเครื่องเสมือนทั้งหมดภายใต้การสมัครใช้งาน
  • Get-AllAzureRMVirtualMachines รวบรวมเครื่องเสมือนทั้งหมดภายใต้การสมัครสมาชิก
  • Get-AllAzureRMWebApps รวบรวมเว็บแอปทั้งหมดภายใต้การสมัครสมาชิก
  • Get-AzureAutomationAccountRunBookOutput รันสมุดบัญชีอัตโนมัติและดึงข้อมูลผลลัพธ์
  • Get-AzureFunctionAppFunctionFile รวบรวมไฟล์ดิบ (โดยปกติจะเป็นซอร์สโค้ด) ของฟังก์ชันแอปฟังก์ชัน
  • Get-AzureFunctionAppFunctions รวบรวมฟังก์ชันทั้งหมดภายใต้แอปฟังก์ชัน
  • Get-AzureFunctionAppMasterKeys รวบรวมคีย์หลักทั้งหมดภายใต้แอปฟังก์ชัน
  • Get-AzureFunctionOutput รันฟังก์ชันแอปฟังก์ชันและดึงข้อมูลเอาต์พุต
  • Get-AzureRMKeyVaultSecretValue รวบรวมค่าความลับของ Key Vault
  • Get-AzureRMKeyVaultSecretVersions รวบรวม Key Vault Secret ทุกเวอร์ชัน
  • Get-AzureRMKeyVaultSecrets รวบรวมความลับทั้งหมดภายใต้ Key Vault
  • Get-AzureRMRoleAssignments รวบรวมการกำหนดบทบาททั้งหมดกับวัตถุ
  • Get-AzureRMRoleDefinitions รวบรวมคำจำกัดความบทบาททั้งหมดที่อธิบายไว้ในขอบเขตการสมัครใช้งาน รวมถึงบทบาทที่กำหนดเอง
  • Get-AzureRMWebApp รวบรวมเว็บแอป

ฟังก์ชันการแจงนับ Intune

  • Get-IntuneManagedDevices รวบรวมอุปกรณ์ที่มีการจัดการ Intune
  • Get-IntuneRoleDefinitions รวบรวมคำจำกัดความบทบาท Intune ที่พร้อมใช้งาน

ฟังก์ชั่นการใช้งานในทางที่ผิด

  • Add-MemberToEntraGroup จะพยายามเพิ่มตัวการให้กับกลุ่ม Entra
  • Enable-EntraRole จะพยายามเปิดใช้งาน (หรือ "เปิดใช้งาน") บทบาท Entra
  • New-EntraAppOwner จะพยายามเพิ่มเจ้าของใหม่ในแอป Entra
  • New-EntraAppRoleAssignment จะพยายามมอบบทบาทแอปให้กับบริการหลัก ตัวอย่างเช่น คุณสามารถใช้สิ่งนี้เพื่อให้บทบาทแอป RoleManagement.ReadWrite.Directory แก่บริการหลักได้
  • New-EntraAppSecret จะพยายามสร้างความลับใหม่สำหรับการลงทะเบียนแอป Entra ที่มีอยู่
  • New-EntraGroupOwner จะพยายามเพิ่มเจ้าของใหม่ให้กับกลุ่ม Entra
  • New-EntraRoleAssignment จะพยายามมอบหมายบทบาทผู้ดูแลระบบ Entra ให้กับอาจารย์ใหญ่ที่ระบุ
  • New-EntraServicePrincipalOwner จะพยายามเพิ่มเจ้าของใหม่ให้กับบริการหลักของ Entra
  • New-EntraServicePrincipalSecret จะพยายามสร้างข้อมูลลับใหม่สำหรับบริการหลักของ Entra ที่มีอยู่
  • Reset-EntraUserPassword จะพยายามรีเซ็ตรหัสผ่านของผู้ใช้รายอื่น หากสำเร็จ ผลลัพธ์จะมีรหัสผ่านใหม่ที่สร้างโดย Azure ของผู้ใช้
  • Set-EntraUserPassword จะพยายามตั้งรหัสผ่านของผู้ใช้รายอื่นเป็นค่าที่ผู้ใช้ระบุใหม่

