Instale MIM 2016 con SP2: servicio y portal de MIM para clientes de id. P1 o P2 de Microsoft Entra
Nota
Este tutorial usa los valores y nombres de ejemplo de una empresa llamada Contoso. Reemplácelos con sus propios valores. Por ejemplo:
- Nombre del servidor del servicio y del portal de MIM: mim.contoso.com
- Nombre del servidor SQL: contosoagl.contoso.com
- Nombre de la cuenta de servicio: svcMIMService
- Nombre de dominio: contoso
- Contraseña: Pass@word1
Antes de empezar
- Esta guía está pensada para instalar el servicio MIM en organizaciones con licencia para Microsoft Entra id. P1 o P2. Si su organización no tiene Microsoft Entra id. P1 o P2 o no usa Microsoft Entra ID, deberá seguir en su lugar la guía de instalación de la edición de licencias por volumen de MIM.
- Asegúrese de que tiene Microsoft Entra credenciales de usuario con permisos suficientes para validar que la suscripción de inquilino incluye Microsoft Entra id. P1 o P2 y puede crear registros de aplicaciones.
- Si tiene previsto usar Office 365 autenticación de contexto de aplicación, deberá ejecutar un script para registrar la aplicación del servicio MIM en Microsoft Entra id. y conceder permisos al servicio MIM para acceder a un buzón de servicio MIM en Office 365. Guarde la salida del script, ya que necesitará el identificador de aplicación y el secreto resultantes más adelante durante la instalación.
Opciones de implementación
Las opciones de implementación dependen de dos criterios:
- Si el servicio MIM se ejecutará como una cuenta de servicio de Windows normal o como una cuenta de servicio administrada por grupo (gMSA)
- Si el servicio MIM va a enviar correo electrónico a través de un Exchange Server, Office 365 o un servidor SMTP
Opciones de implementación disponibles:
- Opción A: Cuenta de servicio normal + Exchange Server
- Opción B: Cuenta de servicio normal + Office 365 autenticación básica
- Opción C: Cuenta de servicio normal + autenticación de contexto de aplicación Office 365
- Opción D: Cuenta de servicio normal + SMTP
- Opción E: Cuenta de servicio normal + sin servidor de correo
- Opción F: Cuenta de servicio administrada por grupo + Exchange Server
- Opción G: cuenta de servicio administrada por grupo + Office 365 autenticación básica
- Opción H: Cuenta de servicio administrada por grupo + autenticación de contexto de aplicación Office 365
- Opción I: cuenta de servicio administrada por grupo + sin servidor de correo
Nota
La opción servidor SMTP solo funciona con cuentas de servicio normales y autenticación integrada de Windows, y no permite el uso del complemento de Outlook para aprobaciones.
Preparación de la autenticación de contexto de aplicación de Office 365
A partir de la compilación 4.6.421.0, además de la autenticación básica, el servicio MIM admite la autenticación de contexto de aplicación para Office 365 buzones. El 20 de septiembre de 2019 se anunció el fin de la compatibilidad con la autenticación básica, por lo que se recomienda usar la autenticación de contexto de aplicación para enviar notificaciones y recopilar respuestas de aprobación.
El escenario de autenticación de contexto de aplicación requiere que registre una aplicación en Microsoft Entra identificador, cree un secreto de cliente que se usará en lugar de una contraseña y conceda a esta aplicación permiso para acceder al buzón del servicio MIM. El servicio MIM usará este identificador de aplicación y este secreto para acceder a su buzón en Office 365. Puede registrar la aplicación en Microsoft Entra id. mediante un script (recomendado) o manualmente.
Registro de la aplicación mediante Microsoft Entra centro de administración
Inicie sesión en Microsoft Entra centro de administración con el rol de administrador global.
Vaya a Microsoft Entra hoja y copie el identificador de inquilino en la sección Información general y guárdelo.
Vaya a Registros de aplicaciones sección y haga clic en el botón Nuevo registro.
