Creare un account del servizio gestito del gruppo (gMSA) in Azure Active Directory Domain ServicesCreate a group managed service account (gMSA) in Azure Active Directory Domain Services

Le applicazioni e i servizi spesso necessitano di un'identità per autenticarsi con altre risorse.Applications and services often need an identity to authenticate themselves with other resources. È ad esempio possibile che un servizio Web debba eseguire l'autenticazione con un servizio di database.For example, a web service may need to authenticate with a database service. Se un'applicazione o un servizio dispone di più istanze, ad esempio un server farm Web, la creazione e la configurazione manuale delle identità per tali risorse richiede molto tempo.If an application or service has multiple instances, such as a web server farm, manually creating and configuring the identities for those resources gets time consuming.

È invece possibile creare un account del servizio gestito del gruppo (gMSA) nel dominio gestito Azure Active Directory Domain Services (Azure AD DS).Instead, a group managed service account (gMSA) can be created in the Azure Active Directory Domain Services (Azure AD DS) managed domain. Il sistema operativo Windows gestisce automaticamente le credenziali per un gMSA, semplificando la gestione di gruppi di risorse di grandi dimensioni.The Windows OS automatically manages the credentials for a gMSA, which simplifies the management of large groups of resources.

Questo articolo illustra come creare un gMSA in un dominio gestito usando Azure PowerShell.This article shows you how to create a gMSA in a managed domain using Azure PowerShell.

Prima di iniziareBefore you begin

Per completare le procedure descritte in questo articolo, sono necessari i privilegi e le risorse seguenti:To complete this article, you need the following resources and privileges:

Panoramica degli account del servizio gestitiManaged service accounts overview

Un account del servizio gestito autonomo (sMSA) è un account di dominio la cui password viene gestita automaticamente.A standalone managed service account (sMSA) is a domain account whose password is automatically managed. Questo approccio semplifica la gestione del nome dell'entità servizio (SPN) e consente la gestione delegata ad altri amministratori.This approach simplifies service principal name (SPN) management, and enables delegated management to other administrators. Non è necessario creare e ruotare manualmente le credenziali per l'account.You don't need to manually create and rotate credentials for the account.

Un account del servizio gestito del gruppo (gMSA) offre la stessa semplificazione della gestione, ma per più server nel dominio.A group managed service account (gMSA) provides the same management simplification, but for multiple servers in the domain. Un gMSA consente a tutte le istanze di un servizio ospitato in un server farm di usare la stessa entità servizio per il funzionamento dei protocolli di autenticazione reciproca.A gMSA lets all instances of a service hosted on a server farm use the same service principal for mutual authentication protocols to work. Quando un gMSA viene usato come entità servizio, il sistema operativo Windows gestisce nuovamente la password dell'account anziché affidarsi all'amministratore.When a gMSA is used as service principal, the Windows operating system again manages the account's password instead of relying on the administrator.

Per ulteriori informazioni, vedere Panoramica degli account del servizio gestito del gruppo (gMSA).For more information, see group managed service accounts (gMSA) overview.

Uso degli account del servizio in Azure AD DSUsing service accounts in Azure AD DS

Poiché i domini gestiti sono bloccati e gestiti da Microsoft, è necessario tenere presenti alcune considerazioni relative all'utilizzo degli account del servizio:As managed domains are locked down and managed by Microsoft, there are some considerations when using service accounts:

