<p>本記事は<strong>Geminiの出力をプロンプト工学で整理した業務ドラフト（未検証）</strong>です。</p> <h1 class="wp-block-heading">PowerShell JEA (Just Enough Administration) の実装</h1> <h2 class="wp-block-heading">導入</h2> <p>PowerShell Just Enough Administration (JEA) は、最小特権の原則に基づき、特定のタスクのみを実行する権限をユーザーに付与するためのPowerShellのセキュリティ機能です。これにより、管理者権限を恒久的に付与することなく、限定された操作を安全に委任できるようになります。本記事では、JEAの実装から、現場で役立つ並列処理、堅牢なエラーハンドリング、ロギング戦略、そして安全な運用方法までを解説します。</p> <h2 class="wp-block-heading">目的と前提 / 設計方針（同期/非同期、可観測性）</h2> <p>JEAの主な目的は、セキュリティリスクを低減しつつ、管理作業の効率化を図ることです。不必要な権限を持つユーザーを減らし、悪意のある操作や誤操作の影響範囲を最小限に抑えます。</p> <p><strong>前提:</strong></p> <ul class="wp-block-list"> <li><p>Windows Server 2012 R2以降またはWindows 8.1以降のクライアントOS。</p></li> <li><p>PowerShell 5.1またはPowerShell 7以降がインストールされていること。特に並列処理を利用する場合はPowerShell 7以降を推奨します。</p></li> </ul> <p><strong>設計方針:</strong></p> <ul class="wp-block-list"> <li><p><strong>最小特権の原則 (Principle of Least Privilege)</strong>: ロール機能ファイル (.psrc) を通じて、ユーザーが実行できるコマンド、関数、スクリプトを厳密に定義します。</p></li> <li><p><strong>非同期/並列処理</strong>: 多数のホストに対してJEA経由で操作を行う場合、逐次処理では時間がかかりすぎます。<code>ForEach-Object -Parallel</code>やRunspace Poolを活用し、効率的な並列処理を実現します。</p></li> <li><p><strong>可観測性 (Observability)</strong>: すべてのJEAセッションでの操作をトランスクリプトログとして記録し、監査可能な状態を保ちます。また、スクリプト実行の詳細なログをイベントログに出力し、問題発生時のトレーサビリティを確保します。</p></li> <li><p><strong>堅牢性</strong>: ネットワークの問題や対象ホストの不具合に備え、再試行メカニズムと適切なエラーハンドリングを導入します。</p></li> </ul> <h2 class="wp-block-heading">コア実装（並列/キューイング/キャンセル）</h2> <p>JEAの実装は、主にJEAセッション構成ファイル (.pssc) とロール機能ファイル (.psrc) の作成、そしてセッション構成の登録から始まります。</p> <h3 class="wp-block-heading">JEAエンドポイント構成の例</h3> <p>以下の例では、特定のユーザーグループに「サービスの状態を確認する」という限定的な権限を与えるJEAエンドポイントを構築します。</p> <ol class="wp-block-list"> <li><p><strong>ロール機能ファイル (.psrc) の作成</strong>: 許可するコマンドや関数を定義します。</p> <div class="codehilite"> <pre data-enlighter-language="generic"># JEA_ServiceMonitorRole.psrc # 実行前提: 管理者権限のあるPowerShell 7環境。 # 出力先ディレクトリ C:\JEA に書き込み権限があること。 # このファイルはロール機能ファイルであり、直接実行されることを想定していません。 # New-PSSessionConfigurationFile コマンドレットから参照されます。 # ロール定義 # 許可するコマンドレット VisibleCmdlets = @( 'Get-Service', @{ Name = 'Restart-Service'; Parameters = @{ Name = 'Name'; ValidateSet = @('Spooler', 'BITS') } } ) # 許可する関数 (今回はなし) # VisibleFunctions = @() # 許可する外部コマンド (今回はなし) # VisibleExternalCommands = @() # 許可するエイリアス (今回はなし) # VisibleAliases = @() # 許可するプロバイダー (今回はなし) # VisibleProviders = @() # スクリプトディレクトリ (今回はなし) # ScriptsToProcess = @() # 初期化スクリプト (今回はなし) # StartUpScript = '' # セッション状態の設定 (LanguageMode など) LanguageMode = 'NoLanguage' # 最小限の権限でスクリプトの実行を制限 # トランスクリプトの有効化 TranscriptDirectory = 'C:\JEA\Transcripts' TranscriptBlockLogging = $true </pre> </div></li> <li><p><strong>JEAセッション構成ファイル (.pssc) の作成と登録</strong>: 上記のロール機能ファイルを参照し、JEAエンドポイントを定義します。</p> <div class="codehilite"> <pre data-enlighter-language="generic"># Register_JEA_ServiceMonitor.ps1 # 実行前提: 管理者権限のあるPowerShell 7環境。 # C:\JEA に書き込み権限があること。 # 対象グループ 'JEA_ServiceMonitors' が事前に作成されていること。 # (1) ロール機能ファイルの定義と保存 $roleCapabilityPath = 'C:\JEA\JEA_ServiceMonitorRole.psrc' @" VisibleCmdlets = @( 'Get-Service', @{ Name = 'Restart-Service'; Parameters = @{ Name = 'Name'; ValidateSet = @('Spooler', 'BITS') } } ) LanguageMode = 'NoLanguage' TranscriptDirectory = 'C:\JEA\Transcripts' TranscriptBlockLogging = `$true "@ | Set-Content -Path $roleCapabilityPath -Encoding UTF8 # (2) セッション構成ファイルの作成 $configPath = 'C:\JEA\JEA_ServiceMonitor.pssc' New-PSSessionConfigurationFile -Path $configPath ` -SchemaVersion 2.0 ` -LanguageMode NoLanguage ` -SessionType RestrictedRemoteServer ` -TranscriptDirectory 'C:\JEA\Transcripts' ` -LogPipelineExecutionDetails $true ` -RunAsVirtualAccount ` -RoleDefinitions @{ 'JEA_ServiceMonitors' = @{ RoleCapabilities = $roleCapabilityPath } } ` -Force # 既存のファイルを上書きする場合 Write-Host "JEAセッション構成ファイルが作成されました: $configPath" # (3) セッション構成の登録 try { Register-PSSessionConfiguration -Name 'JEA_ServiceMonitor' -Path $configPath -Force Write-Host "JEAセッション構成 'JEA_ServiceMonitor' が正常に登録されました。" } catch { Write-Error "JEAセッション構成の登録に失敗しました: $($_.Exception.Message)" } </pre> </div></li> </ol> <p>上記のコードは、<code>JEA_ServiceMonitors</code>グループのメンバーが、<code>JEA_ServiceMonitor</code>というJEAエンドポイント経由で接続すると、<code>Get-Service</code>コマンドレットと、<code>Restart-Service</code>コマンドレット（ただし<code>Spooler</code>と<code>BITS</code>サービスのみ）を実行できるようになります。すべての操作は<code>C:\JEA\Transcripts</code>にログとして記録されます。</p> <h3 class="wp-block-heading">JEAにおけるコマンド実行フロー</h3> <div class="wp-block-merpress-mermaidjs diagram-source-mermaid"><pre class="mermaid"> graph TD A["管理者/ユーザー"] -- | Enter-PSSession / Invoke-Command | --> B["PowerShellクライアント"] B -- | 接続要求 (ConfigurationName: JEA_ServiceMonitor) | --> C["JEAエンドポイント (ターゲットホスト)"] C -- | セッション構成ファイル (.pssc) を参照 | --> D["JEAセッション (隔離された環境)"] D -- | アクセス許可検証 | --> E["JEAロール機能 (.psrc)"] E -- | 許可されたコマンド/関数のみ | --> F["定義されたコマンド/関数"] F -- | 実行 | --> G["バックエンドシステム/サービス"] G -- | 結果 | --> D D -- | ログ出力 | --> H["トランスクリプト/イベントログ"] D -- | 結果 | --> B </pre></div> <h3 class="wp-block-heading">コア実装（並列/キューイング/キャンセル）</h3> <p>複数のJEAエンドポイントに対して並列でコマンドを実行する場合、PowerShell 7以降で利用可能な<code>ForEach-Object -Parallel</code>が非常に有効です。これにより、複数のRunspaceが並行して処理を実行し、スループットを向上させます。</p> <div class="codehilite"> <pre data-enlighter-language="generic"># Invoke_JEA_Parallel.ps1 # 実行前提: PowerShell 7以降の環境。 # 対象ホスト上にJEAエンドポイント 'JEA_ServiceMonitor' が登録されていること。 # 実行ユーザーがJEAエンドポイントに接続できる権限を持っていること。 # 対象ホストリスト 'servers.txt' が存在し、各行にホスト名が含まれていること。 # Get-Service は比較的に軽量な操作なので、メモリ消費は抑えられる見込み。 # パラメーター $TargetServers = Get-Content -Path 'servers.txt' # ホスト名リスト (例: Server01, Server02) $JEAConfigurationName = 'JEA_ServiceMonitor' $TimeoutSeconds = 60 # 各ホストへの接続とコマンド実行のタイムアウト $MaxDegreeOfParallelism = 10 # 同時実行Runspaceの最大数 $LogFile = ".\JEA_Parallel_Operations_$(Get-Date -Format 'yyyyMMddHHmmss').log" # ロギング関数 function Write-Log { param ( [string]$Message, [string]$Level = 'INFO' ) $Timestamp = Get-Date -Format 'yyyy-MM-dd HH:mm:ss' "$Timestamp [$Level] $Message" | Out-File -FilePath $LogFile -Append -Encoding UTF8 Write-Host "$Timestamp [$Level] $Message" } Write-Log "JEA並列操作を開始します。