# 管理対象Microsoft ADユーザー
## 概要 本ページでは、Keeperローテーションを使用して、Google Cloud Managed Microsoft ADサービスのユーザーアカウントをローテーションする方法を説明します。Active DirectoryサービスはAWSで管理されるリソースであり、ディレクトリサービスの管理者認証情報はPAMディレクトリレコードタイプに関連付けられ、ADユーザーの構成はPAMユーザーレコードタイプで定義されます。 ユーザーアカウントのパスワードはLDAPを使用してローテーションされます。ローテーションを正常に実行するには、サーバー側でLDAPSが構成されていること、またPAMディレクトリレコードタイプで定義されているディレクトリ管理者がSSL接続を使用していることが必要です。 ## 要件 以下の作業がすでに完了していることを前提としています。 * [ロール](/keeperpam/jp/privileged-access-manager/password-rotation/rotation-overview.md)に対してKeeperシークレットマネージャーが有効になっていること * [ロール](/keeperpam/jp/privileged-access-manager/password-rotation/rotation-overview.md)に対してKeeperローテーションが有効になっていること * Keeperシークレットマネージャーの[アプリケーション](/keeperpam/jp/privileged-access-manager/getting-started/applications.md)が作成されていること * Keeperローテーション[ゲートウェイ](/keeperpam/jp/privileged-access-manager/getting-started/gateways.md)がインストールされ、稼働しており、Google Cloudディレクトリサービスと通信できる状態になっていること * Google Cloud環境が、当社ドキュメントに従って[構成](/keeperpam/jp/privileged-access-manager/getting-started/pam-configuration/google-cloud-environment-setup.md)されていること ## 1. PAMディレクトリレコードの設定 Keeperローテーションは、AWS Managed Directory Serviceに関連付けられた管理者認証情報を使用して、ドメインサービスのディレクトリアカウントのパスワードをローテーションします。これらの管理者認証情報は、ディレクトリ管理者のパスワードローテーションにも使用できます。 以下は、**PAMディレクトリ**レコードの必須フィールドとなります。
フィールド説明
タイトルレコード名。例: AD Domain Service
ホスト名またはIPアドレスディレクトリのDNS名。例: ad.pam.test
ポートLDAPSを使用する場合は 636 を指定します
SSLの使用 (チェックボックス)有効にする必要があります
管理者認証情報ディレクトリサービスの管理者アカウントとパスワードを提供するPAMユーザー。例: Admin

注記: LoginとDomain Name、またはDistinguished Nameのいずれかが必須です。Distinguished Nameの使用を推奨します
識別名ディレクトリサービス管理者アカウントの識別名 (DN) です。
例: CN=jsmith,OU=Cloud,DC=example,DC=com




注: DNが指定されていない場合は、次の形式が使用されます。ドメイン名が example.com の場合:
CN=<user>,CN=Users,DC=example,DC=com
ドメイン名ディレクトリのDNS名です

注: Distinguished Nameの代わりにLoginを使用する場合に必須です
ディレクトリIDディレクトリサービスの識別子。例: d-##########
ディレクトリタイプディレクトリサービスのタイプです。未指定の場合は Active Directory が既定値となります
プロバイダリージョンGoogle Cloudのリージョン名。例: us-east1
管理者認証情報を含むこのPAMディレクトリレコードは、要件で作成したKSMアプリケーションと共有されている共有フォルダに配置する必要があります。この特権アカウントにアクセスするのはKSMアプリケーションのみでよく、ユーザーと共有する必要はありません。 ## PAM構成の設定 (すでにこの環境用のPAM構成が設定されている場合は、この手順を省略できます。) ボルトの左側メニューから **\[シークレットマネージャー]** を選択し、**\[PAM構成]** タブを開いて、**\[新しい構成]** をクリックします。 以下は、**PAM構成**レコードの必須フィールドとなります。 | フィールド | 説明 | | ---------------- | ----------------------------------------------------------------------------------------------------------- | | **タイトル** | 構成名。例: `GCP Workspace Configuration` | | **環境** | `Google Cloud` を選択します | | **ゲートウェイ** | Keeperシークレットマネージャーアプリケーションで設定済みのゲートウェイを選択します | | **アプリケーションフォルダ** | PAM構成を保存する共有フォルダを選択します。PAMユーザーレコードと同じ共有フォルダに配置することを推奨します | | **GCP ID** |

このGoogle Cloud環境を識別するための一意のIDです。任意の値を指定できますが、短く分かりやすい名称を推奨します。
例: GCP-DepartmentName

| | **サービスアカウントキー** | ゲートウェイのサービスアカウントキーのJSONテキストをコピーして貼り付けます | PAM構成レコードで設定可能なすべてのフィールドの詳細については、[こちらのページ](/keeperpam/jp/privileged-access-manager/getting-started/pam-configuration.md)をご参照ください。 ## 3. PAMユーザーレコードの設定 Keeperローテーションは、**PAMディレクトリ**レコードに含まれる認証情報を使用して、GCP環境内の**PAMユーザー**レコードのパスワードをローテーションします。PAMユーザーの認証情報は、要件で作成したKSMアプリケーションと共有されている共有フォルダに配置する必要があります。 以下は、**PAMユーザー**レコードの必須フィールドとなります。
フィールド説明
タイトルKeeperのレコードタイトル。例: AWS Directory User1
ログインディレクトリサービスのユーザーアカウントのユーザー名
パスワードアカウントのパスワード。指定は任意です。このフィールドが空の場合、ローテーション実行時に自動的にパスワードが設定されます
識別名ディレクトリサービスのユーザーアカウントの識別名 (DN)
## 4. PAMユーザーレコードでのローテーション設定 手順3で作成したPAMユーザーレコードを選択し、レコードを編集して **\[パスワードローテーション設定]** を開きます。 * 希望するスケジュールとパスワードの複雑さを選択します。 * **\[ローテーション設定]** では、前の手順で設定したPAM構成を使用します。 * **\[リソース認証情報]** フィールドでは、手順1で設定したPAMディレクトリの認証情報を選択します。 * 保存すると、ローテーションボタンが有効になり、手動実行または選択したスケジュールに基づいてローテーションを実行できるようになります。 PAMユーザーレコードに対して編集権限を持つユーザーであれば、そのレコードのローテーション設定を行うことができます。 ## トラブルシューティング #### GCP Managed Directory Serviceユーザーの識別名 (DN) を取得する方法 ディレクトリユーザーの識別名 (Distinguished Name) を取得するには、以下のWindowsコマンドを使用します。 ```powershell Get-ADUser -Identity "username" | Select-Object -ExpandProperty DistinguishedName ``` 上記のコマンドが存在しない場合は、以下のコマンドを実行して、必要なモジュールをインポートします。 ```powershell Import-Module ActiveDirectory ``` --- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://docs.keeper.io/keeperpam/jp/privileged-access-manager/password-rotation/rotation-use-cases/google-cloud/managed-microsoft-ad-user.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.