グループ管理サービス アカウントのサポートSupport for group managed service accounts

Operations Manager 2019 UR1 以降では、グループ管理サービス アカウント (gMSA) がサポートされています。Operations Manager 2019 UR1 and later supports group managed service accounts (gMSA). この記事では、gMSA に使用されるアカウントと、gMSA のサポートに関連する手順について詳しく説明します。This article details the accounts used for gMSA, and the procedures involved with gMSA support.

注意

この記事は、Operations Manager 2019 UR1 以降に適用されます。This article is applicable for Operations Manager 2019 UR1 and later. この記事では、Operations Manager で gMSA を使用する方法については説明しますが、これらを作成する方法については説明しません。The article provides information on how to use gMSA in operations manager, does not include information on how to create these. gMSA アカウントの作成方法については、gMSA アカウントに関する記事をご覧ください。For information on how to create gMSA accounts, see gMSA accounts.

gMSA に使用されるアカウントAccounts used for gMSA

現在、Operations Manager では次のアカウントとサービスが使用されます。Currently, Operations Manager uses the following accounts and services :

  • アクション アカウントAction Accounts
    • 既定のアクション アカウント - 管理サーバー アクション アカウントDefault Action account-management server Action account
    • エージェント アクション アカウントAgent Action account
    • GW サーバー アクション アカウントGW Server Action account
    • 実行アカウントRun as accounts
  • System Center 構成サービスおよび System Center データ アクセス サービス (ローカルの管理者グループに含まれている必要があります)System Center Configuration Service and System Center Data Access Service (needs to be a part of local administrators group)
  • データ リーダー アカウント (SSRS の場合) は、Operations Manager レポート セキュリティ管理者グループのメンバーである必要があります。Data Reader account (for SSRS), must be a member of Operations Manager Report Security Administrators group.
  • データ ウェアハウス書き込みアカウント (DW の場合) は、Operations Manager レポート セキュリティ管理者グループのメンバーである必要があります。Data Warehouse Write account (for DW), must be a member of Operations Manager Report Security Administrators group.
  • エージェント インストール アカウントAgent Installation account
    • 既定では MSAA (ターゲット コンピューターに対する管理者権限が必要です)。MSAA by default, needs admin rights on the target computers.

gMSA を活用するには、管理者が次の操作を行う必要があります。To leverage gMSA, administrators need to do the following:

コンピューター上で管理サービス アカウントを使用できるかどうかを確認するVerify if managed service accounts can be used on the computer

gMSA アカウントごとに、次の PowerShell コマンドを実行します。Run the following PowerShell command for each gMSA account. True が返された場合は、選択した管理サーバー上で gMSA を使用する準備ができています。If it returns True, then gMSA is ready to be used on the management server you selected.

Test-ADServiceAccount \<gMSA\_name\>

次のステップNext steps

gMSA を使用するには、次の手順を実行します。To use gMSA, do the following:

セキュリティ権限の指定Provide security rights

データベースの変更Change databases

サービス レベル アカウントの変更Service level account changes

コンソール レベルの変更Console level changes