Active Directory Domain Services の Privileged Access ManagementPrivileged Access Management for Active Directory Domain Services

MIM Privileged Access Management (PAM) は、組織が既存の分離された Active Directory 環境内で特権アクセスを制限するのに役立つソリューションです。MIM Privileged Access Management (PAM) is a solution that helps organizations restrict privileged access within an existing and isolated Active Directory environment.

Privileged Access Management は、次の 2 つの目標を実現します。Privileged Access Management accomplishes two goals:

  • 悪意のある攻撃の影響を受けていないと認識されている別の要塞環境を維持することにより、侵害された Active Directory 環境の制御を再び確立します。Re-establish control over a compromised Active Directory environment by maintaining a separate bastion environment that is known to be unaffected by malicious attacks.
  • 特権アカウントの使用を分離して、これらの資格情報が盗まれるリスクを低減します。Isolate the use of privileged accounts to reduce the risk of those credentials being stolen.

注意

MIM PAM は Azure Active Directory Privileged Identity Management (PIM) とは異なります。MIM PAM is distinct from Azure Active Directory Privileged Identity Management (PIM). MIM PAM は、分離されたオンプレミス AD 環境を対象としています。MIM PAM is intended for isolated on-premises AD environments. Azure AD PIM は Azure AD のサービスであり、Azure AD、Azure、その他の Microsoft オンラインサービス (Microsoft 365 や Microsoft Intune など) でのリソースへのアクセスを管理、制御、監視できます。Azure AD PIM is a service in Azure AD that enables you to manage, control, and monitor access to resources in Azure AD, Azure, and other Microsoft Online Services such as Microsoft 365 or Microsoft Intune. オンプレミスのインターネット接続環境とハイブリッド環境に関するガイダンスについては、「 特権アクセスのセキュリティ保護 」を参照してください。For guidance on on-premises Internet-connected environments and hybrid environments, see securing privileged access for more information.

MIM PAM によって解決される問題What problems does MIM PAM help solve?

現在、攻撃者は Domain Admins アカウントの資格情報を取得するのは簡単ではありませんが、これらの攻撃を発見するのは非常に困難です。Today, it's too easy for attackers to obtain Domain Admins account credentials, and it's too hard to discover these attacks after the fact. PAM の目的は、悪意のあるユーザーがアクセスできる機会を削減しながら、環境の制御と認識を向上させることです。The goal of PAM is to reduce opportunities for malicious users to get access, while increasing your control and awareness of the environment.

PAM は攻撃者がネットワークに侵入して特権アカウント アクセスを取得するのを困難にします。PAM makes it harder for attackers to penetrate a network and obtain privileged account access. PAM は、ドメインに参加しているコンピューターおよびそのコンピューター上のアプリケーションのアクセスを制御する特権グループに対する保護を強化します。PAM adds protection to privileged groups that control access across a range of domain-joined computers and applications on those computers. また、監視、可視性、およびきめ細かい制御も強化します。It also adds more monitoring, more visibility, and more fine-grained controls. これにより、特権管理者が誰で何をしているかを組織で認識できるようになります。This allows organizations to see who their privileged administrators are and what are they doing. PAM により、組織は管理アカウントが環境内でどのように使用されているかを詳細に知ることができます。PAM gives organizations more insight into how administrative accounts are used in the environment.

MIM によって提供される PAM アプローチは、インターネットアクセスが利用できない分離環境、規制によってこの構成が必要とされる分離環境、またはオフラインの調査研究所や切断された運用テクノロジや、監督制御やデータ取得環境などの影響の大きい分離環境で、カスタムアーキテクチャで使用することを目的としています。The PAM approach provided by MIM is intended to be used in a custom architecture for isolated environments where Internet access is not available, where this configuration is required by regulation, or in high impact isolated environments like offline research laboratories and disconnected operational technology or supervisory control and data acquisition environments. Active Directory がインターネットに接続された環境の一部である場合、開始する場所の詳細については、「 特権アクセスのセキュリティ保護 」を参照してください。If your Active Directory is part of an Internet-connected environment, see securing privileged access for more information on where to start.

