PAMは、Windows Server 2012 R2以降のActive Directoryフォレスト/ドメインと、MIM 2016が提供するPAMコンポーネント(MIM Service\Privileged Access Management)で実現されるセキュリティ機能です。
PAMの展開には、企業内のActive Directoryフォレスト/ドメイン(業務ドメイン)とは別に、PAM用の「要塞ドメイン(Bastion Domain)」を構築し、MIM 2016のPAMコンポーネントを展開します。PAMは、業務ドメインから要塞ドメインへの一方向の信頼関係に基づいて、企業内リソースに対する管理操作特権(例えば、共有フォルダへのフルコントロールアクセス権、ドメイン管理者、データベース管理者、リモートデスクトップ接続の許可など)を制御します。
PAMの概念と導入方法は少々複雑です。エンドユーザーのエクスペリエンスも、Windows PowerShellのコマンドレット(New-PAMRequest)を使用したコマンドライン操作が基本です。ただし、MIM 2016のPAMはREST APIを提供しているため、例えばWebポータル(サンプルが提供されています)をユーザーに提供して、特権申請の操作を簡素化することは可能です(画面6)。PAMについて詳しく知りたい方は、以下のドキュメントを参考にしてください。
以下の図1は、共有フォルダの管理特権(フルコントロールアクセス権)をPAMで制御するイメージです。
通常、あるリソースへの管理特権をユーザーに付与するには、ドメイングループにアクセス許可を設定する、もしくは特権許可を持つビルトイングループを利用して、ユーザーをそのグループのメンバーにして特権を永続的に与えます。
PAMは、要塞ドメイン側にシャドーグループとシャドーユーザーを準備し、シャドーユーザーの特権を一時化(非アクティブ化)します。この時点で管理者は、業務ドメイン側のユーザーを特権グループのメンバーから削除して、永続的な特権を削除できます。
特権アクセスを必要とするユーザーは、要塞ドメイン側のシャドーユーザーの資格情報を使用して特権のアクティブ化をセルフサービスでMIM 2016のPAMサービスに要求し、取得できます(画面6)。このアクティブ化された特権は、有効期限が付いており、有効期限が切れた時点で特権は再び非アクティブ化されます。
Microsoft Azureには、PAMにその名前と機能がよく似たサービス「Azure Privileged Identity Management(PIM)」(現在はプレビュー提供中)があります。PIMは、Azure Active Directory(Azure AD)における特権アクセス管理のサービスであり、Azure ADの管理ロールの永続化または一時化を管理できます。PAMは「PIMのオンプレミス版」と考えるとよいでしょう(画面7)。
岩手県花巻市在住。Microsoft MVP:Cloud and Datacenter Management(Oct 2008 - Sep 2016)。SIer、IT出版社、中堅企業のシステム管理者を経て、フリーのテクニカルライターに。マイクロソフト製品、テクノロジーを中心に、IT雑誌、Webサイトへの記事の寄稿、ドキュメント作成、事例取材などを手掛ける。個人ブログは『山市良のえぬなんとかわーるど』。
Copyright © ITmedia, Inc. All Rights Reserved.