MIM PAM のコンポーネントについて

  • [アーティクル]

Privileged Access Management では、管理アクセスは、個別のフォレストを使用して日常的なユーザー アカウントとは別に保持されます。

注意

MIM PAM によって提供される PAM アプローチは、インターネットに接続された環境での新しいデプロイには推奨されません。 MIM PAM は、インターネット アクセスが利用できない分離 AD 環境、規制によってこの構成が必要な場合、またはオフラインの研究所や切断された運用テクノロジや監督制御、データ取得環境などの影響の大きい分離環境で使用することを目的としています。 MIM PAM は、Microsoft Entra Privileged Identity Management (PIM) とは異なります。 Microsoft Entra PIM は、Microsoft Entra ID、Azure、Microsoft 365 や Microsoft Intune などのその他の Microsoft Online Services 内のリソースへのアクセスを管理、制御、監視できるサービスです。 オンプレミスのインターネットに接続された環境とハイブリッド環境に関するガイダンスについては、 特権アクセスのセキュリティ保護 に関するページを参照してください。

このソリューションは、次の並列フォレストに依存しています。

  • CORP: 1 つまたは複数のドメインを含む汎用的な社内フォレストです。 CORP フォレストが複数の場合がありますが、次の記事の例では、わかりやすくするために 1 つのフォレストに 1 つのドメインがあるものとします。
  • PRIV: この PAM シナリオのために特別に作成された専用フォレストです。 このフォレストには、1 つ以上の CORP ドメインからシャドーされる特権のあるグループおよびアカウントに対応する 1 つのドメインが含まれています。

PAM 用に構成される MIM ソリューションには、次のコンポーネントが含まれます。

  • MIM サービス: 特権アカウントの管理や昇格要求の処理など、ID やアクセス管理操作を実行するためのビジネス ロジックを実装します。
  • MIM ポータル: SharePoint 2013 以降でホストされるオプションの SharePoint ベースのポータル。管理者の管理と構成の UI を提供します。
  • MIM サービス データベース: SQL Server 2012 以降に格納され、MIM サービスに必要な ID データとメタデータを保持します。
  • PAM 監視サービス と必要に応じて PAM コンポーネント サービス: 特権アカウントのライフサイクルを管理し、グループ メンバーシップのライフサイクルで PRIV AD を支援する 2 つのサービス。
  • PowerShell コマンドレット: MIM サービスと PRIV AD に PAM 管理者の CORP フォレスト内のユーザーおよびグループに対応するユーザーおよびグループを追加するためのコマンドレット。管理アカウントに対する特権のジャスト イン タイム (JIT) の使用を要求するエンド ユーザー用。
  • PAM REST API: POWERShell または SOAP を使用せずに、PAM シナリオの MIM を昇格用のカスタム クライアントと統合する開発者向け。 サンプルの Web アプリケーションを使用して、REST API の使い方を説明します。

インストールと構成が完了すると、PRIV フォレストの移行手順で作成された各グループは、元の CORP フォレスト内のグループをミラーリングする外部プリンシパル グループになります。 外部プリンシパル グループは、そのグループのメンバーであるユーザーに、CORP フォレスト内のグループの SID と同じ SID を Kerberos トークンで提供します。 さらに、MIM サービスによって、PRIV フォレスト内のそれらのグループにメンバーが追加された場合、それらのメンバーシップは期間限定となります。

その結果、ユーザーが PowerShell コマンドレットを使用して昇格を要求し、その要求が承認されると、MIM サービスは PRIV フォレストにあるそのユーザーのアカウントを PRIV フォレスト内のグループに追加します。 ユーザーが特権アカウントを使用してログインする場合、ユーザーの Kerberos トークンには CORP フォレスト内のグループのセキュリティ識別子 (SID) と同じ SID が含まれます。 CORP フォレストは、PRIV フォレストを信頼するように構成されているため、CORP フォレスト内のリソースへのアクセスに使用されている管理者特権のアカウントが表示されます。Kerberos グループ メンバーシップをチェックするリソースに対しては、そのリソースのセキュリティ グループのメンバーとします。 これは、Kerberos フォレスト間認証を介して提供されます。

また、これらのメンバーシップは期間が限定されています。そのため、事前に構成された間隔を置いた後、ユーザーの管理者アカウントは PRIV フォレスト内のグループのメンバーではなくなります。 結果として、そのアカウントを使用して、その他のリソースにアクセスすることはできなくなります。