Verbeteringen in Just Enough Administration (JEA)Improvements to Just Enough Administration (JEA)

Beperkte bestandskopie uit JEA-eindpuntenConstrained file copy to/from JEA endpoints

U kunt nu bestanden op afstand kopiëren/van een JEA eindpunt en rest gegarandeerd dat de gebruiker verbinding maakt alleen kan niet kopiëren eventuele bestand op uw systeem.You can now remotely copy files to/from a JEA endpoint and rest assured that the connecting user can't copy just any file on your system. Dit is mogelijk door het configureren van uw bestand voor om te koppelen van een station van de gebruiker voor de verbinding van gebruikers.This is possible by configuring your PSSC file to mount a user drive for connecting users. De schijf van de gebruiker is een nieuwe PSDrive die uniek is voor elke gebruiker die verbinding maakt en blijft bestaan tussen sessies.The user drive is a new PSDrive that is unique to each connecting user and persists across sessions. Wanneer het Item kopiëren wordt gebruikt om bestanden te kopiëren naar of van een sessie JEA, is deze beperkt tot alleen toegang tot de schijf van de gebruiker toestaan.When Copy-Item is used to copy files to or from a JEA session, it is constrained to only allow access to the user drive. Pogingen om bestanden te kopiëren naar een andere PSDrive mislukken.Attempts to copy files to any other PSDrive will fail.

Gebruik de volgende nieuwe velden voordat u de schijf van de gebruiker in uw configuratiebestand JEA-sessie kunt instellen:To set up the user drive in your JEA session configuration file, use the following new fields:

MountUserDrive = $true
UserDriveMaximumSize = 10485760    # 10 MB

De map back-ups maken van de schijf van de gebruiker wordt gemaakt op$env:LOCALAPPDATA\Microsoft\Windows\PowerShell\DriveRoots\DOMAIN_USERThe folder backing the user drive will be created at $env:LOCALAPPDATA\Microsoft\Windows\PowerShell\DriveRoots\DOMAIN_USER

Als u wilt gebruikmaken van de schijf van de gebruiker en kopieer de bestanden naar/van een eindpunt JEA is geconfigureerd om de schijf van de gebruiker weer te geven, gebruikt u de -ToSession en -FromSession parameters op Copy-Item.To utilize the user drive and copy files to/from a JEA endpoint configured to expose the User drive, use the -ToSession and -FromSession parameters on Copy-Item.

# Connect to the JEA endpoint
$jeasession = New-PSSession -ComputerName 'srv01' -ConfigurationName 'UserDemo'

# Copy a file in the local folder to the remote machine.
# Note: you cannot specify the file name or subfolder on the remote machine. You must exactly type "User:"
Copy-Item -Path .\SampleFile.txt -Destination User: -ToSession $jeasession

# Copy the file back from the remote machine to your local machine
Copy-Item -Path User:\SampleFile.txt -Destination . -FromSession $jeasession

U kunt vervolgens aangepaste functies om te verwerken van de gegevens die zijn opgeslagen in het station van de gebruiker en deze beschikbaar te maken voor gebruikers in uw bestand rol mogelijkheid schrijven.You can then write custom functions to process the data stored in the user drive and make those available to users in your Role Capability file.

Ondersteuning voor de groep Managed Service AccountsSupport for Group Managed Service Accounts

In sommige gevallen moet een taak die een gebruiker moet uitvoeren in een sessie JEA mogelijk toegang tot bronnen voorbij de lokale computer.In some cases, a task a user needs to perform in a JEA session may need to access resources beyond the local machine. Wanneer een sessie JEA is geconfigureerd voor gebruik van een virtueel account, wordt elke poging tot deze bronnen afkomstig zijn van de identiteit van de lokale computer, niet de virtueel account of verbonden gebruiker weergegeven.When a JEA session is configured to use a virtual account, any attempt to reach such resources will appear to come from the local machine's identity, not the virtual account or connected user. In TP5, hebben we ondersteuning voor het uitvoeren van JEA onder de context van een groep beheerd serviceaccount, waardoor het veel eenvoudiger toegang tot netwerkbronnen met behulp van een domein ingeschakeld de identiteit.In TP5, we have enabled support for running JEA under the context of a Group Managed Service Account, making it much easier to access network resources by using a domain identity.

