Microsoft Entra-inrichtingsagent gMSA PowerShell-cmdlets

Het doel van dit document is om de Microsoft Entra Verbinding maken cloudinrichtingsagent gMSA PowerShell-cmdlets te beschrijven. Met deze cmdlets hebt u meer granulariteit voor de machtigingen die worden toegepast op het serviceaccount (gMSA). Microsoft Entra Cloud Sync past standaard alle machtigingen toe die vergelijkbaar zijn met Microsoft Entra Verbinding maken op de standaard gMSA of een aangepaste gMSA, tijdens de installatie van de cloudinrichtingsagent.

In dit document worden de volgende cmdlets behandeld:

Set-AADCloudSyncPermissions

Set-AADCloudSyncRestrictedPermissions

De cmdlets gebruiken:

Voor het gebruik van deze cmdlets moet aan de volgende voorwaarden worden voldaan.

1. Installeer de inrichtingsagent.

2. Importeer de PowerShell-module inrichtingsagent in een PowerShell-sessie.

   Import-Module "C:\Program Files\Microsoft Azure AD Connect Provisioning Agent\Microsoft.CloudSync.Powershell.dll"
   

3. Voor deze cmdlets is een parameter met de naam Credential vereist die kan worden doorgegeven of de gebruiker op de hoogte stelt als de parameter niet wordt opgegeven in de opdrachtregel. Afhankelijk van de gebruikte cmdlet-syntaxis, moeten deze referenties een ondernemingsbeheerdersaccount zijn of, ten minste, een domeinbeheerder van het doeldomein waar u de machtigingen instelt.

4. Als u een variabele voor referenties wilt maken, gebruikt u:

   $credential = Get-Credential

5. Als u Active Directory-machtigingen wilt instellen voor de cloudinrichtingsagent, kunt u de volgende cmdlet gebruiken. Hiermee verleent u machtigingen in de hoofdmap van het domein, zodat het serviceaccount on-premises Active Directory-objecten kan beheren. Zie Set-AADCloudSyncPermissions gebruiken hieronder voor voorbeelden over het instellen van de machtigingen.

   Set-AADCloudSyncPermissions -EACredential $credential

6. Als u Active Directory-machtigingen wilt beperken die standaard zijn ingesteld voor het account van de cloudinrichtingsagent, kunt u de volgende cmdlet gebruiken. Hierdoor wordt de beveiliging van het serviceaccount verhoogd door de overname van machtigingen uit te schakelen en alle bestaande machtigingen te verwijderen, met uitzondering van SELF en Full Control voor beheerders. Zie Set-AADCloudSyncRestrictedPermission gebruiken hieronder voor voorbeelden over het beperken van de machtigingen.

   Set-AADCloudSyncRestrictedPermission -Credential $credential

Set-AADCloudSyncPermissions gebruiken

Set-AADCloudSyncPermissions ondersteunt de volgende machtigingstypen die identiek zijn aan de machtigingen die worden gebruikt door Azure AD Connect Classic Sync (ADSync). De volgende machtigingstypen worden ondersteund:

Machtigingstype	Beschrijving
BasicRead	Zie BasicRead-machtigingen voor Microsoft Entra-Verbinding maken
PasswordHashSync	Zie De machtigingen voor PasswordHashSync voor Microsoft Entra-Verbinding maken
PasswordWriteBack	Zie PasswordWriteBack-machtigingen voor Microsoft Entra-Verbinding maken
HybridExchangePermissions	Zie Machtigingen voor HybridExchangePermissions voor Microsoft Entra Verbinding maken
ExchangeMailPublicFolderPermissions	Zie Machtigingen voor ExchangeMailPublicFolderPermissions voor Microsoft Entra Verbinding maken
UserGroupCreateDelete	Machtigingen voor de groepsinrichting van Microsoft Entra Cloud Sync voor AD. Hiermee wordt 'Create/delete User objects' toegepast op 'This object and all descendant objects' en 'Create/delete group objects' toegepast op 'This object and all descendant objects'
Alle	Hiermee past u alle bovenstaande machtigingen toe

U kunt AADCloudSyncPermissions op een van de volgende manieren gebruiken:

• Machtigingen verlenen aan alle geconfigureerde domeinen
• Machtigingen verlenen aan een specifiek domein

Machtigingen verlenen aan alle geconfigureerde domeinen

Voor het verlenen van bepaalde machtigingen aan alle geconfigureerde domeinen is het gebruik van een ondernemingsbeheerdersaccount vereist.

$credential = Get-Credential
Set-AADCloudSyncPermissions -PermissionType "Any mentioned above" -EACredential $credential 

Machtigingen verlenen aan een specifiek domein

Voor het verlenen van bepaalde machtigingen aan een specifiek domein is het gebruik van een TargetDomainCredential nodig die ondernemingsbeheerder is of domeinbeheerder van het doeldomein. Het TargetDomain moet al zijn geconfigureerd via de wizard.

$credential = Get-Credential
Set-AADCloudSyncPermissions -PermissionType "Any mentioned above" -TargetDomain "FQDN of domain" -TargetDomainCredential $credential

Set-AADCloudSyncRestrictedPermissions gebruiken

Voor een betere beveiliging scherpt Set-AADCloudSyncRestrictedPermissions de machtigingen aan die zijn ingesteld voor het account van de cloudinrichtingsagent zelf. Het beperken van machtigingen voor het account van de cloudinrichtingsagent omvat de volgende wijzigingen:

• Overname uitschakelen

• Verwijder alle standaardmachtigingen, behalve ACE's die specifiek zijn voor SELF.

• Stel machtigingen voor volledig beheer in voor SYSTEM, Beheerders, Domeinbeheerders en Ondernemingsbeheerders.

• Stel leesmachtigingen in voor geverifieerde gebruikers en ondernemingsdomeincontrollers.

  De parameter -Credential is nodig om het beheerdersaccount op te geven dat de benodigde bevoegdheden heeft om Active Directory-machtigingen voor het account van de cloudinrichtingsagent te beperken. Dit is doorgaans de ondernemings- of domeinbeheerder.

Bijvoorbeeld:

$credential = Get-Credential 
Set-AADCloudSyncRestrictedPermissions -Credential $credential