Partager via

Considérations relatives au déploiement pour l’implémentation de Microsoft Identity Manager avec SharePoint Server

  • Article

S’APPLIQUE À :no-img-132013 oui-img-162016 oui-img-192019 oui-img-seÉdition d’abonnement no-img-sopSharePoint dans Microsoft 365

Pour augmenter vos chances de réussite d’un déploiement MIM dans SharePoint Server, suivez ces recommandations :

Planifiez la migration de votre environnement de test vers votre environnement de production

Planifiez, planifiez et planifiez encore. On ne le répétera jamais assez. La plupart des échecs de synchronisation peuvent être attribués à un manque de planification.

L'installation correcte du service de synchronisation MIM dans votre laboratoire de test et une planification précise de votre migration de laboratoire de test à laboratoire de production sont essentielles pour minimiser les problèmes de déploiement. Il est recommandé d’utiliser un petit environnement de test pour éviter de traiter des milliers d’objets lorsque vous testez de nouvelles règles.

Sauvegardez votre environnement de test initial

Une fois MIM installé et vos agents de gestion créés, sauvegardez la base de données de synchronisation MIM. Ensuite, vous pouvez recréer un nouvel environnement de test à tout moment en chargeant la base de données de sauvegarde.

Testez vos procédures de sauvegarde et de restauration pour MIM

Les procédures de sauvegarde régulières sont essentielles pour la protection de vos données contre les pertes accidentelles. Il est également recommandé de tester vos procédures de sauvegarde et de restauration avant qu’une urgence ne se produise. Pour sauvegarder et restaurer MIM, utilisez les outils de sauvegarde fournis avec le système d'exploitation Windows Server 2012 R2 et SQL Server 2014.

Installez le service de synchronisation MIM et SQL Server dans le même domaine

Pendant l’installation de la synchronisation MIM, l’accès à distance à la base de données dépend des droits d’accès du compte d’ouverture de session actuel que vous utilisez pour exécuter le programme d’installation. Vérifiez que le serveur exécutant le système d’exploitation Windows Server 2012 R2 qui héberge MIM et le serveur qui héberge SQL Server se trouvent dans le même domaine et que le compte que vous utilisez pour exécuter le programme d’installation dispose de droits d’accès sur le serveur qui héberge SQL Server.

Définissez des droits d’accès si SQL Server est installé sur un serveur distant

Si vous installez SQL Server sur un ordinateur distant, c’est-à-dire sur un ordinateur différent de celui exécutant MIM, n’oubliez pas que la stratégie pour le compte de service SQL Server permet aux utilisateurs d’accéder à cet ordinateur à partir du réseau. Si l’accès n’est pas autorisé, la configuration de MIM échoue.

Importante

Si vous installez SQL Server sur un ordinateur distant et que vous autorisez l’accès réseau à l’ordinateur distant, vous recevrez un avertissement de sécurité du programme d’installation de MIM. Pour ce scénario, l’avertissement peut être ignoré.

Spécifiez le port TCP/IP pour un serveur distant exécutant SQL Server

Si l’instance de SQL Server que vous spécifiez lors de l’installation de MIM se trouve sur un ordinateur distant, le programme d’installation MIM utilise le port TCP/IP par défaut. Si vous souhaitez spécifier un autre port, vous devez utiliser l'utilitaire réseau du client SQL Server (Windows\System32\cliconfg.exe) et les outils de l'utilitaire réseau SQL Server fournis avec SQL Server. Pour plus d’informations, voir la documentation en ligne de SQL Server.

Utilisez l’agent de gestion de l’exportation pour sauvegarder des agents de gestion de sauvegarde chaque fois que vous modifiez les règles de l’agent de gestion

Après avoir utilisé l’agent de gestion de l’exportation, vous pouvez utiliser la commande Import Management Agent pour importer une version spécifique de l’agent de gestion individuel. Vous pouvez également exporter et importer des agents de gestion en utilisant les commandes Export Server Configuration et Import Server Configuration, mais, en procédant ainsi, tous les agents de gestion sont importés en plus du schéma métaverse. Pour plus d’informations sur la configuration et l’importation, consultez Configuration des agents de gestion et Importation et exportation d’une configuration de serveur

Renseignez l’attribut displayName dans le métaverse pour faciliter l’identification des résultats de la recherche

Lorsqu’il répertorie les objets à l’aide de recherche métaverse, MIM renvoie des résultats identifiés par l’attribut displayName. Si l’attribut displayName n’est pas renseigné, les résultats de la recherche sont identifiés par l’identificateur global unique (GUID). Pour plus d’informations sur l’utilisation de la recherche de métaverse, consultez Utilisation de la recherche de métaverse

Concevez vos règles de flux pour modifier l’état d’un objet

Utilisez l’état d’un objet pour déterminer l’étape suivante de la synchronisation de l’objet plutôt que d’utiliser l’événement qui a généré l’état de l’objet.

