サービス アカウント
適用対象: Windows Server 2025、Windows Server 2022、Windows Server 2019、Windows Server 2016
サービス アカウントは、Windows Server オペレーティング システムで実行されているサービスのセキュリティ コンテキストを提供するために明示的に作成されるユーザー アカウントです。 セキュリティ コンテキストによって、サービスがローカルおよびネットワーク リソースにアクセスできるかどうかが決まります。 Windows オペレーティング システムは、さまざまな機能を実行するサービスに依存しています。 これらのサービスは、アプリケーション、サービス スナップイン、タスク マネージャー、または Windows PowerShell を使用して構成できます。
この記事には、次の種類のサービス アカウントに関する情報が含まれています。
スタンドアロンの管理されたサービス アカウント
管理されたサービス アカウントは、インターネット インフォメーション サービス (IIS) などの重要なアプリケーションでドメイン アカウントを分離するように設計されています。 それらを使用すると、管理者がアカウントのサービス プリンシパル名 (SPN) と資格情報を手動で管理する必要がなくなります。
管理されたサービス アカウントを使用するには、アプリケーションまたはサービスがインストールされているサーバーで Windows Server 2008 R2 以降が実行されている必要があります。 1 つの管理されたサービス アカウントを 1 台のコンピューター上で複数のサービスに使用できます。 管理されたサービス アカウントを複数のコンピューター間で共有することはできません。また、サービスが複数のクラスター ノードにレプリケートされるサーバー クラスターでは使用できません。 このシナリオにはグループの管理されたサービス アカウントを使用する必要があります。 詳細については、「Group Managed Service Accounts Overview (グループ マネージド サービス アカウントの概要)」をご覧ください。
重要なサービスに個々のアカウントを持つことによって提供される強化されたセキュリティに加えて、管理されたサービス アカウントに関連する 4 つの重要な管理上の利点があります。
ローカル コンピューターでサービスを維持管理するために使用できるドメイン アカウントのクラスを作成できます。
管理者が手動でパスワードをリセットする必要があるドメイン アカウントとは異なり、これらのアカウントのネットワーク パスワードは自動的にリセットされます。
管理されたサービス アカウントを使用するために複雑な SPN 管理タスクを実行する必要はありません。
管理されたサービス アカウントの管理タスクを管理者以外のアカウントに委任できます。
Note
管理されたサービス アカウントは、この記事の冒頭にある「適用対象」に記載されている Windows オペレーティング システムにのみ適用されます。
グループ管理サービス アカウント
グループ管理サービス アカウントは、Windows Server 2008 R2 で導入されたスタンドアロンの管理サービス アカウントの拡張機能です。 これらのアカウントは管理されたドメイン アカウントであり、パスワードの自動管理と簡略化された SPN の管理を可能にします (他の管理者への管理の委任も可)。
グループ管理サービス アカウントは、ドメイン内のスタンドアロン管理サービス アカウントと同じ機能を提供しますが、その機能は複数のサーバーに拡張されます。 ネットワーク負荷分散など、サーバー ファームでホストされているサービスに接続するときは、相互認証をサポートする認証プロトコルによって、サービスのすべてのインスタンスが同じプリンシパルを使用することが必要とされます。 グループ管理サービス アカウントをサービス プリンシパルとして使用すると、Windows Server オペレーティング システムでアカウントのパスワードが管理され、管理者がパスワードを管理することはなくなります。
Microsoft キー配布サービス (kdssvc.dll) は、Active Directory (AD) アカウントのキー識別子を持つ最新のキーまたは特定のキーを安全に取得するためのメカニズムを提供します。 このサービスは Windows Server 2012 で導入されたもので、それ以前のバージョンの Windows Server オペレーティング システムでは動作しません。 Kdssvc.dll は、アカウントのキーを作成するために使用されるシークレットを共有します。 これらのキーは定期的に変更されます。 グループ管理サービス アカウントの場合は、グループ管理サービス アカウントの他の属性に加え、kdssvc.dll から提供されるキーに基づくパスワードがドメイン コントローラー (DC) によって計算されます。
委任された管理サービス アカウント
Windows Server 2025 では、委任された管理サービス アカウント (dMSA) と呼ばれる新しい種類のアカウントの追加が可能になりました。 この種類のアカウントを使用すると、ユーザーは従来型のサービス アカウントから、管理キーと完全にランダム化されたキーを持つマシン アカウントに移行しながら、元のサービス アカウント パスワードも無効にできます。 dMSAの認証はデバイスIDにリンクされ、ADにマップされた指定された機械IDのみがアカウントにアクセスできます。 dMSA を使用することにより、ユーザーは、従来型のサービス アカウントに関連付けられている侵害されたアカウントを使用した資格情報収集という一般的な問題を回避できます。
