Aanbevolen procedures voor Microsoft Identity Manager 2016
In dit onderwerp worden de aanbevolen procedures beschreven voor het implementeren van en werken met Microsoft Identity Manager 2016 (MIM)
Installatie van SQL
Notitie
In de volgende aanbevelingen voor het instellen van een server met SQL wordt uitgegaan van een SQL-exemplaar toegewezen aan de FIMService en een SQL-exemplaar toegewezen aan de FIMSynchronizationService-database. Als u de FIMService in een geconsolideerde omgeving uitvoert, brengt u wijzigingen aan die geschikt zijn voor uw configuratie.
Configuratie van de SQL-server (Structured Query Language) is essentieel voor optimale systeemprestaties. Het bereiken van optimale MIM-prestaties in grootschalige implementaties is afhankelijk van de toepassing van aanbevolen procedures voor een server waarop SQL wordt uitgevoerd. Zie de volgende onderwerpen voor meer informatie over aanbevolen procedures voor SQL:
Vooraf de grootte bepalen van gegevens en logboekbestanden
Vertrouw niet op autogrow. Beheer in plaats daarvan de groei van deze bestanden handmatig. U kunt autogrow uit veiligheidsoverwegingen aan laten staan, maar u moet de groei van de gegevensbestanden proactief beheren. Zie de FIM Capacity Planning Guide (Handleiding voor FIM-capaciteitsplanning) voor voorbeeldgrootten van de MIM-database.
Vooraf de grootte van SQL-gegevens en -logboekbestanden bepalen
Start SQL Server Management Studio.
Ga naar de database FIMService, klik met de rechtermuisknop op FIMService en klik vervolgens op Eigenschappen.
Op de pagina Bestanden breidt u de databasebestanden naar de vereiste grootte uit.
Logboekbestanden van gegevensbestanden isoleren
Volg de aanbevolen procedures voor SQL Server om de transactie- en gegevenslogboekbestanden voor de databases te isoleren om fysieke schijven van elkaar te scheiden.
Aanvullende tempdb-bestanden maken
Voor optimale prestaties wordt aangeraden één gegevensbestand per CPU-kern in het tempdb-bestand te maken.
Aanvullende tempdb-bestanden maken
Start SQL Server Management Studio.
Ga naar de database tempdb in Systeemdatabases, klik met de rechtermuisknop op tempdb en klik vervolgens op Eigenschappen.
Maak één gegevensbestand voor elke CPU-kern op de pagina Bestanden. Sla de tempdb-gegevensbestanden en -logboekbestanden naar verschillende stations en aandrijfassen op.
Zorgen voor voldoende ruimte voor de logboekbestanden
Het is belangrijk dat u de schijfvereisten van uw herstelmodel weet. De modus voor eenvoudig herstel is mogelijk geschikt voor de initiële systeembelasting om het gebruik van schijfruimte te beperken, maar de gegevens die zijn gemaakt na de meest recente back-up worden blootgesteld aan gegevensverlies. Wanneer u de modus Volledig herstel gebruikt, moet u het schijfgebruik beheren via back-ups die frequente back-ups van het transactielogboek bevatten om een hoog schijfruimtegebruik te voorkomen. Zie Recovery Model Overview (Overzicht van herstelmodellen) voor meer informatie.
SQL-servergeheugen beperken
Afhankelijk van de hoeveelheid geheugen op de SQL-server en als u de SQL-server deelt met andere services (dat wil zeggen MIM 2016-service en MIM 2016-synchronisatieservice), wilt u mogelijk het geheugengebruik van SQL beperken. U kunt deze beperking instellen via de volgende stappen.
Start SQL Server Enterprise Manager.
Selecteer Nieuwe query.
Voer de volgende query uit.
USE master EXEC sp_configure 'show advanced options', 1 RECONFIGURE WITH OVERRIDE USE master EXEC sp_configure 'max server memory (MB)', 12000--- max=12G RECONFIGURE WITH OVERRIDEIn dit voorbeeld wordt de SQL-server opnieuw geconfigureerd om maximaal 12 gigabyte (GB) geheugen te gebruiken.
Controleer de instelling met de volgende query:
USE master EXEC sp_configure 'max server memory (MB)'--- verify the setting USE master EXEC sp_configure 'show advanced options', 0 RECONFIGURE WITH OVERRIDE
Back-up en herstel configureren
Over het algemeen moet u samenwerken met uw databasebeheerder om een back-up- en herstelstrategie te ontwerpen. Enkele aanbevelingen zijn:
- Databaseback-ups uitvoeren volgens het back-upbeleid van uw organisatie.
- Als er geen incrementele logboekback-ups zijn gepland, moet de database worden ingesteld op de eenvoudige herstelmodus.
- Zorg ervoor dat u de gevolgen van de verschillende herstelmodellen begrijpt voordat u uw back-upstrategie implementeert. Meer informatie over de schijfruimtevereisten voor deze modellen. Voor het volledig-herstelmodel moet u regelmatig back-ups maken om intensief gebruik van de schijfruimte te voorkomen.
Zie Recovery Model Overview (Overzicht van herstelmodellen) en FIM 2010 Backup and Restore Guide (Handleiding voor back-up en herstel).
Een back-upbeheerdersaccount maken voor de FIM-service na de installatie
Leden van de set FIMService-beheerders hebben unieke machtigingen die essentieel zijn voor de werking van uw MIM-implementatie. Als u zich niet kunt aanmelden als onderdeel van de beheerdersset, is de enige oplossing om terug te keren naar een eerdere back-up van het systeem. Om het risico op deze situatie te beperken, is het raadzaam dat u andere gebruikers aan de groep FIM-administrators toevoegt als onderdeel van uw configuratie na de installatie.
