Cmdlets de PowerShell de gMSA del agente de aprovisionamiento de Microsoft Entra
El objetivo de este documento es describir los cmdlets de PowerShell de gMSA del agente de aprovisionamiento en la nube de Microsoft Entra. Estos cmdlets permiten tener más granularidad sobre los permisos que se aplican a la cuenta de servicio (gMSA). De forma predeterminada, Microsoft Entra Cloud Sync aplica todos los permisos similares a los de Microsoft Entra Connect a la cuenta de gMSA predeterminada o a una cuenta de gMSA personalizada, durante la instalación del agente de aprovisionamiento en la nube.
En este documento se tratan los siguientes cmdlets:
Set-AADCloudSyncPermissions
Set-AADCloudSyncRestrictedPermissions
Uso de los cmdlets
Los siguientes requisitos previos son indispensables para usar estos cmdlets:
Instale el agente de aprovisionamiento.
Importe el módulo PowerShell del agente de aprovisionamiento en una sesión de PowerShell.
Import-Module "C:\Program Files\Microsoft Azure AD Connect Provisioning Agent\Microsoft.CloudSync.Powershell.dll"Estos cmdlets requieren un parámetro denominado
Credentialque se puede pasar, o se solicitarán al usuario si no se proporcionan en la línea de comandos. En función de la sintaxis del cmdlet usada, estas credenciales deben ser una cuenta de administrador de empresa o, como mínimo, un administrador de dominio del dominio de destino donde se establecen los permisos.Para crear una variable para las credenciales, use:
$credential = Get-CredentialPara establecer permisos de Active Directory para el agente de aprovisionamiento en la nube, puede usar el siguiente cmdlet. Esto concederá permisos en la raíz del dominio, lo que permitirá a la cuenta de servicio administrar objetos de Active Directory local. Consulte a continuación Uso de Set-AADCloudSyncPermissions para ver ejemplos de cómo establecer los permisos.
Set-AADCloudSyncPermissions -EACredential $credentialPara restringir los permisos de Active Directory establecidos de manera predeterminada en la cuenta del agente de aprovisionamiento en la nube, puede usar el siguiente cmdlet. Esto aumentará la seguridad de la cuenta de servicio deshabilitando la herencia de permisos y quitando todos los permisos existentes, excepto SELF y Control total para los administradores. Consulte a continuación Uso de Set-AADCloudSyncRestrictedPermissions para ver ejemplos de cómo restringir los permisos.
Set-AADCloudSyncRestrictedPermission -Credential $credential
Uso de Set-AADCloudSyncPermissions
Set-AADCloudSyncPermissions admite los siguientes tipos de permisos que son idénticos a los que usa Azure AD Connect Classic Sync (ADSync). Se admiten los siguientes tipos de permisos:
| Tipo de permiso | Descripción |
|---|---|
| BasicRead | Consulte Permisos de basicRead para Microsoft Entra Connect |
| PasswordHashSync | Consulte Permisos de PasswordHashSync para Microsoft Entra Connect |
| PasswordWriteBack | Consulte Permisos PasswordWriteBack para Microsoft Entra Connect |
| HybridExchangePermissions | Consulte los permisos de HybridExchangePermissions para Microsoft Entra Connect |
| ExchangeMailPublicFolderPermissions | Consulte los permisos de ExchangeMailPublicFolderPermissions para Microsoft Entra Connect |
| UserGroupCreateDelete | Permisos para el aprovisionamiento de grupos de Microsoft Entra Cloud Sync en AD. Aplica "Crear o eliminar objetos de usuario" en "Este objeto y todos los objetos descendientes" y aplica "Crear o eliminar objetos de grupo" en "Este objeto y todos los objetos descendientes" |
| All | Aplica todos los permisos anteriores |
Puede usar AADCloudSyncPermissions de dos formas:
Conceder permisos a todos los dominios configurados
La concesión de determinados permisos a todos los dominios configurados requiere el uso de una cuenta de administrador de empresa.
$credential = Get-Credential
Set-AADCloudSyncPermissions -PermissionType "Any mentioned above" -EACredential $credential
Conceder permisos a un dominio específico
La concesión de determinados permisos a un dominio específico requerirá el uso de un TargetDomainCredential que sea administrador de empresa o administrador de dominio del dominio de destino. TargetDomain debe estar ya configurado a través del asistente.
$credential = Get-Credential
Set-AADCloudSyncPermissions -PermissionType "Any mentioned above" -TargetDomain "FQDN of domain" -TargetDomainCredential $credential
Using Set-AADCloudSyncRestrictedPermissions
Para aumentar la seguridad, Set-AADCloudSyncRestrictedPermissions reforzará los permisos establecidos en la propia cuenta del agente de aprovisionamiento en la nube. El aumento de la protección de los permisos en la cuenta del agente de aprovisionamiento en la nube implica los siguientes cambios:
Deshabilitar herencia
Quite todos los permisos predeterminados, excepto los ACE específicos de SELF.
Establezca permisos de Control total para SYSTEM, Administradores, Administradores de dominio y Administradores de empresa.
Establezca Permisos de lectura para usuarios autenticados y controladores de dominio de empresa.
El parámetro -Credential, por su parte, es necesario para especificar la cuenta de administrador que tiene los privilegios necesarios para restringir los permisos de Active Directory en la cuenta de agente de aprovisionamiento en la nube. Por lo general, suele ser el administrador de empresa o de dominio.
Por ejemplo:
$credential = Get-Credential
Set-AADCloudSyncRestrictedPermissions -Credential $credential