Instalar o MIM 2016 com SP2: Serviço MIM e Portal para clientes Microsoft Entra ID P1 ou P2

« MIM Synchronization ServiceSincronizar bancos de dados »

Observação

Este passo a passo usa nomes e valores de exemplo de uma empresa chamada Contoso. Substitua-os pelos seus. Por exemplo:

• Serviço MIM e nome do servidor Portal - mim.contoso.com
• Nome do servidor SQL - contosoagl.contoso.com
• Nome da conta de serviço - svcMIMService
• Nome de domínio - contoso
• Palavra-passe - Pass@word1

Antes de começar

• Este guia destina-se à instalação do Serviço MIM em organizações licenciadas para o Microsoft Entra ID P1 ou P2. Se a sua organização não tiver o Microsoft Entra ID P1 ou P2 ou não estiver a usar o Microsoft Entra ID, precisará em vez disso de seguir o guia de instalação para a edição de Licença de Volume do MIM.
• Verifique se você tem credenciais de usuário do Microsoft Entra com permissões suficientes para validar se sua assinatura de locatário inclui o Microsoft Entra ID P1 ou P2 e pode criar registros de aplicativos.
• Se você planeja usar a autenticação de contexto de aplicativo do Office 365, precisará executar um script para registrar o aplicativo do Serviço MIM na ID do Microsoft Entra e conceder permissões ao Serviço MIM para acessar uma caixa de correio do Serviço MIM no Office 365. Salve a saída do script, pois você precisará do ID do aplicativo resultante e do segredo mais tarde durante a instalação.

Opções de implantação

As opções na implantação dependem de dois critérios:

• Se o Serviço MIM será executado como uma conta de serviço normal do Windows ou como uma conta de serviço gerenciada por grupo (gMSA)
• Se o Serviço MIM enviará emails por meio de um Exchange Server, Office 365 ou um servidor SMTP

Opções de implantação disponíveis:

• Opção A: Conta de serviço regular + Exchange Server
• Opção B: Conta de serviço regular + autenticação básica do Office 365
• Opção C: Conta de serviço regular + autenticação de contexto de aplicativo do Office 365
• Opção D: Conta de serviço regular + SMTP
• Opção E: Conta de serviço regular + sem servidor de correio
• Opção F: Conta de serviço gerenciada por grupo + Exchange Server
• Opção G: Conta de serviço gerida por grupo + autenticação básica do Office 365
• Opção H: Conta de serviço gerenciada por grupo + autenticação de contexto de aplicativo do Office 365
• Opção I: Conta de serviço gerida por grupo + sem servidor de correio

Observação

A opção de servidor SMTP só funciona com contas de serviço regulares e Autenticação Integrada do Windows e não permite o uso do suplemento do Outlook para aprovações.

Preparando-se para a autenticação de contexto do Aplicativo do Office 365

A partir da compilação 4.6.421.0, além da autenticação básica, o Serviço MIM oferece suporte à autenticação de contexto de aplicativo para caixas de correio do Office 365. O fim do suporte para autenticação básica foi anunciado em 20 de setembro de 2019, portanto, recomenda-se usar a autenticação de contexto do aplicativo para enviar notificações e coletar respostas de aprovação.

O cenário de autenticação de contexto de aplicativo requer que você registre um aplicativo no Microsoft Entra ID, crie um segredo de cliente para ser usado em vez de uma senha e conceda a esse aplicativo permissão para acessar a caixa de correio do Serviço MIM. O Serviço MIM usará essa ID de aplicativo e esse segredo para acessar sua caixa de correio no Office 365. Você pode registrar seu aplicativo no Microsoft Entra ID usando um script (recomendado) ou manualmente.

Registrando o aplicativo usando o centro de administração do Microsoft Entra

1. Entre no centro de administração do Microsoft Entra com o papel de Administrador Global.

2. Navegue até a folha Microsoft Entra, copie o seu ID do inquilino da seção Visão Geral e salve-o.

3. Navegue até Registros de aplicativos seção e clique no botão Novo registo.

4. Dê um nome ao seu aplicativo, por exemplo, acesso de cliente de caixa de correio do Serviço MIMe clique em Registrar.

5. Após a sua aplicação ser registada, copie o valor do ID da aplicação (cliente) e salve-o.

6. Navegue até seção Permissões da API e revogue permissão User.Read clicando em três pontos à direita para o nome da permissão e escolhendo Remover permissão. Confirme que deseja remover essa permissão.

