Udostępnij za pośrednictwem


Omówienie środowiska testowego MIM PAM

Uwaga

Podejście PAM zapewniane przez usługę PAM programu MIM nie jest zalecane w przypadku nowych wdrożeń w środowiskach połączonych z Internetem. MIM PAM ma być używany w niestandardowej architekturze dla izolowanych środowisk AD, gdzie nie ma dostępu do Internetu, gdzie ta konfiguracja jest wymagana przez regulację lub w środowiskach izolowanych, takich jak offline laboratoria badawcze oraz odłączone technologie operacyjne, w tym systemy nadzoru i akwizycji danych. Usługa MIM PAM różni się od usługi Microsoft Entra Privileged Identity Management (PIM). Microsoft Entra PIM to usługa, która umożliwia zarządzanie, kontrolowanie i monitorowanie dostępu do zasobów w usłudze Microsoft Entra ID, Azure i innych usługach online firmy Microsoft, takich jak Microsoft 365 lub Microsoft Intune. Aby uzyskać wskazówki dotyczące lokalnych środowisk połączonych z Internetem i środowisk hybrydowych, zobacz zabezpieczanie uprzywilejowanego dostępu.

Aby skonfigurować laboratorium testowe MIM PAM, możesz zainstalować oprogramowanie na maszynach wirtualnych. Usługa Privileged Access Management współpracuje z maszynami wirtualnymi z oddzielnymi dyskami połączonymi ze sobą w sieci udostępnionej. Te maszyny wirtualne mogą być hostowane przez system Windows Server lub inne platformy systemu operacyjnego.

serwerów PAM: relacje i obsługiwane platformy — diagram

Potrzebujesz co najmniej trzech maszyn wirtualnych. Jeśli nie masz jeszcze domeny usługi AD do zarządzania usługą PAM, musisz mieć jedną dodatkową maszynę wirtualną do działania jako kontroler domeny CORP. Jeśli chcesz skonfigurować oprogramowanie PRIV pod kątem wysokiej dostępności, potrzebne są dwie dodatkowe maszyny wirtualne.

Dyski, na których będą przechowywane obrazy dysków maszyny wirtualnej, muszą mieć co najmniej 120 GB wolnego miejsca na dysku. Jeśli planujesz wdrożenie w celu zapewnienia wysokiej dostępności, upewnij się, że podsystem dysków spełnia wymagania dotyczące współdzielonej pamięci masowej SQL. Magazyn udostępniony może być w postaci dysków klastra przełączeniowego Windows Server, dysków w sieci SAN lub udziałów plikowych na serwerze SMB.

Ważne

Przechowywanie musi być przeznaczone dla środowiska bastionu. Udostępnianie magazynu innym obciążeniom poza środowiskiem bastionu nie jest zalecane, ponieważ może zagrozić integralności środowiska bastionu.

Następne kroki