マネージド サービス アカウントによるアセスメントの実行

  • [アーティクル]

マネージド サービス アカウント (MSA) は、現在サポートされている Active Directory ドメイン サービスで提供されるセキュリティ プリンシパルのひとつです。 MSA は、コンピューター セキュリティとユーザー セキュリティの両プリンシパルにある特性を共有しています。 MSA は、セキュリティ グループに追加できるほか、ネットワーク上のリソースに対する認証やアクセスが可能です。 各サービス、IIS アプリケーション プール、およびスケジュールされたタスクによる使用を想定しています。

管理されたサービス アカウントの利点

管理されたサービス アカウントは、各サービス、スケジュールされたタスク、および IIS アプリケーション プールの実行時に必要なユーザー アカウントの使用に伴う固有の次のような問題の解決を図ります。

  • パスワードの自動管理
  • サービス プリンシパル名 (SPN) の簡易な管理
  • Windows に対話形式でログインできない問題
  • MSA の認証、および対応するコンテキストでコードの実行を許可するコンピューターの容易な管理

マネージド サービス アカウントを使用する可能性があるオンデマンド評価

次のオンデマンド評価を実行するためにマネージド サービス アカウントを構成することができます。

  • Active Directory
  • Active Directory セキュリティ
  • System Center Configuration Manager
  • SharePoint
  • SQL Server
  • Windows クライアント
  • Windows Server

注:

マネージド サービス アカウントが Microsoft カスタマー サービスで公式にサポートされていない環境構成が一部にあります。 ほとんどのシナリオでマネージド サービス アカウントは機能しますが、環境構成によりマネージド サービス アカウントを使用できない場合は、必要に応じてドメイン アカウントを使用してください。

マネージド サービス アカウントをプロビジョニングする

評価のスケジュール タスクを MSA として実行するように構成するための前提条件は、Active Directory Domain Services で MSA をプロビジョニングまたは作成することです。 サポートされる個々のアセスメントで、適切に実行できるようにスケジュールされたタスク アカウントに関する承認とアクセス要件を指定します。 スケジュールされたタスク アカウントに関するアクセス要件の詳細については、サポートされる評価の 概要のドキュメントおよび前提条件のドキュメントを参照してください。

管理されたサービス アカウントにはふたつのタイプがあります。 いずれのタイプもサポートされるアセスメントに対するアセスメントのスケジュールタスクに合わせて構成できます。

  • スタンドアロンの管理されているサービス アカウント (仮想アカウントとも呼ばれる) では、単一のドメイン参加済みのコンピューターの認証が許可されています。
  • グループ管理サービス アカウント では、複数のドメイン コンピューターの認証が許可されています。

Windows PowerShell Active Directory モジュールは、どちらの種類の MSA をプロビジョニングおよび構成する場合でも必要です。 ドメイン コントローラーには通常、ドメイン コントローラー ロールをインストールする間にこの PowerShell モジュールがインストールされます。

リモート サーバー管理ツールのコンポーネントであるモジュールは、サーバー マネージャー を介して Windows Server SKU に追加できる場合があります。 モジュールは、Windows 10 にも追加することができます。

シナリオ 1 - スタンドアロン MSA (sMSA)

スタンドアロンのマネージド サービス アカウントを正常にプロビジョニングするには、Active Directory Domain Services のフォレスト スキーマが Windows Server 2008 R2 以降である必要があります。 sMSA としてスケジュールされたタスクを 実行するコンピューターでは、Windows Server 2012 またはそれ以降が実行されていなければなりません。

オンデマンド評価を実行するために sMSA をプロビジョニングするには、次の 3 つの手順があります。

  1. New-ADServiceAccount PowerShell コマンドレットで sMSA を作成する
  2. データ収集マシンに Add-ADComputerServiceAccount PowerShell コマンドレットを使用して sMSA パスワードの取得を許可する
  3. 適切な評価が構成されることを目的として、前提条件のドキュメント ごとに環境が評価されるよう、必要なアクセス権を sMSA に付与します。

スタンドアロン MSA の作成

sMSA を作成するには、PowerShell セッションの中でドメイン コントローラー、またはドメイン メンバーから次のコマンドを実行します。なお、このドメイン メンバーにはActive Directory 中のアカウント作成に必要なアクセス許可を使用して Windows PowerShell Active Directory モジュールがインストールされていなければなりません (アカウント オペレーターまたはドメイン管理者には既定で必要なアクセス許可が付与されます)。

New-ADServiceAccount -Name <sMSAaccountname>  -RestrictToSingleComputer

例:PS C:>New-ADServiceAccount -Name sMSA-SVC -RestrictToSingleComputer

データ収集マシンに対する sMSA の使用許可

データ収集マシンで sMSA パスワードの取得を許可するには、PowerShell セッションの中でドメイン コントローラー、またはドメイン メンバーから次のコマンドを実行します。なお、このドメイン メンバーにはActive Directory 中のアカウント作成に必要なアクセス許可を使用して Windows PowerShell Active Directory モジュールがインストールされていなければなりません (アカウント オペレーターまたはドメイン管理者には既定で必要なアクセス許可が付与されます)。

