Microsoft Entra sağlama aracısı gMSA PowerShell cmdlet'leri
Bu belgenin amacı, Microsoft Entra Connect bulut sağlama aracısı gMSA PowerShell cmdlet'lerini açıklamaktır. Bu cmdlet’ler, hizmet hesabına (gMSA) uygulanan izinler üzerinde daha fazla ayrıntı düzeyine sahip olmanıza olanak sağlar. Varsayılan olarak, Microsoft Entra Cloud Sync, bulut sağlama aracısı yüklemesi sırasında varsayılan gMSA veya özel gMSA'da Microsoft Entra Connect'e benzer tüm izinleri uygular.
Bu belge aşağıdaki cmdlet'leri kapsar:
Set-AADCloudSyncPermissions
Set-AADCloudSyncRestrictedPermissions
Cmdlet'leri kullanma:
Bu cmdlet'leri kullanmak için aşağıdaki önkoşullar gereklidir.
Sağlama aracısını yükleyin.
Sağlama Aracısı PowerShell modülünü Bir PowerShell oturumuna aktarın.
Import-Module "C:\Program Files\Microsoft Azure AD Connect Provisioning Agent\Microsoft.CloudSync.Powershell.dll"Bu cmdlet'ler geçirilebilen adlı
Credentialbir parametre gerektirir veya komut satırında sağlanmadıysa kullanıcıya sorar. Kullanılan cmdlet söz dizimine bağlı olarak, bu kimlik bilgileri bir kurumsal yönetici hesabı veya en azından izinleri ayarladığınız hedef etki alanının etki alanı yöneticisi olmalıdır.Kimlik bilgilerine yönelik bir değişken oluşturmak için şunu kullanın:
$credential = Get-CredentialBulut sağlama aracısı için Active Directory izinlerini ayarlamak için aşağıdaki cmdlet'i kullanabilirsiniz. Bu, hizmet hesabının şirket içi Active Directory nesneleri yönetmesine izin veren etki alanının kökünde izinler verir. İzinleri ayarlama örnekleri için aşağıdaki Set-AADCloudSyncPermissions kullanma bölümüne bakın.
Set-AADCloudSyncPermissions -EACredential $credentialBulut sağlama aracısı hesabında varsayılan olarak ayarlanan Active Directory izinlerini kısıtlamak için aşağıdaki cmdlet'i kullanabilirsiniz. Bu, izin devralmayı devre dışı bırakarak ve yöneticiler için SELF ve Tam Denetim dışında tüm mevcut izinleri kaldırarak hizmet hesabının güvenliğini artırır. İzinleri kısıtlama örnekleri için aşağıdaki Set-AADCloudSyncRestrictedPermission kullanma bölümüne bakın.
Set-AADCloudSyncRestrictedPermission -Credential $credential
Set-AADCloudSyncPermissions Kullanma
Set-AADCloudSyncPermissions , Azure AD Connect Klasik Eşitleme (ADSync) tarafından kullanılan izinlerle aynı olan aşağıdaki izin türlerini destekler. Aşağıdaki izin türleri desteklenir:
| İzin türü | Açıklama |
|---|---|
| BasicRead | Bkz. Microsoft Entra Connect için BasicRead izinleri |
| PasswordHashSync | Bkz. Microsoft Entra Connect için PasswordHashSync izinleri |
| PasswordWriteBack | Bkz. Microsoft Entra Connect için PasswordWriteBack izinleri |
| HybridExchangePermissions | Bkz . Microsoft Entra Connect için HybridExchangePermissions izinleri |
| ExchangeMailPublicFolderPermissions | Bkz . Microsoft Entra Connect için ExchangeMailPublicFolderPermissions izinleri |
| UserGroupCreateDelete | Microsoft Entra Cloud Sync'in AD'ye Grup Sağlama izinleri. 'Bu nesne ve tüm alt nesneler' üzerinde 'Kullanıcı nesneleri oluştur/sil' uygular ve 'Bu nesne ve tüm alt nesneler' üzerine 'Grup nesneleri oluştur/sil' uygular |
| Tümünü | Yukarıdaki tüm izinleri uygular |
AADCloudSyncPermissions'ı iki yoldan biriyle kullanabilirsiniz:
Yapılandırılmış tüm etki alanlarına izin verme
Yapılandırılan tüm etki alanlarına belirli izinler vermek için kurumsal yönetici hesabının kullanılması gerekir.
$credential = Get-Credential
Set-AADCloudSyncPermissions -PermissionType "Any mentioned above" -EACredential $credential
Belirli bir etki alanına izin verme
Belirli bir etki alanına belirli izinler vermek için kuruluş yöneticisi veya hedef etki alanının etki alanı yöneticisi olan bir TargetDomainCredential kullanılması gerekir. TargetDomain'in sihirbaz aracılığıyla zaten yapılandırılmış olması gerekir.
$credential = Get-Credential
Set-AADCloudSyncPermissions -PermissionType "Any mentioned above" -TargetDomain "FQDN of domain" -TargetDomainCredential $credential
Set-AADCloudSyncRestrictedPermissions Kullanma
Daha fazla güvenlik için, Set-AADCloudSyncRestrictedPermissions bulut sağlama aracısı hesabında ayarlanan izinleri sıkılaştırır. Bulut sağlama aracısı hesabındaki sağlamlaştırma izinleri aşağıdaki değişiklikleri içerir:
Devralmayı devre dışı bırakma
SELF'e özgü ACL'ler dışında tüm varsayılan izinleri kaldırın.
SYSTEM, Administrators, Domain Admins ve Enterprise Admins için Tam Denetim izinlerini ayarlayın.
Kimliği Doğrulanmış Kullanıcılar ve Kurumsal Etki Alanı Denetleyicileri için Okuma izinlerini ayarlayın.
-Credential parametresi, bulut sağlama aracısı hesabında Active Directory izinlerini kısıtlamak için gerekli ayrıcalıklara sahip Yönetici hesabını belirtmek için gereklidir. Bu genellikle etki alanı veya kuruluş yöneticisidir.
Örneğin:
$credential = Get-Credential
Set-AADCloudSyncRestrictedPermissions -Credential $credential