7. Clique no botão Adicionar uma permissão. Alterne para APIs que minha organização usa e digite Office. Selecione Office 365 Exchange Online e permissões de aplicativo tipo. Digite completo e selecione full_access_as aplicativo. Clique no botão Adicionar Permissões.

8. Você verá a permissão adicionada e esse consentimento de administrador não será concedido. Clique no botão Conceder consentimento de administrador ao lado do botão Adicionar uma permissão.

9. Navegue até Certificados e segredos e escolha adicionar Novo segredo de cliente. Se você selecionar um tempo de expiração para o segredo, terá que reconfigurar o Serviço MIM mais próximo de sua data de expiração para usar outro segredo. Se não planeias rodar os segredos do aplicativo, seleciona Nunca. Dê um nome ao seu segredo, por exemplo, Serviço MIM , e clique no botão Adicionar. Você verá o valor secreto exibido no portal. Copie este valor (não ID secreto) e salve-o.

10. Agora que você tem a ID do locatário, a ID do aplicativo e o segredo do aplicativo necessários para o instalador, você pode continuar com a instalação do Serviço e Portal do MIM. Além disso, convém restringir o acesso do seu aplicativo recém-registrado apenas à caixa de correio do Serviço MIM (full_access_as_app concede acesso a todas as caixas de correio da sua organização). Para fazer isso, você precisa criar uma política de acesso ao aplicativo . Siga este guia para restringir o acesso do seu aplicativo somente à caixa de correio do Serviço MIM. Você precisará criar um grupo de segurança habilitado para distribuição ou email e adicionar sua caixa de correio do Serviço MIM a esse grupo. Em seguida, execute um comando do PowerShell e forneça suas credenciais de administrador do Exchange Online:

    New-ApplicationAccessPolicy `
    -AccessRight RestrictAccess `
    -AppId "<your application ID from step 5>" `
    -PolicyScopeGroupId <your group email> `
    -Description "Restrict MIM Service app to members of this group"
    

Registrando o aplicativo usando um script do PowerShell

Create-MIMMailboxApp.ps1 script pode ser encontrado em Scripts.zip/Scripts/Service and Portal, ou em Service and Portal.zip\Service and Portal\Program Files\Microsoft Forefront Identity Manager\2010\Service\Scripts.

A menos que sua caixa de correio do Serviço MIM esteja hospedada em uma nuvem nacional ou governamental, o único parâmetro que você precisa passar para o script é o e-mail do Serviço MIM, por exemplo, MIMService@contoso.onmicrosoft.com.

Em uma janela do PowerShell, inicie Create-MIMMailboxApp.ps1 com -MailboxAccountEmail <parâmetro de> de email e forneça o email do Serviço MIM.

./Create-MIMMailboxApp.ps1 -MailboxAccountEmail <MIM Service email>

Quando as credenciais forem solicitadas, forneça suas credenciais de Administrador Global do Microsoft Entra para registrar um aplicativo no Azure.

Depois que o aplicativo for registrado, outro pop-up solicitará credenciais de Administrador do Exchange Online para criar uma política de acesso ao aplicativo.

Após o registro bem-sucedido do aplicativo, sua saída de script deve ter esta aparência:

Há um atraso de 30 segundos depois que o aplicativo é registrado e uma janela do navegador é aberta para evitar problemas de replicação. Forneça suas credenciais de administrador de locatário do Microsoft Entra e aceite uma solicitação para conceder ao seu aplicativo acesso à caixa de correio do Serviço MIM. A janela pop-up deve ter esta aparência:

Depois de clicar no botão Aceitar, você será redirecionado para o Centro de administração do Microsoft 365. Você pode fechar a janela do navegador e verificar a saída do script.

Copie os valores ApplicationId, TenantId e ClientSecret conforme forem necessários para o instalador do Serviço e Portal do MIM.

