Share via

Microsoft Entra kiépítési ügynök gMSA PowerShell-parancsmagok

  • Cikk

A dokumentum célja a Microsoft Entra Csatlakozás felhőkiépítési ügynök gMSA PowerShell-parancsmagjainak leírása. Ezekkel a parancsmagokkal részletesebben szabályozhatja a szolgáltatásfiókra (gMSA) alkalmazott engedélyeket. A Microsoft Entra Cloud Sync alapértelmezés szerint az alapértelmezett gMSA-n vagy egyéni gMSA-n a Microsoft Entra Csatlakozás-hez hasonló összes engedélyt alkalmazza a felhőkiépítési ügynök telepítése során.

Ez a dokumentum a következő parancsmagokat ismerteti:

Set-AADCloudSyncPermissions

Set-AADCloudSyncRestrictedPermissions

A parancsmagok használata:

A parancsmagok használatához a következő előfeltételek szükségesek.

  1. Telepítse a kiépítési ügynököt.

  2. Importálja a Kiépítési ügynök PowerShell-modulját egy PowerShell-munkamenetbe.

    Import-Module "C:\Program Files\Microsoft Azure AD Connect Provisioning Agent\Microsoft.CloudSync.Powershell.dll"

  3. Ezek a parancsmagok egy olyan paramétert Credential igényelnek, amely átadható, vagy ha a parancssorban nincs megadva, a felhasználót kéri. A használt parancsmag szintaxisától függően ezeknek a hitelesítő adatoknak vállalati rendszergazdai fióknak vagy legalább annak a céltartománynak a tartományi rendszergazdájának kell lenniük, ahol az engedélyeket beállítja.

  4. A hitelesítő adatok változójának létrehozásához használja a következőt:

    $credential = Get-Credential

  5. Az Active Directory-engedélyek felhőkiépítési ügynökhöz való beállításához használja az alábbi parancsmagot. Ez engedélyeket ad a tartomány gyökerében, így a szolgáltatásfiók kezelheti helyi Active Directory objektumokat. Az engedélyek beállításával kapcsolatos példákért lásd alább a Set-AADCloudSyncPermissions használatát.

    Set-AADCloudSyncPermissions -EACredential $credential

  6. A felhőkiépítési ügynökfiókon alapértelmezés szerint beállított Active Directory-engedélyek korlátozásához használja az alábbi parancsmagot. Ez növeli a szolgáltatásfiók biztonságát az engedélyöröklés letiltásával és az összes meglévő engedély eltávolításával, kivéve a rendszergazdák Standard kiadás LF és teljes hozzáférését. Az engedélyek korlátozására vonatkozó példákért lásd alább a Set-AADCloudSyncRestrictedPermission használatát.

    Set-AADCloudSyncRestrictedPermission -Credential $credential

A Set-AADCloudSyncPermissions használata

Set-AADCloudSyncPermissionsA következő engedélytípusokat támogatja, amelyek megegyeznek az Azure AD Csatlakozás Klasszikus szinkronizálás (ADSync) által használt engedélyekkel. A következő engedélytípusok támogatottak:

Engedély típusa Leírás
BasicRead A Microsoft Entra Csatlakozás BasicRead-engedélyeinek megtekintése
PasswordHashSync Lásd a Microsoft Entra Csatlakozás PasswordHashSync-engedélyeit
PasswordWriteBack Lásd: PasswordWriteBack engedélyek a Microsoft Entra Csatlakozás
HybridExchangePermissions Lásd: HybridExchangePermissions engedélyek a Microsoft Entra Csatlakozás
ExchangeMailPublicFolderPermissions Lásd: ExchangeMailPublicFolderPermissions engedélyek a Microsoft Entra Csatlakozás
UserGroupCreateDelete Engedélyek a Microsoft Entra Cloud Sync AD-hez való csoportkiosztásához. Alkalmazza a "Felhasználói objektumok létrehozása/törlése" elemet az "Ez az objektum és az összes leszármazott objektum" beállításra, és alkalmazza a "Csoportobjektumok létrehozása/törlése" elemet az "Ez az objektum és az összes leszármazott objektum" beállításra.
Mind A fenti engedélyek alkalmazása

Az AADCloudSyncPermissions kétféleképpen használható:

Engedélyek megadása az összes konfigurált tartományhoz

Ha minden konfigurált tartományhoz bizonyos engedélyeket ad meg, vállalati rendszergazdai fiók használatára lesz szükség.

$credential = Get-Credential
Set-AADCloudSyncPermissions -PermissionType "Any mentioned above" -EACredential $credential

Engedélyek megadása egy adott tartományhoz

Ha bizonyos engedélyeket ad egy adott tartománynak, akkor a TargetDomainCredential használatához vállalati rendszergazda vagy a céltartomány tartományi rendszergazdája szükséges. A TargetDomain-t már konfigurálni kell a varázslóval.

$credential = Get-Credential
Set-AADCloudSyncPermissions -PermissionType "Any mentioned above" -TargetDomain "FQDN of domain" -TargetDomainCredential $credential

A Set-AADCloudSyncRestrictedPermissions használata

A nagyobb biztonság Set-AADCloudSyncRestrictedPermissions érdekében meg kell szigorítania magát a felhőkiépítési ügynökfiókon beállított engedélyeket. A felhőkiépítési ügynökfiók engedélyeinek megerősítése a következő módosításokat foglalja magában:

  • Öröklés letiltása

  • Távolítsa el az összes alapértelmezett engedélyt, kivéve az Standard kiadás LF-hez tartozó ACL-eket.

  • Teljes körű vezérlési engedélyek beállítása a SYSTEM, a Rendszergazda istrators, a Tartományi Rendszergazda és a Vállalati Rendszergazda számára.

  • Olvasási engedélyek beállítása hitelesített felhasználókhoz és vállalati tartományvezérlőkhöz.

    A -Credential paraméter szükséges annak a Rendszergazda istrator-fióknak a megadásához, amely rendelkezik a felhőkiépítési ügynökfiók Active Directory-engedélyeinek korlátozásához szükséges jogosultságokkal. Ez általában a tartomány vagy a vállalati rendszergazda.

Például:

$credential = Get-Credential 
Set-AADCloudSyncRestrictedPermissions -Credential $credential