FIM-service
Het Exchange-postvak van de FIM-service configureren
Hier volgen de aanbevolen procedures voor het configureren van Microsoft Exchange Server voor het serviceaccount van de MIM 2016-service.
- Configureer het serviceaccount zo dat dit alleen e-mail van interne e-mailadressen kan accepteren. Het postvak van het serviceaccount mag nooit e-mail kunnen ontvangen van externe SMTP-servers.
Het serviceaccount configureren
Selecteer het serviceaccount van de FIM-service in de Exchange Management Console.
Selecteer Eigenschappen, Instellingen e-mailstroom en selecteer vervolgens Mail Delivery Restrictions.
Selecteer Vereisen dat alle afzenders worden geverifieerd.
Zie Beperkingen voor berichtbezorging configureren voor meer informatie.
Configureer het serviceaccount zodanig dat e-mailberichten groter dan 1 MB worden geweigerd. Volg de aanbevolen procedure voor het configureren van limieten voor de berichtgrootte voor een postvak of een openbare map met e-mail.
Stel een postvakopslaglimiet van 5 GB voor het serviceaccount in. Voor optimale resultaten volgt u de aanbevolen procedures Opslagquota voor een postvak configureren.
MIM-portal
Indexeren van SharePoint uitschakelen
Het is raadzaam om het indexeren van Microsoft Office SharePoint® uit te schakelen. Er zijn geen documenten die hoeven te worden geïndexeerd. Indexering veroorzaakt veel foutenlogboekvermeldingen en mogelijke prestatieproblemen in MIM. Voer de volgende stappen uit om SharePoint-indexering uit te schakelen:
Klik op Start op de server die als host fungeert voor de MIM 2016-portal.
Klik op Alle programma's.
Klik in de lijst Alle programma's op Systeembeheer.
Klik onder Systeembeheer op SharePoint Central Administration.
Klik op Bewerkingen op de pagina Centraal beheer.
Op de pagina Bewerkingen onder Globale configuratie klikt u op Timeropdrachtdefinities.
Klik op Vernieuwen van SharePoint Services Search op de pagina Timeropdrachtdefinities.
Klik op Uitschakelen op de pagina Timeropdracht bewerken.
MIM 2016: initiële gegevens laden
Deze sectie bevat een reeks stappen om de prestaties van de initiële gegevensbelasting van extern systeem naar MIM te verbeteren. Het is belangrijk om te begrijpen dat een aantal van deze stappen alleen wordt uitgevoerd tijdens de eerste populatie van het systeem. Ze moeten opnieuw worden ingesteld zodra het laden is voltooid. Deze stappen zijn bedoeld voor een eenmalige bewerking en niet voor een continue synchronisatie.
Belangrijk
Zorg ervoor dat u de aanbevolen procedures hebt toegepast die worden beschreven in de sectie SQL Setup van deze handleiding.
Stap 1: De SQL-server configureren voor het initieel laden van gegevens
Het initiële laden van gegevens kan een langdurig proces zijn. Wanneer u van plan bent om in eerste instantie veel gegevens te laden, kunt u de tijd verkorten die nodig is om de database te vullen door zoeken in volledige tekst tijdelijk uit te schakelen en weer in te schakelen nadat het exporteren op de MIM 2016-beheeragent (FIM MA) is voltooid.
De zoekopdracht in volledige tekst tijdelijk uitschakelen:
Start SQL Server Management Studio.
Selecteer Nieuwe query.
Voer de volgende SQL-instructies uit:
ALTER FULLTEXT INDEX ON [fim].[ObjectValueString] SET CHANGE_TRACKING = MANUAL
ALTER FULLTEXT INDEX ON [fim].[ObjectValueXml] SET CHANGE_TRACKING = MANUAL
Belangrijk
Het niet implementeren van deze procedures kan leiden tot een intensief gebruik van de schijfruimte, wat kan resulteren in onvoldoende schijfruimte. U vindt aanvullende informatie over dit onderwerp in Recovery Model Overview (Overzicht van herstelmodellen). De FIM Backup and Restore Guide (Handleiding voor back-up en herstel bevat aanvullende informatie.
Stap 2: De minimaal benodigde MIM-configuratie toepassen tijdens het laadproces
Tijdens het initiële laadproces moet u alleen de minimaal benodigde configuratie toepassen voor uw FIM-configuratie voor uw beheerbeleidsregels (MPR’s) en setdefinities. Nadat het laden van gegevens is voltooid, maakt u de extra sets die vereist zijn voor uw implementatie. Gebruik de instelling Uitvoeren bij beleidsupdates op de actiewerkstromen om dat beleid met terugwerkende kracht op de geladen gegevens toe te passen.
Stap 3: De FIM-service configureren en vullen met externe identiteitsgegevens
Op dit moment moet u de procedures volgen die worden beschreven in de handleiding How Do I Synchronize Users from Active Directory Domain Services to FIM (Gebruikers van Active Directory Domain Services synchroniseren met FIM) om uw systeem te configureren en te synchroniseren met gebruikers van Active Directory. Als u groepsgegevens wilt synchroniseren, worden de procedures voor dat proces beschreven in de handleiding Hoe synchroniseer ik groepen van Active Directory Domain Services met FIM.
