グループのマネージド サービス アカウントを使用するように Microsoft Identity Manager 固有のサービスを変換する

この記事は、グループのマネージド サービス アカウント (gMSA) を使用するように、サポートされている Microsoft Identity Manager サービスを構成するためのガイドです。 環境の事前構成が完了すると、gMSA への変換プロセスは簡単です。

[前提条件]

  • 次の必要な修正プログラムをダウンロードしてインストールします。Microsoft Identity Manager 4.5.26.0 以降

    サポートされているサービス:

    • Microsoft Identity Manager 同期サービス (FIMSynchronizationService)
    • Microsoft Identity Manager サービス (FIMService)
    • Microsoft Identity Manager Password Registration
    • Microsoft Identity Manager Password Reset
    • Privileged Access Management (PAM) Monitoring Service (PamMonitoringService)
    • PAM コンポーネント サービス (PrivilegeManagementComponentService)

    サポートされていないサービス:

    • Microsoft Identity Manager ポータルはサポートされていません。 これは SharePoint 環境の一部であり、ファーム モードでデプロイし、SharePoint Server で自動パスワード変更を構成する必要があります。
    • Microsoft Identity Manager サービス管理エージェントを除くすべての管理エージェント
    • Microsoft Certificate Management
    • BHOLD
  • 環境の設定に関する背景情報と一般的な参照情報については、以下を参照してください。

  • 開始する前に、Windows ドメイン コントローラー上でキー配布サービスのルート キーを作成します。 次の情報に注意してください。

    • ルート キーは、ドメイン コントローラー上でパスワードやその他の情報を生成するためにキー配布サービス (KDS) サービスによって使用されます。
    • ルート キーは、必要に応じて、ドメインごとに 1 回だけ作成します。
    • Add-KDSRootKey –EffectiveImmediately を含めます。 "–EffectiveImmediately" は、ルート キーをすべてのドメイン コントローラーにレプリケートするためにかかる時間が最大 10 時間であることを意味します。 2 つのドメイン コントローラーにレプリケートするには、約 1 時間かかります。

Active Directory ドメイン コントローラー上で実行するアクション

  1. MIMSync_Servers という名前のグループを作成し、そこにすべての同期サーバーを追加します。

    MIMSync_Servers グループを作成する

  2. 既にドメインに参加しているアカウントを使用して "ドメイン管理者" として Windows PowerShell にサインインし、次のコマンドを実行します。

    New-ADServiceAccount -Name MIMSyncGMSAsvc -DNSHostName MIMSyncGMSAsvc.contoso.com -PrincipalsAllowedToRetrieveManagedPassword "MIMSync_Servers"

    PowerShell のコマンド

    • 同期の gMSA の詳細を表示します。
      同期の gMSA の詳細

    • パスワード変更通知サービス (PCNS) を実行している場合は、次のコマンドを実行して委任を更新します。

      Set-ADServiceAccount -Identity MIMSyncGMSAsvc -ServicePrincipalNames @{Add="PCNSCLNT/mimsync.contoso.com"}

Microsoft Identity Manager 同期サーバー上で実行するアクション

  1. Sychronization Service Manager で、暗号化キーをバックアップします。 これは、変更モードのインストール時に必要になります。 次を実行します。

    a. Synchronization Service Manager がインストールされているサーバー上で、Synchronization Service Key Management ツールを探します。 エクスポートキーセットは、既定で既に選択されています。

    b. [次へ] を選択します。

    c. プロンプトで、Microsoft Identity Manager または Forefront Identity Manager (FIM) 同期サービスのアカウント情報を入力して確認します。

    • アカウント名:初回のインストール時に使用される同期サービス アカウントの名前。
    • パスワード: 同期サービス アカウントのパスワード。
    • ドメイン: 同期サービス アカウントが属するドメイン。

    d. [次へ] を選択します。

    アカウント情報を適切に入力した場合、バックアップ暗号化キーの保存先またはエクスポート ファイルの場所を変更するオプションが表示されます。 既定では、エクスポートファイルの場所はC:\ Windows \system32\miiskeys-1.binです。