Add-ADComputerServiceAccount -Identity “datacollectionmachine$” -ServiceAccount “sMSA samaccountname”

例:Add-ADComputerServiceAccount -Identity "OMS-AD-Tools$" -ServiceAccount "sMSA-SVC$"

データ収集マシンに sMSA をインストールする

Data collection マシン上の sMSA のプレキャッシュは、アカウントが正しくプロビジョニングされ、データ収集マシンが正常に sMSA パスワードを取得して、そのアカウントを使用できるようにするための重要な検証手順を提供します。 Active Directory Powershell モジュールがインストールされているデータ収集マシンから、以下を実行します。

Install-ADServiceAccount -Identity “sMSA samaccountname”

例:Install-ADServiceAccount -Identity "sMSA-SVC$"

注:

コマンドレットが見つからないというエラーが返された場合は、上記の「マネージド サービス アカウントをプロビジョニングする」 で説明されている Active Directory Powershell モジュールをインストールします。

他のエラーについては、MSA カテゴリ イベントの Microsoft-Windows-Security-Netlogon/Operational イベント ログ チャネルを確認します。

シナリオ 2 - グループ MSA (gMSA)

グループのマネージド サービス アカウントを正常にプロビジョニングするには、Active Directory Domain Services のフォレスト スキーマが Windows Server 2012 以降である必要があります。 gMSA としてスケジュールされたタスクを 実行するコンピューターでは、Windows Server 2012 またはそれ以降が実行されていなければなりません。

オンデマンド評価を実行するために gMSA をプロビジョニングするには、次の 3 つの手順があります。

  1. Active Directory 内で Add-KDSRootKey を使用してキー配布サービスの KDS ルート キーを作成する
  2. gMSA を作成し、データ収集マシンに New-ADServiceAccount PowerShell コマンドレットを使用して gMSA パスワードの取得を許可する
  3. 適切な評価が構成されることを目的として、前提条件のドキュメント ごとに環境が評価されるよう、必要なアクセス権を gMSA に付与します。

KDS ルート キーをプロビジョニングする

Active Directory フォレスト中でまだ KDS ルート キーが作成されていない場合は、これを作成する必要があります。  KDS ルート キーがすでに存在するかどうかを確認するには、PowerShell セッションの内部から次のコマンドを実行します。

Get-KdsRootKey

注:

このコマンドから何も返されない場合は、Active Directory フォレストにはルート キーが存在しないことになります。

KDS ルート キーを作成するには、PowerShell セッションの中でドメイン コントローラー、またはドメイン メンバーから次のコマンドを実行します。なお、このドメイン メンバーにはActive Directory 中のアカウント作成に必要なアクセス許可を使用して Windows PowerShell Active Directory モジュールがインストールされていなければなりません (フォレスト ルート ドメイン内のエンタープライズ管理者およびドメイン管理者には既定で必要なアクセス許可が付与されます)。

Add-KdsRootKey -EffectiveImmediately

Add-KdsRootKey -EffectiveImmediately により、すべての DC を対象に複製が行われるように 10 時間後に gMSAs の作成が許可されます。

Add-KdsRootKey -EffectiveTime ((get-date).addhours(-10))

Add-KdsRootKey -EffectiveTime ((get-date).addhours(-10)) では、gMSA の作成が即座に許可されます。

このアプローチでは、AD フォレスト全体のレプリケーション収束が通常の操作で数時間かかる場合、gMSA の作成または使用の失敗というある程度のリスクを招いてしまいます。

グループ MSA の作成

gMSA を作成するには、PowerShell セッションの中でドメイン コントローラー、またはドメイン メンバーから次のコマンドを実行します。なお、このドメイン メンバーにはActive Directory 中のアカウント作成に必要なアクセス許可を使用して Windows PowerShell Active Directory モジュールがインストールされていなければなりません (アカウント オペレーターまたはドメイン管理者には既定で必要なアクセス許可が付与されます)。

New-ADServiceAccount -Name <gMSAaccountname> -DNSHostname <gMSAaccountname.FQDN> -PrincipalsAllowedToRetrieveManagedPassword “data collection machine samaccountname”

例:PS C:>New-ADServiceAccount -Name gMSA-SVC -DNSHostName gMSA-SVC.contoso.local -PrincipalsAllowedToRetrieveManagedPassword "oms-ad-tools$"

データ収集マシンに gMSA をインストールする

データ収集マシンでの gMSA の事前キャッシュは、重要な検証手順の役割を果たすことで、アカウントが正しくプロビジョニングされ、データ収集マシンが正常に gMSA パスワードを取得してアカウントを使用することを保証します。 Active Directory Powershell モジュールがインストールされているデータ収集マシンから、以下を実行します。

Install-ADServiceAccount -Identity “gMSA samaccountname”

例:Install-ADServiceAccount -Identity "gMSA-SVC$"

注:

コマンドレットが見つからないというエラーが返された場合は、上記の「マネージド サービス アカウントをプロビジョニングする」 で説明されている Active Directory Powershell モジュールをインストールします。

他のエラーについては、MSA カテゴリ イベントの Microsoft-Windows-Security-Netlogon/Operational イベント ログ チャネルを確認します。