Synchronisatie- en exportprocedures
Voor optimale prestaties voert u een exportprocedure uit na een synchronisatieprocedure die resulteert in een groot aantal wachtende exportbewerkingen in een connectorgebied. Voer dan een import uit op de beheeragent die is gekoppeld aan het betreffende connectorgebied. Wanneer u bijvoorbeeld bij het initieel laden van gegevens synchronisatieprofielen moet uitvoeren op verschillende beheeragenten, moet u een export uitvoeren gevolgd door een delta-import na het uitvoeren van elke afzonderlijke synchronisatie. Voor elke bronbeheeragent die deel uitmaakt van de initialisatiecyclus, voert u de volgende stappen uit:
Volledige import op een bronbeheeragent.
Volledige synchronisatie op de bronbeheeragent.
Export op alle betrokken doelbeheeragents met gefaseerde exportbewerkingen.
Delta-import op alle betrokken doelbeheeragents met gefaseerde exportbewerkingen.
Stap 4: De volledige MIM-configuratie toepassen
Als het initieel laden van gegevens is uitgevoerd, past u de volledige MIM-configuratie toe voor uw implementatie.
Afhankelijk van uw scenario's kan deze stap het maken van extra sets, MPR's en werkstromen omvatten. Voor elk beleid dat u met terugwerkende wilt toepassen op alle bestaande objecten in het systeem, gebruikt u de instelling Uitvoeren bij beleidsupdates op actiewerkstromen om die beleidsregels met terugwerkende kracht op de geladen gegevens toe te passen.
Stap 5: SQL weer terugzetten op vorige instellingen
Vergeet niet de SQL-instellingen te wijzigen in de normale instellingen. Deze wijzigingen omvatten:
De zoekopdracht in volledige tekst inschakelen
Uw back-upbeleid bijwerken in overeenstemming met het beleid van uw organisatie
Als het initieel laden van gegevens is voltooid, schakelt u zoekopdracht in volledige tekst weer in. Voer de volgende SQL-instructies uit om zoekopdracht in volledige tekst weer in te schakelen:
ALTER FULLTEXT INDEX ON [fim].[ObjectValueString] SET CHANGE_TRACKING = AUTO
ALTER FULLTEXT INDEX ON [fim].[ObjectValueXml] SET CHANGE_TRACKING = AUTO
Als u naar de eenvoudige herstelmodus moet overschakelen, configureert u uw back-upschema in overeenstemming met het back-upbeleid van uw organisatie. Aanvullende details van FIM-back-upschema's zijn beschikbaar in de FIM Backup and Restore Guide (Handleiding voor back-up en herstel).
Configuratie migreren
Het wijzigen van weergavenamen vermijden
Voor veel objecttypen, zoals beheerbeleidsregels (MPR’s), gebruikt het script syncproduction.ps1 de weergavenaam als het enige ankerkenmerk tussen de twee systemen. Als gevolg hiervan resulteert een wijziging in een bestaande MPR-weergavenaam in het verwijderen van de bestaande MPR, gevolgd door het maken van een nieuwe MPR. Dit doet zich voor omdat het migratieproces niet kan deelnemen aan beheerbeleidsregels waarvan de samenvoegcriteria zijn gewijzigd. U kunt dit voorkomen door een aangepast kenmerk te verbinden met alle configuratie-objecttypen en dat kenmerk te gebruiken als samenvoegcriterium. Met dit proces kunt u weergavenamen wijzigen zonder dat dit van invloed is op het migratieproces.
Het wijzigen van de inhoud van tussenliggende bestanden vermijden
Hoewel de bestandsindeling en API (Application Programming Interface) van de objecten op laag niveau openbaar zijn en bewerkingen worden ondersteund door ontwikkelaars, wordt niet aangeraden de inhoud van de tussenliggende indelingen tijdens de migratie te wijzigen. Het kan echter mogelijk wel nodig zijn om hele ImportObjects te verwijderen uit changes.xml of om zoek- en vervangbewerkingen uit te voeren op pilot.xml om versienummers of DNS-testgegevens (Domain Name System) te vervangen door DNS-productiegegevens.
Zorgen dat het versienummer in pilot.xml correct is bij het migreren van andere versies
Hoewel migraties tussen versienummers niet worden aanbevolen of ondersteund, kunt u deze migratie vaak uitvoeren door het testversienummer te vervangen door het productieversienummer in pilot.xml. Met name voor de objecten WorkflowDefinition en
ActivityInformationConfiguration moet het versienummer nauwkeurig verwijzen naar werkstroomactiviteiten in de productieomgeving. Wanneer het versienummer niet wordt vervangen, identificeert de cmdlet Compare-FIMConfig verschillen tussen de XOML-kenmerken (Extensible Object Markup Language) op WorkflowDefinitions en migreert het versienummer van de test. Bij een onjuist versienummer is het mogelijk dat de productie-FIM-service geen werkstroomactiviteiten kan starten.
Cyclische verwijzingen voorkomen
Over het algemeen worden cyclische verwijzingen niet aangeraden in een MIM-configuratie. Er kunnen echter cycli optreden wanneer set A naar set B verwijst en set B ook naar set A verwijst. U kunt dergelijke cyclische verwijzingen voorkomen door de definitie van set A en set B zo aan te passen dat beide niet naar elkaar verwijzen. Start dan het migratieproces opnieuw. Als er wel sprake is van cyclische verwijzingen en de cmdlet Compare-FIMConfig hierdoor resulteert in een fout, moet de cyclus handmatig worden doorbroken. Omdat de cmdlet Compare-FIMConfig een lijst met wijzigingen uitvoert in volgorde van prioriteit, mogen er geen cycli bestaan tussen de verwijzingen van configuratieobjecten.
