Group Managed Service Accounts
- [アーティクル]
-
-
グループ管理サービス アカウントは、パスワードの自動管理、簡略化されたサービス プリンシパル名 (SPN) の管理、および管理を他の管理者に委任する機能を提供し、またこの機能を複数のサーバーに拡張する、マネージド ドメイン アカウントです。 Microsoft Entra クラウド同期では、エージェントを実行するための gMSA がサポートされ、使用されています。 インストーラーに新しいアカウントの作成を許可するか、カスタム アカウントを指定するかを選択できます。 このアカウントを作成するため、またはカスタム アカウントを使用している場合はアクセス許可を設定するために、セットアップ中に管理資格情報の入力を求められます。 インストーラーによってアカウントが作成された場合、アカウントは domain\provAgentgMSA$ として表示されます。 gMSA の詳細については、グループ管理サービス アカウントに関するページを参照してください。
gMSA の前提条件
- gMSA ドメインのフォレスト内の Active Directory スキーマを Windows Server 2012 以降に更新する必要があります。
- ドメイン コントローラー上の PowerShell RSAT モジュール。
- ドメイン内の少なくとも 1 つのドメイン コントローラーで Windows Server 2012 以降が実行されている必要があります。
- エージェントをインストールするドメイン参加済みサーバーは、Windows Server 2016 以降である必要があります。
gMSA アカウントに設定されたアクセス許可 (すべてのアクセス許可)
インストーラーが gMSA アカウントを作成する場合は、アカウント上のすべてのアクセス許可を設定します。 次の表で、これらのアクセス許可について詳しく説明しています
MS-DS-Consistency-Guid
| Type |
名前 |
アクセス |
適用対象 |
| Allow |
<gMSA アカウント> |
mS-Ds-ConsistencyGuid 書き込みプロパティ |
ユーザーの子孫オブジェクト |
| Allow |
<gMSA アカウント> |
mS-Ds-ConsistencyGuid 書き込みプロパティ |
グループの子孫オブジェクト |
関連付けられているフォレストが Windows Server 2016 環境でホストされている場合、NGC キーと STK キーに対する次のアクセス許可が含まれます。
| Type |
名前 |
アクセス |
適用対象 |
| Allow |
<gMSA アカウント> |
msDS-KeyCredentialLink 書き込みプロパティ |
ユーザーの子孫オブジェクト |
| Allow |
<gMSA アカウント> |
msDS-KeyCredentialLink 書き込みプロパティ |
デバイスの子孫オブジェクト |
パスワード ハッシュの同期
| Type |
名前 |
アクセス |
適用対象 |
| Allow |
<gMSA アカウント> |
ディレクトリの変更のレプリケート |
このオブジェクトのみ (ドメインのルート) |
| Allow |
<gMSA アカウント> |
ディレクトリの変更すべてのレプリケート |
このオブジェクトのみ (ドメインのルート) |
パスワード ライトバック
| Type |
名前 |
アクセス |
適用対象 |
| Allow |
<gMSA アカウント> |
パスワードのリセット |
ユーザーの子孫オブジェクト |
| Allow |
<gMSA アカウント> |
プロパティ lockoutTime の書き込み |
ユーザーの子孫オブジェクト |
| Allow |
<gMSA アカウント> |
プロパティ pwdLastSet の書き込み |
ユーザーの子孫オブジェクト |
| Allow |
<gMSA アカウント> |
無期限パスワード |
このオブジェクトのみ (ドメインのルート) |
グループの書き戻し
| Type |
名前 |
アクセス |
適用対象 |
| Allow |
<gMSA アカウント> |
汎用の読み取り/書き込み |
オブジェクトの種類のグループとサブオブジェクトのすべての属性 |
| Allow |
<gMSA アカウント> |
子オブジェクトの作成/削除 |
オブジェクトの種類のグループとサブオブジェクトのすべての属性 |
| Allow |
<gMSA アカウント> |
削除/ツリー オブジェクトの削除 |
オブジェクトの種類のグループとサブオブジェクトのすべての属性 |
Exchange ハイブリッドのデプロイ
| Type |
名前 |
アクセス |
適用対象 |
| Allow |
<gMSA アカウント> |
すべてのプロパティの読み取り/書き込み |
ユーザーの子孫オブジェクト |
| Allow |
<gMSA アカウント> |
すべてのプロパティの読み取り/書き込み |
InetOrgPerson の子孫オブジェクト |
| Allow |
<gMSA アカウント> |
すべてのプロパティの読み取り/書き込み |
グループの子孫オブジェクト |
| Allow |
<gMSA アカウント> |
すべてのプロパティの読み取り/書き込み |
連絡先の子孫オブジェクト |
Exchange メールのパブリック フォルダー
| Type |
名前 |
アクセス |
適用対象 |
| Allow |
<gMSA アカウント> |
すべてのプロパティの読み取り |
パブリック フォルダーの子孫オブジェクト |
UserGroupCreateDelete (CloudHR)
| Type |
名前 |
アクセス |
適用対象 |
| Allow |
<gMSA アカウント> |
汎用書き込み |
オブジェクトの種類のグループとサブオブジェクトのすべての属性 |
| Allow |
<gMSA アカウント> |
子オブジェクトの作成/削除 |
オブジェクトの種類のグループとサブオブジェクトのすべての属性 |
| Allow |
<gMSA アカウント> |
汎用書き込み |
オブジェクト型のユーザーとサブオブジェクトのすべての属性 |
| Allow |
<gMSA アカウント> |
子オブジェクトの作成/削除 |
オブジェクト型のユーザーとサブオブジェクトのすべての属性 |
カスタムの gMSA アカウントの使用
カスタム gMSA アカウントを作成する場合、インストーラーはカスタム アカウントにすべてのアクセス許可を設定します。
gMSA アカウントを使用するように既存のエージェントをアップグレードする手順については、「グループ管理サービス アカウント」を参照してください。
グループの管理されたサービス アカウント用の Active Directory を準備する方法について詳しくは、「グループの管理されたサービス アカウントの概要」をご覧ください。
次のステップ