PowerShell 5.0 JEA

(Just Enough Administration)

First StepSystem Center User Group Japan #14 (2015.12.19)

Kazuki Takai

自己紹介

高井一輝 (Takai Kazuki)

某ISP勤務

クラウドサービスの開発、設計、設備維持

Windows Server / System Center / Linux / etc…

System Center User Group Japan (SCUGJ)

Twitter : @zhuky7 / Facebook : kazuki.takai

Blog : http://operationslab.wordpress.com/

2

セッション・アジェンダとゴール

Agenda

Just Enough Administration (JEA) とは

Demo: JEA の動作イメージ

JEA の（簡易）構成

Goal

JEA がどのようなものか何となく分かる

JEAを検証用に構成できる

3

はじめる前に

本資料の内容は個人的な検証結果に基づきます

所属する会社や組織、マイクロソフト社の公式な見解を記載するものではありません

表記や内容に誤りがあるなど、お気づきの点があれば、facebook等でご連絡いただけると幸いです

この資料では Preview 版の製品、テクノロジーについて記載しています

2015/12 時点の情報をベースにしています

今後のリリースで機能や動作が変更、削除される可能性があります

ご利用は自己責任で！！

4

なのですが…

WMF 5.0 RTM is now available !!

Windows Management Framework (WMF) 5.0 / PowerShell 5.0

2015/12/16 に RTM (KB3094174 - KB3094176)

http://blogs.msdn.com/b/powershell/archive/2015/12/16/windows-management-framework-wmf-5-0-rtm-is-now-available.aspx

12/19 04:00 am (JST) 時点でリリースノートは未 Upload

必要な方は Production Previewの Release Notesを参照

本日のデモ環境はWindows Server 2016 TP4 です

Windows Server 2012 R2 + WMF 5.0 RTM でも同様のはずです

それよりも古いOSは…未確認です

5

Just Enough Administration とは

操作 (Operation) に関する、セキュリティレベルを向上させるための機能

管理者権限を持つユーザーが多すぎるのでは？

必要十分な権限で管理を行う

PowerShell をベーステクノロジーとして利用

PowerShell Remoting

PowerShell Session Configuration / Endpoint

Command visibility & Proxy command

6

（補足）JEA と JIT Adminの違い

Just Enough Administration (JEA)

管理者が実行可能な操作、範囲を制限する

できることを制限する

Base Technology - PowerShell

Just-in-Time Administration (JIT Admin)

管理者権限に有効期限を設定し、必要なときに（のみ）権限を付与する

できる時間を制限する

Base Technology – Active Directory + MIM 2016 ( + PowerShell )

7

DemoJust Enough Administration

8

JEA の仕組み9

Operator

PowerShell Client

Target Server

Active Directory

Domain ServicePS Remoting

Endpoint

ACL (Permission)

RunAsUser

Role Capability

Cmdlets

External cmds

Authentication / Authorization

JEA の構成要素

Endpoint (Session Configuration)

PS Remoting の受け口

誰が接続できるのか、接続した後どのような権限で実行するのか、などを定義

実行ユーザー（の所属グループ）を定義しない場合、デフォルトでは Administrators (Domain Admins) グループのメンバーとして実行

Role Capability

Endpointに紐づけられた、具体的な役割（に応じた実行内容）

何ができるのか（何を実行してよいのか）を定義

10

JEA の構成

現時点 (2015/12/19 時点) では、2種類の方法が利用可能

xJEAモジュールを使用して構成

超簡単！（5分で構成可能）

Windows Server 2016 TP2 の頃から存在する方法（今後は推奨されないかも）

WorkGroup環境でも利用可能（現時点では）

RoleCapabilityと SessionConfiguration を使用して構成

xJEAモジュールを使用する方法より、若干ステップ数が多い

Windows Server 2016 TP4 (PP1) or Windows Server 2012 R2 + WMF 5.0 RTM が必要

xJEAモジュールで実現していたいくつかの機能が PowerShell Core に取り込まれたことにより、xJEAモジュールに依存せず構成可能（今後推奨となる可能性が高い）

11

xJEAモジュールを使用した構成

PS Remotingの有効化

Enable-PSRemoting / Set-Item wsman:¥localhost¥Client¥TrustedHosts -Value *

xJEAモジュールのインストール

Install-Module xJea

構成の記述

Show-JeaExamples – ISE でサンプルコンフィグを開く

Show-JeaWhitePaper – White Paper を開く (docx)

Show-JeaWhitpaper – TechED 2014 のスライドを開く (pptx)

DSCによる構成の配布

12

RoleCapabilityと SessionConfiguration

による構成

Target Server をドメインに参加

PS Remoting の有効化

ACL 用のユーザー、グループを構成、（必要があれば）実行ユーザーの作成

Role Capability の記述

New-PSRoleCapabilityFile

Session Configurationの記述

New-PSSessionConfigurationFile

記述した Session Configuration を Endpoint として登録

Register-PSSessionConfiguration

13

DemoConfigure JEA

14

まとめ

JEA を利用することで、何ができるかを細かく制御可能

誰が、何を、どのような権限で実行するのか

Configurationは難しくない

何をどう制御したいかが決まっていれば、実装は書くだけ

運用設計、業務設計が重要

15

参考資料

Just Enough Administration (JEA) Infrastructure: An Introduction

https://gallery.technet.microsoft.com/Just-Enough-Administration-6b5ad370

Windows Management Framework 5.0

https://www.microsoft.com/en-us/download/details.aspx?id=50395

Windows Management Framework 5.0 Production Preview

https://www.microsoft.com/en-us/download/details.aspx?id=48729

PowerShell xJea Module

http://www.powershellgallery.com/packages/xJea/

16