委任管理サービスアカウントの概要
Windows Server 2025 では、委任された管理サービス アカウント (dMSA) と呼ばれる新しいアカウントの種類が導入されました。これにより、従来のサービス アカウントから、マネージド キーと完全ランダム化キーを持つマシン アカウントに移行して、元のサービス アカウント パスワードを無効化できます。 dMSAの認証はデバイスIDにリンクされ、Active Directory (AD) にマップされた指定されたマシン ID のみがアカウントにアクセスできます。 dMSAを使用することで、従来のサービスアカウントでよくある問題である、漏洩したアカウント(ケルベロースティング)を使用した認証情報のハーベスティングを防ぐことができます。
dMSAとgMSAの比較
dMSAとgMSAは、Windows Serverでサービスとアプリケーションを実行するために使用される 2 種類の管理対象サービスアカウントです。 dMSAは管理者によって管理され、特定のサーバ上でサービスまたはアプリケーションを実行するために使用されます。 gMSAはADによって管理され、複数のサーバでサービスまたはアプリケーションを実行するために使用されます。 どちらも、セキュリティの向上とパスワード管理のシンプル化を実現します。 dMSAは以下の点で異なります。
- Credential Guard を使ってマシン認証をバインドし、使用範囲を制限するために gMSA の概念を利用します。
- CGを使用すると、パスワードを自動的に回転させ、すべてのサービスアカウントチケットをバインドすることで、dMSAのセキュリティを強化できます。 その後、レガシーアカウントは無効にされ、セキュリティがさらに向上します。
- gMSAは機械生成および自動回転パスワードで保護されますが、パスワードは機械バインドされておらず、盗難に遭う可能性があります。
dMSAの機能
dMSAを使用すると、スタンドアロンアカウントとして作成したり、既存の標準サービスアカウントを置き換えることができます。 dMSA が既存のアカウントに取って代わると、パスワードを使用した既存のアカウントへの認証はブロックされます。 要求はローカルセキュリティ管理局(LSA)にリダイレクトされ、dMSAを使用して認証されます。dMSA は、前のアカウントがADでアクセスできるすべてのものにアクセスできます。
移行中、dMSAはサービス アカウントが使用されるデバイスを自動的に学習し、その後、既存のすべてのサービス アカウントから移動するために使用します。
dMSAは、ドメイン コントローラ(DC)によって保持されるランダム化された秘密(機械アカウントのクレデンシャルから取得)を使用してチケットを暗号化します。 この秘密は、CGを有効にすることでさらに保護できます。 dMSAによって使用される秘密は、gMSAのようなエポックで定期的に更新されますが、重要な違いは、DC 以外ではdMSAの秘密を取得または検出できないことです。
dMSAの移行フロー
dMSAの移行フロー プロセスの簡単な概念には、次の手順が含まれます。
- CGポリシーは、機械IDを保護するように設定できます。
- 管理者がサービスアカウントの移行を開始し、完了します。
- サービスアカウントによって、チケット認可サーバ(TGT)がリフレッシュされます。
- サービスアカウントは、原則を許可するために機械IDを追加します。
- 元のサービスアカウントが無効になります。
dMSAを移行するときは、次の点に注意してください。
- 管理対象サービスアカウントまたはgMSAからdMSAに移行することはできません。
- セキュリティ記述子(SD)を変更してからdMSAの移行を完了するまでに、少なくとも2つのチケットのライフタイム(14日相当)を待ちます。 サービスを開始状態にして、チケットの有効期間(28 日間)を4回維持することをお勧めします。 DCがパーティション化されているか、またはオンボード中にレプリケーションが中断された場合は、移行を遅らせます。
- レプリケーション遅延がデフォルトのチケット更新時間である10時間よりも長いサイトに注意してください。 groupMSAMembershipアトリビュートは、チケット更新のたびにチェックされ、更新されます。また、「移行開始」状態中に元のサービスアカウントがログオンするたびに、groupMSAMembershipに機械アカウントが追加されます。
- たとえば、2つのサイトが同じサービスアカウントを使用し、各レプリケーションサイクルはチケットのライフタイムごとに10時間以上かかります。 このシナリオでは、最初のレプリケーションサイクル中にグループメンバーシップが失われます。
- 移行するには、SDのクエリと変更に読み書きドメインコントローラ(RWDC)にアクセスする必要があります。
