Entra ID / Azure Course Outline
Source: Notion page Azure & Entra ID 混合雲端安全
Course title: 學會 Entra ID 與 Azure 攻擊基礎的第一堂課
Course Facts
- Event: HITCON Training 2026
- Date: 2026-08-13
- Length: 6 hours
- Language: Chinese
- Difficulty: Normal
- Instructors: John Jiang, Echo Lee
- Audience: IT/security practitioners with Entra ID or Microsoft 365 exposure
Course Positioning
這門課聚焦在 Microsoft Entra ID 與 Azure 的混合雲端攻防基礎。課程會從身份驗證、Token、雲端權限模型與常見 Azure 資源開始,接著用真實攻擊鏈的角度串起初始存取、環境探勘、橫向移動、持久化、Azure 資源濫用與防禦邊界。
核心觀念是讓學員理解攻擊者在 Microsoft 365 / Entra ID / Azure 環境中如何「登入」並擴張影響範圍,而不是只看單點技巧。
Official Outline
- Entra ID 與 Azure 基礎知識
- 認識 Entra ID 與 Azure 的架構與常見資源
- 雲端驗證機制與常見 Token 類型
- PRT、Access Token、Refresh Token 的角色與風險
- Entra ID 初始存取技巧
- Password Spraying
- OAuth phishing
- Device code phishing
- Evilginx 與 Token 竊取脈絡
- Entra ID 環境探勘、橫向移動與潛伏技術
- Entra ID 與 Office 365 環境探勘
- AADInternals / ROADtools 的用途與限制
- 濫用 Entra ID Role、App Role、Application 與 Ownership
- Cross-tenant lateral movement
- 惡意裝置註冊與 Device Persistence
- Azure 的基礎攻擊
- Azure 常見錯誤配置
- Managed Identity 風險
- Storage Account / Blob 資料存取風險
- Key Vault Secret 存取風險
- Resource Group deployment history 中的憑證狩獵
- Automation Account 與 VM 相關攻擊面
- 繞過與濫用相關安全機制
- Conditional Access 能力與限制
- MFA 類型差異與攻擊邊界
- 裝置綁定與 compliant device 的防禦邊界
- 安全設定未開啟時的濫用方式,以及開啟後仍可能存在的繞路
Detailed Teaching Spine
1. Entra ID / Role 基礎
- Entra ID tenant、使用者、群組、角色與應用程式模型
- Azure subscription、resource group、resource provider 與 RBAC 關係
- Microsoft 365、Entra ID、Azure Resource 權限邊界
- Token 基礎:PRT、Access Token、Refresh Token
2. Recon
- 判斷目標是否使用 Entra ID / Microsoft 365
- AADInternals 基礎偵察
- ROADtools / RoadRecon 做 tenant 與物件枚舉
- AzureHound 的限制:低權限情境下不一定有足夠可見度
3. Initial Access
- Password spraying:觀念與風險展示即可,不做重度實驗
- OAuth phishing
- Device code phishing
- Evilginx 與 Token-based access
- PRT phishing 與 Device Registration 的關係
- Conditional Access 偵測工具與設定觀念
- CAPTure 可作為候選工具
4. Enum / Post-Access Discovery
- Entra ID 與 Office 365 物件枚舉
- 使用 ROADtools 找出可被濫用的角色、App Role、Service Principal 與 Application 權限
- Azure Resource 權限與可見資源盤點
- 判斷哪些錯誤配置適合進入實驗,哪些只適合投影片說明
5. Lateral Movement
- 純雲端橫向移動
- 過大同步權限
- 不合理的 ownership
- Application / Service Principal 權限濫用
- Azure Resource 權限濫用
- 跨 tenant 橫向移動
- Service Principal path,對應 Midnight Blizzard 類案例
- Cross-tenant sync,暫列不做實驗
- Azure Lighthouse abuse,暫列不做實驗
6. Persistence
候選主題先保留四選二或四選三:
- Service Principal persistence
- Malicious Device Join
- Device registration persistence
- Application / OAuth consent persistence
7. Azure Resource Attacks
- Key Vault secrets access
- Storage Account / Blob compromise
- Managed Identity abuse
- VM abuse
- Automation Account credential extraction
- Deployment history credential hunting
8. On-Prem / Hybrid Credential Theft