MIM PAM の設定Setting up MIM PAM

PAM は Just-in-Time 管理の原則に基づいており、Just Enough Administration (JEA) に関連しています。PAM builds on the principle of just-in-time administration, which relates to just enough administration (JEA). JEA は、特権アクティビティを実行するコマンド セットを定義する Windows PowerShell のツールキットです。JEA is a Windows PowerShell toolkit that defines a set of commands for performing privileged activities. 管理者がコマンドを実行するための権限を取得できるエンドポイントです。It is an endpoint where administrators can get authorization to run commands. JEA では、管理者は、特定の権限を持つユーザーが特定のタスクを実行できることを判断します。In JEA, an administrator decides that users with a certain privilege can perform a certain task. そのタスクを実行する必要があるたびに、対象となるユーザーはそのアクセス許可を有効にします。Every time an eligible user needs to perform that task, they enable that permission. 特定の期間の経過後、アクセス許可の有効期限が切れるため、ユーザーがアクセス権を盗むことはできません。The permissions expire after a specified time period, so that a malicious user can't steal the access.

PAM のセットアップと操作は 4 つの手順で行います。PAM setup and operation has four steps.

PAM の手順: 準備、保護、運用、監視 - 図

  1. 準備: 既存のフォレスト内で重要な特権を持つグループを識別します。Prepare: Identify which groups in your existing forest have significant privileges. 要塞フォレスト内のメンバーを含めずにこれらのグループを再作成します。Recreate these groups without members in the bastion forest.
  2. 保護: ユーザーが just-in-time 管理を要求したときのライフサイクルと認証保護を設定します。Protect: Set up lifecycle and authentication protection for when users request just-in-time administration.
  3. 運用:認証要件が満たされて要求が承認された後、ユーザー アカウントが要塞フォレスト内の特権グループに一時的に追加されます。Operate: After authentication requirements are met and a request is approved, a user account gets added temporarily to a privileged group in the bastion forest. 事前に設定された期間、管理者はそのグループに割り当てられているすべての特権およびアクセス許可を持ちます。For a pre-set amount of time, the administrator has all privileges and access permissions that are assigned to that group. この期間が経過すると、アカウントはグループから削除されます。After that time, the account is removed from the group.
  4. 監視:PAM は、特権アクセス要求の監査、アラート、レポートを追加します。Monitor: PAM adds auditing, alerts, and reports of privileged access requests. 特権アクセスの履歴や、アクティビティを実行したユーザーを確認できます。You can review the history of privileged access, and see who performed an activity. アクティビティが有効かどうかを判断することができ、元のフォレストの特権グループに直接ユーザーを追加する試みなど、承認されていないアクティビティを簡単に識別できます。You can decide whether the activity is valid or not and easily identify unauthorized activity, such as an attempt to add a user directly to a privileged group in the original forest. この手順は、悪意のあるソフトウェアを識別するだけでなく、「内部」の攻撃者の追跡のためにも重要です。This step is important not only to identify malicious software but also for tracking "inside" attackers.

MIM PAM のしくみHow does MIM PAM work?

PAM は、AD DS の新機能 (特にドメイン アカウントの認証と承認について)、および Microsoft Identity Manager の新機能に基づいています。PAM is based on new capabilities in AD DS, particularly for domain account authentication and authorization, and new capabilities in Microsoft Identity Manager. PAM は、既存の Active Directory 環境から特権アカウントを分離します。PAM separates privileged accounts from an existing Active Directory environment. 特権アカウントを使用する必要があるを場合は、最初に要求して、承認される必要があります。When a privileged account needs to be used, it first needs to be requested, and then approved. 承認後、特権アカウントには、ユーザーまたはアプリケーションの現在のフォレストではなく、新しい要塞フォレストの外部プリンシパル グループによってアクセス許可が与えられます。After approval, the privileged account is given permission via a foreign principal group in a new bastion forest rather than in the current forest of the user or application. 要塞フォレストを使用することで、組織は、ユーザーが特権グループのメンバーになれるときや、ユーザーが認証を必要とする方法など、制御範囲が広がります。The use of a bastion forest gives the organization greater control, such as when a user can be a member of a privileged group, and how the user needs to authenticate.