- 以前のサービスアカウントが使用していた場合、移行が完了すると、制約のない委任は動作を停止します。 CGで保護されたdMSAを使用している場合、制約のない委任は動作を停止します。 詳細については、クレデンシャルガードを使用する際の考慮事項と既知の問題を参照してください。
警告
dMSAに移行する場合は、サービスアカウントを使用しているすべての機械をdMSAをサポートするために更新する必要があります。 これが当てはまらない場合、移行中にアカウントが無効になると、dMSAをサポートしていない機械は既存のサービスアカウントでの認証に失敗します。
dMSAのアカウントアトリビュート
ここでは、ADスキーマでdMSAのアトリビュートがどのように変更されるかについて説明します。 これらのアトリビュートは、Active DirectoryユーザーとコンピュータスナップインまたはDCでADSI Editを実行して表示できます。
Note
アカウントに設定された数値アトリビュートは、次のことを示します。
- 1 - アカウントの移行が開始されました。
- 2 - アカウントの移行が完了しました。
Start-ADServiceAccountMigrationを実行すると、次のように変更されます。
- サービスアカウントは、dMSA上のすべてのプロパティに「一般的な読み取り」が付与される
- サービスアカウントはmsDS-groupMSAMembershipに「書き込み」プロパティが付与されている
- msDS-DelegatedMSAStateが1に変更される
- msDS-ManagedAccountPrecededByLinkがサービスアカウントに設定される
- msDS-SupersededAccountStateが1に変更される
- msDS-SupersededManagedServiceAccountLinkがdMSAに設定される
Complete-ADServiceAccountMigrationを実行すると、次のように変更されます。
- サービスアカウントが、dMSA上のすべてのプロパティの「一般的な読み取り」から削除される
- サービスアカウントがmsDS-GroupMSAMembership属性の「書き込み」プロパティから削除された
- msDS-DelegatedMSAStateが2に設定される
- サービス アカウントから dMSA アカウントにサービス プリンシパル名 (SPN) がコピーされる
- 該当する場合、msDS-AllowedToDelegateToがコピーされる
- 該当する場合、msDS-AllowedToActOnBehalfOfOtherIdentityのセキュリティ記述子がコピーされる
- サービスアカウントのmsDS-AssignedAuthnPolicyに割り当てられたAuthNポリシーがコピーされる
- サービスアカウントがメンバーであったすべてのAuthNポリシーシロにdMSAが追加される
- 信頼できる「委任認証」ユーザーアカウント制御(UAC)ビットは、サービスアカウントに設定されている場合にコピーされる
- msDS-SupersededServiceAccountStateが2に設定される
- サービスアカウントは、UAC無効ビットを使用して無効にされる
- SPN がアカウントから削除される
dMSA 領域
領域は、認証境界を定義する論理グループとして機能し、ドメイン間またはフォレスト間で異なるバージョンの AD を統合するときによく使用されます。 領域は、一部のドメインが dMSA のすべての機能を完全にサポートしていない可能性があるドメイン混在環境では特に重要です。 領域を指定することで、dMSA はドメイン間の適切な通信と認証フローを確保できます。
管理者は領域を使用して、dMSA アカウントの認証とアクセスが可能なドメインまたはディレクトリ コンポーネントを指定できます。 これにより、dMSA 機能をネイティブにサポートしていない可能性のある古い子ドメインでも、セキュリティ境界を維持したままアカウントと対話できるようになります。 領域は、混在環境間での機能のスムーズな移行と共存を可能にすることで、セキュリティを損なうことなく互換性を確保するのに役立ちます。
たとえば、Windows Server 2025 で実行されている corp.contoso.com というプライマリ ドメインと、Windows Server 2022 で実行されている legacy.corp.contoso.com という古い子ドメインがある場合、領域を legacy.corp.contoso.com として指定できます。
環境のこのグループ ポリシー設定を編集するには、次のパスに移動します。
Computer Configuration\Administrative Templates\System\Kerberos\Enable Delegated Managed Service Account logons
