Microsoft Entra kiépítési ügynök gMSA PowerShell-parancsmagok
A dokumentum célja a Microsoft Entra Connect felhőkiépítési ügynök gMSA PowerShell-parancsmagjainak leírása. Ezekkel a parancsmagokkal részletesebben szabályozhatja a szolgáltatásfiókra (gMSA) alkalmazott engedélyeket. A Microsoft Entra Cloud Sync alapértelmezés szerint az alapértelmezett gMSA-n vagy egyéni gMSA-n a Microsoft Entra Connecthez hasonló összes engedélyt alkalmazza a felhőkiépítési ügynök telepítése során.
Ez a dokumentum a következő parancsmagokat ismerteti:
Set-AADCloudSyncPermissions
Set-AADCloudSyncRestrictedPermissions
A parancsmagok használata:
A parancsmagok használatához a következő előfeltételek szükségesek.
Telepítse a kiépítési ügynököt.
Importálja a Kiépítési ügynök PowerShell-modulját egy PowerShell-munkamenetbe.
Import-Module "C:\Program Files\Microsoft Azure AD Connect Provisioning Agent\Microsoft.CloudSync.Powershell.dll"Ezek a parancsmagok egy olyan paramétert
Credentialigényelnek, amely átadható, vagy ha a parancssorban nincs megadva, a felhasználót kéri. A használt parancsmag szintaxisától függően ezeknek a hitelesítő adatoknak vállalati rendszergazdai fióknak vagy legalább annak a céltartománynak a tartományi rendszergazdájának kell lenniük, ahol az engedélyeket beállítja.A hitelesítő adatok változójának létrehozásához használja a következőt:
$credential = Get-CredentialAz Active Directory-engedélyek felhőkiépítési ügynökhöz való beállításához használja az alábbi parancsmagot. Ez engedélyeket ad a tartomány gyökerében, így a szolgáltatásfiók kezelheti helyi Active Directory objektumokat. Az engedélyek beállításával kapcsolatos példákért lásd alább a Set-AADCloudSyncPermissions használatát.
Set-AADCloudSyncPermissions -EACredential $credentialA felhőkiépítési ügynökfiókon alapértelmezés szerint beállított Active Directory-engedélyek korlátozásához használja az alábbi parancsmagot. Ez növeli a szolgáltatásfiók biztonságát az engedélyek öröklésének letiltásával és az összes meglévő engedély eltávolításával, kivéve a rendszergazdák önkiszolgáló és teljes hozzáférését. Az engedélyek korlátozására vonatkozó példákért lásd alább a Set-AADCloudSyncRestrictedPermission használatát.
Set-AADCloudSyncRestrictedPermission -Credential $credential
A Set-AADCloudSyncPermissions használata
Set-AADCloudSyncPermissions A következő engedélytípusokat támogatja, amelyek megegyeznek az Azure AD Connect Classic Sync (ADSync) által használt engedélyekkel. A következő engedélytípusok támogatottak:
| Engedély típusa | Leírás |
|---|---|
| BasicRead | A Microsoft Entra Connect BasicRead-engedélyeinek megtekintése |
| PasswordHashSync | A Microsoft Entra Connect PasswordHashSync-engedélyeinek megtekintése |
| PasswordWriteBack | A Microsoft Entra Connect PasswordWriteBack-engedélyeinek megtekintése |
| HybridExchangePermissions | Lásd a Microsoft Entra Connect HybridExchangePermissions engedélyeit |
| ExchangeMailPublicFolderPermissions | Lásd: ExchangeMailPublicFolderPermissions engedélyek a Microsoft Entra Connecthez |
| UserGroupCreateDelete | Engedélyek a Microsoft Entra Cloud Sync AD-hez való csoportkiosztásához. Alkalmazza a "Felhasználói objektumok létrehozása/törlése" elemet az "Ez az objektum és az összes leszármazott objektum" beállításra, és alkalmazza a "Csoportobjektumok létrehozása/törlése" elemet az "Ez az objektum és az összes leszármazott objektum" beállításra. |
| Mind | A fenti engedélyek alkalmazása |
Az AADCloudSyncPermissions kétféleképpen használható:
Engedélyek megadása az összes konfigurált tartományhoz
Ha minden konfigurált tartományhoz bizonyos engedélyeket ad meg, vállalati rendszergazdai fiók használatára lesz szükség.
$credential = Get-Credential
Set-AADCloudSyncPermissions -PermissionType "Any mentioned above" -EACredential $credential
Engedélyek megadása egy adott tartományhoz
Ha bizonyos engedélyeket ad egy adott tartománynak, akkor a TargetDomainCredential használatához vállalati rendszergazda vagy a céltartomány tartományi rendszergazdája szükséges. A TargetDomain-t már konfigurálni kell a varázslóval.
$credential = Get-Credential
Set-AADCloudSyncPermissions -PermissionType "Any mentioned above" -TargetDomain "FQDN of domain" -TargetDomainCredential $credential
A Set-AADCloudSyncRestrictedPermissions használata
A nagyobb biztonság Set-AADCloudSyncRestrictedPermissions érdekében meg kell szigorítania magát a felhőkiépítési ügynökfiókon beállított engedélyeket. A felhőkiépítési ügynökfiók engedélyeinek megerősítése a következő módosításokat foglalja magában:
Öröklés letiltása
Távolítsa el az összes alapértelmezett engedélyt, kivéve az ÖNKISZOLGÁLÓ-ra vonatkozó ACL-eket.
Teljes körű vezérlési engedélyek beállítása a rendszergazdák, a tartományi rendszergazdák és a vállalati rendszergazdák számára.
Olvasási engedélyek beállítása hitelesített felhasználókhoz és vállalati tartományvezérlőkhöz.
A -Credential paraméter szükséges annak a rendszergazdai fióknak a megadásához, amely rendelkezik a felhőkiépítési ügynökfiók Active Directory-engedélyeinek korlátozásához szükséges jogosultságokkal. Ez általában a tartomány vagy a vállalati rendszergazda.
Például:
$credential = Get-Credential
Set-AADCloudSyncRestrictedPermissions -Credential $credential
Következő lépések
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: