JEA(Just Enough Administration)에 대한 개선 사항Improvements to Just Enough Administration (JEA)

JEA 끝점과의 파일 복사 제한Constrained file copy to/from JEA endpoints

이제 원격으로 JEA 끝점으로나 JEA 끝점에서 파일을 복사할 수 있으며 연결하는 사용자는 시스템에서 어떤 파일도 복사할 수 없습니다.You can now remotely copy files to/from a JEA endpoint and rest assured that the connecting user can't copy just any file on your system. 이것이 가능하려면 연결하는 사용자에 대해 사용자 드라이브를 탑재하도록 PSSC 파일을 구성합니다.This is possible by configuring your PSSC file to mount a user drive for connecting users. 사용자 드라이브는 연결하는 각 사용자에게 고유하고 세션 간에 유지되는 새 PSDrive입니다.The user drive is a new PSDrive that is unique to each connecting user and persists across sessions. Copy-Item을 사용하여 JEA 세션으로나 JEA 세센에서 파일을 복사하는 경우에는 사용자 드라이브에만 액세스할 수 있습니다.When Copy-Item is used to copy files to or from a JEA session, it is constrained to only allow access to the user drive. 다른 PSDrive로 파일을 복사하려고 하면 실패합니다.Attempts to copy files to any other PSDrive will fail.

JEA 세션 구성 파일에서 사용자 드라이브를 설정하려면 다음과 같은 새 필드를 사용합니다.To set up the user drive in your JEA session configuration file, use the following new fields:

MountUserDrive = $true
UserDriveMaximumSize = 10485760    # 10 MB

The folder backing the user drive will be created at(사용자 드라이브를 지원하는 폴더가 생성되는 위치)$env:LOCALAPPDATA\Microsoft\Windows\PowerShell\DriveRoots\DOMAIN_USERThe folder backing the user drive will be created at $env:LOCALAPPDATA\Microsoft\Windows\PowerShell\DriveRoots\DOMAIN_USER

사용자 드라이브를 활용하고 사용자 드라이브를 노출하도록 구성된 JEA 끝점으로 또는 JEA 끝점에서 파일을 복사하려면 Copy-Item에서 -ToSession-FromSession 매개 변수를 사용합니다.To utilize the user drive and copy files to/from a JEA endpoint configured to expose the User drive, use the -ToSession and -FromSession parameters on Copy-Item.

# Connect to the JEA endpoint
$jeasession = New-PSSession -ComputerName 'srv01' -ConfigurationName 'UserDemo'

# Copy a file in the local folder to the remote machine.
# Note: you cannot specify the file name or subfolder on the remote machine.
# You must exactly type "User:"
Copy-Item -Path .\SampleFile.txt -Destination User: -ToSession $jeasession

# Copy the file back from the remote machine to your local machine
Copy-Item -Path User:\SampleFile.txt -Destination . -FromSession $jeasession

그런 다음 사용자 드라이브에 저장된 데이터를 처리하는 사용자 지정 함수를 작성하고 역할 기능 파일에서 이러한 함수를 사용자가 사용할 수 있도록 설정할 수 있습니다.You can then write custom functions to process the data stored in the user drive and make those available to users in your Role Capability file.

그룹 관리 서비스 계정 지원Support for Group Managed Service Accounts

경우에 따라 사용자가 JEA 세션에서 수행해야 하는 작업을 위해 로컬 컴퓨터에 없는 리소스에 액세스해야 할 수 있습니다.In some cases, a task a user needs to perform in a JEA session may need to access resources beyond the local machine. JEA 세션이 가상 계정을 사용하도록 구성된 경우 이러한 리소스에 연결하려는 시도는 가상 계정이나 연결된 사용자가 아니라 로컬 컴퓨터의 ID가 하는 것으로 보입니다.When a JEA session is configured to use a virtual account, any attempt to reach such resources will appear to come from the local machine's identity, not the virtual account or connected user. TP5에서는 그룹 관리 서비스 계정의 컨텍스트에서 JEA를 실행할 수 있도록 설정되어 있으므로 도메인 ID를 사용하여 네트워크 리소스에 훨씬 더 쉽게 액세스할 수 있습니다.In TP5, we have enabled support for running JEA under the context of a Group Managed Service Account, making it much easier to access network resources by using a domain identity.

