Microsoft Juste assez d’administration (JEA) pour Découverte

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 5 minutes de lecture

    • L’utilisation Microsoft de JEA avec Découverte améliore la sécurité en forçant le Serveur MID à exécuter des commandes à distance Windows via un point de terminaison contraint, qui valide les commandes sur la cible avant l’exécution.

    Microsoft JEA permet l’administration basée sur les rôles via PowerShell Remoting, qui utilise Windows la gestion à distance (WinRM) pour gérer la communication et l’authentification. Ce cadre de travail fournit une méthode sécurisée et fiable pour gérer les ordinateurs qui utilisent le protocole HTTP. PowerShell Remoting utilise deux ports au total (5985, 5986) pour HTTP et HTTPS, ce qui est plus facile à sécuriser que les multiples ports utilisés dans le mappage de port dynamique WMI. Pour plus d’informations sur Microsoft JEA, consultez Just Enough Administration.

    Conditions requises pour Découverte avec JEA

    • Une ServiceNow instance en cours d’exécution sur la version Rome ou ultérieure.
    • Le Serveur MID serveur cible et doit faire partie d’un Windows domaine.
    • Les informations d’identification JEA avec des droits de non-administrateur doivent être des informations d’identification au niveau du domaine.
    • PowerShell 5.0 ou Windows Management Framework 5.1 doit être installé sur les ordinateurs cibles Windows .
    • PowerShell Remoting doit être activé sur les ordinateurs cibles Windows .
    Remarque :
    Pour améliorer la sécurité, à partir de Rome, il y a un nouveau profil appelé JEA v2. Microsoft ne recommande pas de spécifier un autre mode de langue que NoLanguage dans le profil JEA. JEA v2 définit explicitement le type de session sur RestrictedRemoteServer et le mode de langue sur NoLanguage pour empêcher les utilisateurs d’exécuter des scripts arbitraires au niveau du point de terminaison et de contourner les restrictions de sécurité. ServiceNow ne prend plus en charge l’exemple de profil existant dans KB0782125. Suivez les instructions de la section KB0965705 pour configurer et déployer les profils JEA v2.

    Profils JEA

    Découverte avec JEA nécessite des profils composés d’une configuration de sessions PowerShell et d’un ou de plusieurs fichiers d’aptitudes de rôle PowerShell. Vous pouvez créer plusieurs fichiers d’aptitude de rôle PowerShell et plusieurs groupes d’utilisateurs pour affecter les rôles à différents groupes selon les besoins. Un exemple de profil est fourni dans KB0965705 à titre d’implémentation de référence et pour servir de point de départ. Le fichier de configuration de la base de connaissances prend en charge tous les schémas horizontaux Windows prêts à l’emploi au moment de sa création. ServiceNow n’est pas responsable du déploiement et de la configuration du profil JEA sur les ordinateurs distants.

    L’exemple de profil suivant améliore la sécurité en bloquant les attaquants si un Windows compte de service est compromis en limitant l’utilisateur Serveur MID à l’exécution de scripts signés par un utilisateur de confiance Serveur MID. Une fois le profil déployé, la connexion entre a et une Windows cible est sécurisée par des Serveur MID signatures de script et de paramètres créées par le Serveur MID. Cela fournit une couche de sécurité ; mais la surveillance de l’instance et de ServiceNow l’instance Serveur MID elle-même est également essentielle pour promouvoir un déploiement sécurisé.

    Microsoft dispose d’une documentation détaillée aux liens suivants :

    Basique Découverte avec l’exemple de profil JEA

    L’exemple de profil JEA fourni dans KB0965705 a été configuré pour détecter de nombreux éléments de configuration (CI) et attributs de base. Le profil peut être modifié et ne doit servir que de base de référence pour Découverte JEA.

    Basic Découverte recherche les attributs clés suivants des serveurs (cmdb_ci_win_server) ou Windows des ordinateurs de Windows bureau (cmdb_ci_computer) :
    • Nom d'hôte
    • Nom DNS
    • Numéro de série
    • Système d'exploitation
    • Version de SE
    • Service Pack du système d'exploitation
    • Espace disque
    • RAM
    • Nombre de cœurs de processeur
    • Nombre de processeurs
    • Fabricant de processeurs
    • Type de processeur

    Il comprend les CI suivants :

