オンプレミス サービス アカウントを管理する
Active Directory では、次の 4 種類のオンプレミス サービス アカウントが提供されています。
- グループ管理サービス アカウント (gMSA)
- スタンドアロン管理サービス アカウント (sMSA)
- オンプレミス コンピューター アカウント
- サービス アカウントとして機能するユーザー アカウント
サービス アカウント ガバナンスには、次のものが含まれます:
- 要件と目的に基づいて、これらを保護する
- アカウントのライフサイクルとその資格情報を管理する
- リスクとアクセス許可に基づいて、サービス アカウントを評価する
- Active Directory (AD) と Microsoft Entra ID にアクセス許可がある未使用のサービス アカウントがないことを確認する
新しいサービス アカウントの原則
サービス アカウントを作成するときは、次の表の情報を考慮してください。
原則 | 考慮事項 |
---|---|
サービス アカウントのマッピング | サービス アカウントをサービス、アプリケーション、またはスクリプトに接続します |
所有権 | 要求し、その責任を引き受けるアカウント オーナーがいることを確認します |
Scope | スコープを定義し、使用期間を予測します |
目的 | 1 つの目的のためにサービス アカウントを作成します |
アクセス許可 | 最小限のアクセス許可の原則を適用します: - 管理者などの組み込みグループにアクセス許可を割り当てません - 必要に応じて、ローカル コンピューターのアクセス許可を削除します - アクセスを調整し、ディレクトリ アクセスに AD 委任を使用します - 詳細なアクセス許可を使用します - ユーザーベースのサービス アカウントにアカウントの有効期限と場所の制限を設定します |
監視と監査の使用 | - サインイン データを監視し、それが目的の使用法に一致していることを確認します - 異常な使用に対するアラートを設定します |
ユーザー アカウントの制限
サービス アカウントとして使用するユーザー アカウントには、次の設定を適用します:
- アカウントの有効期限 - アカウントが続行可能である場合を除き、レビュー期間後にサービス アカウントが自動的に期限切れになるように設定します
- ログオンできるワークステーション - サービス アカウントのサインイン権限を制限します
- ローカルに実行され、そのマシン上のリソースにアクセスする場合は、他の場所にサインインできないよう制限します
- パスワードを変更できない - パラメーターを true に設定すると、サービス アカウントは自身のパスワードを変更できなくなります
ライフサイクル管理プロセス
サービス アカウントのセキュリティを維持するには、サービス アカウントを開始から使用停止まで管理します。 次の手順を使用します。
- アカウントの使用状況情報を収集する。
- サービス アカウントとアプリを構成管理データベース (CMDB) に移行する。
- リスク評価または正式なレビューを実行する。
- サービス アカウントを作成し、制限を適用する。
- 定期的なレビューをスケジュールして実行する。
- 必要に応じてアクセス許可とスコープを調整する。
- アカウントのプロビジョニングを解除する。
サービス アカウントの使用状況情報を収集する
各サービス アカウントの関連情報を収集する。 次の表に、収集する最小限の情報を示します。 各アカウントを検証するために必要なものを取得します。
データ | 説明 |
---|---|
所有者 | サービス アカウントの説明責任を負うユーザーまたはグループ |
目的 | サービス アカウントの目的 |
アクセス許可 (スコープ) | 予期されるアクセス許可 |
CMDB リンク | ターゲットのスクリプトやアプリケーションおよび所有者とのクロスリンク サービス アカウント |
リスク | セキュリティ リスク評価の結果 |
有効期間 | アカウントの有効期限または再認定をスケジュールするために予想される最長有効期間 |
アカウントの要求をセルフサービスにし、関連情報を要求します。 所有者は、アプリケーションやビジネスの所有者、IT チーム メンバー、またはインフラストラクチャの所有者です。 要求と関連情報には、Microsoft Forms を使用できます。 アカウントが承認された場合は、Microsoft Forms を使用して構成管理データベース (CMDB) インベントリ ツールに移植します。
サービス アカウントと CMDB
収集した情報を CMDB アプリケーションに格納します。 インフラストラクチャ、アプリ、プロセスへの依存関係を含めます。 この中央リポジトリを使用して、次の操作を行います:
- リスクを評価する
- 制限付きのサービス アカウントを構成する
- 機能とセキュリティの依存関係を確認する
- セキュリティと継続的な必要性に関して定期的なレビューを実施する
