SharePoint Server でのパスワードの自動変更の構成
適用対象:
2016 2019 Subscription Edition 
SharePoint in Microsoft 365
SharePoint Server では、パスワードの自動変更を使用することにより、ユーザーが決定できるスケジュールに沿って、長くて暗号化されたパスワードを自動的に生成できます。
管理アカウントを構成する
管理アカウントをファームと共に登録し、アカウントを複数のサービスで使用できるようにする必要があります。 SharePoint サーバーの全体管理 Web サイトの [管理アカウントの登録] ページを使用して管理アカウントを登録できます。 [管理アカウントの登録] ページには、Active Directory ドメイン サービスまたはローカル コンピューターにアカウントを作成するオプションがありません。 SharePoint Server ファームの既存のアカウントを登録するためのオプションを使用できます。 以下の手順を実行し、サーバーの全体管理を使用して管理アカウントの設定を構成します。
サーバーの全体管理を使用して管理アカウントの設定を構成するには
この手順を実行しているユーザー アカウントがファーム管理者であることを確認します。
サーバーの全体管理で [セキュリティ] を選択します。
[ 一般的なセキュリティ] で、[ 管理アカウントの構成] をクリックします。
[管理アカウント] ページで、[ 管理アカウントの登録] をクリックします。
[管理アカウントの登録] ページの [ アカウント登録] セクションで、サービス アカウントの資格情報を入力します。
[ パスワードの自動変更] セクションで [ パスワードの自動変更を有効にする] チェック ボックスを選択し、SharePoint Server が選択したアカウントのパスワードを管理できるようにします。 次に、パスワードの自動変更プロセスが開始されるパスワードの有効期限が切れるまでの日数を示す数値を入力します。
[ パスワードの自動変更] セクションで、[ パスワード変更の以下の日数前に電子メール通知を開始する] チェック ボックスを選択し、電子メール通知が送信されるパスワードの自動変更プロセスが開始されるまでの日数を示す数値を入力します。 毎週または毎月の電子メール通知スケジュールを構成できます。
[OK] をクリックします。
パスワードの自動変更の設定を構成する
サーバーの全体管理の [パスワード管理の設定] ページを使用して、パスワードの自動変更のファーム レベルの設定を構成します。 ファーム管理者は、監視オプションやスケジュール オプションに加えて、すべてのパスワード変更通知の電子メールを送信するために使用する通知電子メールのアドレスを構成できます。 以下の手順を実行し、サーバーの全体管理を使用してパスワードの自動変更の設定を構成します。
サーバーの全体管理を使用してパスワードの自動変更の設定を構成するには
この手順を実行しているユーザー アカウントがファーム管理者であることを確認します。
サーバーの全体管理のホーム ページで、[ セキュリティ] をクリックします。
[ 一般的なセキュリティ] で、[ パスワード変更設定の構成] をクリックします。
[パスワード管理の設定] ページの [ 通知用の電子メール アドレス] セクションで、間近に迫ったパスワード変更または有効期限のイベントを通知する一人のユーザーまたはグループの電子メール アドレスを入力します。
マネージド アカウントに対してパスワードの自動変更が構成されていない場合は、[ アカウント監視プロセスの設定] セクションに、通知が [ 通知の電子メール アドレス ] セクションで構成されている電子メール アドレスに送信されるパスワードの有効期限までの日数を示す数値を入力します。
[ パスワードの自動変更の設定] セクションで、変更を開始するまでパスワードの自動変更が待機する (保留中のパスワード変更のサービスを通知した後) 秒数を示す数値を入力します。 プロセスを停止するまでパスワードの変更を試行する回数を示す数値を入力します。
[OK] をクリックします。
パスワードの自動変更のトラブルシューティング
以下のガイダンスを使用して、パスワードの自動変更を構成する際に発生する可能性がある一般的な問題を回避します。
パスワードの不一致
Active Directory Domain Services (AD DS) と SharePoint Server の間にパスワードの不一致があるため、パスワードの自動変更プロセスが失敗した場合、パスワード変更プロセスによって、ログオン時のアクセス拒否、アカウント ロックアウト、または AD DS の読み取りエラーが発生する可能性があります。 これらの問題のいずれかが発生した場合、AD DS パスワードが正しく構成されていること、および AD DS アカウントにセットアップ用の読み取りアクセス許可が付与されていることを確認してください。 Microsoft PowerShell を使用して、発生したパスワードの不一致問題を修正し、パスワードの変更プロセスを再開します。
PowerShell を使用してパスワードの不一致を修正するには
次のメンバーシップがあることを確認します。
SQL Server インスタンスにおける securityadmin 固定サーバー ロール。
更新するすべてのデータベースに対する db_owner 固定データベース ロール。
PowerShell コマンドレットを実行しているサーバー上の管理者グループ。
上に示した最小要件を満たすために必要なメンバーシップを追加します。
管理者は Add-SPShellAdmin コマンドレットを使用して、SharePoint Server コマンドレットを使用する権限を付与できます。
注:
アクセス許可がない場合は、セットアップ管理者または SQL Server 管理者に連絡してアクセス許可を要求してください。 PowerShell のアクセス許可の詳細については、「 Add-SPShellAdmin」を参照してください。
SharePoint 管理シェルを起動します。
PowerShell コマンド プロンプトで次のように入力します。
Set-SPManagedAccount [-Identity] <SPManagedAccountPipeBind> -ExistingPassword <SecureString> -UseExistingPassword $true詳細については、「Set-SPManagedAccount」を参照してください。
