ディスカバリー用 Microsoft Just Enough Administration (JEA)

  • リリースバージョン: Xanadu
  • 更新日 2024年08月01日
  • 所要時間:8分

    • Microsoft JEA では、アドミニストレーター以外のユーザーが、ディスカバリー に必要な特定のコマンド、スクリプト、および実行可能ファイルの実行を制限されているため、セキュリティが向上します。これにより、MID サーバー はターゲットの完全なアドミニストレーター権限がなくても Windows マシンに関する情報を収集することができます。

    Microsoft JEA では、PowerShell Remoting によりロールベースの管理が可能になり、Windows Remote Management (WinRM) を使用して通信と認証を管理します。このフレームワークは、HTTP プロトコルを使用するコンピューターを管理するための安全で信頼性の高い方法を提供します。PowerShell Remoting では、WMI 動的ポートマッピングで使用される複数ポートよりも簡単にセキュアにできる HTTP および HTTPS 用の 2 つのトータルポート (5985、5986) を使用します。Microsoft JEA の詳細については、「Just Enough Administration」を参照してください。

    ServiceNow インスタンス、MID サーバー、および検出される JEA エンドポイントと Windows Server の間の接続の概要。

    JEA を使用したディスカバリーの要件

    • Rome リリース以降を実行中の ServiceNow インスタンス。
    • MID サーバーとターゲットサーバーは、Windows ドメインの一部である必要があります。
    • アドミニストレーター以外の権限を持つ JEA 認証情報は、ドメインレベルの認証情報である必要があります。
    • PowerShell 5.0 または Windows Management Framework 5.1 がターゲットの Windows マシンにインストールされている必要があります。
    • ターゲットの Windows マシンで PowerShell リモート機能を有効にする必要があります。
    注:
    セキュリティ強化のため、Rome 以降には JEA v2 と呼ばれる新しいプロファイルがあります。Microsoft は、JEA プロファイルで NoLanguage 以外の言語モードを指定することを推奨していません。JEA v2 では、セッションタイプは RestrictedRemoteServer、言語モードは NoLanguage に明示的に設定されます。これにより、ユーザーがエンドポイントで任意のスクリプトを実行してセキュリティ制限をバイパスすることを防止できます。ServiceNow は KB0782125 の既存のサンプルプロファイルをサポートしなくなりました。KB0965705 の指示に従って、JEA v2 プロファイルを設定して展開してください。

    JEA プロファイル

    ディスカバリーで JEA を使用する場合は、PowerShell セッション構成と 1 つ以上の PowerShell ロール機能ファイルで構成されたプロファイルが必要です。複数の PowerShell ロール機能ファイルと複数のユーザーグループを作成し、必要に応じてさまざまなグループにロールを割り当てることができます。KB0965705 でリファレンス実装として提供されているサンプルプロファイルは、ひな型として利用できます。KB の構成ファイルは、作成時にすぐに利用可能なすべての水平 Windows パターンをサポートしています。ServiceNow は、リモートマシンでの JEA プロファイルの展開とセットアップに対して責任を負うものではありません。

    Microsoft が、次のリンクで詳細なドキュメントを公開しています。

    サンプル JEA プロファイルを使用したベーシックディスカバリー

    KB0965705 で提供されているサンプル JEA プロファイルは、多くの基本的な CI と属性を検出するように構成されています。プロファイルは変更可能であり、JEA を使用したディスカバリーのベースラインとしてのみ機能します。

    ベーシックディスカバリーでは、Windows サーバー (cmdb_ci_win_server) または Windows デスクトップ (cmdb_ci_computer) の次のキー属性が検出されます。
    • ホスト名
    • DNS 名
    • シリアル番号
    • オペレーティングシステム
    • OS バージョン
    • OS サービスパック
    • ディスクスペース
    • RAM
    • CPU コア数
    • CPU カウント
    • CPU メーカー
    • CPU タイプ

    次の CI が含まれます。

    • ネットワークアダプター (cmdb_ci_network_adapter)
    • ファイルシステム (cmdb_ci_file_system)
    • ストレージデバイス (cmdb_ci_disk)
    • インストール済みソフトウェア (cmdb_software_instance)
    • 実行中のプロセス (cmdb_running_process)
    • メモリーモジュール (cmdb_ci_memory_module)
    • シリアル番号 (cmdb_serial_numbers)
    • TCP/IP 接続 (cmdb_tcp)
    • CI の IP (cmdb_ci_ip_address)
    • CI の DNS 名 (cmdb_ci_dns_name)
    • Windows クラスター (cmdb_ci_win_cluster、cmdb_ci_win_cluster_node、cmdb_ci_win_cluster_resource)
    • 記録対象構成ファイル (cmdb_ci_config_file_tracked)