ฟังก์ชันการใช้งานในทางที่ผิดของ Azure Resource Manager

  • Invoke-AzureRMAKSRunCommand จะสั่งให้คลัสเตอร์ AKS ดำเนินการคำสั่ง
  • Invoke-AzureRMVMRunCommand จะพยายามดำเนินการคำสั่งบน VM
  • Invoke-AzureRMWebAppShellCommand จะพยายามดำเนินการคำสั่งบนคอนเทนเนอร์ของเว็บแอป
  • Invoke-AzureVMScaleSetVMRunCommand จะพยายามดำเนินการคำสั่งบน VM Scale Set VM
  • New-AzureAutomationAccountRunBook จะพยายามเพิ่ม runbook ให้กับบัญชีอัตโนมัติ
  • New-AzureKeyVaultAccessPolicy จะพยายามให้สิทธิ์ "รับ" และ "รายการ" หลักกับความลับ คีย์ และใบรับรองของ Key Vault
  • New-AzureRMRoleAssignment จะพยายามมอบการกำหนดบทบาท AzureRM ที่ผู้ใช้ระบุให้กับตัวการเฉพาะในขอบเขตที่กำหนด
  • New-PowerShellFunctionAppFunction จะพยายามสร้างฟังก์ชัน PowerShell ใหม่ในแอปฟังก์ชัน