対象ホスト数: $($TargetServers.Count)" "INFO" $scriptBlock = { param($ComputerName, $JEAConfigurationName) try { # JEAセッションへの接続 (New-PSSession の代わりに Invoke-Command を使用してリモートで実行) # -ErrorAction Stop を指定し、接続失敗時に即座にcatchブロックへ移行 $session = New-PSSession -ComputerName $ComputerName -ConfigurationName $JEAConfigurationName -ErrorAction Stop -Authentication Credssp Write-Log "[$ComputerName] JEAセッションに接続しました。" "VERBOSE" # JEAセッション内でコマンドを実行 # Restart-Service は引数にValidateSetを持つため、不正なサービス名を指定するとエラーになることを想定 Invoke-Command -Session $session -ScriptBlock { param($Service) Get-Service -Name $Service | Select-Object Name, Status, MachineName } -ArgumentList "Spooler" -ErrorAction Stop Write-Log "[$ComputerName] 'Spooler' サービスの状態を取得しました。" "INFO" # 例: サービスの再起動 (許可されたサービスのみ) # Invoke-Command -Session $session -ScriptBlock { # param($Service) # Restart-Service -Name $Service -Force -ErrorAction Stop # } -ArgumentList "Spooler" -ErrorAction Stop # Write-Log "[$ComputerName] 'Spooler' サービスを再起動しました。" "INFO" Remove-PSSession -Session $session -ErrorAction SilentlyContinue return @{ ComputerName = $ComputerName; Status = "Success"; Output = $result.Name, $result.Status, $result.MachineName } } catch { $errorMessage = $_.Exception.Message Write-Log "[$ComputerName] エラーが発生しました: $errorMessage" "ERROR" # 接続エラーやコマンド実行エラーを区別するためのロジックを追加可能 return @{ ComputerName = $ComputerName; Status = "Failed"; Error = $errorMessage } } finally { # エラーが発生した場合でもセッションをクリーンアップ if ($session) { Remove-PSSession -Session $session -ErrorAction SilentlyContinue } } } # Measure-Command を使って実行時間を計測 $totalElapsedTime = Measure-Command { $results = $TargetServers | ForEach-Object -Parallel -ThrottleLimit $MaxDegreeOfParallelism -AsJob { # 各Runspaceで実行されるスクリプトブロック $ComputerName = $_ # 親スコープの変数を使用する場合は $using: を付与 & $using:scriptBlock -ComputerName $ComputerName -JEAConfigurationName $using:JEAConfigurationName } # ジョブの完了を待機し、結果を収集 $jobResults = $results | Wait-Job -Timeout $TimeoutSeconds | Receive-Job } Write-Log "JEA並列操作が完了しました。合計実行時間: $($totalElapsedTime.TotalSeconds)秒" "INFO" # 結果の表示 $jobResults | ForEach-Object { if ($_.Status -eq "Success") { Write-Log "ホスト '$($_.ComputerName)' は成功しました。" "INFO" # $_.Output の詳細を表示 } else { Write-Log "ホスト '$($_.ComputerName)' は失敗しました: $($_.Error)" "ERROR" } } </pre> </div> <p>このスクリプトは、<code>servers.txt</code>に記載された複数のホストに対してJEA経由で並列に接続し、<code>Get-Service</code>コマンドを実行します。<code>ForEach-Object -Parallel</code>は<code>-ThrottleLimit</code>で同時実行数を制御し、リソースの枯渇を防ぎます。各実行は個別のRunspaceで行われ、<code>try/catch/finally</code>ブロックによりエラーハンドリングとリソースの確実な解放が行われます。<code>-Timeout</code>パラメーターでジョブ全体のタイムアウトも設定しています。</p> <h2 class="wp-block-heading">検証（性能・正しさ）と計測スクリプト</h2> <p>JEA実装の検証では、主に以下の2点を確認します。</p> <ol class="wp-block-list"> <li><p><strong>正しさ</strong>: 許可された操作のみが実行でき、許可されていない操作は拒否されるか。</p></li> <li><p><strong>性能</strong>: 並列処理によってどの程度のスループット向上が見られるか。</p></li> </ol> <h3 class="wp-block-heading">正しさの検証</h3> <ul class="wp-block-list"> <li><p><code>JEA_ServiceMonitors</code>グループのメンバーとして接続し、<code>Get-Service</code>が実行できることを確認します。</p></li> <li><p><code>Restart-Service -Name Spooler</code>は実行できるが、<code>Restart-Service -Name WMI</code>のような許可されていないサービスは拒否されることを確認します。</p></li> <li><p><code>Get-Process</code>のような全く許可されていないコマンドレットは実行できないことを確認します。</p></li> </ul> <h3 class="wp-block-heading">性能と計測スクリプト</h3> <p>上記「Invoke_JEA_Parallel.ps1」スクリプトは<code>Measure-Command</code>で全体実行時間を計測しています。 