Dela via


Microsoft Entra-etableringsagent gMSA PowerShell-cmdlets

Syftet med det här dokumentet är att beskriva Microsoft Entra Connect-molnetableringsagenten gMSA PowerShell-cmdletar. Med de här cmdletarna kan du få mer detaljerad information om vilka behörigheter som tillämpas på tjänstkontot (gMSA). Som standard tillämpar Microsoft Entra Cloud Sync alla behörigheter som liknar Microsoft Entra Connect på standard-gMSA eller en anpassad gMSA under installationen av molnetableringsagenten.

Det här dokumentet beskriver följande kommandon (cmdlets):

Set-AADCloudSyncPermissions

Set-AADCloudSyncRestrictedPermissions

Så här använder du cmdletarna:

Följande krav måste uppfyllas för att använda dessa cmdlets.

  1. Installera tilldelningsagenten.

  2. Importera PowerShell-modulen Provisioning Agent till en PowerShell-session.

    Import-Module "C:\Program Files\Microsoft Azure AD Connect Provisioning Agent\Microsoft.CloudSync.Powershell.dll"
    
  3. Dessa cmdletar kräver en parameter som kallas Credential som kan skickas eller uppmanar användaren om den inte anges på kommandoraden. Beroende på vilken cmdlet-syntax som används måste dessa autentiseringsuppgifter vara ett företagsadministratörskonto eller minst en domänadministratör för måldomänen där du anger behörigheterna.

  4. Om du vill skapa en variabel för autentiseringsuppgifter använder du:

    $credential = Get-Credential

  5. Om du vill ange Active Directory-behörigheter för molnetableringsagenten kan du använda följande cmdlet. Detta ger behörigheter i domänens rot så att tjänstkontot kan hantera lokala Active Directory-objekt. Se Använda Set-AADCloudSyncPermissions nedan för exempel på hur du anger behörigheter.

    Set-AADCloudSyncPermissions -EACredential $credential

  6. Om du vill begränsa Active Directory-behörigheter som anges som standard för molnetableringsagentkontot kan du använda följande cmdlet. Detta ökar säkerheten för tjänstkontot genom att inaktivera behörighetsarv och ta bort alla befintliga behörigheter, förutom SELF och Fullständig kontroll för administratörer. Se Använda Set-AADCloudSyncRestrictedPermission nedan för exempel på hur du begränsar behörigheterna.

    Set-AADCloudSyncRestrictedPermission -Credential $credential

Använda Set-AADCloudSyncPermissions

Set-AADCloudSyncPermissions stöder följande behörighetstyper som är identiska med de behörigheter som används av Azure AD Connect Classic Sync (ADSync). Följande behörighetstyper stöds:

Behörighetstyp beskrivning
BasicRead Se BasicRead-behörigheter för Microsoft Entra Connect
PasswordHashSync Se PasswordHashSync-behörigheter för Microsoft Entra Connect
Lösenordsåterställning Se PasswordWriteBack-behörigheter för Microsoft Entra Connect
HybridExchangeBehörigheter Se HybridExchangePermissions-behörigheter för Microsoft Entra Connect
Exchange Mail Offentliga Mappbehörigheter Se behörigheter för ExchangeMailPublicFolderPermissions för Microsoft Entra Connect
AnvändargruppSkapaRadera Behörigheter för Microsoft Entra Cloud Syncs gruppsynkronisering till AD. Tillämpar "Skapa/ta bort användarobjekt" på "Det här objektet och alla underordnade objekt" och tillämpar "Skapa/ta bort gruppobjekt" på "Det här objektet och alla underordnade objekt"
Alla Tillämpar alla ovanstående behörigheter

Du kan använda AADCloudSyncPermissions på något av två sätt:

Bevilja behörigheter till alla konfigurerade domäner

Att bevilja vissa behörigheter till alla konfigurerade domäner kräver användning av ett företagsadministratörskonto.

$credential = Get-Credential
Set-AADCloudSyncPermissions -PermissionType "Any mentioned above" -EACredential $credential 

Bevilja behörigheter till en specifik domän

Om du beviljar vissa behörigheter till en specifik domän måste du använda en TargetDomainCredential som är företagsadministratör eller domänadministratör för måldomänen. TargetDomain måste redan konfigureras via guiden.

$credential = Get-Credential
Set-AADCloudSyncPermissions -PermissionType "Any mentioned above" -TargetDomain "FQDN of domain" -TargetDomainCredential $credential

Använda Set-AADCloudSyncRestrictedPermissions

För ökad säkerhet förfinar Set-AADCloudSyncRestrictedPermissions de behörigheter som angetts för själva molnetableringsagentkontot. Förstärkning av behörigheter för molnets etableringsagentkonto omfattar följande ändringar:

  • Inaktivera arv

  • Ta bort alla standardbehörigheter, förutom ACL:er som är specifika för SELF.

  • Ange fullständig behörighet för SYSTEM, Administratörer, Domänadministratörer och Företagsadministratörer.

  • Ange läsbehörigheter för autentiserade användare och företagsdomänkontrollanter.

    Parametern -Credential är nödvändig för att ange det administratörskonto som har de behörigheter som krävs för att begränsa Active Directory-behörigheter för molnetableringsagentkontot. Detta är vanligtvis domänen eller företagsadministratören.

Till exempel:

$credential = Get-Credential 
Set-AADCloudSyncRestrictedPermissions -Credential $credential  

Nästa steg