MIM PAM bileşenlerini anlama

  • Makale

Privileged Access Management, yönetim erişimini ayrı bir orman kullanarak günlük kullanıcı hesaplarından ayrı tutar.

Not

İNTERNET'e bağlı ortamlardaki yeni dağıtımlar için MIM PAM tarafından sağlanan PAM yaklaşımı önerilmez. MIM PAM, İnternet erişiminin kullanılamadığı, bu yapılandırmanın düzenleme gereği gerekli olduğu yalıtılmış AD ortamları için özel bir mimaride veya çevrimdışı araştırma laboratuvarları ve bağlantısız işletim teknolojisi ya da denetim ve veri alma ortamları gibi yüksek etkili yalıtılmış ortamlarda kullanılması amaçlanmıştır. MIM PAM, Microsoft Entra Privileged Identity Management 'den (PIM) farklıdır. Microsoft Entra PIM, Microsoft Entra ID, Azure ve Microsoft 365 veya Microsoft Intune gibi diğer Microsoft Çevrimiçi Hizmetleri'ndeki kaynakları yönetmenize, denetlemenize ve erişimi izlemenize olanak tanıyan bir hizmettir. Şirket içi İnternet'e bağlı ortamlar ve karma ortamlar hakkında rehberlik için daha fazla bilgi için bkz. Ayrıcalıklı erişimin güvenliğini sağlama .

Bu çözüm, paralel ormanlara dayanır:

  • CORP: Bir veya birden çok etki alanı içeren, genel amaçlı şirket ormanınız. Birden çok CORP ormanınız olabilir, ancak bu makalelerdeki örneklerde, sadeleştirme amacıyla tek etki alanı olan tek orman varsayılmıştır.
  • PRIV: Özel olarak bu PAM senaryosu için oluşturulan, belirtilmiş bir orman. Bu ormanda, bir veya birden çok CORP etki alanına karşı gölgelendirilmiş ayrıcalıklı grupların ve hesapların tutulduğu bir etki alanı vardır.

PAM için yapılandırılan MIM çözümü şu bileşenleri içerir:

  • MIM Hizmeti: Ayrıcalıklı hesap yönetimi ve yükseltme isteği işleme de içinde olmak üzere, kimlik ve erişim yönetimi işlemlerini gerçekleştirmek için iş mantığını uygular.
  • MIM Portalı: SharePoint 2013 veya üzeri tarafından barındırılan, yönetici yönetimi ve yapılandırma kullanıcı arabirimi sağlayan isteğe bağlı bir SharePoint tabanlı portal.
  • MIM Hizmet Veritabanı: SQL Server 2012 veya sonraki sürümlerinde depolanır ve MIM Hizmeti için gereken kimlik verilerini ve meta verileri tutar.
  • PAM İzleme Hizmeti ve gerekirse PAM Bileşen Hizmeti: Ayrıcalıklı hesapların yaşam döngüsünü yöneten ve grup üyeliği yaşam döngüsünde PRIV AD'ye yardımcı olan iki hizmet.
  • PowerShell cmdlet’leri: MIM Hizmeti’ni ve PRIV AD’yi, PAM yöneticileri için CORP ormanındaki kullanıcı ve gruplara karşılık gelen kullanıcılar ve gruplarla doldurmak için ve yönetim hesabındaki ayrıcalıkları tam zamanında (JIT) kullanmak isteyen son kullanıcılar için.
  • PAM REST API: POWERShell veya SOAP kullanmaya gerek kalmadan MIM'i PAM senaryosunda yükseltme için özel istemcilerle tümleştiren geliştiriciler için. Örnek web uygulamasıyla REST API kullanımı gösterilmiştir.

Yüklendikten ve yapılandırıldıktan sonra, PRIV ormanındaki geçiş yordamı tarafından oluşturulan her grup, özgün CORP ormanındaki grubu yansıtan bir yabancı sorumlu grubudur. Yabancı asıl grup, bu grubun üyesi olan kullanıcılara CORP ormanındaki grubun SID'siyle Kerberos belirteçlerinde aynı SID'ye sahip olan kullanıcılar sağlar. Üstelik, MIM Hizmeti PRIV ormanında bu gruplara üye eklediğinde, bu üyeliklerin zaman sınırlaması olur.

Sonuç olarak, bir kullanıcı PowerShell cmdlet’lerini kullanarak yükseltme istediğinde ve isteği onaylandığında, MIM Hizmeti kullanıcının hesabını PRIV ormanında bir gruba ekler. Kullanıcı ayrıcalıklı hesabıyla oturum açtığında, Kerberos belirteci CORP ormanındaki grubun Güvenlik Tanımlayıcısı (SID) ile aynı SID değerini içerir. CORP ormanı PRIV ormanına güvenecek şekilde yapılandırıldığından, CORP ormanındaki kaynağa erişmek için kullanılan yükseltilmiş hesap, Kerberos grup üyeliğindeki bir kaynak denetiminde o kaynağın güvenlik gruplarının üyesi olarak görünür. Bu, Kerberos ormanlar arası kimlik doğrulaması yoluyla sağlanır.

Ayrıca, bu üyeliklerde zaman sınırlaması olduğundan, önceden yapılandırılmış bir süre sonunda kullanıcının yönetim hesabı artık PRIV ormanındaki grubun bir parçası olmayacaktır. Sonuç olarak, bu hesap artık ek kaynaklara erişim için kullanılamaz.