Microsoft Entra provisioning agent gMSA poleceń cmdlet programu PowerShell
Celem tego dokumentu jest opisanie poleceń cmdlet programu PowerShell gMSA agenta aprowizacji w chmurze microsoft Entra Connect. Te polecenia cmdlet pozwalają na uzyskanie większej szczegółowości uprawnień stosowanych w ramach konta usługi gMSA. Domyślnie usługa Microsoft Entra Cloud Sync stosuje wszystkie uprawnienia podobne do programu Microsoft Entra Connect w domyślnym gMSA lub niestandardowym gMSA podczas instalacji agenta aprowizacji w chmurze.
W tym dokumencie omówiono następujące polecenia cmdlet:
Set-AADCloudSyncPermissions
Set-AADCloudSyncRestrictedPermissions
Jak używać cmdletów:
Do korzystania z tych poleceń cmdlet wymagane są następujące wymagania wstępne.
Instalowanie agenta aprowizacji.
Zaimportuj do sesji programu PowerShell moduł agenta aprowizacji PowerShell.
Import-Module "C:\Program Files\Microsoft Azure AD Connect Provisioning Agent\Microsoft.CloudSync.Powershell.dll"Te polecenia cmdlet wymagają parametru o nazwie
Credential, który można przekazać, lub monituje użytkownika, jeśli nie zostanie podany w wierszu polecenia. W zależności od używanej składni polecenia cmdlet te poświadczenia muszą być kontem administratora przedsiębiorstwa lub co najmniej administratorem domeny docelowej, w której ustawiasz uprawnienia.Aby utworzyć zmienną dla poświadczeń, użyj:
$credential = Get-CredentialAby ustawić uprawnienia usługi Active Directory dla agenta aprowizacji w chmurze, możesz użyć następującego polecenia cmdlet. Daje to uprawnienia w katalogu głównym domeny, dzięki czemu konto usługi może zarządzać lokalnymi obiektami usługi Active Directory. Zobacz Używanie polecenia Set-AADCloudSyncPermissions poniżej, aby zapoznać się z przykładami dotyczącymi ustawiania uprawnień.
Set-AADCloudSyncPermissions -EACredential $credentialAby ograniczyć uprawnienia usługi Active Directory ustawione domyślnie na koncie agenta aprowizacji w chmurze, możesz użyć następującego polecenia cmdlet. Zwiększa to bezpieczeństwo konta usługi, wyłączając dziedziczenie uprawnień i usuwając wszystkie istniejące uprawnienia, z wyjątkiem samodzielnej i pełnej kontroli dla administratorów. Zobacz Używanie polecenia Set-AADCloudSyncRestrictedPermission poniżej, aby zapoznać się z przykładami dotyczącymi ograniczania uprawnień.
Set-AADCloudSyncRestrictedPermission -Credential $credential
Korzystanie z polecenia Set-AADCloudSyncPermissions
Set-AADCloudSyncPermissions obsługuje następujące typy uprawnień, które są identyczne z uprawnieniami używanymi przez klasyczną synchronizację programu Azure AD Connect (ADSync). Obsługiwane są następujące typy uprawnień:
| Typ uprawnienia | opis |
|---|---|
| BasicRead | Zobacz Uprawnienia BasicRead dla programu Microsoft Entra Connect |
| Synchronizacja skrótu hasła | Zobacz uprawnienia PasswordHashSync dla programu Microsoft Entra Connect |
| Przepisywanie hasła | Zobacz uprawnienia PasswordWriteBack dla programu Microsoft Entra Connect |
| HybridExchangePermissions | Zobacz Uprawnienia HybridExchangePermissions dla programu Microsoft Entra Connect |
| UprawnieniaDoFolderówPublicznychExchangeMail | Zobacz uprawnienia ExchangeMailPublicFolderPermissions dla programu Microsoft Entra Connect |
| TworzenieUsuwanieGrupyUżytkowników | Uprawnienia do aprowizacji grup za pomocą Microsoft Entra Cloud Sync w usłudze AD. Stosuje 'Tworzenie/usuwanie obiektów użytkownika' na 'Tym obiekcie i wszystkich obiektach podrzędnych' oraz stosuje 'Tworzenie/usuwanie obiektów grupy' na 'Tym obiekcie i wszystkich obiektach podrzędnych' |
| wszystkie | Stosuje wszystkie powyższe uprawnienia |
Możesz użyć narzędzia AADCloudSyncPermissions na jeden z dwóch sposobów:
Udzielanie uprawnień wszystkim skonfigurowanym domenom
Udzielenie pewnych uprawnień do wszystkich skonfigurowanych domen wymaga użycia konta administratora przedsiębiorstwa.
$credential = Get-Credential
Set-AADCloudSyncPermissions -PermissionType "Any mentioned above" -EACredential $credential
Udzielanie uprawnień do określonej domeny
Udzielenie pewnych uprawnień do określonej domeny wymaga użycia obiektu TargetDomainCredential, który jest administratorem przedsiębiorstwa lub administratorem domeny docelowej. Domena docelowa musi być już skonfigurowana za pomocą kreatora.
$credential = Get-Credential
Set-AADCloudSyncPermissions -PermissionType "Any mentioned above" -TargetDomain "FQDN of domain" -TargetDomainCredential $credential
Korzystanie z polecenia Set-AADCloudSyncRestrictedPermissions
W celu zwiększenia bezpieczeństwa Set-AADCloudSyncRestrictedPermissions doprecyzowuje uprawnienia ustawione na koncie samego agenta aprowizacji w chmurze. Wzmocnienie uprawnień na koncie agenta aprowizacji w chmurze obejmuje następujące zmiany:
Wyłącz dziedziczenie
Usuń wszystkie uprawnienia domyślne, z wyjątkiem ACE specyficznych dla SELF.
Ustaw uprawnienia Pełna kontrola dla systemów, administratorów, administratorów domeny i administratorów przedsiębiorstwa.
Ustaw uprawnienia do odczytu dla uwierzytelnionych użytkowników i kontrolerów domeny przedsiębiorstwa.
Parametr -Credential jest niezbędny do określenia konta administratora, które ma niezbędne uprawnienia, aby ograniczyć uprawnienia usługi Active Directory na koncie agenta aprowizacji w chmurze. Zazwyczaj jest to domena lub administrator przedsiębiorstwa.
Na przykład:
$credential = Get-Credential
Set-AADCloudSyncRestrictedPermissions -Credential $credential