Partager via


Applets de commande gMSA PowerShell de l’agent d’approvisionnement Microsoft Entra

Ce document vise à décrire les cmdlets PowerShell gMSA de l’agent de provisionnement cloud Microsoft Entra Connect. Ces applets de commande vous permettent de contrôler avec plus de précision les autorisations appliquées au compte de service (gMSA). Par défaut, la synchronisation cloud Microsoft Entra applique toutes les autorisations similaires à Microsoft Entra Connect sur le compte gMSA (compte de service administré de groupe) par défaut ou un compte gMSA personnalisé, durant l’installation de l’agent d’approvisionnement cloud.

Ce document couvre les cmdlets suivantes :

Set-AADCloudSyncPermissions

Set-AADCloudSyncRestrictedPermissions

Utilisation des cmdlets

Les prérequis suivants sont nécessaires pour utiliser ces cmdlets.

  1. Installez l’agent de provisionnement.

  2. Importez le module PowerShell de l’agent Provisioning dans une session PowerShell.

    Import-Module "C:\Program Files\Microsoft Azure AD Connect Provisioning Agent\Microsoft.CloudSync.Powershell.dll"
    
  3. Ces applets de commande nécessitent un paramètre appelé Credential qui peut être passé, ou qui déclenche l’affichage d’une invite destinée à l’utilisateur s’il n’est pas fourni dans la ligne de commande. Selon la syntaxe de l’applet de commande utilisée, ces informations d’identification doivent correspondre à celles d’un compte d’administrateur d’entreprise ou, au minimum, à celles d’un administrateur de domaine du domaine cible où vous définissez les autorisations.

  4. Pour créer une variable d’informations d’identification, utilisez :

    $credential = Get-Credential

  5. Pour définir des autorisations Active Directory liées à l’agent de provisionnement cloud, vous pouvez utiliser l’applet de commande suivante. Cela permet d’octroyer des autorisations à la racine du domaine. Ainsi, le compte de service peut gérer les objets Active Directory locaux. Pour obtenir des exemples de définition d’autorisations, consultez Utilisation de Set-AADCloudSyncPermissions ci-dessous.

    Set-AADCloudSyncPermissions -EACredential $credential

  6. Pour restreindre les autorisations Active Directory définies par défaut sur le compte de l’agent de provisionnement cloud, vous pouvez utiliser l’applet de commande suivante. Cela permet d’augmenter la sécurité du compte de service en désactivant l’héritage des autorisations et en supprimant toutes les autorisations existantes, à l’exception de SELF et du contrôle total pour les administrateurs. Consultez Utilisation de Set-AADCloudSyncRestrictedPermission ci-dessous pour obtenir des exemples de restriction des autorisations.

    Set-AADCloudSyncRestrictedPermission -Credential $credential

Utilisation de Set-AADCloudSyncPermissions

Set-AADCloudSyncPermissions prend en charge les types d’autorisation suivants, lesquels sont identiques aux types d’autorisation utilisés par Azure AD Connect Classic Sync (ADSync). à savoir :

Type d'autorisation Description
BasicRead Consultez les autorisations BasicRead pour Microsoft Entra Connect
PasswordHashSync Consultez les autorisations PasswordHashSync pour Microsoft Entra Connect
PasswordWriteBack Consultez les autorisations PasswordWriteBack pour Microsoft Entra Connect
HybridExchangePermissions Consultez les autorisations HybridExchangePermissions pour Microsoft Entra Connect
ExchangeMailPublicFolderPermissions Consultez les autorisations ExchangeMailPublicFolderPermissions pour Microsoft Entra Connect
UserGroupCreateDelete Autorisations pour la fourniture de groupe de Microsoft Entra Cloud Sync à AD. Applique « Créer/supprimer des objets utilisateur » sur « Cet objet et tous les objets descendants » et Applique « Créer/supprimer des objets de groupe » sur « Cet objet et tous les objets descendants »
Tous Applique toutes les autorisations ci-dessus

AADCloudSyncPermissions peut être utilisé de deux manières :

Octroyer des autorisations à tous les domaines configurés

Pour pouvoir accorder certaines autorisations à tous les domaines configurés, vous devez utiliser un compte Administrateur d’entreprise.

$credential = Get-Credential
Set-AADCloudSyncPermissions -PermissionType "Any mentioned above" -EACredential $credential 

Octroyer des autorisations à un domaine spécifique

L’octroi de certaines autorisations à un domaine spécifique nécessite l’utilisation d’un TargetDomainCredential qui soit administrateur d’entreprise ou administrateur de domaine du domaine cible. TargetDomain doit déjà être configuré via l’Assistant.

$credential = Get-Credential
Set-AADCloudSyncPermissions -PermissionType "Any mentioned above" -TargetDomain "FQDN of domain" -TargetDomainCredential $credential

Utilisation de Set-AADCloudSyncRestrictedPermissions

Pour une sécurité accrue, Set-AADCloudSyncRestrictedPermissions renforce les autorisations définies sur le compte de l’agent de provisionnement cloud lui-même. Le renforcement des autorisations sur le compte de l’agent de provisionnement cloud implique les changements suivants :

  • Désactiver l’héritage

  • Supprimez toutes les autorisations par défaut, à l’exception des entrées ACE (entrées de contrôle d’accès) spécifiques à SELF.

  • Définissez des autorisations de contrôle total pour les groupes SYSTÈME, Administrateurs, Administrateurs de domaine ou Administrateurs d’entreprise.

  • Définissez des autorisations d’accès en lecture pour les utilisateurs authentifiés et les contrôleurs de domaine d’entreprise.

    Le paramètre -Credential est nécessaire, car il permet de spécifier le compte administrateur qui dispose des privilèges nécessaires pour restreindre les autorisations Active Directory sur le compte de l’agent de provisionnement cloud. Il s’agit généralement de l’administrateur de domaine ou d’entreprise.

Par exemple :

$credential = Get-Credential 
Set-AADCloudSyncRestrictedPermissions -Credential $credential  

Étapes suivantes