瞭解 MIM PAM 的元件

Privileged Access Management 會使用個別樹系，將系統管理存取權與日常用戶帳戶分開。

注意

在因特網連線的環境中，不建議使用 MIM PAM 所提供的 PAM 方法。 MIM PAM 旨在用於無法使用因特網存取的隔離 AD 環境的自定義架構、法規需要此設定，或在離線研究台和中斷連線的操作技術或監督控制和數據擷取環境等高影響隔離的環境中使用。 MIM PAM 與 #D7CC3E5ADEA124852A3DE4318961E4D2A ！#D13F635CE9E8B465BA087BBBA63BFEBE6 (PIM) 不同。 Microsoft Entra PIM 是一項服務，可讓您管理、控制及監視 Microsoft Entra ID、Azure 和其他 Microsoft Online Services 中的資源存取，例如 Microsoft 365 或 Microsoft Intune。 如需內部部署因特網連線環境和混合式環境的指引，請參閱 保護特殊許可權存取 以取得詳細資訊。

這個解決方案有賴於平行樹系︰

• CORP：包含一或多個網域的一般用途公司樹系。 雖然您可能擁有多個 CORP 樹系，但這些文章中的範例為求簡明仍會假設一個網域配一個樹系。
• PRIV：特別為此 PAM 案例建立的專用樹系。 此樹系包含一個網域，容納從一或多個 CORP 網域鏡像而來的特殊權限群組和帳戶。

為 PAM 設定的 MIM 方案包括下列元件：

• MIM 服務：實作商務邏輯以執行身分與存取管理作業，包括特殊權限帳戶管理和提高權限要求處理。
• MIM 入口網站：由 SharePoint 2013 或更新版本裝載的選擇性 SharePoint 型入口網站，可提供系統管理員管理和設定 UI。
• MIM 服務資料庫：儲存在 SQL Server 2012 或更新版本中，並保存 MIM 服務所需的身分識別數據和元數據。
• PAM 監視服務 ，如有需要 ，PAM 元件服務：管理特殊許可權帳戶生命週期的兩個服務，並協助PRIV AD在群組成員資格生命週期中。
• PowerShell Cmdlet：適用於填入 MIM 服務和 PRIV AD 使用者和群組 (對應於 PAM 系統管理員的 CORP 樹系中的使用者和群組)，以及適用於在系統管理帳戶上要求 Just-In-Time (JIT) 使用特殊權限的一般使用者。
• PAM REST API：適用於將 PAM 案例中的 MIM 與自定義用戶端整合以進行提高許可權的開發人員，而不需要使用 PowerShell 或 SOAP。 以範例 Web 應用程式示範 REST API 的使用。

安裝並設定之後，PRIV 樹系中移轉程式所建立的每個群組都是外部主體群組，會鏡像原始 CORP 樹系中的群組。 外部主體群組會提供屬於該群組成員的使用者，其 Kerberos 令牌中的 SID 與其 CORP 樹系中群組的 SID 相同。 此外，當 MIM 服務將成員加入至 PRIV 樹系中的這些群組時，那些成員資格會有時間限制。

如此一來，當使用者要求使用 PowerShell Cmdlet 提高權限，且其要求獲得核准後，MIM 服務會將其在 PRIV 樹系中的帳戶加入 PRIV 樹系中的群組。 當使用者以其權限帳戶登入時，其 Kerberos 權杖會包含安全性識別碼 (SID)，其與 CORP 樹系中群組的 SID 相同。 由於 CORP 樹系設定為信任 PRIV 樹系，用來存取 CORP 樹系中資源的提高權限帳戶隨即顯示，以檢查 Kerberos 群組成員資格的資源 (為該資源的安全性群組的成員)。 這會透過 Kerberos 跨樹系驗證提供。

此外，這些成員資格有時間限制，因此在預先設定的間隔後，使用者的系統管理帳戶將不再屬於 PRIV 樹系中的群組。 因此，該帳戶將無法繼續用來存取其他資源。