今回はWindows Powershellに関する記事です。
掲題にあるJust Enough Administration(JEA)っていつから存在するの?
というさりげない知識欲を満たす記事を執筆していきます。
本記事は以下JEAの記事に対する、補足解説的な位置づけの記事です。
<歴史編>として深堀りしていますので、
実践手順だけ見たい方は以下の<入門編>をどうぞ!
➡【Powershell】Just Enough Administration(JEA)をマイPC1台で動作検証してみた<入門編>
【Powershell】Just Enough Administration(JEA)っていつから存在するの?<歴史編>
まずは結論
JEA が誕生したのは 2014〜2016 年頃。
正式機能化は Windows Server 2016。
とまあ、意外に最近なんですよね。
古くからWindows Serverは、RHELに代表されるLinuxやUNIX系OSと比較して、
- 感覚的な操作、誰でも触れるね!
- 感覚的なところを制御しようとすると突如仕様との闘いが始まる
- ユーザ権限分割は管理者一本が前提だろうといわんばかりの溢れる漢気
のような印象があったと思っています(主観)
上ふたつは今でもあまり変化がないような気がしますが、
最後の漢気は劇的に変化が起こっていたのです。
あと、これも主観なのですがWindowsの権限制御に造詣が深い先輩SE
みたいな人とはほぼ巡り会いませんでした。
何なら現在のあだちのほうが造詣が深いようにも思います。
(巡り会わせが悪いだけかもしれませんが・・・)
時系列まとめ
ざっくり以下のような感じです。
正確なところはMicroSoftの中の人に聞いてみてください。
※あだちは中の人ではありません。ごめんなさい。
| 年 | 出来事 | 状態 |
|---|---|---|
| 2014 | Microsoft Research が JEA 初期モデルを発表 | 研究・試作段階 (噂話程度) |
| 2015 | WMF 5.0 Preview に JEA が含まれる | 早期プレビュー |
| 2016 | Windows Server 2016 / Win10 で正式機能化 | 正式リリース |
| 2017以降 | 改善されつつ現在のモデルに | 安定期 |
発表からの経緯
2014年:JEA の原型が Microsoft Research で公開される
最初の情報は 2014年5月頃 に Microsoft Research から発表された論文・ブログ。
この段階では 実験的プロジェクト という扱いだった。
ただ、上記のソースは残っておらず「関係者の発言ベース」の情報が
噂話的に残っている といった状態。(つまり明確な根拠がない)
※もし古い資料持ってる人いたら教えてください。
2014年は、PowerShell v5 の開発が佳境だった時期で、
DSC(Desired State Configuration)が注目を集めていた。
権限モデルの改革が内部で議論されていたことは確かで、
「JEA の原型がこの頃動いていたのでは?」
という憶測が生まれやすい背景は十分にあった。
2015年:Windows Management Framework (WMF) 5.0 Preview で JEA が触れる状態に
2015年に公開された WMF 5.0 Preview で、
JEA の最初の実装(RoleCapabilities など)がユーザーに公開された。
➡Windows Server 2012 5.0 RTM WMF(MS公式)
ITエンジニアたちの間で
「Windows に sudo が来た」
と言われ始めたのがこの頃。
➡PowerShell v5の新機能と、実戦で使ってほしい機能
2016年:Windows Server 2016 で “正式機能” としてリリース
これが 公式に「JEA が Windows の一部になった瞬間」。
- Windows Server 2016
- Windows 10 Anniversary Update (1607)で JEA は正式サポートとなり、
MS公式ドキュメントにも登場した。
つまり 実運用での利用が正式にサポートされたのは 2016年から。
例えば、筆者がお世話になっている
■アイティメディア の記事にも執筆されているし
➡管理者権限をコントロールする2つのアプローチ――必要最低限の管理(JEA)と特権アクセス管理(PAM)
■海外記事はさらにアツイ!やはり技術の本場はシリコンバレーですよね(英文記事です)
■Wikipediaにも記述がされています(英文記事です)
JEAの現在とこれから
JEA は 「古いけどただ単に存続している技術」 ではなく、
