サービス アカウントは、Windows Server オペレーティング システムで実行されているサービスのセキュリティ コンテキストを提供するために明示的に作成されるユーザー アカウントです。 セキュリティ コンテキストによって、サービスがローカルおよびネットワーク リソースにアクセスできるかどうかが決まります。 Windows オペレーティング システムは、さまざまな機能を実行するサービスに依存しています。 これらのサービスは、アプリケーション、サービス スナップイン、タスク マネージャー、または Windows PowerShell を使用して構成できます。
この記事には、次の種類のサービス アカウントに関する情報が含まれています。
スタンドアロンのマネージド サービス アカウント
マネージド サービス アカウントは、インターネット インフォメーション サービス (IIS) などの重要なアプリケーションでドメイン アカウントを分離するように設計されています。 それらを使用すると、管理者がアカウントのサービス プリンシパル名 (SPN) と資格情報を手動で管理する必要がなくなります。
1 台のコンピューター上のサービスには、1 つの管理対象サービス アカウントを使用できます。 管理対象サービス アカウントを複数のコンピューター間で共有することはできません。 また、サービスが複数のクラスター ノードにレプリケートされるサーバー クラスターでは使用できません。 このシナリオでは、グループの管理対象サービス アカウントを使用する必要があります。 詳細については、「Group Managed Service Accounts Overview (グループ マネージド サービス アカウントの概要)」をご覧ください。
重要なサービスの個々のアカウントを持つことによって提供される強化されたセキュリティに加えて、マネージド サービス アカウントに関連する 4 つの重要な管理上の利点があります。
ローカル コンピューターでサービスを維持管理するために使用できるドメイン アカウントのクラスを作成できます。
管理者が手動でパスワードをリセットする必要があるドメイン アカウントとは異なり、これらのアカウントのネットワーク パスワードは自動的にリセットされます。
マネージド サービス アカウントを使用するために複雑な SPN 管理タスクを完了する必要はありません。
管理サービス アカウントの管理タスクを非管理者アカウントに委任できます。
Note
マネージド サービス アカウントは、この記事の冒頭にある「適用対象」セクションに記載されている Windows オペレーティング システムにのみ 適用されます 。
グループ管理サービス アカウント
グループ管理サービス アカウントは、スタンドアロンのマネージド サービス アカウントの拡張機能です。 これらのアカウントは管理されたドメイン アカウントであり、パスワードの自動管理と簡略化された SPN の管理を可能にします (他の管理者への管理の委任も可)。
グループ管理サービス アカウントは、ドメイン内のスタンドアロンのマネージド サービス アカウントと同じ機能を提供しますが、その機能は複数のサーバーに拡張されます。 ネットワーク負荷分散など、サーバー ファームでホストされているサービスに接続するときは、相互認証をサポートする認証プロトコルによって、サービスのすべてのインスタンスが同じプリンシパルを使用することが必要とされます。 グループ管理サービス アカウントをサービス プリンシパルとして使用する場合、Windows Server オペレーティング システムは、管理者に頼ってパスワードを管理するのではなく、アカウントのパスワードを管理します。
Microsoft キー配布サービス (kdssvc.dll) は、Active Directory アカウントのキー識別子を持つ最新のキーまたは特定のキーを安全に取得するメカニズムを提供します。 このサービスは Windows Server 2012 で導入されたもので、それ以前のバージョンの Windows Server オペレーティング システムでは動作しません。 Kdssvc.dll は、アカウントのキーを作成するために使用されるシークレットを共有します。 これらのキーは定期的に変更されます。 グループ管理サービス アカウントの場合、ドメイン コントローラー (DC) は、グループ管理サービス アカウントの他の属性に加えて、kdssvc.dllによって提供されるキーのパスワードを計算します。
委任されたマネージド サービス アカウント
Windows Server 2025 では、委任されたマネージド サービス アカウント (dMSA) と呼ばれる新しい種類のアカウントが導入されました。 この種類のアカウントを使用すると、従来のサービス アカウントから、キーが管理され、完全にランダム化されたマシン アカウントに移行しながら、元のサービス アカウント パスワードも無効にできます。 dMSAの認証はデバイスIDにリンクされ、ADにマップされた指定された機械IDのみがアカウントにアクセスできます。 dMSA を使用すると、従来のサービス アカウントに関連付けられている侵害されたアカウントによる資格情報の収集に関する一般的な問題を防ぐことができます。
