Applets de commande gMSA PowerShell de l’agent d’approvisionnement Microsoft Entra
Ce document vise à décrire les cmdlets PowerShell gMSA de l’agent de provisionnement cloud Microsoft Entra Connect. Ces applets de commande vous permettent de contrôler avec plus de précision les autorisations appliquées au compte de service (gMSA). Par défaut, la synchronisation cloud Microsoft Entra applique toutes les autorisations similaires à Microsoft Entra Connect sur le compte gMSA (compte de service administré de groupe) par défaut ou un compte gMSA personnalisé, durant l’installation de l’agent d’approvisionnement cloud.
Ce document couvre les cmdlets suivantes :
Set-AADCloudSyncPermissions
Set-AADCloudSyncRestrictedPermissions
Utilisation des cmdlets
Les prérequis suivants sont nécessaires pour utiliser ces cmdlets.
Installez l’agent de provisionnement.
Importez le module PowerShell de l’agent Provisioning dans une session PowerShell.
Import-Module "C:\Program Files\Microsoft Azure AD Connect Provisioning Agent\Microsoft.CloudSync.Powershell.dll"Ces applets de commande nécessitent un paramètre appelé
Credentialqui peut être passé, ou qui déclenche l’affichage d’une invite destinée à l’utilisateur s’il n’est pas fourni dans la ligne de commande. Selon la syntaxe de l’applet de commande utilisée, ces informations d’identification doivent correspondre à celles d’un compte d’administrateur d’entreprise ou, au minimum, à celles d’un administrateur de domaine du domaine cible où vous définissez les autorisations.Pour créer une variable d’informations d’identification, utilisez :
$credential = Get-CredentialPour définir des autorisations Active Directory liées à l’agent de provisionnement cloud, vous pouvez utiliser l’applet de commande suivante. Cela permet d’octroyer des autorisations à la racine du domaine. Ainsi, le compte de service peut gérer les objets Active Directory locaux. Pour obtenir des exemples de définition d’autorisations, consultez Utilisation de Set-AADCloudSyncPermissions ci-dessous.
Set-AADCloudSyncPermissions -EACredential $credentialPour restreindre les autorisations Active Directory définies par défaut sur le compte de l’agent de provisionnement cloud, vous pouvez utiliser l’applet de commande suivante. Cela permet d’augmenter la sécurité du compte de service en désactivant l’héritage des autorisations et en supprimant toutes les autorisations existantes, à l’exception de SELF et du contrôle total pour les administrateurs. Consultez Utilisation de Set-AADCloudSyncRestrictedPermission ci-dessous pour obtenir des exemples de restriction des autorisations.
Set-AADCloudSyncRestrictedPermission -Credential $credential
Utilisation de Set-AADCloudSyncPermissions
Set-AADCloudSyncPermissions prend en charge les types d’autorisation suivants, lesquels sont identiques aux types d’autorisation utilisés par Azure AD Connect Classic Sync (ADSync). à savoir :
| Type d'autorisation | Description |
|---|---|
| BasicRead | Consultez les autorisations BasicRead pour Microsoft Entra Connect |
| PasswordHashSync | Consultez les autorisations PasswordHashSync pour Microsoft Entra Connect |
| PasswordWriteBack | Consultez les autorisations PasswordWriteBack pour Microsoft Entra Connect |
| HybridExchangePermissions | Consultez les autorisations HybridExchangePermissions pour Microsoft Entra Connect |
| ExchangeMailPublicFolderPermissions | Consultez les autorisations ExchangeMailPublicFolderPermissions pour Microsoft Entra Connect |
| UserGroupCreateDelete | Autorisations pour la fourniture de groupe de Microsoft Entra Cloud Sync à AD. Applique « Créer/supprimer des objets utilisateur » sur « Cet objet et tous les objets descendants » et Applique « Créer/supprimer des objets de groupe » sur « Cet objet et tous les objets descendants » |
| Tous | Applique toutes les autorisations ci-dessus |
AADCloudSyncPermissions peut être utilisé de deux manières :
- Octroyer des autorisations à tous les domaines configurés
- Octroyer des autorisations à un domaine spécifique
Octroyer des autorisations à tous les domaines configurés
Pour pouvoir accorder certaines autorisations à tous les domaines configurés, vous devez utiliser un compte Administrateur d’entreprise.
$credential = Get-Credential
Set-AADCloudSyncPermissions -PermissionType "Any mentioned above" -EACredential $credential
Octroyer des autorisations à un domaine spécifique
L’octroi de certaines autorisations à un domaine spécifique nécessite l’utilisation d’un TargetDomainCredential qui soit administrateur d’entreprise ou administrateur de domaine du domaine cible. TargetDomain doit déjà être configuré via l’Assistant.
$credential = Get-Credential
Set-AADCloudSyncPermissions -PermissionType "Any mentioned above" -TargetDomain "FQDN of domain" -TargetDomainCredential $credential
Utilisation de Set-AADCloudSyncRestrictedPermissions
Pour une sécurité accrue, Set-AADCloudSyncRestrictedPermissions renforce les autorisations définies sur le compte de l’agent de provisionnement cloud lui-même. Le renforcement des autorisations sur le compte de l’agent de provisionnement cloud implique les changements suivants :
Désactiver l’héritage
Supprimez toutes les autorisations par défaut, à l’exception des entrées ACE (entrées de contrôle d’accès) spécifiques à SELF.
Définissez des autorisations de contrôle total pour les groupes SYSTÈME, Administrateurs, Administrateurs de domaine ou Administrateurs d’entreprise.
Définissez des autorisations d’accès en lecture pour les utilisateurs authentifiés et les contrôleurs de domaine d’entreprise.
Le paramètre -Credential est nécessaire, car il permet de spécifier le compte administrateur qui dispose des privilèges nécessaires pour restreindre les autorisations Active Directory sur le compte de l’agent de provisionnement cloud. Il s’agit généralement de l’administrateur de domaine ou d’entreprise.
Par exemple :
$credential = Get-Credential
Set-AADCloudSyncRestrictedPermissions -Credential $credential