Group Managed Service Accounts
グループ管理サービス アカウントは、パスワードの自動管理、簡略化されたサービス プリンシパル名 (SPN) の管理、および管理を他の管理者に委任する機能を提供し、またこの機能を複数のサーバーに拡張する、マネージド ドメイン アカウントです。 Microsoft Entra クラウド同期では、エージェントを実行するための gMSA がサポートされ、使用されています。 インストーラーに新しいアカウントの作成を許可するか、カスタム アカウントを指定するかを選択できます。 このアカウントを作成するため、またはカスタム アカウントを使用している場合はアクセス許可を設定するために、セットアップ中に管理資格情報の入力を求められます。 インストーラーによってアカウントが作成された場合、アカウントは domain\provAgentgMSA$
として表示されます。 gMSA の詳細については、グループ管理サービス アカウントに関するページを参照してください。
gMSA の前提条件
- gMSA ドメインのフォレスト内の Active Directory スキーマを Windows Server 2012 以降に更新する必要があります。
- ドメイン コントローラー上の PowerShell RSAT モジュール。
- ドメイン内の少なくとも 1 つのドメイン コントローラーで Windows Server 2012 以降が実行されている必要があります。
- エージェントをインストールするドメイン参加済みサーバーは、Windows Server 2016 以降である必要があります。
gMSA アカウントに設定されたアクセス許可 (すべてのアクセス許可)
インストーラーが gMSA アカウントを作成する場合は、アカウント上のすべてのアクセス許可を設定します。 次の表で、これらのアクセス許可について詳しく説明しています
MS-DS-Consistency-Guid
Type | 名前 | アクセス | 適用対象 |
---|---|---|---|
Allow | <gMSA アカウント> | mS-Ds-ConsistencyGuid 書き込みプロパティ | ユーザーの子孫オブジェクト |
Allow | <gMSA アカウント> | mS-Ds-ConsistencyGuid 書き込みプロパティ | グループの子孫オブジェクト |
関連付けられているフォレストが Windows Server 2016 環境でホストされている場合、NGC キーと STK キーに対する次のアクセス許可が含まれます。
Type | 名前 | アクセス | 適用対象 |
---|---|---|---|
Allow | <gMSA アカウント> | msDS-KeyCredentialLink 書き込みプロパティ | ユーザーの子孫オブジェクト |
Allow | <gMSA アカウント> | msDS-KeyCredentialLink 書き込みプロパティ | デバイスの子孫オブジェクト |
パスワード ハッシュの同期
Type | 名前 | アクセス | 適用対象 |
---|---|---|---|
Allow | <gMSA アカウント> | ディレクトリの変更のレプリケート | このオブジェクトのみ (ドメインのルート) |
Allow | <gMSA アカウント> | ディレクトリの変更すべてのレプリケート | このオブジェクトのみ (ドメインのルート) |
パスワード ライトバック
Type | 名前 | アクセス | 適用対象 |
---|---|---|---|
Allow | <gMSA アカウント> | パスワードのリセット | ユーザーの子孫オブジェクト |
Allow | <gMSA アカウント> | プロパティ lockoutTime の書き込み | ユーザーの子孫オブジェクト |
Allow | <gMSA アカウント> | プロパティ pwdLastSet の書き込み | ユーザーの子孫オブジェクト |
Allow | <gMSA アカウント> | 無期限パスワード | このオブジェクトのみ (ドメインのルート) |
グループの書き戻し
Type | 名前 | アクセス | 適用対象 |
---|---|---|---|
Allow | <gMSA アカウント> | 汎用の読み取り/書き込み | オブジェクトの種類のグループとサブオブジェクトのすべての属性 |
Allow | <gMSA アカウント> | 子オブジェクトの作成/削除 | オブジェクトの種類のグループとサブオブジェクトのすべての属性 |
Allow | <gMSA アカウント> | 削除/ツリー オブジェクトの削除 | オブジェクトの種類のグループとサブオブジェクトのすべての属性 |
Exchange ハイブリッドのデプロイ
Type | 名前 | アクセス | 適用対象 |
---|---|---|---|
Allow | <gMSA アカウント> | すべてのプロパティの読み取り/書き込み | ユーザーの子孫オブジェクト |
Allow | <gMSA アカウント> | すべてのプロパティの読み取り/書き込み | InetOrgPerson の子孫オブジェクト |
Allow | <gMSA アカウント> | すべてのプロパティの読み取り/書き込み | グループの子孫オブジェクト |
Allow | <gMSA アカウント> | すべてのプロパティの読み取り/書き込み | 連絡先の子孫オブジェクト |
Exchange メールのパブリック フォルダー
Type | 名前 | アクセス | 適用対象 |
---|---|---|---|
Allow | <gMSA アカウント> | すべてのプロパティの読み取り | パブリック フォルダーの子孫オブジェクト |
UserGroupCreateDelete (CloudHR)
Type | 名前 | アクセス | 適用対象 |
---|---|---|---|
Allow | <gMSA アカウント> | 汎用書き込み | オブジェクトの種類のグループとサブオブジェクトのすべての属性 |
Allow | <gMSA アカウント> | 子オブジェクトの作成/削除 | オブジェクトの種類のグループとサブオブジェクトのすべての属性 |
Allow | <gMSA アカウント> | 汎用書き込み | オブジェクト型のユーザーとサブオブジェクトのすべての属性 |
Allow | <gMSA アカウント> | 子オブジェクトの作成/削除 | オブジェクト型のユーザーとサブオブジェクトのすべての属性 |
カスタムの gMSA アカウントの使用
カスタムの gMSA アカウントを作成する場合は、インストーラーはカスタム アカウントにすべてのアクセス許可を設定します。
gMSA アカウントを使用するように既存のエージェントをアップグレードする手順については、「グループ管理サービス アカウント」を参照してください。
グループの管理されたサービス アカウント用の Active Directory を準備する方法について詳しくは、「グループの管理されたサービス アカウントの概要」をご覧ください。
次のステップ
フィードバック
https://aka.ms/ContentUserFeedback」を参照してください。
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「フィードバックの送信と表示