Créer un compte de service administré de groupe (gMSA) dans Microsoft Entra Domain Services

Les applications et les services ont souvent besoin d’une identité pour s’authentifier auprès d’autres ressources. Par exemple, un service web peut avoir besoin de s’authentifier auprès d’un service de base de données. Si une application ou un service possède plusieurs instances, comme une batterie de serveurs web, la création et la configuration manuelles des identités pour ces ressources prend beaucoup de temps.

À la place, il est possible de créer un compte de service géré de groupe (gMSA) dans un domaine managé Microsoft Entra Domain Services. Le système d’exploitation Windows gère automatiquement les informations d’identification d’un gMSA, ce qui simplifie la gestion de grands groupes de ressources.

Cet article vous explique comment créer un gMSA dans un domaine managé à l’aide d’Azure PowerShell.

Avant de commencer

Pour faire ce qui est décrit dans cet article, vous avez besoin des ressources et des privilèges suivants :

• Un abonnement Azure actif.
  • Si vous n’avez pas d’abonnement Azure, créez un compte.
• Un client Microsoft Entra associé à votre abonnement, soit synchronisé avec un annuaire sur site, soit avec un annuaire cloud uniquement.
  • Si nécessaire, créez un client Microsoft Entra ou associez un abonnement Azure à votre compte.
• Un domaine géré Microsoft Entra Domain Services activé et configuré dans votre locataire Microsoft Entra.
  • Si nécessaire, suivez le didacticiel pour créer et configurer un domaine géré Microsoft Entra Domain Services.
• Une machine virtuelle de gestion Windows Server jointe au domaine managé Domain Services.
  • Si nécessaire, suivez le tutoriel Créer une machine virtuelle de gestion.

Vue d’ensemble des comptes de service administrés

Un compte de service administré autonome (sMSA) est un compte de domaine dont le mot de passe est managé automatiquement. Cette approche simplifie la gestion des noms de principal du service (SPN) et permet de déléguer la gestion à d’autres administrateurs. Vous n’avez pas besoin de créer et de faire tourner manuellement les informations d’identification du compte.

Un compte de service administré de groupe (gMSA) offre la même simplification de la gestion, mais pour plusieurs serveurs du domaine. Un gMSA permet à toutes les instances d’un service hébergé sur une batterie de serveurs d’utiliser le même principal de service pour que les protocoles d’authentification mutuelle fonctionnent. Lorsqu’un compte de service administré de groupe (gMSA) est utilisé comme principal de service, le système d’exploitation Windows gère à nouveau le mot de passe du compte au lieu de compter sur l’administrateur.

Pour en savoir plus, consultez Vue d’ensemble des comptes de service administrés de groupe (gMSA).

Utiliser les comptes de service dans Domain Services

Comme les domaines managés sont verrouillés et managés par Microsoft, certaines considérations sont à prendre en compte lors de l’utilisation de comptes de service :

• Créez des comptes de service dans les unités d’organisation personnalisées d’un domaine managé.
  • Vous ne pouvez pas créer de compte de service dans les unités d’organisation intégrées Utilisateurs AADDC et Ordinateurs AADDC.
  • À la place, Créez une unité d’organisation personnalisée dans le domaine managé, puis créez des comptes de service dans cette unité d’organisation.
• La clé racine des services de distribution de clés (KDS) est précréée.
  • La clé racine KDS est utilisée pour générer et récupérer des mots de passe pour les comptes de service administrés de groupe (gMSA). Dans Domain Services, la racine KDS est créée pour vous.
  • Vous n’avez pas les privilèges nécessaires pour en créer un autre ou afficher la clé racine KDS par défaut.

Créer un compte de service administré de groupe (gMSA)

Tout d’abord, créez une unité d’organisation personnalisée à l’aide de la cmdlet New-ADOrganizationalUnit. Pour plus d’informations sur la création et la gestion d’UO personnalisées, consultez UO personnalisées dans Domain Services.

Conseil

Pour effectuer ces étapes afin de créer un gMSA, utilisez votre machine virtuelle de gestion. Cette machine virtuelle de gestion doit déjà disposer des applets de commande AD PowerShell nécessaires et de la connexion au domaine géré.

L’exemple suivant crée une unité d’organisation personnalisée nommée myNewOU dans le domaine managé nommé aaddscontoso.com. Utilisez votre unité d’organisation et votre nom de domaine managé :

New-ADOrganizationalUnit -Name "myNewOU" -Path "DC=aaddscontoso,DC=COM"

Créez maintenant un compte de service administré de groupe (gMSA) à l’aide de la cmdlet New-ADServiceAccount. Les exemples de paramètres suivants sont définis :

• -Name est défini sur WebFarmSvc
• Le paramètre -Path spécifie l’unité d’organisation personnalisée pour le compte de service administré de groupe (gMSA) créé à l’étape précédente.
• Les entrées DNS et les noms de principal de service sont définis pour WebFarmSvc.aaddscontoso.com
• Les principaux dans AADDSCONTOSO-SERVER$ sont autorisés à récupérer le mot de passe et à utiliser l’identité.

Spécifiez vos propres noms et noms de domaine.

New-ADServiceAccount -Name WebFarmSvc `
    -DNSHostName WebFarmSvc.aaddscontoso.com `
    -Path "OU=MYNEWOU,DC=aaddscontoso,DC=com" `
    -KerberosEncryptionType AES128, AES256 `
    -ManagedPasswordIntervalInDays 30 `
    -ServicePrincipalNames http/WebFarmSvc.aaddscontoso.com/aaddscontoso.com, `
        http/WebFarmSvc.aaddscontoso.com/aaddscontoso, `
        http/WebFarmSvc/aaddscontoso.com, `
        http/WebFarmSvc/aaddscontoso `
    -PrincipalsAllowedToRetrieveManagedPassword AADDSCONTOSO-SERVER$

Les applications et les services peuvent maintenant être configurés pour utiliser le compte de service administré de groupe (gMSA) en fonction des besoins.

Étapes suivantes

Pour en savoir plus sur les comptes de service administrés de groupe (gMSA), consultez Prise en main des comptes de service administrés de groupe.