実際の運用では、テスト環境で以下のような要素を変化させて性能を測定します。</p> <ul class="wp-block-list"> <li><p><strong>対象ホスト数</strong>: 10台、50台、100台など。</p></li> <li><p><strong><code>-ThrottleLimit</code> (同時実行数)</strong>: 5, 10, 20など。ネットワーク帯域やCPU負荷を考慮し最適な値を見つけます。</p></li> <li><p><strong>実行するコマンドの複雑さ</strong>: シンプルな<code>Get-Service</code>から、ファイル操作やイベントログ収集などのより重い処理。</p></li> </ul> <p>これらの計測結果を基に、システム要件とパフォーマンス要件を満たす最適な設定値を決定します。</p> <h2 class="wp-block-heading">運用：ログローテーション/失敗時再実行/権限</h2> <h3 class="wp-block-heading">エラーハンドリングと再試行</h3> <p>上記「Invoke_JEA_Parallel.ps1」スクリプトでは、<code>try/catch/finally</code>ブロックと<code>-ErrorAction Stop</code>を用いてエラーハンドリングを行っています。</p> <ul class="wp-block-list"> <li><p><code>$ErrorActionPreference = 'Stop'</code>をスクリプトの冒頭で設定することで、ハンドルされていないエラーもcatchブロックで捕捉できます。</p></li> <li><p>ネットワークの一時的な瞬断やターゲットホストの準備不足などに備え、再試行ロジックを実装することも重要です。</p> <div class="codehilite"> <pre data-enlighter-language="generic"># 再試行ロジックの例 function Invoke-CommandWithRetry { param ( [ScriptBlock]$ScriptBlock, [int]$MaxRetries = 3, [int]$RetryDelaySeconds = 5, [string]$ComputerName, [string]$ConfigurationName ) $attempt = 0 while ($attempt -lt $MaxRetries) { $attempt++ try { $session = New-PSSession -ComputerName $ComputerName -ConfigurationName $ConfigurationName -ErrorAction Stop -Authentication Credssp Invoke-Command -Session $session -ScriptBlock $ScriptBlock -ErrorAction Stop Remove-PSSession -Session $session -ErrorAction SilentlyContinue return $true # 成功 } catch { Write-Log "[$ComputerName] 試行 $attempt/$MaxRetries でエラー: $($_.Exception.Message)" "WARN" if ($attempt -lt $MaxRetries) { Start-Sleep -Seconds $RetryDelaySeconds } else { Write-Log "[$ComputerName] 最大試行回数に達しました。処理をスキップします。" "ERROR" return $false # 失敗 } } } } # 上記関数を ForEach-Object -Parallel の中で呼び出す # Invoke-CommandWithRetry -ScriptBlock { Get-Service Spooler } -ComputerName $ComputerName -ConfigurationName $JEAConfigurationName </pre> </div></li> </ul> <h3 class="wp-block-heading">ロギング戦略</h3> <p>JEAは以下のログ機能をサポートしています。</p> <ul class="wp-block-list"> <li><p><strong>トランスクリプトログ</strong>: JEAセッション内で実行されたすべてのコマンドと出力がテキストファイルに記録されます。<code>TranscriptDirectory</code>と<code>TranscriptBlockLogging</code>を<code>.pssc</code>ファイルで設定することで有効になります。これは監査に不可欠です。</p></li> <li><p><strong>イベントログ</strong>: <code>LogPipelineExecutionDetails = $true</code>を<code>.pssc</code>ファイルに設定すると、JEAセッション内で実行された各コマンドレットの詳細情報が、ターゲットサーバーのPowerShellオペレーションログ (イベントビューアー > アプリケーションとサービスログ > Microsoft > Windows > PowerShell > Operational) に記録されます。</p></li> <li><p><strong>構造化ログ</strong>: スクリプト内で<code>Write-Log</code>関数のように独自にログを生成し、JSONやCSVなどの構造化された形式で出力することで、後続のログ分析を容易にできます。</p></li> </ul> <h3 class="wp-block-heading">ログローテーション</h3> <p>JEAのトランスクリプトログは、設定された<code>TranscriptDirectory</code>に蓄積されます。これらのログがディスクスペースを圧迫しないよう、定期的なローテーションが必要です。</p> <ul class="wp-block-list"> <li><p>WindowsのタスクスケジューラやPowerShellスクリプト（例: N日以上前のログファイルを削除する）を使って、ログファイルを圧縮・アーカイブし、古いものを削除する運用を検討します。</p></li> <li><p>集中ログ管理システム（例: ELK Stack, Splunk, Azure Monitor）に転送することも考慮します。</p></li> </ul> <h3 class="wp-block-heading">権限（SecretManagement）</h3> <p>JEAセッション内から機密情報（APIキー、パスワードなど）を使用する必要がある場合、PowerShellの<code>SecretManagement</code>モジュールを活用し、安全に取り扱うべきです。