Microsoft の Just Enough Administration (JEA) ディスカバリー

  • リリースバージョン: Australia
  • 更新日 2026年03月12日
  • 所要時間:8分

    • Microsoft JEA を ディスカバリー とともに使用すると、制約のあるエンドポイントを介してリモートWindowsコマンドを MID サーバー が実行するように強制することで、セキュリティが向上します。これにより、実行前にターゲット上のコマンドが検証されます。

    Microsoft JEA は、 Windows Remote Management (WinRM) を使用して通信と認証を管理する PowerShell リモート処理を通じてロールベースの管理を可能にします。このフレームワークは、HTTP プロトコルを使用するコンピューターを管理するための安全で信頼性の高い方法を提供します。PowerShell リモート処理は、HTTP と HTTPS 用に 2 つの合計ポート (5985、5986) を使用するため、WMI 動的ポート マッピングで使用される複数のポートよりも簡単に保護できます。Microsoft JEA の詳細については、「Just Enough Administration」を参照してください。

    JEA との ディスカバリー の要件

    • Rome リリース以降で実行されている ServiceNow インスタンス。
    • MID サーバーとターゲットサーバーはWindowsドメインの一部である必要があります。
    • アドミニストレーター以外の権限を持つ JEA 認証情報は、ドメインレベルの認証情報である必要があります。
    • PowerShell 5.0 または Windows Management Framework 5.1 がターゲット Windows マシンにインストールされている必要があります。
    • ターゲット Windows マシンで PowerShell リモート機能を有効にする必要があります。
    注:
    セキュリティ強化のために、Rome 以降は JEA v2 と呼ばれる新しいプロファイルがあります。 Microsoft では、JEA プロファイルで NoLanguage 以外の言語モードを指定することはお勧めしません。JEA v2 では、セッションタイプが RestrictedRemoteServer に、言語モードが NoLanguage に明示的に設定されているため、ユーザーがエンドポイントで任意のスクリプトを実行してセキュリティ制限をバイパスするのを防ぎます。 ServiceNow は、KB0782125 の既存のサンプルプロファイルをサポートしなくなりました。KB0965705 の指示に従って、JEA v2 プロファイルを設定して展開してください。

    JEA プロファイル

    ディスカバリー JEA を使用するには、PowerShell セッション構成と 1 つ以上の PowerShell ロール機能ファイルで構成されるプロファイルが必要です。複数の PowerShell ロール機能ファイルと複数のユーザーグループを作成し、必要に応じてさまざまなグループにロールを割り当てることができます。KB0965705 でリファレンス実装として提供されているサンプルプロファイルは、ひな型として利用できます。KB の構成ファイルは、作成時にすぐに利用可能なすべての水平 Windows パターンをサポートしています。 ServiceNow は、リモートマシンでの JEA プロファイルの展開とセットアップについて責任を負わないものとします。

    次のサンプルプロファイルでは、MID サーバーユーザーが信頼できるMID サーバーによって署名されたスクリプトのみを実行するように制限することで、Windowsサービスアカウントが侵害された場合に攻撃者をブロックすることでセキュリティを向上させます。プロファイルが展開されると、 MID サーバーWindows ターゲット間の接続は、 MID サーバーによって作成されたスクリプトとパラメーターの署名によって保護されます。これにより、1 つのセキュリティ層が提供されます。ただし、 ServiceNow インスタンスと MID サーバー 自体の監視も、安全な展開を促進するために不可欠です。

    Microsoft には、次のリンクに詳細なドキュメントがあります。

    サンプル JEA プロファイルを使用した基本ディスカバリー

    KB0965705 で提供されているサンプル JEA プロファイルは、多くの基本構成アイテム (CI) と属性を検出するように構成されています。プロファイルは変更可能であり、JEA による ディスカバリー のベースラインとしてのみ機能します。

    基本 ディスカバリー は、 Windows サーバー (cmdb_ci_win_server) または Windows デスクトップ (cmdb_ci_computer) の次の主要な属性を検索します。
    • ホスト名
    • DNS 名
    • シリアル番号
    • オペレーティングシステム
    • OS バージョン
    • OS サービスパック
    • ディスクスペース
    • RAM
    • CPU コア数
    • CPU カウント
    • CPU メーカー
    • CPU タイプ

