다음을 통해 공유


Microsoft Entra 프로비저닝 에이전트 gMSA PowerShell cmdlet

본 문서의 목적은 Microsoft Entra Connect 클라우드 프로비저닝 에이전트 gMSA PowerShell cmdlets에 대해 설명하는 것입니다. 이 cmdlets를 사용함으로써 서비스 계정(gMSA)에 적용되는 권한에 대한 세분성을 더욱 확보할 수 있습니다. 기본적으로 Microsoft Entra 클라우드 동기화는 클라우드 프로비전 에이전트를 설치하는 동안 기본 gMSA 또는 사용자 지정 gMSA에서 Microsoft Entra Connect와 비슷한 모든 권한을 적용합니다.

본 문서에서 다루는 cmdlets는 다음과 같습니다.

Set-AADCloudSyncPermissions

Set-AADCloudSyncRestrictedPermissions

cmdlets 사용 방법

이러한 cmdlets 사용을 위해서는 다음 필수 구성 요소가 필요합니다.

  1. 프로비저닝 에이전트를 설치합니다.

  2. 프로비저닝 에이전트 PowerShell 모듈을 PowerShell 세션에 가져옵니다.

    Import-Module "C:\Program Files\Microsoft Azure AD Connect Provisioning Agent\Microsoft.CloudSync.Powershell.dll"
    
  3. 이러한 cmdlet에는 전달될 수 있는 Credential이라는 매개 변수가 필요하거나 명령줄에 제공되지 않은 경우 사용자에게 메시지가 표시됩니다. 사용되는 cmdlet 구문에 따라 이러한 자격 증명은 엔터프라이즈 관리자 계정이거나 최소한 권한을 설정하는 대상 도메인의 도메인 관리자여야 합니다.

  4. 자격 증명에 대한 변수를 만들려면 다음을 사용합니다.

    $credential = Get-Credential

  5. 클라우드 프로비전 에이전트에 대한 Active Directory 권한을 설정하려면 다음 cmdlet을 사용할 수 있습니다. 이렇게 하면 서비스 계정에서 온-프레미스 Active Directory 개체를 관리할 수 있는 권한이 도메인 루트에 부여됩니다. 권한 설정 예시에 대해서는 아래의 Set-AADCloudSyncPermissions 사용을 참고하세요.

    Set-AADCloudSyncPermissions -EACredential $credential

  6. 클라우드 프로비전 에이전트 계정에서 기본적으로 설정된 Active Directory 권한을 제한하려면 다음 cmdlet을 사용할 수 있습니다. 이렇게 하면 권한 상속을 사용하지 않도록 설정하고 관리자에 대한 SELF 및 모든 권한을 제외한 모든 기존 권한을 제거하여 서비스 계정의 보안이 강화됩니다. 권한 제한에 대한 예제는 아래의 Set-AADCloudSyncRestrictedPermission 사용을 참조하세요.

    Set-AADCloudSyncRestrictedPermission -Credential $credential

Set-AADCloudSyncPermissions 사용

Set-AADCloudSyncPermissions는 Azure AD Connect 클래식 동기화(ADSync)에서 사용하는 권한과 동일한 다음과 같은 권한 유형을 지원합니다. 다음 권한 유형이 지원됩니다.

권한 유형 설명
BasicRead Microsoft Entra Connect에 대한 BasicRead 권한을 참조하세요.
PasswordHashSync Microsoft Entra Connect에 대한 PasswordHashSync 권한을 참조하세요.
PasswordWriteBack Microsoft Entra Connect에 대한 PasswordWriteBack 권한을 참조하세요.
HybridExchangePermissions Microsoft Entra Connect에 대한 HybridExchangePermissions 권한을 참조하세요.
ExchangeMailPublicFolderPermissions Microsoft Entra Connect에 대한 ExchangeMailPublicFolderPermissions 권한을 참조하세요.
UserGroupCreateDelete AD에 대한 Microsoft Entra 클라우드 동기화의 그룹 프로비저닝에 대한 사용 권한입니다. '이 개체 및 모든 하위 개체'에 '사용자 개체 만들기/삭제'를 적용하고 '이 개체 및 모든 하위 개체'에 '그룹 개체 만들기/삭제'를 적용
모두 위의 모든 권한을 적용합니다.

다음 두 가지 중 하나를 선택하면 AADCloudSyncPermissions를 사용할 수 있습니다.

구성된 모든 도메인에 권한 부여

구성된 모든 도메인에 특정 사용 권한을 부여하려면 엔터프라이즈 관리자 계정을 사용해야 합니다.

$credential = Get-Credential
Set-AADCloudSyncPermissions -PermissionType "Any mentioned above" -EACredential $credential 

특정 도메인에 권한 부여

특정 권한을 특정 도메인에 부여하려면 엔터프라이즈 관리자 또는 대상 도메인의 도메인 관리자인 TargetDomainCredential을 사용해야 합니다. TargetDomain은 마법사를 통해 이미 구성되어 있어야 합니다.

$credential = Get-Credential
Set-AADCloudSyncPermissions -PermissionType "Any mentioned above" -TargetDomain "FQDN of domain" -TargetDomainCredential $credential

Set-AADCloudSyncRestrictedPermissions 사용

보안을 강화하기 위해 Set-AADCloudSyncRestrictedPermissions에서 클라우드 프로비전 에이전트 계정 자체에 설정된 권한을 강화합니다. 클라우드 프로비전 에이전트 계정에 대한 권한 강화에 포함되는 변경 내용은 다음과 같습니다.

  • 상속 사용 안 함

  • SELF와 관련된 ACE를 제외한 모든 기본 권한을 제거합니다.

  • SYSTEM, 관리자, 도메인 관리자 및 엔터프라이즈 관리자에 대한 모든 권한을 설정합니다.

  • 인증된 사용자 및 엔터프라이즈 도메인 컨트롤러에 대한 읽기 권한을 설정합니다.

    -Credential 매개 변수는 클라우드 프로비전 에이전트 계정의 Active Directory 권한을 제한하는 데 필요한 권한이 있는 관리자 계정을 지정하는 데 필요합니다. 이는 일반적으로 도메인 또는 엔터프라이즈 관리자입니다.

예를 들면 다음과 같습니다.

$credential = Get-Credential 
Set-AADCloudSyncRestrictedPermissions -Credential $credential  

다음 단계