  • Creare account del servizio in unità organizzative (OU) personalizzate nel dominio gestito.Create service accounts in custom organizational units (OU) on the managed domain.
    • Non è possibile creare un account del servizio nelle ou Aaddc computers users o computer aaddc Computers predefiniti.You can't create a service account in the built-in AADDC Users or AADDC Computers OUs.
    • Al contrario, creare un'unità organizzativa personalizzata nel dominio gestito e quindi creare gli account del servizio nell'unità organizzativa personalizzata.Instead, create a custom OU in the managed domain and then create service accounts in that custom OU.
  • La chiave radice di servizi di distribuzione chiavi (KDS) è già creata.The Key Distribution Services (KDS) root key is pre-created.
    • La chiave radice KDS viene utilizzata per generare e recuperare le password per servizi gestiti.The KDS root key is used to generate and retrieve passwords for gMSAs. In Azure AD DS viene creata automaticamente la radice KDS.In Azure AD DS, the KDS root is created for you.
    • Non si dispone dei privilegi necessari per crearne un altro o visualizzare la chiave radice KDS predefinita.You don't have privileges to create another, or view the default, KDS root key.

Creare un account del servizio gestito di gruppoCreate a gMSA

Per prima cosa, creare un'unità organizzativa personalizzata usando il cmdlet New-ADOrganizationalUnit .First, create a custom OU using the New-ADOrganizationalUnit cmdlet. Per altre informazioni sulla creazione e la gestione di unità organizzative personalizzate, vedere ou personalizzate in Azure AD DS.For more information on creating and managing custom OUs, see Custom OUs in Azure AD DS.

Suggerimento

Per completare questi passaggi per creare un gMSA, usare la VM di gestione.To complete these steps to create a gMSA, use your management VM. Questa macchina virtuale di gestione deve avere già i cmdlet e la connessione necessari ad PowerShell per il dominio gestito.This management VM should already have the required AD PowerShell cmdlets and connection to the managed domain.

Nell'esempio seguente viene creata una OU personalizzata denominata myNewOU nel dominio gestito denominato aaddscontoso.com.The following example creates a custom OU named myNewOU in the managed domain named aaddscontoso.com. Usare la propria unità organizzativa e il nome di dominio gestito:Use your own OU and managed domain name:

New-ADOrganizationalUnit -Name "myNewOU" -Path "DC=aaddscontoso,DC=COM"

A questo punto, creare un gMSA con il cmdlet New-ADServiceAccount .Now create a gMSA using the New-ADServiceAccount cmdlet. Vengono definiti i parametri di esempio seguenti:The following example parameters are defined:

  • -Name è impostato su WebFarmSvc-Name is set to WebFarmSvc
  • -Path parametro specifica l'unità organizzativa personalizzata per il gMSA creato nel passaggio precedente.-Path parameter specifies the custom OU for the gMSA created in the previous step.
  • Le voci DNS e i nomi dell'entità servizio sono impostati per WebFarmSvc.aaddscontoso.comDNS entries and service principal names are set for WebFarmSvc.aaddscontoso.com
  • Le entità in AADDSCONTOSO-server $ possono recuperare la password usando l'identità.Principals in AADDSCONTOSO-SERVER$ are allowed to retrieve the password use the identity.

Specificare i nomi e i nomi di dominio.Specify your own names and domain names.

New-ADServiceAccount -Name WebFarmSvc `
    -DNSHostName WebFarmSvc.aaddscontoso.com `
    -Path "OU=MYNEWOU,DC=aaddscontoso,DC=com" `
    -KerberosEncryptionType AES128, AES256 `
    -ManagedPasswordIntervalInDays 30 `
    -ServicePrincipalNames http/WebFarmSvc.aaddscontoso.com/aaddscontoso.com, `
        http/WebFarmSvc.aaddscontoso.com/aaddscontoso, `
        http/WebFarmSvc/aaddscontoso.com, `
        http/WebFarmSvc/aaddscontoso `
    -PrincipalsAllowedToRetrieveManagedPassword AADDSCONTOSO-SERVER$

È ora possibile configurare le applicazioni e i servizi per l'uso di gMSA in base alle esigenze.Applications and services can now be configured to use the gMSA as needed.

Passaggi successiviNext steps

Per ulteriori informazioni su servizi gestiti, vedere la pagina relativa all' Introduzione agli account del servizio gestiti del gruppo.For more information about gMSAs, see Getting started with group managed service accounts.