ユーザーは、dMSA をスタンドアロン アカウントとして作成することも、既存の標準サービス アカウントを置き換えることもできます。 既存のアカウントが dMSA に置き換えられた場合、古いアカウントのパスワードを使用した認証がブロックされます。 代わりに、dMSA を使用した認証のためにローカル セキュリティ機関 (LSA) に要求がリダイレクトされ、AD の前のアカウントと同じリソースにアクセス可能になります。 詳細については、 委任された管理サービスアカウントの概要を参照してください。
仮想アカウント
仮想アカウントは、Windows Server 2008 R2 と Windows 7 で導入されました。 これらは、次のメリットを提供することでサービス管理を簡素化する、管理されたローカル アカウントです。
- 仮想アカウントは自動的に管理されます。
- 仮想アカウントはドメイン環境でネットワークにアクセスできます。
- パスワード管理の必要はありません。 たとえば、Windows Server 2008 R2 での SQL Server セットアップ時にサービス アカウントに既定値を使用した場合は、インスタンス名をサービス名として使用する仮想アカウントが
NT SERVICE\<SERVICENAME>の形式で設定されます。
仮想アカウントとして実行されるサービスは、<domain_name>\<computer_name>$ の形式で、コンピューター アカウントの資格情報を使用してネットワーク リソースにアクセスします。
仮想サービス アカウントを構成して使用する方法については、「管理されたサービス アカウントと仮想アカウントの概念」を参照してください。
Note
仮想アカウントは、この記事の冒頭にある「適用対象」に記載されている Windows オペレーティング システムにのみ適用されます。
サービス アカウントの選択
サービス アカウントは、ローカル リソースとネットワーク リソースへのサービスのアクセスを制御するために使用されます。これらを使用することで、承認されていないユーザーに機密情報やリソースを公開することなく、サービスを安全かつ確実に動作させることができます。 サービス アカウントの種類による違いを確認するには、下の比較表を参照してください。
| 条件 | sMSA | gMSA | dMSA | 仮想アカウント |
|---|---|---|---|---|
| 1 台のサーバー上でアプリを実行 | はい | イエス | イエス | はい |
| 複数のサーバーでアプリケーションを実行 | いいえ | 有効 | いいえ | いいえ |
| ロード バランサーの背後でアプを実行 | いいえ | 有効 | いいえ | いいえ |
| Windows Server 2008 R2 以降でアプリを実行 | はい | いいえ | 番号 | はい |
| サービス アカウントを 1 台のサーバーに制限する必要がある | はい | いいえ | 有効 | いいえ |
| デバイス ID にリンクされたマシン アカウントをサポート | いいえ | 番号 | 有効 | いいえ |
| セキュリティの高いシナリオに使用 (資格情報の収集を防止) | いいえ | 番号 | 有効 | いいえ |
サービス アカウントを選択するときは、サービスに必要なアクセス レベル、サーバーに設定されているセキュリティ ポリシー、実行中のアプリケーションまたはサービスにおける特定ニーズなどの要素を考慮することが重要です。
sMSA: sMSA は単一のコンピューターで使用するように設計されており、SPN と資格情報を管理するための安全で簡素化された方法を提供します。 パスワードが自動的に管理され、重要なアプリケーションでドメイン アカウントを分離する場合に最適です。 ただし、複数のサーバーまたはサーバー クラスターにまたがって使用することはできません。
gMSA: 複数のサーバーをサポートすることで sMSA の機能を拡張します。サーバー ファームや負荷分散アプリケーションに適しています。 パスワードと SPN の自動管理を提供し、管理上の負担を軽減します。 gMSA は単一 ID のソリューションを提供し、これにより複数のインスタンス間でサービスをシームレスに認証できるようになります。
dMSA: 認証を特定のマシン ID にリンクすることで、資格情報の収集による承認されていないアクセスを防ぎ、完全にランダム化されたマネージド キーにより、従来のサービス アカウントからの移行を可能にします。 dMSA は既存の従来のサービス アカウントに代わって使用できます。これにより、承認されたデバイスのみが機密リソースにアクセスできるようになります。
仮想アカウント: 手動によるパスワード管理を必要とせずに、サービス管理に対する簡略化されたアプローチを提供する、管理されたローカル アカウント。 コンピューター アカウントの資格情報を使用してネットワーク リソースにアクセスできるため、ドメイン アクセスを必要とするサービスに適しています。 仮想アカウントは自動的に管理されますが、最小限の構成が必要です。