Microsoft Entra-etableringsagent gMSA PowerShell-cmdlets
Syftet med det här dokumentet är att beskriva Microsoft Entra Connect-molnetableringsagenten gMSA PowerShell-cmdletar. Med de här cmdletarna kan du få mer detaljerad information om vilka behörigheter som tillämpas på tjänstkontot (gMSA). Som standard tillämpar Microsoft Entra Cloud Sync alla behörigheter som liknar Microsoft Entra Connect på standard-gMSA eller en anpassad gMSA under installationen av molnetableringsagenten.
Det här dokumentet beskriver följande kommandon (cmdlets):
Set-AADCloudSyncPermissions
Set-AADCloudSyncRestrictedPermissions
Så här använder du cmdletarna:
Följande krav måste uppfyllas för att använda dessa cmdlets.
Installera tilldelningsagenten.
Importera PowerShell-modulen Provisioning Agent till en PowerShell-session.
Import-Module "C:\Program Files\Microsoft Azure AD Connect Provisioning Agent\Microsoft.CloudSync.Powershell.dll"Dessa cmdletar kräver en parameter som kallas
Credentialsom kan skickas eller uppmanar användaren om den inte anges på kommandoraden. Beroende på vilken cmdlet-syntax som används måste dessa autentiseringsuppgifter vara ett företagsadministratörskonto eller minst en domänadministratör för måldomänen där du anger behörigheterna.Om du vill skapa en variabel för autentiseringsuppgifter använder du:
$credential = Get-CredentialOm du vill ange Active Directory-behörigheter för molnetableringsagenten kan du använda följande cmdlet. Detta ger behörigheter i domänens rot så att tjänstkontot kan hantera lokala Active Directory-objekt. Se Använda Set-AADCloudSyncPermissions nedan för exempel på hur du anger behörigheter.
Set-AADCloudSyncPermissions -EACredential $credentialOm du vill begränsa Active Directory-behörigheter som anges som standard för molnetableringsagentkontot kan du använda följande cmdlet. Detta ökar säkerheten för tjänstkontot genom att inaktivera behörighetsarv och ta bort alla befintliga behörigheter, förutom SELF och Fullständig kontroll för administratörer. Se Använda Set-AADCloudSyncRestrictedPermission nedan för exempel på hur du begränsar behörigheterna.
Set-AADCloudSyncRestrictedPermission -Credential $credential
Använda Set-AADCloudSyncPermissions
Set-AADCloudSyncPermissions stöder följande behörighetstyper som är identiska med de behörigheter som används av Azure AD Connect Classic Sync (ADSync). Följande behörighetstyper stöds:
| Behörighetstyp | beskrivning |
|---|---|
| BasicRead | Se BasicRead-behörigheter för Microsoft Entra Connect |
| PasswordHashSync | Se PasswordHashSync-behörigheter för Microsoft Entra Connect |
| Lösenordsåterställning | Se PasswordWriteBack-behörigheter för Microsoft Entra Connect |
| HybridExchangeBehörigheter | Se HybridExchangePermissions-behörigheter för Microsoft Entra Connect |
| Exchange Mail Offentliga Mappbehörigheter | Se behörigheter för ExchangeMailPublicFolderPermissions för Microsoft Entra Connect |
| AnvändargruppSkapaRadera | Behörigheter för Microsoft Entra Cloud Syncs gruppsynkronisering till AD. Tillämpar "Skapa/ta bort användarobjekt" på "Det här objektet och alla underordnade objekt" och tillämpar "Skapa/ta bort gruppobjekt" på "Det här objektet och alla underordnade objekt" |
| Alla | Tillämpar alla ovanstående behörigheter |
Du kan använda AADCloudSyncPermissions på något av två sätt:
Bevilja behörigheter till alla konfigurerade domäner
Att bevilja vissa behörigheter till alla konfigurerade domäner kräver användning av ett företagsadministratörskonto.
$credential = Get-Credential
Set-AADCloudSyncPermissions -PermissionType "Any mentioned above" -EACredential $credential
Bevilja behörigheter till en specifik domän
Om du beviljar vissa behörigheter till en specifik domän måste du använda en TargetDomainCredential som är företagsadministratör eller domänadministratör för måldomänen. TargetDomain måste redan konfigureras via guiden.
$credential = Get-Credential
Set-AADCloudSyncPermissions -PermissionType "Any mentioned above" -TargetDomain "FQDN of domain" -TargetDomainCredential $credential
Använda Set-AADCloudSyncRestrictedPermissions
För ökad säkerhet förfinar Set-AADCloudSyncRestrictedPermissions de behörigheter som angetts för själva molnetableringsagentkontot. Förstärkning av behörigheter för molnets etableringsagentkonto omfattar följande ändringar:
Inaktivera arv
Ta bort alla standardbehörigheter, förutom ACL:er som är specifika för SELF.
Ange fullständig behörighet för SYSTEM, Administratörer, Domänadministratörer och Företagsadministratörer.
Ange läsbehörigheter för autentiserade användare och företagsdomänkontrollanter.
Parametern -Credential är nödvändig för att ange det administratörskonto som har de behörigheter som krävs för att begränsa Active Directory-behörigheter för molnetableringsagentkontot. Detta är vanligtvis domänen eller företagsadministratören.
Till exempel:
$credential = Get-Credential
Set-AADCloudSyncRestrictedPermissions -Credential $credential