<code>SecretManagement</code>は、Credential Managerなどの安全なストアにシークレットを保存し、必要に応じて取得するための標準インターフェースを提供します。 JEAセッションでは、<code>SecretManagement</code>モジュールとそのプロバイダー（例: <code>Microsoft.PowerShell.SecretStore</code>）が利用可能であるように、<code>.pssc</code>ファイルや<code>.psrc</code>ファイルで<code>VisibleCmdlets</code>や<code>ScriptsToProcess</code>に定義する必要があります。</p> <div class="codehilite"> <pre data-enlighter-language="generic"># JEA_SecretAccessRole.psrc (例: SecretManagement関連コマンドの許可) # ... VisibleCmdlets = @( 'Get-Secret', 'Get-SecretInfo' # 'Set-Secret', 'Remove-Secret' などは、必要に応じて限定的に許可 ) # ... </pre> </div> <p>これにより、JEAユーザーは安全な方法でシークレットを取得できますが、直接シークレット値をスクリプトに埋め込むリスクを回避できます。</p> <h2 class="wp-block-heading">落とし穴（例：PowerShell 5 vs 7の差、スレッド安全性、UTF-8問題）</h2> <h3 class="wp-block-heading">PowerShell 5.1 と 7+ の違い</h3> <ul class="wp-block-list"> <li><p><strong><code>ForEach-Object -Parallel</code></strong>: PowerShell 7以降で導入された機能であり、PowerShell 5.1では利用できません。5.1で並列処理を行う場合は、Runspace Poolを自前で実装する必要があります。</p></li> <li><p><strong>JEA設定ファイルの互換性</strong>: <code>.pssc</code>ファイルは基本的に両バージョンで互換性がありますが、PowerShell 7の新機能（例:一部の新しいLanguageModeオプション）は5.1では動作しません。</p></li> <li><p><strong>モジュールパス</strong>: PowerShell 5.1と7+ではデフォルトのモジュールパスが異なります。JEAセッションで特定のモジュールを使用する場合、それらのモジュールが適切なパスにインストールされているか、または<code>ScriptsToProcess</code>でインポートされていることを確認する必要があります。</p></li> </ul> <h3 class="wp-block-heading">スレッド安全性と共有変数</h3> <p><code>ForEach-Object -Parallel</code>やRunspace Poolで複数のRunspaceが並行して実行される際、Runspace間で共有される変数やオブジェクトへのアクセスはスレッドセーフティに注意が必要です。</p> <ul class="wp-block-list"> <li><p>Runspace間で変数を共有するには<code>$using:</code>スコープ修飾子を使用しますが、この値はコピーであり、元データは変更されません。</p></li> <li><p>Runspace内でオブジェクトを直接変更する場合、そのオブジェクトがスレッドセーフでないと競合状態が発生する可能性があります。カスタムオブジェクトやPSObjectの直接的な共有は避けるべきです。</p></li> <li><p>可能な限り、各Runspaceは独立した処理を行い、結果は個別に戻す設計を推奨します。</p></li> </ul> <h3 class="wp-block-heading">UTF-8エンコーディング問題</h3> <ul class="wp-block-list"> <li><p>PowerShellのデフォルトエンコーディングはバージョンや環境によって異なります。特に<code>Set-Content</code>や<code>Out-File</code>を使用する際、<code>JEA_ServiceMonitorRole.psrc</code>やトランスクリプトログがUTF-8で正しく出力されるよう、明示的に<code>-Encoding UTF8</code>を指定することが重要です。これにより、マルチバイト文字（日本語など）の文字化けを防ぎます。</p></li> <li><p><code>.psrc</code>や<code>.pssc</code>ファイルを保存する際も、UTF-8 (BOMなし) で保存することが推奨されます。</p></li> </ul> <h3 class="wp-block-heading"><code>VisibleCommands</code>のワイルドカード乱用</h3> <p><code>VisibleCmdlets = @('*-Service')</code>のようにワイルドカードを安易に使用すると、意図しないコマンド（例: <code>Stop-Service</code>, <code>Remove-Service</code>）まで許可してしまい、セキュリティホールとなる可能性があります。 可能な限り、個別のコマンドレット名で明示的に定義するか、<code>ValidateSet</code>や<code>ParameterFiltered</code>を使って引数レベルでの制限を厳密に行うべきです。</p> <h2 class="wp-block-heading">まとめ</h2> <p>PowerShell JEAは、最小特権の原則を実装し、Windows環境における管理作業のセキュリティを大幅に向上させる強力な機能です。本記事では、JEAエンドポイントの構築から、<code>ForEach-Object -Parallel</code>を利用した効率的な並列処理、堅牢なエラーハンドリング、監査に不可欠なロギング戦略、そして<code>SecretManagement</code>を用いた機密情報の安全な取り扱いまで、具体的な実装例と共に解説しました。</p> <p>JEAの導入は、初期設定にある程度の労力を要しますが、適切な設計と運用により、セキュリティリスクを低減しつつ、管理業務の自動化と委任を安全に進めることが可能になります。PowerShell 5.1と7+の機能差やスレッド安全性、エンコーディング問題といった落とし穴に注意し、本記事で示したベストプラクティスを参考に、貴社の環境に最適なJEA実装を進めてください。</p>

