【Microsoft Defender for Identity】ディレクトリサービスアカウントの種類と作成方法

前回はセンサーインストール型を利用する場合のMicrosoft Defender for Identity(以下MDI)の前提条件について説明しました。

今回は、前提条件に含まれるディレクトリサービスアカウントについて種類とそれぞれの特徴、作成方法を説明します。

MDIがドメインコントローラーに接続するために、ディレクトリサービスアカウント(以下DSA)と呼ばれるサービスアカウントを、監視対象であるオンプレミスの Active Directory Domain Service（以下AD）上に作成する必要があります。

DSAには以下２つの種類があります。

gMSA
- グループ管理サービスアカウント。
- パスワードに関して、ドメインサービスにおけるキー配布サービス（KDS）で定期的な変更の元で管理され、管理者がパスワードの存在を意識する必要がない。
通常のユーザーアカウント
- 通常のドメインユーザーアカウント。
- パスワードの作成と管理が必要になる。

以下に５つの観点による比較表を記載します。

比較項目	gMSA	通常のユーザーアカウント
機能面	機能制約なし	機能制約なし
運用負荷	パスワード管理が不要	・パスワード管理が必要・パスワード変更の度にMDI管理ポータル上での設定変更が必要
対話型ログオン可否	不可	可能
アカウント侵害リスク	通常のユーザーアカウントと比べて、サービスアカウントのためIDとパスワードを実際のユーザーが利用できないため、アカウントが乗っ取られ、セキュリティインシデントが発生するリスクは低い。	gMSAと比べて、IDとパスワードを実際のユーザーが利用できるため、アカウントが乗っ取られ、セキュリティインシデントが発生するリスクが高い。
その他懸念/ リスク	特になし	パスワード期限が切れてしまった際にサービスが停止する可能性がある

２つとも機能制約はないものの、gMSAの方がセキュリティリスクが低く見受けられます。

※gMSAはMicrosoftの推奨

以下よりgMSAの作成方法について記載します。

gMSA のパスワードを作成するには KDSルートキーが必要です。

KDSルートキーとは、gMSAのパスワードをキー配布サービス(KDS)が管理するためのルートキーです。

KDSルートキーはフォレスト内に1つ作成されていれば問題ありません。また、AD更改等でKDSルートキーを作成したドメインコントローラーを降格しても、KDSルートキーは削除されず継続利用可能です。

まずは KDS ルートキーが存在するかを確認します。

【KDSルートキー有無確認手順】

ドメイン管理者権限のアカウントでドメインコントローラーにアクセスします
管理者権限でPowerShellを開き、以下コマンドを実行します。
```
add-kdsrootkey -effectivetime ((get-date).addhours(-10))
```
実行結果として[Guid]が表示され、[Active Directoryサイトとサービス]の[Master Root Keys]に作成したKDSルートキーが表示されていれば完了です。

以下コマンドを実行します。

New-ADServiceAccount -Name [gMSA名] -DNSHostName [gMSA名.ドメイン名] -PrincipalsAllowedToRetrieveManagedPassword "Domain Controllers"

手順3が成功したら、以下コマンドを実行して作成したgMSAの情報が表示されたら完了です。
```
Get-ADServiceAccount [gMSA名] -Properties *
```

今回はMDI利用時に必要となる、DSAの説明とgMSAの作成方法について説明しました。

次回は、gMSAに必要な権限とそれぞれの設定方法を説明予定です。