Командлеты Microsoft Entra provisioning agent gMSA PowerShell

  • Статья

Цель этого документа — описать командлеты Microsoft Entra Подключение агента подготовки облака gMSA PowerShell. Эти командлеты позволяют с большей точностью назначать привилегии, применяемые в учетной записи службы (gMSA). По умолчанию Microsoft Entra Cloud Sync применяет все разрешения, аналогичные Microsoft Entra Подключение по умолчанию gMSA или пользовательской gMSA во время установки агента подготовки облака.

В этом документе рассматриваются следующие командлеты:

Set-AADCloudSyncPermissions

Set-AADCloudSyncRestrictedPermissions

Как использовать командлеты:

Для использования этих командлетов необходимы выполнить следующие предварительные требования.

  1. Установите агент подготовки.

  2. Импорт модуля PowerShell агента подготовки в сеанс PowerShell.

    Import-Module "C:\Program Files\Microsoft Azure AD Connect Provisioning Agent\Microsoft.CloudSync.Powershell.dll"

  3. Для этих командлетов требуется параметр Credential, который можно передать; пользователь может увидеть запрос, если он не указан в командной строке. В зависимости от используемого синтаксиса командлета эти учетные данные должны представлять учетную запись администратора предприятия или, как минимум, администратора домена целевого домена, для которого вы устанавливаете разрешения.

  4. Чтобы создать переменную для учетных данных:

    $credential = Get-Credential

  5. Чтобы установить разрешения Active Directory для агента облачной подготовки, вы можете использовать следующий командлет. Это предоставит разрешения в корне домена, позволяющие учетной записи службы управлять локальными объектами Active Directory. Примеры по заданию прав доступа см. в разделе Использование командлета Set-AADCloudSyncPermissions ниже.

    Set-AADCloudSyncPermissions -EACredential $credential

  6. Чтобы ограничить разрешения Active Directory, установленные по умолчанию для учетной записи агента облачной подготовки, вы можете использовать следующий командлет. Это повысит безопасность учетной записи службы, отключив наследование разрешений и удалив все существующие разрешения, кроме SELF и разрешений полного доступа для администраторов. Примеры ограничения разрешений см. в разделе Использование командлета Set-AADCloudSyncRestrictedPermission ниже.

    Set-AADCloudSyncRestrictedPermission -Credential $credential

Использование командлета Set-AADCloudSyncPermissions

Set-AADCloudSyncPermissions поддерживает следующие типы прав доступа, которые идентичны правам доступа в классической синхронизации Azure AD Connect (ADSync). Поддерживаются следующие типы разрешений:

Тип разрешения Description
BasicRead См. сведения о разрешениях BasicRead для Microsoft Entra Подключение
PasswordHashSync Сведения о разрешениях PasswordHashSync для Microsoft Entra Подключение
PasswordWriteBack Сведения о разрешениях PasswordWriteBack для Microsoft Entra Подключение
HybridExchangePermissions Сведения о разрешениях HybridExchangePermissions для Microsoft Entra Подключение
ExchangeMailPublicFolderPermissions Сведения о разрешениях ExchangeMailPublicFolderPermissions для Microsoft Entra Подключение
UserGroupCreateDelete Разрешения для подготовки группы microsoft Entra Cloud Sync в AD. Применяет "Создание и удаление объектов пользователей" для объекта "Этот объект и все потомки" и применяет "Создание и удаление объектов группы" для объекта "Этот объект и все объекты-потомки".
Все Применяет все выше перечисленные разрешения

Командлет AADCloudSyncPermissions можно использовать одним из двух способов:

Предоставление разрешений для всех настроенных доменов

Для предоставления определенных прав доступа всем настроенным доменам необходимо использовать учетную запись администратора предприятия.

$credential = Get-Credential
Set-AADCloudSyncPermissions -PermissionType "Any mentioned above" -EACredential $credential

Предоставление разрешений для определенного домена

Для предоставления определенных разрешений для определенного домена требуется использовать учетные данные TargetDomainCredential, которые представляют администратора предприятия или администратора домена целевого домена. TargetDomain необходимо заранее настроить с помощью мастера.

$credential = Get-Credential
Set-AADCloudSyncPermissions -PermissionType "Any mentioned above" -TargetDomain "FQDN of domain" -TargetDomainCredential $credential

Использование Set-AADCloudSyncRestrictedPermissions

Для повышения безопасности Set-AADCloudSyncRestrictedPermissions ограничит разрешения, установленные для самой учетной записи агента облачной подготовки. Ограничение разрешений для учетной записи агента облачной подготовки включает следующие изменения:

  • Отключить наследование

  • Удаление всех разрешений по умолчанию, кроме ACE, относящихся к SELF.

  • Установите разрешения на полный доступ для SYSTEM, администраторов, администраторов домена и администраторов предприятия.

  • Установка разрешений на чтение для пользователей, прошедших проверку подлинности, и контроллеров домена предприятия.

    Параметр -Credential требуется для указания учетной записи администратора, которая имеет необходимые привилегии для ограничения разрешений Active Directory для учетной записи агента облачной подготовки. Обычно это администратор домена или предприятия.

Пример:

$credential = Get-Credential 
Set-AADCloudSyncRestrictedPermissions -Credential $credential