Importante

Ne comptez pas sur les règles déclaratives ou les règles d'une extension de règles à évaluer dans un ordre spécifié lors de la synchronisation d'un objet. Les règles sont évaluées sans ordre particulier.

Désactivez l’approvisionnement lorsque vous migrez des sources de données connectées au métaverse pour la première fois

Lorsque vous déployez MIM pour la première fois, il est recommandé de migrer et de joindre toutes les sources de données connectées avant d’activer l’approvisionnement. Une fois que vous avez vérifié que tout a été correctement migré et joint, vous pouvez activer l’approvisionnement et exécuter une synchronisation complète des agents de gestion pour appliquer les règles d’approvisionnement à tous les objets connectés. Pour plus d’informations sur la configuration des règles d’approvisionnement, consultez Règles d’approvisionnement

Définissez un seuil de suppression dans les étapes de votre profil d’exécution pour limiter le nombre de suppressions accidentelles

Utilisez le paramètre de seuil de suppression pour limiter le nombre de suppressions accidentelles pouvant se produire durant l’importation ou l’exportation. Le seuil de suppression arrêtera l'agent de gestion, ou l'empêchera de démarrer, lorsque la limite sera atteinte. Pour plus d’informations, consultez Configuration des agents de gestion.

Utilisez l’espace connecteur de recherche pour examiner les objets

Avec l’espace connecteur de recherche, vous pouvez rechercher des objets dans l’espace connecteur pour un agent de gestion. Vous pouvez localiser les objets par nom ou état d’erreur, ou par état de l’objet (c’est-à-dire, s’il est connecté, déconnecté ou en attente d’importation ou d’exportation).

Utilisez l’aperçu pour tester les synchronisations et résoudre les erreurs

Avec l’aperçu, vous pouvez lancer des synchronisations test et afficher les résultats sans valider les modifications apportées au métaverse. Vous pouvez également utiliser l’aperçu pour tester de nouvelles extensions de règles et pour résoudre des erreurs de synchronisation dues à des échecs d’association ou à des violations de schéma.

Planifiez un profil d’exécution périodique à l’aide de l’étape de synchronisation Delta pour traiter les déconnecteurs automatiquement

Les objets qui ne parviennent pas à se joindre ne sont pas réévalués par l’étape de profil d’exécution importation delta et synchronisation delta et peuvent rester en tant que déconnecteurs. L’exécution régulière d’une étape de synchronisation delta réévalue et traite ces déconnexions. Pour plus d’informations sur l’exécution des étapes de profil, consultez Configuration des agents de gestion.

Enregistrez et videz l’histoire d’exécution de l’agent de gestion régulièrement dans les opérations

Les opérations enregistrent un historique de chaque exécution de l’agent de gestion. Chaque historique d'exécution de l'agent de gestion est enregistré dans la base de données SQL Server et, par conséquent, la base de données peut devenir très volumineuse, ce qui aura une incidence sur les performances. L'historique d'exécution peut être enregistré à l'aide des opérations. Pour plus d’informations sur l’utilisation des opérations, consultez Utilisation des opérations.

Notes

[!REMARQUE] Suppression d'exécutions en très grands nombres en même temps peut prendre beaucoup de temps. Il est recommandé de ne pas supprimer plus de 100 exécutions à la fois.

Utilisez plusieurs partitions dans un agent de gestion pour contrôler la synchronisation de types d’objet uniques

Pour contrôler la synchronisation de types d’objet uniques dans un agent de gestion basé sur les fichiers, créez une partition pour chaque type d’objet. Par exemple, pour synchroniser les types d'objet boîte aux lettres et groupe, créez deux partitions dans l'agent de gestion, et affectez boîte aux lettres à une partition et groupe à l'autre. Ensuite, créez un profil d'exécution d'agent de gestion pour chaque partition. Avec cette configuration, vous disposez d'un seul agent de gestion et de la possibilité de synchroniser l'un des deux ou les deux types d'objet sélectionnés. Pour plus d’informations sur l’utilisation des partitions, consultez Le métaverse et l’espace connecteur

Planification de la capacité

De nombreuses variables peuvent affecter la capacité globale et les performances du déploiement MIM.

Les performances peuvent être affectées négativement si toutes les bases de données du système sont créées avec une taille plus petite et définies sur croissance automatique, en particulier par de petits incréments. Un minimum de 16 Go de RAM pour les serveurs SQL Server est requis, mais vous bénéficierez de davantage de mémoire. Vous devez avoir au moins 16 cœurs d’UC sur les serveurs SQL, mais plus de cœurs aideront à améliorer les performances globales.

Enfin, il est recommandé de ne pas exécuter les bases de données MIM et SharePoint ensemble sur le même serveur.

Disponibilité élevée

La solution MIM est conçue pour être hautement disponible afin d'empêcher un point de défaillance unique. Les composants suivants doivent être pris en compte pour la disponibilité élevée :

Notes

Les informations contenues dans cette section sont uniquement des recommandations.