Implantando o serviço e o portal do MIM

Etapas comuns de implantação

1. Crie um diretório temporário para manter os logs do instalador, por exemplo, c:\miminstall.

2. Inicie o prompt de comando elevado, procure a pasta de binários do instalador do Serviço MIM e execute:

   msiexec /i "Service and Portal.msi" /lvxi* c:\miminstall\log.txt
   

   No ecrã de boas-vindas, clique em Seguinte.

   

3. Revise o End-User Contrato de Licença e, se aceitar os termos da licença, clique em Seguinte.

   

4. As nuvens nacionais são instâncias isoladas do Azure. Selecione em qual instância do Azure Cloud seu locatário está hospedado e clique em Avançar.

   

   As organizações que não estão usando uma nuvem nacional ou governamental devem selecionar a instância global, Microsoft Entra ID.

   

5. Depois de selecionar a nuvem apropriada, o instalador solicitará que você se autentique nesse locatário. Na janela pop-up, forneça as credenciais de usuário do Microsoft Entra de um usuário nesse locatário para validar seu nível de assinatura de locatário. Digite seu nome de usuário do Microsoft Entra e clique em Avançar.

   

   Digite a sua senha e clique em Entrar.

   

   Se o instalador não conseguir localizar uma assinatura do Microsoft Entra ID P1 ou outra assinatura, que inclui o Microsoft Entra ID P1 ou P2, você verá um erro pop-up. Verifique se o nome de usuário é para o locatário correto e verifique o arquivo de log do instalador para obter mais informações.

6. Quando a verificação de licença estiver concluída, selecione os componentes do Serviço e do Portal do MIM para instalação e clique em Avançar.

   

7. Forneça o servidor SQL e o nome do banco de dados. Escolha reutilizar o banco de dados existente se estiver atualizando de versões anteriores do MIM. Se estiver a instalar usando o cluster de conmutação por falha do SQL ou o Listener dos Grupos de Disponibilidade Always-On, forneça um cluster ou um nome para o listener. Clique Avançar.

   

8. Se instalar o MIM usando um banco de dados existente, um aviso será exibido. Clique Avançar.

   

9. Escolha uma combinação de tipo de servidor de email e método de autenticação (opções A-I, veja abaixo)

   

   Se estiver instalando o Serviço MIM usando Group-Managed Conta de Serviço, marque a caixa de seleção correspondente, caso contrário, deixe essa caixa de seleção desmarcada. Clique Avançar.

   Imagem da tela de seleção de conta de serviço gerida do Grupo

   Se você selecionar uma combinação incompatível de tipo de servidor de email e método de autenticação, depois de clicar em Avançar, um erro pop-up será exibido.

   

Opção A. Conta de serviço regular + Exchange Server

1. Na página Configurar de serviços comuns, selecione Exchange Server 2013 ou posterior e Autenticação Integrada do Windows. Digite o nome do host do servidor Exchange. Deixe caixa de seleção Usar Conta de Serviço Gerenciado de Grupodesmarcada. Clique Avançar.

   Imagem da tela de seleção do tipo de serviço de Correio

2. Se estiver instalando o componente Relatórios do MIM, digite o nome do servidor de gerenciamento do System Center Service Manager e clique em Avançar.

   

3. Se estiver instalando o componente Relatórios do MIM no ambiente somente TLS 1.2 com o System Center Service Manager 2019, escolha um certificado confiável pelo Servidor SCSM com o nome de host do servidor MIM no assunto do certificado, caso contrário, escolha gerar um novo certificado autoassinado. Clique Avançar.

   

4. Digite o nome e a senha da conta do Serviço MIM, o nome de domínio e o endereço SMTP da caixa de correio do Serviço MIM. Clique Avançar.

   

Opção B. Conta de serviço regular + autenticação básica do Office 365

1. Na página Configurar serviços comuns, selecione serviço de email do Office 365 e Autenticação Básica. Deixe caixa de seleção Usar Conta de Serviço Gerenciado de Grupodesmarcada. Clique Avançar.

   Imagem do ecrã de seleção do tipo de serviço de correio

2. Se estiver a instalar o componente de Relatórios do MIM, digite o nome do servidor de gestão do System Center Service Manager e clique em Avançar.