Active Directory、MIM サービス、およびこのソリューションの他の部分は、高可用性構成にも展開できます。Active Directory, the MIM Service, and other portions of this solution can also be deployed in a high availability configuration.

次の例では、さらに詳しく PIM のしくみを説明します。The following example shows how PIM works in more detail.

PIM のプロセスと参加者 - 図

要塞フォレストは、時間制限のあるグループのメンバーシップを発行し、これによってさらに時間制限付きのチケット保証チケット (TGT) を生成します。The bastion forest issues time-limited group memberships, which in turn produce time-limited ticket-granting tickets (TGTs). 要塞フォレストを信頼するフォレスト内にアプリとサービスが存在する場合、Kerberos ベースのアプリケーションまたはサービスはこれらの TGT を優先して実施できます。Kerberos-based applications or services can honor and enforce these TGTs, if the apps and services exist in forests that trust the bastion forest.

日常的に使用するユーザー アカウントは、新しいフォレストに移動する必要はありません。Day-to-day user accounts do not need to move to a new forest. コンピューター、アプリケーション、およびそれらのグループにも同じことが当てはまります。The same is true with the computers, applications, and their groups. 既存フォレストの現在の場所のままです。They stay where they are today in an existing forest. このような現在のサイバーセキュリティ問題に関係していて、しかしサーバー インフラストラクチャを Windows Server の次のバージョンにアップグレードするプランを持たない組織の例を検討します。Consider the example of an organization that is concerned with these cybersecurity issues today, but has no immediate plans to upgrade the server infrastructure to the next version of Windows Server. その組織では、MIM と新しい要塞フォレストを使用してこの結合されたソリューションをまだ利用でき、既存リソースへのアクセスをより細かく制御できます。That organization can still take advantage of this combined solution by using MIM and a new bastion forest, and can better control access to existing resources.

PAM には次のような利点があります。PAM offers the following advantages:

  • 特権の分離とスコープ: ユーザーは、電子メールの確認またはインターネットの閲覧などの特権のないタスクにも使用されるアカウントに特権を保持しません。Isolation/scoping of privileges: Users do not hold privileges on accounts that are also used for non-privileged tasks like checking email or browsing the Internet. ユーザーは、特権を要求する必要があります。Users need to request privileges. 要求は、PAM 管理者によって定義された MIM ポリシーに基づいて承認または拒否されます。Requests are approved or denied based on MIM policies defined by a PAM administrator. 要求が承認されるまで、特権アクセスは使用できません。Until a request is approved, privileged access is not available.

  • ステップアップおよびプルーフアップ: これらは、個別の管理アカウントのライフサイクルの管理に役立つ新しい認証および承認のチャレンジです。Step-up and proof-up: These are new authentication and authorization challenges to help manage the lifecycle of separate administrative accounts. ユーザーは管理アカウントの昇格を要求でき、その要求が MIM ワークフローを通過します。The user can request the elevation of an administrative account and that request goes through MIM workflows.

  • 追加のログ記録: 組み込みの MIM ワークフローと共に、要求、承認された方法、および承認後に発生するイベントを識別する PAM の追加ログがあります。Additional logging: Along with the built-in MIM workflows, there is additional logging for PAM that identifies the request, how it was authorized, and any events that occur after approval.

  • カスタマイズ可能なワークフロー: MIM ワークフローはさまざまなシナリオに構成することができ、要求元ユーザーまたは要求された役割のパラメーターに基づいて、複数のワークフローを使用できます。Customizable workflow: The MIM workflows can be configured for different scenarios, and multiple workflows can be used, based on the parameters of the requesting user or requested roles.

