Cmdlet di PowerShell gMSA dell'agente di provisioning di Microsoft Entra
Lo scopo di questo documento è descrivere i cmdlet dell'agente di provisioning cloud gMSA di Microsoft Entra Connect. Questi cmdlet garantiscono una maggiore granularità sulle autorizzazioni applicate all'account del servizio (gMSA). Per impostazione predefinita, Microsoft Entra Cloud Sync applica tutte le autorizzazioni simili a Microsoft Entra Connect nell'account del servizio gestito del gruppo predefinito o in un account del servizio gestito del gruppo personalizzato durante l'installazione dell'agente di provisioning cloud.
Questo documento illustra i cmdlet seguenti:
Set-AADCloudSyncPermissions
Set-AADCloudSyncRestrictedPermissions
Come usare i cmdlet:
Per usare questi cmdlet sono necessari i prerequisiti seguenti.
Installare l'agente di provisioning.
Importare il modulo PowerShell dell'agente di provisioning in una sessione di PowerShell.
Import-Module "C:\Program Files\Microsoft Azure AD Connect Provisioning Agent\Microsoft.CloudSync.Powershell.dll"
Questi cmdlet richiedono un parametro denominato
Credential
che può essere passato oppure richiederà all'utente se non specificato nella riga di comando. A seconda della sintassi del cmdlet usata, queste credenziali devono essere un account amministratore dell'organizzazione o, almeno, un amministratore di dominio del dominio di destinazione in cui si impostano le autorizzazioni.Per creare una variabile per le credenziali, usare:
$credential = Get-Credential
Per impostare le autorizzazioni di Active Directory per l'agente di provisioning cloud, è possibile usare il cmdlet seguente. In questo modo si concedono le autorizzazioni nella radice del dominio, consentendo all'account del servizio di gestire Active Directory locale oggetti. Per esempi sull'impostazione delle autorizzazioni, vedere Uso di Set-AADCloudSyncPermissions di seguito.
Set-AADCloudSyncPermissions -EACredential $credential
Per limitare le autorizzazioni di Active Directory impostate per impostazione predefinita nell'account dell'agente di provisioning cloud, è possibile usare il cmdlet seguente. In questo modo si aumenta la sicurezza dell'account del servizio disabilitando l'ereditarietà delle autorizzazioni e rimuovendo tutte le autorizzazioni esistenti, ad eccezione di SELF e Controllo completo per gli amministratori. Per esempi sulla limitazione delle autorizzazioni, vedere Uso di Set-AADCloudSyncRestrictedPermission di seguito.
Set-AADCloudSyncRestrictedPermission -Credential $credential
Uso di Set-AADCloudSyncPermissions
Set-AADCloudSyncPermissions
supporta i tipi di autorizzazione seguenti identici alle autorizzazioni usate da Azure AD Connect Classic Sync (ADSync). Sono supportati i tipi di autorizzazione seguenti:
Tipo di autorizzazione | Descrizione |
---|---|
BasicRead | Vedere Autorizzazioni di baseRead per Microsoft Entra Connect |
PasswordHashSync | Vedere Autorizzazioni PasswordHashSync per Microsoft Entra Connect |
PasswordWriteBack | Vedere Autorizzazioni passwordWriteBack per Microsoft Entra Connect |
HybridExchangePermissions | Vedere Autorizzazioni hybridExchangePermissions per Microsoft Entra Connect |
ExchangeMailPublicFolderPermissions | Vedere Autorizzazioni exchangeMailPublicFolderPermissions per Microsoft Entra Connect |
UserGroupCreateDelete | Autorizzazioni per il provisioning del gruppo di Microsoft Entra Cloud Sync in AD. Applica 'Create/delete User objects' on 'This object and all descendant objects' and Applies 'Create/delete group objects' on 'This object and all descendant objects' |
Tutte le date | Applica tutte le autorizzazioni precedenti |
È possibile usare AADCloudSyncPermissions in uno dei due modi seguenti:
- Concedere autorizzazioni a tutti i domini configurati
- Concedere autorizzazioni a un dominio specifico
Concedere autorizzazioni a tutti i domini configurati
La concessione di determinate autorizzazioni a tutti i domini configurati richiederà l'uso di un account amministratore aziendale.
$credential = Get-Credential
Set-AADCloudSyncPermissions -PermissionType "Any mentioned above" -EACredential $credential
Concedere autorizzazioni a un dominio specifico
La concessione di determinate autorizzazioni a un dominio specifico richiederà l'uso di targetDomainCredential amministratore dell'organizzazione o amministratore di dominio del dominio di destinazione. TargetDomain deve essere già configurato tramite la procedura guidata.
$credential = Get-Credential
Set-AADCloudSyncPermissions -PermissionType "Any mentioned above" -TargetDomain "FQDN of domain" -TargetDomainCredential $credential
Uso di Set-AADCloudSyncRestrictedPermissions
Per una maggiore sicurezza, Set-AADCloudSyncRestrictedPermissions
restringerà le autorizzazioni impostate sull'account dell'agente di provisioning cloud stesso. La protezione avanzata delle autorizzazioni per l'account dell'agente di provisioning cloud comporta le modifiche seguenti:
Disabilita ereditarietà
Rimuovere tutte le autorizzazioni predefinite, ad eccezione degli ACL specifici di SELF.
Impostare le autorizzazioni di controllo completo per SYSTEM, Administrators, Domain Admins e Enterprise Admins.
Impostare autorizzazioni di lettura per utenti autenticati e controller di dominio aziendali.
Il parametro -Credential è necessario per specificare l'account amministratore con i privilegi necessari per limitare le autorizzazioni di Active Directory nell'account dell'agente di provisioning cloud. Si tratta in genere del dominio o dell'amministratore dell'organizzazione.
Ad esempio:
$credential = Get-Credential
Set-AADCloudSyncRestrictedPermissions -Credential $credential