    次の CI が含まれます。

    • ネットワークアダプター (cmdb_ci_network_adapter)
    • ファイルシステム (cmdb_ci_file_system)
    • ストレージデバイス (cmdb_ci_disk)
    • インストール済みソフトウェア (cmdb_software_instance)
    • 実行中のプロセス (cmdb_running_process)
    • メモリモジュール (cmdb_ci_memory_module)
    • シリアル番号 (cmdb_serial_numbers)
    • TCP/IP 接続 (cmdb_tcp)
    • CI の IP (cmdb_ci_ip_address)
    • CI の DNS 名 (cmdb_ci_dns_name)
    • Windows クラスター (cmdb_ci_win_cluster、cmdb_ci_win_cluster_node、cmdb_ci_win_cluster_resource)
    • 記録対象構成ファイル (cmdb_ci_config_file_tracked)

    次のアプリケーション CI も検出できます。

    • MSSQL DB on Windows (cmdb_ci_db_mssql_instance)
    • Windows (cmdb_ci_db_mysql_instance) 上の MySQL DB
    • OracleWindows上の DB (cmdb_ci_db_ora_instance)
    • WebSphere on Windows (cmdb_ci_app_server_websphere)

    サンプルプロファイルでの ディスカバリー には、次のプローブとパターンが使用されます。

    • Windows - 分類 (プローブ)
    • Windows OS - サーバー (パターン)
    • Windows OS - デスクトップ (パターン)
    • Windows - インストール済みソフトウェア (プローブ)
    • Windows - ADM (マルチプローブ)
    • MySQL サーバー Windows 時 (パターン)
    • MS SQL DB オン Windows (パターン)
    • OracleWindows上の DB (パターン)
    • Windows - WebSphere - セル (プローブ)
    • Windows - WebSphere - Web アプリケーション (プローブ)
    • Windows - WebSphere - Web サービス (プローブ)

    JEA を使用したディスカバリーのためのインスタンスの準備

    Microsoft Just Enough Administration (JEA) を使用して ServiceNow® インスタンスを ディスカバリー に対して構成するには、ドメイン名を使用して Windows 資格情報を定義し、MID サーバー 設定パラメータ―を適切に設定します。

    始める前に

    必要なロール:discovery_admin または admin

    手順

    1. 移動先 すべて > ディスカバリー > 認証情報 をクリックし、[ 新規] をクリックします。
    2. 使用可能な認証情報タイプのリストで [Windows 資格情報] を選択します。
    3. この形式を使用して、[ユーザー名] に対してアドミニストレーター以外の認証情報を作成します:domain\user name
    4. レコードを送信します。
    5. 移動先 すべて > MID サーバー > サーバー.
    6. MID サーバーのリストから、設定する [MID サーバー] を選択します。
    7. [設定パラメーター] 関連リストを選択します。
    8. 次のように MID サーバー構成パラメーターを設定します。
      1. mid.windows.management_protocol:このパラメータ―は、JEA を使用するディスカバリーで必要です。
        デフォルト値は WMI ですが、JEA を使用するディスカバリーを実行する MID サーバーでは WinRM に設定する必要があります。
      2. mid.powershell.jea.endpoint:このパラメーターは、JEA を使用するディスカバリーで必要です。
        このパラメーターで、MID サーバーがリモートホスト上で接続する JEA エンドポイント名を指定します。エンドポイント名は、構成ファイルの登録時に作成されます。構成ファイルの名前と混同しないでください。この設定は、そのエンドポイントに移動する MID サーバー上でディスカバリーによって作成された WinRM リモートセッションを含む MID Server 全体に影響します。

        たとえば、PowerShell コマンド Register-PSConfiguration -name JEA_DISCO_V2 -path <セッションの構成ファイル> では、エンドポイント名が JEA_DISCO_V2 に設定されます。その場合は、mid.powershell.jea.endpoint を JEA_DISCO_V2 に更新する必要があります。

    9. オプション: 問題のトラブルシューティングを行うには、次の MID サーバーのプロパティシステムのプロパティを使用します。
      1. mid.probe.collect_debug_info:これは、デバッグ情報を収集するためのオプションの MID サーバーのプロパティです。
        このプロパティが true に設定されている場合、MID サーバーは認証情報のデバッグ情報を収集し、ECC 入力メッセージのペイロードに格納します。JEA の動作には影響しません。
      2. glide.discovery.log_debug_info:これは、デバッグ情報を収集するためのオプションのシステムのプロパティです。
        このプロパティを true に設定すると、ディスカバリーセンサーは ECC 入力メッセージからデバッグ情報を抽出し、ディスカバリーログテーブルに書き込みます。これにより、ディスカバリーステータスの調査時にデバッグ情報が表示されます。