ฟังก์ชันเมตา

  • ConvertTo-Markdown ใช้สำหรับการนวดเอาต์พุตจากฟังก์ชัน Invivo-Tests สำหรับการใช้งานในแพลตฟอร์มอื่น
  • Invoke-AllAzureMGAbuseTests ดำเนินการทดสอบการตรวจสอบการละเมิดทั้งหมดที่สามารถดำเนินการได้โดยการถือบทบาทแอป MS Graph ส่งคืนออบเจ็กต์ที่อธิบายว่าสิทธิ์ใดที่ประสบความสำเร็จในการทดสอบการละเมิดแต่ละครั้ง
  • Invoke-AllAzureRMAbuseTests ดำเนินการทดสอบการตรวจสอบการละเมิด AzureRM ทั้งหมด และส่งออกออบเจ็กต์ผลลัพธ์ที่อธิบายว่าบทบาท AzureRM ใดที่ได้รับความสามารถในการดำเนินการละเมิดแต่ละครั้ง
  • Invoke-AllEntraAbuseTests ดำเนินการทดสอบการตรวจสอบการละเมิดทั้งหมดที่สามารถทำได้โดยผู้หลักที่ได้รับบทบาทผู้ดูแลระบบ Entra ส่งคืนออบเจ็กต์ที่อธิบายว่าสิทธิ์ใดที่ประสบความสำเร็จในการทดสอบการละเมิดแต่ละครั้ง
  • New-EntraIDAbuseTestSPs สร้างบริการหลักใหม่ตามบทบาทผู้ดูแลระบบ Entra ที่ใช้งานอยู่ และมอบบทบาทที่เหมาะสมให้กับบริการหลักแต่ละรายการ ส่งกลับข้อมูลรับรองข้อความธรรมดาที่สร้างขึ้นสำหรับแต่ละบริการหลัก
  • New-EntraIDAbuseTestUsers สร้างผู้ใช้ใหม่ต่อบทบาทผู้ดูแลระบบ Entra ที่ใช้งานอยู่ และมอบบทบาทที่เหมาะสมให้กับผู้ใช้แต่ละราย ส่งกลับข้อมูลรับรองข้อความธรรมดาที่สร้างขึ้นสำหรับผู้ใช้แต่ละราย
  • New-IntuneAbuseTestUsers สร้างผู้ใช้ใหม่ตามบทบาท Intune และมอบบทบาทที่เหมาะสมให้กับผู้ใช้แต่ละราย ส่งกลับข้อมูลรับรองข้อความธรรมดาที่สร้างขึ้นสำหรับผู้ใช้แต่ละราย
  • New-MSGraphAppRoleTestSPs จะสร้างบริการหลักใหม่ตามบทบาทของแอป MS Graph และมอบบทบาทที่เหมาะสมให้กับบริการหลักแต่ละรายการ ส่งกลับข้อมูลรับรองข้อความธรรมดาที่สร้างขึ้นสำหรับแต่ละบริการหลัก
  • New-TestAppReg สร้างออบเจ็กต์การลงทะเบียนแอปพลิเคชันเพื่อวัตถุประสงค์ที่ชัดเจนในการทดสอบการตรวจสอบการละเมิด
  • New-TestSP สร้างบริการหลักใหม่และเชื่อมโยงกับแอปที่สร้างโดยฟังก์ชันข้างต้น
  • Remove-AbuseTestAzureRMRoles เป็นฟังก์ชันล้างข้อมูลสำหรับการลบบทบาทผู้ดูแลระบบ AzureRM ที่สร้างขึ้นระหว่างการทดสอบ
  • Remove-AbuseTestServicePrincipals จะล้างการทดสอบการละเมิดโดยการลบหลักการบริการที่สร้างขึ้นระหว่างการทดสอบ
  • Test-AzureRMAddSelfToAzureRMRole ใช้ในการทดสอบการตรวจสอบความถูกต้องในทางที่ผิดเพื่อตรวจสอบว่าบริการหลักที่มีสิทธิ์บางอย่างสามารถให้บทบาทผู้ดูแลระบบการเข้าถึงผู้ใช้แก่ตนเองผ่านการสมัครสมาชิกได้หรือไม่
  • Test-AzureRMCreateFunction ที่ใช้ในการทดสอบการตรวจสอบความถูกต้องในทางที่ผิดเพื่อทดสอบว่าบริการหลักสามารถเพิ่มฟังก์ชันใหม่ให้กับแอปฟังก์ชันที่มีอยู่ได้หรือไม่
  • Test-AzureRMPublishAutomationAccountRunBook ใช้เพื่อทดสอบว่าบริการหลักสามารถเผยแพร่ Runbook ใหม่ไปยังบัญชีอัตโนมัติที่มีอยู่ได้หรือไม่
  • Test-AzureRMVMRunCommand ใช้เพื่อทดสอบว่าตัวการสามารถรันคำสั่งบน VM ที่มีอยู่ได้หรือไม่
  • Test-MGAddMemberToNonRoleEligibleGroup ใช้เพื่อทดสอบว่าบริการหลักสามารถเพิ่มตัวเองลงในกลุ่มที่มีสิทธิ์ที่ไม่ใช่บทบาทได้หรือไม่
  • Test-MGAddMemberToRoleEligibleGroup ใช้เพื่อทดสอบว่าบริการหลักสามารถเพิ่มตัวเองลงในกลุ่มที่มีสิทธิ์ตามบทบาทได้หรือไม่
  • Test-MGAddOwnerToNonRoleEligibleGroup ใช้เพื่อทดสอบว่าบริการหลักสามารถให้สิทธิ์การเป็นเจ้าของกลุ่มที่มีสิทธิ์ซึ่งไม่มีบทบาทอย่างชัดเจนได้หรือไม่
  • Test-MGAddOwnerToRoleEligibleGroup ใช้เพื่อทดสอบว่าบริการหลักสามารถให้สิทธิ์การเป็นเจ้าของกลุ่มที่มีสิทธิ์ตามบทบาทอย่างชัดเจนหรือไม่
  • Test-MGAddRootCACert ใช้เพื่อทดสอบว่าผู้ให้บริการหลักสามารถเพิ่มใบรับรอง Root CA ใหม่ให้กับผู้เช่าได้หรือไม่
  • Test-MGAddSecretToApp ใช้เพื่อทดสอบว่าบริการหลักสามารถเพิ่มความลับใหม่ให้กับแอปที่มีอยู่ได้หรือไม่
  • Test-MGAddSecretToSP ใช้เพื่อทดสอบว่าบริการหลักสามารถเพิ่มข้อมูลลับใหม่ให้กับบริการหลักที่มีอยู่ได้หรือไม่
  • Test-MGAddSelfAsOwnerOfApp ใช้ในการทดสอบการตรวจสอบการละเมิดเพื่อตรวจสอบว่าบริการหลักที่มีสิทธิ์เฉพาะสามารถให้สิทธิ์การเป็นเจ้าของแอป Entra ที่มีอยู่ได้หรือไม่
  • Test-MGAddSelfAsOwnerOfSP ใช้ในการทดสอบการตรวจสอบความถูกต้องในทางที่ผิดเพื่อตรวจสอบว่าบริการหลักที่มีสิทธิ์เฉพาะสามารถให้สิทธิ์การเป็นเจ้าของบริการหลักของ Entra ที่มีอยู่ได้หรือไม่
  • Test-MGAddSelfToEntraRole ใช้ในการทดสอบการตรวจสอบความถูกต้องในทางที่ผิดเพื่อพิจารณาว่าบริการหลักที่มีสิทธิ์เฉพาะสามารถเพิ่มตัวเองลงในบทบาทผู้ดูแลระบบ Entra เช่น ผู้ดูแลระบบส่วนกลาง เป็นต้น
  • Test-MGAddSelfToMGAppRole ใช้ในการทดสอบการตรวจสอบความถูกต้องในทางที่ผิดเพื่อตรวจสอบว่าบริการหลักที่มีสิทธิ์พิเศษสามารถให้บทบาทแอป MS Graph เฉพาะแก่ตัวเองได้โดยไม่ต้องได้รับความยินยอมจากผู้ดูแลระบบหรือไม่
ขยาย
ข้อมูลเพิ่มเติม
แอปที่เกี่ยวข้อง
แนะนำสำหรับคุณ
ข้อมูลที่เกี่ยวข้อง ทั้งหมด