Microsoft Entra 佈建代理程式 gMSA PowerShell Cmdlet
本文件的目的是要說明 Microsoft Entra Connect 雲端佈建代理程式 gMSA PowerShell Cmdlet。 這些 Cmdlet 可讓您對服務帳戶 (gMSA) 上套用的權限有更多的細微性。 根據預設,在安裝雲端佈建代理程式期間,Microsoft Entra Cloud Sync 會套用類似於預設 gMSA 或自訂 gMSA 上 Microsoft Entra Connect 的所有權限。
本文件涵蓋下列 cmdlet:
Set-AADCloudSyncPermissions
Set-AADCloudSyncRestrictedPermissions
如何使用 Cmdlet:
使用這些 Cmdlet 需要下列必要條件。
安裝佈建代理程式。
將佈建代理程式 PowerShell 模組匯入至 PowerShell 工作階段。
Import-Module "C:\Program Files\Microsoft Azure AD Connect Provisioning Agent\Microsoft.CloudSync.Powershell.dll"這些 Cmdlet 需要稱為
Credential的參數,才能傳遞,或在命令行中未提供時提示使用者。 根據所使用的 Cmdlet 語法,這些認證必須是企業系統管理員帳戶,或至少是網域管理員 (在您設定權限的目標網域)。若要建立認證的變數,請使用:
$credential = Get-Credential若要設定雲端佈建代理程式的 Active Directory 權限,您可以使用下列 Cmdlet。 這會授與網域根目錄中的許可權,讓服務帳戶能夠管理內部部署 Active Directory 物件。 請參閱下列使用 Set-AADCloudSyncPermissions,以取得設定權限的範例。
Set-AADCloudSyncPermissions -EACredential $credential若要限制在雲端佈建代理程式帳戶上預設的 Active Directory 權限,您可以使用下列 Cmdlet。 這可藉由停用許可權繼承並移除系統管理員的SELF和 Full Control 以外的所有現有許可權來增加服務帳戶安全性。 請參閱下列的使用 Set-AADCloudSyncRestrictedPermission,以此取得限制權限的範例。
Set-AADCloudSyncRestrictedPermission -Credential $credential
Using Set-AADCloudSyncPermissions
Set-AADCloudSyncPermissions 支援下列權限類型,與 Azure AD Connect Classic Sync (ADSync) 所使用的權限相同。 以下是支援的權限類型:
| 權限類型 | 描述 |
|---|---|
| BasicRead | 請參閱 Microsoft Entra Connect 的 BasicRead 權限 |
| PasswordHashSync | 請參閱 Microsoft Entra Connect 的 PasswordHashSync 權限 |
| PasswordWriteBack | 請參閱 Microsoft Entra Connect 的 PasswordWriteBack 權限 |
| HybridExchangePermissions | 請參閱 Microsoft Entra Connect 的 HybridExchangePermissions 權限 |
| ExchangeMailPublicFolderPermissions | 請參閱 Microsoft Entra Connect 的 ExchangeMailPublicFolderPermissions 權限 |
| UserGroupCreateDelete | Microsoft Entra 雲端同步的群組佈建至 AD 的權限。 將 [建立/刪除使用者物件] 套用至 [此物件及所有子系物件],以及將 [建立/刪除群組物件] 套用至 [此物件及所有子系物件] |
| 全部 | 套用上述所有權限 |
您可以透過下列兩種方式之一來使用 AADCloudSyncPermissions:
將權限授與所有已設定的網域
將特定許可權授與所有已設定網域需要使用企業系統管理員帳戶。
$credential = Get-Credential
Set-AADCloudSyncPermissions -PermissionType "Any mentioned above" -EACredential $credential
將權限授與一個特定的網域
將特定權限授予特定網域需要使用具企業管理員或該目標網域的域管理員角色的 TargetDomainCredential。 TargetDomain 必須透過精靈進行設定。
$credential = Get-Credential
Set-AADCloudSyncPermissions -PermissionType "Any mentioned above" -TargetDomain "FQDN of domain" -TargetDomainCredential $credential
使用 Set-AADCloudSyncRestrictedPermissions
為了提高安全性,Set-AADCloudSyncRestrictedPermissions 精簡雲端布建代理程序帳戶本身設定的許可權。 雲端佈建代理程式帳戶的強化權限需要下列變更:
停用繼承
除了 SELF 特有的 ACE 以外,移除所有預設權限。
設定 SYSTEM、管理員、網域管理員和企業管理員的完整控制權限。
設定已驗證使用者和企業網域控制站的讀取權限。
若要指定具有必要權限可限制雲端佈建代理程式帳戶上 Active Directory 權限的系統管理員帳戶,必須要使用 -Credential 參數。 這通常是網域或企業系統管理員。
例如:
$credential = Get-Credential
Set-AADCloudSyncRestrictedPermissions -Credential $credential