evento
29/04, 14 - 30/04, 19
Junte-se ao melhor evento virtual do Windows Server de 29 a 30 de abril para sessões técnicas aprofundadas e perguntas e respostas ao vivo com engenheiros da Microsoft.
Registe-se jáDelegar acesso do PowerShell commandlet do AD FS para usuários não administradores
Por padrão, somente os administradores do AD FS podem executar a administração do AD FS por meio do PowerShell. Para muitas organizações de grande porte, esse pode não ser um modelo operacional viável ao lidar com outras personas, como uma equipe de suporte técnico.
Com a JEA (Administração Just Enough), os clientes agora podem delegar permissões para commandlets específicos a diferentes grupos de funcionários.
Um bom exemplo desse caso de uso é permitir que o pessoal do suporte técnico consulte o status de bloqueio da conta do AD FS e redefina o estado de bloqueio da conta no AD FS depois que um usuário for verificado. Nesse caso, os commandlets que precisariam ser delegados são:
Get-ADFSAccountActivitySet-ADFSAccountActivityReset-ADFSAccountLockout
Usamos este exemplo no restante deste documento. No entanto, você pode personalizar isso para também permitir que a delegação defina propriedades de terceiras partes confiáveis e entregue isso aos proprietários de aplicativos na organização.
- Criar uma Conta de Serviço Gerenciado de Grupo. A conta gMSA é usada para permitir que o usuário JEA acesse recursos de rede como outros computadores ou serviços Web. Ela fornece uma identidade de domínio que pode ser usada para autenticar para recursos em qualquer computador no domínio. A conta gMSA recebe os direitos administrativos necessários posteriormente na configuração. Neste exemplo, chamamos a conta de gMSAContoso.
- A criação de um grupo do Active Directory pode ser preenchida com usuários que precisam receber os direitos dos comandos delegados. Neste exemplo, o pessoal do suporte técnico recebe permissões para ler, atualizar e redefinir o estado de bloqueio do AD FS. Nos referimos a esse grupo em todo o exemplo como JEAContoso.
Crie uma conta de serviço que tenha direitos administrativos para os servidores do AD FS. Isso pode ser executado no controlador de domínio ou remotamente, desde que o pacote AD RSAT esteja instalado. A conta de serviço deve ser criada na mesma floresta que o servidor do AD FS.
Modifique os valores de exemplo para a configuração do farm.
PowerShell
# This command should only be run if this is the first time gMSA accounts are enabled in the forest
Add-KdsRootKey -EffectiveTime ((get-date).addhours(-10))
# Run this on every node that you want to have JEA configured on
$adfsServer = Get-ADComputer server01.contoso.com
# Run targeted at domain controller
$serviceaccount = New-ADServiceAccount gMSAcontoso -DNSHostName <FQDN of the domain containing the KDS key> -PrincipalsAllowedToRetrieveManagedPassword $adfsServer –passthru
# Run this on every node
Add-ADComputerServiceAccount -Identity server01.contoso.com -ServiceAccount $ServiceAccount
Instale a conta gMSA no servidor do AD FS. Isso precisa ser executado em todos os nós do AD FS no farm.
PowerShell
Install-ADServiceAccount gMSAcontoso
Se o farm estiver usando a administração delegada, conceda os direitos de administrador da conta gMSA adicionando-o ao grupo existente com acesso de administrador delegado.
Se o farm não estiver usando a administração delegada, conceda os direitos de administrador da conta gMSA tornando-a o grupo de administração local em todos os servidores do AD FS.
No servidor do AD FS, crie a função JEA em um arquivo de bloco de notas. As instruções para criar a função são fornecidas em recursos de função JEA.
Os commandlets delegados neste exemplo são Reset-AdfsAccountLockout, Get-ADFSAccountActivity, and Set-ADFSAccountActivity.
