Privileged Access Management는 별도의 포리스트를 사용하여 일상적인 사용자 계정과 별도로 관리 액세스를 유지합니다.
비고
MIM PAM에서 제공하는 PAM 접근 방식은 인터넷에 연결된 환경의 새 배포에는 권장되지 않습니다. MIM PAM은 인터넷 액세스를 사용할 수 없는 격리된 AD 환경에 대한 사용자 지정 아키텍처에서 사용되며, 이 구성은 규제에 의해 요구되거나 오프라인 연구 실험실, 연결이 끊긴 운영 기술 또는 감독 제어 및 데이터 취득 환경과 같은 영향력이 높은 격리된 환경에서 사용됩니다. MIM PAM은 Microsoft Entra PIM(Privileged Identity Management)과 다릅니다. Microsoft Entra PIM은 Microsoft Entra ID, Azure 및 기타 Microsoft Online Services(예: Microsoft 365 또는 Microsoft Intune)의 리소스에 대한 액세스를 관리, 제어 및 모니터링할 수 있는 서비스입니다. 온-프레미스 인터넷 연결 환경 및 하이브리드 환경에 대한 지침은 권한 있는 액세스를 보안하는 방법에 대한 자세한 정보는 을 참조하세요.
이 솔루션은 병렬 숲을 사용합니다.
- CORP: 하나 이상의 도메인을 포함하는 범용 기업 포리스트입니다. CORP 포리스트가 여러 대 있을 수 있지만 이 문서의 예제에서는 단순성을 위해 단일 도메인이 있는 단일 포리스트를 가정합니다.
- PRIV: 특히 이 PAM 시나리오에 대해 만들어진 전용 포리스트입니다. 이 포리스트에는 하나 이상의 CORP 도메인에서 가려진 권한 있는 그룹 및 계정을 수용하기 위한 하나의 도메인이 포함됩니다.
PAM에 대해 구성된 MIM 솔루션에는 다음 구성 요소가 포함됩니다.
- MIM 서비스: 권한 있는 계정 관리 및 권한 상승 요청 처리를 포함하여 ID 및 액세스 관리 작업을 수행하기 위한 비즈니스 논리를 구현합니다.
- MIM 포털: 관리자 관리 및 구성 UI를 제공하는 SharePoint 2013 이상에서 호스트하는 선택적 SharePoint 기반 포털입니다.
- MIM 서비스 데이터베이스: SQL Server 2012 이상에 저장되며 MIM 서비스에 필요한 ID 데이터 및 메타 데이터를 보유합니다.
- PAM 모니터링 서비스 및 PAM 구성 요소 서비스가 필요한 경우: 권한 있는 계정의 수명 주기를 관리하고 그룹 멤버 자격 수명 주기에서 PRIV AD를 지원하는 두 가지 서비스입니다.
- PowerShell cmdlet: MIM 서비스 및 PRIV AD를 PAM 관리자용 CORP 포리스트의 사용자 및 그룹에 해당하는 사용자 및 그룹으로 채우고, 관리자 계정에 대한 JIT(Just-In-Time) 사용 권한을 요청하는 최종 사용자를 위한 것입니다.
- PAM REST API: Powershell 또는 SOAP을 사용할 필요 없이, 사용자 지정 클라이언트를 통해 PAM 시나리오에서 MIM을 통합하는 개발자를 위한 권한 상승 방식. REST API의 사용은 샘플 웹 애플리케이션에서 보여 줍니다.
일단 설치되고 구성되면 PRIV 포리스트의 마이그레이션 프로시저에서 만든 각 그룹은 원래 CORP 포리스트의 그룹을 미러링하는 외래 주체 그룹입니다. 외부 주체 그룹은 해당 그룹의 회원인 사용자에게 CORP 포리스트의 그룹 SID와 동일한 SID를 그들의 Kerberos 토큰에 제공합니다. 또한 MIM 서비스가 PRIV 포리스트에서 이러한 그룹에 멤버를 추가하면 해당 멤버 자격은 시간이 제한됩니다.
따라서 사용자가 PowerShell cmdlet을 사용하여 권한 상승을 요청하고 요청이 승인되면 MIM 서비스는 PRIV 포리스트의 해당 계정을 PRIV 포리스트의 그룹에 추가합니다. 사용자가 권한 있는 계정으로 로그인하면 Kerberos 토큰에는 CORP 포리스트에 있는 그룹의 SID와 동일한 SID(보안 식별자)가 포함됩니다. CORP 포리스트가 PRIV 포리스트를 신뢰하도록 구성되었으므로 CORP 포리스트의 리소스에 액세스하는 데 사용되는 권한이 상승된 계정은 Kerberos 그룹 멤버 자격을 확인하는 리소스에 대해 해당 리소스의 보안 그룹의 구성원으로 보입니다. 이 서비스는 Kerberos 포리스트 간 인증을 통해 제공됩니다.
또한 이러한 멤버 자격은 미리 구성된 시간 간격 후에 사용자의 관리 계정이 더 이상 PRIV 포리스트의 그룹에 속하지 않도록 시간이 제한됩니다. 따라서 해당 계정은 더 이상 추가 리소스에 액세스하는 데 사용할 수 없습니다.