Criar uma conta de serviço gerenciado de grupo (gMSA) no Microsoft Entra Domain Services

Normalmente, os aplicativos e serviços precisam de uma identidade para se autenticar com outros recursos. Por exemplo, um serviço Web pode precisar se autenticar com um serviço de banco de dados. Se um aplicativo ou serviço tiver várias instâncias, como um farm de servidores Web, criar e configurar manualmente as identidades para esses recursos levará tempo.

Em vez disso, uma conta de serviço gerenciada por grupo (gMSA) pode ser criada no domínio gerenciado do Microsoft Entra Domain Services. O sistema operacional Windows gerencia automaticamente as credenciais de uma gMSA, o que simplifica o gerenciamento de grandes grupos de recursos.

Este artigo mostra como criar uma gMSA em um domínio gerenciado usando o Azure PowerShell.

Antes de começar

Para concluir este artigo, você precisará dos seguintes recursos e privilégios:

• Uma assinatura ativa do Azure.
  • Caso não tenha uma assinatura do Azure, crie uma conta.
• Um locatário do Microsoft Entra associado com a assinatura, sincronizado com um diretório local ou somente em nuvem.
  • Se necessário, crie um locatário do Microsoft Entra ou associe uma assinatura do Azure à sua conta.
• Um domínio gerenciado do Microsoft Entra Domain Services habilitado e configurado em seu locatário do Microsoft Entra.
  • Se necessário, conclua o tutorial Criar e configurar um domínio gerenciado do Microsoft Entra Domain Services.
• Uma VM de gerenciamento do Windows Server que está ingressada no domínio gerenciado do Domain Services.
  • Se necessário, conclua o tutorial para criar uma VM de gerenciamento.

Visão geral das contas de serviço gerenciado

Uma sMSA (conta autônoma de serviço gerenciado) é uma conta de domínio cuja senha é gerenciada automaticamente. Essa abordagem simplifica o gerenciamento do SPN (nome da entidade de serviço) e permite o gerenciamento delegado para outros administradores. Você não precisa criar e girar manualmente as credenciais da conta.

Uma gMSA (conta de serviço gerenciado de grupo) fornece a mesma simplificação de gerenciamento, mas para vários servidores do domínio. A gMSA permite que todas as instâncias de um serviço hospedado em um farm de servidores usem a mesma entidade de serviço para que os protocolos de autenticação mútua funcionem. Quando uma gMSA é utilizada como entidade de serviço, novamente o sistema operacional Windows gerencia a senha da conta, em vez de contar com o administrador.

Para obter mais informações, confira Visão geral das gMSAs (contas de serviço gerenciado de grupo).

Usar as contas de serviço nos Serviços de Domínio

À medida que os domínios gerenciados são bloqueados e gerenciados pela Microsoft, há algumas considerações ao usar as contas de serviço:

• Criar contas de serviço em UOs (unidades organizacionais) personalizadas no domínio gerenciado.
  • Não é possível criar uma conta de serviço nas UOs internas de Usuários AADDC ou Computadores AADDC.
  • Em vez disso, crie uma UO personalizada no domínio gerenciado e, em seguida, crie contas de serviço nessa UO personalizada.
• A chave raiz de KDS (Serviços de Distribuição de Chaves) está pré-criada.
  • A chave raiz de KDS é usada para gerar e recuperar senhas para as gMSAs. Nos Serviços de Domínio, a raiz KDS é criada para você.
  • Você não tem privilégios para criar outro ou exibir a chave raiz de KDS padrão.

Criar uma gMSA

Primeiro, crie uma UO personalizada usando o cmdlet New-ADOrganizationalUnit. Para obter mais informações sobre como criar e gerenciar as UOs personalizadas, consulte UOs Personalizadas nos Serviços de Domínio.

Dica

Para concluir essas etapas e criar uma gMSA, use a sua VM de gerenciamento. Essa VM de gerenciamento já deve ter os cmdlets do PowerShell do AD necessários e a devida conexão com o domínio gerenciado.

O exemplo a seguir cria uma UO personalizada chamada myNewOU no domínio gerenciado chamado aaddscontoso.com. Use sua própria UO e seu próprio nome de domínio gerenciado:

New-ADOrganizationalUnit -Name "myNewOU" -Path "DC=aaddscontoso,DC=COM"

Agora crie uma gMSA usando o cmdlet New-ADServiceAccount. Os seguintes parâmetros de exemplo são definidos:

• -Name é definido como WebFarmSvc
• O parâmetro -path especifica a UO personalizada para a gMSA criada na etapa anterior.
• As entradas de DNS e os nomes da entidade de serviço são definidos para WebFarmSvc.aaddscontoso.com
• As entidades de segurança no AADDSCONTOSO-SERVER$ têm permissão para recuperar a senha e usar a identidade.

Especifique seus próprios nomes e nomes de domínio.

New-ADServiceAccount -Name WebFarmSvc `
    -DNSHostName WebFarmSvc.aaddscontoso.com `
    -Path "OU=MYNEWOU,DC=aaddscontoso,DC=com" `
    -KerberosEncryptionType AES128, AES256 `
    -ManagedPasswordIntervalInDays 30 `
    -ServicePrincipalNames http/WebFarmSvc.aaddscontoso.com/aaddscontoso.com, `
        http/WebFarmSvc.aaddscontoso.com/aaddscontoso, `
        http/WebFarmSvc/aaddscontoso.com, `
        http/WebFarmSvc/aaddscontoso `
    -PrincipalsAllowedToRetrieveManagedPassword AADDSCONTOSO-SERVER$

Agora, os aplicativos e os serviços podem ser configurados para usar a gMSA conforme necessário.

Próximas etapas

Para obter mais informações, confira Introdução às contas de serviços gerenciados de grupo.