  2. Microsoft Identity Manager 2016 SP1 以降の修正プログラムをインストールします。これについては、ボリュームライセンスサービスセンターまたは MSDN ダウンロードサイトを参照してください。 インストールが完了したら、キーセット miiskeys.bin を保存します。

    Microsoft Identity Manager 同期サービスのインストールの進行状況ウィンドウ

  3. 修正プログラム 4.5.2.6.0 以降をインストールします。

  4. 修正プログラムのインストールが完了したら、次を実行して FIM 同期サービスを停止します。

    a. コントロールパネルで、[プログラムと機能Microsoft Identity Manager] を選択し ます。
    b. [同期サービス] ページで、 [ 次へ変更] を選択します。
    c. [メンテナンス オプション] ウィンドウで、 [構成] を選択します。

    [メンテナンス オプション] ウィンドウ

    d. [Configure Microsoft Identity Manager Synchronization Service]\(Microsoft Identity Manager 同期サービスの構成\) ウィンドウで、 [サービス アカウント] ボックスの既定値をクリアしてから、「MIMSyncGMSA$ 」と入力します。 次の図に示すように、必ずドル記号 ($) を含めてください。 [パスワード] ボックスは空のままにします。

    [Configure Microsoft Identity Manager Synchronization Service]\(Microsoft Identity Manager 同期サービスの構成\) ウィンドウ

    e. [次回インストール] を選択します。
    f. 以前に保存した miiskeys.bin ファイルからキーセットを復元します。

    キーセットの構成を復元するオプション

    Synchronization Service Manager の管理エージェント一覧

Microsoft Identity Manager サービス

重要

Microsoft Identity Manager サービス関連のアカウントを gMSA アカウントに変換するときは、このセクションの手順に注意してください。

  1. Microsoft Identity Manager サービス、PAM Rest API、PAM 監視サービス、PAM コンポーネント サービス、セルフサービス パスワード リセット (SSPR) 登録ポータル、および SSPR リセット ポータルのグループのマネージド アカウントを作成します。

    • gMSA の委任とサービス プリンシパル名 (SPN) を更新します。

      • Set-ADServiceAccount -Identity \<account\> -ServicePrincipalNames @{Add="\<SPN\>"}
    • 委任:

      • Set-ADServiceAccount -Identity \<gmsaaccount\> -TrustedForDelegation $true
    • 制約付き委任:

      • $delspns = 'http/mim', 'http/mim.contoso.com'
      • New-ADServiceAccount -Name \<gmsaaccount\> -DNSHostName \<gmsaaccount\>.contoso.com -PrincipalsAllowedToRetrieveManagedPassword \<group\> -ServicePrincipalNames $spns -OtherAttributes @{'msDS-AllowedToDelegateTo'=$delspns }
  2. 同期グループに Microsoft Identity Manager サービスのアカウントを追加します。 この手順は、SSPR の場合に必要です。

    [Active Directory ユーザーとコンピューター] ウィンドウ

    注意

    Windows Server 2012 R2 の既知の問題は、Windows の再起動後に Microsoft キー配布サービスが開始されないため、サーバーの再起動後にマネージド アカウントを使用するサービスが応答しなくなることです。 この問題を回避するには、次のコマンドを実行します。

    sc triggerinfo kdssvc start/networkon

    このコマンドを実行すると、ネットワークがある場合に (通常はブート サイクルの初期に) Microsoft キー配布サービスが開始されます。

    同様の問題の詳細については、「AD FS Windows 2012 R2: adfssrv が開始モードでハングする」を参照してください。

  3. Microsoft Identity Manager サービスの昇格された MSI を実行し、 [変更] を選択します。

  4. [Configure mail server connection]\(メール サーバーの接続の構成\) ウィンドウで、 [Use different user for Exchange (for managed accounts)]\(Exchange に別のユーザーを使用する (マネージド アカウントの場合)\) チェック ボックスをオンにします。 現在の Exchange アカウントまたはクラウド メールボックスを使用するオプションが表示されます。

