Azure DevOps Serverのサービス アカウントまたはパスワードを変更する

Azure DevOps Server 2022 | Azure DevOps Server 2020 | Azure DevOps Server 2019

Azure DevOps Serverのサービス アカウントまたはそのアカウントに使用されるパスワードを変更することで、Azure DevOps Serverのセキュリティを向上させることができます。 Azure DevOps Serverは、Web サービスや Team Foundation バックグラウンド ジョブ エージェントなどのサービスをサービス アカウントのコンテキストで実行します。

Azure DevOps Serverドキュメントでは、このサービス アカウントを TFSService と呼びますが、具体的にその名前のアカウントを作成しない限り、実際のアカウント名ではありません。 Azure DevOps Serverは、サービス アカウントとして使用される実際のアカウントの名前のレコードを格納します。 このレコードを変更すると、サービス アカウントとして機能する別のアカウントを割り当てることができます。 また、そのアカウントのパスワードを変更することもできます。 アカウントまたはパスワード、あるいは両方を変更してもしなくても、配置内のその他のコンポーネントとの同期は維持されます。 たとえば、Active Directory ドメイン ポリシーですべてのパスワードの有効期限が定期的に切れる必要がある場合は、そのパスワードが変更されたときに、Azure DevOps Serverでサービス アカウントのパスワード情報を更新できます。

注意

Azure DevOps Serverとそのユーティリティは、TFSService として使用する新しいローカルまたはドメイン アカウントを作成できず、ワークグループまたはドメイン内のそのアカウントのパスワードを更新できません。 代わりに、ユーティリティでは、新しい資格情報と一致するように、レコードを更新します。 デプロイに複数のアプリケーション層サーバーが含まれている場合は、サービス アカウントまたはそのパスワードを変更して各サーバーを手動で更新する必要があります。

Azure DevOps Serverのサービス アカウントの詳細については、「Azure DevOps Serverのサービス アカウントと依存関係」を参照してください。 Azure DevOps Serverのサービス アカウントなど、インストールに必要なアカウントの詳細については、「サービス アカウントの要件」を参照してください。

前提条件

• これらの手順を実行するには、Azure DevOps アプリケーション層サーバーの Administrators グループのメンバーであり、サーバー上の sysadmin グループのメンバーであり、Azure DevOps の構成データベースをホストするSQL Serverのインスタンスである必要があります。 詳細については、「Azure DevOps Server アーキテクチャ」および「Azure DevOps Serverのアクセス許可リファレンス」を参照してください。

コマンド ラインの手順に従うには、管理者特権のコマンド プロンプト ウィンドウを開く必要がある場合があります。 コマンド プロンプトのコンテキスト メニューを開き、[ 管理者として実行] を選択します。 詳細については、「ユーザー アカウント制御」を参照してください。

サービス アカウントのパスワードの変更

TFSService のパスワードを変更するには、Azure DevOps 用のアプリケーション層サーバーにログオンし、Azure DevOps の管理コンソールを使用するか、コマンド プロンプト ウィンドウを開いて TFSConfig コマンド ライン ユーティリティを使用する必要があります。 デプロイに複数のアプリケーション層サーバーが含まれている場合は、アカウント情報の同期を維持するために、各サーバーでこのタスクを実行する必要があります。

注意

展開構成によっては、変更が有効になる前に、手順を完了した後にインターネット インフォメーション サービス (IIS) を再起動する必要がある場合があります。

管理コンソールを使用してパスワードを変更する

1. アプリケーション層をホストするサーバーで、Azure DevOps の管理コンソールを開きます。

   詳細については、「Azure DevOps Server管理コンソールを開く」を参照してください。

2. コンソールで、サーバー名を展開し、[ アプリケーション層] を選択します。

3. [アプリケーション層] ウィンドウで、[ アカウント パスワードの更新] を選択します。

   [ アカウントパスワードの更新] ウィンドウが開きます。

   注意

   システム アカウントをサービス アカウントとして使用した場合は、[ アカウント パスワードの更新] を選択するとエラー メッセージが表示されます。 そのアカウントのパスワードを変更する必要はありません。 システム アカウントには、ユーザーが管理するパスワードはありません。