graph TD
    A["管理者/ユーザー"] -- | Enter-PSSession / Invoke-Command | --> B["PowerShellクライアント"]
    B -- | 接続要求 (ConfigurationName: JEA_ServiceMonitor) | --> C["JEAエンドポイント (ターゲットホスト)"]
    C -- | セッション構成ファイル (.pssc) を参照 | --> D["JEAセッション (隔離された環境)"]
    D -- | アクセス許可検証 | --> E["JEAロール機能 (.psrc)"]
    E -- | 許可されたコマンド/関数のみ | --> F["定義されたコマンド/関数"]
    F -- | 実行 | --> G["バックエンドシステム/サービス"]
    G -- | 結果 | --> D
    D -- | ログ出力 | --> H["トランスクリプト/イベントログ"]
    D -- | 結果 | --> B

# Invoke_JEA_Parallel.ps1


# 実行前提: PowerShell 7以降の環境。


#           対象ホスト上にJEAエンドポイント 'JEA_ServiceMonitor' が登録されていること。


#           実行ユーザーがJEAエンドポイントに接続できる権限を持っていること。


#           対象ホストリスト 'servers.txt' が存在し、各行にホスト名が含まれていること。


#           Get-Service は比較的に軽量な操作なので、メモリ消費は抑えられる見込み。

# パラメーター

$TargetServers = Get-Content -Path 'servers.txt' # ホスト名リスト (例: Server01, Server02)
$JEAConfigurationName = 'JEA_ServiceMonitor'
$TimeoutSeconds = 60 # 各ホストへの接続とコマンド実行のタイムアウト
$MaxDegreeOfParallelism = 10 # 同時実行Runspaceの最大数
$LogFile = ".\JEA_Parallel_Operations_$(Get-Date -Format 'yyyyMMddHHmmss').log"

