Applets de commande gMSA PowerShell de l’agent d’approvisionnement Microsoft Entra
Ce document vise à décrire les cmdlets PowerShell gMSA de l’agent de provisionnement cloud Microsoft Entra Connect. Ces applets de commande vous permettent de contrôler avec plus de précision les autorisations appliquées au compte de service (gMSA). Par défaut, la synchronisation cloud Microsoft Entra applique toutes les autorisations similaires à Microsoft Entra Connect sur le compte gMSA (compte de service administré de groupe) par défaut ou un compte gMSA personnalisé, durant l’installation de l’agent d’approvisionnement cloud.
Ce document couvre les applets de commande suivantes :
Set-AADCloudSyncPermissions
Set-AADCloudSyncRestrictedPermissions
Utilisation des cmdlets
Les prérequis suivants sont nécessaires pour utiliser ces cmdlets.
Installez l’agent de provisionnement.
Importez le module PowerShell de l’agent Provisioning dans une session PowerShell.
Import-Module "C:\Program Files\Microsoft Azure AD Connect Provisioning Agent\Microsoft.CloudSync.Powershell.dll"
Ces applets de commande nécessitent un paramètre appelé
Credential
qui peut être passé ou invite l’utilisateur s’il n’est pas fourni dans la ligne de commande. Selon la syntaxe de l’applet de commande utilisée, ces informations d’identification doivent correspondre à celles d’un compte d’administrateur d’entreprise ou, au minimum, à celles d’un administrateur de domaine du domaine cible où vous définissez les autorisations.Pour créer une variable d’informations d’identification, utilisez :
$credential = Get-Credential
Pour définir des autorisations Active Directory liées à l’agent de provisionnement cloud, vous pouvez utiliser l’applet de commande suivante. Cela accorde des autorisations à la racine du domaine, ce qui permet au compte de service de gérer les objets Active Directory locaux. Pour obtenir des exemples de définition d’autorisations, consultez Utilisation de Set-AADCloudSyncPermissions ci-dessous.
Set-AADCloudSyncPermissions -EACredential $credential
Pour restreindre les autorisations Active Directory définies par défaut sur le compte de l’agent de provisionnement cloud, vous pouvez utiliser l’applet de commande suivante. Cela augmente la sécurité des comptes de service en désactivant l’héritage des autorisations et en supprimant toutes les autorisations existantes, à l’exception de SELF et de Contrôle total pour les administrateurs. Consultez Utilisation de Set-AADCloudSyncRestrictedPermission ci-dessous pour obtenir des exemples de restriction des autorisations.
Set-AADCloudSyncRestrictedPermission -Credential $credential
Utilisation de Set-AADCloudSyncPermissions
Set-AADCloudSyncPermissions
prend en charge les types d’autorisation suivants, lesquels sont identiques aux types d’autorisation utilisés par Azure AD Connect Classic Sync (ADSync). à savoir :
Type d'autorisation | Description |
---|---|
BasicRead | Consultez les autorisations BasicRead pour Microsoft Entra Connect |
PasswordHashSync | Consultez les autorisations PasswordHashSync pour Microsoft Entra Connect |
PasswordWriteBack | Consultez les autorisations PasswordWriteBack pour Microsoft Entra Connect |
HybridExchangePermissions | Consultez les autorisations HybridExchangePermissions pour Microsoft Entra Connect |
ExchangeMailPublicFolderPermissions | Consultez les autorisations ExchangeMailPublicFolderPermissions pour Microsoft Entra Connect |
UserGroupCreateDelete | Autorisations pour la fourniture de groupe de Microsoft Entra Cloud Sync à AD. Applique « Créer/supprimer des objets utilisateur » sur « Cet objet et tous les objets descendants » et Applique « Créer/supprimer des objets de groupe » sur « Cet objet et tous les objets descendants » |
Tous | Applique toutes les autorisations ci-dessus |
AADCloudSyncPermissions peut être utilisé de deux manières :
- Octroyer des autorisations à tous les domaines configurés
- Octroyer des autorisations à un domaine spécifique
Octroyer des autorisations à tous les domaines configurés
L’octroi de certaines autorisations à tous les domaines configurés nécessite l’utilisation d’un compte d’administrateur d’entreprise.
$credential = Get-Credential
Set-AADCloudSyncPermissions -PermissionType "Any mentioned above" -EACredential $credential
Octroyer des autorisations à un domaine spécifique
L’octroi de certaines autorisations à un domaine spécifique nécessite l’utilisation d’un TargetDomainCredential qui est administrateur d’entreprise ou administrateur de domaine du domaine cible. TargetDomain doit déjà être configuré via l’Assistant.
$credential = Get-Credential
Set-AADCloudSyncPermissions -PermissionType "Any mentioned above" -TargetDomain "FQDN of domain" -TargetDomainCredential $credential
Utilisation de Set-AADCloudSyncRestrictedPermissions
Pour renforcer la sécurité, Set-AADCloudSyncRestrictedPermissions
affine les autorisations définies sur le compte de l’agent d’approvisionnement cloud lui-même. Le renforcement des autorisations sur le compte de l’agent de provisionnement cloud implique les changements suivants :
Désactiver l’héritage
Supprimez toutes les autorisations par défaut, à l’exception des entrées ACE (entrées de contrôle d’accès) spécifiques à SELF.
Définissez des autorisations de contrôle total pour les groupes SYSTÈME, Administrateurs, Administrateurs de domaine ou Administrateurs d’entreprise.
Définissez des autorisations d’accès en lecture pour les utilisateurs authentifiés et les contrôleurs de domaine d’entreprise.
Le paramètre -Credential est nécessaire, car il permet de spécifier le compte administrateur qui dispose des privilèges nécessaires pour restreindre les autorisations Active Directory sur le compte de l’agent de provisionnement cloud. Il s’agit généralement de l’administrateur de domaine ou d’entreprise.
Par exemple :
$credential = Get-Credential
Set-AADCloudSyncRestrictedPermissions -Credential $credential
Étapes suivantes
- Comprendre les comptes de service managé de groupe
- Comprendre les comptes gMSA avec desde synchronisation cloud