Group Managed Service Accounts Overview

適用対象: Windows Server 2022、Windows Server 2019、Windows Server 2016

IT 担当者向けのこの記事では、グループの管理されたサービス アカウント (gMSA) について説明します。具体的には、実際の適用例、Microsoft の実装の変更点、ハードウェアとソフトウェアの要件を紹介します。

機能の説明

スタンドアロンの管理されたサービス アカウント (sMSA) は、パスワードの自動管理、簡略化されたサービス プリンシパル名 (SPN) の管理、および他の管理者に管理を委任する機能を提供する、管理されたドメイン アカウントです。 この種類の管理されたサービス アカウント (MSA) は、Windows Server 2008 R2 および Windows 7 で導入されました。

グループの管理されたサービス アカウント (gMSA) はドメイン内で同じ機能を提供し、複数のサーバーにその機能を拡張することもできます。 ネットワーク負荷分散ソリューションなど、サーバー ファームにホストされているサービスに接続するときは、相互認証をサポートする認証プロトコルで、サービスのすべてのインスタンスが同じプリンシパルを使用する必要があります。 gMSA をサービス プリンシパルとして使用すると、Windows オペレーティング システムでアカウントのパスワードが管理され、管理者がパスワードを管理する必要はなくなります。

Microsoft キー配布サービス (kdssvc.dll) を使用すると、最新のキーまたは Active Directory アカウントのキー識別子を持つ特定のキーを安全に取得できます。 キー配布サービスは、アカウントのキーの作成に使用されるシークレットを共有します。 これらのキーは定期的に変更されます。 gMSA の場合、ドメイン コントローラーは、gMSA の他の属性と共に、キー配布サービスが提供するキーのパスワードを計算します。 メンバー ホストは、ドメイン コントローラーに問い合わせて、現在または以前のパスワード値を取得できます。

実際の適用例

gMSA は、ネットワーク ロード バランサーの背後で、サーバー ファームやシステムで実行されているサービスに対し、単一の ID ソリューションを提供します。 gMSA ソリューションを提供することによって、Windows がパスワード管理を処理している間に、新しい gMSA プリンシパル用にサービスを構成できます。

サービスまたはサービス管理者が gMSA を使用すると、サービス インスタンス間でパスワードの同期を管理せずに済みます。 gMSA は、長時間オフライン状態が続くホストをサポートし、サービスのすべてのインスタンスのメンバー ホストを管理します。 既存のクライアント コンピューターが接続先のサービス インスタンスを把握していなくても認証できる単一 ID をサポートするサーバー ファームを展開できます。

フェールオーバー クラスターでは、gMSA をサポートしていません。 ただし、クラスター サービスの上位で実行されるサービスは、それが Windows サービス、アプリケーション プール、またはスケジュールされたタスクである場合、あるいは gMSA/sMSA をネイティブにサポートしている場合、gMSA または sMSA を使用できます。

ソフトウェア要件

gMSA を管理するために必要とする Windows PowerShell コマンドを実行するには、64 ビット アーキテクチャが必要です。

管理されたサービス アカウントは、Kerberos でサポートされている暗号化の種類によって異なります。 Kerberos を使用するサーバーに対してクライアント コンピューターが認証されると、DC とサーバーの両方でサポートされる暗号化で保護される Kerberos サービス チケットが DC で作成されます。 DC は、アカウントの msDS-SupportedEncryptionTypes 属性を使用して、サーバーでサポートされる暗号化を判別します。 属性がない場合、DC はクライアント コンピューターを、より強力な暗号化の種類がサポートされていないものとして扱います。 RC4 をサポートしないようにホストを構成した場合、認証は常に失敗します。 このため、MSA に対しては AES を常に構成する必要があります。

注意

Windows Server 2008 R2 以降、既定では、DES が無効になっています。 サポートされる暗号化の種類の詳細については、「 Kerberos 認証の変更点」を参照してください。

gMSA は、Windows Server 2012 より前の Windows オペレーティング システムには適用できません。

サーバー マネージャー情報

サーバー マネージャーまたは Install-WindowsFeature コマンドレットを使用して MSA および gMSA を実装するために追加の構成を行う必要はありません。

次のステップ

管理されたサービス アカウントの詳細については、次のリソースを参照してください。

• 管理されたサービス アカウントの新機能
• Windows 7 および Windows Server 2008 R2 向けの管理されたサービス アカウントのドキュメント
• サービス アカウントのステップ バイ ステップ ガイド
• Active Directory における管理されたサービス アカウント
• グループの管理されたサービス アカウントの概要
• Active Directory Domain Services における管理されたサービス アカウント
• 管理されたサービス アカウント: 理解、実装、ベスト プラクティス、およびトラブルシューティング
• Active Directory Domain Services の概要