Windows の管理思想を一変させた重要技術 です。
Windows Server 2016 で正式に登場してから今も静かに進化を続けています。
現在の JEA は、Windows が採用する 「最小権限で管理する」 という考え方の中心にあり、
必要以上の権限を持たせないための OSネイティブ機能 として位置づけられています。
現在①:Windows の最小権限モデルの中核
- JEA は Windows Server 2016 で正式採用
- PowerShell v5 時代に生まれた「权限の粒度を OS レベルで制御する仕組み」
- MicroSoft自身が「ゼロトラスト時代の Windows 管理モデル」として文書で位置づけている
現在②:MS 製品の多くが 「JEA の思想」を受け継いでいる
JEA が普及していないように見えるのは UI に露出していないだけで、
実際は MS の設計思想に深く溶け込んでいます。
例えば、PowerShell Team が 2016–2019 に語っていた内容で
以下はJEA の哲学(最小権限・表面積削減)を継承して設計されている
- Azure Automation の Runbook 権限モデル
- Privileged Access Workstation(PAW)
- LAPS2
- Just-In-Time (JIT) Access
未来①:PAM ツールとは競合せず、むしろ補完関係
2020年のCOVID-19流行時以降俄かに流行したPAM系のツール群たち。例えば
- CyberArk
- BeyondTrust (PBPS)
- Thycotic / Delinea
- ManageEngine PAM360
- Azure AD PIM(Privileged Identity Management)
これらすべてが 「管理者権限を必要な時だけ与える」 という仕組みを提供しています。
しかしここに「矛盾」があります。
理由は単純で、
JEA は「OS レベルで最小権限を提供する唯一のネイティブ手段」だから です。
PAM ツールはあくまで
- 資格情報の貸し出し
- セッション監視
- 記録
などの
「外側の制御」 であり、実際の行動制御(コマンドの可否)すなわち
「内側の制御」 を最も強力に制御できる仕組みこそがJEA なのです。
PAM と JEA は対立しない。
むしろ 組み合わせると相互補完が働き、強くなる。
つまり、両者は競合せず、むしろ補完関係にあります。
PAM が「入口の警備員」
JEA が「部屋ごとの鍵」
というイメージです。
未来②:PowerShell 7 / SSH 時代でも生き続ける技術
Microsoft の動向的には現在以下のようなテーマを推進していますね。
- WinRM から SSH への移行
- PowerShell 7 系の標準化
- Azure Arc のガバナンス統合
特に、「WinRM から SSH への移行」⇒「JEA over SSH」
は MS が正式にドキュメント化している次世代の使い方です。
つまり、JEA は Windows の中だけで完結する技術として終わるのではなく、
「SSH での最小権限管理」という Linux 的世界にも踏み込んでいっています。
余談ですが、RHELへPowerShellを[dnfインストール]して利用できます
まとめ
JEA は「Windows Server 2016 の大きなトピックの一つ」でした。
Windows PowerShell v5 と密接に紐づいている「Windows の最小権限定義」 を
OS レベルに持ち込んだ最初の本格機能だったのです。
JEA は目立つ技術ではありませんが、
Windows 管理の「最小権限化」を支える基本要素であり続けます。
- 権限の渡し方を安全にしたい
- 作業ミスや操作範囲を絞りたい
- 管理者アカウントをむやみに増やしたくない
という現場では、今後も JEA が活躍する余地があります。
- オンプレでも
- ハイブリッドでも
- SSH 時代の PowerShell でも
JEA は「管理者権限を合理的に削るための武器」として
今後も使われ続けると考えられます。
最後に
ここまで熱くJEAについて語らせていただきました。
皆さまも、JEAを使ってみたくなっていませんか?
当ブログでは以下の記事を用意していますので、ご興味のある方は是非ご利用になってください。
我が家のPC1台から手軽に検証できる手順
➡【Powershell】Just Enough Administration(JEA)をマイPC1台で動作検証してみた<入門編>
検証手順の詳細解説記事
➡【Powershell】Just Enough Administration(JEA)の仕組み・概念・構成要素を解説<理論編>
それでは!
コメント