Asigne un nombre a la aplicación, por ejemplo, acceso de cliente del buzón del servicio MIM y haga clic en Registrar.
Una vez registrada la aplicación, copie el valor de Id. de aplicación (cliente) y guárdelo.
Vaya a la sección Permisos de API y revoque el permiso User.Read ; para ello, haga clic en tres puntos derecho al nombre del permiso y elija Quitar permiso. Confirme que desea quitar este permiso.
Haga clic en el botón Agregar un permiso . Cambie a las API que usa mi organización y escriba Office. Seleccione Office 365 Exchange Online y Tipo de permisos de aplicación. Escriba completo y seleccione full_access_as aplicación. Haga clic en el botón Agregar permisos .
Verá el permiso agregado y que no se concede el consentimiento del administrador. Haga clic en el botón Conceder consentimiento del administrador junto a agregar un botón de permiso .
Vaya a Certificados y secretos y elija agregar nuevo secreto de cliente. Si selecciona una hora de expiración para el secreto, tendrá que volver a configurar el servicio MIM más cerca de su fecha de expiración para usar otro secreto. Si no tiene previsto rotar secretos de aplicación, seleccione Nunca. Asigne un nombre al secreto, por ejemplo, servicio MIM y haga clic en el botón Agregar . Verá el valor del secreto que se muestra en el portal. Copie este valor (no identificador de secreto) y guárdelo.
Ahora que tiene el identificador de inquilino, el identificador de aplicación y el secreto de aplicación necesarios para el instalador, puede continuar con la instalación del servicio y el portal de MIM. Además, puede restringir el acceso de la aplicación recién registrada al buzón del servicio MIM (full_access_as_app concede acceso a todos los buzones de su organización). Para ello, debe crear una directiva de acceso a aplicaciones. Siga esta guía para restringir el acceso de la aplicación solo al buzón del servicio MIM. Tendrá que crear un grupo de seguridad habilitado para correo o distribución y agregar el buzón del servicio MIM a ese grupo. A continuación, ejecute un comando de PowerShell y proporcione las credenciales de administrador de Exchange Online:
New-ApplicationAccessPolicy ` -AccessRight RestrictAccess ` -AppId "<your application ID from step 5>" ` -PolicyScopeGroupId <your group email> ` -Description "Restrict MIM Service app to members of this group"
Registro de una aplicación mediante un script de PowerShell
Create-MIMMailboxApp.ps1 script se puede encontrar en Scripts.zip/Scripts/Service y Portal o en Service y Portal.zip\Service and Portal\Program Files\Microsoft Forefront Identity Manager\2010\Service\Scripts.
A menos que el buzón del servicio MIM se hospede en una nube nacional o gubernamental, el único parámetro que necesita pasar al script es el correo electrónico del servicio MIM, por ejemplo, MIMService@contoso.onmicrosoft.com.
Desde una ventana de PowerShell, inicie Create-MIMMailboxApp.ps1 con el parámetro de correo electrónico> -MailboxAccountEmail <y proporcione correo electrónico del servicio MIM.
./Create-MIMMailboxApp.ps1 -MailboxAccountEmail <MIM Service email>
Cuando se le pidan credenciales, proporcione las credenciales de administrador global de Microsoft Entra para registrar una aplicación en Azure.
Una vez registrada la aplicación, otro elemento emergente solicitará Exchange Online credenciales de administrador para crear una directiva de acceso a aplicaciones.
Después de registrar correctamente la aplicación, la salida del script debe tener este aspecto:
Hay un retraso de 30 segundos después de registrar la aplicación y se abre una ventana del explorador para evitar problemas de replicación. Proporcione sus credenciales de administrador de inquilinos de Microsoft Entra y acepte una solicitud para conceder a la aplicación acceso al buzón del servicio MIM. La ventana emergente debe tener este aspecto:
Después de hacer clic en el botón Aceptar, se le redirigirá a Centro de administración de Microsoft 365. Puede cerrar la ventana del explorador y comprobar la salida del script. Debería ser parecido a este:
Copie los valores ApplicationId, TenantId y ClientSecret, ya que los necesitará el instalador del servicio y el portal de MIM.
