Comprendre les composants de MIM PAM

  • Article

Privileged Access Management sépare l’accès administratif des comptes d’utilisateur quotidiens à l’aide d’une forêt distincte.

Notes

L’approche PAM fournie par MIM PAM n’est pas recommandée pour les nouveaux déploiements dans les environnements connectés à Internet. MIM PAM est destiné à être utilisé dans une architecture personnalisée pour les environnements AD isolés où l’accès à Internet n’est pas disponible, où cette configuration est requise par la réglementation, ou dans des environnements isolés à fort impact comme des laboratoires de recherche hors connexion et des environnements de technologie opérationnelle déconnectés ou de contrôle de surveillance et d’acquisition de données. MIM PAM est différent de Microsoft Entra Privileged Identity Management (PIM). Microsoft Entra PIM est un service qui vous permet de gérer, de contrôler et de surveiller l’accès aux ressources dans Microsoft Entra ID, Azure et d’autres services microsoft online tels que Microsoft 365 ou Microsoft Intune. Pour obtenir des conseils sur les environnements locaux connectés à Internet et les environnements hybrides, consultez Sécurisation de l’accès privilégié pour plus d’informations.

Cette solution s’appuie sur des forêts parallèles :

  • CORP : forêt d’entreprise à usage général qui inclut un ou plusieurs domaines. Même si vous pouvez avoir plusieurs forêts CORP, les exemples de ces articles, par souci de simplicité, partent du principe qu’il y a une forêt unique avec un domaine unique.
  • PRIV : forêt dédiée créée spécialement pour ce scénario PAM. Cette forêt comprend un domaine qui accueille des groupes et des comptes privilégiés, masqués par rapport à un ou plusieurs domaines CORP.

La solution MIM configurée pour PAM inclut les composants suivants :

  • Service MIM : implémente la logique métier permettant d’effectuer des opérations de gestion des identités et des accès, notamment la gestion des comptes privilégiés et le traitement des demandes d’élévation.
  • Portail MIM : portail SharePoint facultatif, hébergé par SharePoint 2013 ou version ultérieure, qui fournit une interface utilisateur de gestion et de configuration d’administrateur.
  • Base de données de service MIM : stockée dans SQL Server 2012 ou ultérieure, et contient les données d’identité et les métadonnées requises pour le service MIM.
  • Service d’analyse PAM et, si nécessaire, service de composant PAM : deux services qui gèrent le cycle de vie des comptes privilégiés et aident l’ad PRIV dans le cycle de vie de l’appartenance aux groupes.
  • Applets de commande PowerShell : permettent d’indiquer au service MIM et à PRIV AD les utilisateurs et groupes correspondant aux utilisateurs et groupes de la forêt CORP pour les administrateurs PAM. Elles permettent également aux utilisateurs finals qui effectuent des demandes de type « juste-à-temps » d’accéder aux privilèges d’un compte d’administration.
  • API REST PAM : pour les développeurs qui intègrent MIM dans le scénario PAM avec des clients personnalisés pour l’élévation, sans avoir à utiliser PowerShell ou SOAP. L'utilisation de l'API REST est illustrée par un exemple d'application web.

Une fois installé et configuré, chaque groupe créé par la procédure de migration dans la forêt PRIV est un groupe principal étranger qui reflète le groupe dans la forêt CORP d’origine. Le groupe de principaux étrangers fournit aux utilisateurs membres de ce groupe le même SID dans leur jeton Kerberos que le SID du groupe dans la forêt CORP. Par ailleurs, quand le service MIM ajoute des membres à ces groupes dans la forêt PRIV, ces appartenances ont une durée limitée.

Ainsi, quand un utilisateur demande une élévation à l'aide des applets de commande PowerShell, si sa demande est approuvée, le service MIM ajoute son compte de la forêt PRIV à un groupe de la forêt PRIV. Quand l'utilisateur se connecte avec son compte privilégié, son jeton Kerberos contient un identificateur de sécurité (SID) identique au SID du groupe dans la forêt CORP. Dans la mesure où la forêt CORP est configurée pour approuver la forêt PRIV, le compte avec élévation de privilèges, utilisé pour accéder à une ressource de la forêt CORP, apparaît pour une ressource vérifiant l'appartenance à un groupe Kerberos comme un membre des groupes de sécurité de cette ressource. Cela est dû à l'authentification inter-forêts Kerberos.

En outre, ces appartenances ont une durée limitée. Ainsi, après un délai préconfiguré, le compte d'administration de l'utilisateur cesse de faire partie du groupe dans la forêt PRIV. Ce compte ne permet donc plus d'accéder à des ressources supplémentaires.