gMSA 계정으로 실행되도록 JEA 세션을 구성하려면 PSSC 파일에서 다음과 같은 새 키를 사용합니다.To configure a JEA session to run under a gMSA account, use the following new key in your PSSC file:

# Provide the name of your gMSA account here (don't include a trailing $)
# The local machine must be privileged to use this gMSA in Active Directory
GroupManagedServiceAccount = 'myGMSAforJEA'

# You cannot configure a JEA endpoint to use both a gMSA and virtual account
# You can leave the RunAsVirtualAccount field commented out or explicitly set it to false
RunAsVirtualAccount = $false

참고

그룹 관리 서비스 계정은 격리나 제한된 범위의 가상 계정을 제공하지 않습니다.Group Managed Service Accounts do not afford the isolation or limited scope of virtual accounts. 연결하는 모든 사용자는 동일한 gMSA ID를 공유하므로 기업 전체에서 권한이 있을 수 있습니다.Every connecting user will share the same gMSA identity, which may have permissions across your entire enterprise. gMSA를 사용할 때는 주의해야 하며 항상 가능한 경우 로컬 컴퓨터로 제한된 가상 계정을 선택하는 것이 좋습니다.Be very careful when selecting to use a gMSA, and always prefer virtual accounts which are limited to the local machine when possible.

조건부 액세스 정책Conditional access policies

JEA는 사용자가 JEA를 관리할 시스템에 연결된 경우 수행할 수 있는 작업을 제한하는 데 유용하지만, 사용자가 JEA를 사용할 수 있는 시기도 제한하려면 어떻게 하나요?JEA is great at limiting what someone can do when they've connected to a system to manage it, but what if you also want to limit when someone can use JEA? 사용자가 JEA 세션을 설정하려면 속해 있어야 하는 보안 그룹을 지정할 수 있는 구성 옵션이 세션 구성 파일(.pssc)에 추가되었습니다.We have added configuration options into the session configuration files (.pssc) to let you specify security groups to which a user must belong in order to establish a JEA session. 이 옵션은 환경에 JIT(Just In Time) 시스템이 있고 사용자가 높은 권한의 JEA 끝점에 액세스하기 전에 권한을 높이도록 하려는 경우에 특히 유용합니다.This can be particularly helpful if you have a Just In Time (JIT) system in your environment, and want to make your users elevate their privileges before accessing a highly-privileged JEA endpoint.

PSSC 파일의 새 RequiredGroups 필드를 사용하여 사용자가 JEA에 연결할 수 있는지 여부를 결정하는 논리를 지정할 수 있습니다.The new RequiredGroups field in the PSSC file allows you to specify the logic to determine if a user can connect to JEA. 이를 위해서는 'And' 및 'Or' 키를 사용하는 해시테이블(필요에 따라 중첩됨)을 지정하여 규칙을 만듭니다.It consists of specifying a hashtable (optionally nested) that uses the 'And' and 'Or' keys to construct your rules. 다음은 이 필드를 사용하는 방법의 몇 가지 예입니다.Here are some examples of how to leverage this field:

# Example 1: Connecting users must belong to a security group called "elevated-jea"
RequiredGroups = @{ And = 'elevated-jea' }

# Example 2: Connecting users must have signed on with 2 factor authentication or a smart card
# The 2 factor authentication group name is "2FA-logon" and the smart card group name is "smartcard-logon"
RequiredGroups = @{ Or = '2FA-logon', 'smartcard-logon' }

# Example 3: Connecting users must elevate into "elevated-jea" with their JIT system and have logged on with 2FA or a smart card
RequiredGroups = @{ And = 'elevated-jea', @{ Or = '2FA-logon', 'smartcard-logon' }}

수정됨: 이제 Windows Server 2008 R2에서 가상 계정이 지원됨Fixed: Virtual accounts are now supported on Windows Server 2008 R2

WMF 5.1에서는 이제 Windows Server 2008 R2에서 가상 계정을 사용할 수 있으므로 Windows Server 2008 R2부터 2016까지, 구성 및 기능 패리티를 일관되게 설정할 수 있습니다.In WMF 5.1, you are now able to use virtual accounts on Windows Server 2008 R2, enabling consistent configurations and feature parity across Windows Server 2008 R2 - 2016. Windows 7에서 JEA를 사용할 경우에는 가상 계정이 계속 지원되지 않습니다.Virtual accounts remain unsupported when using JEA on Windows 7.