Implementación del servicio y el portal de MIM
Pasos comunes de implementación
Cree un directorio temporal para mantener los registros del instalador en, por ejemplo, c:\miminstall.
Inicie el símbolo del sistema con privilegios elevados, vaya a la carpeta binarios del instalador del servicio MIM y ejecute:
msiexec /i "Service and Portal.msi" /lvxi* c:\miminstall\log.txtEn la pantalla de bienvenida, haga clic en Siguiente.
Revise el contrato de licencia End-User y haga clic en Siguiente si acepta los términos de licencia.
Las nubes nacionales son instancias aisladas de Azure. Seleccione la instancia de Azure Cloud en la que se hospeda el inquilino y haga clic en Siguiente.
Las organizaciones que no usan una nube nacional o gubernamental deben seleccionar la instancia global, Microsoft Entra id.
Después de seleccionar la nube adecuada, el instalador le pedirá que se autentique en ese inquilino. En la ventana emergente, proporcione Microsoft Entra credenciales de usuario de un usuario en ese inquilino para validar el nivel de suscripción de inquilino. Escriba el nombre de usuario de Microsoft Entra y haga clic en Siguiente.
Escriba la contraseña y haga clic en Iniciar sesión.
Si el instalador no puede encontrar una suscripción para Microsoft Entra id. P1 u otra suscripción, que incluye Microsoft Entra id. P1 o P2, verá un error emergente. Compruebe que el nombre de usuario es para el inquilino correcto y examine el archivo de registro del instalador para obtener más información.
Una vez completada la comprobación de licencia, seleccione Componentes de servicio y portal de MIM para instalar y haga clic en Siguiente.
Proporcione el nombre del servidor SQL y de la base de datos. Elija reutilizar la base de datos existente si actualiza desde versiones anteriores de MIM. Si se instala mediante el clúster de conmutación por error de SQL o Always-On agente de escucha de grupos de disponibilidad, proporcione un clúster o un nombre de agente de escucha. Haga clic en Next.
Si instala MIM mediante una base de datos existente, aparece una advertencia. Haga clic en Next.
Elija una combinación de tipo de servidor de correo y método de autenticación (opciones A-I, consulte a continuación)
general Imagen de 
Si instala el servicio MIM mediante Group-Managed cuenta de servicio, active la casilla correspondiente; de lo contrario, deje esta casilla desactivada. Haga clic en Next.
Si selecciona una combinación incompatible de tipo de servidor de correo y método de autenticación, después de hacer clic en Siguiente, aparece un error emergente.
Opción A. Cuenta de servicio normal + Exchange Server
En la página Configurar servicios comunes, seleccione Exchange Server 2013 o posterior y Autenticación integrada de Windows. Escriba el nombre de host del servidor Exchange. Deje la casilla Usar cuenta de servicio administrada de grupodesactivada. Haga clic en Next.
Si instala el componente de informes de MIM, escriba System Center Service Manager nombre del servidor de administración y haga clic en Siguiente.
Si instala el componente de informes de MIM en el entorno solo TLS 1.2 con System Center Service Manager 2019, elija un certificado de confianza por el servidor SCSM con el nombre de host del servidor MIM en el asunto del certificado; de lo contrario, elija generar un nuevo certificado autofirmado. Haga clic en Next.
Escriba nombre y contraseña de la cuenta del servicio MIM, el nombre de dominio y la dirección SMTP del buzón del servicio MIM. Haga clic en Next.
Opción B. Cuenta de servicio normal + Office 365 autenticación básica
En la página Configurar servicios comunes, seleccione Office 365 servicio de correo y Autenticación básica. Deje la casilla Usar cuenta de servicio administrada de grupodesactivada. Haga clic en Next.
