グループ マネージド サービス アカウントの作成

このトピックでは、Managed Service for Microsoft Active Directory でグループ マネージド サービス アカウント(gMSA)を作成する方法について説明します。これらの標準の手順に従ってアカウントを設定し、Managed Microsoft AD に関する次の特別な考慮事項を組み込む必要があります。

KDS ルートキーを作成しない

通常、ドメインで初めて gMSA を作成する際には、キー配布サービス(KDS)のルートキーを生成する必要があります。Managed Microsoft AD は、ドメインの作成時に KDS ルートキーを生成するため、標準の手順からこの手順をスキップできます。

KDS ルートキーを表示する

KDS ルートキーを表示するには、次の手順を実行します。

まず、Active Directory Sites and Services のツールがリモート サーバー管理ツール(RSAT)からインストールされていることを確認します。

  1. Windows で、Active Directory Sites and Services ツールを起動します。このツールを起動するには、[実行] コマンド ダイアログ ボックスを開いてから、dssite.msc を入力します。
  2. [Active Directory Sites and Services] ツールで、[表示] タブを選択します。
  3. [表示] メニューから、[Show Services Node] を選択します。
  4. 左側のペインで、[サービス]> [グループキー配布サービス]> [マスタールートキー]を選択します。
  5. 右側のペインには、ドメインのキーの一覧が表示されます。キーを選択すると、その詳細が表示されます。

有効な KDS ルートキーが存在していても、Get-KdsRootKey PowerShell コマンドレットを実行すると空の応答が返される点にご注意ください。キーを表示できるのは、Get-KdsRootKeyコマンドレットをドメイン管理者として実行した場合のみです。

Managed Service Accounts OU でアカウントを作成する

Managed Microsoft AD ドメインの場合、新しい gMSA を Managed Service Accounts 組織単位(OU)の下に作成する必要があります。デフォルトでは、New-ADServiceAccount コマンドレットはこのロケーションに新しい gMSA を作成します。New-ADServiceAccount コマンドレットの詳細

マネージド サービス アカウントの管理を委任する

マネージド サービス アカウントの管理をユーザーに委任するには、Cloud Service Managed Service Account Administrators グループに追加します。Managed Microsoft AD が作成するグループについて学習する。