The Will Will Web

記載著 Will 在網路世界的學習心得與技術分享

如何將 AzureAD 與 MSOnline 模組改用 Microsoft Graph PowerShell 執行

我之前一直使用 PowerShell 的 MSOnline V1AzureAD V2 模組在做許多 Microsoft 365 的自動化工作,原本微軟就打算在 2023 年 9 月 30 日之前棄用這兩個模組,但因故延期到 2024 年 3 月 30 日,也就是這個月底。在死線之前,我終於騰出時間把我過往的 Microsoft 365 自動化腳本全面升級到 Microsoft Graph PowerShell 模組,這個過程真的不太輕鬆,改變真的蠻大的。

... 繼續閱讀 ...

如何使用 PowerShell 批次管理 Azure AD 使用者資訊

微軟真的家大業大,用 PowerShell 管理 Azure AD 使用者資訊竟然已經累積出了 4 套完全不一樣的 Cmdlets 模組,其中最建議使用的 Microsoft Graph PowerShell 真的是無敵難用到爆,但安全性高、速度快是其優點。本篇文章我就整理一下我近期常用的一些 Cmdlet 命令,方便日後透過 PowerShell 管理公司內部的使用者資訊。

... 繼續閱讀 ...

如何正確地替 Azure Active Directory 使用者啟用多因素驗證 (MFA)

我們上周有同事帳號被駭客入侵,在 30 分鐘內被建立了上百台虛擬機器(VM),還好他有設定消費限制,所以他的訂用帳戶(Subscription)一下子就被停用了,然而我到了隔天深夜才收到訂用帳戶停用的通知,如果沒設定消費限制的話,那真的就慘了!同事覺得納悶的點是,他明明有設定多因素驗證 (MFA) (Multi-Factor Authentication) 驗證方法(Authentication methods),怎麼駭客還可以從烏茲別克(Uzbekistan)用他的帳號密碼登入 Azure Portal 呢?這篇文章我就來說說我這兩天對 Microsoft 365 / Azure AD 在 MFA 的研究心得,超重要!🔥

... 繼續閱讀 ...

如何在現有 ASP.NET Core 網站加入 Azure AD 的 OpenId Connect 登入

我們公司採用 Microsoft 365 辦公協作環境,這也意味著背後一定使用了 Azure AD 目錄服務,因此我們可以直接拿 Azure AD 作為公司的 OAuth 2.0 + OpenId Connect (OIDC) 認證與授權平台,因此開發公司內部應用程式就變的非常容易。這篇文章我將說明要將一個 ASP.NET Core 網站加入 Azure AD 的身份驗證流程,以及使用時的注意事項。

... 繼續閱讀 ...

資訊安全筆記:盤點 Azure 訂用帳戶與角色指派的方法

在 Azure 所有 使用者 (User) 與 服務 (Service) 都代表著一個 主體 (Principal),而 Azure 的 RBAC (以角色為主的存取控制) 主要就是針對 主體 (Principal) 來進行角色指派 (授權),因此我們可以對 使用者主體 (User Principal) 或 服務主體 (Service Principal) 設定在不同資源所擁有的角色。本篇文章我打算來分享幾個方法,教你如何在特定 訂用帳戶 (Subscription) 下查出有哪些主體被設定了哪些角色,以及特定主體已經被授權到了哪些訂用帳戶哪些資源哪些角色,藉此用來盤點是否有不當授權的狀況。

... 繼續閱讀 ...

Microsoft 帳戶如何才能脫離其他人的 Azure AD 目錄/組織

長久以來,我們在 Azure 建立一個訂用帳戶(Subscription)時,預設就會產生一個預設目錄(Azure AD),並且將訂用帳戶預設目錄關聯在一起。如果我們想要授權特定使用者使用特定訂用帳戶的話,則必須先將特定使用者加入到你的預設目錄中,才能進行 IAM 授權。但問題來了,任何目錄的管理者,都可以加入任意使用者,而只要該使用者被加入目錄,該使用者在登入 Azure Portal 切換目錄的時候,就會看見這個目錄名稱,而且完全無法自行離開這個目錄。今天終於等到 Azure 實現「離開目錄」的功能,本篇文章將說明操作的方式。

... 繼續閱讀 ...

Microsoft Azure 如何轉換「訂用帳戶」隸屬的「目錄服務」

管理 Microsoft Azure 雲端資源必須了解一些重要的資訊架構,否則很多時候真的會在 Azure 入口網站迷路或是覺得難用,但只要把觀念弄通就好了。我最近在整合許多 Microsoft 帳戶下的 Azure 訂閱 (訂用帳戶),由於不同的 Microsoft 帳戶下各自有一個 Azure 訂閱 (訂用帳戶),而我又都有權限,管理上還真的有點麻煩,經常要切換來切換去的。本篇文章教大家如何將多個不同的 Azure 訂閱整合在一個目錄下。

... 繼續閱讀 ...

將 Office 365 的 Azure AD 加入 Azure Portal 管理的方式

我們公司採用 Office 365 為雲端辦公室的平台,也協助客戶導入 Office 365 雲端辦公室,各位可能知道 Office 365 背後其實隱含著一套 Azure Active Directory 目錄服務,所以我們可以讓公司內部的 AD 與雲端的 Azure AD 進行同步,簡化 IT 架構與管理。我們也利用 Office 365 內含的 Azure AD 做為公司內部系統的單一簽入 (Single Sign-On) 的媒介,以簡化內部應用程式開發,不過如果你想在 Azure 管理入口網站 (Management Portal) 直接管理 Office 365 內含的 Azure AD,就必須有一些小技巧了,本文章解釋如何設定。

... 繼續閱讀 ...