スタンドアロン アカウントとして dMSA を作成することも、既存の標準サービス アカウントをそれに置き換えることもできます。 既存のアカウントが dMSA に置き換えられると、古いアカウントのパスワードによる認証がブロックされます。 代わりに、要求は dMSA を介した認証のためにローカル セキュリティ機関 (LSA) にリダイレクトされ、AD の以前のアカウントと同じリソースにアクセスできます。 詳細については、 委任された管理サービスアカウントの概要を参照してください。
仮想アカウント
仮想アカウントは、次の利点を提供することでサービス管理を簡素化するマネージド ローカル アカウントです。
- 仮想アカウントは自動的に管理されます。
- 仮想アカウントはドメイン環境でネットワークにアクセスできます。
- パスワード管理の必要はありません。 たとえば、Windows Server での SQL Server のセットアップ時にサービス アカウントに既定値を使用する場合、サービス名としてインスタンス名を使用する仮想アカウントは、
NT SERVICE\<SERVICENAME>形式で確立されます。
仮想アカウントとして実行されるサービスは、コンピューター アカウントの資格情報を使用して、 <domain_name>\<computer_name>$形式でネットワーク リソースにアクセスします。
仮想サービス アカウントを構成して使用する方法については、「管理されたサービス アカウントと仮想アカウントの概念」を参照してください。
Note
仮想アカウントは、この記事の冒頭にある「適用対象」リストに記載されている Windows オペレーティング システムにのみ 適用されます 。
サービス アカウントの選択
サービス アカウントは、ローカル リソースとネットワーク リソースへのサービスのアクセスを制御するために使用されます。これらを使用することで、承認されていないユーザーに機密情報やリソースを公開することなく、サービスを安全かつ確実に動作させることができます。 次の表では、サービス アカウントの種類の違いについて説明します。
| Criterion | sMSA | gMSA | dMSA | 仮想アカウント |
|---|---|---|---|---|
| 1 台のサーバー上でアプリを実行 | Yes | Yes | Yes | Yes |
| 複数のサーバーでアプリケーションを実行 | No | Yes | No | No |
| ロード バランサーの背後でアプを実行 | No | Yes | No | No |
| Windows Server でのアプリの実行 | Yes | No | No | Yes |
| サービス アカウントを 1 台のサーバーに制限する必要がある | Yes | No | Yes | No |
| デバイス ID にリンクされたマシン アカウントをサポート | No | No | Yes | No |
| セキュリティの高いシナリオに使用 (資格情報の収集を防止) | No | No | Yes | No |
サービス アカウントを選択するときは、サービスに必要なアクセス レベルや、サーバー上に配置されているセキュリティ ポリシーなどの要因を考慮することが重要です。 また、実行中のアプリケーションまたはサービスの特定のニーズも評価する必要があります。
sMSA: 1 台のコンピューターで使用するように設計された sMSA は、SPN と資格情報を管理するためのセキュリティで保護された簡素化された方法を提供します。 パスワードが自動的に管理され、重要なアプリケーションでドメイン アカウントを分離する場合に最適です。 ただし、複数のサーバーまたはサーバー クラスターにまたがって使用することはできません。
gMSA: 複数のサーバーをサポートすることで sMSA の機能を拡張し、サーバー ファームや負荷分散アプリケーションに適しています。 パスワードと SPN の自動管理を提供し、管理上の負担を軽減します。 gMSA は単一 ID のソリューションを提供し、これにより複数のインスタンス間でサービスをシームレスに認証できるようになります。
dMSA: 認証を特定のマシン ID にリンクし、資格情報の収集による承認されていないアクセスを防ぎ、完全にランダム化されたマネージド キーを持つ従来のサービス アカウントからの移行を可能にします。 dMSA は既存の従来のサービス アカウントに代わって使用できます。これにより、承認されたデバイスのみが機密リソースにアクセスできるようになります。
仮想アカウント: 手動によるパスワード管理を必要とせずに、サービス管理に対する簡略化されたアプローチを提供するマネージド ローカル アカウント。 コンピューター アカウントの資格情報を使用してネットワーク リソースにアクセスできるため、ドメイン アクセスを必要とするサービスに適しています。 仮想アカウントは自動的に管理されますが、最小限の構成が必要です。
関連コンテンツ
| コンテンツの種類 | References |
|---|---|
| 製品評価 |
マネージド サービス アカウントの新機能 グループ管理サービス アカウントの概要 |
| Deployment | Windows Server 2012: グループ管理サービス アカウント - Tech Community |
| 関連テクノロジ |
セキュリティ プリンシパル Windows Server 2016 の新機能 |