Microsoft Entra provisioning agent gMSA poleceń cmdlet programu PowerShell
Celem tego dokumentu jest opisanie poleceń cmdlet programu PowerShell usługi Microsoft Entra Połączenie agenta aprowizacji w chmurze. Te polecenia cmdlet umożliwiają uzyskanie większego stopnia szczegółowości uprawnień stosowanych na koncie usługi (gMSA). Domyślnie usługa Microsoft Entra Cloud Sync stosuje wszystkie uprawnienia podobne do microsoft Entra Połączenie w domyślnym gMSA lub niestandardowym gMSA podczas instalowania agenta aprowizacji w chmurze.
Ten dokument zawiera następujące polecenia cmdlet:
Set-AADCloudSyncPermissions
Set-AADCloudSyncRestrictedPermissions
Jak używać poleceń cmdlet:
Do korzystania z tych poleceń cmdlet wymagane są następujące wymagania wstępne.
Instalowanie agenta aprowizacji.
Zaimportuj moduł PowerShell agenta aprowizacji do sesji programu PowerShell.
Import-Module "C:\Program Files\Microsoft Azure AD Connect Provisioning Agent\Microsoft.CloudSync.Powershell.dll"Te polecenia cmdlet wymagają parametru o nazwie
Credential, który można przekazać, lub wyświetli monit użytkownika, jeśli nie zostanie podany w wierszu polecenia. W zależności od używanej składni polecenia cmdlet te poświadczenia muszą być kontem administratora przedsiębiorstwa lub co najmniej administratorem domeny docelowej, w której ustawiasz uprawnienia.Aby utworzyć zmienną dla poświadczeń, użyj:
$credential = Get-CredentialAby ustawić uprawnienia usługi Active Directory dla agenta aprowizacji w chmurze, możesz użyć następującego polecenia cmdlet. Spowoduje to przyznanie uprawnień w katalogu głównym domeny umożliwiającej konto usługi zarządzanie obiektami lokalna usługa Active Directory. Zobacz Używanie polecenia Set-AADCloudSyncPermissions poniżej, aby zapoznać się z przykładami dotyczącymi ustawiania uprawnień.
Set-AADCloudSyncPermissions -EACredential $credentialAby ograniczyć uprawnienia usługi Active Directory ustawione domyślnie na koncie agenta aprowizacji w chmurze, możesz użyć następującego polecenia cmdlet. Zwiększy to bezpieczeństwo konta usługi, wyłączając dziedziczenie uprawnień i usuwając wszystkie istniejące uprawnienia, z wyjątkiem samodzielnej i pełnej kontroli dla administratorów. Zobacz Używanie polecenia Set-AADCloudSyncRestrictedPermission poniżej, aby zapoznać się z przykładami dotyczącymi ograniczania uprawnień.
Set-AADCloudSyncRestrictedPermission -Credential $credential
Korzystanie z polecenia Set-AADCloudSyncPermissions
Set-AADCloudSyncPermissionsobsługuje następujące typy uprawnień, które są identyczne z uprawnieniami używanymi przez usługę Azure AD Połączenie Classic Sync (ADSync). Obsługiwane są następujące typy uprawnień:
| Typ uprawnienia | opis |
|---|---|
| BasicRead | Zobacz Uprawnienia BasicRead dla usługi Microsoft Entra Połączenie |
| PasswordHashSync | Zobacz PasswordHashSync permissions for Microsoft Entra Połączenie (Uprawnienia passwordHashSync dla usługi Microsoft Entra Połączenie |
| PasswordWriteBack | Zobacz PasswordWriteBack permissions for Microsoft Entra Połączenie (Uprawnienia PasswordWriteBack dla Połączenie firmy Microsoft) |
| HybridExchangePermissions | Zobacz Uprawnienia hybridExchangePermissions dla usługi Microsoft Entra Połączenie |
| ExchangeMailPublicFolderPermissions | Zobacz ExchangeMailPublicFolderPermissions permissions for Microsoft Entra Połączenie |
| UserGroupCreateDelete | Uprawnienia do aprowizacji grupy usługi Microsoft Entra Cloud Sync w usłudze AD. Stosuje obiekt "Tworzenie/usuwanie obiektów użytkownika" w obiekcie "Ten obiekt i wszystkie obiekty podrzędne" i stosuje obiekty "Utwórz/usuń obiekty grupy" w obiekcie "Ten obiekt i wszystkie obiekty potomne" |
| wszystkie | Stosuje wszystkie powyższe uprawnienia |
Możesz użyć narzędzia AADCloudSyncPermissions na jeden z dwóch sposobów:
Udzielanie uprawnień wszystkim skonfigurowanym domenom
Przyznanie pewnych uprawnień do wszystkich skonfigurowanych domen będzie wymagać użycia konta administratora przedsiębiorstwa.
$credential = Get-Credential
Set-AADCloudSyncPermissions -PermissionType "Any mentioned above" -EACredential $credential
Udzielanie uprawnień do określonej domeny
Udzielenie pewnych uprawnień do określonej domeny będzie wymagać użycia obiektu TargetDomainCredential, który jest administratorem przedsiębiorstwa lub administratorem domeny docelowej. Domena docelowa musi być już skonfigurowana za pomocą kreatora.
$credential = Get-Credential
Set-AADCloudSyncPermissions -PermissionType "Any mentioned above" -TargetDomain "FQDN of domain" -TargetDomainCredential $credential
Korzystanie z polecenia Set-AADCloudSyncRestrictedPermissions
Aby zwiększyć bezpieczeństwo, Set-AADCloudSyncRestrictedPermissions zaostrzy uprawnienia ustawione na samym koncie agenta aprowizacji w chmurze. Wzmocnienie uprawnień na koncie agenta aprowizacji w chmurze obejmuje następujące zmiany:
Wyłączanie dziedziczenia
Usuń wszystkie uprawnienia domyślne, z wyjątkiem ACL specyficznych dla SIEBIE.
Ustaw uprawnienia Pełna kontrola dla systemów, Administracja istratorów, Administracja domen i Administracja przedsiębiorstwa.
Ustaw uprawnienia do odczytu dla uwierzytelnionych użytkowników i kontrolerów domeny przedsiębiorstwa.
Parametr -Credential jest niezbędny do określenia konta Administracja istrator, które ma niezbędne uprawnienia do ograniczenia uprawnień usługi Active Directory na koncie agenta aprowizacji w chmurze. Zazwyczaj jest to domena lub administrator przedsiębiorstwa.
Na przykład:
$credential = Get-Credential
Set-AADCloudSyncRestrictedPermissions -Credential $credential