Microsoft Entra プロビジョニング エージェント gMSA PowerShell コマンドレット
このドキュメントの目的は、Microsoft Entra Connect クラウド プロビジョニング エージェント gMSA PowerShell コマンドレットの使用方法について説明することです。 これらのコマンドレットを使用すると、サービス アカウント (gMSA) に対して適用されるアクセス許可をより細かく設定できます。 既定では、クラウド プロビジョニング エージェントのインストール中に、Microsoft Entra クラウド同期によって Microsoft Entra Connect に似たすべてのアクセス許可が既定の gMSA またはカスタム gMSA に対して適用されます。
このドキュメントでは、次のコマンドレットについて説明します。
Set-AADCloudSyncPermissions
Set-AADCloudSyncRestrictedPermissions
コマンドレットの使用方法:
これらのコマンドレットを使用するには、次の前提条件があります。
プロビジョニング エージェントをインストールします。
プロビジョニング エージェント PowerShell モジュールを PowerShell セッションにインポートします。
Import-Module "C:\Program Files\Microsoft Azure AD Connect Provisioning Agent\Microsoft.CloudSync.Powershell.dll"これらのコマンドレットには、渡すことができる
Credentialというパラメーターが必要です。コマンド ラインで指定されていない場合は、ユーザーに入力を求めるプロンプトが表示されます。 使用されるコマンドレット構文に応じて、これらの資格情報は、エンタープライズ管理者アカウントであるか、または少なくともアクセス許可を設定しているターゲット ドメインのドメイン管理者である必要があります。資格情報の変数を作成するには、次を使用します。
$credential = Get-Credentialクラウド プロビジョニング エージェント用の Active Directory アクセス許可を設定するには、次のコマンドレットを使用できます。 これにより、ドメインのルートでアクセス許可が付与され、サービス アカウントでオンプレミスの Active Directory オブジェクトを管理できるようになります。 アクセス許可の設定例については、下の「Set-AADCloudSyncPermissions を使用する」を参照してください。
Set-AADCloudSyncPermissions -EACredential $credentialクラウド プロビジョニング エージェント アカウントに対して既定で設定されている Active Directory アクセス許可を制限するには、次のコマンドレットを使用できます。 これにより、アクセス許可の継承を無効にし、管理者の SELF とフル コントロールを除くすべての既存のアクセス許可を削除することで、サービス アカウントのセキュリティが強化されます。 アクセス許可の制限例については、下の「Set-AADCloudSyncRestrictedPermissions を使用する」を参照してください。
Set-AADCloudSyncRestrictedPermission -Credential $credential
Set-AADCloudSyncPermissions を使用する
Set-AADCloudSyncPermissions でサポートされている次のアクセス許可の種類は、AD Connect Classic Sync (ADSync) で使用されるアクセス許可と同じです。 次のアクセス許可の種類がサポートされています。
| アクセス許可の種類 | 説明 |
|---|---|
| BasicRead | Microsoft Entra Connect の BasicRead アクセス許可を参照してください |
| PasswordHashSync | Microsoft Entra Connect の PasswordHashSync アクセス許可を参照してください |
| PasswordWriteBack | Microsoft Entra Connect の PasswordWriteBack アクセス許可を参照してください |
| HybridExchangePermissions | Microsoft Entra Connect の HybridExchangePermissions アクセス許可を参照してください |
| ExchangeMailPublicFolderPermissions | Microsoft Entra Connect の ExchangeMailPublicFolderPermissions アクセス許可を参照してください |
| UserGroupCreateDelete | Microsoft Entra Cloud Sync の AD へのグループ プロビジョニングのアクセス許可。 [このオブジェクトとすべての子オブジェクト] に対して [Create/delete User objects]\(ユーザー オブジェクトの作成または削除\) を適用し、[このオブジェクトとすべての子オブジェクト] に対して [Create/delete group objects]\(グループ オブジェクトの作成または削除\) を適用します |
| すべて | 上のすべてのアクセス許可が適用されます。 |
AADCloudSyncPermissions を次のいずれかの方法で使用できます。
構成されているすべてのドメインにアクセス許可を付与する
構成されているすべてのドメインに特定のアクセス許可を付与する場合は、エンタープライズ管理者アカウントを使用する必要があります。
$credential = Get-Credential
Set-AADCloudSyncPermissions -PermissionType "Any mentioned above" -EACredential $credential
特定のドメインにアクセス許可を付与する
特定のドメインに特定のアクセス許可を付与するには、エンタープライズ管理者またはターゲット ドメインのドメイン管理者である TargetDomainCredential を使用する必要があります。 TargetDomain は、ウィザードを使用して既に構成されている必要があります。
$credential = Get-Credential
Set-AADCloudSyncPermissions -PermissionType "Any mentioned above" -TargetDomain "FQDN of domain" -TargetDomainCredential $credential
Set-AADCloudSyncRestrictedPermissions を使用する
セキュリティを強化するために、Set-AADCloudSyncRestrictedPermissions は、クラウド プロビジョニング エージェント アカウント自体に対して設定されているアクセス許可を厳格化します。 クラウド プロビジョニング エージェント アカウントに対するアクセス許可の厳格化には、次の変更が含まれます。
継承の無効化
SELF に固有の ACE を除くすべての既定のアクセス許可を削除します。
システム管理者、ドメイン管理者、エンタープライズ管理者にフル コントロール アクセス許可を設定します。
認証済みユーザーとエンタープライズ ドメイン コントローラーに読み取りアクセス許可を設定します。
-Credential パラメーターは、クラウド プロビジョニング エージェント アカウントに対する Active Directory のアクセス許可を制限するために必要な特権を持つ、管理者アカウントを指定するために必要です。 これは通常、ドメイン管理者またはエンタープライズ管理者です。
たとえば次のようになります。
$credential = Get-Credential
Set-AADCloudSyncRestrictedPermissions -Credential $credential