Beveiliging
MIM MA-account
Het MIM MA-account wordt niet beschouwd als een serviceaccount en moet een gewoon gebruikersaccount zijn. Met de accounts moet lokaal kunnen worden aangemeld om te zorgen dat de FIM-synchronisatieservice deze kan imiteren.
Het MIM MA-account inschakelen voor lokale aanmelding
Klik achtereenvolgens op Start, Systeembeheer en Lokaal beveiligingsbeleid.
Open het knooppunt Lokaal beleid en klik op Toewijzing van gebruikersrecht.
Controleer of het FIM MA-account expliciet is opgegeven in het beleid Lokaal aanmelden toestaan of voeg het toe aan een van de groepen die al toegang hebben.
Accounts voor FIM-synchronisatieservice en FIM-services
Wanneer u de servers waarop de onderdelen voor de MIM-server worden uitgevoerd veilig wilt configureren, moeten de serviceaccounts worden beperkt. Met de bovenstaande procedure voor het inschakelen van het MIM MA-account stelt u de volgende beperkingen in voor de accounts van de FIM-synchronisatieservice en FIM-service:
Aanmelden als batchtaak weigeren
Lokaal aanmelden weigeren
Toegang tot deze computer vanaf het netwerk weigeren
De serviceaccounts mogen geen lid zijn van de lokale groep beheerders.
Het serviceaccount van de FIM-synchronisatieservice mag geen lid zijn van de beveiligingsgroepen die worden gebruikt voor het beheren van toegang tot de FIM-synchronisatieservice (groepen die beginnen met FIMSync, bijvoorbeeld FIMSyncAdmins, enzovoort).
Belangrijk
Als u de opties selecteert voor het gebruik van hetzelfde account voor beide serviceaccounts en u de FIM-service en de FIM-synchronisatieservice scheidt, kunt u niet Toegang tot deze computer vanaf het netwerk weigeren instellen op de server voor de MMS-synchronisatieservice. Als de toegang wordt geweigerd, kan de FIM-service geen verbinding maken met de met de FIM-synchronisatieservice om de configuratie te wijzigen en wachtwoorden te beheren.
Voor wachtwoordherstel op computers bedoeld als een kiosk, moet de lokale beveiliging zijn ingesteld voor het wissen van het wisselbestand voor virtueel geheugen
Wanneer u FIM-wachtwoordherstel implementeert op een werkstation dat is bedoeld als kiosk, raden we u aan de Shutdown: Clear virtual memory pagefile instelling voor lokaal beveiligingsbeleid in te schakelen om ervoor te zorgen dat gevoelige informatie uit het procesgeheugen niet beschikbaar is voor onbevoegde gebruikers.
SSL implementeren voor de FIM-portal
Het is zeer raadzaam SSL (Secure Sockets Layer) te gebruiken op de FIM-portalserver om het verkeer tussen de clients en de server te beveiligen.
SSL implementeren:
Open IIS-beheer op de MIM-portalserver.
Klik op de naam van de lokale computer.
Klik op Servercertificaten.
Klik op Certificaataanvraag maken.
Voer in het tekstvak Algemene naam de naam in van de server.
Klik op Volgende en nogmaals op Volgende.
Sla het bestand op een willekeurige locatie op. Voor de volgende stappen moet u toegang hebben tot deze locatie.
Blader naar https://servername/certsrv. Vervang servernaam door de naam van de server die certificaten uitgeeft.
Klik op Request a new Certificate.
Klik op Submit an Advanced Request.
Klik op Submit a Certificate Request by using a base-64-encoded.
Plak de inhoud van het bestand dat u in de vorige stap hebt opgeslagen.
Selecteer Webserver in Certificaatsjabloon.
Klik op Verzenden.
Sla het certificaat op het bureaublad op.
Klik op Complete Certification Request in IIS-beheer.
Verwijs IIS-beheer naar het certificaat dat u zojuist hebt opgeslagen op het bureaublad.
Typ de naam van de server bij Beschrijvende naam.
Klik op Sites en selecteer vervolgens de SharePoint – 80.
Klik op Bindingen en vervolgens op Toevoegen.
Selecteer https.
Selecteer voor certificaat het certificaat met dezelfde naam als de server, het certificaat dat u zojuist hebt geïmporteerd.
Klik op OK.
Verwijder de HTTP-binding.
Klik op de SSL-instellingen en selecteer vervolgens SSL vereist.
Sla de instellingen op.
Klik achtereenvolgens op Start, Systeembeheer en SharePoint 3.0 Central Administration.
Klik op Bewerkingen en vervolgens op Alternatieve toewijzingen voor toegang.
Klik op https://servername.
Wijzig https://servername in https://servernameen klik op OK.
Klik op Start, klik op Uitvoeren, typ iisreset en klik vervolgens op OK.
Prestaties
Voor het configureren van optimale prestaties:
Pas de aanbevolen procedures voor SQL-instellingen toe zoals beschreven in de sectie SQL-instellingen in dit document.
Schakel SharePoint-indexering uit op de MIM-portalsite. Zie de sectie SharePoint-indexering uitschakelen voor meer informatie.
