Entra Id

detecting-azure-service-principal-abuse 可帮助你在 Azure 中检测、调查并记录可疑的 Microsoft Entra ID 服务主体活动。适用于安全审计、云事件响应和威胁狩猎，帮助排查凭据变更、管理员同意滥用、角色分配、所有权路径和登录异常。

detecting-azure-lateral-movement 帮助安全分析师利用 Microsoft Graph 审计日志、登录遥测和 KQL 关联，在 Azure AD/Entra ID 与 Microsoft Sentinel 中狩猎横向移动。适用于事件分诊、检测工程和安全审计流程，覆盖同意滥用、服务主体误用、令牌窃取以及跨租户跳转等场景。

configuring-active-directory-tiered-model 技能可帮助设计和审计 Microsoft ESAE 风格的 Active Directory 分层模型。使用这份 configuring-active-directory-tiered-model 指南，可更清晰地审视 Tier 0/1/2 访问、PAW、管理员边界、凭据暴露以及安全审计发现，并结合实际实现语境进行判断。

detecting-oauth-token-theft 用于调查 Microsoft Entra ID 和 M365 中的 OAuth 令牌盗用、重放和会话劫持。可将此 detecting-oauth-token-theft 技能用于安全审计、事件响应和加固评审。它重点关注登录异常、可疑权限范围、新设备以及遏制措施。

building-identity-governance-lifecycle-process 可用于设计身份治理与生命周期管理方案，覆盖 joiner-mover-leaver 自动化、访问审查、基于角色的权限配置，以及孤儿账号清理。它适合需要实用工作流指导、而不是通用策略草案的跨系统 Access Control 项目。

auditing-azure-active-directory-configuration 技能用于审查 Microsoft Entra ID 租户中的安全风险配置，包括高风险身份验证设置、管理员角色膨胀、陈旧账户、Conditional Access 缺口、来宾暴露面以及 MFA 覆盖情况。它面向 Security Audit 工作流设计，提供基于 Graph 的证据和可执行的实用建议。