Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Das Privileged Access Management hält den administrativen Zugriff über eine separate Gesamtstruktur von den täglichen Benutzerkonten getrennt.
Hinweis
Der von MIM PAM bereitgestellte PAM-Ansatz wird für neue Bereitstellungen in mit dem Internet verbundenen Umgebungen nicht empfohlen. MIM PAM soll in einer benutzerdefinierten Architektur für isolierte AD-Umgebungen verwendet werden, in denen der Internetzugriff nicht verfügbar ist, in dem diese Konfiguration durch die Regulierung erforderlich ist, oder in isolierten Umgebungen mit hohem Einfluss wie Offlineforschungslabors und getrennten betriebstechnischen oder aufsichtsrechtlichen Kontroll- und Datenerfassungsumgebungen. MIM PAM unterscheidet sich von Microsoft Entra Privileged Identity Management (PIM). Microsoft Entra PIM ist ein Dienst, mit dem Sie den Zugriff auf Ressourcen in Microsoft Entra ID, Azure und anderen Microsoft Online Services wie Microsoft 365 oder Microsoft Intune verwalten, steuern und überwachen können. Anleitungen zu lokalen, mit dem Internet verbundenen Umgebungen und Hybridumgebungen finden Sie unter Sichern des privilegierten Zugriffs. Siehe für weitere Informationen.
Diese Lösung basiert auf parallelen Wäldern:
- CORP: Ihr allgemeinnütziger Unternehmenswald, der eine oder mehrere Domänen umfasst. Zwar verfügen Sie möglicherweise über mehrere CORP-Gesamtstrukturen, die Beispiele in diesen Artikeln gehen jedoch von einer einzelnen Gesamtstruktur mit einer einzigen Domäne aus Gründen der Einfachheit aus.
- PRIV: Ein speziell für dieses PAM-Szenario angelegter Wald. Diese Gesamtstruktur umfasst eine Domäne, um privilegierte Gruppen und Konten aufzunehmen, die von einer oder mehreren Corp-Domänen gespiegelt werden.
Die für PAM konfigurierte MIM-Lösung umfasst die folgenden Komponenten:
- MIM-Dienst: implementiert Geschäftslogik zum Ausführen von Identitäts- und Zugriffsverwaltungsvorgängen, einschließlich der Verwaltung privilegierter Konten und der Bearbeitung von Erhöhungsanfragen.
- MIM-Portal: ein optionales sharePoint-basiertes Portal, das von SharePoint 2013 oder höher gehostet wird und eine Administratorverwaltungs- und Konfigurationsbenutzeroberfläche bereitstellt.
- MIM-Dienstdatenbank: in SQL Server 2012 oder höher gespeichert und enthält Identitätsdaten und Metadaten, die für MIM-Dienst erforderlich sind.
- PAM Monitoring Service und bei Bedarf den PAM Component Service: zwei Dienste, die den Lebenszyklus privilegierter Konten verwalten und den PRIV AD im Lebenszyklus der Gruppenmitgliedschaft unterstützen.
- PowerShell Cmdlets: zum Auffüllen von MIM Service und PRIV AD mit Benutzern und Gruppen, die den Benutzern und Gruppen im CORP Forest für PAM-Administratoren entsprechen, und für Endbenutzer, die eine Just-in-Time (JIT) Nutzung von Privilegien auf einem administrativen Konto anfordern.
- PAM REST API: Für Entwickler, die MIM in das PAM-Szenario mit benutzerdefinierten Clients zur Erhöhung integrieren, ohne PowerShell oder SOAP verwenden zu müssen. Die Verwendung der REST-API wird mit einer Beispielwebanwendung veranschaulicht.
Nach der Installation und Konfiguration ist jede Gruppe, die durch das Migrationsverfahren in der PRIV-Gesamtstruktur erstellt wurde, eine Fremdprinzipalgruppe, die die Gruppe in der ursprünglichen CORP-Gesamtstruktur spiegelt. Die Fremdprinzipalgruppe stellt Benutzern, die Mitglieder dieser Gruppe sind, die gleiche SID in ihrem Kerberos-Token zur Verfügung wie die SID der Gruppe im CORP Forest. Außerdem, wenn der MIM-Dienst Mitglieder zu diesen Gruppen in der PRIV-Gesamtstruktur hinzufügt, sind diese Mitgliedschaften zeitlich begrenzt.
Wenn ein Benutzer daher eine Rechteerweiterung mithilfe von PowerShell-Cmdlets anfordert und seine Anforderung genehmigt wird, fügt der MIM-Dienst sein Konto in der Gesamtstruktur „PRIV“ zu einer Gruppe in der Gesamtstruktur „PRIV“ hinzu. Wenn sich der Benutzer mit dem privilegierten Konto anmeldet, enthält sein Kerberos-Token eine Sicherheits-ID (SID), die mit der SID der Gruppe in der CORP-Gesamtstruktur identisch ist. Da die Gesamtstruktur „CORP“ so konfiguriert ist, dass sie der Gesamtstruktur „PRIV“ vertraut, scheint das Konto mit Rechteerweiterung, das für den Zugriff auf eine Ressource verwendet wird, in der Gesamtstruktur „CORP“ für eine Ressource, die die Kerberos-Gruppenmitgliedschaft überprüft, ein Mitglied der Sicherheitsgruppen dieser Ressource zu sein. Dies wird über die gesamtstrukturübergreifende Kerberos-Authentifizierung bereitgestellt.
Darüber hinaus sind diese Mitgliedschaften zeitlich begrenzt, sodass das Administratorkonto des Benutzers nach einem vorkonfigurierten Zeitraum nicht mehr Teil der Gruppe in der PRIV-Gesamtstruktur ist. Daher kann dieses Konto nicht mehr für den Zugriff auf zusätzliche Ressourcen verwendet werden.