Aanbevolen procedures voor specifieke functies
Aanvraagbeheer
MIM 2016 schoont standaard om de 30 dagen verlopen systeemobjecten op, waaronder voltooide aanvragen met bijbehorende goedkeuringen, reacties op goedkeuringen en werkstroomexemplaren. Als uw organisatie een langere aanvraaggeschiedenis nodig heeft, moet u aanvragen exporteren uit MIM en deze opslaan in een ondersteunende database om ze langer dan 30 dagen te bewaren. U kunt de verwijderingsperiode van 30 dagen voor aanvragen configureren, maar het verlengen van deze periode kan de prestaties negatief beïnvloeden als gevolg van de extra objecten in het systeem.
Beheerbeleidsregels
Het juiste type beheerbeleidsregel gebruiken
MIM biedt twee typen beheerbeleidsregels: aanvraag en setovergang:
Beheerbeleidsregel van het type aanvraag (RMPR)
- Wordt gebruikt voor het definiëren van het toegangsbeheerbeleid (verificatie, autorisatie en actie) voor CRUD-bewerkingen (Maken, Lezen, Bijwerken of Verwijderen) voor resources,
- Toegepast wanneer een CRUD-bewerking wordt uitgegeven voor een doelresource in MIM, en
- Het bereik van de bewerking wordt bepaald door de overeenkomende criteria gedefinieerd in de regel, dat wil zeggen de CRUD-aanvragen waarop de regel van toepassing is.
Beheerbeleidsregel van het type setovergang (TMPR)
- Wordt gebruikt om beleidsregels te definiëren, ongeacht hoe het object de huidige status is ingegaan die wordt voorgesteld door de setovergang. Gebruik TMPR om het rechtenbeleid te modelleren.
- Toegepast wanneer een resource een gekoppelde set binnenkomt of verlaat, en
- Afgestemd op de leden van de set.
Notitie
Zie Regels voor bedrijfsbeleid ontwerpen voor meer informatie.
Beheerbeleidsregels alleen naar wens inschakelen
Gebruik het principe van minimale bevoegdheden bij het toepassen van uw configuratie. MPR's bepalen het toegangsbeleid voor uw MIM-implementatie. Schakel alleen de functies in die worden gebruikt door de meeste gebruikers. Als bijvoorbeeld niet alle gebruikers MIM gebruiken voor groepsbeheer, moeten gekoppelde groepsbeheer-MPR's worden uitgeschakeld. Standaard wordt MIM geleverd met de meeste niet-beheerdersmachtigingen uitgeschakeld.
Ingebouwde beheerbeleidsregels dupliceren in plaats van rechtstreeks wijzigen
Wanneer u de ingebouwde beheerbeleidsregels wilt wijzigen, moet u een nieuwe beheerbeleidsregel maken met de vereiste configuratie en de ingebouwde beheerbeleidsregel uitschakelen. Het maken van deze nieuwe MPR zorgt ervoor dat toekomstige wijzigingen in de ingebouwde MPR's die via het upgradeproces worden geïntroduceerd, geen negatieve invloed hebben op uw systeemconfiguratie.
Machtigingen voor eindgebruikers moeten lijsten met expliciete kenmerken omvatten die zijn afgestemd op de zakelijke behoeften van gebruikers
Met behulp van lijsten van expliciete kenmerken kan worden voorkomen dat machtigingen onbedoeld worden toegekend aan niet-gemachtigde gebruikers wanneer kenmerken worden toegevoegd aan objecten. Beheerders moeten expliciet toegang verlenen tot de nieuwe kenmerken in plaats van de toegang verwijderen.
De toegang tot gegevens moet worden afgestemd op de zakelijke behoeften van de gebruikers. Groepsleden mogen bijvoorbeeld geen toegang hebben tot het filterkenmerk van de groep waarvan ze deel uitmaken. Het filter kan onbedoeld gegevens van de organisatie laten zien waartoe de gebruiker normaal gesproken geen toegang zou hebben.
Beheerbeleidsregels moeten de effectieve machtigingen in het systeem weerspiegelen
Vermijd het verlenen van machtigingen aan kenmerken die de gebruiker nooit kan gebruiken. Verleen bijvoorbeeld geen machtiging voor het aanpassen van kernresourcekenmerken, zoals objectType. Ondanks de MPR wordt elke poging om het type resource te wijzigen nadat de resource is gemaakt, geweigerd door het systeem.
Leesmachtigingen moeten losstaan van wijzig- en maakmachtigingen bij het gebruik van expliciete kenmerken in beheerbeleidsregels
Wanneer kenmerken in beheerbeleidsregels expliciet worden vermeld, zijn de kenmerken die vereist zijn voor maken en wijzigen meestal anders dan de machtigingen die beschikbaar zijn voor het lezen. Lezen kan bijvoorbeeld worden verleend boven systeemkenmerken, zoals Creator of objectId, terwijl maken of wijzigen niet kunnen worden opgegeven voor systeemkenmerken.
Maakmachtigingen moeten losstaan van wijzigmachtigingen bij het gebruik van expliciete kenmerken in regels
De maakbewerking vereist dat de gebruiker het objectType selecteert als onderdeel van de bewerking. Dit kenmerk is een kernsysteemkenmerk dat niet kan worden gewijzigd na een create-bewerking.
Gebruik één beheerbeleidsregel van het type aanvraag voor alle kenmerken met dezelfde toegangsvereisten
Kenmerken met dezelfde toegangsvereisten die zeer waarschijnlijk niet zullen veranderen, kunt u combineren in één beheerbeleidsregel van het type aanvraag. Dit is efficiënter.
