ディスカバリーの gMSA 構成

  • リリースバージョン: Australia
  • 更新日 2026年03月12日
  • 所要時間:2分

    • グループ管理サービスアカウント (gMSA) は、サービスの保護に使用する管理対象ドメインアカウントです。gMSA は認証情報のない ディスカバリー に使用できます。

    利点

    gMSA を使用するように ディスカバリー を設定すると、そのアカウントのパスワード管理は Windows オペレーティングシステムによって処理されます。したがって、ServiceNow インスタンスと認証情報を共有せずに Windows ディスカバリー を実行できます。メリットには次のようなものがあります。
    • gMSA パスワードを自分で処理する必要がありません。
    • gMSA パスワードのローテーションのサイクルを選択してセキュリティを強化できます。
    • ServiceNow インスタンスにパスワードを保存する必要がありません。
    • gMSA ユーザーがドメイン管理者グループのメンバーである必要がありません。
    • MID サーバーサービスアカウントとして使用される gMSA ユーザーは、MID サーバーのローカルアドミングループに属している必要はありません。

    ディスカバリーの gMSA の構成

    グループマネージドサービスアカウント (gMSA) を使用して、パスワードをローカルに保存せずに安全に MID サーバー を実行し、 Windows ディスカバリーを実行します。この構成では、Active Directory を利用してパスワードの自動ローテーションと一元管理を行うことで、セキュリティが向上し、認証情報管理が簡素化されます。

    始める前に

    • gMSA アカウントが Active Directory で作成および設定されていることを確認します。
    • gMSA アカウントを MID サーバー ホストのローカルアドミニストレーターグループに追加します。
    • ターゲット サーバーの場合は、gMSA アカウントをローカル管理者グループに追加します。

    必要なロール:agent_admin、discovery_admin、または admin

    手順

    1. PowerShell コマンドラインで、次のコマンドを使用してドメインコントローラーに KDS ルートキーを作成します。 
      Add-KdsRootKey -EffectiveImmediately
      または 
      Add-KdsRootKey –EffectiveTime ((Get-Date).AddHours(-10))
    2. グループマネージドサービスのアカウント情報 https://docs.microsoft.comを使用して、gMSA とセキュリティグループを設定します。
      注:
      通常、検出された Windows サーバーを GMSAGroup に追加する必要はありません。メンバーホストは、ドメインコントローラーから現在および以前のパスワード値を直接取得します。 ディスカバリー にはこの手順は必要ありません。
    3. gMSA の使用に関する「 Windows への MID サーバーのインストール」の手順に従って、gMSA アカウントで MID サーバーを起動します。
    4. インスタンスに Windows の認証情報を作成し、[MID サーバーのサービスアカウントを使用する] チェックボックスをオンにします。
    5. MID サーバー をホストするサーバーともう 1 台別のコンピューターで ディスカバリー を起動します。