给你的Office365全局加几层保险 图章 图章

已认证 BOSS 6月前 2542

引言

  如果你手里拥有一个Office365全局,你会不会担心有一天全局管理员被封禁呢?当然,如果是自用的话则不需要太担心,因为一般自用的风险不会太大。

  进入正题,下面介绍一下如何加“保险”。

注册应用

  1)进入https://aad.portal.azure.com,登录你的全局管理员账号。

  2)按照以下的步骤:

image-20210516220832832

  3)给予api权限

本帖有隐藏内容,请您登录后查看。

别忘了,记得授予管理员同意。

  4)生成密钥

密钥默认最长时间是2年,那有没有办法获得永久密钥呢?答案是可以的。

修改应用密钥有效期之 Graph Explorer 篇(推荐)

修改应用密钥有效期之 azure-cli 篇

修改应用密钥有效期之 Charles 篇

修改应用密钥有效期之 Fiddler 篇

修改应用密钥有效期之 Chrome 扩展 TamperDev 篇

到了这里,其实已经差不多可以了。

下面的问题就是,我有了aad应用,我该怎么用呢?ok,在这里推荐三个不错的程序。

Microsoft-365-Admin

动手能力不错的同学,可以自行搭建一下。至于不太明白的同学嘛,我看情况吧,有时间可以写一篇详细的教程。

作用:

  主要是为了在全局管理员被封禁了后,可以通过该程序创建和删除用户等等操作。

运行截图:

image-20210516221849749

说明:

  但是,它不能将普通用户提权为管理员,也不能将封禁的管理员账号解禁,此时就需要以下的两种程序了。

提权程序Python版

下载地址:

本帖有隐藏内容,请您回复后查看。

roleTemplateId可以自己修改,设置默认为用户管理员,可以自己修改为全局管理员。相关配置看以下内容:

