Just Enough Administration は、PowerShell 5.0 以降に含まれる機能です。 この記事では、JEA の使用を開始するために満たす必要がある前提条件について説明します。
インストールされている PowerShell のバージョンを確認する
システムにインストールされている PowerShell のバージョンを確認するには、Windows PowerShell プロンプトで $PSVersionTable 変数を確認します。
$PSVersionTable.PSVersion
Major Minor Build Revision
----- ----- ----- --------
5 1 14393 1000
JEA は PowerShell 5.0 以降で使用できます。 完全な機能を実現するには、システムで使用できる最新バージョンの PowerShell をインストールすることをお勧めします。 次の表では、Windows Server での JEA の可用性について説明します。
| サーバー オペレーティング システム | JEA の可用性 |
|---|---|
| Windows Server 2016 以降 | プレインストール済み |
| Windows Server 2012 R2 | WMF 5.1 を使用した完全な機能 |
| Windows Server 2012 | WMF 5.1 を使用した完全な機能 |
| Windows Server 2008 R2 | WMF5.1 による機能 1 の削減 |
自宅または職場のコンピューターで JEA を使用することもできます。
| クライアント オペレーティング システム | JEA の可用性 |
|---|---|
| Windows 10 1607 以降 | プレインストール済み |
| Windows 10 1603、1511 | プレインストールされ、機能が制限されています2 |
| Windows 10 1507 | 利用できません |
| Windows 8、8.1 | WMF 5.1 を使用した完全な機能 |
| Windows 7 | WMF5.1 による機能 1 の削減 |
1 JEA は、Windows Server 2008 R2 または Windows 7 でグループ管理サービス アカウントを使用するように構成することはできません。 仮想アカウントとその他の JEA 機能 が サポートされています。
2 次の JEA 機能は、Windows 10 バージョン 1511 および 1603 ではサポートされていません。
- グループ管理サービス アカウントとして実行する
- セッション構成の条件付きアクセス規則
- ユーザー向けドライブ
- ローカル ユーザー アカウントへのアクセス権の付与
これらの機能をサポートするには、Windows をバージョン 1607 (Anniversary Update) 以降に更新します。
Windows Management Framework をインストールする
古いバージョンの PowerShell を実行している場合は、最新の Windows Management Framework (WMF) 更新プログラムを使用してシステムを更新することが必要になる場合があります。 詳細については、 WMF のドキュメントを参照してください。
すべてのサーバーをアップグレードする前に、ワークロードと WMF の互換性をテストすることをお勧めします。
Windows 10 ユーザーは、最新バージョンの Windows PowerShell を入手するために、最新の機能更新プログラムをインストールする必要があります。
PowerShell リモート処理を有効にする
PowerShell リモート処理は、JEA 構築の基盤を提供します。 JEA を使用する前に、PowerShell リモート処理を有効にし、適切にセキュリティで保護されていることを確実にする必要があります。 詳細については、「 WinRM セキュリティ」を参照してください。
PowerShell リモート処理は、Windows Server 2012 以降では既定で有効になっています。 PowerShell リモート処理を有効にするには、管理者特権の PowerShell ウィンドウで次のコマンドを実行します。
Enable-PSRemoting
PowerShell モジュールとスクリプト ブロックのログ記録を有効にする (省略可能)
次の手順では、システム上のすべての PowerShell アクションのログ記録を有効にします。 JEA では PowerShell モジュールのログ記録は必要ありませんが、ログ記録を有効にして、ユーザーが実行するコマンドが中央の場所に記録されるようにすることをお勧めします。
グループ ポリシーを使用して、PowerShell モジュール ログ ポリシーを構成できます。
- Active Directory ドメイン コントローラーのグループ ポリシー管理コンソールで、ワークステーションまたはグループ ポリシー オブジェクトでローカル グループ ポリシー エディターを開く
- [コンピューターの構成]、[管理用テンプレート]、[Windows コンポーネント]、[Windows PowerShell] の順に移動します。
- [モジュール ログ記録を有効にする] をダブルクリックします
- [有効] をクリックする
- [オプション] セクションで、[モジュール名] の横にある [表示 ] をクリックします。
- ポップアップ ウィンドウに「
*」と入力して、すべてのモジュールのコマンドをログに記録します。 - [ OK] を クリックしてポリシーを設定する
- PowerShell スクリプト ブロックのログ記録を有効にするをダブルクリックします。
- [有効] をクリックする
- [ OK] を クリックしてポリシーを設定する
- (ドメイン参加済みマシンのみ)
gpupdateを実行するか、グループ ポリシーが更新されたポリシーを処理して設定を適用するのを待ちます
グループ ポリシーを使用して、システム全体の PowerShell 文字起こしを有効にすることもできます。
次のステップ
こちらも参照ください
GitHub で Microsoft と共同作業する
このコンテンツのソースは GitHub にあります。そこで、issue や pull request を作成および確認することもできます。 詳細については、共同作成者ガイドを参照してください。
PowerShell