こんにちは!今回はMicrosoft Defender for IdentityやAD FSの利用時にたびたび作成することがある、グループ管理サービスアカウント(以下:gMSA)の作成方法について書くことができたらと思います!
KDSRootKeyの作成
gMSAを作成するためには、まずAD DS環境が必要です。その上で、KDSRootKeyを作成する必要があります。
※ もしすでに作成済みの場合は、この章はスキップしていただいて構いません。
KDSRootKeyの確認
まず作成したいサーバーにKDSRootKeyが作成されているかどうか確認します。
- 使用しているドメインコントローラーを起動し、サーバーマネージャーの[Active Directtory サイトとサービス]を開きます。
- 画面左上の表示をクリックし、[サービスノードの表示]をチェックします。
- [Services]>[Group Key Distribution Keys]>[Master Root Keys]をクリックし、以下のように種類が「msKds-ProvRootKey」の値が表示されていれば、KDSRootKeyは作成されている状態となります。
もし表示がない場合は、次のKDSRootKeyの作成手順へ行きましょう。
KDSRootKeyの作成
管理者権限でPowerShellを起動し、以下のコマンドを実行します。
Add-KdsRootKey -EffectiveTime ((Get-Date).AddHours(-10))
実行後、先ほどの確認手順でKDSRootKeyが表示されていれば、作成成功です。
gMSAの作成
- 以下コマンドを実行します。
New-ADServiceAccount -Name [gMSA名] -DNSHostName [gMSA名.ドメイン名] -PrincipalsAllowedToRetrieveManagedPassword "Domain Controllers"
- 以下コマンドを実行し、作成したgMSAの情報が表示されていれば作成成功です。
Get-ADServiceAccount [gMSA名] -Properties *
また、サーバーマネージャーの[ツール]から[Active Directory ユーザーとコンピューター]を開き、[ドメイン名]>[Managed Service Accounts]を開き、作成したgMSAが表示されていることを確認する方法もあります。
まとめ
今回はgMSAの作成方法について書いてみました。自分自身でも忘れてしまうことが多かったので、少しでもお役に立てたらうれしいです。
最後まで読んでいただきありがとうございました!
執筆担当者プロフィール
岡村 陸(日本ビジネスシステムズ株式会社)
MW2部2Gの岡村陸です。SharePoint Onlineを扱うことが多いです。趣味は麻雀とバスケットボールです。よろしくお願いいたします。
担当記事一覧