ユーザーが特権アクセスを要求する方法How do users request privileged access?

次のようなさまざまな方法で、ユーザーは要求を送信できます。There are a number of ways in which a user can submit a request, including:

  • MIM サービスの Web サービス APIThe MIM Services Web Services API
  • REST エンドポイントA REST endpoint
  • Windows PowerShell (New-PAMRequest)Windows PowerShell (New-PAMRequest)

Privileged Access Management のコマンドレットの詳細をご確認ください。Get details about the Privileged Access Management cmdlets.

使用できるワークフローと監視オプションWhat workflows and monitoring options are available?

例として、PAM がセットアップされる前に、ユーザーが管理グループのメンバーであったとします。As an example, let's say a user was a member of an administrative group before PAM is set up. PAM のセットアップの一環として、ユーザーは管理グループから削除され、MIM にポリシーが作成されます。As part of PAM setup, the user is removed from the administrative group, and a policy is created in MIM. ポリシーでは、そのユーザーが管理特権を要求した場合、要求が承認され、ユーザーの別のアカウントが要塞フォレストの特権グループに追加されることを指定します。The policy specifies that if that user requests administrative privileges, the request is approved and a separate account for the user will be added to the privileged group in the bastion forest.

要求が承認されると、アクション ワークフローは要塞フォレストの Active Directory と直接通信し、ユーザーをグループに配置します。Assuming the request is approved, the Action workflow communicates directly with bastion forest Active Directory to put a user in a group. たとえば、Jen が管理者に HR データベースを要求すると、Jen の管理アカウントが数秒以内に要塞フォレストの特権グループに追加されます。For example, when Jen requests to administer the HR database, the administrative account for Jen is added to the privileged group in the bastion forest within seconds. そのグループの管理者アカウントのメンバーシップは、制限時間が経過すると期限切れになります。Her administrative account's membership in that group will expire after a time limit. Windows Server 2016 以降では、そのメンバーシップは時間制限付きの Active Directory に関連付けられています。With Windows Server 2016 or later, that membership is associated in Active Directory with a time limit.

注意

新しいメンバーをグループに追加するときは、要塞フォレスト内の他のドメイン コントローラー (DC) に変更をレプリケートする必要があります。When you add a new member to a group, the change needs to replicate to other domain controllers (DCs) in the bastion forest. レプリケーションの潜在期間は、ユーザーがリソースにアクセスする機能に影響します。Replication latency can impact the ability for users to access resources. レプリケーションの潜在期間の詳細については、「Active Directory レプリケーション トポロジの機能」を参照してください。For more information about replication latency, see How Active Directory Replication Topology Works.

これに対し、有効期限が切れたリンクはセキュリティ アカウント マネージャー (SAM) によってリアルタイムで評価されます。In contrast, an expired link is evaluated in real time by the Security Accounts Manager (SAM). グループ メンバーの追加はアクセス要求を受信する DC によってレプリケートされる必要がありますが、グループ メンバーの削除はどの DC 上でも即座に評価されます。Even though the addition of a group member needs to be replicated by the DC that receives the access request, the removal of a group member is evaluated instantaneously on any DC.

このワークフローは、特にこれらの管理アカウントを目的としたものです。This workflow is specifically intended for these administrative accounts. 特権グループにアクセスする必要が頻繁ではない管理者 (またはスクリプト) は、そのアクセスを正確に要求できます。Administrators (or even scripts) who need only occasional access for privileged groups, can precisely request that access. MIM は要求および Active Directory での変更をログに記録し、管理者はそれをイベント ビューアーで確認したり、System Center 2012 - Operations Manager 監査コレクション サービス (ACS) や他のサードパーティ製のツールなどのエンタープライズ監視ソリューションにデータを送信したりできます。MIM logs the request and the changes in Active Directory, and you can view them in Event Viewer or send the data to enterprise monitoring solutions such as System Center 2012 - Operations Manager Audit Collection Services (ACS), or other third-party tools.

次のステップNext steps