Azure DevOps Server のサービス アカウントまたはパスワードを変更する
Azure DevOps Server 2022 | Azure DevOps Server 2020 | Azure DevOps Server 2019
Azure DevOps Server のサービス アカウントまたはそのアカウントに使用されるパスワードを変更することで、Azure DevOps Server のセキュリティを向上させることができます。 Azure DevOps Server は、Web サービスや Team Foundation バックグラウンド ジョブ エージェントなどのサービスをサービス アカウントのコンテキストで実行します。
Azure DevOps Server のドキュメントでは、このサービス アカウントを TFSService と見なしますが、その名前でアカウントを明示的に作成しない限り、アカウントの実際の名前ではありません。 Azure DevOps Server には、サービス アカウントとして使用される実際のアカウントの名前のレコードが格納されます。 レコードを変更することで、サービス アカウントとして機能する別のアカウントを割り当てることができます。 そのアカウントのパスワードを変更することもできます。 アカウント、パスワード、またはその両方を変更しても、デプロイ内の他のコンポーネントとの同期は維持されます。 たとえば、Active Directory ドメイン ポリシーですべてのパスワードの有効期限が定期的に切れる必要がある場合は、そのパスワードが変更されたときに、Azure DevOps Server のサービス アカウントのパスワード情報を更新できます。
Note
Azure DevOps Server とそのユーティリティは、 TFSService として使用する新しいローカル またはドメイン アカウントを作成できず、ワークグループまたはドメイン内のそのアカウントのパスワードを更新することはできません。 代わりに、ユーティリティは新しい資格情報に一致するようにレコードを更新します。 デプロイに複数のアプリケーション層サーバーが含まれている場合は、サービス アカウントまたはそのパスワードを変更して各サーバーを手動で更新する必要があります。
Azure DevOps Server のサービス アカウントの詳細については、「azure DevOps Server のサービス アカウントと依存関係を参照してください。 Azure DevOps Server のサービス アカウントなど、インストールに必要なアカウントの詳細については、「 Service アカウントの要件を参照してください。
前提条件
- これらの手順を実行するには、Azure DevOps アプリケーション層サーバーの Administrators グループのメンバーであり、サーバー上の sysadmin グループのメンバーであり、Azure DevOps の構成データベースをホストする SQL Server のインスタンスである必要があります。 詳細については、「 Azure DevOps Server のアーキテクチャ および Azure DevOps Server の Permission リファレンスを参照してください。
コマンド ラインの手順に従うには、管理者特権のコマンド プロンプト ウィンドウを開く必要がある場合があります。 コマンド プロンプトのコンテキスト メニューを開き、 管理者として実行を選択します。 詳細については、「ユーザー アカウント制御」を参照してください。
サービス アカウントのパスワードを変更する
TFSService のパスワードを変更するには、Azure DevOps のアプリケーション層サーバーにログオンし、Azure DevOps の管理コンソールを使用するか、コマンド プロンプト ウィンドウを開いて TFSConfig コマンド ライン ユーティリティを使用する必要があります。 デプロイに複数のアプリケーション層サーバーが含まれている場合は、アカウント情報の同期を維持するために、各サーバーでこのタスクを実行する必要があります。
Note
展開の構成によっては、変更が有効になる前に、手順を完了した後にインターネット インフォメーション サービス (IIS) を再起動することが必要になる場合があります。
管理コンソールを使用してパスワードを変更する
アプリケーション層をホストするサーバーで、Azure DevOps の管理コンソールを開きます。
詳細については、「 Azure DevOps Server 管理コンソールを開く を参照してください。
コンソールで、サーバー名を展開し、 アプリケーション層を選択します。
[アプリケーション層] ウィンドウで、[アカウント パスワードの更新を選択します。
Update アカウントパスワード ウィンドウが開きます。
Note
サービス アカウントとしてシステム アカウントを使用した場合は、 Update アカウント パスワードを選択するとエラー メッセージが表示されます。 そのアカウントのパスワードを変更する必要はありません。 システム アカウントには、ユーザーが管理するパスワードがありません。
Passwordに新しいパスワードを入力し、OKを選択します。