Vermijd het verlenen van onbeperkte toegang tot geselecteerde principal-groepen
In MIM worden machtigingen gedefinieerd als een positieve assertie. Omdat MIM geen ondersteuning biedt voor machtigingen weigeren, wordt het verlenen van onbeperkte toegang tot een resource bemoeilijkt het opgeven van uitsluitingen in de machtigingen. De aanbevolen procedure is om alleen de benodigde machtigingen te verlenen.
Beheerbeleidsregels van het type setovergang gebruiken voor het definiëren van aangepaste rechten
Gebruik beheerbeleidsregels van het type setovergang (TMPR's) in plaats van RMPR's om aangepaste rechten te definiëren. TMPR's bieden een model op basis van status voor het toewijzen of verwijderen van rechten op basis van het lidmaatschap in de gedefinieerde overgangssets, of rollen, en de bijbehorende werkstroomactiviteiten. TMPR's moeten altijd worden gedefinieerd in paren, één voor resources die overstappen in en één voor resources die worden overgezet. Bovendien moet elke overgangs-MPR afzonderlijke werkstromen bevatten voor inrichtings- en ongedaan maken van inrichtingsactiviteiten.
Notitie
Elke werkstroom voor het opheffen van inrichtingen moet ervoor zorgen dat het kenmerk Uitvoeren bij beleidsupdates is ingesteld op Waar.
De setovergang In MPR last inschakelen
Bij het maken van een TMPR-paar schakelt u In MPR last in. Deze volgorde zorgt ervoor dat er geen resources met het recht achterblijven als dit wordt toegevoegd aan en verwijderd uit de set terwijl In MPR is ingeschakeld maar voordat Out MPR wordt ingeschakeld.
Werkstromen in TMPR moeten eerst de status van de doelresource controleren
Bij het inrichten van werkstromen moet eerst worden bepaald of de doelresource al is ingericht in overeenstemming met het recht. Als dat zo is, zou er niets moeten gebeuren.
Werkstromen voor het opheffen van inrichtingen moeten eerst bepalen of de doelresource is ingericht. Als dat zo is, zou de inrichting van de doelresource moeten worden opgeheven. Als dit niet het geval is, gebeurt er niets.
Uitvoeren bij beleidsupdates voor TMPR's selecteren
Deze instelling zorgt ervoor dat het juiste inrichtingsgedrag van toepassing is wanneer beleidsupdates worden geïmplementeerd en de vlag RunOn Policy update gebruiken op actiewerkstromen die zijn gekoppeld aan de TMPR's, en dat wijzigingen in de beleidsdefinities de actiewerkstromen toepassen op nieuwe leden van de overgangsset.
Voorkom dat hetzelfde recht wordt gekoppeld aan twee verschillende overgangssets
Het koppelen van hetzelfde recht aan twee verschillende overgangssets kan leiden tot het onnodig intrekken en opnieuw verlenen van rechten als de resource van de ene set naar de andere set wordt verplaatst. Het is raadzaam ervoor te zorgen dat één set alle resources bevat die het bijbehorende recht nodig hebben. Deze procedure zorgt voor een een-op-een-relatie tussen de overgangsset en het recht dat de werkstroom verleent.
De juiste volgorde van bewerkingen gebruiken bij het verwijderen van rechten in het systeem
De volgorde van de stappen die worden uitgevoerd bij het verwijderen van rechten uit het systeem, kan resulteren in twee verschillende operationele resultaten. Zorg ervoor dat u begrijpt welke volgorde nodig is voor het gewenste effect.
Een recht verwijderen uit het systeem (en het intrekken van het recht voor alle leden die dit momenteel hebben):
Schakel de beheerbeleidsregel T-In uit. Deze wijziging voorkomt nieuwe subsidies.
Verwijder het filter T-Set of pas het aan zodat de set leeg is. Dit zorgt ervoor dat alle bestaande leden geleidelijk verdwijnen en past het overgangsbeleid toe, inclusief de werkstroom voor het ongedaan maken van de inrichting gekoppeld aan het recht.
Schakel de beheerbeleidsregel T-Out uit.
Als u een recht wilt verwijderen, maar de huidige leden met rust wilt laten (bijvoorbeeld stoppen met het gebruik van MIM voor het beheren van de rechten):
Schakel de beheerbeleidsregel T-In uit. Deze wijziging voorkomt nieuwe subsidies.
Schakel de beheerbeleidsregel T-Out uit.
Verwijder het filter T-Set of pas het aan zodat de set leeg is. Aangezien de set niet meer is gekoppeld aan een TMPR, worden geen werkstromen toegepast voor het ongedaan maken van de inrichting.
Sets
Wanneer u de aanbevolen procedures voor sets toepast, moet u rekening houden met de gevolgen van de optimaliseringen voor de uitvoerbaarheid en het gemak van toekomstig beheer. Goede tests met de verwachte productieschaal moeten worden uitgevoerd om de juiste balans te bepalen tussen prestaties en beheerbaarheid voordat u deze aanbevelingen toepast.
Notitie
Alle volgende richtlijnen gelden voor dynamische sets en dynamische groepen.
Het gebruik van dynamisch nesten minimaliseren
Dit heeft betrekking op het filter van een set die verwijst naar het kenmerk ComputedMember van een andere set. Een veelvoorkomende reden voor het nesten van sets is om te voorkomen dat een voorwaarde voor lidmaatschap in veel gegevenssets wordt gedupliceerd. Deze methode kan leiden tot betere mogelijkheden voor het beheren van de sets, maar heeft negatieve gevolgen voor de prestaties. U kunt de prestaties optimaliseren door de lidmaatschapsvoorwaarden van een geneste set te dupliceren in plaats van de set zelf te nesten.
