Rutiny PowerShellu pro agenta zřizování Microsoft Entra
Účelem tohoto dokumentu je popsat rutiny Microsoft Entra Připojení agenta zřizování cloudu gMSA PowerShellu. Tyto rutiny umožňují jemněji odstupňovat oprávnění použitá v účtu služby (gMSA). Ve výchozím nastavení používá Microsoft Entra Cloud Sync všechna oprávnění podobná Microsoft Entra Připojení na výchozí gMSA nebo vlastní gMSA během instalace agenta zřizování cloudu.
Tento dokument se zabývá následujícími rutinami:
Set-AADCloudSyncPermissions
Set-AADCloudSyncRestrictedPermissions
Jak používat rutiny:
Pro použití těchto rutin jsou vyžadovány následující požadavky.
Nainstalujte zřizovacího agenta.
Import modulu PowerShellu pro zřizování agenta do relace PowerShellu
Import-Module "C:\Program Files\Microsoft Azure AD Connect Provisioning Agent\Microsoft.CloudSync.Powershell.dll"Tyto rutiny vyžadují parametr,
Credentialkterý lze předat, nebo uživatele vyzve, pokud není zadaný v příkazovém řádku. V závislosti na použité syntaxi rutiny musí být tyto přihlašovací údaje účtem podnikového správce nebo alespoň správcem domény cílové domény, ve které nastavujete oprávnění.Pokud chcete vytvořit proměnnou pro přihlašovací údaje, použijte:
$credential = Get-CredentialK nastavení oprávnění služby Active Directory pro agenta zřizování cloudu můžete použít následující rutinu. Tím se udělí oprávnění v kořenovém adresáři domény, což účtu služby umožní spravovat místní Active Directory objekty. Příklady nastavení oprávnění najdete v části Použití set-AADCloudSyncPermissions níže.
Set-AADCloudSyncPermissions -EACredential $credentialPokud chcete ve výchozím nastavení omezit oprávnění služby Active Directory na účtu agenta zřizování cloudu, můžete použít následující rutinu. Tím se zvýší zabezpečení účtu služby tím, že zakážete dědičnost oprávnění a odeberete všechna existující oprávnění s výjimkou možnosti SELF a Úplné řízení pro správce. Příklady omezení oprávnění najdete v části Použití set-AADCloudSyncRestrictedPermission níže.
Set-AADCloudSyncRestrictedPermission -Credential $credential
Použití Set-AADCloudSyncPermissions
Set-AADCloudSyncPermissionspodporuje následující typy oprávnění, které jsou identické s oprávněními používanými službou Azure AD Připojení Classic Sync (ADSync). Podporují se následující typy oprávnění:
| Typ oprávnění | Popis |
|---|---|
| Základní informace | Zobrazit oprávnění BasicRead pro Microsoft Entra Připojení |
| PasswordHashSync | Viz oprávnění PasswordHashSync pro Microsoft Entra Připojení |
| PasswordWriteBack | Viz oprávnění PasswordWriteBack pro Microsoft Entra Připojení |
| HybridExchangePermissions | Viz Oprávnění HybridExchangePermissions pro microsoft Entra Připojení |
| ExchangeMailPublicFolderPermissions | Viz Oprávnění ExchangeMailPublicFolderPermissions pro microsoft Entra Připojení |
| UserGroupCreateDelete | Oprávnění pro zřízení skupiny Microsoft Entra Cloud Sync pro AD Použije objekty Create/delete User pro Tento objekt a všechny potomky a použije objekty skupiny Create/delete u Tohoto objektu a všech potomků. |
| Vše | Použije všechna výše uvedená oprávnění. |
AADCloudSyncPermissions můžete použít jedním ze dvou způsobů:
Udělení oprávnění všem nakonfigurovaným doménám
Udělení určitých oprávnění všem nakonfigurovaným doménám bude vyžadovat použití účtu podnikového správce.
$credential = Get-Credential
Set-AADCloudSyncPermissions -PermissionType "Any mentioned above" -EACredential $credential
Udělení oprávnění ke konkrétní doméně
Udělení určitých oprávnění ke konkrétní doméně bude vyžadovat použití TargetDomainCredential, která je podnikovým správcem nebo správcem domény cílové domény. Cílová doména musí být již nakonfigurována prostřednictvím průvodce.
$credential = Get-Credential
Set-AADCloudSyncPermissions -PermissionType "Any mentioned above" -TargetDomain "FQDN of domain" -TargetDomainCredential $credential
Použití Set-AADCloudSyncRestrictedPermissions
Kvůli zvýšenému zabezpečení Set-AADCloudSyncRestrictedPermissions zpřísníte oprávnění nastavená pro samotný účet agenta zřizování cloudu. Posílení oprávnění k účtu agenta zřizování cloudu zahrnuje následující změny:
Zakázání dědičnosti
Odeberte všechna výchozí oprávnění s výjimkou ACL specifických pro SELF.
Nastavte oprávnění úplného řízení pro systém, Správa istrátory, Správa domény a podnikové Správa.
Nastavte oprávnění ke čtení pro ověřené uživatele a podnikové řadiče domény.
Parametr -Credential je nezbytný k zadání účtu Správa istratoru, který má potřebná oprávnění k omezení oprávnění služby Active Directory pro účet agenta zřizování cloudu. Obvykle se jedná o doménu nebo podnikový správce.
Příklad:
$credential = Get-Credential
Set-AADCloudSyncRestrictedPermissions -Credential $credential