オンプレミスのデータ ゲートウェイ サービス アカウントを変更する
オンプレミス データ ゲートウェイは、Windows サービスのログオン資格情報で NT SERVICE\PBIEgwService を使用するように設定されています。 既定のアカウントは、ゲートウェイをインストールするコンピューターのコンテキスト内で、サービスとしてログオンの権限を持っています。
このサービス アカウントは、オンプレミス データ ソースへの接続に使用するアカウントとは異なります。 また、クラウド サービスへのサインインに使用する職場または学校のアカウントでもありません。
サービス アカウントの変更
サービス アカウントを変更する必要はありませんが、必要に応じて変更できます。 オンプレミス データ ゲートウェイの Windows サービス アカウントを変更するには:
オンプレミス データ ゲートウェイ アプリを開き、[サービスの設定]、[アカウントの変更] の順に選択します。
Note
サービス アカウントの変更には、Windows サービス アプリではなく、オンプレミス データ ゲートウェイ アプリを使用することをお勧めします。 これにより、新しいアカウントに必要なすべての特権が付与されます。 オンプレミス データ ゲートウェイ アプリを使用しないと、ログに一貫性がなくなったり、その他の問題が発生する可能性があります。
このサービスの既定のアカウントは NT SERVICE\PBIEgwService です。 このアカウントを Windows Server Active Directory ドメイン内のドメイン ユーザー アカウントに変更するか、または管理されたサービス アカウントを使用して、パスワードを変更する必要がないようにします。
アカウントの変更を選択します。 サービス アカウントを変更するには、回復キーが必要です。
サービス アカウントとパスワードを入力し、[構成] を選択します。
サインイン アカウントを入力して、[サインイン] を選択します。
次のウィンドウで、[既存のゲートウェイの移行、復元、または引き継ぐ] を選択し、ゲートウェイを復元する手順を行います。
復元が完了すると、新しいゲートウェイはドメイン アカウントを使用するようになります。
Note
ゲートウェイをデフォルトのサービス アカウントにリセットするには、ゲートウェイをアンインストールして再インストールする必要があります。 この操作には回復キーが必要です。
グループ管理サービス アカウント (gMSA) への切り替え
グループ管理サービス アカウント (gMSA) は、通常のアカウントの代わりにデータ ゲートウェイに使用できます。 gMSA を使用するには、次の手順に従います。
リモート サーバー管理ツールがインストールされているコンピューターで、次のコマンドを実行して KDS ルート キーを構成します (組織内でまだ構成されていない場合)。
Add-KdsRootKey -EffectiveImmediately
次のコマンドを実行して、グループ管理サービス アカウントを作成します。 Name パラメーターを使用してサービス アカウント名を指定し、PrincipalsAllowedToRetrieveManagedPassword パラメーターを使用して、グループ管理サービス アカウントを使用できるコンピューターの NetBIOS 名を指定します。
New-ADServiceAccount -Name "PowerBiDGgMSA" -PrincipalsAllowedToRetrieveManagedPassword server1$ -DnsHostName server1.contoso.com -Enabled $True
Note
コンピューター アカウントを示すには、NetBIOS サーバー名の末尾にある $ が必要です。
データ ゲートウェイをホストしているコンピューターにサービス アカウントを追加します。
Install-ADServiceAccount -Identity PowerBiDGgMSA
Note
この手順は、データ ゲートウェイをホストしているコンピューターで実行する必要があります。
データ ゲートウェイをホストしているコンピューターで、管理ツールからサービス アプレットを起動するか、または Windows-R キーを押して [実行] ウィンドウを起動して、services.msc を実行してサービス アプレットを起動します。
オンプレミス データ ゲートウェイ サービスを探し、ダブルクリックしてプロパティを開きます。
サービスのプロパティでログオンを使用する gMSA に更新し、[OK] を選択します。
Note
アカウント名の末尾には必ず $ を含めてください。 グループ管理サービス アカウントを使用する場合は、パスワードを指定しないでください。
[OK] を選択して、グループ管理サービス アカウントにサービスとしてのログオン権限が付与されていることを確認します。
手動でサービスを停止して再起動する必要があることを確認するには、[OK] を選択します。
サービス アプレットからサービスを再起動します。
オンプレミス データ ゲートウェイ アプリのを起動します。 プロンプトが表示されたら、ゲートウェイの管理者としてサインインします。
[既存のゲートウェイの移行、復元、または引き継ぎ] を選択し、[次へ] をクリックします。
ゲートウェイのセットアップ時に作成した回復キーを入力し、[構成] をクリックします。
[閉じる] を選択して、データ ゲートウェイ アプリの構成を終了します。