U kunt gevallen tegenkomen waarin u het nesten van sets niet kunt vermijden omdat moet worden voldaan aan een functionele vereiste. Dit zijn de voornaamste situaties waarin u sets moet nesten. Voor het definiëren van de set met alle groepen zonder fulltime-werknemereigenaars moet het nesten van sets bijvoorbeeld als volgt worden gebruikt: /Group[not(Owner = /Set[ObjectID = ‘X’]/ComputedMember], waarbij 'X' de ObjectID is van de set met alle fulltime-werknemers.
Het gebruik van negatieve situaties minimaliseren
Negatieve voorwaarden zijn de lidmaatschapsvoorwaarden waarbij gebruik wordt gemaakt van de volgende operators of functies: !=, not(), \< , \<=. Voor het optimaliseren van de prestaties geeft u waar mogelijk de voorwaarde aan die u met meerdere positieve voorwaarden wilt in plaats van als een negatieve voorwaarde.
Het gebruik van lidmaatschapsvoorwaarden op basis van verwijzingskenmerken met meerdere waarden minimaliseren
Het gebruik van voorwaarden op basis van verwijzingskenmerken met meerdere waarden moet worden geminimaliseerd omdat een groot aantal van deze sets invloed kan hebben op de snelheid van de bewerkingen op het kenmerk dat in de lidmaatschapsvoorwaarde wordt gebruikt.
Wachtwoord opnieuw instellen
Op computers bedoeld als kiosk die worden gebruikt voor wachtwoordherstel, moet de lokale beveiliging zijn ingesteld op het wissen van het wisselbestand voor virtueel geheugen
Bij het implementeren van de MIM-wachtwoordherstel op een werkstation dat is bedoeld als kiosk, raden we u aan de beleidsinstelling Afsluiten: wisselbestand voor virtueel geheugen wissen lokaal in te schakelen om ervoor te zorgen dat gevoelige informatie uit het procesgeheugen niet beschikbaar is voor niet-geautoriseerde gebruikers.
Gebruikers moeten zich altijd registreren voor wachtwoordherstel op een computer waarop ze zijn aangemeld
Wanneer een gebruiker zich probeert te registreren voor wachtwoordherstel via een webportal, initieert MIM altijd de registratie namens de aangemelde gebruiker, ongeacht wie is aangemeld bij de website. Gebruikers moeten zich altijd registreren voor wachtwoordherstel op een computer waarop ze zijn aangemeld.
De registersleutel AvoidPdcOnWan niet instellen op Waar
Wanneer u MIM 2016-wachtwoordherstel gebruikt, moet u de registersleutel AvoidPdcOnWan niet instellen op Waar.
Als deze registersleutel is ingesteld op Waar, gaat de gebruiker zeer waarschijnlijk door de wachtwoordcontrole, wordt zijn of haar wachtwoord opnieuw ingesteld op de primaire domeincontroller (PDC) en wordt vervolgens geprobeerd aan te melden. Vanwege deze registersleutel voert de lokale domeincontroller geen secundaire validatie uit met de PDC en wordt daarom de aanmeldingsaanvraag geweigerd. Als gebruikers voldoende keren zijn geweigerd, worden ze buitengesloten van het domein en moeten ze contact opnemen met ondersteuning.
De logboekregistratie van wachtwoorden met leesbare tekst niet inschakelen
Het is mogelijk leesbare wachtwoorden in het logboek te registreren wanneer diagnostische tracering van het serviceniveau in Windows is ingeschakeld
Communication Foundation (WCF). Deze optie is niet standaard ingeschakeld en het wordt afgeraden om de optie in te schakelen in een productieomgeving. Deze wachtwoorden zijn zichtbaar als leesbare tekstelementen in een versleuteld SOAP-bericht (Simple Object Access Protocol) wanneer gebruikers zich registreren voor wachtwoordherstel. Zie Configuring Message Logging (Logboekregistratie van berichten configureren) voor meer informatie.
Een autorisatiewerkstroom niet toewijzen aan het proces voor wachtwoordherstel
Koppel een autorisatiewerkstroom niet aan een bewerking voor wachtwoordherstel. Wachtwoordherstel vereist een synchrone reactie en autorisatiewerkstromen die activiteiten bevatten, zoals de goedkeuringsactiviteit, zijn asynchroon.
Meerdere actieactiviteiten niet toewijzen aan wachtwoordherstel
Koppel een werkstroom met meer dan één actieactiviteit niet aan een bewerking voor wachtwoordherstel. Een voorbeeld hiervan is het koppelen van een tweede activiteit voor AD DS-wachtwoordherstel aan een beheerbeleidsregel voor wachtwoordherstel. Een dergelijk scenario wordt niet ondersteund.
Opnieuw registreren vereisen bij het toevoegen of verwijderen van activiteiten of het wijzigen van de volgorde van activiteiten in een bestaande werkstroom
Wanneer u autorisatieactiviteiten toevoegt of verwijdert of de volgorde hiervan wijzigt in een bestaande werkstroom, moet u altijd de optie selecteren voor het vereisen van hernieuwde registratie. Gebruikers die proberen te verifiëren voor wachtwoordherstel nadat een activiteit is toegevoegd aan of verwijderd uit een werkstroom, maar voordat ze opnieuw zijn geregistreerd, kunnen te maken krijgen met ongewenste effecten.