- 所有者に連絡して、サービス アカウントのレビュー、廃止、変更を行う
人事シナリオの例
たとえば、人事 SQL データベースに接続するためのアクセス許可を持つ Web サイトを実行するサービス アカウントがあります。 例を含むサービス アカウント CMDB の情報を次の表に示します:
データ | 例 |
---|---|
所有者、Deputy | 名前、名前 |
目的 | HR Web ページを実行し、HR データベースに接続します。 データベースにアクセスするときは、エンド ユーザーの権限を借用します。 |
アクセス許可、スコープ | HR-WEBServer: ローカルにサインイン。Web ページの実行 HR-SQL1: ローカルにサインイン。HR データベースに対する読み取り権限 HR-SQL2: ローカルにサインイン。給料データベースのみに対する読み取り権限 |
コスト センター | 123456 |
評価されるリスク | 中、ビジネスへの影響: 中、個人情報: 中 |
アカウントの制限 | サインイン先: 前述のサーバーのみ。パスワードを変更できない。MBI パスワード ポリシー。 |
有効期間 | 無制限 |
レビュー サイクル | 半年ごと: 所有者、セキュリティ チーム、またはプライバシー チームによる |
サービス アカウントのリスク評価または正式なレビュー
承認されていないソースによってアカウントが侵害された場合は、関連するアプリケーション、サービス、インフラストラクチャに対するリスクを評価します。 直接的および間接的リスクを考慮します:
- 承認されていないユーザーがアクセスできるリソース
- サービス アカウントがアクセスできるその他の情報またはシステム
- アカウントが付与できるアクセス許可
- アクセス許可が変更されたときの指示またはシグナル
リスク評価の後、ドキュメントには、リスクがアカウントに影響することが示される可能性があります:
- 制限
- 有効期間
- 要件を確認する
- 頻度とレビュー担当者
サービス アカウントを作成し、アカウントの制限を適用する
注意
リスク評価後にサービス アカウントを作成し、結果を CMDB に文書化します。 アカウントの制限をリスク評価の結果に合わせます。
次の制限事項を考慮してください。ただし、お客様の評価には関連しないものもあります。
- サービス アカウントとして使用するユーザー アカウントに対して、現実的な終了日を定義してください
- [アカウントの有効期限] フラグを使用して、日付を設定します
- 詳細情報: Set-ADAccountExpiration
- 「Set-ADUser (Active Directory)」を参照してください
- パスワード ポリシーの要件
- 一部のユーザーのみがアカウントを管理できるように、組織単位の場所にアカウントを作成する
- 「アカウント OU とリソース OU の管理を委任する」を参照してください
- サービス アカウントの変更を検出する監査を設定し収集します。
- 「ディレクトリ サービスの変更の監査」を参照し、
- 「AD で Kerberos 認証イベントを監査する方法」について manageengine.com に移動します
- 運用環境に移行する前に、より安全にアカウント アクセス権を付与する
サービス アカウントのレビュー
定期的なサービス アカウント レビューをスケジュールします (特に中リスクと高リスク)。 レビューには次のものが含まれます:
- アカウントの必要性、および権限とスコープの正当性に対する所有者による証明
- アップストリームとダウンストリームの依存関係を含む、プライバシーとセキュリティのチームのレビュー
- 監査データのレビュー
- 明記された目的でアカウントが使用されていることを確認する
サービス アカウントをプロビジョニング解除する
次の手順でサービス アカウントをプロビジョニング解除します:
- サービス アカウントが作成されたスクリプトまたはアプリケーションの廃止
- サービス アカウントが作成されたスクリプトまたはアプリケーション機能の廃止
- 他のサービス アカウントへの置き換え
プロビジョニング解除するには:
- アクセス許可と監視を削除します。
- 関連するサービス アカウントのサインインとリソース アクセスを調べ、それらに潜在的な影響がないことを確認します。
- アカウントのサインインを禁止します。
- アカウントが今後不要であること (苦情がないこと) を確認します。
- アカウントが無効な時間を決定するビジネス ポリシーを作成します。
- サービス アカウントを削除します。
- MSA -「Uninstall-ADServiceAccount」を参照してください
- PowerShell を使用するか、または管理されたサービス アカウント コンテナーから手動で削除します
- コンピューターまたはユーザー アカウント - Active Directory から手動でアカウントを削除します
次のステップ
サービス アカウントのセキュリティ保護の詳細については、次の記事をご覧ください。