UAM: サービスアカウント

Avatar
Nerdio Product Support

UAM: サービスアカウント

Nerdio Managerの統合アプリケーション管理機能は、Winget Microsoftパッケージマネージャーツールを使用して、Azure Virtual Desktopインスタンス内のアプリケーションをインストール、削除、管理します。すべてのアクションは管理者ユーザーのコンテキストで実行されるため、これらのアクションを実行するためのサービスアカウントが必要です。これは、AVDおよびIntuneデバイスへのWinget展開に必要です。デフォルトでは、Nerdio Managerはローカルユーザーアカウントを使用し、これはNerdioアプリケーション展開タスクによって自動的に作成されます。また、Active Directoryおよびグループポリシーを使用している顧客は、必要に応じて専用のサービスアカウントをプロビジョニングすることができます。これに関するガイダンスは、セクションActive Directoryサービスアカウントに記載されています。

デフォルトの資格情報管理プロセス - ローカルアカウント(Nerdio Manager v6.5以降)

デフォルトでは、Nerdio Managerはローカルユーザーアカウントを作成し、UAM機能を介してWingetアプリケーションの展開を促進します。作成されると、資格情報にはランダムに生成された30文字のパスワードが割り当てられ、10個の特殊文字が含まれます。パスワードはデスクトップごとにユニークであり、資格情報が環境内の他のデスクトップにアクセスするために使用されることはありません。

アプリケーション展開タスクが発生すると、サービスアカウントは次のようになります:

  • 有効。

  • パスワードがローテーションされます。

  • インストールタスクを実行するためにローカル管理者グループに追加されます。

タスクが完了すると、サービスアカウントは次のようになります:

  • 無効

  • ローカル管理者グループから削除されます。

  • パスワードがローテーションされます。

サービスアカウントの資格情報はどの場所にも格納されず、使用前に更新されます。

資格情報マネージャーサービスアカウント(Nerdio Manager v6.5以前)

v6.5以前は、Nerdio ManagerはターゲットVM上でローカル管理アカウントの作成と使用を管理し、資格情報マネージャーツールを使用して、ターゲットデスクトップに資格情報の詳細を安全に格納します。これらの資格情報は、ローカル管理者グループのメンバーのみが読み取ることができます。

作成時、資格情報にはランダム生成された30文字のパスワードが割り当てられ、そのうち10個は特殊文字です。パスワードはデスクトップごとにユニークであり、資格情報が環境内の他のデスクトップにアクセスするために使用されることはありません。

これらの資格情報は、インストール、更新、削除といったアクションが割り当てられたとき、資格情報マネージャーからデスクトップ上で直接呼び出されます。これらの資格情報はターゲットデスクトップ上に残り、アプリ管理用のスクリプトには含まれません。

Active Directory サービスアカウント

ほとんどの場合、お客様が作成するActive Directoryサービスアカウントは必要ありません。この件についてさらにご相談がある場合は、Nerdio Supportまでご連絡ください。

稀な状況では、最適な動作のために、統合アプリケーション管理はWingetのインストールおよびアンインストールの操作を行うため、ドメインサービスアカウントを必要とします。このサービスアカウントは、アプリを管理する各デスクトップ上でローカル管理者権限を持っている必要があります。加えて、このサービスアカウントは多要素認証が無効になっている必要があります。

本書では、Active Directory (AD)、Entra Domain Services、およびハイブリッド参加シナリオにおいて、サービスアカウントの作成と権限の割り当てに関するガイダンスを提供します。アクセスを一連の事前定義されたネットワークに制限するAzure条件付きアクセスポリシーも割り当てることをお勧めします。

注意: これらのタスクを実行するには、Active Directoryドメイン管理者の権限が必要です。

組織単位(OU)を構成してください。

  1. Active Directoryユーザーとコンピュータ(ADUC)コンソール内で、Azure Virtual Desktop(AVD)セッションホストが専用のAVD組織単位(OU)内に含まれていることを確認してください。AVDデスクトップが現在広範な環境と混在している場合は、入れ子にするOUを作成し、AVDデスクトップをこの場所に移動する必要があります。これにより、既存のグループポリシーを適用できるだけでなく、新しいポリシーをAVDデスクトップを対象として適用することも可能になります。AVDデスクトップが複数の専用OUに分散している場合は、この文書で説明されているすべてのポリシーをすべてのAVD OUに適用してください。

  2. ADUCコンソール内で、サービスアカウント用の専用OUが存在することを確認してください。これにより、サービスアカウントへのインタラクティブログオンを拒否する新しいポリシーを適用することができます。

    注意: この制限は、サービスアカウントのグループにも適用できます。既に環境内に存在する場合は、新しいサービスアカウントをグループに追加し、既存のポリシーをAVDデスクトップのOUに適用してください。

アプリケーション管理のためのサービスアカウントを作成してください。

  • サービスアカウント専用のOU内に、新しいユーザーアカウントを作成し、社内の命名規則に従ってください。非常に複雑なパスワードを指定し、「パスワードの有効期限が切れない」を唯一の作成オプションとして有効にしてください。アカウントとパスワードのペアを企業のキー管理システムに記録してください。

