Omówienie składników usługi PAM programu MIM

  • Artykuł

Usługa Privileged Access Management zapewnia dostęp administracyjny niezależnie od codziennych kont użytkowników przy użyciu oddzielnego lasu.

Uwaga

Podejście PAM zapewniane przez usługę PAM programu MIM nie jest zalecane w przypadku nowych wdrożeń w środowiskach połączonych z Internetem. Usługa PAM programu MIM ma być używana w architekturze niestandardowej dla izolowanych środowisk usługi AD, w których dostęp do Internetu jest niedostępny, gdzie ta konfiguracja jest wymagana przez regulację lub w środowiskach izolowanych, takich jak laboratoria badawcze w trybie offline i odłączone technologie operacyjne lub środowiska kontroli nadzoru i pozyskiwania danych. Usługa PAM programu MIM różni się od Microsoft Entra Privileged Identity Management (PIM). Microsoft Entra PIM to usługa, która umożliwia zarządzanie, kontrolowanie i monitorowanie dostępu do zasobów w usługach Tożsamość Microsoft Entra, Azure i innych usługach online firmy Microsoft, takich jak Microsoft 365 lub Microsoft Intune. Aby uzyskać wskazówki dotyczące lokalnych środowisk połączonych z Internetem i środowisk hybrydowych, zobacz Zabezpieczanie uprzywilejowanego dostępu , aby uzyskać więcej informacji.

To rozwiązanie opiera się na równoległych lasach:

  • CORP: las firmowy ogólnego przeznaczenia, zawierający co najmniej jedną domenę. Można mieć większą liczbę lasów CORP, natomiast w przykładach zawartych w tych artykułach dla uproszczenia przyjęto założenie, że występuje jeden taki las z jedną domeną.
  • PRIV: dedykowany las utworzony specjalnie na potrzeby tego scenariusza funkcji PAM. Ten las zawiera jedną domenę obsługującą grupy uprzywilejowane oraz konta kopiowane z co najmniej jednej domeny z lasu CORP.

Rozwiązanie MIM skonfigurowane na potrzeby funkcji PAM zawiera następujące składniki:

  • Usługa MIM: implementuje logikę biznesową wykonywania operacji zarządzania tożsamością i dostępem, w tym zarządzania kontami uprzywilejowanymi i obsługi żądań podniesienia uprawnień.
  • Portal programu MIM: opcjonalny portal oparty na programie SharePoint hostowany przez program SharePoint 2013 lub nowszy, który zapewnia interfejs użytkownika zarządzania administratorami i konfiguracji.
  • Baza danych usługi PROGRAMU MIM: przechowywana w SQL Server 2012 lub nowszym oraz przechowuje dane tożsamości i metadane wymagane przez usługę MIM.
  • Usługa monitorowania PAM i w razie potrzeby usługa składnika PAM: dwie usługi, które zarządzają cyklem życia uprzywilejowanych kont i pomagają usłudze PRIV AD w cyklu życia członkostwa w grupie.
  • Polecenia cmdlet programu PowerShell: umożliwiają wprowadzanie do usługi MIM oraz usługi AD lasu PRIV użytkowników i grup odpowiadających użytkownikom i grupom w lesie CORP, dla administratorów funkcji PAM oraz użytkowników końcowych wymagających przywilejów konta administracyjnego na żądanie.
  • Interfejs API REST usługi PAM: dla deweloperów integrujących program MIM w scenariuszu PAM z niestandardowymi klientami pod kątem podniesienia uprawnień bez konieczności używania programu PowerShell lub protokołu SOAP. Korzystanie z interfejsu API REST przedstawiono na podstawie przykładowej aplikacji internetowej.

Po zainstalowaniu i skonfigurowaniu każda grupa utworzona przez procedurę migracji w lesie PRIV jest obcą grupą podmiotu zabezpieczeń dublując grupę w oryginalnym lesie CORP. Grupa podmiotów zabezpieczeń obcych udostępnia użytkownikom, którzy są członkami tej grupy z tym samym identyfikatorem SID w tokenie Kerberos co identyfikator SID grupy w lesie CORP. Ponadto członkowie dodani do tych grup w lesie PRIV przez usługę MIM zostaną objęci ograniczeniem czasowym.

W wyniku tego, gdy użytkownik zażąda podniesienia uprawnień za pomocą poleceń cmdlet programu PowerShell, a żądanie zostanie zatwierdzone, usługa MIM doda jego konto w lesie PRIV do grupy w lesie PRIV. Gdy użytkownik zaloguje się za pomocą konta uprzywilejowanego, jego token protokołu Kerberos będzie zawierał identyfikator zabezpieczeń (SID) identyczny z identyfikatorem SID grupy w lesie CORP. Ponieważ las CORP skonfigurowano tak, aby ufał lasowi PRIV, konto z podniesionymi uprawnieniami używane do uzyskania dostępu do zasobu w lesie CORP będzie traktowane przez zasób sprawdzający członkostwo w grupach protokołu Kerberos jako członek grup zabezpieczeń tego zasobu. Odbywa się to przez uwierzytelnianie między lasami za pośrednictwem protokołu Kerberos.

Ponadto członkostwo takie jest ograniczone czasowo, a zatem po upływie wstępnie skonfigurowanego okresu konto administracyjne danego użytkownika przestanie należeć do grupy w lesie PRIV. W związku z tym nie będzie już można używać tego konta w celu uzyskania dostępu do dodatkowych zasobów.