視時間作為 optional 或進階補充:
- ADFS / Entra ID Connect Sync credential theft
- Azure SSO /
AZUREADSSOACC$path - Office App token theft
az get-access-token- PRT theft with ROADtools
- Abusing Family Client ID
- Cloud-to-on-prem paths
- Intune 與 LAPS 相關風險
Lab Candidates
優先實驗應該集中在能串成完整攻擊鏈、且不需要給學員 Global Administrator 權限的路徑。
Recommended:
- Tenant recon with ROADtools
- Device code phishing or OAuth phishing
- Token / PRT concept checkpoint
- Application or Service Principal abuse
- Malicious Device Join or Device Persistence
- Azure Storage / Blob access abuse
- Key Vault secret access
- Managed Identity abuse
Lower priority or lecture-only:
- Password spraying
- Cross-tenant sync abuse
- Azure Lighthouse abuse
- AzureHound
- Full Entra Connect / ADFS credential theft
- Intune / LAPS
Student Requirements
- 具備 IT 相關工作經驗
- 接觸過 Entra ID / Office 365 更佳
- 適合想理解 Entra ID 威脅與攻擊手法的人
Equipment Requirements
- VMware or VirtualBox installed
- VirtualBox recommended
- 能匯入並執行 OVA
- Disk: 50 GB+
- Memory: 8 GB+
- Wi-Fi is sufficient
- Classroom needs projection, broadcast system, and headset microphone
Open Decisions
- 是否提供教材檔案下載,以及檔案大小
- Device code phishing / OAuth phishing / Evilginx 哪一個作為主實驗
- Persistence 要選兩個還是三個主題
- Azure Resource 實驗要聚焦 Storage + Key Vault,或加入 Managed Identity / VM
- Hybrid credential theft 是否只做補充,不做 hands-on
Original Markdown source
# Entra ID / Azure Course Outline
Source: Notion page `Azure & Entra ID 混合雲端安全`
Course title: 學會 Entra ID 與 Azure 攻擊基礎的第一堂課
## Course Facts
- Event: HITCON Training 2026
- Date: 2026-08-13
- Length: 6 hours
- Language: Chinese
- Difficulty: Normal
- Instructors: John Jiang, Echo Lee
- Audience: IT/security practitioners with Entra ID or Microsoft 365 exposure
## Course Positioning
這門課聚焦在 Microsoft Entra ID 與 Azure 的混合雲端攻防基礎。課程會從身份驗證、Token、雲端權限模型與常見 Azure 資源開始,接著用真實攻擊鏈的角度串起初始存取、環境探勘、橫向移動、持久化、Azure 資源濫用與防禦邊界。
核心觀念是讓學員理解攻擊者在 Microsoft 365 / Entra ID / Azure 環境中如何「登入」並擴張影響範圍,而不是只看單點技巧。
## Official Outline
1. Entra ID 與 Azure 基礎知識
- 認識 Entra ID 與 Azure 的架構與常見資源
- 雲端驗證機制與常見 Token 類型
- PRT、Access Token、Refresh Token 的角色與風險
2. Entra ID 初始存取技巧
- Password Spraying
- OAuth phishing
- Device code phishing
- Evilginx 與 Token 竊取脈絡
3. Entra ID 環境探勘、橫向移動與潛伏技術
- Entra ID 與 Office 365 環境探勘
- AADInternals / ROADtools 的用途與限制
- 濫用 Entra ID Role、App Role、Application 與 Ownership
- Cross-tenant lateral movement
- 惡意裝置註冊與 Device Persistence
4. Azure 的基礎攻擊
- Azure 常見錯誤配置
- Managed Identity 風險
- Storage Account / Blob 資料存取風險
- Key Vault Secret 存取風險
- Resource Group deployment history 中的憑證狩獵
- Automation Account 與 VM 相關攻擊面
5. 繞過與濫用相關安全機制
- Conditional Access 能力與限制
- MFA 類型差異與攻擊邊界
- 裝置綁定與 compliant device 的防禦邊界
- 安全設定未開啟時的濫用方式,以及開啟後仍可能存在的繞路
## Detailed Teaching Spine
### 1. Entra ID / Role 基礎
- Entra ID tenant、使用者、群組、角色與應用程式模型
