Microsoft Entra kiépítési ügynök gMSA PowerShell-parancsmagok
A dokumentum célja a Microsoft Entra Csatlakozás felhőkiépítési ügynök gMSA PowerShell-parancsmagjainak leírása. Ezekkel a parancsmagokkal részletesebben szabályozhatja a szolgáltatásfiókra (gMSA) alkalmazott engedélyeket. A Microsoft Entra Cloud Sync alapértelmezés szerint az alapértelmezett gMSA-n vagy egyéni gMSA-n a Microsoft Entra Csatlakozás-hez hasonló összes engedélyt alkalmazza a felhőkiépítési ügynök telepítése során.
Ez a dokumentum a következő parancsmagokat ismerteti:
Set-AADCloudSyncPermissions
Set-AADCloudSyncRestrictedPermissions
A parancsmagok használata:
A parancsmagok használatához a következő előfeltételek szükségesek.
Telepítse a kiépítési ügynököt.
Importálja a Kiépítési ügynök PowerShell-modulját egy PowerShell-munkamenetbe.
Import-Module "C:\Program Files\Microsoft Azure AD Connect Provisioning Agent\Microsoft.CloudSync.Powershell.dll"
Ezek a parancsmagok egy olyan paramétert
Credential
igényelnek, amely átadható, vagy ha a parancssorban nincs megadva, a felhasználót kéri. A használt parancsmag szintaxisától függően ezeknek a hitelesítő adatoknak vállalati rendszergazdai fióknak vagy legalább annak a céltartománynak a tartományi rendszergazdájának kell lenniük, ahol az engedélyeket beállítja.A hitelesítő adatok változójának létrehozásához használja a következőt:
$credential = Get-Credential
Az Active Directory-engedélyek felhőkiépítési ügynökhöz való beállításához használja az alábbi parancsmagot. Ez engedélyeket ad a tartomány gyökerében, így a szolgáltatásfiók kezelheti helyi Active Directory objektumokat. Az engedélyek beállításával kapcsolatos példákért lásd alább a Set-AADCloudSyncPermissions használatát.
Set-AADCloudSyncPermissions -EACredential $credential
A felhőkiépítési ügynökfiókon alapértelmezés szerint beállított Active Directory-engedélyek korlátozásához használja az alábbi parancsmagot. Ez növeli a szolgáltatásfiók biztonságát az engedélyöröklés letiltásával és az összes meglévő engedély eltávolításával, kivéve a rendszergazdák Standard kiadás LF és teljes hozzáférését. Az engedélyek korlátozására vonatkozó példákért lásd alább a Set-AADCloudSyncRestrictedPermission használatát.
Set-AADCloudSyncRestrictedPermission -Credential $credential
A Set-AADCloudSyncPermissions használata
Set-AADCloudSyncPermissions
A következő engedélytípusokat támogatja, amelyek megegyeznek az Azure AD Csatlakozás Klasszikus szinkronizálás (ADSync) által használt engedélyekkel. A következő engedélytípusok támogatottak:
Engedély típusa | Leírás |
---|---|
BasicRead | A Microsoft Entra Csatlakozás BasicRead-engedélyeinek megtekintése |
PasswordHashSync | Lásd a Microsoft Entra Csatlakozás PasswordHashSync-engedélyeit |
PasswordWriteBack | Lásd: PasswordWriteBack engedélyek a Microsoft Entra Csatlakozás |
HybridExchangePermissions | Lásd: HybridExchangePermissions engedélyek a Microsoft Entra Csatlakozás |
ExchangeMailPublicFolderPermissions | Lásd: ExchangeMailPublicFolderPermissions engedélyek a Microsoft Entra Csatlakozás |
UserGroupCreateDelete | Engedélyek a Microsoft Entra Cloud Sync AD-hez való csoportkiosztásához. Alkalmazza a "Felhasználói objektumok létrehozása/törlése" elemet az "Ez az objektum és az összes leszármazott objektum" beállításra, és alkalmazza a "Csoportobjektumok létrehozása/törlése" elemet az "Ez az objektum és az összes leszármazott objektum" beállításra. |
Mind | A fenti engedélyek alkalmazása |
Az AADCloudSyncPermissions kétféleképpen használható:
Engedélyek megadása az összes konfigurált tartományhoz
Ha minden konfigurált tartományhoz bizonyos engedélyeket ad meg, vállalati rendszergazdai fiók használatára lesz szükség.
$credential = Get-Credential
Set-AADCloudSyncPermissions -PermissionType "Any mentioned above" -EACredential $credential
Engedélyek megadása egy adott tartományhoz
Ha bizonyos engedélyeket ad egy adott tartománynak, akkor a TargetDomainCredential használatához vállalati rendszergazda vagy a céltartomány tartományi rendszergazdája szükséges. A TargetDomain-t már konfigurálni kell a varázslóval.
$credential = Get-Credential
Set-AADCloudSyncPermissions -PermissionType "Any mentioned above" -TargetDomain "FQDN of domain" -TargetDomainCredential $credential
A Set-AADCloudSyncRestrictedPermissions használata
A nagyobb biztonság Set-AADCloudSyncRestrictedPermissions
érdekében meg kell szigorítania magát a felhőkiépítési ügynökfiókon beállított engedélyeket. A felhőkiépítési ügynökfiók engedélyeinek megerősítése a következő módosításokat foglalja magában:
Öröklés letiltása
Távolítsa el az összes alapértelmezett engedélyt, kivéve az Standard kiadás LF-hez tartozó ACL-eket.
Teljes körű vezérlési engedélyek beállítása a SYSTEM, a Rendszergazda istrators, a Tartományi Rendszergazda és a Vállalati Rendszergazda számára.
Olvasási engedélyek beállítása hitelesített felhasználókhoz és vállalati tartományvezérlőkhöz.
A -Credential paraméter szükséges annak a Rendszergazda istrator-fióknak a megadásához, amely rendelkezik a felhőkiépítési ügynökfiók Active Directory-engedélyeinek korlátozásához szükséges jogosultságokkal. Ez általában a tartomány vagy a vállalati rendszergazda.
Például:
$credential = Get-Credential
Set-AADCloudSyncRestrictedPermissions -Credential $credential