Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Mechanizm Privileged Access Management oddziela dostęp administracyjny od codziennych kont użytkowników poprzez użycie oddzielnego lasu.
Uwaga
Podejście PAM zapewniane przez usługę PAM programu MIM nie jest zalecane w przypadku nowych wdrożeń w środowiskach połączonych z Internetem. Usługa PAM programu MIM ma być używana w niestandardowej architekturze dla izolowanych środowisk AD, gdzie nie ma dostępu do Internetu, gdzie konfiguracja ta jest wymagana przez przepisy, lub w środowiskach o wysokim stopniu izolacji, takich jak offline laboratoria badawcze, niepodłączona technologia operacyjna czy systemy akwizycji danych i sterowania nadzorem. Usługa PAM programu MIM różni się od usługi Microsoft Entra Privileged Identity Management (PIM). Microsoft Entra PIM to usługa, która umożliwia zarządzanie, kontrolowanie i monitorowanie dostępu do zasobów w usłudze Microsoft Entra ID, Azure i innych usługach online firmy Microsoft, takich jak Microsoft 365 lub Microsoft Intune. Aby uzyskać wskazówki dotyczące lokalnych środowisk połączonych z Internetem i środowisk hybrydowych, zobacz zabezpieczanie uprzywilejowanego dostępu, aby uzyskać dodatkowe informacje.
To rozwiązanie opiera się na lasach równoległych:
- CORP: Las firmowy ogólnego przeznaczenia, który obejmuje co najmniej jedną domenę. Chociaż w tych artykułach może istnieć wiele lasów CORP, w przykładach przyjęto założenie pojedynczego lasu z jedną domeną dla uproszczenia.
- PRIV: ten dedykowany las utworzony specjalnie dla tego scenariusza PAM. Ta struktura obejmuje jedną domenę do obsługi uprzywilejowanych grup i kont, które są ukryte względem jednej lub więcej domen CORP.
Rozwiązanie MIM skonfigurowane dla usługi PAM obejmuje następujące składniki:
- Usługa MIM : implementuje logikę biznesową do zarządzania operacjami związanymi z zarządzaniem tożsamościami i dostępem, w tym zarządzaniem kontami uprzywilejowanymi oraz obsługą żądań podniesienia uprawnień.
- portal programu MIM: opcjonalny portal oparty na programie SharePoint, hostowany przez program SharePoint 2013 lub nowszy, który zapewnia interfejs użytkownika do zarządzania i konfiguracji przez administratorów.
- Baza danych usługi MIM: jest przechowywana na SQL Server 2012 lub nowszym i zawiera dane tożsamości oraz metadane wymagane dla usługi MIM.
- Usługi monitorowania PAM i w razie potrzeby Usługa składnika PAM: dwie usługi, które zarządzają cyklem życia uprzywilejowanych kont i wspierają PRIV AD w cyklu życia członkostwa w grupie.
- polecenia cmdlet programu PowerShell: do wypełniania usług MIM Service i PRIV AD użytkownikami i grupami, które odpowiadają użytkownikom i grupom w lesie CORP, dla administratorów usługi PAM oraz dla użytkowników końcowych, którzy żądają użycia uprawnień just-in-time (JIT) na koncie administracyjnym.
- REST API dla usługi PAM: dla deweloperów integrujących MIM w scenariuszu PAM z niestandardowymi klientami, umożliwiającymi podnoszenie uprawnień bez konieczności używania PowerShell lub SOAP. Użycie interfejsu API REST jest pokazane przy użyciu przykładowej aplikacji internetowej.
Po zainstalowaniu i skonfigurowaniu każda grupa utworzona przez procedurę migracji w lesie PRIV jest grupą zewnętrznego podmiotu zabezpieczeń, odzwierciedlającą grupę w oryginalnym lesie CORP. Zagraniczna grupa główna zapewnia użytkownikom, którzy są jej członkami, ten sam identyfikator SID w ich tokenie Kerberos jak identyfikator SID grupy w lesie CORP. Ponadto, gdy usługa MIM dodaje członków do tych grup w lesie PRIV, te członkostwa będą ograniczone czasowo.
W związku z tym, gdy użytkownik żąda podniesienia uprawnień przy użyciu poleceń cmdlet programu PowerShell, a jego żądanie zostanie zatwierdzone, usługa MIM doda jego konto w lesie PRIV do grupy w tym samym lesie. Gdy użytkownik loguje się przy użyciu konta uprzywilejowanego, token Protokołu Kerberos będzie zawierać identyfikator zabezpieczeń (SID) identyczny z identyfikatorem SID grupy w lesie CORP. Ponieważ las CORP jest skonfigurowany do zaufania lasowi PRIV, konto z podwyższonym poziomem uprawnień używane do uzyskania dostępu do zasobu w lesie CORP wydaje się, dla zasobu sprawdzającego członkostwa w grupach Kerberos, być członkiem grup zabezpieczeń tego zasobu. Jest to udostępniane za pośrednictwem uwierzytelniania między lasami Kerberos.
Ponadto te członkostwa są ograniczone czasowo, dzięki czemu po wstępnie skonfigurowanym przedziale czasu konto administracyjne użytkownika nie będzie już częścią grupy w lesie PRIV. W związku z tym to konto nie będzie już używane do uzyskiwania dostępu do dodatkowych zasobów.