PAM MIM のコンポーネントについて

Privileged Access Management は、別のフォレストを使用して、日常のユーザーアカウントとは別に管理アクセス権を保持します。

Note

MIM によって提供される PAM アプローチは、インターネットアクセスが利用できない分離環境、規制によってこの構成が必要とされる分離環境、またはオフラインの調査研究所や切断された運用テクノロジや、監視コントロールやデータ取得環境などの高影響分離環境でのカスタムアーキテクチャでの使用を目的としています。 Active Directory がインターネットに接続された環境の一部である場合、開始する場所の詳細については、「 特権アクセスのセキュリティ保護 」を参照してください。

このソリューションは、次の並列フォレストに依存しています。

  • CORP: 1 つまたは複数のドメインを含む汎用的な社内フォレストです。 CORP フォレストが複数の場合がありますが、次の記事の例では、わかりやすくするために 1 つのフォレストに 1 つのドメインがあるものとします。
  • PRIV: この PAM シナリオのために特別に作成された専用フォレストです。 このフォレストには、1 つ以上の CORP ドメインからシャドーされる特権のあるグループおよびアカウントに対応する 1 つのドメインが含まれています。

PAM 用に構成される MIM ソリューションには、次のコンポーネントが含まれます。

  • MIM サービス: 特権アカウントの管理や昇格要求の処理など、ID やアクセス管理操作を実行するためのビジネス ロジックを実装します。
  • MIM ポータル: SharePoint 2013 以降でホストされる、SharePoint ベースのポータル。管理者の管理と構成の UI を提供します。
  • MIM service Database: SQL Server 2012 以降に格納されており、MIM サービスに必要な id データとメタデータを保持します。
  • PAM 監視サービスおよび PAM コンポーネント サービス: 権限付きアカウントのライフ サイクルを管理し、グループ メンバーシップのライフ サイクルの PRIV AD を補助します。
  • PowerShell コマンドレット: MIM サービスと PRIV AD に PAM 管理者の CORP フォレスト内のユーザーおよびグループに対応するユーザーおよびグループを追加するためのコマンドレット。管理アカウントに対する特権のジャスト イン タイム (JIT) の使用を要求するエンド ユーザー用。
  • PAM REST API とサンプル ポータル: 昇格のために PAM シナリオ内の MIM をカスタム クライアントに統合する開発者向け。PowerShell または SOAP を使用する必要はありません。 サンプルの Web アプリケーションを使用して、REST API の使い方を説明します。

インストールと構成が完了すると、PRIV フォレスト内の移行手順によって作成された各グループは、元の CORP フォレスト内のグループをミラーリングする外部プリンシパルグループになります。 外部プリンシパルグループは、CORP フォレスト内のグループの SID として、Kerberos トークン内の同じ SID を持つそのグループのメンバーであるユーザーを提供します。 さらに、MIM サービスによって、PRIV フォレスト内のそれらのグループにメンバーが追加された場合、それらのメンバーシップは期間限定となります。

その結果、ユーザーが PowerShell コマンドレットを使用して昇格を要求し、その要求が承認されると、MIM サービスは PRIV フォレストにあるそのユーザーのアカウントを PRIV フォレスト内のグループに追加します。 ユーザーが特権アカウントを使用してログインする場合、ユーザーの Kerberos トークンには CORP フォレスト内のグループのセキュリティ識別子 (SID) と同じ SID が含まれます。 CORP フォレストは、PRIV フォレストを信頼するように構成されているため、CORP フォレスト内のリソースへのアクセスに使用されている管理者特権のアカウントが表示されます。Kerberos グループ メンバーシップをチェックするリソースに対しては、そのリソースのセキュリティ グループのメンバーとします。 これは、Kerberos フォレスト間認証を介して提供されます。

また、これらのメンバーシップは期間が限定されています。そのため、事前に構成された間隔を置いた後、ユーザーの管理者アカウントは PRIV フォレスト内のグループのメンバーではなくなります。 結果として、そのアカウントを使用して、その他のリソースにアクセスすることはできなくなります。