    次のアプリケーション CI も検出できます。

    • Windows 上の MSSQL DB (cmdb_ci_db_mssql_instance)
    • Windows 上の MySQL DB (cmdb_ci_db_mysql_instance)
    • Windows 上の Oracle DB (cmdb_ci_db_ora_instance)
    • Windows 上の WebSphere (cmdb_ci_app_server_websphere)

    サンプルプロファイルを使用したディスカバリーには、次のプローブとパターンが使用されます。

    • Windows - 分類 (プローブ)
    • Windows OS - サーバー (パターン)
    • Windows OS - デスクトップ (パターン)
    • Windows - インストール済みソフトウェア (プローブ)
    • Windows - ADM (マルチプローブ)
    • Windows 上の My SQL サーバー (パターン)
    • Windows 上の MSSql DB (パターン)
    • Windows 上の Oracle DB (パターン)
    • Windows - WebSphere - セル (プローブ)
    • Windows - WebSphere - Web アプリケーション (プローブ)
    • Windows - WebSphere - Web サービス (プローブ)

    JEA を使用したディスカバリーのためのインスタンスの準備

    Microsoft Just Enough Administration (JEA) を使用して ServiceNow® インスタンスを ディスカバリー に対して構成するには、ドメイン名を使用して Windows 資格情報を定義し、MID サーバー 設定パラメータ―を適切に設定します。

    始める前に

    必要なロール:admin、discovery_admin

    手順

    1. 移動先 すべて > ディスカバリー > 認証情報 をクリックし、[ New] をクリックします。
    2. 使用可能な認証情報タイプのリストで [Windows 資格情報] を選択します。
    3. この形式を使用して、[ユーザー名] に対してアドミニストレーター以外の認証情報を作成します:domain\user name
    4. レコードを送信します。
    5. 移動先 すべて > MID サーバー > サーバー.
    6. MID サーバーのリストから、設定する [MID サーバー] を選択します。
    7. [設定パラメーター] 関連リストを選択します。
    8. 次のように MID サーバー構成パラメーターを設定します。
      1. mid.windows.management_protocol:このパラメータ―は、JEA を使用するディスカバリーで必要です。
        デフォルト値は WMI ですが、JEA を使用するディスカバリーを実行する MID サーバーでは WinRM に設定する必要があります。
      2. mid.powershell.jea.endpoint:このパラメーターは、JEA を使用するディスカバリーで必要です。
        このパラメーターで、MID サーバーがリモートホスト上で接続する JEA エンドポイント名を指定します。エンドポイント名は、構成ファイルの登録時に作成されます。構成ファイルの名前と混同しないでください。この設定は、そのエンドポイントに移動する MID サーバー上でディスカバリーによって作成された WinRM リモートセッションを含む MID Server 全体に影響します。

        たとえば、PowerShell コマンド Register-PSConfiguration -name JEA_DISCO_V2 -path <セッションの構成ファイル> では、エンドポイント名が JEA_DISCO_V2 に設定されます。その場合は、mid.powershell.jea.endpoint を JEA_DISCO_V2 に更新する必要があります。

    9. オプション: 問題のトラブルシューティングを行うには、次の MID サーバーのプロパティシステムのプロパティを使用します。
      1. mid.probe.collect_debug_info:これは、デバッグ情報を収集するためのオプションの MID サーバーのプロパティです。
        このプロパティが true に設定されている場合、MID サーバーは認証情報のデバッグ情報を収集し、ECC 入力メッセージのペイロードに格納します。JEA の動作には影響しません。
      2. glide.discovery.log_debug_info:これは、デバッグ情報を収集するためのオプションのシステムのプロパティです。
        このプロパティを true に設定すると、ディスカバリーセンサーは ECC 入力メッセージからデバッグ情報を抽出し、ディスカバリーログテーブルに書き込みます。これにより、ディスカバリーステータスの調査時にデバッグ情報が表示されます。