Change サービス アカウント ウィンドウが開きます。
すべてのステータス メッセージが Status で完了するのを待ってから、 Close を選択します。
Note
このプロセスには数分かかることがあります。
TFSConfig ユーティリティを使用してパスワードを変更する
アプリケーション層サーバーで、コマンド プロンプト ウィンドウを開き、 TFSConfig ユーティリティを含むディレクトリにディレクトリを変更します。
既定では、このユーティリティは Drive:\Program Files\TFS 12.0\Tools にあります。
コマンド ラインで、「 TFSConfig Accounts /UpdatePassword /accountType:ApplicationTier /account:AccountName /password:NewPassword を入力し、Enter キーを押します。
サービス アカウントの名前 (AccountName) とアカウントのパスワード (NewPassword) の両方を指定する必要があります。
サービス アカウントとして別のアカウントを割り当てる
Azure DevOps のサービス アカウントとして別のアカウントを使用するように Azure DevOps Server を構成するには、管理コンソールまたは TFSConfig コマンド ライン ユーティリティを使用できます。 デプロイに複数のアプリケーション層サーバーが含まれている場合は、アカウント情報の同期を維持するために、各サーバーでこのタスクを実行する必要があります。 いずれかのユーティリティを使用して変更を行う前に、次の問題を考慮してください。
- Azure DevOps Server のこのデプロイでは、すべてのコンピューターによって信頼されている、システム アカウントまたはワークグループまたはドメインのメンバーである新しいアカウントを選択する必要があります。
- 構成ユーティリティは、新しいサービス アカウントに Log on a service アクセス許可を付与します。 ただし、別のサービスがそのアカウントを引き続き使用している場合、ユーティリティは以前にサービス アカウントとして使用したアカウントからこのアクセス許可を取り消しません。 古いアカウントで、まだ使用中のサービスに対するアクセス許可が不要になった場合は、古いアカウントからそのアクセス許可を手動で削除できます。
詳細については、「 サービスとしてのログオン権限をアカウントに追加するを参照してください。
- 変更が有効になる前に、手順を完了した後に IIS の再起動が必要になる場合があります。
- TFSConfig ユーティリティは、古いアカウントで実行されているサービスのみを変更します。
管理コンソールを使用してサービス アカウントを変更する
アプリケーション層をホストするサーバーで、Azure DevOps の管理コンソールを開きます。
コンソールで、サーバー名を展開し、 アプリケーション層を選択します。
[アプリケーション層] ウィンドウで、[アカウントの変更選択。
Update サービス アカウント ウィンドウが開きます。
次のいずれかの操作を実行します。
システム アカウントを使用するには、 システム アカウントを使用するを選択し、ドロップダウン リストからシステム アカウントを選択します。
サーバーが Active Directory ドメインのメンバーである場合、システム アカウントで使用する既定の選択肢は Network Service です。 サーバーがワークグループのメンバーである場合、既定の選択肢はローカル サービスです。 デプロイの詳細によっては、既定の選択肢が唯一使用可能な選択肢である場合があります。
Note
システム アカウントには、ユーザーが管理するパスワードがありません。 システム アカウントを TFSService として使用する場合は、パスワード フィールドにパスワードを入力しないでください。
ドメインまたはワークグループ アカウントを使用するには、[ ユーザー アカウントの使用] を選択しアカウントの名前を Account Name に入力し、そのアカウントのパスワードを Password に入力します。
[OK] を選択します。
Change サービス アカウント ウィンドウが開きます。
すべてのステータス メッセージが Status で完了するのを待ってから、 Close を選択します。
Note
このプロセスには数分かかることがあります。
TFSConfig ユーティリティを使用してサービス アカウントを変更する
アプリケーション層サーバーで、コマンド プロンプト ウィンドウを開き、 TFSConfig ユーティリティを含むディレクトリにディレクトリを変更します。
既定では、このユーティリティは Drive:\Program Files\TFS 12.0\Tools にあります。
コマンド ラインで、 TFSConfig Accounts /change /accountType:ApplicationTier /account:AccountName /password:NewPassword を入力し、Enter キーを押します。
詳細については、 Accounts コマンドを参照してください。