ローカル管理者ポリシーを作成してください。

最初に作成するポリシーは、AVDデスクトップ上のサービスアカウントにローカル管理権限を付与するものです。

ローカル管理者ポリシーを作成するには:

  1. ドメイングループポリシー管理コンソールを開いてください。

  2. グループポリシーオブジェクトを右クリックし、新規を選択してください。

  3. 企業の命名規則に従った適切な名前を入力してください。私たちはCOMP_ManageAVDLocalAdministratorを使用します。

  4. 作成後、右クリックして編集を選択してください。

  5. コンピュータの構成 > 設定 > コントロールパネルの設定 > ローカルユーザーとグループに移動してください。

  6. 中央のセクション内で、右クリックして新規 > ローカルグループを選択してください。

  7. ポップアップ内に次の情報を入力してください:

    • アクション: 更新に設定します。

    • グループ名: "..."を選択してください。その後、管理者(組み込み)を選択してください。

  8. 必要な情報をすべて入力したら、追加を選択し、その後OKを選択してください。

    最初のポリシーが作成されました。

  9. グループポリシーのメインページに戻ります。

  10. AVDデスクトップオブジェクトがあるAVD OUコンテナに移動します。

  11. このOUを右クリックし、既存のGPOをリンク…を選択します。

  12. 上記で作成したポリシーを選択し、OKをクリックします。

    最初のポリシーがリンクされました。

「ローカルログオンを拒否する」ポリシーを作成します。

このポリシーは、サービスアカウントがデスクトップに直接ログオンするのを防ぎます。これはオプションですが、お勧めの手順です。

ポリシーを作成する手順は、前の手順と似ています。

  1. ドメイングループポリシー管理コンソールを開いてください。グループポリシーオブジェクトを右クリックし、新規を選択します。企業の命名規則に従った適切な名前を入力してください。COMP_DenyAppServiceAccountInteractiveLogonを使用します。

  2. グループポリシーオブジェクトを右クリックし、新規を選択します。

  3. 企業の命名規則に従った適切な名前を入力してください。COMP_DenyAppServiceAccountInteractiveLogonを使用します。

  4. 作成後、右クリックして編集を選択してください。

  5. コンピュータの構成 > Windows設定 > セキュリティ設定 > ローカルポリシー > ユーザー権利の割り当てに移動します。

  6. リモートデスクトップサービスを通じてログオンを拒否するおよびローカルでのログオンを拒否するの設定を編集します。両方のインスタンスに新しく作成したサービスアカウントを指定します。

  7. 開いているポリシーウィンドウを閉じ、グループポリシー管理コンソールのメインページに戻ります。

  8. グループポリシーのメインページに戻り、AVDデスクトップオブジェクトがあるAVD OUコンテナに移動します。このOUを右クリックし、既存のGPOをリンク…を選択します。上記で作成したポリシーを選択し、OKをクリックします。2番目のポリシーがリンクされました。

  9. AVDデスクトップオブジェクトがあるAVD OUコンテナに移動します。

  10. このOUを右クリックし、既存のGPOをリンク…を選択します。

  11. 上記で作成したポリシーを選択し、OKをクリックします。

    2番目のポリシーがリンクされました。

UAMサービスアカウントを有効にする

UAMサービスアカウント機能は、Nerdio Support またはエンジニアリングチームからの指示があった場合にのみ使用してください。デフォルトでは、サービスアカウントを構成するオプションは非表示になっています。

サービスアカウントを有効にするには:

  1. 次のApp Service設定をNerdio Manager環境に追加してください。

    アプリケーション設定

    説明

    Features:UamServiceAccounts

    ブール値

    デフォルト:偽

    ドメインサービスアカウントを使用できるようにするために、サービスアカウントUI要素を有効にしてください。これはAD 参加済みデバイスにのみ適用されます。

  2. 構成が完了したら、Nerdio Managerウェブアプリを再起動してください。

  3. [設定] > [環境] に移動し、[Nerdio] タブを選択します。

  4. 統合アプリケーション管理セクションまでスクロールダウンし、セクションを展開するために下矢印を選択してください。

  5. インストールサービスアカウントセクションに移動し、追加を選択してください。

  6. 次の情報を入力します:

    • ディレクトリ: ドロップダウンリストからディレクトリを選択します。

    • ドメイン:サービスアカウントのドメインの詳細を入力してください。

    • ユーザー名:サービスアカウントのユーザー名を入力してください。

    • パスワード:サービスアカウントのユーザー名に関連付けられたパスワードを入力してください。

    • 構成が完了したら、OKを選択してください。

注意: サービスアカウントの詳細は、入力時に検証されません。不正なサービスアカウントは、スコープ内デバイスにUAMアプリケーションをデプロイしようとした際に、タスクが失敗します。

この記事は役に立ちましたか?

0人中0人がこの記事が役に立ったと言っています
他にご質問がございましたら、リクエストを送信してください

関連記事

コメント (0件のコメント)

記事コメントは受け付けていません。