Microsoft Entra provisioning agent gMSA poleceń cmdlet programu PowerShell
Celem tego dokumentu jest opisanie poleceń cmdlet programu PowerShell gMSA agenta aprowizacji w chmurze microsoft Entra Connect. Te polecenia cmdlet umożliwiają uzyskanie większego stopnia szczegółowości uprawnień stosowanych na koncie usługi (gMSA). Domyślnie usługa Microsoft Entra Cloud Sync stosuje wszystkie uprawnienia podobne do programu Microsoft Entra Connect w domyślnym gMSA lub niestandardowym gMSA podczas instalacji agenta aprowizacji w chmurze.
Ten dokument zawiera następujące polecenia cmdlet:
Set-AADCloudSyncPermissions
Set-AADCloudSyncRestrictedPermissions
Jak używać poleceń cmdlet:
Do korzystania z tych poleceń cmdlet wymagane są następujące wymagania wstępne.
Instalowanie agenta aprowizacji.
Zaimportuj moduł PowerShell agenta aprowizacji do sesji programu PowerShell.
Import-Module "C:\Program Files\Microsoft Azure AD Connect Provisioning Agent\Microsoft.CloudSync.Powershell.dll"Te polecenia cmdlet wymagają parametru o nazwie
Credential, który można przekazać, lub wyświetli monit użytkownika, jeśli nie zostanie podany w wierszu polecenia. W zależności od używanej składni polecenia cmdlet te poświadczenia muszą być kontem administratora przedsiębiorstwa lub co najmniej administratorem domeny docelowej, w której ustawiasz uprawnienia.Aby utworzyć zmienną dla poświadczeń, użyj:
$credential = Get-CredentialAby ustawić uprawnienia usługi Active Directory dla agenta aprowizacji w chmurze, możesz użyć następującego polecenia cmdlet. Spowoduje to przyznanie uprawnień w katalogu głównym domeny umożliwiającej konto usługi zarządzanie obiektami lokalna usługa Active Directory. Zobacz Używanie polecenia Set-AADCloudSyncPermissions poniżej, aby zapoznać się z przykładami dotyczącymi ustawiania uprawnień.
Set-AADCloudSyncPermissions -EACredential $credentialAby ograniczyć uprawnienia usługi Active Directory ustawione domyślnie na koncie agenta aprowizacji w chmurze, możesz użyć następującego polecenia cmdlet. Zwiększy to bezpieczeństwo konta usługi, wyłączając dziedziczenie uprawnień i usuwając wszystkie istniejące uprawnienia, z wyjątkiem samodzielnej i pełnej kontroli dla administratorów. Zobacz Używanie polecenia Set-AADCloudSyncRestrictedPermission poniżej, aby zapoznać się z przykładami dotyczącymi ograniczania uprawnień.
Set-AADCloudSyncRestrictedPermission -Credential $credential
Korzystanie z polecenia Set-AADCloudSyncPermissions
Set-AADCloudSyncPermissions obsługuje następujące typy uprawnień, które są identyczne z uprawnieniami używanymi przez klasyczną synchronizację programu Azure AD Connect (ADSync). Obsługiwane są następujące typy uprawnień:
| Typ uprawnienia | opis |
|---|---|
| BasicRead | Zobacz Uprawnienia BasicRead dla programu Microsoft Entra Connect |
| PasswordHashSync | Zobacz PasswordHashSync permissions for Microsoft Entra Connect (Uprawnienia passwordHashSync dla programu Microsoft Entra Connect) |
| PasswordWriteBack | Zobacz PasswordWriteBack permissions for Microsoft Entra Connect (Uprawnienia PasswordWriteBack dla programu Microsoft Entra Connect) |
| HybridExchangePermissions | Zobacz Uprawnienia HybridExchangePermissions dla programu Microsoft Entra Connect |
| ExchangeMailPublicFolderPermissions | Zobacz ExchangeMailPublicFolderPermissions permissions for Microsoft Entra Connect (Uprawnienia exchangeMailPublicFolderPermissions dla programu Microsoft Entra Connect) |
| UserGroupCreateDelete | Uprawnienia do aprowizacji grupy usługi Microsoft Entra Cloud Sync w usłudze AD. Stosuje obiekt "Tworzenie/usuwanie obiektów użytkownika" w obiekcie "Ten obiekt i wszystkie obiekty podrzędne" i stosuje obiekty "Utwórz/usuń obiekty grupy" w obiekcie "Ten obiekt i wszystkie obiekty potomne" |
| wszystkie | Stosuje wszystkie powyższe uprawnienia |
Możesz użyć narzędzia AADCloudSyncPermissions na jeden z dwóch sposobów:
Udzielanie uprawnień wszystkim skonfigurowanym domenom
Przyznanie pewnych uprawnień do wszystkich skonfigurowanych domen będzie wymagać użycia konta administratora przedsiębiorstwa.
$credential = Get-Credential
Set-AADCloudSyncPermissions -PermissionType "Any mentioned above" -EACredential $credential
Udzielanie uprawnień do określonej domeny
Udzielenie pewnych uprawnień do określonej domeny będzie wymagać użycia obiektu TargetDomainCredential, który jest administratorem przedsiębiorstwa lub administratorem domeny docelowej. Domena docelowa musi być już skonfigurowana za pomocą kreatora.
$credential = Get-Credential
Set-AADCloudSyncPermissions -PermissionType "Any mentioned above" -TargetDomain "FQDN of domain" -TargetDomainCredential $credential
Korzystanie z polecenia Set-AADCloudSyncRestrictedPermissions
Aby zwiększyć bezpieczeństwo, Set-AADCloudSyncRestrictedPermissions zaostrzy uprawnienia ustawione na samym koncie agenta aprowizacji w chmurze. Wzmocnienie uprawnień na koncie agenta aprowizacji w chmurze obejmuje następujące zmiany:
Wyłączanie dziedziczenia
Usuń wszystkie uprawnienia domyślne, z wyjątkiem ACL specyficznych dla SIEBIE.
Ustaw uprawnienia Pełna kontrola dla systemów, administratorów, administratorów domeny i administratorów przedsiębiorstwa.
Ustaw uprawnienia do odczytu dla uwierzytelnionych użytkowników i kontrolerów domeny przedsiębiorstwa.
Parametr -Credential jest niezbędny do określenia konta administratora, które ma niezbędne uprawnienia, aby ograniczyć uprawnienia usługi Active Directory na koncie agenta aprowizacji w chmurze. Zazwyczaj jest to domena lub administrator przedsiębiorstwa.
Na przykład:
$credential = Get-Credential
Set-AADCloudSyncRestrictedPermissions -Credential $credential