委任された管理者アカウントの使用

このトピックでは、Managed Service for Microsoft Active Directory が委任した管理者アカウントのを使用して、その認証情報を管理する方法について説明します。

概要

Managed Microsoft AD ドメインを作成すると、委任された管理者アカウントが Managed Microsoft AD により自動的に作成されます。このアカウントを使用してドメインを管理できます。 このアカウントにログインすると、次のことができるようになります。

  • データ オブジェクトと Active Directory オブジェクトを管理する
  • 他のサービス管理者を管理する
  • 標準の Active Directory ツールを使用する

詳細については、委任された管理者アカウントに自動的に付与される権限をご覧ください。

アカウント名を取得する

デフォルトでは、委任された管理者アカウントの名前は setupadmin です。ドメインを作成するときに、カスタム ユーザー名を指定することもできます。ドメインの作成後にはユーザー名を変更することはできません。

委任された管理者アカウントの名前を取得するには:

コンソール

  1. コンソールで、[Managed Microsoft AD] ページに移動します。
    [マネージド Microsoft AD] に移動
  2. [FQDN] から、委任された管理者アカウント名を取得するドメインを選択します。
  3. アカウント名は [管理者名] の下に表示されています。

gcloud

次のコマンドを実行します。

gcloud active-directory domains describe DOMAIN_NAME

レスポンスは、ドメインに関する情報を含む YAML です。委任された管理者アカウント名は、managedIdentitiesAdminName フィールドの下に表示されています。

managedIdentitiesAdminName: setupadmin

パスワードをリセットする

委任された管理者アカウントのパスワードを忘れた場合、既存のパスワードは取得できません。ただし、パスワードをリセットすることはできます。

委任された管理者アカウントのパスワードをリセットするには、次のいずれかの IAM ロールを付与されている必要があります。

  • Google Cloud Managed Identities 管理者(roles/managedidentities.admin
  • Google Cloud Managed Identities ドメイン管理者(roles/managedidentities.domainAdmin

詳細については、Cloud Managed Identities のロールをご覧ください。

コンソール

  1. コンソールで、[Managed Microsoft AD] ページに移動します。
    [マネージド Microsoft AD] に移動

  2. [FQDN] から、委任された管理者のパスワードをリセットするドメインを選択します。

  3. [ドメインの詳細] ページで、[パスワードを設定] を選択します。

  4. [パスワードを設定] ダイアログで、[確認] をクリックします。

  5. 新しいパスワードが [新しいパスワード] ダイアログに表示されます。

gcloud

次のコマンドを実行します。

gcloud active-directory domains reset-admin-password DOMAIN_NAME

この操作はドメイン自体の内部でパスワードをリセットするため、完了までに最大 60 秒ほどかかることがあります。

パスワードの有効期限の無効化

デフォルトでは、委任された管理者アカウントのパスワードは 42 日後に期限切れになります。

細かい設定が可能なパスワード ポリシー(FGPP)を使用すると、委任された管理者アカウントのパスワードの有効期限を無効にできます。FGPP を使用すると、必要なパスワード設定オブジェクト(PSO)の Maximum password age ポリシー設定の値を「0」に設定し、委任された管理者アカウントにパスワード ポリシーを適用できます。

委任された管理者アカウントのパスワードの有効期限を無効にするには、Cloud サービスの細かい設定が可能なパスワード ポリシーの管理者グループのメンバーである必要があります。

  1. このグループにユーザーを追加するには、PowerShell で次のコマンドを実行します。

    Add-ADGroupMember -Identity 'Cloud Service Fine Grained Password Policy Administrators' 
    
 -Members USER
    USER は、Cloud サービスの細かい設定が可能なパスワード ポリシーの管理者グループに追加するユーザー名に置き換えます。

    詳細については、ポリシーを管理する権限を委任するをご覧ください。

  2. 委任された管理者アカウントからログオフします。

委任された管理者アカウントのパスワードの有効期限を無効にするには、次の手順に従います。

  1. Cloud サービスの細かい設定が可能なパスワード ポリシーの管理者グループのメンバーとしてログインします。

  2. PowerShell で次のコマンドを実行して、MaxPasswordAge プロパティの値を「0」に変更します。

    Set-ADFineGrainedPasswordPolicy -Identity PSO -MaxPasswordAge 0
    PSO は、FGPP を使用してパスワードの有効期限ポリシーを無効にする PSO の名前に置き換えます。例: PSO-10

    Set-ADFineGrainedPasswordPolicy コマンドレットの詳細については、事前に作成されたパスワード ポリシーの変更をご覧ください。

  3. PowerShell で次のコマンドを実行して、委任された管理者アカウントにパスワード ポリシーを適用します。

    Add-ADFineGrainedPasswordPolicySubject PSO -Subjects DELEGATED_ADMINISTRATOR_ACCOUNT
    次のように置き換えます。

    • PSO: パスワードの有効期限ポリシーを無効にした PSO の名前。例: PSO-10
    • DELEGATED_ADMINISTRATOR_ACCOUNT: パスワードの有効期限を無効にする、委任された管理者アカウントの名前。例: setupadmin

    Add-ADFineGrainedPasswordPolicySubject コマンドレットの詳細については、パスワード ポリシーにユーザーまたはグループを追加するをご覧ください。

Active Directory Domain Services ツールの使用

Active Directory ドメイン サービス(AD DS)ツールにアクセスするには、委任された管理者アカウントを使用する必要があります。VM インスタンスに接続するときには、委任された管理者アカウントでログインしてください。VM への接続後にアカウントを切り替えたり、追加の認証情報を提供したりすることはできません。VM に接続したら、ロールと機能の追加ウィザードを使用して AD DS ツールを有効にできます。詳しくは、AD DS ツールの有効化をご覧ください。

UPN サフィックスを作成する

現在のドメインとルートドメインの名前は、デフォルトのユーザー プリンシパル名(UPN)サフィックスです。代替のドメイン名を追加すると、セキュリティが強化され、ユーザーのログイン名が簡略化されます。

UPN サフィックスを作成するには:

  1. 委任された管理者アカウントで VM インスタンスに接続します。
  2. [サーバー マネージャー] を開きます。
  3. [ツール] から、[Active Directory Domains and Trusts] を選択します。
  4. [Active Directory Domains and Trusts] 管理コンソールで、左側のペインで [Active Directory Domains and Trusts] を右クリックし、[プロパティ] を選択します。
  5. ダイアログ ボックスの [Alternate UPN suffixes] ボックスに、新しい UPN サフィックスの名前を入力します。
  6. [追加] をクリックして、[OK] をクリックします。

Active Directory に新しいユーザー アカウントを追加すると、ユーザー名を設定するときに、リストに利用可能な新しい UPN サフィックスが表示されます。