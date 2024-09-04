组织持续推进云原生服务的落地，这一转型趋势推动了混合身份环境的广泛应用，此类架构可实现本地 Active Directory 与 Microsoft Entra ID（前身为 Azure AD）的无缝对接。在混合身份环境的设备管理领域，Microsoft Intune 已发展为当下最主流的解决方案之一。但由于该企业级可信平台能够便捷地集成本地 Active Directory 的设备与服务，它也因此成为攻击者的主要目标，被其滥用于横向移动与代码执行攻击。

本研究将介绍 Intune 的技术背景、组织实际应用场景，并阐述如何利用这一云原生平台部署自定义 Windows 应用，以实现对用户终端的代码执行。此外，研究内容还包含面向公众发布的全新 Microsoft Sentinel 检测规则，可帮助防御人员识别借助 Intune 实施横向移动的攻击行为，同时提供针对 Intune 平台的安全加固指导方案。