Windowsのローカルアカウントおよびドメインアカウントに対するセルフサービス権限昇格機能
PAM360では、エージェントを利用して、エンドポイント上でユーザー自身が権限を一時的に昇格できる(セルフサービス権限昇格)ように設定可能です。このエージェントがインストールされているリソースでは、アカウントのアクセス制御が有効であっても、セルフサービス権限昇格の設定が優先されます。つまり、ユーザーは特権アカウントの認証情報を必要とせず、権限が昇格されたPAM360のアカウント経由で対象リソースにログインすれば、特定のファイル(CMD、EXE、MSI、MSC、BAT)を実行できます。
セルフサービス権限昇格により、業務遂行に必要な、標準ユーザーが通常許可されていない特権操作が実行可能になります。この機能では、ユーザーのリクエストが自動的に承認され、権限が一時的に昇格されます。作業が完了すると、アプリケーションの特権は取り消され、リソースの認証情報が自動的にローテーションされます。
この機能は、ジャストインタイム(JIT)特権昇格とは仕組みが異なります。ジャストインタイム特権昇格では、承認ワークフローを経て、一定の時間に限定して特権が付与されます。その際、ユーザーは該当するセキュリティグループに自動的に追加され、制限時間を超えたら、グループから削除されます。セルフサービス権限昇格機能のユースケースとして、2つの例をご紹介します(他にもさまざまなユースケースが考えられます)。
- ある開発者は、リモートエンドポイントに特定のアプリケーションをインストールする必要があるが、必要な権限を持っていない。そこで、セルフサービス権限昇格を活用することで、特権アカウントに昇格し、インストーラーファイルを実行できるようになる。
- あるデータベース管理者は、Microsoft SQL Studioでメンテナンス操作を行う必要があるが、SQLインスタンスが稼働している端末に対してフルアクセス権を持っていない。そこで、セルフサービス権限昇格を活用することで、特権アカウント権限が付与され、SQL Studioを利用できるようになる。
PAM360上で適切な権限を持つ管理者やユーザーは、セルフサービスでの権限昇格に関するイベントのカスタムレポートを生成できます。