Criar uma gMSA (conta de serviço gerenciado de grupo) no Azure Active Directory Domain Services

Normalmente, os aplicativos e serviços precisam de uma identidade para se autenticar com outros recursos. Por exemplo, um serviço Web pode precisar se autenticar com um serviço de banco de dados. Se um aplicativo ou serviço tiver várias instâncias, como um farm de servidores Web, criar e configurar manualmente as identidades para esses recursos levará tempo.

Em vez disso, uma gMSA (conta de serviço gerenciado de grupo) pode ser criada no domínio gerenciado do Azure AD DS (Azure Active Directory Domain Services). O sistema operacional Windows gerencia automaticamente as credenciais de uma gMSA, o que simplifica o gerenciamento de grandes grupos de recursos.

Este artigo mostra como criar uma gMSA em um domínio gerenciado usando o Azure PowerShell.

Antes de começar

Para concluir este artigo, você precisará dos seguintes recursos e privilégios:

Visão geral das contas de serviço gerenciado

Uma sMSA (conta autônoma de serviço gerenciado) é uma conta de domínio cuja senha é gerenciada automaticamente. Essa abordagem simplifica o gerenciamento do SPN (nome da entidade de serviço) e permite o gerenciamento delegado para outros administradores. Você não precisa criar e girar manualmente as credenciais da conta.

Uma gMSA (conta de serviço gerenciado de grupo) fornece a mesma simplificação de gerenciamento, mas para vários servidores do domínio. A gMSA permite que todas as instâncias de um serviço hospedado em um farm de servidores usem a mesma entidade de serviço para que os protocolos de autenticação mútua funcionem. Quando uma gMSA é utilizada como entidade de serviço, novamente o sistema operacional Windows gerencia a senha da conta, em vez de contar com o administrador.

Para obter mais informações, confira Visão geral das gMSAs (contas de serviço gerenciado de grupo).

Usando contas de serviço no Azure AD DS

À medida que os domínios gerenciados são bloqueados e gerenciados pela Microsoft, há algumas considerações ao usar as contas de serviço:

  • Criar contas de serviço em UOs (unidades organizacionais) personalizadas no domínio gerenciado.
    • Não é possível criar uma conta de serviço nas UOs internas de Usuários AADDC ou Computadores AADDC.
    • Em vez disso, crie uma UO personalizada no domínio gerenciado e, em seguida, crie contas de serviço nessa UO personalizada.
  • A chave raiz de KDS (Serviços de Distribuição de Chaves) está pré-criada.
    • A chave raiz de KDS é usada para gerar e recuperar senhas para as gMSAs. No Azure AD DS, a raiz KDS é criada para você.
    • Você não tem privilégios para criar outro ou exibir a chave raiz de KDS padrão.

Criar uma gMSA

Primeiro, crie uma UO personalizada usando o cmdlet New-ADOrganizationalUnit. Para obter mais informações sobre como criar e gerenciar UOs personalizadas, confira UOs personalizadas no Azure AD DS.

Dica

Para concluir essas etapas e criar uma gMSA, use a sua VM de gerenciamento. Essa VM de gerenciamento já deve ter os cmdlets do PowerShell do AD necessários e a devida conexão com o domínio gerenciado.

O exemplo a seguir cria uma UO personalizada chamada myNewOU no domínio gerenciado chamado aaddscontoso.com. Use sua própria UO e seu próprio nome de domínio gerenciado:

New-ADOrganizationalUnit -Name "myNewOU" -Path "DC=aaddscontoso,DC=COM"

Agora crie uma gMSA usando o cmdlet New-ADServiceAccount. Os seguintes parâmetros de exemplo são definidos:

  • -Name é definido como WebFarmSvc
  • O parâmetro -path especifica a UO personalizada para a gMSA criada na etapa anterior.
  • As entradas de DNS e os nomes da entidade de serviço são definidos para WebFarmSvc.aaddscontoso.com
  • As entidades de segurança no AADDSCONTOSO-SERVER$ têm permissão para recuperar a senha e usar a identidade.

Especifique seus próprios nomes e nomes de domínio.

New-ADServiceAccount -Name WebFarmSvc `
    -DNSHostName WebFarmSvc.aaddscontoso.com `
    -Path "OU=MYNEWOU,DC=aaddscontoso,DC=com" `
    -KerberosEncryptionType AES128, AES256 `
    -ManagedPasswordIntervalInDays 30 `
    -ServicePrincipalNames http/WebFarmSvc.aaddscontoso.com/aaddscontoso.com, `
        http/WebFarmSvc.aaddscontoso.com/aaddscontoso, `
        http/WebFarmSvc/aaddscontoso.com, `
        http/WebFarmSvc/aaddscontoso `
    -PrincipalsAllowedToRetrieveManagedPassword AADDSCONTOSO-SERVER$

Agora, os aplicativos e os serviços podem ser configurados para usar a gMSA conforme necessário.

Próximas etapas

Para obter mais informações, confira Introdução às contas de serviços gerenciados de grupo.