Criar uma conta de serviço gerenciado de grupo (gMSA) nos Serviços de Domínio do Microsoft Entra
Os aplicativos e serviços geralmente precisam de uma identidade para se autenticarem com outros recursos. Por exemplo, um serviço Web pode precisar se autenticar com um serviço de banco de dados. Se um aplicativo ou serviço tiver várias instâncias, como um farm de servidores Web, criar e configurar manualmente as identidades para esses recursos será demorado.
Em vez disso, uma conta de serviço gerenciado de grupo (gMSA) pode ser criada no domínio gerenciado dos Serviços de Domínio Microsoft Entra. O sistema operacional Windows gerencia automaticamente as credenciais de um gMSA, o que simplifica o gerenciamento de grandes grupos de recursos.
Este artigo mostra como criar um gMSA em um domínio gerenciado usando o Azure PowerShell.
Antes de começar
Para concluir este artigo, você precisa dos seguintes recursos e privilégios:
- Uma subscrição ativa do Azure.
- Se você não tiver uma assinatura do Azure, crie uma conta.
- Um locatário do Microsoft Entra associado à sua assinatura, sincronizado com um diretório local ou um diretório somente na nuvem.
- Se necessário, crie um locatário do Microsoft Entra ou associe uma assinatura do Azure à sua conta.
- Um domínio gerenciado dos Serviços de Domínio Microsoft Entra habilitado e configurado em seu locatário do Microsoft Entra.
- Se necessário, conclua o tutorial para criar e configurar um domínio gerenciado dos Serviços de Domínio Microsoft Entra.
- Uma VM de gerenciamento do Windows Server que ingressou no domínio gerenciado dos Serviços de Domínio.
- Se necessário, conclua o tutorial para criar uma VM de gerenciamento.
Visão geral das contas de serviço gerenciadas
Uma conta de serviço gerenciada autônoma (sMSA) é uma conta de domínio cuja senha é gerenciada automaticamente. Essa abordagem simplifica o gerenciamento do SPN (nome da entidade de serviço) e permite o gerenciamento delegado a outros administradores. Não é necessário criar e girar manualmente as credenciais da conta.
Uma conta de serviço gerenciado de grupo (gMSA) fornece a mesma simplificação de gerenciamento, mas para vários servidores no domínio. Um gMSA permite que todas as instâncias de um serviço hospedado em um farm de servidores usem a mesma entidade de serviço para que os protocolos de autenticação mútua funcionem. Quando um gMSA é usado como entidade de serviço, o sistema operacional Windows gerencia novamente a senha da conta em vez de depender do administrador.
Para obter mais informações, consulte Visão geral das contas de serviço gerenciado de grupo (gMSA).
Usando contas de serviço nos Serviços de Domínio
Como os domínios gerenciados são bloqueados e gerenciados pela Microsoft, há algumas considerações ao usar contas de serviço:
- Crie contas de serviço em unidades organizacionais (UO) personalizadas no domínio gerenciado.
- Não é possível criar uma conta de serviço nas UOs internas de Usuários AADDC ou Computadores AADDC.
- Em vez disso, crie uma UO personalizada no domínio gerenciado e, em seguida, crie contas de serviço nessa UO personalizada.
- A chave raiz dos Serviços de Distribuição de Chaves (KDS) é pré-criada.
- A chave raiz do KDS é usada para gerar e recuperar senhas para gMSAs. Nos Serviços de Domínio, a raiz do KDS é criada para si.
- Você não tem privilégios para criar outra ou visualizar a chave raiz padrão do KDS.
Criar um gMSA
Primeiro, crie uma UO personalizada usando o cmdlet New-ADOrganizationalUnit . Para obter mais informações sobre como criar e gerenciar UOs personalizadas, consulte UOs personalizadas nos Serviços de Domínio.
Gorjeta
Para concluir estas etapas para criar um gMSA, use sua VM de gerenciamento. Essa VM de gerenciamento já deve ter os cmdlets necessários do AD PowerShell e a conexão com o domínio gerenciado.
O exemplo a seguir cria uma UO personalizada chamada myNewOU no domínio gerenciado chamado aaddscontoso.com. Use sua própria UO e nome de domínio gerenciado:
New-ADOrganizationalUnit -Name "myNewOU" -Path "DC=aaddscontoso,DC=COM"
Agora crie um gMSA usando o cmdlet New-ADServiceAccount . Os seguintes parâmetros de exemplo são definidos:
- -Name está definido como WebFarmSvc
- O parâmetro -Path especifica a UO personalizada para o gMSA criado na etapa anterior.
- As entradas DNS e os nomes das entidades de serviço são definidos para WebFarmSvc.aaddscontoso.com
- As entidades em AADDSCONTOSO-SERVER$ têm permissão para recuperar a senha e usar a identidade.
Especifique os seus próprios nomes e nomes de domínio.
New-ADServiceAccount -Name WebFarmSvc `
-DNSHostName WebFarmSvc.aaddscontoso.com `
-Path "OU=MYNEWOU,DC=aaddscontoso,DC=com" `
-KerberosEncryptionType AES128, AES256 `
-ManagedPasswordIntervalInDays 30 `
-ServicePrincipalNames http/WebFarmSvc.aaddscontoso.com/aaddscontoso.com, `
http/WebFarmSvc.aaddscontoso.com/aaddscontoso, `
http/WebFarmSvc/aaddscontoso.com, `
http/WebFarmSvc/aaddscontoso `
-PrincipalsAllowedToRetrieveManagedPassword AADDSCONTOSO-SERVER$
Os aplicativos e serviços agora podem ser configurados para usar o gMSA conforme necessário.
Próximos passos
Para obter mais informações sobre gMSAs, consulte Introdução às contas de serviço gerenciadas por grupo.