Si instala el componente de informes de MIM, escriba System Center Service Manager nombre del servidor de administración y haga clic en Siguiente.
Si instala el componente de informes de MIM en el entorno solo TLS 1.2 con System Center Service Manager 2019, elija un certificado de confianza por el servidor SCSM con el nombre de host del servidor MIM en el asunto del certificado; de lo contrario, elija generar un nuevo certificado autofirmado. Haga clic en Next.
Escriba nombre y contraseña de la cuenta del servicio MIM, el nombre de dominio, el Office 365 dirección SMTP del buzón del servicio MIM y el buzón del servicio MIM Microsoft Entra contraseña. Haga clic en Next.
Opción C. Cuenta de servicio normal + autenticación de contexto de aplicación Office 365
En la página Configurar servicios comunes, seleccione Office 365 servicio de correo y Autenticación de contexto de aplicación. Deje la casilla Usar cuenta de servicio administrada de grupodesactivada. Haga clic en Next.
Si instala el componente de informes de MIM, escriba System Center Service Manager nombre del servidor de administración y haga clic en Siguiente.
Proporcione el identificador de aplicación Microsoft Entra, el identificador de inquilino y el secreto de cliente que generó un script anteriormente. Haga clic en Next.
Si el instalador no puede validar el identificador de aplicación o el identificador de inquilino, aparece un error:
Si el instalador no puede acceder al buzón del servicio MIM, aparece otro error:
Si instala el componente de informes de MIM en el entorno solo TLS 1.2 con System Center Service Manager 2019, elija un certificado de confianza por el servidor SCSM con el nombre de host del servidor MIM en el asunto del certificado; de lo contrario, elija generar un nuevo certificado autofirmado. Haga clic en Next.
Escriba nombre y contraseña de la cuenta del servicio MIM, el nombre de dominio y la dirección SMTP del servicio MIM Office 365. Haga clic en Next.
Opción D. Cuenta de servicio normal + servidor SMTP
En la página Configurar servicios comunes , seleccione SMTP y Autenticación integrada de Windows. Escriba nombre de host del servidor SMTP. Deje la casilla Usar cuenta de servicio administrada de grupodesactivada. Haga clic en Next.
Si instala el componente de informes de MIM, escriba System Center Service Manager nombre del servidor de administración y haga clic en Siguiente.
Si instala el componente de informes de MIM en el entorno solo TLS 1.2 con System Center Service Manager 2019, elija un certificado de confianza por el servidor SCSM con el nombre de host del servidor MIM en el asunto del certificado; de lo contrario, elija generar un nuevo certificado autofirmado. Haga clic en Next.
Escriba nombre y contraseña de la cuenta del servicio MIM, el nombre de dominio y la dirección SMTP del servicio MIM. Haga clic en Next.
Opción E. Cuenta de servicio normal + sin servidor de correo
En la página Configurar servicios comunes , seleccione Ninguno tipo de servidor. Deje la casilla Usar cuenta de servicio administrada de grupodesactivada. Haga clic en Next.
Si instala el componente de informes de MIM, escriba System Center Service Manager nombre del servidor de administración y haga clic en Siguiente.
Si instala el componente de informes de MIM en el entorno solo TLS 1.2 con System Center Service Manager 2019, elija un certificado de confianza por el servidor SCSM con el nombre de host del servidor MIM en el asunto del certificado; de lo contrario, elija generar un nuevo certificado autofirmado. Haga clic en Next.
Escriba nombre y contraseña de la cuenta del servicio MIM, nombre de dominio. Haga clic en Next.
Opción F. Cuenta de servicio administrada por grupo + Exchange Server
En la página Configurar servicios comunes, seleccione Exchange Server 2013 o posterior y Autenticación integrada de Windows. Escriba el nombre de host del servidor Exchange. Habilite la opción Usar cuenta de servicio administrada de grupo . Haga clic en Next.
