Jun 12
A long time ago, I had wished for .. x.com/sahilmalik/status/2026… ..
Look someone FINALLY wrote a MSGraph MCP Server. 🥳
Jun 12
Folks, I just released Lokka 2.0 today!
The world's first Microsoft Graph MCP server is now a full blown MCP App.
First up multi-tenant support. You can now sign into more than one tenant.
What does it mean?
1/16
1
4
1,757
May 29
🎉App Governance Accelerator 3.3 is here!
The release introduces:
• Unused Graph permission insights
• Provisioning activity visibility
• Simplified governance workflows
Read more: hubs.li/Q04jpg310
#Microsoft365 #EntraID #AppGovernance #MSGraph
2
22
EntraID(Microsoftのクラウド認証基盤)を対象としたレッドチーム用のオープンソースツール「ROADtools」が、国家支援型の攻撃者にクラウド侵入の足場として転用されています。正規のクラウドAPIをそのまま使うためログ上は通常のアクセスと区別しにくく、窃取した認証情報でEntraIDに不正なデバイスを登録し、そのデバイスに紐づくプライマリリフレッシュトークン(PRT)を取得すれば、構成次第ではMFAを迂回し、侵害したアカウントの権限でクラウド上のリソースにアクセスし続けられます。
APT29が2021年、APT33が2023年にそれぞれ使用し、2025年初頭にはUTA0355が同様の手法を使った事例も報告されており、これらと検知手法をまとめた分析レポートが公開されています。
【要点の整理】
・ROADtoolsはPython製で、主要モジュールのroadrecon、roadtxと共通ライブラリroadlibで構成。テナント内のアカウントやグループ、ロール、デバイスを列挙するroadreconと、OAuthトークンの取得・交換やデバイス登録を行うroadtxからなり、元はレッドチーム・研究用として公開されたフレームワーク
・正規のMicrosoft GraphやOAuth 2.0の認証フロー(別デバイスからコード入力で認証するデバイスコードフロー、ユーザーの代理でアクセスするOBOフローなど)を使うため、ログ上は正常なAPI呼び出しと区別しにくい。加えてユーザーエージェント文字列を自在に書き換えられるため、スクリプト経由の不審な通信として検知されにくい構造
・APT29(別名Midnight Blizzard)は2021年にスピアフィッシング経由のテナント偵察で、APT33(別名Peach Sandstorm)は2023年にパスワードスプレー後の内部探索でそれぞれ使用。2025年初頭にはUTA0355が標的型フィッシングで不正デバイスを登録しMicrosoft Graph APIトークンを窃取した事例が報告されており、使われたツーリングはroadtxのトークン管理機能と一致するとされる
・roadreconが依存していたAzure AD Graph APIの廃止をMicrosoftが進めたため開発が分裂。公式リポジトリのmsgraphブランチは2025年4月以降更新がないが、コミュニティフォークでMicrosoft Graph APIへの移行が進み列挙機能の一部は存続
・Unit 42が2026年5月22日に公開した本レポートでは、脅威の兆候を能動的に探すハンティングクエリをCortex XQLベースで3種(デバイス登録の監査、トークン悪用パターン、Graph APIへの大量列挙リクエスト)提供。roadtxのデフォルト登録値(OSバージョン10[.]0[.]19041[.]928、デバイス名DESKTOP-<ランダムな数字8桁>)は変更可能だが検知指標として活用しうるとの指摘
正規の認証フローに紛れ込む手口だけに、Pythonベースのユーザーエージェントや想定外のデバイス登録イベントに着目した能動的なハンティングが検知の手がかりになりそうです。
詳細は以下を参照:
unit42.paloaltonetworks.com/…
3
16
1,166
⚡ Entra Authentication 101 – @FredWeinmann (#PSConfEU 2025)
Microsoft API auth can be a maze: app regs, delegated vs app perms, secrets, certs, managed identities…
Fred shows you how to do it right with #PowerShell
#EntraID #MSGraph youtu.be/ANj16ZUw3dw?si=r9D9…
3
11
1,904
May 13
This race will never end 😃 But thats the fun part of our work! The blog by @fabian_bader is amazing, and shows just a part of the crazy things we can do with MSGraph and AADGraph!
cloudbrothers.info/en/aadgra…
1
3
16
3,935
May 8
Announcing general availability of the mailbox import and export Microsoft Graph APIs
devblogs.microsoft.com/micro…
#MSGraph #ImportExport #Mailbox
1
6
388
May 6
Im still trying to convince people to use MSGraph logs lol, but seriously, really important and happy news
Now I see you @_dirkjan 😁
Blog post including ROADrecon detection based on AADGraphActivityLogs is coming very soon(tm)
14
1,852
Working on one of those "how on earth have they not been randomed yet" disclosures.
You'll never hear anything else about it as usual, but you'll know the name. I can push new sites to prod, I've got the MSGraph keys, AWSkeys, Deploy keys, Full db AND the whole software stack🤷♂️
7
372
Apr 23
Guide Updated 🎯 | Multiple ways to export the software inventory data 💻 from #MSIntune - prajwaldesai.com/export-soft… #powershell #microsoftintune #msgraph
6
468
Mar 13
🤖 #MicrosoftEntra AgentID:
Support for Agent Identities in #EntraID and MSGraph classification, including inherited permission resolution through Blueprint Principals - plus a dedicated Workbook.
1
2
336
OMFG. Dude I have pro versions, team and enterprise of all four.
You're high. Copilot can't touch Claude Team or Enterprise with MSGraph connetor. Full stop. Copilot is great with meetings. That's about it.
Show me differently.
1
2
52
Feb 5
3 tips for better success:
1) Open Dev Tools, network tab, check preserve log, then browse through config/compliance policies to capture the calls, export HAR file, and tell AI to use it
2) Use the Microsoft MCP Server for Enterprise (MSGraph)
learn.microsoft.com/en-us/gr…
4
3
26
3,354
1
2
217
⚡ Entra Authentication 101 – @FredWeinmann (#PSConfEU 2025)
Microsoft API auth can be a maze: app regs, delegated vs app perms, secrets, certs, managed identities…
Fred shows you how to do it right with #PowerShell
#EntraID #MSGraph youtu.be/ANj16ZUw3dw?si=r9D9…
2
7
339
28 Nov 2025
Buy this book and send a “thank you” note to @12Knocksinna later. It’s an excellent source of #MSGraph and #PowerShell knowledge.
28 Nov 2025
Here's the Black Friday discount code to get 50% off the Office 365 for IT Pros eBook (including the Automating #Microsoft365 with #PowerShell eBook). Code terminates on Tuesday. If you're running a Microsoft 365 tenant, you need this book: o365itpros.gumroad.com/l/O36…
2
311
27 Nov 2025
1st session of the evening @wpninjasbe evening hosted by @VanRoeybe on 'The Power of Graph: Behind the API That Drives the Cloud' presented by Sebastiaan de Wolf #MSGraph #Community
4
61
24 Nov 2025
2
29
2,421
22 Nov 2025
Invoke-BruteClientIDAccess
- Test different client_id's against MSGraph to determine permissions
🙏😄
2
76
5 Nov 2025
Manual export of Entra ID user registration details is time‑consuming and error‑prone. Automating the process via Microsoft Graph Power BI delivers scheduled insights, advanced filtering and compliance auditing.
systemcenterdudes.com/automa…
#MSIntune #EntraID #PowerBI #MSGraph
4
41
3,503