次の方法で共有


Group Managed Service Accounts Overview

IT 担当者向けのこの記事では、グループの管理されたサービス アカウント (gMSA) について説明します。具体的には、実際の適用例、Microsoft の実装の変更点、ハードウェアとソフトウェアの要件を紹介します。

機能の説明

スタンドアロンの管理されたサービス アカウント (sMSA) は、パスワードの自動管理、簡略化されたサービス プリンシパル名 (SPN) の管理、および他の管理者に管理を委任する機能を提供する、管理されたドメイン アカウントです。 ドメイン管理者は、サービスの管理をサービス管理者に委任できます。サービス管理者は、管理されたサービス アカウントまたはグループの管理されたサービス アカウントのライフサイクル全体を管理できます。 既存のクライアント コンピューターは、認証先のサービス インスタンスを把握しなくても、こうしたサービスに対して認証を実行できます。 この種類の管理されたサービス アカウント (MSA) は、Windows Server 2008 R2 および Windows 7 で導入されました。

グループの管理されたサービス アカウント (gMSA) はドメイン内で同じ機能を提供し、複数のサーバーにその機能を拡張することもできます。 Windows でこれらのアカウントのパスワード管理を処理できるようになるため、サービス アカウントの管理にかかわるオーバーヘッドが最小限に抑えられます。 ネットワーク負荷分散ソリューションなど、サーバー ファームにホストされているサービスに接続するときは、相互認証をサポートする認証プロトコルで、サービスのすべてのインスタンスが同じプリンシパルを使用する必要があります。 gMSA をサービス プリンシパルとして使用すると、Windows オペレーティング システムでアカウントのパスワードが管理され、管理者がパスワードを管理する必要はなくなります。

Microsoft キー配布サービス (kdssvc.dll) を使用すると、最新のキーまたは Active Directory アカウントのキー識別子を持つ特定のキーを安全に取得できます。 キー配布サービスは、アカウントのキーの作成に使用されるシークレットを共有します。 これらのキーは定期的に変更されます。 gMSA の場合、ドメイン コントローラーは、gMSA の他の属性と共に、キー配布サービスが提供するキーのパスワードを計算します。 メンバー ホストは、ドメイン コントローラーに問い合わせて、現在または以前のパスワード値を取得できます。

実際の適用例

gMSA は、ネットワーク ロード バランサーの背後で、サーバー ファームやシステムで実行されているサービスに対し、単一の ID ソリューションを提供します。 gMSA ソリューションを提供することによって、Windows がパスワード管理を処理している間に、新しい gMSA プリンシパル用にサービスを構成できます。

サービスまたはサービス管理者が gMSA を使用すると、サービス インスタンス間でパスワードの同期を管理せずに済みます。 gMSA は、長時間オフライン状態が続くホストをサポートし、サービスのすべてのインスタンスのメンバー ホストを管理します。 既存のクライアント コンピューターが接続先のサービス インスタンスを把握していなくても認証できる単一 ID をサポートするサーバー ファームを展開できます。

フェールオーバー クラスターは gMSA をサポートしていませんが、クラスター サービスで動作するサービスが Windows サービス、アプリ プール、スケジュールされたタスクである場合や、gMSA または sMSA をネイティブでサポートしている場合、gMSA または sMSA を利用できます。

ソフトウェア要件

gMSA を管理するために必要とする Windows PowerShell コマンドを実行するには、64 ビット アーキテクチャが必要です。

管理されたサービス アカウントは、Kerberos でサポートされている暗号化の種類によって異なります。 Kerberos を使用するサーバーに対してクライアント コンピューターが認証されると、DC とサーバーの両方でサポートされる暗号化で保護される Kerberos サービス チケットが DC で作成されます。 DC は、アカウントの msDS-SupportedEncryptionTypes 属性を使用して、サーバーでサポートされる暗号化を判別します。 属性がない場合、DC はクライアント コンピューターを、より強力な暗号化の種類がサポートされていないものとして扱います。 RC4 をサポートしないようにホストを構成した場合、認証は常に失敗します。 このため、MSA に対しては AES を常に構成する必要があります。

注意

Windows Server 2008 R2 以降、既定では、DES が無効になっています。 サポートされる暗号化の種類の詳細については、「 Kerberos 認証の変更点」を参照してください。

Note

gMSA は、Windows Server 2012 より前の Windows オペレーティング システムには適用できません。 Windows Server 2012 では、Windows PowerShell コマンドレットは既定で、サーバー管理サービス アカウントではなく gMSA を管理します。

サーバー マネージャー情報

サーバー マネージャーまたは Install-WindowsFeature コマンドレットを使用して MSA および gMSA を実装するために追加の構成を行う必要はありません。

次のステップ

管理されたサービス アカウントの詳細については、次のリソースを参照してください。