    注意

    [Use Exchange Online]\(Exchange Online を使用する\) オプションを選択した場合、Microsoft Identity Manager サービスで Microsoft Identity Manager Outlook アドインからの承認応答を処理できるようにするには、インストール後に、レジストリ キー HKLM\SYSTEM\CurrentControlSet\Services\FIMServicePollExchangeEnabled の値を 1 に設定します。

    [Configure mail server connection]\(メール サーバーの接続の構成\) ウィンドウ

  5. [Configure the MIM service account]\(MIM サービス アカウントの構成\) ウィンドウで、 [サービス アカウント名] に名前を入力します。 必ずドル記号 ($) を含めてください。 また、 [Service Email Account Password]\(サービスのメール アカウント パスワード\) ボックスにパスワードを入力します。 [サービス アカウント パスワード] ボックスは使用できません。

    [Configure the MIM service account]\(MIM サービス アカウントの構成\) ウィンドウ

    LogonUser 関数はマネージド アカウントでは機能しないため、次のページに "Please check if Service Account is secure in its current configuration" (サービス アカウントが現在の構成で安全かどうかを確認してください) という警告が表示されます。

    [Account Security Warning]\(アカウントのセキュリティ警告\) ウィンドウ

  6. [Configure Privileged Access Management REST API]\(Privileged Access Management REST API の構成\) ウィンドウの [Application Pool Account Name]\(アプリケーション プール アカウント名\) ボックスにアカウント名を入力します。 必ずドル記号 ($) を含めてください。 [アプリケーション プール アカウントのパスワード] ボックスは空のままにします。

    [Configure Privileged Access Management REST API]\(Privileged Access Management REST API の構成\) ウィンドウ

  7. [Configure PAM Component Service]\(PAM コンポーネント サービスの構成\) ウィンドウで、 [サービス アカウント名] ボックスにアカウント名を入力します。 必ずドル記号 ($) を含めてください。 [サービス アカウント パスワード] ボックスは空のままにします。

    [Configure PAM Component Service]\(PAM コンポーネント サービスの構成\) ウィンドウ

    [Account Security Warning]\(アカウントのセキュリティ警告\) ウィンドウ

  8. [Configure the Privileged Access Management Monitoring Service]\(Privileged Access Management 監視サービスの構成\) ウィンドウで、 [サービス アカウント名] ボックスにサービス アカウント名を入力します。 必ずドル記号 ($) を含めてください。 [サービス アカウント パスワード] ボックスは空のままにします。

    [Configure Privileged Access Management Monitoring Service]\(Privileged Access Management 監視サービスの構成\) ウィンドウ

  9. [Configure MIM Password Registration Portal]\(MIM パスワード登録ポータルの構成\) ウィンドウで、 [アカウント名] ボックスにアカウント名を入力します。 必ずドル記号 ($) を含めてください。 [パスワード] ボックスは空のままにします。

    [Configure MIM Password Registration Portal]\(MIM パスワード登録ポータルの構成\) ウィンドウ

  10. [Configure MIM Password Reset Portal]\(MIM パスワード リセット ポータルの構成\) ウィンドウで、 [アカウント名] ボックスにアカウント名を入力します。 必ずドル記号 ($) を含めてください。 [パスワード] ボックスは空のままにします。

    [Configure MIM Password Reset Portal]\(MIM パスワード リセット ポータルの構成\) ウィンドウ

  11. インストールを完了します。

    注意

    インストール時に、暗号化された Exchange パスワードを格納するために、レジストリ パス HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Forefront Identity Manager\2010\Service に 2 つの新しいキーが作成されます。 1 つは ExchangeOnline 用で、もう 1 つは ExchangeOnPremise 用です。 エントリの 1 つについては、 [データ] 列の値を空にする必要があります。

    レジストリ エディター

変更モードを実行せずに格納されているアカウントのパスワードを更新するには、この PowerShell スクリプトをダウンロードします。

Exchange パスワードを暗号化するために、インストーラーによって追加のサービスが作成され、マネージド アカウントの権限で実行されます。 次のメッセージは、インストール時に Application イベント ログに追加されます。

[イベント ビューアー] ウィンドウ