    • Adaptateurs réseau (cmdb_ci_network_adapter)
    • Système de fichiers (cmdb_ci_file_system)
    • Appareils de stockage (cmdb_ci_disk)
    • Logiciel installé (cmdb_software_instance)
    • Processus en cours (cmdb_running_process)
    • Modules de mémoire (cmdb_ci_memory_module)
    • Numéros de série (cmdb_serial_numbers)
    • Connexions TCP/IP (cmdb_tcp)
    • Adresses IP des CI (cmdb_ci_ip_address)
    • Noms DNS des CI (cmdb_ci_dns_name)
    • Windows Grappes (cmdb_ci_win_cluster, cmdb_ci_win_cluster_node, cmdb_ci_win_cluster_resource)
    • Fichiers de configuration suivis (cmdb_ci_config_file_tracked)

    Les CI d’application suivants peuvent également être détectés :

    • Base de données MSSQL sur Windows (cmdb_ci_db_mssql_instance)
    • Base de données MySQL activée Windows (cmdb_ci_db_mysql_instance)
    • Oracle Base de données activée Windows (cmdb_ci_db_ora_instance)
    • WebSphere sur Windows (cmdb_ci_app_server_websphere)

    Les sondes et modèles suivants sont utilisés pour Découverte l’exemple de profil :

    • Windows - Classify (sonde)
    • Windows Système d’exploitation : serveurs (schéma)
    • Windows Système d’exploitation : ordinateurs de bureau (schéma)
    • Windows - Logiciel installé (sonde)
    • Windows - ADM (multisonde)
    • Serveur MySQL activé Windows (schéma)
    • BD MS SQL ACTIVÉE Windows (schéma)
    • Oracle DB activée Windows (schéma)
    • Windows - WebSphere - Cellule (sonde)
    • Windows - WebSphere - Applications Web (sonde)
    • Windows - WebSphere - Services Web (sonde)

    Préparer l’instance à la découverte avec JEA

    Pour configurer l’instance ServiceNow® avec Découverte Microsoft Just Enough Administration (JEA), définissez les informations d’identification Windows avec le nom de domaine et définissez les paramètres de Serveur MID configuration appropriés.

    Avant de commencer

    Rôle requis : discovery_admin ou admin

    Procédure

    1. Accédez à la Tous > Découverte > Informations d'identification et cliquez sur Nouveau.
    2. Sélectionnez Informations d’identification Windows dans la liste des types d’informations d’identification disponibles.
    3. Créez les informations d’identification pour le non-administrateur, en utilisant ce format pour le nom d’utilisateur : domain\user name.
    4. Envoyez l’enregistrement.
    5. Accédez à la Tous > Serveur MID > Serveurs.
    6. Sélectionnez un serveur MID à configurer dans la liste des serveurs MID.
    7. Sélectionnez la liste connexe Paramètres de configuration .
    8. Définissez les paramètres de configuration du serveur MID suivants comme indiqué :
      1. mid.windows.management_protocol : Ce paramètre est requis pour la découverte avec JEA.
        Sa valeur par défaut est WMI, mais elle doit être définie sur WinRM sur les serveurs MID à l’aide de Discovery with JEA.
      2. mid.powershell.jea.endpoint : ce paramètre est requis pour la découverte avec JEA.
        Ce paramètre spécifie un nom de point de terminaison JEA auquel le serveur MID se connecte sur les hôtes distants. Le nom du point de terminaison est créé lors de l’enregistrement d’un fichier de configuration et ne doit pas être confondu avec le nom du fichier de configuration lui-même. Le paramètre affecte l’ensemble du serveur MID, y compris toutes les sessions WinRM distantes créées par découverte sur le serveur MID qui vont à ce point de terminaison.

        Par exemple, la commande PowerShell Register-PSConfiguration -name JEA_DISCO_V2 -path <session_configuration_file> définit le nom du point de terminaison sur JEA_DISCO_V2. Dans ce cas, mid.powershell.jea.endpoint doit être mis à jour vers JEA_DISCO_V2.

    9. Facultatif : Utilisez la propriété Système et Serveur MID suivantes pour résoudre les problèmes :
      1. mid.probe.collect_debug_info : propriété facultative du serveur MID permettant de collecter des informations de débogage.
        Lorsque cette propriété est définie sur vrai, le serveur MID collecte les informations de débogage des informations d’identification et les place dans la charge utile du message d’entrée ECC. Cela n’affecte pas le fonctionnement de JEA.
      2. glide.discovery.log_debug_info : propriété système facultative pour collecter des informations de débogage.
        Lorsque cette propriété est définie sur vrai, le capteur de découverte extrait les informations de débogage du message d’entrée ECC et les écrit dans la table Journal de découverte, de sorte que les informations de débogage soient visibles lors de l’inspection du statut de découverte.