Microsoft Defender for Identity(以下、MDI)がドメインコントローラーに接続するために、ディレクトリサービスアカウント(以下、DSA)と呼ばれるサービスアカウントを作成する必要があります。
DSAは、通常のドメインユーザーアカウントもしくはグループ管理サービスアカウント(以下、gMSA)として作成します。
gMSAとは、パスワードをドメインサービスにおけるキー配布サービス(KDS)にて定期的な変更の元で管理され、管理者がパスワードの存在を意識する必要がないアカウントです。
gMSAは対話型ログオンが不可であることから、通常のドメインユーザーアカウントと比較して攻撃者による乗っ取り等のセキュリティリスクが低いと考えられるため、gMSAの方が優位性があると言えます。
以前、以下の記事でMDI利用の前提作業となる、gMSAの作成方法を紹介しました。
【Microsoft Defender for Identity】ディレクトリサービスアカウントの種類と作成方法 - JBS Tech Blog
gMSAは、MDI監視対象の環境ごとに作成方法が異なるため、今回は4パターンの環境ごとの作成方法を紹介します。
MDI監視対象環境パターン
MDI監視対象環境パターンとして以下4つを挙げました。
No. |
大分類 |
小分類 |
1 |
マルチドメイン構成 |
サブドメイン構成である(例:test1.co.jpとaaa.test1.co.jp) |
2 |
サブドメイン構成ではない(例:test1.co.jpとtest2.co.jp) |
|
3 |
シングルドメイン構成 |
双方向の信頼関係を持つフォレストが存在しない |
4 |
双方向の信頼関係を持つフォレストが存在する |
それぞれのgMSA作成方法を紹介します。
No1. マルチドメイン構成(サブドメイン構成である)の場合
下記図のような構成である場合、フォレストルートドメイン「test1.co.jp」にgMSA*1を作成します。
サブドメインが複数ある場合も、フォレストルートドメインに1つgMSAを作成すれば問題ありません。
No.2 マルチドメイン構成(サブドメイン構成ではない)の場合
下記図のような構成である場合、ドメイン「test1.co.jp」とドメイン「test2.co.jp」それぞれに1つずつの計2つgMSA*2を作成します。
単一フォレスト内に3つ、4つのドメインがある場合も、すべてのドメインに存在するADサーバーを含んだユニバーサルグループを指定したうえで、それぞれのドメインにgMSAを作成し、3つ、4つのgMSAを作成することになります。
No.3 シングルドメイン構成(双方向の信頼関係を持つフォレストが存在しない)の場合
下記図のような環境である場合、ドメイン「test1.co.jp」上にgMSA*3を作成します。
No.4 シングルドメイン構成(双方向の信頼関係を持つフォレストが存在する)の場合
下記図のような環境である場合、ドメイン「test1.co.jp」とドメイン「abc.com」それぞれに1つずつの計2つgMSA*4を作成します。
フォレスト「abc.com」にドメイン「abc.com」に加えさらに「def.com」が存在する場合も、すべてのドメインに存在するADサーバーを含んだユニバーサルグループを指定したうえで、「test1.co.jp」と「abc.com」、「def.com」上にgMSAを作成します。
さいごに
今回は、MDI監視対象環境ごとのgMSA作成方法を紹介しました。
少しの差異ではありますが、環境ごとに少し作成手順が異なるため、MDI導入環境を確認し、環境にあったgMSAを作成しきましょう。
*1:「test1.co.jp」と「aaa.test1.co.jp」それぞれに存在するADサーバーをすべて含めたユニバーサルグループを指定したgMSA。
*2:「test1.co.jp」と「test2.co.jp」それぞれに存在するADサーバーをすべて含めたユニバーサルグループを指定したgMSA。
*3:「test1.co.jp」に存在するADサーバーをすべて含むビルトインの”Domain Controllers”を gMSAのパスワードを取得するためのアクセス許可を付与するセキュリティグループに指定し、作成したgMSA。
*4:「test1.co.jp」と「abc.com」それぞれに存在するADサーバーをすべて含めたユニバーサルグループをgMSAのパスワードを取得するためのアクセス許可を付与するセキュリティグループに指定し、作成したgMSA。