サービス アカウントのプロビジョニング エラー
ファーム内の 1 つ以上のサーバーでサービス アカウントのプロビジョニングまたは再プロビジョニングが失敗した場合は、タイマー サービスの状態を確認します。 Timer Service が停止している場合、再起動します。 タイマー サービス管理ジョブをすぐに開始するには、次の Stsadm コマンドを使用することを検討してください。 stsadm -o execadmsvcjobs
タイマー サービスを再起動しても問題が解決しない場合は、PowerShell を使用して、プロビジョニングエラーが発生したファーム内の各サーバーのマネージド アカウントを修復します。
サービス アカウントのプロビジョニング エラーを解決するには
次のメンバーシップがあることを確認します。
SQL Server インスタンスにおける securityadmin 固定サーバー ロール。
更新するすべてのデータベースに対する db_owner 固定データベース ロール。
PowerShell コマンドレットを実行しているサーバー上の管理者グループ。
上に示した最小要件を満たすために必要なメンバーシップを追加します。
管理者は Add-SPShellAdmin コマンドレットを使用して、SharePoint Server コマンドレットを使用する権限を付与できます。
注:
アクセス許可がない場合は、セットアップ管理者または SQL Server 管理者に連絡してアクセス許可を要求してください。 PowerShell のアクセス許可の詳細については、「 Add-SPShellAdmin」を参照してください。
SharePoint 管理シェルを起動します。
PowerShell コマンド プロンプトで次のように入力します。
Repair-SPManagedAccountDeployment
詳細については、「Repair-SPManagedAccountDeployment」を参照してください。
前の手順でサービス アカウントのプロビジョニングエラーが解決されない場合は、ファーム暗号化キーを復号化できないためである可能性があります。 これが問題である場合、PowerShell を使用して、ファームのパス フレーズに一致するようローカル サーバーのパス フレーズを更新します。
ローカル サーバーのパス フレーズを更新するには
次のメンバーシップがあることを確認します。
SQL Server インスタンスにおける securityadmin 固定サーバー ロール。
更新するすべてのデータベースに対する db_owner 固定データベース ロール。
PowerShell コマンドレットを実行しているサーバー上の管理者グループ。
上に示した最小要件を満たすために必要なメンバーシップを追加します。
管理者は Add-SPShellAdmin コマンドレットを使用して、SharePoint Server コマンドレットを使用する権限を付与できます。
注:
アクセス許可がない場合は、セットアップ管理者または SQL Server 管理者に連絡してアクセス許可を要求してください。 PowerShell のアクセス許可の詳細については、「 Add-SPShellAdmin」を参照してください。
SharePoint 管理シェルを起動します。
PowerShell コマンド プロンプトで次のように入力します。
Set-SPPassPhrase -PassPhrase <SecureString> -ConfirmPassPhrase <SecureString> -LocalServerOnly $true
詳細については、「Set-SPPassPhrase」を参照してください。
間近に迫ったパスワードの有効期限
パスワードの有効期限が切れそうになっているが、このアカウントに対してパスワードの自動変更が構成されていない場合は、PowerShell を使用して、管理者が選択できる新しい値または自動的に生成できる新しい値にアカウント パスワードを更新します。 アカウント パスワードを更新した後、Timer Service が開始していること、Administrator Service がファーム内のすべてのサーバーで有効にされていることを確認します。 その後、パスワード変更をファーム内のすべてのサーバーに伝達できます。
注:
管理者が SharePoint 検索トポロジでサーバーのパスワード変更を実行した場合は、サービスの再起動時に暗黙のクエリ ダウンタイムが発生します。 クエリ ダウンタイムは、通常、3 分から 5 分の間です。
アカウントのパスワードを更新するには
次のメンバーシップがあることを確認します。
SQL Server インスタンスにおける securityadmin 固定サーバー ロール。
更新するすべてのデータベースに対する db_owner 固定データベース ロール。
PowerShell コマンドレットを実行しているサーバー上の管理者グループ。
上に示した最小要件を満たすために必要なメンバーシップを追加します。
管理者は Add-SPShellAdmin コマンドレットを使用して、SharePoint Server コマンドレットを使用する権限を付与できます。
注:
アクセス許可がない場合は、セットアップ管理者または SQL Server 管理者に連絡してアクセス許可を要求してください。 PowerShell のアクセス許可の詳細については、「 Add-SPShellAdmin」を参照してください。
SharePoint 管理シェルを起動します。
アカウントのパスワードを自動的に生成された新しい値に更新するには、PowerShell コマンド プロンプトで、次を入力します。
Set-SPManagedAccount [-Identity] <SPManagedAccountPipeBind> -AutoGeneratePassword $true
詳細については、「Set-SPManagedAccount」を参照してください。
ファーム アカウントを別のアカウントに変更するための要件
ファーム アカウントを別のアカウントに変更する必要がある場合は、次の Stsadm コマンドを使用します。 stsadm.exe -o updatefarmcredentials -userlogin DOMAIN\username -password password