Portalconfiguratie en weergaveconfiguratie voor resourcebeheer
Het toevoegen van een privacyvrijwaring aan de gebruikersprofielpagina overwegen
In MIM kunnen standaard sommige gebruikersprofielgegevens worden weergegeven aan andere gebruikers. Als voorziening voor gebruikers zouden beheerders moeten overwegen om aan de pagina Gebruikersprofiel aangepaste tekst toe te voegen die aansluit bij het beleid van hun bedrijf. Zie Inleiding tot het configureren en aanpassen van de FIM-portal voor meer informatie over het toevoegen van aangepaste tekst aan een MIM-portalpagina.
Schema
Geen resources van het type Persoon of Groep verwijderen
Hoewel de resourcetypen Persoon en Groep niet zijn gemarkeerd als kernresourcetypen, mogen de resources zelf of de kenmerken die eraan zijn toegewezen, niet worden verwijderd. De gebruikersinterface (UI) op de MIM-portal vereist dat de resourcetypen Persoon en Groep en hun kenmerken aanwezig zijn.
Wijzig geen kernkenmerken
Er zijn 13 kernkenmerken aan alle resourcetypen toegewezen. U mag de relatie van deze kenmerken met een resourcetype op geen enkele manier wijzigen. De 13 kernkenmerken zijn:
CreatedTime
Creator
DeletedTime
Description
DetectedRulesList • DisplayName
ExpectedRulesList
ExpirationTime
Landinstelling
MVObjectID
ObjectID
ObjectType
ResourceTime
Schema-resource die afhankelijkheid is van controlevereisten niet verwijderen
Verwijder uw schema-resources niet zolang u nog steeds controlevereisten voor deze resources hebt.
Reguliere expressies hoofdlettergevoelig maken
In MIM kan het handig zijn om sommige reguliere expressies hoofdlettergevoelig te maken. U kunt hoofdletters in een groep negeren met behulp van ?!:. Gebruik bijvoorbeeld voor Employee Type
\^(?!:contractor\|full time employee)%.
het kenmerk Calculation of the member.
Het kenmerk Member dat is blootgesteld aan de synchronisatie-engine wordt daadwerkelijk toegewezen aan ComputedMembers. Het is een combinatie van leden op basis van criteria en handmatig geselecteerde leden. Zelfs als u alle drie de kenmerken (Filter, ExplicitMembers en ComputedMembers) toevoegt, vindt de dynamische berekening van het lidkenmerk alleen plaats voor de resourcetypen Group en Set.
Voorloopspaties en volgspaties in tekenreeksen worden genegeerd
In MIM kunt u tekenreeksen invoeren met voorloop- en volgspaties, maar het MIM-systeem negeert deze spaties. Als u een tekenreeks met een voorloop- en volgruimte verzendt, worden deze spaties genegeerd door de synchronisatie-engine en webservices.
Lege tekenreeksen zijn niet gelijk aan null
Lege tekenreeksen zijn niet gelijk aan null in deze versie van MIM. Een lege tekenreeks wordt beschouwd als een geldige waarde. Niet aanwezig wordt beschouwd als een null-waarde.
Verwerking van werkstromen en aanvragen
Standaardwerkstromen die worden geleverd met MIM 2016 niet verwijderen
De volgende werkstromen worden geleverd met MIM en mogen niet worden verwijderd:
Werkstroom verloop
Filtervalidatiewerkstroom voor beheerders
Filtervalidatiewerkstroom voor niet-beheerders
Werkstroom voor groepsverloop
Werkstroom voor groepsvalidatie
Werkstroom voor goedkeuring van eigenaar
Werkstroom voor actie wachtwoord herstellen
Werkstroom voor autorisatie wachtwoord herstellen
Werkstroom voor validatie van aanvrager met autorisatie van eigenaar
Werkstroom voor validatie van aanvrager zonder autorisatie van eigenaar
Systeemwerkstroom vereist voor registratie
Twee of meer ApprovalActivities niet parallel uitvoeren
Voer twee of meer ApprovalActivities niet parallel uit. Dit kan ertoe leiden dat de aanvraag in de autorisatiefase vast komt te zitten. Voor meerdere goedkeuringen neemt u een lijst op met goedkeurders in het proces of voert u de twee activiteiten achtereenvolgens uit.
Bij autorisatieactiviteiten mogen geen MIM-resourcegegevens worden gewijzigd
Voorkom het gebruik van activiteiten waarbij MIM-resources, zoals de activiteit van functie-evaluator, worden aangepast als onderdeel van de werkstromen in de autorisatiewerkstromen. Aangezien de aanvraag niet is doorgevoerd op het autorisatiepunt van de verwerking, kunnen alle wijzigingen aan de identiteitsgegevens worden toegepast ondanks de mogelijkheid dat de aanvraag wordt verworpen.
Meer informatie over FIM-servicepartities
Het doel van MIM is het verwerken van aanvragen die kunnen worden gestart door verschillende MIM-clients, zoals de FIM-synchronisatieservice en de selfserviceonderdelen, volgens uw geconfigureerde bedrijfsbeleid. Standaard behoort elk FIM service-exemplaar toe aan een logische groep die bestaat uit een of meer FIM service-instanties, die ook wel een FIM-servicepartitie wordt genoemd. Als u slechts één FIM service-exemplaar hebt geïmplementeerd voor het verwerken van alle aanvragen, is het mogelijk dat u te maken krijgt met latentie bij de verwerking. Bij bepaalde bewerkingen kunnen zelfs de standaard time-outwaarden worden overschreden die geschikt zijn voor selfservicebewerkingen. U kunt dit probleem oplossen met behulp van FIM-servicepartities.
Zie Inzicht in FIM-servicepartities voor meer informatie.