تستمر المجموعات تنفيذ الخدمات المرتكزة على السحابة، وإن هذا تحول أدى إلى تبني أوسع لبيئات الهوية الهجينة التي تربط Active Directory المحلي بـ Microsoft Entra ID (المعروف سابقًا باسم Azure AD). ولإدارة الأجهزة في بيئات الهوية الهجينة هذه، برز Microsoft Intune (Intune) كأحد أكثر حلول إدارة الأجهزة شيوعًا. ونظرًا لأن هذه المنصة المؤسسية الموثوقة يمكن دمجها بسهولة مع أجهزة وخدمات Active Directory المحلية، فهي هدف رئيسي للمهاجمين لاستغلال استخدامه في تنفيذ الحركة الجانبية وتنفيذ الرمز.

وسيقدم هذا البحث خلفية عن Intune، وكيفية استخدامه داخل المجموعات، وكيف يمكن استخدام هذه المنصة المرتكزة على السحابة لنشر التطبيق المخصص لتحقيق تنفيذ الرمز على أجهزة المستخدم. وبالإضافة إلى ذلك، يشمل هذا البحث الإصدار العام لقواعد Microsoft Sentinel الجديدة لمساعدة المدافعين في اكتشاف استخدام Intune للحركة الجانبية وإرشادات التقوية الدفاعية لمنصة Intune.