4. [ パスワード] に新しいパスワードを入力し、[ OK] を選択します。

   [ サービス アカウントの変更] ウィンドウが開きます。

5. すべてのステータス メッセージが [ 状態] で完了するまで待ってから、[ 閉じる] を選択します。

   注意

   このプロセスは数分かかることがあります。

TFSConfig ユーティリティを使用してパスワードを変更する

1. アプリケーション層サーバーで、コマンド プロンプト ウィンドウを開き、 TFSConfig ユーティリティを含むディレクトリにディレクトリを変更します。

   既定では、このユーティリティは Drive:\Program Files\TFS 12.0\Tools にあります。

2. コマンド ラインで、「 TFSConfig Accounts /UpdatePassword /accountType:ApplicationTier /account:AccountName/password:NewPassword」と入力し、Enter キーを押します。

3. サービス アカウントの名前 (AccountName) とアカウントのパスワード (NewPassword) の両方を指定する必要があります。

サービス アカウントとしての異なるアカウントの割り当て

Azure DevOps のサービス アカウントとして別のアカウントを使用するようにAzure DevOps Serverを構成するには、管理コンソールまたは TFSConfig コマンド ライン ユーティリティを使用します。 デプロイに複数のアプリケーション層サーバーが含まれている場合は、アカウント情報の同期を維持するために、各サーバーでこのタスクを実行する必要があります。 いずれかのユーティリティを使用して変更を行う前に、次の点について考慮してください。

• Azure DevOps Serverのこの展開では、すべてのコンピューターによって信頼されている、システム アカウントまたはワークグループまたはドメインのメンバーである新しいアカウントを選択する必要があります。
• 構成ユーティリティは、新しいサービス アカウントに対する [サービスとしてログオン ] アクセス許可を付与します。 ただし、別のサービスで引き続きそのアカウントが使用されている場合、ユーティリティは以前にサービス アカウントとして使用されていたアカウントからこのアクセス許可を取り消しません。 古いアカウントで、まだ使用されているサービスのアクセス許可が不要になった場合は、古いアカウントからそのアクセス許可を手動で削除できます。

詳細については、「サービスとしてログオンする権利をアカウントに追加する」を参照してください。

• 変更が有効になる前に、手順を完了した後に IIS を再起動する必要がある場合があります。
• TFSConfig ユーティリティは、古いアカウントで実行されているサービスのみを変更します。

管理コンソールを使用してサービス アカウントを変更する

1. アプリケーション層をホストするサーバーで、Azure DevOps の管理コンソールを開きます。

2. コンソールで、サーバー名を展開し、[ アプリケーション層] を選択します。

3. [ アプリケーション層 ] ウィンドウで、[ アカウントの変更] を選択します。

   [ サービス アカウントの更新] ウィンドウが開きます。

4. 次のいずれかの操作を実行します。

   1. システム アカウントを使用するには、[ システム アカウントを使用する] を選択し、ドロップダウン リストからシステム アカウントを選択します。

      サーバーが Active Directory ドメインのメンバーである場合、使用するシステム アカウントの既定の選択項目は Network Service です。 サーバーがワークグループのメンバーである場合、既定の選択項目は Local Service です。 デプロイの詳細によっては、既定の選択肢が唯一使用可能な選択肢である場合があります。

      注意

      システム アカウントには、ユーザーが管理するパスワードはありません。 システム アカウントを TFSService として使用する場合は、パスワード フィールドにパスワードを入力しないでください。

   2. ドメインまたはワークグループ アカウントを使用するには、[ ユーザー アカウントを使用する] を選択し、[アカウント名 ] にアカウントの名前を入力し、[パスワード] にそのアカウントのパスワードを入力 します。

5. [OK] を選択します。

   [ サービス アカウントの変更] ウィンドウが開きます。

6. すべてのステータス メッセージが [ 状態] で完了するまで待ってから、[ 閉じる] を選択します。

   注意

   このプロセスは数分かかることがあります。

TFSConfig ユーティリティを使用してサービス アカウントを変更する

1. アプリケーション層サーバーで、コマンド プロンプト ウィンドウを開き、 TFSConfig ユーティリティを含むディレクトリにディレクトリを変更します。

   既定では、このユーティリティは Drive:\Program Files\TFS 12.0\Tools にあります。

2. コマンド ラインで、「 TFSConfig Accounts /change /accountType:ApplicationTier /account:AccountName/password:NewPassword」と入力し、Enter キーを押します。

   詳細については、「 Accounts コマンド」を参照してください。

関連記事

• SQL Server Reporting Servicesのサービス アカウントまたはパスワードを変更する
• Accounts コマンド
• Azure DevOps Serverのサービス アカウントと依存関係
• TFSConfig でのサーバー構成の管理
• Visual Studio Team Foundation Build Service のパスワードを変更する