Gebruik voor het configureren van een sessie JEA worden uitgevoerd onder een beheerd serviceaccount voor de volgende sleutel in uw bestand voor:To configure a JEA session to run under a gMSA account, use the following new key in your PSSC file:

# Provide the name of your gMSA account here (don't include a trailing $)
# The local machine must be privileged to use this gMSA in Active Directory
GroupManagedServiceAccount = 'myGMSAforJEA'

# You cannot configure a JEA endpoint to use both a gMSA and virtual account
# You can leave the RunAsVirtualAccount field commented out or explicitly set it to false
RunAsVirtualAccount = $false

Opmerking: isolatie of beperkte mogelijkheden van virtuele accounts komen niet toestaan van beheerde serviceaccounts voor groepen.Note: Group Managed Service Accounts do not afford the isolation or limited scope of virtual accounts. Elke gebruiker die verbinding maakt, wordt de hetzelfde gMSA-identiteit die mogelijk machtigingen van het gehele bedrijf delen.Every connecting user will share the same gMSA identity, which may have permissions across your entire enterprise. Wees voorzichtig bij het selecteren van een gMSA te gebruiken en altijd liever virtuele accounts die zijn beperkt tot de lokale machine indien mogelijk.Be very careful when selecting to use a gMSA, and always prefer virtual accounts which are limited to the local machine when possible.

Beleid voor voorwaardelijke toegangConditional access policies

JEA is een goede beperkt wat iemand kunt doen wanneer ze hebt aangesloten op een systeem voor het beheren, maar wat als u ook wilt beperken wanneer iemand JEA kunt gebruiken?JEA is great at limiting what someone can do when they've connected to a system to manage it, but what if you also want to limit when someone can use JEA? Configuratie-opties in de configuratiebestanden sessie (.pssc) waarin u kunt opgeven beveiligingsgroepen waartoe een gebruiker behoren moet om een sessie JEA stand te brengen, hebben we toegevoegd.We have added configuration options into the session configuration files (.pssc) to let you specify security groups to which a user must belong in order to establish a JEA session. Dit is vooral handig als u een systeem net In tijd (Just in time) in uw omgeving hebt en maken van uw gebruikers hun bevoegdheden wilt voor de toegang tot een hoge bevoegdheden JEA-eindpunt.This can be particularly helpful if you have a Just In Time (JIT) system in your environment, and want to make your users elevate their privileges before accessing a highly-privileged JEA endpoint.

De nieuwe RequiredGroups veld in het bestand voor kunt u de logica om na te gaan als een gebruiker verbinding met JEA maken kan opgeven.The new RequiredGroups field in the PSSC file allows you to specify the logic to determine if a user can connect to JEA. Bestaat uit het opgeven van een hashtabel (eventueel geneste) die gebruikmaakt van de 'En' en 'Of' sleutels u uw regels samenstelt.It consists of specifying a hashtable (optionally nested) that uses the 'And' and 'Or' keys to construct your rules. Hier volgen enkele voorbeelden van hoe u dit veld:Here are some examples of how to leverage this field:

# Example 1: Connecting users must belong to a security group called "elevated-jea"
RequiredGroups = @{ And = 'elevated-jea' }

# Example 2: Connecting users must have signed on with 2 factor authentication or a smart card
# The 2 factor authentication group name is "2FA-logon" and the smart card group name is "smartcard-logon"
RequiredGroups = @{ Or = '2FA-logon', 'smartcard-logon' }

# Example 3: Connecting users must elevate into "elevated-jea" with their JIT system and have logged on with 2FA or a smart card
RequiredGroups = @{ And = 'elevated-jea', @{ Or = '2FA-logon', 'smartcard-logon' }}

Vaste: Virtuele accounts worden nu ondersteund op Windows Server 2008 R2Fixed: Virtual accounts are now supported on Windows Server 2008 R2

WMF 5.1 bent u nu virtuele accounts gebruiken op Windows Server 2008 R2 inschakelen consistente configuraties en functie pariteit via Windows Server 2008 R2 - 2016.In WMF 5.1, you are now able to use virtual accounts on Windows Server 2008 R2, enabling consistent configurations and feature parity across Windows Server 2008 R2 - 2016. Virtuele accounts blijven wordt niet ondersteund wanneer u JEA op Windows 7.Virtual accounts remain unsupported when using JEA on Windows 7.