ObjectId                               Name                             
--------                               ----                             
62e90394-69f5-4237-9190-012177145e10   Company Administrator       //此为全局管理员     
95e79109-95c0-4d8e-aee3-d01accf2d47b   Guest Inviter                    
fe930be7-5e62-47db-91af-98c3a49a38b1   User Administrator               
729827e3-9c14-49f7-bb1b-9608f156bbb8   Helpdesk Administrator           
f023fd81-a637-4b56-95fd-791ac0226033   Service Support Administrator   
b0f54661-2d74-4c50-afa3-1ec803f12efe   Billing Administrator            
4ba39ca4-527c-499a-b93d-d9b492c50246   Partner Tier1 Support            
e00e864a-17c5-4a4b-9c06-f5b95a8d5bd8   Partner Tier2 Support            
88d8e3e3-8f55-4a1e-953a-9b9898b8876b   Directory Readers               
9360feb5-f418-4baa-8175-e2a00bac4301   Directory Writers               
29232cdf-9323-42fd-ade2-1d097af3e4de   Exchange Administrator           
f28a1f50-f6e7-4571-818b-6a12f2af6b6c   SharePoint Administrator         
75941009-915a-4869-abe7-691bff18279e   Skype for Business Administrator
d405c6df-0af8-4e3b-95e4-4d06e542189e   Device Users                     
9f06204d-73c1-4d4c-880a-6edb90606fd8   Azure AD Joined Device Local ...
9c094953-4995-41c8-84c8-3ebb9b32c93f   Device Join                     
c34f683f-4d5a-4403-affd-6615e00e3a7f   Workplace Device Join            
17315797-102d-40b4-93e0-432062caca18   Compliance Administrator         
d29b2b05-8046-44ba-8758-1e26182fcf32   Directory Synchronization Acc...
2b499bcd-da44-4968-8aec-78e1674fa64d   Device Managers                  
9b895d92-2cd3-44c7-9d02-a6ac2d5ea5c3   Application Administrator        
cf1c38e5-3621-4004-a7cb-879624dced7c   Application Developer            
5d6b6bb7-de71-4623-b4af-96380a352509   Security Reader                  
194ae4cb-b126-40b2-bd5b-6091b380977d   Security Administrator           
e8611ab8-c189-46e8-94e1-60213ab1f814   Privileged Role Administrator   
3a2c62db-5318-420d-8d74-23affee5d9d5   Intune Administrator            
158c047a-c907-4556-b7ef-446551a6b5f7   Cloud Application Administrator  
5c4f9dcd-47dc-4cf7-8c9a-9e4207cbfc91   Customer LockBox Access Approver
44367163-eba1-44c3-98af-f5787879f96a   Dynamics 365 Administrator      
a9ea8996-122f-4c74-9520-8edcd192826c   Power BI Administrator           
b1be1c3e-b65d-4f19-8427-f6fa0d97feb9   Conditional Access Administrator
4a5d8f65-41da-4de4-8968-e035b65339cf   Reports Reader                  
790c1fb9-7f7d-4f88-86a1-ef1f95c05c1b   Message Center Reader            
7495fdc4-34c4-4d15-a289-98788ce399fd   Azure Information Protection ...
38a96431-2bdf-4b4c-8b6e-5d3d8abac1a4   Desktop Analytics Administrator  
4d6ac14f-3453-41d0-bef9-a3e0c569773a   License Administrator            
7698a772-787b-4ac8-901f-60d6b08affd2   Cloud Device Administrator      
c4e39bd9-1100-46d3-8c65-fb160da0071f   Authentication Administrator     
7be44c8a-adaf-4e2a-84d6-ab2649e08a13   Privileged Authentication Adm...
baf37b3a-610e-45da-9e62-d9d1e5e8914b   Teams Communications Administ...
f70938a0-fc10-4177-9e90-2178f8765737   Teams Communications Support ...
fcf91098-03e3-41a9-b5ba-6f0ec8188a12   Teams Communications Support ...
69091246-20e8-4a56-aa4d-066075b2a7a8   Teams Administrator              
eb1f4a8d-243a-41f0-9fbd-c7cdf6c5ef7c   Insights Administrator           
ac16e43d-7b2d-40e0-ac05-243ff356ab5b   Message Center Privacy Reader   
6e591065-9bad-43ed-90f3-e9424366d2f0   External ID User Flow Adminis...
0f971eea-41eb-4569-a71e-57bb8a3eff1e   External ID User Flow Attribu...
aaf43236-0c0d-4d5f-883a-6955382ac081   B2C IEF Keyset Administrator     
3edaf663-341e-4475-9f94-5c398ef6c070   B2C IEF Policy Administrator     
be2f45a1-457d-42af-a067-6ec1fa63bc45   External Identity Provider Ad...
e6d1a23a-da11-4be4-9570-befc86d067a7   Compliance Data Administrator   
5f2222b1-57c3-48ba-8ad5-d4759f1fde6f   Security Operator               
74ef975b-6605-40af-a5d2-b9539d836353   Kaizala Administrator            
f2ef992c-3afb-46b9-b7cf-a126ee74c451   Global Reader                    
0964bb5e-9bdb-4d7b-ac29-58e794862a40   Search Administrator            
8835291a-918c-4fd7-a9ce-faa49f0cf7d9   Search Editor                    
966707d0-3269-4727-9be2-8c3a10f19b9d   Password Administrator           
644ef478-e28f-4e28-b9dc-3fdde9aa0b1f   Printer Administrator            
e8cef6f1-e4bd-4ea8-bc07-4b8d950f4477   Printer Technician               
0526716b-113d-4c15-b2c8-68e3c22b9f80   Authentication Policy Adminis...
fdd7a751-b60b-444a-984c-02652fe8fa1c   Groups Administrator            
11648597-926c-4cf3-9c36-bcebb0ba8dcc   Power Platform Administrator     
e3973bdf-4987-49ae-837a-ba8e231c7286   Azure DevOps Administrator      
8ac3fc64-6eca-42ea-9e69-59f4c7b60eb2   Hybrid Identity Administrator   
2b745bdf-0803-4d80-aa65-822c4493daac   Office Apps Administrator        
d37c8bed-0711-4417-ba38-b4abe66ce4c2   Network Administrator            
31e939ad-9672-4796-9c2e-873181342d2d   Insights Business Leader         
3d762c5a-1b6c-493f-843e-55a3b42923d4   Teams Devices Administrator      
c430b396-e693-46cc-96f3-db01bf8bb62a   Attack Simulation Administrator  
9c6df0f2-1e7c-4dc3-b195-66dfbd24aa8f   Attack Payload Author            
75934031-6c7e-415a-99d7-48dbd49e875e   Usage Summary Reports Reader     
b5a8dcf3-09d5-43a9-a639-8e29ef291470   Knowledge Administrator         
744ec460-397e-42ad-a462-8b3f9747a02c   Knowledge Manager               
8329153b-31d0-4727-b945-745eb3bc5f31   Domain Name Administrator        
31392ffb-586c-42d1-9346-e59415a2cc4e   Exchange Recipient Administrator

