gMSA-PowerShell-Cmdlets für den Microsoft Entra-Bereitstellungs-Agent
In diesem Dokument werden die gMSA-PowerShell-Cmdlets für den Agent für die Microsoft Entra Connect-Cloudbereitstellung beschrieben. Diese Cmdlets ermöglichen Ihnen eine feinere Granularität der Berechtigungen, die auf das gruppenverwaltete Dienstkonto (gMSA, group Managed Service Account) angewendet werden. Standardmäßig wendet die Microsoft Entra-Cloudsynchronisierung beim Installieren des Cloudbereitstellungsagenten alle Berechtigungen ähnlich wie Microsoft Entra Connect auf das Standard-gMSA oder ein benutzerdefiniertes gMSA an.
In diesem Dokument werden die folgenden Cmdlets behandelt:
Set-AADCloudSyncPermissions
Set-AADCloudSyncRestrictedPermissions
So verwenden Sie die Cmdlets:
Die folgenden Voraussetzungen müssen erfüllt sein, um diese Cmdlets zu verwenden.
Installieren Sie den Bereitstellungs-Agent.
Importieren Sie das PowerShell-Modul für den Bereitstellungs-Agent in eine PowerShell-Sitzung.
Import-Module "C:\Program Files\Microsoft Azure AD Connect Provisioning Agent\Microsoft.CloudSync.Powershell.dll"Diese Cmdlets erfordern den Parameter „
Credential“, der übergeben werden kann. Sie werden aufgefordert, diesen Parameter einzugeben, wenn er nicht in der Befehlszeile angegeben ist. Abhängig von der verwendeten Cmdlet-Syntax müssen diese Anmeldeinformationen ein Unternehmensadministratorkonto oder zumindest ein Domänenadministrator der Zieldomäne sein, für die Sie die Berechtigungen festlegen.So erstellen Sie eine Variable für Anmeldeinformationen:
$credential = Get-CredentialSie können das folgende Cmdlet verwenden, um Active Directory-Berechtigungen für den Cloudbereitstellungs-Agenten festzulegen. Dadurch werden Berechtigungen im Stamm der Domäne gewährt, über die das Dienstkonto lokale Active Directory Verzeichnisobjekte verwalten kann. Beispiele zum Festlegen der Berechtigungen finden Sie unten unter Verwenden von Set-AADCloudSyncPermissions.
Set-AADCloudSyncPermissions -EACredential $credentialUm Active Directory-Berechtigungen einzuschränken, die standardmäßig auf dem Cloudbereitstellungs-Agent-Konto festgelegt sind, können Sie das folgende Cmdlet verwenden. Dadurch wird die Sicherheit des Dienstkontos durch das Deaktivieren Berechtigungsvererbung erhöht. Außerdem werden alle vorhandenen Berechtigungen entfernt, mit Ausnahme von SELF und vollständigen Zugriffsberechtigungen für Administratoren. Beispiele für das Einschränken der Berechtigungen finden Sie unten unter Verwenden von Set-AADCloudSyncRestrictedPermission.
Set-AADCloudSyncRestrictedPermission -Credential $credential
Verwenden von Set-AADCloudSyncPermissions
Set-AADCloudSyncPermissions unterstützt die folgenden Berechtigungstypen, die mit den von Azure AD Connect Classic Sync (ADSync) verwendeten Berechtigungen identisch sind. Die folgenden Berechtigungstypen werden unterstützt:
| Berechtigungstyp | Beschreibung |
|---|---|
| BasicRead | Siehe BasicRead-Berechtigungen für Microsoft Entra Connect |
| PasswordHashSync | Siehe PasswordHashSync-Berechtigungen für Microsoft Entra Connect |
| PasswordWriteBack | Siehe PasswordWriteBack-Berechtigungen für Microsoft Entra Connect |
| HybridExchangePermissions | Siehe HybridExchangePermissions-Berechtigungen für Microsoft Entra Connect |
| ExchangeMailPublicFolderPermissions | Siehe ExchangeMailPublicFolderPermissions-Berechtigungen für Microsoft Entra Connect |
| UserGroupCreateDelete | Hierbei handelt es sich um Berechtigungen für die Gruppenbereitstellung der Microsoft Entra-Cloudsynchronisierung in AD. Dabei wird „Benutzerobjekte erstellen/löschen“ auf „Dieses und alle untergeordneten Objekte“ sowie „Gruppenobjekte erstellen/löschen“ auf „Dieses und alle untergeordneten Objekte“ angewendet. |
| All | Wendet alle obigen Berechtigungen an. |
Sie können AADCloudSyncPermissions-Berechtigungen auf eine von zwei Arten verwenden:
- Gewähren von Berechtigungen für alle konfigurierten Domänen
- Gewähren von Berechtigungen für eine bestimmte Domäne
Gewähren von Berechtigungen für alle konfigurierten Domänen
Wenn Sie für alle konfigurierten Domänen bestimmte Berechtigungen erteilen, muss ein Unternehmensadministratorkonto verwendet werden.
$credential = Get-Credential
Set-AADCloudSyncPermissions -PermissionType "Any mentioned above" -EACredential $credential
Gewähren von Berechtigungen für eine bestimmte Domäne
Um bestimmte Berechtigungen für eine bestimmte Domäne zu gewähren, müssen Sie sich als Unternehmensadministrator oder Domänenadministrator der Zieldomäne anmelden. Zuvor muss allerdings die Zieldomäne über den Assistenten konfiguriert werden.
$credential = Get-Credential
Set-AADCloudSyncPermissions -PermissionType "Any mentioned above" -TargetDomain "FQDN of domain" -TargetDomainCredential $credential
Verwenden von Set-AADCloudSyncRestrictedPermissions
Für zusätzliche Sicherheit werden die Berechtigungen für das Cloudbereitstellungs-Agent-Konto selbst Set-AADCloudSyncRestrictedPermissions erhöht. Zur Härtung der Berechtigungen für das Cloudbereitstellungs-Agent-Konto nehmen Sie die folgenden Änderungen vor:
Vererbung deaktivieren
Entfernen Sie alle Standardberechtigungen, außer spezielle ACEs für SELF.
Richten Sie uneingeschränkte Zugriffsberechtigungen für SYSTEM, Administratoren, Domänenadministratoren und Enterprise-Administratoren ein.
Legen Sie Leseberechtigungen für authentifizierte Benutzer und Enterprise-Domänencontroller fest.
Über den Parameter „-Credential“ müssen Sie das Administratorkonto angeben, das die erforderlichen Berechtigungen besitzt, um Active Directory-Berechtigungen für das AD-Zielobjekt einzuschränken. Dies ist normalerweise der Unternehmens- oder Domänenadministrator.
Beispiel:
$credential = Get-Credential
Set-AADCloudSyncRestrictedPermissions -Credential $credential