Si instala el componente de informes de MIM, escriba System Center Service Manager nombre del servidor de administración y haga clic en Siguiente.
Si instala el componente de informes de MIM en el entorno solo TLS 1.2 con System Center Service Manager 2019, elija un certificado de confianza por el servidor SCSM con el nombre de host del servidor MIM en el asunto del certificado; de lo contrario, elija generar un nuevo certificado autofirmado. Haga clic en Next.
Escriba nombre de cuenta de servicio administrada por grupo del servicio MIM, nombre de dominio, dirección SMTP y contraseña del buzón del servicio MIM. Haga clic en Next.
Opción G. Cuenta de servicio administrada por grupo + Office 365 autenticación básica
En la página Configurar servicios comunes, seleccione Office 365 servicio de correo y Autenticación básica. Habilite la opción Usar cuenta de servicio administrada de grupo . Haga clic en Next.
Si instala el componente de informes de MIM, escriba System Center Service Manager nombre del servidor de administración y haga clic en Siguiente.
Si instala el componente de informes de MIM en el entorno solo TLS 1.2 con System Center Service Manager 2019, elija un certificado de confianza por el servidor SCSM con el nombre de host del servidor MIM en el asunto del certificado; de lo contrario, elija generar un nuevo certificado autofirmado. Haga clic en Next.
Escriba nombre de cuenta de servicio administrada por grupo del servicio MIM, nombre de dominio, dirección SMTP del buzón del servicio MIM Office 365 y la contraseña Microsoft Entra de la cuenta del servicio MIM. Haga clic en Next.
Opción H. Cuenta de servicio administrada por grupo + autenticación de contexto de aplicación Office 365
En la página Configurar servicios comunes, seleccione Office 365 servicio de correo y Autenticación de contexto de aplicación. Habilite la opción Usar cuenta de servicio administrada de grupo . Haga clic en Next.
Si instala el componente de informes de MIM, escriba System Center Service Manager nombre del servidor de administración y haga clic en Siguiente.
Proporcione el identificador de aplicación Microsoft Entra, el identificador de inquilino y el secreto de cliente que generó un script anteriormente. Haga clic en Next.
Si el instalador no puede validar el identificador de aplicación o el identificador de inquilino, aparece un error:
Si el instalador no puede acceder al buzón del servicio MIM, aparece otro error:
Si instala el componente de informes de MIM en el entorno solo TLS 1.2 con System Center Service Manager 2019, elija un certificado de confianza por el servidor SCSM con el nombre de host del servidor MIM en el asunto del certificado; de lo contrario, elija generar un nuevo certificado autofirmado. Haga clic en Next.
Escriba nombre de cuenta de servicio administrada por grupo del servicio MIM, nombre de dominio y servicio MIM Office 365 dirección SMTP del buzón. Haga clic en Next.
Opción I. Cuenta de servicio administrada por grupo + sin servidor de correo
En la página Configurar servicios comunes , seleccione Ninguno tipo de servidor. Habilite la opción Usar cuenta de servicio administrada de grupo . Haga clic en Next.
Si instala el componente de informes de MIM, escriba System Center Service Manager nombre del servidor de administración y haga clic en Siguiente.
Si instala el componente de informes de MIM en el entorno solo TLS 1.2 con System Center Service Manager 2019, elija un certificado de confianza por el servidor SCSM con el nombre de host del servidor MIM en el asunto del certificado; de lo contrario, elija generar un nuevo certificado autofirmado. Haga clic en Next.
Escriba nombre de cuenta de servicio administrada por grupo del servicio MIM, nombre de dominio. Haga clic en Next.
Pasos comunes de implementación. Continuación
Si la cuenta del servicio MIM no estaba restringida para denegar los inicios de sesión locales, aparece un mensaje de advertencia. Haga clic en Next.