运行该程序后,如果返回204,则代表成功。在这里就不赘述了,源码里都有注释。

提权程序PHP版

下载地址:

本帖有隐藏内容,请您回复后查看。

功能:

1.多全局集中管理(登录可选、管理页可切换)

2.不使用数据库,数据用api获取

3.新建账号、删除、禁用、提权等。

配置:

程序入口admin.php

配置文件config.php(只要改这个,accounts是一个数组,多个全局的配置分别写这里)

按照流程走即可,并不是很复杂。

结语

  ok,以上步骤都搞定的话,那么你的心可以稍微安稳80%了,如果连api都给你禁了,那你的运气可就真的太糟了~

最后于 6月前 被BOSS编辑 ,原因:
评论
近段时间做甩手掌柜,不问事,有事请找管理。
最新回复 (20)
  • 炼气菜鸟 olivia
    0 2
    boss辛苦了[em_10]
    这家伙太懒了,什么也没留下。
    6月前 只看Ta 回复
  • 飞升成仙 已认证 シスCON
    0 3
    good,刚想弄个全局玩玩
    6月前 只看Ta 回复
  • 仙王 已认证 BOSS
    0 4
    シスCON good,刚想弄个全局玩玩
    之前对这个不是很在意,现在不能不在意了,多加一些措施,多一些稳妥[em_1]
    近段时间做甩手掌柜,不问事,有事请找管理。
    6月前 只看Ta 回复
  • 炼气菜鸟 firewater
    0 5
    boss辛苦了
    这家伙太懒了,什么也没留下。
    6月前 只看Ta 回复
  • 炼气菜鸟 Willy19928
    0 6
    看看
    这家伙太懒了,什么也没留下。
    6月前 只看Ta 回复
  • 炼气菜鸟 又双叒叕
    0 7
    看着好厉害的样子[em_55]
    这家伙太懒了,什么也没留下。
    6月前 只看Ta 回复
  • 筑基入门 落心
    0 8
    自己动手丰衣足食
    404 Not Found
    5月前 只看Ta 回复
  • 炼气菜鸟 philtsaigst
    0 9

    这家伙太懒了,什么也没留下。
    4月前 只看Ta 回复
  • 筑基入门 Emilia
    0 10
    感谢boss
    这家伙太懒了,什么也没留下。
    4月前 只看Ta 回复
  • 炼气菜鸟 xunmeng
    0 11
    看看
    这家伙太懒了,什么也没留下。
    3月前 只看Ta 回复
  • 炼气菜鸟 greenwich
    0 12

    给予API权限,这里看不懂

    这家伙太懒了,什么也没留下。
    2月前 只看Ta 回复
  • 炼气菜鸟 天山狼蛛
    0 13
    感谢分享,好像暂时用不上。
    这家伙太懒了,什么也没留下。
    2月前 只看Ta 回复
  • 炼气菜鸟 MrZoii
    0 14

    怎么才能快速升级到2

    这家伙太懒了,什么也没留下。
    1月前 只看Ta 回复
  • 炼气菜鸟 joan
    0 15
    感谢分享
    这家伙太懒了,什么也没留下。
    1月前 只看Ta 回复
  • 炼气菜鸟 joker_qwq
    0 16
    om作者的基于herko搭建office -admin也不错,很简单
    这家伙太懒了,什么也没留下。
    1月前 只看Ta 回复
  • 炼气菜鸟 Rf7549
    0 17

    感谢分享

    这家伙太懒了,什么也没留下。
    1月前 只看Ta 回复
  • 炼气菜鸟 gujundev
    0 18
    谢谢分享,学习一下
    这家伙太懒了,什么也没留下。
    1月前 只看Ta 回复
  • 炼气菜鸟 zaoan
    0 19
    感谢分享,不过暂时好像用不上
    这家伙太懒了,什么也没留下。
    17天前 只看Ta 回复
  • 炼气菜鸟 河北彭于晏
    0 20
    谢谢分享,学习一下
    这家伙太懒了,什么也没留下。
    9天前 只看Ta 回复
    • 1OVE论坛
      22
        登录 注册
返回