次の方法で共有

JEA 構成の登録

ロール機能セッション構成ファイルを作成したら、最後の手順として JEA エンドポイントを登録します。 JEA エンドポイントをシステムに登録すると、ユーザーとオートメーション エンジンがエンドポイントを使用できるようになります。

単一コンピューターの構成

小規模な環境では、 Register-PSSessionConfiguration コマンドレットを使用してセッション構成ファイルを登録することで JEA をデプロイできます。

開始する前に、次の前提条件が満たされていることを確認します。

  • 1 つ以上のロールが作成され、PowerShell モジュールの RoleCapabilities フォルダーに配置されています。
  • セッション構成ファイルが作成され、テストされました。
  • JEA 構成を登録しているユーザーは、システムに対する管理者権限を持っています。
  • JEA エンドポイントの名前を選択しました。

JEA エンドポイントの名前は、ユーザーが JEA を使用してシステムに接続するときに必要です。 Get-PSSessionConfiguration コマンドレットは、システム上のエンドポイントの名前を一覧表示します。 microsoftで始まるエンドポイントは、通常、Windows に付属しています。 microsoft.powershell エンドポイントは、リモート PowerShell エンドポイントに接続するときに使用される既定のエンドポイントです。

Get-PSSessionConfiguration | Select-Object Name

Name
----
microsoft.powershell
microsoft.powershell.workflow
microsoft.powershell32

次のコマンドを実行して、エンドポイントを登録します。

Register-PSSessionConfiguration -Path .\MyJEAConfig.pssc -Name 'JEAMaintenance' -Force

Warnung

前のコマンドは、システム上の WinRM サービスを再起動します。 これにより、すべての PowerShell リモート処理セッションと、進行中の DSC 構成が終了します。 運用操作を中断しないように、コマンドを実行する前に実稼働マシンをオフラインにすることをお勧めします。

登録後、 JEA を使用する準備ができました。 セッション構成ファイルはいつでも削除できます。 構成ファイルは、エンドポイントの登録後には使用されません。

DSC を使用した複数マシンの構成

JEA を複数のマシンにデプロイする場合、最も簡単なデプロイ モデルでは、JEA Desired State Configuration (DSC) リソースを使用して、各マシンに JEA をすばやく一貫してデプロイします。

DSC を使用して JEA をデプロイするには、次の前提条件が満たされていることを確認します。

  • 1 つ以上のロール機能が作成され、PowerShell モジュールに追加されました。
  • ロールを含む PowerShell モジュールは、各マシンからアクセスできる (読み取り専用の) ファイル共有に格納されます。
  • セッション構成の設定が決定されました。 JEA DSC リソースを使用するときに、セッション構成ファイルを作成する必要はありません。
  • 各マシンでの管理アクション、またはマシンの管理に使用される DSC プル サーバーへのアクセスを許可する資格情報があります。
  • JEA DSC リソースをダウンロードしました。

ターゲット コンピューターまたはプル サーバーで JEA エンドポイントの DSC 構成を作成します。 この構成では、 JustEnoughAdministration DSC リソースによってセッション構成ファイルが定義され、 ファイル リソースによってファイル共有からロール機能がコピーされます。

DSC リソースを使用して、次のプロパティを構成できます。

  • ロールの定義
  • 仮想アカウント グループ
  • グループ管理サービス アカウント名
  • トランスクリプト ディレクトリ
  • ユーザードライブ
  • 条件付きアクセス規則
  • JEA セッションのスタートアップ スクリプト

DSC 構成のこれらの各プロパティの構文は、PowerShell セッション構成ファイルと一致します。

一般的なサーバー メンテナンス モジュールの DSC 構成の例を次に示します。 ロール機能を含む有効な PowerShell モジュールが、 \\myfileshare\JEA ファイル共有上にあることを前提としています。

Configuration JEAMaintenance
{
    Import-DscResource -Module JustEnoughAdministration, PSDesiredStateConfiguration

    File MaintenanceModule
    {
        SourcePath = "\\myfileshare\JEA\ContosoMaintenance"
        DestinationPath = "C:\Program Files\WindowsPowerShell\Modules\ContosoMaintenance"
        Checksum = "SHA-256"
        Ensure = "Present"
        Type = "Directory"
        Recurse = $true
    }

    JeaEndpoint JEAMaintenanceEndpoint
    {
        EndpointName = "JEAMaintenance"
        RoleDefinitions = "@{ 'CONTOSO\JEAMaintenanceAuditors' = @{ RoleCapabilities = 'GeneralServerMaintenance-Audit' }; 'CONTOSO\JEAMaintenanceAdmins' = @{ RoleCapabilities = 'GeneralServerMaintenance-Audit', 'GeneralServerMaintenance-Admin' } }"
        TranscriptDirectory = 'C:\ProgramData\JEAConfiguration\Transcripts'
        DependsOn = '[File]MaintenanceModule'
    }
}

次に、ローカル構成マネージャーを直接呼び出すか、プルサーバー構成を更新することで、構成がシステムに適用されます。

DSC リソースでは、既定の Microsoft.PowerShell エンドポイントを置き換えることもできます。 置き換えると、リソースによって Microsoft.PowerShell.Restricted という名前のバックアップ エンドポイントが自動的に登録されます。 バックアップ エンドポイントには、リモート管理ユーザーとローカル管理者グループ メンバーがアクセスできるようにする既定の WinRM ACL があります。

JEA 構成の登録解除

Unregister-PSSessionConfiguration コマンドレットは、JEA エンドポイントを削除します。 JEA エンドポイントの登録を解除すると、新しいユーザーがシステムに新しい JEA セッションを作成できなくなります。 また、同じエンドポイント名を使用して更新されたセッション構成ファイルを再登録することで、JEA 構成を更新することもできます。

# Unregister the JEA endpoint called "ContosoMaintenance"
Unregister-PSSessionConfiguration -Name 'ContosoMaintenance' -Force

Warnung

JEA エンドポイントの登録を解除すると、WinRM サービスが再起動します。 これにより、他の PowerShell セッション、WMI 呼び出し、一部の管理ツールなど、進行中のほとんどのリモート管理操作が中断されます。 計画メンテナンス期間中にのみ、PowerShell エンドポイントの登録を解除します。

次のステップ

JEA エンドポイントをテストする