- Azure subscription、resource group、resource provider 與 RBAC 關係
- Microsoft 365、Entra ID、Azure Resource 權限邊界
- Token 基礎:PRT、Access Token、Refresh Token
### 2. Recon
- 判斷目標是否使用 Entra ID / Microsoft 365
- AADInternals 基礎偵察
- ROADtools / RoadRecon 做 tenant 與物件枚舉
- AzureHound 的限制:低權限情境下不一定有足夠可見度
### 3. Initial Access
- Password spraying:觀念與風險展示即可,不做重度實驗
- OAuth phishing
- Device code phishing
- Evilginx 與 Token-based access
- PRT phishing 與 Device Registration 的關係
- Conditional Access 偵測工具與設定觀念
- CAPTure 可作為候選工具
### 4. Enum / Post-Access Discovery
- Entra ID 與 Office 365 物件枚舉
- 使用 ROADtools 找出可被濫用的角色、App Role、Service Principal 與 Application 權限
- Azure Resource 權限與可見資源盤點
- 判斷哪些錯誤配置適合進入實驗,哪些只適合投影片說明
### 5. Lateral Movement
- 純雲端橫向移動
- 過大同步權限
- 不合理的 ownership
- Application / Service Principal 權限濫用
- Azure Resource 權限濫用
- 跨 tenant 橫向移動
- Service Principal path,對應 Midnight Blizzard 類案例
- Cross-tenant sync,暫列不做實驗
- Azure Lighthouse abuse,暫列不做實驗
### 6. Persistence
候選主題先保留四選二或四選三:
- Service Principal persistence
- Malicious Device Join
- Device registration persistence
- Application / OAuth consent persistence
### 7. Azure Resource Attacks
- Key Vault secrets access
- Storage Account / Blob compromise
- Managed Identity abuse
- VM abuse
- Automation Account credential extraction
- Deployment history credential hunting
### 8. On-Prem / Hybrid Credential Theft
視時間作為 optional 或進階補充:
- ADFS / Entra ID Connect Sync credential theft
- Azure SSO / `AZUREADSSOACC$` path
- Office App token theft
- `az get-access-token`
- PRT theft with ROADtools
- Abusing Family Client ID
- Cloud-to-on-prem paths
- Intune 與 LAPS 相關風險
## Lab Candidates
優先實驗應該集中在能串成完整攻擊鏈、且不需要給學員 Global Administrator 權限的路徑。
Recommended:
- Tenant recon with ROADtools
- Device code phishing or OAuth phishing
- Token / PRT concept checkpoint
- Application or Service Principal abuse
- Malicious Device Join or Device Persistence
- Azure Storage / Blob access abuse
- Key Vault secret access
- Managed Identity abuse
Lower priority or lecture-only:
- Password spraying
- Cross-tenant sync abuse
- Azure Lighthouse abuse
- AzureHound
- Full Entra Connect / ADFS credential theft
- Intune / LAPS
## Student Requirements
- 具備 IT 相關工作經驗
- 接觸過 Entra ID / Office 365 更佳
- 適合想理解 Entra ID 威脅與攻擊手法的人
## Equipment Requirements
- VMware or VirtualBox installed
- VirtualBox recommended
- 能匯入並執行 OVA
- Disk: 50 GB+
- Memory: 8 GB+
- Wi-Fi is sufficient
- Classroom needs projection, broadcast system, and headset microphone
## Open Decisions
- 是否提供教材檔案下載,以及檔案大小
- Device code phishing / OAuth phishing / Evilginx 哪一個作為主實驗
- Persistence 要選兩個還是三個主題
- Azure Resource 實驗要聚焦 Storage + Key Vault,或加入 Managed Identity / VM
- Hybrid credential theft 是否只做補充,不做 hands-on