Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Privileged Access Management keeps administrative access separate from day-to-day user accounts using a separate forest.
Anmärkning
PAM-metoden som tillhandahålls av MIM PAM rekommenderas inte för nya distributioner i Internetanslutna miljöer. MIM PAM är avsett att användas i en anpassad arkitektur för isolerade AD-miljöer där Internetåtkomst inte är tillgänglig, där den här konfigurationen krävs enligt förordning, eller i isolerade miljöer med hög påverkan som offlineforskningslaboratorier och frånkopplade driftteknik eller övervakningskontroll- och datainsamlingsmiljöer. MIM PAM skiljer sig från Microsoft Entra Privileged Identity Management (PIM). Microsoft Entra PIM är en tjänst som gör att du kan hantera, styra och övervaka åtkomst till resurser i Microsoft Entra ID, Azure och andra Microsoft Online-tjänster som Microsoft 365 eller Microsoft Intune. For guidance on on-premises Internet-connected environments and hybrid environments, see securing privileged access for more information.
Den här lösningen förlitar sig på parallella skogar:
- CORP: Din allmänna företagsskog som innehåller en eller flera domäner. Du kan ha flera CORP-skogar, men exemplen i dessa artiklar förutsätter en enda skog med en enda domän för enkelhetens skull.
- PRIV: En dedikerad skog som skapats särskilt för det här PAM-scenariot. This forest includes one domain to accommodate privileged groups and accounts which are shadowed from one or more CORP domains.
MIM-lösningen som konfigurerats för PAM innehåller följande komponenter:
- MIM-tjänst: implementerar affärslogik för att utföra identitets- och åtkomsthanteringsåtgärder, inklusive hantering av privilegierade konton och hantering av utökade begäranden.
- MIM-portal: en valfri SharePoint-baserad portal som hanteras av SharePoint 2013 eller senare och som tillhandahåller ett administratörshanterings- och konfigurationsgränssnitt.
- MIM-tjänstdatabas: lagras i SQL Server 2012 eller senare och innehåller identitetsdata och metadata som krävs för MIM-tjänsten.
- PAM-övervakningstjänsten och vid behov PAM-komponenttjänsten: två tjänster som hanterar livscykeln för privilegierade konton och hjälper PRIV AD i livscykeln för gruppmedlemskap.
- PowerShell cmdlets: for populating MIM Service and PRIV AD with users and groups that correspond to the users and groups in the CORP forest for PAM administrators, and for end users requesting just-in-time (JIT) use of privileges on an administrative account.
- PAM REST API: för utvecklare som integrerar MIM i PAM-scenariot med anpassade klienter för utökade privilegier, utan att behöva använda PowerShell eller SOAP. Användningen av REST-API:et demonstreras med ett exempelwebbprogram.
När de har installerats och konfigurerats är varje grupp som skapats av migreringsproceduren i PRIV-skogen en utländsk huvudgrupp som avspeglar gruppen i den ursprungliga CORP-skogen. Den externa huvudgruppen ger användare som är medlemmar i den gruppen samma SID i sin Kerberos-token som SID för gruppen i CORP-skogen. När MIM-tjänsten lägger till medlemmar i dessa grupper i PRIV-skogen kommer dessa medlemskap dessutom att vara tidsbegränsade.
As a result, when a user requests elevation using the PowerShell cmdlets, and their request is approved, the MIM Service will add their account in the PRIV forest to a group in the PRIV forest. När användaren loggar in med sitt privilegierade konto innehåller deras Kerberos-token en säkerhetsidentifierare (SID) som är identisk med SID för gruppen i CORP-skogen. Since the CORP forest is configured to trust the PRIV forest, the elevated account being used to access a resource in the CORP forest appears, to a resource checking the Kerberos group memberships, be a member of that resource’s security groups. This is provided via Kerberos cross-forest authentication.
Dessutom är dessa medlemskap tidsbegränsade så att användarens administrativa konto inte längre ingår i gruppen i PRIV-skogen efter ett förkonfigurerat tidsintervall. Därför kan kontot inte längre användas för åtkomst till ytterligare resurser.