# ロギング関数

function Write-Log {
    param (
        [string]$Message,
        [string]$Level = 'INFO'
    )
    $Timestamp = Get-Date -Format 'yyyy-MM-dd HH:mm:ss'
    "$Timestamp [$Level] $Message" | Out-File -FilePath $LogFile -Append -Encoding UTF8
    Write-Host "$Timestamp [$Level] $Message"
}

Write-Log "JEA並列操作を開始します。対象ホスト数: $($TargetServers.Count)" "INFO"

$scriptBlock = {
    param($ComputerName, $JEAConfigurationName)

    try {

        # JEAセッションへの接続 (New-PSSession の代わりに Invoke-Command を使用してリモートで実行)


        # -ErrorAction Stop を指定し、接続失敗時に即座にcatchブロックへ移行

        $session = New-PSSession -ComputerName $ComputerName -ConfigurationName $JEAConfigurationName -ErrorAction Stop -Authentication Credssp

        Write-Log "[$ComputerName] JEAセッションに接続しました。" "VERBOSE"

        # JEAセッション内でコマンドを実行


        # Restart-Service は引数にValidateSetを持つため、不正なサービス名を指定するとエラーになることを想定

        Invoke-Command -Session $session -ScriptBlock {
            param($Service)
            Get-Service -Name $Service | Select-Object Name, Status, MachineName
        } -ArgumentList "Spooler" -ErrorAction Stop

        Write-Log "[$ComputerName] 'Spooler' サービスの状態を取得しました。" "INFO"

        # 例: サービスの再起動 (許可されたサービスのみ)


        # Invoke-Command -Session $session -ScriptBlock {


        #     param($Service)


        #     Restart-Service -Name $Service -Force -ErrorAction Stop


        # } -ArgumentList "Spooler" -ErrorAction Stop


        # Write-Log "[$ComputerName] 'Spooler' サービスを再起動しました。" "INFO"

        Remove-PSSession -Session $session -ErrorAction SilentlyContinue

        return @{
            ComputerName = $ComputerName;
            Status = "Success";
            Output = $result.Name, $result.Status, $result.MachineName
        }
    }
    catch {
        $errorMessage = $_.Exception.Message
        Write-Log "[$ComputerName] エラーが発生しました: $errorMessage" "ERROR"

        # 接続エラーやコマンド実行エラーを区別するためのロジックを追加可能

        return @{
            ComputerName = $ComputerName;
            Status = "Failed";
            Error = $errorMessage
        }
    }
    finally {

        # エラーが発生した場合でもセッションをクリーンアップ

        if ($session) {
            Remove-PSSession -Session $session -ErrorAction SilentlyContinue
        }
    }
}

# Measure-Command を使って実行時間を計測

$totalElapsedTime = Measure-Command {
    $results = $TargetServers | ForEach-Object -Parallel -ThrottleLimit $MaxDegreeOfParallelism -AsJob {

        # 各Runspaceで実行されるスクリプトブロック

        $ComputerName = $_

        # 親スコープの変数を使用する場合は $using: を付与

        & $using:scriptBlock -ComputerName $ComputerName -JEAConfigurationName $using:JEAConfigurationName
    }

    # ジョブの完了を待機し、結果を収集

    $jobResults = $results | Wait-Job -Timeout $TimeoutSeconds | Receive-Job
}

Write-Log "JEA並列操作が完了しました。合計実行時間: $($totalElapsedTime.TotalSeconds)秒" "INFO"

# 結果の表示

$jobResults | ForEach-Object {
    if ($_.Status -eq "Success") {
        Write-Log "ホスト '$($_.ComputerName)' は成功しました。" "INFO"

        # $_.Output の詳細を表示

    } else {
        Write-Log "ホスト '$($_.ComputerName)' は失敗しました: $($_.Error)" "ERROR"
    }
}

# JEA_SecretAccessRole.psrc (例: SecretManagement関連コマンドの許可)


# ...

VisibleCmdlets = @(
    'Get-Secret',
    'Get-SecretInfo'

    # 'Set-Secret', 'Remove-Secret' などは、必要に応じて限定的に許可

)

# ...