JEA エンドポイントによって PowerShell セッションへのアクセスが制限されるしくみついて説明する
- 5 分
JEA (Just Enough Administration) エンドポイントは、特定の認証済みユーザーだけが接続できるよう構成された Windows PowerShell エンドポイントです。 接続すると、これらのユーザーは、セキュリティ グループとロール機能の定義に基づく事前定義済みの Windows PowerShell コマンドレット、パラメーター、値のセットにのみアクセスできます。
サーバーには複数の JEA エンドポイントを設定できます。 各 JEA エンドポイントは、特定の管理タスクで使うように構成する必要があります。 たとえば、DNS 管理タスクを実行するためのドメイン ネーム システム操作 (DNSOps) エンドポイントと、動的ホスト構成プロトコル (DHCP) 管理タスクを実行するための DHCPOps エンドポイントを使用できます。
JEA エンドポイントを使う場合、IT スタッフがエンドポイントに接続するために、ローカル管理者グループなどのグループのメンバーである特権アカウントを持つ必要はありません。 代わりに、ユーザーは仮想アカウントに割り当てられた特権を持ちます。これはセッション構成ファイルで構成され、ローカル管理者やドメイン管理者の特権を含めることができます。
1 台のコンピューターに JEA を登録する
1 台のコンピューター上で、Register-PSSessionConfiguration コマンドレットを使って JEA エンドポイントを作成できます。 このコマンドレットを使う際に、エンドポイント名と、ローカル コンピューター上にあるセッション構成ファイルを指定します。 ただし、JEA エンドポイントを作成する前に、次の前提条件が満たされていることを確認する必要があります。
1 つ以上のロールを定義している必要があります。また、1 つまたは複数のロール機能ファイルを Windows PowerShell モジュールの RoleCapabilities フォルダーに配置する必要があります。
- セッション構成ファイルを作成しました。
- JEA を登録するユーザーは、そのコンピューターの管理者である必要があります。
- JEA エンドポイントの名前を決定しました
Windows Server には、名前が Microsoft で始まる事前定義済みの JEA エンドポイントがいくつか付属しています。 次の Windows PowerShell コマンドを使って、既存の JEA エンドポイントを確認できます。
Get-PSSessionConfiguration | Select-Object Name
たとえば、DNSOps.pssc セッション構成ファイルを使ってエンドポイント DNSOps を登録するには、次のコマンドを使います。
Register-PSSessionConfiguration -Name DNSOps -Path .\DNSOps.pssc
複数のコンピューターに JEA を登録する
複数のコンピューターに JEA を登録するには、Desired State Configuration (DSC) を使います。 DSC を使って JEA を展開するには、次の前提条件を満たす必要があります。
- 1 つ以上のロールを定義している必要があります。また、1 つまたは複数のロール機能ファイルを Windows PowerShell モジュールの RoleCapabilities フォルダーに配置する必要があります。
- PowerShell モジュールは、それらのコンピューターからアクセスできる読み取り専用ファイル共有に格納する必要があります。
- セッション構成設定を決定しました。 (セッション構成ファイルを作成する必要はありません。)
- 各コンピューターに対する管理アクセス権を持つアカウント資格情報があります。
- https://github.com/PowerShell/JEA/tree/master/DSC リソースから JEA DSC リソースをダウンロードしました
- JEA エンドポイントの名前を決定しました
DSC 構成を適用するには、ローカルの Configuration Manager を使うか、プル サーバー構成を更新します。
複数のコンピューターに JEA を登録する方法の詳細については、GitHub ページ「JEA/DSC Resource/」を参照してください。
自分の知識をチェックする
以下の各質問に最も適した回答を選んでください。