Konfigurowanie środowiska programu MIM na potrzeby usługi Privileged Access Management

  • Artykuł

Uwaga

Podejście PAM udostępniane przez usługę PAM programu MIM nie jest zalecane w przypadku nowych wdrożeń w środowiskach połączonych z Internetem. Usługa PAM programu MIM ma być używana w niestandardowej architekturze dla izolowanych środowisk usługi AD, w których dostęp do Internetu jest niedostępny, gdzie ta konfiguracja jest wymagana przez regulację lub w środowiskach odizolowanych w trybie offline, takich jak laboratoria badawcze offline, odłączona technologia operacyjna lub kontrola nadzoru i środowiska pozyskiwania danych. Usługa PAM programu MIM różni się od Microsoft Entra Privileged Identity Management (PIM). Microsoft Entra PIM to usługa, która umożliwia zarządzanie, kontrolowanie i monitorowanie dostępu do zasobów w usługach Tożsamość Microsoft Entra, Azure i innych usługach Microsoft Online Services, takich jak Microsoft 365 lub Microsoft Intune. Aby uzyskać wskazówki dotyczące lokalnych środowisk połączonych z Internetem i środowisk hybrydowych, zobacz zabezpieczanie uprzywilejowanego dostępu , aby uzyskać więcej informacji.

Proces konfigurowania środowiska pod kątem dostępu między lasami, instalowania i konfigurowania usługi Active Directory i programu Microsoft Identity Manager oraz demonstrowania żądania dostępu just in time obejmuje siedem kroków.

Te kroki zostały przedstawione, aby można było zacząć od zera i utworzyć środowisko testowe. Jeśli stosujesz usługę PAM do istniejącego środowiska, możesz użyć własnych kontrolerów domeny lub kont użytkowników dla domeny CONTOSO , zamiast tworzyć nowe, aby pasować do przykładów.

  1. Jeśli nie masz istniejącej domeny, którą chcesz mieć jako domenę do zarządzania, przygotuj serwer CORPDC jako kontroler domeny.

  2. Przygotuj serwer PRIVDC jako kontroler domeny dla oddzielnej domeny i lasu WS 2016 PRIV.

  3. Przygotuj serwer PAMSRV w lesie PRIV , aby przechowywać oprogramowanie serwera MIM.

  4. Zainstaluj składniki programu MIM na serwerze PAMSRV i przygotuj je do usługi Privileged Access Management.

  5. Zainstaluj polecenia cmdlet na stacji roboczej elementu członkowskiego lasu CONTOSO .

  6. Ustanowienie relacji zaufania między lasami PRIV i CONTOSO.

  7. Przygotowanie uprzywilejowanych grup zabezpieczeń z dostępem do chronionych zasobów i kont członków na potrzeby funkcji Privileged Access Management just in time.

  8. Zaprezentowanie żądania, odbierania i używania uprzywilejowanego dostępu z podwyższonym poziomem uprawnień do chronionych zasobów.

Początek »