Função JEA de exemplo delegando acesso de commandlets 'Reset-ADFSAccountLockout', 'Get-ADFSAccountActivity' e 'Set-ADFSAccountActivity':
PowerShell
@{
GUID = 'b35d3985-9063-4de5-81f8-241be1f56b52'
ModulesToImport = 'adfs'
VisibleCmdlets = 'Reset-AdfsAccountLockout', 'Get-ADFSAccountActivity', 'Set-ADFSAccountActivity'
}
Siga as instruções para criar o arquivo de configuração de sessão JEA. O arquivo de configuração determina quem pode usar o ponto de extremidade JEA e quais recursos eles podem acessar.
Os recursos de função são referenciados pelo nome simples (nome sem a extensão) do arquivo de capacidade de função. Se várias capacidades de função estiverem disponíveis no sistema com o mesmo nome simples, o PowerShell usará sua ordem de pesquisa implícita para selecionar o arquivo de capacidade de função efetivo. Ele não fornece acesso a todos os arquivos de capacidade de função com o mesmo nome.
Para especificar um Arquivo de Capacidade de Função com um caminho, use o argumento RoleCapabilityFiles. Para uma subpasta, o JEA procura módulos válidos do PowerShell que contêm uma subpasta RoleCapabilities, em que o argumento RoleCapabilityFiles deve ser modificado para RoleCapabilities.
Arquivo de configuração de sessão de exemplo:
PowerShell
@{
SchemaVersion = '2.0.0.0'
GUID = '54c8d41b-6425-46ac-a2eb-8c0184d9c6e6'
SessionType = 'RestrictedRemoteServer'
GroupManagedServiceAccount = 'CONTOSO\gMSAcontoso'
RoleDefinitions = @{ JEAcontoso = @{ RoleCapabilityFiles = 'C:\Program Files\WindowsPowershell\Modules\AccountActivityJEA\RoleCapabilities\JEAAccountActivityResetRole.psrc' } }
}
Salve o arquivo de configuração de sessão.
É recomendável testar o arquivo de configuração de sessão caso você tenha editado o arquivo pssc manualmente usando um editor de texto, a fim de garantir que a sintaxe está correta. Se um arquivo de configuração de sessão não passar nesse teste, ele não será registrado com êxito no sistema.
Instalar a configuração de sessão JEA no servidor do AD FS
PowerShell
Register-PSSessionConfiguration -Path .\JEASessionConfig.pssc -name "AccountActivityAdministration" -force
Depois de configurado, o registro em log e a auditoria JEA podem ser usados para determinar se os usuários corretos têm acesso ao ponto de extremidade JEA.
Para usar os comandos delegados:
PowerShell
Enter-pssession -ComputerName server01.contoso.com -ConfigurationName "AccountActivityAdministration" -Credential <User Using JEA>
Get-AdfsAccountActivity <User>
Recursos adicionais
Formação
Módulo
Apenas administração suficiente no Windows Server - Training
Simplifique a administração de seus ambientes Windows Server com Just Enough Administration (JEA). Limite as operações privilegiadas a um conjunto de cmdlets, parâmetros e variáveis do PowerShell especificados e limite quais usuários podem se conectar aos pontos de extremidade JEA. Restrinja o nível de privilégio que esses usuários têm ao executar tarefas administrativas.
Certificação
Certificado pela Microsoft: Associado de Administrador de Identidade e Acesso - Certifications
Demonstre os recursos do Microsoft Entra ID para modernizar soluções de identidade, implementar soluções híbridas e implementar governança de identidade.
Documentação
-
Políticas de controle de acesso no AD FS para o Windows Server 2016
Saiba mais sobre: políticas de controle de acesso no AD FS para Windows Server 2016
-
Proteção contra ataques de senha do AD FS
Este documento descreve como proteger usuários do AD FS contra ataques de senha
-
Configurar a proteção de bloqueio suave Extranet do AD FS
Saiba mais sobre como configurar a proteção de Bloqueio suave extranet do AD FS