Just Enough AdministrationJust Enough Administration

Just Enough Administration (JEA) は、PowerShell で管理できるものすべてに対する委任された管理を有効にするセキュリティ テクノロジです。Just Enough Administration (JEA) is a security technology that enables delegated administration for anything that can be managed with PowerShell. JEA を使用すると、以下のことを実行できます。With JEA, you can:

  • 通常のユーザーに代わって特権の必要な操作を実行する仮想アカウントまたはグループの管理されたサービス アカウントを活用することによって、お使いのコンピューター上の管理者の数を減らします。Reduce the number of administrators on your machines by leveraging virtual accounts or group managed service accounts that perform privileged actions on behalf of regular users.
  • ユーザーが実行できる操作を制限します。ここでは、ユーザーが実行できるコマンドレット、関数、および外部コマンドを指定できます。Limit what users can do by specifying which cmdlets, functions, and external commands they can run.
  • トランスクリプションとログを使用して、ユーザーの操作を把握します。このトランスクリプションとログは、ユーザーがセッション中にどんなコマンドを実行したかを正確に示します。Better understand what your users are doing with transcripts and logs that show you exactly which commands a user executed during their session.

これが重要な理由:Why is this important?

サーバーの管理に使用される高い特権を持つアカウントには、深刻なセキュリティ リスクがあります。Highly privileged accounts used to administer your servers pose a serious security risk. そのようなアカウントが攻撃者に狙われた場合、組織全体に横展開の攻撃が始まります。Should an attacker compromise one of these accounts, they could launch lateral attacks across your organization. 侵害されたアカウントがさらに多くのアカウントやリソースへのアクセスを与え、会社の機密情報の盗難に一歩近づき、サービス拒否攻撃などが始まります。Each account they compromise can give them access to even more accounts and resources, putting them one step closer to stealing company secrets, launching a denial-of-service attack, and more.

しかしながら、管理者特権を削除することは簡単なことではありません。It is not always easy to remove administrative privileges, either. DNS ロールが Active Directory ドメイン コントローラーと同じコンピューターにインストールされるという一般的なシナリオについて考えてみてください。Consider the common scenario where the DNS role is installed on the same machine as your Active Directory Domain Controller. DNS 管理者は、DNS サーバーでの問題を解決するためにローカル管理者特権が必要ですが、そのためには、これらの管理者を高い特権を持つ "Domain Admins" セキュリティ グループのメンバーにする必要があります。Your DNS administrators require local administrator privileges to fix issues with the DNS server, but in order to do so you have to make them members of the highly privileged "Domain Admins" security group. この方法は、ドメイン全体への制御や、そのコンピューター上のすべてのリソースへのアクセス権を DNS 管理者に効果的に付与します。This approach effectively gives DNS Administrators control over your whole domain and access to all resources on that machine.

JEA は最小限の特権の原則の導入を支援し、この問題の対処に役立ちます。JEA helps address this problem by helping you adopt the principle of Least Privilege. JEA を利用すると、DNS 管理者に管理エンドポイントを構成して、これらの管理者が作業を行うのに必要なすべての PowerShell コマンドにアクセスできるように、またそれ以外のことを実行できないように指定できます。With JEA, you can configure a management endpoint for DNS administrators that gives them access to all the PowerShell commands they need to get their job done, but nothing more. つまり、DNS 管理者に Active Directory への権限を付与しなくても、侵害された DNS キャッシュを修復したり、DNS サーバーを再起動したり、またはファイル システムを参照したり、潜在的に危険性なスクリプトを実行したりできる適切なアクセスを提供できます。This means you can provide the appropriate access to repair a poisoned DNS cache or restart the DNS server without unintentionally giving them rights to Active Directory, or to browse the file system, or run potentially dangerous scripts. さらに、JEA セッションが一時的な特権仮想アカウントを使用するように構成されている場合、DNS 管理者は管理者以外の資格情報を使用してサーバーに接続できる一方で、一般的には管理者特権を必要とするコマンドも実行できます。Better yet, when the JEA session is configured to use temporary privileged virtual accounts, your DNS administrators can connect to the server using non-admin credentials and still be able to run commands which typically require admin privileges. この機能により、幅広い特権が与えられたローカル/ドメイン管理者ロールからユーザーを削除し、代わりに、各コンピューターでユーザーに許可する操作を慎重に制御できます。This capability enables you to remove users from widely-privileged local/domain administrator roles and instead carefully control what they are able to do on each machine.

JEA の使用を開始するGet Started with JEA

現在、Windows Server 2016 か Windows 10 を実行しているあらゆるコンピューターで JEA の使用を開始できます。You can start using JEA today on any machine running Windows Server 2016 or Windows 10. JEA は、Windows Management Framework の更新プログラムがインストールしてある以前のオペレーティング システムでも実行できます。You can also run JEA on older operating systems with a Windows Management Framework update. JEA の使用要件、JEA エンドポイントの作成、使用、監査方法については、次のトピックをご覧ください。To learn more about the requirements to use JEA and to learn how to create, use, and audit a JEA endpoint, check out the following topics:

  • 前提条件 - JEA を使用するための環境の設定方法について説明します。Prerequisites - explains how to set up your environment to use JEA.
  • ロール機能 - JEA セッションでユーザーに許可する操作を決定するロールの作成方法について説明します。Role Capabilities - explains how to create roles which determine what a user is allowed to do in a JEA session.
  • セッション構成 - ユーザーをロールにマッピングし、JEA ID を設定する JEA エンドポイントの構成方法について説明します。Session Configurations - explains how to configure JEA endpoints that map users to roles and set the JEA identity
  • JEA の登録 - JEA エンドポイントを作成し、ユーザーがそれに接続できるようにします。Registering JEA - create a JEA endpoint and make it available for users to connect to.
  • JEA の使用 - JEA のさまざまな使用方法について説明します。Using JEA - learn the various ways you can use JEA.
  • セキュリティの考慮事項 - JEA 構成オプションのセキュリティ ベスト プラクティスとその意味について確認します。Security Considerations - review security best practices and implications of JEA configuration options.
  • JEA の監査とレポート - JEA エンドポイントの監査とレポートの方法について説明します。Audit and Report on JEA - learn how to audit and report on JEA endpoints.

サンプルと DSC のリソースSamples and DSC resource

JEA 構成の例と JEA DSC リソースは JEA GitHub リポジトリで確認できます。Sample JEA configurations and the JEA DSC resource can be found in the JEA GitHub repository.