Escriba nombre de host del servidor de sincronización de MIM. Escriba el nombre de la cuenta del Agente de administración de MIM. Si va a instalar el servicio de sincronización de MIM mediante Group-Managed cuenta de servicio, agregue el signo de dólar al nombre de la cuenta, por ejemplo , contoso\MIMSyncGMSAsvc$. Haga clic en Next.
Escriba nombre de host del servidor de servicios MIM. En caso de que se use un equilibrador de carga para equilibrar la carga del servicio MIM, proporcione el nombre del clúster. Haga clic en Next.
Proporcione el nombre de la colección de sitios de SharePoint. Asegúrese de reemplazar http://localhost por un valor adecuado. Haga clic en Next.
Aparece una advertencia. Haga clic en Next.
Si instala Self-Service sitio web de registro de contraseñas (no es necesario si usa Microsoft Entra id. para el restablecimiento de contraseña), especifique una dirección URL a la que se redirigirán los clientes MIM después de iniciar sesión. Haga clic en Next.
Seleccione la casilla para abrir los puertos 5725 y 5726 en el firewall y la casilla para conceder acceso al Portal de MIM a todos los usuarios autenticados. Haga clic en Next.
Si instala Self-Service sitio web de registro de contraseñas (no es necesario si usa Microsoft Entra id. para el restablecimiento de contraseña), establezca el nombre de cuenta del grupo de aplicaciones y su contraseña, el nombre de host y el puerto del sitio web. Habilite la opción Abrir puerto en el firewall si es necesario. Haga clic en Next.
Se mostrará una advertencia, léala y haga clic en Siguiente.
En la siguiente pantalla de configuración del Portal de registro de contraseñas de MIM, escriba la dirección del servidor del servicio MIM para el Portal de registro de contraseñas y seleccione si los usuarios de intranet podrán acceder a este sitio web. Haga clic en Next.
Si instala Self-Service sitio web de restablecimiento de contraseña, establezca el nombre de la cuenta del grupo de aplicaciones y su contraseña, el nombre de host y el puerto del sitio web. Habilite la opción Abrir puerto en el firewall si es necesario. Haga clic en Next.
Se mostrará una advertencia, léala y haga clic en Siguiente.
En la siguiente pantalla de configuración del Portal de restablecimiento de contraseña de MIM, escriba la dirección del servidor de servicio MIM para el portal de restablecimiento de contraseña y seleccione si los usuarios de la intranet podrán acceder a este sitio web. Haga clic en Next.
Cuando todas las definiciones de preinstalación estén listas, haga clic en Instalar para empezar a instalar los componentes servicio y portal seleccionados.
Tareas posteriores a la instalación
Una vez finalizada la instalación, compruebe que el Portal de MIM esté activo.
Inicie Internet Explorer y conéctese al portal de MIM en
http://mim.contoso.com/identitymanagement. Tenga en cuenta que puede haber un breve retraso la primera vez que se visite esta página.- Si es necesario, autentíquese como usuario, que instaló el servicio y el portal de MIM, en Internet Explorer.
En Internet Explorer, abra Opciones de Internet, cambie a la pestaña Seguridad y agregue el sitio a la zona intranet local si aún no está allí. Cierre el cuadro de diálogo Opciones de Internet .
En Internet Explorer, abra la casilla Configuración, cambie a la pestaña Configuración de la vista de compatibilidad y desactive la casilla Mostrar sitios de intranet en la vista compatibilidad . Cierre el cuadro de diálogo Vista de compatibilidad .
Permitir que los usuarios que no son administradores accedan al portal de MIM.
- Mediante Internet Explorer, en Portal de MIM, haga clic en Reglas de directiva de administración.
- Busque la regla de directivas de administración Administración de usuarios: los usuarios pueden leer sus propios atributos.
- Seleccione esta regla de directiva de administración; desactive la opción La directiva está deshabilitada.
- Haga clic en Aceptar y después en Guardar.
Nota
Opcional: en este momento puede instalar complementos y extensiones de MIM y paquetes de idioma.