MIM PAM テスト ラボ環境の概要

注意

MIM PAM によって提供される PAM アプローチは、インターネットに接続された環境での新しいデプロイには推奨されません。 MIM PAM は、インターネット アクセスが利用できない分離された AD 環境のカスタム アーキテクチャで使用することを目的としています。この構成は規制によって必要とされます。また、オフラインの研究所や切断された運用テクノロジや監督制御およびデータ取得環境などの影響の大きい分離環境で使用されます。 MIM PAM は、Microsoft Entra Privileged Identity Management (PIM) とは異なります。 Microsoft Entra PIM は、Microsoft Entra ID、Azure、その他の Microsoft Online Services (Microsoft 365 や Microsoft Intune など) のリソースへのアクセスを管理、制御、監視できるサービスです。 オンプレミスのインターネットに接続された環境とハイブリッド環境に関するガイダンスについては、「 特権アクセスのセキュリティ保護」を参照してください。

MIM PAM のテスト ラボを設定するには、仮想マシンにソフトウェアをインストールします。 Privileged Access Management は、共有ネットワーク上で互いに接続された個別のドライブを備えた仮想マシン (VM) と連携します。 これらの仮想マシンは、Windows Server またはその他のオペレーティング システム プラットフォームでホストできます。

少なくとも 3 台の仮想マシンを必要とします。 管理する PAM 用の AD ドメインをまだ持っていない場合は、CORP ドメイン コントローラーとして機能する追加の VM が 1 つ必要です。 高可用性のために PRIV ソフトウェアを構成する場合は、VM を 2 つ追加する必要があります。

VM のディスク イメージの格納先ドライブには、120 GB 以上の空きディスク領域が必要です。 高可用性を展開する予定がある場合は、ディスク サブシステムが SQL の共有記憶域の要件を満たしていることを確認します。 共有記憶域は、Windows Server フェールオーバー クラスタリングのクラスター ディスク、記憶域ネットワーク (SAN) 上のディスク、または SMB サーバー上のファイル共有の形式にすることができます。

重要

記憶域は、要塞環境専用にする必要があります。 要塞環境の保全性が脅かされる可能性があるため、要塞環境以外の他のワークロードと記憶域を共有することは推奨されません。

次の手順

• 「Active Directory Domain Services の Privileged Access Management」で、PAM の概要としくみをご説明します。
• 「PAM のコンポーネントについて理解する」で、PAM のさまざまなコンポーネントの概要をご説明します。