Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Privileged Access Management mantiene l'accesso amministrativo separato dagli account utente quotidiani usando una foresta separata.
Nota
L'approccio PAM fornito da MIM PAM non è consigliato per le nuove distribuzioni in ambienti connessi a Internet. PAM MIM è progettato per essere usato in un'architettura personalizzata per ambienti AD isolati in cui l'accesso a Internet non è disponibile, dove questa configurazione è richiesta dalla normativa o in ambienti isolati ad alto impatto, come laboratori di ricerca offline e tecnologie operative disconnesse o controllo di supervisione e ambienti di acquisizione dei dati. MIM PAM è distinto da Microsoft Entra Privileged Identity Management (PIM). Microsoft Entra PIM è un servizio che consente di gestire, controllare e monitorare l'accesso alle risorse in Microsoft Entra ID, Azure e altri Microsoft Online Services, ad esempio Microsoft 365 o Microsoft Intune. Per indicazioni su ambienti connessi a Internet locale e ambienti ibridi, vedere proteggere l'accesso con privilegi per altre informazioni.
Questa soluzione si basa su foreste parallele:
- CORP: foresta aziendale per utilizzo generico che include uno o più domini. Sebbene si disponga di più foreste CORP, gli esempi in questi articoli presuppongono una singola foresta con un singolo dominio per semplicità.
- PRIV: foresta dedicata creata appositamente per questo scenario PAM. Questa foresta include un dominio per contenere gruppi e account con privilegi ombreggiati da uno o più domini CORP.
La soluzione MIM configurata per PAM include i componenti seguenti:
- Servizio MIM: implementa la logica di business per l'esecuzione di operazioni di gestione delle identità e degli accessi, inclusa la gestione degli account con privilegi e la gestione delle richieste di elevazione dei privilegi.
- Portale MIM: un portale facoltativo basato su SharePoint, ospitato da SharePoint 2013 o versione successiva, che fornisce un'interfaccia utente di gestione e configurazione dell'amministratore.
- Database del servizio MIM: archiviato in SQL Server 2012 o versione successiva e contiene i dati di identità e i metadati necessari per il servizio MIM.
- Servizio di monitoraggio PAM e, se necessario, il servizio componenti PAM: due servizi che gestiscono il ciclo di vita degli account con privilegi e supportano PRIV AD nel ciclo di vita dell'appartenenza ai gruppi.
- Cmdlet di PowerShell: per popolare il servizio MIM e PRIV AD con utenti e gruppi che corrispondono agli utenti e ai gruppi nella foresta CORP per gli amministratori PAM e per gli utenti finali che richiedono l'uso JIT (Just-In-Time) di privilegi in un account amministrativo.
- API REST PAM: per gli sviluppatori che integrano MIM nello scenario PAM con client personalizzati per l'elevazione dei privilegi, senza dover usare PowerShell o SOAP. L'uso dell'API REST viene illustrato con un'applicazione Web di esempio.
Una volta installato e configurato, ogni gruppo creato dalla procedura di migrazione nella foresta PRIV è un gruppo principale esterno che esegue il mirroring del gruppo nella foresta CORP originale. Il gruppo principale esterno fornisce agli utenti membri di tale gruppo lo stesso SID nel loro token Kerberos come il SID del gruppo nella foresta CORP. Inoltre, quando il servizio MIM aggiunge membri a questi gruppi nella foresta PRIV, tali appartenenze saranno limitate a livello di tempo.
Di conseguenza, quando un utente richiede l'elevazione dei privilegi usando i cmdlet di PowerShell e la richiesta viene approvata, il servizio MIM aggiungerà il proprio account nella foresta PRIV a un gruppo nella foresta PRIV. Quando l'utente accede con il proprio account con privilegi, il token Kerberos conterrà un SID (Security Identifier) identico al SID del gruppo nella foresta CORP. Poiché la foresta CORP è configurata per considerare attendibile la foresta PRIV, l'account con privilegi elevati utilizzato per accedere a una risorsa nella foresta CORP appare, a una risorsa che controlla le appartenenze ai gruppi Kerberos, come un membro dei gruppi di sicurezza di tale risorsa. Questa operazione viene fornita tramite l'autenticazione tra foreste Kerberos.
Inoltre, queste appartenenze sono limitate in modo che, dopo un intervallo di tempo preconfigurato, l'account amministrativo dell'utente non farà più parte del gruppo nella foresta PRIV. Di conseguenza, tale account non sarà più utilizzabile per l'accesso a risorse aggiuntive.