Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Privileged Access Management, ayrı bir orman kullanarak yönetim erişimini günlük kullanıcı hesaplarından ayrı tutar.
Uyarı
MIM PAM tarafından sağlanan PAM yaklaşımı, İnternet'e bağlı ortamlardaki yeni dağıtımlar için önerilmez. MIM PAM, İnternet erişiminin kullanılamadığı, bu yapılandırmanın düzenleme gereği gerekli olduğu yalıtılmış AD ortamları için özel bir mimaride ya da çevrimdışı araştırma laboratuvarları ve bağlantısı kesilmiş işletim teknolojisi ya da denetim denetimi ve veri alma ortamları gibi yüksek etkili yalıtılmış ortamlarda kullanılmak üzere tasarlanmıştır. MIM PAM, Microsoft Entra Privileged Identity Management (PIM)'den farklıdır. Microsoft Entra PIM, Microsoft Entra Id, Azure ve Microsoft 365 veya Microsoft Intune gibi diğer Microsoft Online Services'daki kaynakları yönetmenize, denetlemenize ve bu kaynaklara erişimi izlemenize olanak tanıyan bir hizmettir. Şirket içi İnternet'e bağlı ortamlar ve karma ortamlar hakkında yönergeler için ayrıcalıklı erişim güvenliğini sağlama hakkında daha fazla bilgi için bkz..
Bu çözüm paralel ormanlara dayanır:
- CORP: Bir veya daha fazla etki alanı içeren genel amaçlı şirket ormanınız. Birden çok CORP ormanınız olabilir ancak bu makalelerdeki örneklerde basitlik için tek bir etki alanına sahip tek bir orman olduğu varsayılır.
- PRIV: Bu PAM senaryosu için özel olarak oluşturulmuş bir orman. Bu orman, ayrıcalıklı grupları ve hesapları barındırmak için bir etki alanı içerir ve bu gruplar ve hesaplar, bir veya daha fazla CORP etki alanından gölgelenmiştir.
PAM için yapılandırılan MIM çözümü aşağıdaki bileşenleri içerir:
- MIM Hizmeti: Ayrıcalıklı hesap yönetimi ve yükseltme isteği işleme dahil olmak üzere kimlik ve erişim yönetimi işlemlerini gerçekleştirmek için iş mantığı uygular.
- MIM Portalı: SharePoint 2013 veya sonraki sürümleri tarafından barındırılan ve yönetici yönetimi ve yapılandırma kullanıcı arabirimi sağlayan isteğe bağlı bir SharePoint tabanlı portal.
- MIM Hizmet Veritabanı: SQL Server 2012 veya sonraki sürümlerinde depolanır ve MIM Hizmeti için gereken kimlik verilerini ve meta verileri tutar.
- PAM İzleme Hizmeti ve gerekirse PAM Bileşen Hizmeti: ayrıcalıklı hesapların yaşam döngüsünü yöneten ve grup üyelik yönetiminde PRIV AD'ye yardımcı olan iki hizmet.
- PowerShell cmdlet: PAM yöneticileri için CORP ormanındaki kullanıcılara ve gruplara karşılık gelen kullanıcı ve grupları MIM Hizmeti ve PRIV AD ile doldurmak ve yönetim hesabında tam zamanında (JIT) ayrıcalıklar kullanılmasını isteyen son kullanıcılar için.
- PAM REST API: PowerShell veya SOAP kullanmaya gerek kalmadan MIM'i PAM senaryosunda yükseltme için özel istemcilerle tümleştiren geliştiriciler için. REST API'nin kullanımı örnek bir web uygulamasıyla gösterilir.
Yüklendikten ve yapılandırıldıktan sonra, PRIV ormanında geçiş yordamı tarafından oluşturulan her grup, özgün CORP ormanındaki grubu karşılayan bir yabancı asıl grup olarak görev yapar. Yabancı ana grup, bu grubun üyesi olan kullanıcılara, CORP ormanındaki grubun SID'si ile Kerberos belirteçlerinde aynı SID'ye sahip olmalarını sağlar. Ayrıca, MIM Hizmeti PRIV ormanındaki bu gruplara üye eklediğinde, bu üyelikler zaman sınırlı olacaktır.
Sonuç olarak, kullanıcı PowerShell cmdlet'lerini kullanarak yükseltme istediğinde ve isteği onaylandığında, MIM Hizmeti PRIV ormanındaki hesabını PRIV ormanındaki bir gruba ekler. Kullanıcı ayrıcalıklı hesabıyla oturum açtığında, Kerberos belirteci CORP ormanındaki grubun SID'si ile aynı olan bir Güvenlik Tanımlayıcısı (SID) içerir. CORP ormanı, PRIV ormanına güvenecek şekilde yapılandırıldığından, CORP ormanındaki bir kaynağa erişmek için kullanılan yükseltilmiş hesap, Kerberos grup üyeliklerini denetleyen bir kaynağa, bu kaynağın güvenlik gruplarının bir üyesi gibi görünür. Bu, Kerberos ormanlar arası kimlik doğrulaması aracılığıyla sağlanır.
Ayrıca, bu üyelikler zaman sınırlıdır, böylece önceden yapılandırılmış bir zaman aralığından sonra kullanıcının yönetim hesabı artık PRIV ormanındaki grubun bir parçası olmayacaktır. Sonuç olarak, bu hesap artık ek kaynaklara erişmek için kullanılamaz.