SCUGJ (System Center User Group Japan) #14 LT の資料です。 Windows Server 2016 / PowerShell 5.0 (Windows Management Framework 5.0) でエンハンスされている JEA について概要を説明するとともに、簡単な構成方法についてご紹介します。

1. PowerShell 5.0 JEA
(Just Enough Administration)
First Step
System Center User Group Japan #14 (2015.12.19)
Kazuki Takai

2. 自己紹介
 高井 一輝 (Takai Kazuki)
 某ISP勤務
 クラウドサービスの開発、設計、設備維持
 Windows Server / System Center / Linux / etc…
 System Center User Group Japan (SCUGJ)
 Twitter : @zhuky7 / Facebook : kazuki.takai
 Blog : http://operationslab.wordpress.com/
2

3. セッション・アジェンダとゴール
 Agenda
 Just Enough Administration (JEA) とは
 Demo: JEA の動作イメージ
 JEA の（簡易）構成
 Goal
 JEA がどのようなものか何となく分かる
 JEA を検証用に構成できる
3

4. はじめる前に
 本資料の内容は個人的な検証結果に基づきます
 所属する会社や組織、マイクロソフト社の公式な見解を記載するものではありません
 表記や内容に誤りがあるなど、お気づきの点があれば、facebook 等でご連絡いただ
けると幸いです
 この資料では Preview 版の製品、テクノロジーについて記載しています
 2015/12 時点の情報をベースにしています
 今後のリリースで機能や動作が変更、削除される可能性があります
 ご利用は自己責任で！！
4
なのですが…

5. WMF 5.0 RTM is now available !!
 Windows Management Framework (WMF) 5.0 / PowerShell 5.0
 2015/12/16 に RTM (KB3094174 - KB3094176)
 http://blogs.msdn.com/b/powershell/archive/2015/12/16/windows-management-
framework-wmf-5-0-rtm-is-now-available.aspx
 12/19 04:00 am (JST) 時点でリリースノートは未 Upload
 必要な方は Production Preview の Release Notes を参照
 本日のデモ環境は Windows Server 2016 TP4 です
 Windows Server 2012 R2 + WMF 5.0 RTM でも同様のはずです
 それよりも古いOSは…未確認です
5

6. Just Enough Administration とは
 操作 (Operation) に関する、セキュリティレベルを向上させるための機能
 管理者権限を持つユーザーが多すぎるのでは？
 必要十分な権限で管理を行う
 PowerShell をベーステクノロジーとして利用
 PowerShell Remoting
 PowerShell Session Configuration / Endpoint
 Command visibility & Proxy command
6

7. （補足）JEA と JIT Admin の違い
 Just Enough Administration (JEA)
 管理者が実行可能な操作、範囲を制限する
 できることを制限する
 Base Technology - PowerShell
 Just-in-Time Administration (JIT Admin)
 管理者権限に有効期限を設定し、必要なときに（のみ）権限を付与する
 できる時間を制限する
 Base Technology – Active Directory + MIM 2016 ( + PowerShell )
7

8. Demo
Just Enough Administration
8

9. JEA の仕組み
9
Operator
PowerShell Client
Target Server
Active Directory
Domain Service
PS Remoting
Endpoint
ACL (Permission)
RunAsUser
Role Capability
Cmdlets
External cmds
Authentication / Authorization

10. JEA の構成要素
 Endpoint (Session Configuration)
 PS Remoting の受け口
 誰が接続できるのか、接続した後どのような権限で実行するのか、などを定義
 実行ユーザー（の所属グループ）を定義しない場合、デフォルトでは Administrators
(Domain Admins) グループのメンバーとして実行
 Role Capability
 Endpoint に紐づけられた、具体的な役割（に応じた実行内容）
 何ができるのか（何を実行してよいのか）を定義
10

11. JEA の構成
 現時点 (2015/12/19 時点) では、2種類の方法が利用可能
 xJEA モジュールを使用して構成
 超簡単！（5分で構成可能）
 Windows Server 2016 TP2 の頃から存在する方法（今後は推奨されないかも）
 WorkGroup 環境でも利用可能（現時点では）
 RoleCapability と SessionConfiguration を使用して構成
 xJEA モジュールを使用する方法より、若干ステップ数が多い
 Windows Server 2016 TP4 (PP1) or Windows Server 2012 R2 + WMF 5.0 RTM が必要
 xJEA モジュールで実現していたいくつかの機能が PowerShell Core に取り込まれたことに
より、xJEA モジュールに依存せず構成可能（今後推奨となる可能性が高い）
11

12. xJEAモジュールを使用した構成
 PS Remoting の有効化
 Enable-PSRemoting / Set-Item wsman:¥localhost¥Client¥TrustedHosts -Value *
 xJEA モジュールのインストール
 Install-Module xJea
 構成の記述
 Show-JeaExamples – ISE でサンプルコンフィグを開く
 Show-JeaWhitePaper – White Paper を開く (docx)
 Show-JeaWhitpaper – TechED 2014 のスライドを開く (pptx)
 DSC による構成の配布
12

13. RoleCapability と SessionConfiguration
による構成
 Target Server をドメインに参加
 PS Remoting の有効化
 ACL 用のユーザー、グループを構成、（必要があれば）実行ユーザーの作成
 Role Capability の記述
 New-PSRoleCapabilityFile
 Session Configuration の記述
 New-PSSessionConfigurationFile
 記述した Session Configuration を Endpoint として登録
 Register-PSSessionConfiguration
13

14. Demo
Configure JEA
14

15. まとめ
 JEA を利用することで、何ができるかを細かく制御可能
 誰が、何を、どのような権限で実行するのか
 Configuration は難しくない
 何をどう制御したいかが決まっていれば、実装は書くだけ
 運用設計、業務設計が重要
15

16. 参考資料
 Just Enough Administration (JEA) Infrastructure: An Introduction
 https://gallery.technet.microsoft.com/Just-Enough-Administration-6b5ad370
 Windows Management Framework 5.0
 https://www.microsoft.com/en-us/download/details.aspx?id=50395
 Windows Management Framework 5.0 Production Preview
 https://www.microsoft.com/en-us/download/details.aspx?id=48729
 PowerShell xJea Module
 http://www.powershellgallery.com/packages/xJea/
16