  • Service de synchronisation MIM : bien que le clustering du service de synchronisation MIM ne soit pas pris en charge, un serveur de secours à chaud peut être déployé pour assumer la charge de travail du principal en cas de défaillance. Toutefois, la défaillance matérielle ne doit pas être un problème, car le service de synchronisation MIM s’exécute sur une machine virtuelle hébergée sur plusieurs nœuds physiques. En cas de défaillance logicielle, la machine virtuelle hébergeant le serveur de synchronisation peut être rapidement récupérée à partir d’une sauvegarde précédente ou reconstruite à partir de zéro. Une interruption de ce service n'a aucun impact sur les interactions de l'utilisateur final avec la solution. Elle retarderait uniquement l'exécution de toutes les demandes d'attribution et de suppression de privilèges d'accès. Lorsque le service est remis en ligne ces opérations seraient poursuivies sans perte de données. La secours à chaud du service de synchronisation MIM est connectée à la même base de données SQL Server que l’instance principale et doit être activée via un script au cas où l’instance principale tombe en panne et ne peut pas être redémarrée en temps voulu. Notez que l'agent de gestion MIM utilisé pour synchroniser les données entre la base de données du service de synchronisation MIM et la base de données du service MIM devra pointer vers l'instance du service MIM locale.

  • SQL Server: un cluster SQL Server est requis par la solution MIM pour fournir la disponibilité élevée pour la couche de base de données. Le cluster MIM sera composé de deux serveurs dotés des caractéristiques détaillées dans les paragraphes précédents. Bien que les deux instances SQL soient installées sur chaque nœud SQL, seule l'une des deux instances sera active à un moment donné.

    La conception prend en compte la meilleure utilisation des machines virtuelles en cluster sans sursabonnement de chaque nœud et peut entraîner la panne des deux nœuds en cas de basculement.

    Comme les bases de données sont hébergées sur un serveur SQL distant, la connexion réseau entre les serveurs MIM et les serveurs SQL doit être de 1 Gbit. Le réseau 100 Mbits ne fournit pas suffisamment de bande passante et dégrade les performances de synchronisation de 20 à 30 %.

Utilisez toujours l’importation Active Directory en tant que paramètre de synchronisation dans l’administration des profils utilisateur

Si vous envisagez d’utiliser le service synchronisation MIM, ne le sélectionnez pas. Sélectionnez l'option Use SharePoint Active Directory Import à la place. Il existe un problème connu avec la compilation de l’audience et l’attribut Manager si l’option Activer external Identity Manager est sélectionnée.

Notes

Ce problème est corrigé dans la mise à jour publique (PU) de février 2017. Pour plus de détails, voir l'article sur la mise à jour du 21 février 2017 pour SharePoint Server 2016 (article 3141517 de la base de connaissances)

Ne pas basculer entre les types de synchronisation

Si vous passez d’un type de synchronisation à un autre à l’aide de configurer les paramètres de synchronisation dans le site web Administration centrale de SharePoint, vous rencontrerez des problèmes avec aucun objet renvoyé au démarrage d’une importation sur l’instance sharePoint Connector et aucun résultat dans les journaux ULS.

Pour effectuer une récupération après un basculement de type, voir la section sur les étapes de récupération de l'article sur les problèmes liés au basculement entre les types de synchronisation dans le gestionnaire d'identité externes/Adimport UPA (MIM) dans SharePoint 2016

Exportation d’image à partir de SharePoint vers Active Directory

Microsoft Identity Manager prend en charge l’exportation d’images de profil utilisateur de SharePoint vers Active Directory.

Aucune intégration BCS pour prendre en charge des propriétés de profil supplémentaires

Il n’existe aucune intégration de Business Connectivity Services pour prendre en charge les propriétés de profil dans MIM. Vous pouvez configurer manuellement des connecteurs pour y parvenir.

Propriétés de profil utilisateur

De nouvelles propriétés de profil utilisateur peuvent être créées dans les serveurs SharePoint . Toutefois, les mappages ne sont pas créés dans SharePoint, mais dans MIM.

Nom NetBIOS

Si le gestionnaire d'identités externes est activé, vous devez activer la propriété NetBIOSDomainNamesEnabled dans l'application de service d'application de profil utilisateur dès que vous la créez pour prendre en charge les scénarios dans lesquels le nom NetBIOS de votre domaine est différent du nom de domaine complet (FQDN).

Effectuez les opérations de synchronisation sur un canal sécurisé

Étant donné que la synchronisation inclut souvent des informations d’identification personnelle, il est recommandé que les exécutions de synchronisation soient effectuées sur un canal sécurisé tel que HTTPS ou LDAPS.

Voir aussi

Autres ressources

Vue d’ensemble du service de synchronisation Microsoft Identity Manager dans SharePoint Server