次の方法で共有


Privileged Access Management の MIM 環境を構成する

注意

MIM PAM によって提供される PAM アプローチは、インターネットに接続された環境での新しいデプロイには推奨されません。 MIM PAM は、インターネット アクセスが利用できない分離された AD 環境のカスタム アーキテクチャで使用することを目的としています。この構成は規制によって必要とされます。また、オフラインの研究所や切断された運用テクノロジや監督制御およびデータ取得環境などの影響の大きい分離環境で使用されます。 MIM PAM は、Microsoft Entra Privileged Identity Management (PIM) とは異なります。 Microsoft Entra PIM は、Microsoft Entra ID、Azure、その他の Microsoft Online Services (Microsoft 365 や Microsoft Intune など) のリソースへのアクセスを管理、制御、監視できるサービスです。 オンプレミスのインターネットに接続された環境とハイブリッド環境に関するガイダンスについては、 特権アクセスのセキュリティ保護 に関するページを参照してください。

クロスフォレスト アクセスの環境を設定し、Active Directory と Microsoft Identity Manager をインストールして構成し、ジャスト イン タイムのアクセス要求を実行するには、7 つの手順があります。

これらの手順は、テスト環境を最初から作成して構築できるようにレイアウトされています。 既存の環境に PAM を適用する場合は、例に合わせて新しいドメインを作成する代わりに、独自のドメイン コントローラーまたはユーザー アカウントを CONTOSO ドメインに使用できます。

  1. 管理するドメインとして必要な既存のドメインがない場合は、 CORPDC サーバーをドメイン コントローラーとして準備します。

  2. PRIVDC サーバーを別の WS 2016 ドメインとフォレスト PRIV のドメイン コントローラーとして準備します。

  3. MIM サーバー ソフトウェアを保持するために、PRIV フォレスト内の PAMSRV サーバーを準備します。

  4. PAMSRV に MIM コンポーネントをインストールし、Privileged Access Management 用に準備します。

  5. コマンドレットを CONTOSO フォレスト メンバー ワークステーションにインストールします。

  6. PRIV フォレストと CONTOSO フォレスト間に信頼関係を確立します。

  7. Just-in-time の Privileged Access Management のために、保護されたリソースとメンバー アカウントに対するアクセス権を持つ特権セキュリティ グループを準備します。

  8. 保護されたリソースに対する昇格された特権アクセスの要求、受け取り、および利用をデモンストレーションします。