Cmdlets do agente de provisionamento do Microsoft Entra gMSA PowerShell

O objetivo deste documento é descrever os cmdlets do agente de provisionamento de nuvem do Microsoft Entra Connect gMSA PowerShell. Estes cmdlets permitem-lhe ter mais granularidade nas permissões que são aplicadas à conta de serviço (gMSA). Por padrão, o Microsoft Entra Cloud Sync aplica todas as permissões semelhantes ao Microsoft Entra Connect no gMSA padrão ou em um gMSA personalizado, durante a instalação do agente de provisionamento de nuvem.

Este documento abordará os seguintes cmdlets:

Set-AADCloudSyncPermissions

Set-AADCloudSyncRestrictedPermissions

Como usar os cmdlets:

Os pré-requisitos a seguir são necessários para usar esses cmdlets.

1. Instale o agente de provisionamento.

2. Importe o módulo PowerShell do Agente de Provisionamento para uma sessão do PowerShell.

   Import-Module "C:\Program Files\Microsoft Azure AD Connect Provisioning Agent\Microsoft.CloudSync.Powershell.dll"
   

3. Esses cmdlets exigem um parâmetro chamado Credential que pode ser passado ou solicitarão ao usuário se não forem fornecidos na linha de comando. Dependendo da sintaxe do cmdlet usada, essas credenciais devem ser uma conta de administrador corporativo ou, no mínimo, um administrador de domínio do domínio de destino onde você está definindo as permissões.

4. Para criar uma variável para credenciais, use:

   $credential = Get-Credential

5. Para definir permissões do Ative Directory para o agente de provisionamento de nuvem, você pode usar o cmdlet a seguir. Isso concederá permissões na raiz do domínio, permitindo que a conta de serviço gerencie objetos do Ative Directory local. Consulte Usando Set-AADCloudSyncPermissions abaixo para obter exemplos sobre como definir as permissões.

   Set-AADCloudSyncPermissions -EACredential $credential

6. Para restringir as permissões do Ative Directory definidas por padrão na conta do agente de provisionamento de nuvem, você pode usar o cmdlet a seguir. Isso aumentará a segurança da conta de serviço, desativando a herança de permissões e removendo todas as permissões existentes, exceto SELF e Controle Total para administradores. Consulte Usando Set-AADCloudSyncRestrictedPermission abaixo para obter exemplos sobre como restringir as permissões.

   Set-AADCloudSyncRestrictedPermission -Credential $credential

Usando Set-AADCloudSyncPermissions

Set-AADCloudSyncPermissions dá suporte aos seguintes tipos de permissão, que são idênticos às permissões usadas pelo Azure AD Connect Classic Sync (ADSync). Os seguintes tipos de permissão são suportados:

Tipo de permissão	Description
BásicoLer	Consulte Permissões BasicRead para o Microsoft Entra Connect
SenhaHashSync	Consulte Permissões PasswordHashSync para o Microsoft Entra Connect
PasswordWriteBack	Consulte Permissões PasswordWriteBack para o Microsoft Entra Connect
HybridExchangePermissions	Consulte Permissões HybridExchangePermissions para o Microsoft Entra Connect
ExchangeMailPublicFolderPermissions	Consulte ExchangeMailPublicFolderPermissions permissões para o Microsoft Entra Connect
UserGroupCreateDelete	Permissões para o Microsoft Entra Cloud Sync's Group Provision to AD. Aplica 'Criar/excluir objetos de usuário' em 'Este objeto e todos os objetos descendentes' e Aplica 'Criar/excluir objetos de grupo' em 'Este objeto e todos os objetos descendentes'
Todos	Aplica todas as permissões acima

Você pode usar AADCloudSyncPermissions de duas maneiras:

• Conceder permissões a todos os domínios configurados
• Conceder permissões a um domínio específico

Conceder permissões a todos os domínios configurados

A concessão de determinadas permissões a todos os domínios configurados exigirá o uso de uma conta de administrador empresarial.

$credential = Get-Credential
Set-AADCloudSyncPermissions -PermissionType "Any mentioned above" -EACredential $credential 

Conceder permissões a um domínio específico

A concessão de determinadas permissões a um domínio específico exigirá o uso de um TargetDomainCredential que seja administrador da empresa ou administrador do domínio de destino. O TargetDomain já deve estar configurado através do assistente.

$credential = Get-Credential
Set-AADCloudSyncPermissions -PermissionType "Any mentioned above" -TargetDomain "FQDN of domain" -TargetDomainCredential $credential

Usando Set-AADCloudSyncRestrictedPermissions

Para maior segurança, Set-AADCloudSyncRestrictedPermissions apertará as permissões definidas na própria conta do agente de provisionamento de nuvem. A proteção de permissões na conta do agente de provisionamento de nuvem envolve as seguintes alterações:

• Desativar herança

• Remova todas as permissões padrão, exceto ACEs específicas para SELF.

• Defina permissões de Controle Total para SISTEMA, Administradores, Administradores de Domínio e Administradores Corporativos.

• Defina permissões de leitura para usuários autenticados e controladores de domínio corporativos.

  O parâmetro -Credential é necessário para especificar a conta de Administrador que tem os privilégios necessários para restringir as permissões do Ative Directory na conta do agente de provisionamento de nuvem. Normalmente, trata-se do administrador do domínio ou da empresa.

Por Exemplo:

$credential = Get-Credential 
Set-AADCloudSyncRestrictedPermissions -Credential $credential  

Passos Seguintes

• Compreender as Contas de Serviço Gerido de grupo
• Compreender as contas gMSA com sincronização na nuvem