Cmdlet di PowerShell per l'agente di provisioning di Microsoft Entra

Lo scopo di questo documento è descrivere i cmdlet dell'agente di provisioning cloud gMSA di Microsoft Entra Connect. Questi cmdlet garantiscono una maggiore granularità sulle autorizzazioni applicate all'account del servizio (gMSA). Per impostazione predefinita, Microsoft Entra Cloud Sync applica tutte le autorizzazioni simili a Microsoft Entra Connect nell'account del servizio gestito del gruppo predefinito o in un account del servizio gestito del gruppo personalizzato durante l'installazione dell'agente di provisioning cloud.

Questo documento illustra i cmdlet seguenti:

Set-AADCloudSyncPermissions

Set-AADCloudSyncRestrictedPermissions

Come usare i cmdlet:

Per usare questi cmdlet sono necessari i prerequisiti seguenti.

  1. Installare l'agente di provisioning.

  2. Importare il modulo PowerShell dell'agente di provisioning in una sessione di PowerShell.

    Import-Module "C:\Program Files\Microsoft Azure AD Connect Provisioning Agent\Microsoft.CloudSync.Powershell.dll"
    
  3. Questi cmdlet richiedono un parametro denominato Credential che può essere passato oppure richiederà all'utente se non specificato nella riga di comando. A seconda della sintassi del cmdlet usata, queste credenziali devono essere un account amministratore dell'organizzazione o, almeno, un amministratore di dominio del dominio di destinazione in cui si impostano le autorizzazioni.

  4. Per creare una variabile per le credenziali, usare:

    $credential = Get-Credential

  5. Per impostare le autorizzazioni di Active Directory per l'agente di provisioning cloud, è possibile usare il cmdlet seguente. In questo modo si concedono le autorizzazioni nella radice del dominio, consentendo all'account del servizio di gestire Active Directory locale oggetti. Per esempi sull'impostazione delle autorizzazioni, vedere Uso di Set-AADCloudSyncPermissions di seguito.

    Set-AADCloudSyncPermissions -EACredential $credential

  6. Per limitare le autorizzazioni di Active Directory impostate per impostazione predefinita nell'account dell'agente di provisioning cloud, è possibile usare il cmdlet seguente. In questo modo si aumenta la sicurezza dell'account del servizio disabilitando l'ereditarietà delle autorizzazioni e rimuovendo tutte le autorizzazioni esistenti, ad eccezione di SELF e Controllo completo per gli amministratori. Per esempi sulla limitazione delle autorizzazioni, vedere Uso di Set-AADCloudSyncRestrictedPermission di seguito.

    Set-AADCloudSyncRestrictedPermission -Credential $credential

Uso di Set-AADCloudSyncPermissions

Set-AADCloudSyncPermissions supporta i tipi di autorizzazione seguenti identici alle autorizzazioni usate da Azure AD Connect Classic Sync (ADSync). Sono supportati i tipi di autorizzazione seguenti:

Tipo di autorizzazione Descrizione
BasicRead Vedere Autorizzazioni di baseRead per Microsoft Entra Connect
PasswordHashSync Vedere Autorizzazioni PasswordHashSync per Microsoft Entra Connect
PasswordWriteBack Vedere Autorizzazioni passwordWriteBack per Microsoft Entra Connect
HybridExchangePermissions Vedere Autorizzazioni hybridExchangePermissions per Microsoft Entra Connect
ExchangeMailPublicFolderPermissions Vedere Autorizzazioni exchangeMailPublicFolderPermissions per Microsoft Entra Connect
UserGroupCreateDelete Autorizzazioni per il provisioning del gruppo di Microsoft Entra Cloud Sync in AD. Applica 'Create/delete User objects' on 'This object and all descendant objects' and Applies 'Create/delete group objects' on 'This object and all descendant objects'
Tutte le date Applica tutte le autorizzazioni precedenti

È possibile usare AADCloudSyncPermissions in uno dei due modi seguenti:

Concedere autorizzazioni a tutti i domini configurati

La concessione di determinate autorizzazioni a tutti i domini configurati richiederà l'uso di un account amministratore aziendale.

$credential = Get-Credential
Set-AADCloudSyncPermissions -PermissionType "Any mentioned above" -EACredential $credential 

Concedere autorizzazioni a un dominio specifico

La concessione di determinate autorizzazioni a un dominio specifico richiederà l'uso di targetDomainCredential amministratore dell'organizzazione o amministratore di dominio del dominio di destinazione. TargetDomain deve essere già configurato tramite la procedura guidata.

$credential = Get-Credential
Set-AADCloudSyncPermissions -PermissionType "Any mentioned above" -TargetDomain "FQDN of domain" -TargetDomainCredential $credential

Uso di Set-AADCloudSyncRestrictedPermissions

Per una maggiore sicurezza, Set-AADCloudSyncRestrictedPermissions restringerà le autorizzazioni impostate sull'account dell'agente di provisioning cloud stesso. La protezione avanzata delle autorizzazioni per l'account dell'agente di provisioning cloud comporta le modifiche seguenti:

  • Disabilita ereditarietà

  • Rimuovere tutte le autorizzazioni predefinite, ad eccezione degli ACL specifici di SELF.

  • Impostare le autorizzazioni di controllo completo per SYSTEM, Administrators, Domain Admins e Enterprise Admins.

  • Impostare autorizzazioni di lettura per utenti autenticati e controller di dominio aziendali.

    Il parametro -Credential è necessario per specificare l'account amministratore con i privilegi necessari per limitare le autorizzazioni di Active Directory nell'account dell'agente di provisioning cloud. Si tratta in genere del dominio o dell'amministratore dell'organizzazione.

Ad esempio:

$credential = Get-Credential 
Set-AADCloudSyncRestrictedPermissions -Credential $credential  

Passaggi successivi