Cmdlet Microsoft Entra provisioning agent gMSA PowerShell
Tujuan dari dokumen ini adalah untuk menjelaskan cmdlet Microsoft Entra Koneksi agen provisi cloud gMSA PowerShell. Cmdlet ini memungkinkan Anda memiliki lebih banyak granularitas pada izin yang diterapkan di akun layanan (gMSA). Secara default, Microsoft Entra Cloud Sync menerapkan semua izin yang mirip dengan Microsoft Entra Koneksi pada gMSA default atau gMSA kustom, selama penginstalan agen provisi cloud.
Dokumen ini akan membahas beberapa cmdlet berikut:
Set-AADCloudSyncPermissions
Set-AADCloudSyncRestrictedPermissions
Cara menggunakan cmdlet:
Prasyarat berikut diperlukan untuk menggunakan cmdlet ini.
Menginstal agen penyediaan.
Impor modul PowerShell Agen Provisi ke dalam sesi PowerShell.
Import-Module "C:\Program Files\Microsoft Azure AD Connect Provisioning Agent\Microsoft.CloudSync.Powershell.dll"Cmdlet ini memerlukan parameter yang disebut
Credentialyang dapat diteruskan, atau akan meminta pengguna jika tidak disediakan di baris perintah. Bergantung pada sintaks cmdlet yang digunakan, kredensial ini harus merupakan akun admin perusahaan atau, minimal, administrator domain dari domain target tempat Anda mengatur izin.Guna membuat variabel untuk kredensial, gunakan:
$credential = Get-CredentialGuna mengatur izin Active Directory untuk agen provisi cloud, Anda bisa menggunakan cmdlet berikut. Cmdlet ini akan memberikan izin di akar domain yang memungkinkan akun layanan mengelola objek Active Directory lokal. Lihat Menggunakan Set-AADCloudSyncPermissions di bawah untuk contoh mengatur izin.
Set-AADCloudSyncPermissions -EACredential $credentialUntuk membatasi izin Active Directory yang ditetapkan secara default pada akun agen provisi cloud, Anda dapat menggunakan cmdlet berikut. Cmdlet ini akan meningkatkan keamanan akun layanan dengan menonaktifkan pewarisan izin dan menghapus semua izin yang ada, kecuali Kontrol MANDIRI dan Kontrol Penuh untuk administrator. Lihat Menggunakan Set-AADCloudSyncRestrictedPermission di bawah untuk contoh pembatasan izin.
Set-AADCloudSyncRestrictedPermission -Credential $credential
Menggunakan Set-AADCloudSyncPermissions
Set-AADCloudSyncPermissions mendukung jenis izin berikut yang identik dengan izin yang digunakan oleh Sinkronisasi Klasik Azure AD Connect (Sinkronisasi AAD). Jenis izin berikut ini didukung:
| Jenis izin | Deskripsi |
|---|---|
| BasicRead | Lihat Izin BasicRead untuk Microsoft Entra Koneksi |
| PasswordHashSync | Lihat Izin PasswordHashSync untuk Microsoft Entra Koneksi |
| PasswordWriteBack | Lihat Izin PasswordWriteBack untuk Microsoft Entra Koneksi |
| HybridExchangePermissions | Lihat Izin HybridExchangePermissions untuk Microsoft Entra Koneksi |
| ExchangeMailPublicFolderPermissions | Lihat Izin ExchangeMailPublicFolderPermissions untuk Microsoft Entra Koneksi |
| UserGroupCreateDelete | Izin untuk Provisi Grup Microsoft Entra Cloud Sync ke AD. Menerapkan 'Buat/hapus objek Pengguna' pada 'Objek ini dan semua objek turunan' dan Menerapkan 'Buat/hapus objek grup' pada 'Objek ini dan semua objek turunan' |
| Semua | Menerapkan semua izin di atas |
Anda dapat menggunakan AADCloudSyncPermissions dengan salah satu dari dua cara berikut:
Memberikan izin untuk semua domain yang dikonfigurasi
Memberikan izin tertentu ke semua domain yang dikonfigurasi akan memerlukan penggunaan akun admin perusahaan.
$credential = Get-Credential
Set-AADCloudSyncPermissions -PermissionType "Any mentioned above" -EACredential $credential
Memberikan izin untuk domain tertentu
Memberikan izin tertentu ke domain tertentu akan memerlukan penggunaan TargetDomainCredential yang merupakan admin perusahaan atau, admin domain dari domain target. TargetDomain harus sudah dikonfigurasi melalui wizard.
$credential = Get-Credential
Set-AADCloudSyncPermissions -PermissionType "Any mentioned above" -TargetDomain "FQDN of domain" -TargetDomainCredential $credential
Menggunakan Set-AADCloudSyncRestrictedPermissions
Untuk peningkatan keamanan, Set-AADCloudSyncRestrictedPermissions akan memperketat izin yang ditetapkan pada akun agen provisi cloud itu sendiri. Izin penguatan pada akun agen provisi cloud melibatkan perubahan berikut:
Menonaktifkan pewarisan
Hapus semua izin default, kecuali ACE khusus untuk Kontrol MANDIRI.
Atur izin Kontrol Penuh untuk SYSTEM, Administrator, Admin Domain, dan Admin Perusahaan.
Atur izin Baca untuk Pengguna Terautentikasi dan Pengontrol Domain Perusahaan.
Parameter -Info Masuk diperlukan untuk menentukan akun Administrator yang memiliki hak istimewa yang diperlukan untuk membatasi izin Active Directory di akun agen penyedia cloud. Akun ini biasanya berupa administrator perusahaan atau domain.
Misalnya:
$credential = Get-Credential
Set-AADCloudSyncRestrictedPermissions -Credential $credential