De onderdelen van MIM PAM begrijpen
Privileged Access Management houdt beheerderstoegang gescheiden van dagelijkse gebruikersaccounts met behulp van een afzonderlijk forest.
Notitie
De PAM-benadering van MIM PAM wordt niet aanbevolen voor nieuwe implementaties in met internet verbonden omgevingen. MIM PAM is bedoeld om te worden gebruikt in een aangepaste architectuur voor geïsoleerde AD-omgevingen waar internettoegang niet beschikbaar is, waar deze configuratie is vereist door regelgeving, of in omgevingen met hoge impact, zoals offline onderzoekslaboratoria en niet-verbonden operationele technologie of omgevingen voor toezichtsbeheer en gegevensverwerving. MIM PAM verschilt van Microsoft Entra Privileged Identity Management (PIM). Microsoft Entra PIM is een service waarmee u de toegang tot resources in Microsoft Entra ID, Azure en andere Microsoft Online Services, zoals Microsoft 365 of Microsoft Intune, kunt beheren, beheren en bewaken. Zie Bevoegde toegang beveiligen voor meer informatie voor hulp bij on-premises internetverbinding en hybride omgevingen.
Deze oplossing is afhankelijk van parallelle forests:
- CORP: uw algemene zakelijke forest dat een of meer domeinen omvat. Hoewel u meerdere CORP-forests kunt hebben, wordt in de voorbeelden in deze artikelen voor het gemak één forest met één domein gebruikt.
- PRIV: een toegewezen forest dat specifiek voor dit PAM-scenario is gemaakt. Dit forest bevat één domein voor bevoorrechte groepen en accounts die uit een of meer CORP-domeinen afkomstig zijn via een schaduwkopie.
De MIM-oplossing zoals geconfigureerd voor PAM omvat de volgende onderdelen:
- MIM-service: hiermee wordt bedrijfslogica geïmplementeerd voor bewerkingen voor identiteits- en toegangsbeheer, zoals bevoorrecht accountbeheer en de verwerking van aanvragen voor uitbreiding.
- MIM-portal: een optionele SharePoint-portal, gehost door SharePoint 2013 of hoger, die een gebruikersinterface voor beheerdersbeheer en configuratie biedt.
- MIM-servicedatabase: opgeslagen in SQL Server 2012 of hoger en bevat identiteits- en metagegevens die vereist zijn voor de MIM-service.
- PAM-bewakingsservice en indien nodig de PAM-onderdeelservice: twee services die de levenscyclus van bevoegde accounts beheren en de PRIV AD helpen in de levenscyclus van groepslidmaatschap.
- PowerShell-cmdlets: voor het vullen van de MIM-service en PRIV AD met gebruikers en groepen die overeenkomen met de gebruikers en groepen in het CORP-forest voor PAM-beheerders en voor eindgebruikers die JIT-gebruikt aanvragen van de bevoegdheden op een beheerdersaccount.
- PAM REST API: voor ontwikkelaars die MIM integreren in het PAM-scenario met aangepaste clients voor uitbreiding, zonder PowerShell of SOAP te hoeven gebruiken. Het gebruik van de REST API wordt weergegeven met een voorbeeldwebtoepassing.
Na installatie en configuratie is elke groep die wordt gemaakt door de migratieprocedure in het PRIV-forest een refererende principal-groep die de groep in het oorspronkelijke CORP-forest spiegelt. De refererende principal-groep biedt gebruikers die lid zijn van die groep dezelfde SID in hun Kerberos-token als de SID van de groep in het CORP-forest. Wanneer er daarnaast met de MIM-service leden worden toegevoegd aan deze groepen in het PRIV-forest, krijgen deze lidmaatschappen een beperking op basis van tijd.
Wanneer een gebruiker een uitbreiding aanvraagt via de PowerShell-cmdlets en de aanvraag wordt goedgekeurd, wordt het account met de MIM-service vervolgens toegevoegd aan een groep in het PRIV-forest. Wanneer de gebruiker zich aanmeldt met het bevoorrechte account, bevat het Kerberos-token een SID (Security Identifier) die identiek is aan de SID van de groep in het CORP-forest. Omdat het CORP-forest is geconfigureerd om het PRIV-forest te vertrouwen, wordt het account met verhoogde bevoegdheid weergegeven dat wordt gebruikt voor toegang tot een resource in het CORP-forest. Een resource die wordt gecontroleerd met de Kerberos-groepslidmaatschappen, moet deze lid zijn van de beveiligingsgroepen van die resource. Dit wordt opgegeven via forest-overschrijdende Kerberos-verificatie.
Bovendien geldt voor deze lidmaatschappen een tijdslimiet zodat na een vooraf geconfigureerd interval het beheeraccount van de gebruiker niet langer deel uitmaakt van de groep in het PRIV-forest. Als gevolg hiervan kan dat account niet langer worden gebruikt voor toegang tot extra resources.