Rutiny PowerShellu pro agenta zřizování Microsoft Entra
Účelem tohoto dokumentu je popsat rutiny Prostředí PowerShell pro Microsoft Entra Connect pro zřizování cloudu gMSA. Tyto rutiny umožňují jemněji odstupňovat oprávnění použitá v účtu služby (gMSA). Ve výchozím nastavení používá Microsoft Entra Cloud Sync všechna oprávnění podobná službě Microsoft Entra Connect ve výchozím nastavení gMSA nebo vlastní gMSA během instalace agenta zřizování cloudu.
Tento dokument se zabývá následujícími rutinami:
Set-AADCloudSyncPermissions
Set-AADCloudSyncRestrictedPermissions
Jak používat rutiny:
Pro použití těchto rutin jsou vyžadovány následující požadavky.
Nainstalujte zřizovacího agenta.
Import modulu PowerShellu pro zřizování agenta do relace PowerShellu
Import-Module "C:\Program Files\Microsoft Azure AD Connect Provisioning Agent\Microsoft.CloudSync.Powershell.dll"Tyto rutiny vyžadují parametr,
Credentialkterý lze předat, nebo uživatele vyzve, pokud není zadaný v příkazovém řádku. V závislosti na použité syntaxi rutiny musí být tyto přihlašovací údaje účtem podnikového správce nebo alespoň správcem domény cílové domény, ve které nastavujete oprávnění.Pokud chcete vytvořit proměnnou pro přihlašovací údaje, použijte:
$credential = Get-CredentialK nastavení oprávnění služby Active Directory pro agenta zřizování cloudu můžete použít následující rutinu. Tím se udělí oprávnění v kořenovém adresáři domény, což účtu služby umožní spravovat místní Active Directory objekty. Příklady nastavení oprávnění najdete v části Použití set-AADCloudSyncPermissions níže.
Set-AADCloudSyncPermissions -EACredential $credentialPokud chcete ve výchozím nastavení omezit oprávnění služby Active Directory na účtu agenta zřizování cloudu, můžete použít následující rutinu. Tím se zvýší zabezpečení účtu služby tím, že zakážete dědičnost oprávnění a odeberete všechna existující oprávnění s výjimkou možnosti SELF a Úplné řízení pro správce. Příklady omezení oprávnění najdete v části Použití set-AADCloudSyncRestrictedPermission níže.
Set-AADCloudSyncRestrictedPermission -Credential $credential
Použití Set-AADCloudSyncPermissions
Set-AADCloudSyncPermissions podporuje následující typy oprávnění, které jsou identické s oprávněními používanými službou Azure AD Connect Classic Sync (ADSync). Podporují se následující typy oprávnění:
| Typ oprávnění | Popis |
|---|---|
| Základní informace | Zobrazit oprávnění BasicRead pro Microsoft Entra Connect |
| PasswordHashSync | Viz oprávnění PasswordHashSync pro Microsoft Entra Connect |
| PasswordWriteBack | Viz oprávnění PasswordWriteBack pro Microsoft Entra Connect |
| HybridExchangePermissions | Viz Oprávnění HybridExchangePermissions pro Microsoft Entra Connect |
| ExchangeMailPublicFolderPermissions | Viz Oprávnění ExchangeMailPublicFolderPermissions pro Microsoft Entra Connect |
| UserGroupCreateDelete | Oprávnění pro zřízení skupiny Microsoft Entra Cloud Sync pro AD Použije objekty Create/delete User pro Tento objekt a všechny potomky a použije objekty skupiny Create/delete u Tohoto objektu a všech potomků. |
| Všechny | Použije všechna výše uvedená oprávnění. |
AADCloudSyncPermissions můžete použít jedním ze dvou způsobů:
Udělení oprávnění všem nakonfigurovaným doménám
Udělení určitých oprávnění všem nakonfigurovaným doménám bude vyžadovat použití účtu podnikového správce.
$credential = Get-Credential
Set-AADCloudSyncPermissions -PermissionType "Any mentioned above" -EACredential $credential
Udělení oprávnění ke konkrétní doméně
Udělení určitých oprávnění ke konkrétní doméně bude vyžadovat použití TargetDomainCredential, která je podnikovým správcem nebo správcem domény cílové domény. Cílová doména musí být již nakonfigurována prostřednictvím průvodce.
$credential = Get-Credential
Set-AADCloudSyncPermissions -PermissionType "Any mentioned above" -TargetDomain "FQDN of domain" -TargetDomainCredential $credential
Použití Set-AADCloudSyncRestrictedPermissions
Kvůli zvýšenému zabezpečení Set-AADCloudSyncRestrictedPermissions zpřísníte oprávnění nastavená pro samotný účet agenta zřizování cloudu. Posílení oprávnění k účtu agenta zřizování cloudu zahrnuje následující změny:
Zakázání dědičnosti
Odeberte všechna výchozí oprávnění s výjimkou ACL specifických pro SELF.
Nastavte oprávnění úplné řízení pro systém, správce, správce domény a podnikové správce.
Nastavte oprávnění ke čtení pro ověřené uživatele a podnikové řadiče domény.
Parametr -Credential je nezbytný k zadání účtu správce, který má potřebná oprávnění k omezení oprávnění služby Active Directory pro účet agenta zřizování cloudu. Obvykle se jedná o doménu nebo podnikový správce.
Příklad:
$credential = Get-Credential
Set-AADCloudSyncRestrictedPermissions -Credential $credential