Compartilhar via

Cmdlets do PowerShell do agente de provisionamento gMSA do Microsoft Entra

  • Artigo

A finalidade deste documento é descrever os cmdlets do PowerShell do agente de provisionamento gMSA de nuvem do Microsoft Entra Connect. Esses cmdlets permitem que você tenha mais granularidade nas permissões que são aplicadas na conta de serviço (gMSA). Por padrão, a Sincronização de Nuvem do Microsoft Entra aplica todas as permissões semelhantes ao Microsoft Entra Connect no gMSA padrão ou em uma gMSA personalizada durante a instalação do agente de provisionamento de nuvem.

Este documento abordará os seguintes cmdlets:

Set-AADCloudSyncPermissions

Set-AADCloudSyncRestrictedPermissions

Como usar os cmdlets:

Os pré-requisitos a seguir são necessários para usar esses cmdlets.

  1. Instale o agente de provisionamento.

  2. Importe o módulo do PowerShell do Agente de Provisionamento para uma sessão do PowerShell.

    Import-Module "C:\Program Files\Microsoft Azure AD Connect Provisioning Agent\Microsoft.CloudSync.Powershell.dll"

  3. Esses cmdlets exigem um parâmetro chamado Credential que pode ser passado ou será solicitado ao usuário se não for fornecido na linha de comando. Dependendo da sintaxe de cmdlet usada, essas credenciais devem ser uma conta do admin corporativo ou, no mínimo, um administrador de domínio do domínio de destino em que você está definindo as permissões.

  4. Para criar uma variável para credenciais, use:

    $credential = Get-Credential

  5. Para definir permissões do Active Directory para o agente de provisionamento de nuvem, você pode usar o cmdlet a seguir. Isso concederá permissões na raiz do domínio, permitindo que a conta de serviço gerencie objetos do Active Directory local. Confira Usar Set-AADCloudSyncPermissions abaixo para obter exemplos de como definir as permissões.

    Set-AADCloudSyncPermissions -EACredential $credential

  6. Para restringir permissões do Active Directory definidas por padrão na conta do agente de provisionamento de nuvem, você pode usar o cmdlet a seguir. Isso aumentará a segurança da conta de serviço desabilitando a herança de permissão e removendo todas as permissões existentes, exceto SELF e Controle Total para administradores. Confira Usar Set-AADCloudSyncRestrictedPermission abaixo para obter exemplos de como definir as permissões.

    Set-AADCloudSyncRestrictedPermission -Credential $credential

Usar Set-AADCloudSyncPermissions

Set-AADCloudSyncPermissions dá suporte aos tipos de permissão a seguir, que são idênticos às permissões usadas pelo Azure AD Connect Classic Sync (ADSync). Os seguintes tipos de permissão têm suporte:

Tipo de permissão Descrição
BasicRead Consulte Permissões BasicRead para o Microsoft Entra Connect
PasswordHashSync Consulte Permissões PasswordHashSync para o Microsoft Entra Connect
PasswordWriteBack Consulte Permissões PasswordWriteBack para o Microsoft Entra Connect
HybridExchangePermissions Consulte Permissões HybridExchangePermissions para o Microsoft Entra Connect
ExchangeMailPublicFolderPermissions Consulte Permissões ExchangeMailPublicFolderPermissions para o Microsoft Entra Connect
UserGroupCreateDelete Permissões para o Provisionamento de Grupo do Microsoft Entra Cloud Sync para o AD. Aplica "Criar/excluir objetos de usuário" em "Nesse objeto e em todos os objetos descendentes" e aplica "Criar/excluir objetos de grupo"em "Nesse objeto e em todos os objetos descendentes"
Tudo Aplica todas as permissões acima

Você pode usar AADCloudSyncPermissions de uma destas duas maneiras:

Conceder permissões a todos os domínios configurados

A concessão de determinadas permissões a todos os domínios configurados exigirá o uso de uma conta de administrador corporativo.

$credential = Get-Credential
Set-AADCloudSyncPermissions -PermissionType "Any mentioned above" -EACredential $credential

Conceder permissões a um domínio específico

Conceder determinadas permissões a um domínio específico exigirá o uso de um TargetDomainCredential que seja admin corporativo ou administrador de domínio do domínio de destino. O TargetDomain já precisa estar configurado por meio do assistente.

$credential = Get-Credential
Set-AADCloudSyncPermissions -PermissionType "Any mentioned above" -TargetDomain "FQDN of domain" -TargetDomainCredential $credential

Usar Set-AADCloudSyncRestrictedPermissions

Para aumentar a segurança, Set-AADCloudSyncRestrictedPermissions enrijecerá as permissões definidas na própria conta do agente de provisionamento de nuvem. Enrijecer as permissões na conta do agente de provisionamento de nuvem envolve as seguintes alterações:

  • Desabilitar herança

  • Remova todas as permissões padrão, exceto ACEs específicas de SELF.

  • Defina permissões de Controle Total para SYSTEM, Administradores, Administradores de Domínio e Administradores Corporativos.

  • Defina permissões de leitura para usuários autenticados e controladores de domínio corporativo.

    O parâmetro de credenciamento é necessário para especificar a conta de administrador que tem os privilégios necessários para restringir as permissões do Active Directory na conta do agente de provisionamento da nuvem. Normalmente, ele é o administrador corporativo ou de domínio.

Por exemplo:

$credential = Get-Credential 
Set-AADCloudSyncRestrictedPermissions -Credential $credential