   

3. Se estiver instalando o componente Relatórios do MIM no ambiente somente TLS 1.2 com o System Center Service Manager 2019, escolha um certificado confiável pelo Servidor SCSM com o nome de host do servidor MIM no assunto do certificado, caso contrário, escolha gerar um novo certificado autoassinado. Clique Avançar.

   

4. Digite o nome e a senha da conta do Serviço MIM, o nome do domínio, o endereço SMTP da caixa de correio do Office 365 do Serviço MIM e a senha Microsoft Entra da caixa de correio do Serviço MIM. Clique Avançar.

   

Opção C. Conta de serviço regular + autenticação de contexto de aplicativo do Office 365

1. Na página Configurar serviços comuns, selecione serviço de email do Office 365 e Autenticação de Contexto de Aplicativo. Deixe caixa de seleção Usar Conta de Serviço Gerenciado de Grupodesmarcada. Clique Avançar.

   Imagem da tela de seleção do tipo de serviço de correio

2. Se estiver a instalar o componente Relatórios do MIM, digite o nome do servidor de gestão do System Center Service Manager e clique em Avançar.

   

3. Forneça a ID do Aplicativo Microsoft Entra, a ID do Locatário e o Segredo do Cliente, que foram gerados por um script anteriormente. Clique Avançar.

   

   Se o instalador não conseguir validar a ID do Aplicativo ou a ID do Locatário, um erro será exibido:

   

   Se o instalador não conseguir acessar a caixa de correio do Serviço MIM, outro erro será exibido:

   

4. Se estiver instalando o componente Relatórios do MIM no ambiente somente TLS 1.2 com o System Center Service Manager 2019, escolha um certificado confiável pelo Servidor SCSM com o nome de host do servidor MIM no assunto do certificado, caso contrário, escolha gerar um novo certificado autoassinado. Clique Avançar.

   

5. Digite nome e senha da conta do Serviço MIM, nome de domínio e endereço SMTP da caixa de correio do Office 365 do Serviço MIM. Clique Avançar.

   

Opção D. Conta de serviço regular + servidor SMTP

1. Na página Configurar serviços comuns, selecione SMTP e Autenticação Integrada do Windows. Digite o nome do host do servidor SMTP. Deixe a caixa de seleção Usar Conta de Serviço Gerenciado de Grupo desmarcada . Clique Avançar.

   Imagem da tela de seleção do tipo de serviço de correio

2. Se estiver a instalar o componente Relatórios do MIM, digite o nome do servidor de gestão do System Center Service Manager e clique em Avançar.

   

3. Se estiver instalando o componente Relatórios do MIM no ambiente somente TLS 1.2 com o System Center Service Manager 2019, escolha um certificado confiável pelo Servidor SCSM com o nome de host do servidor MIM no assunto do certificado, caso contrário, escolha gerar um novo certificado autoassinado. Clique Avançar.

   

4. Digite o nome e a senha da conta do Serviço MIM, o nome do domínio e o endereço SMTP do Serviço MIM. Clique Avançar.

   

Opção E. Conta de serviço regular + sem servidor de correio

1. Na página Configurar os serviços comuns, selecione Tipo de servidor: Nenhum. Deixe caixa de seleção Usar Conta de Serviço Gerenciado de Grupodesmarcada. Clique Avançar.

   

2. Se estiver instalando o componente Relatórios do MIM, digite o nome do servidor de gerenciamento do System Center Service Manager e clique em Avançar.

   

3. Se estiver instalando o componente Relatórios do MIM no ambiente somente TLS 1.2 com o System Center Service Manager 2019, escolha um certificado confiável pelo Servidor SCSM com o nome de host do servidor MIM no assunto do certificado, caso contrário, escolha gerar um novo certificado autoassinado. Clique Avançar.

   

4. Digite o nome e a senha da conta do Serviço MIM, nome do domínio. Clique Avançar.

   

Opção F. Conta de serviço gerenciada por grupo + Exchange Server

1. Na página Configurar serviços comuns, selecione Exchange Server 2013 ou posterior e Autenticação Integrada do Windows. Digite o nome do host do servidor Exchange. Habilite a opção Usar Conta de Serviço Gerido de Grupo. Clique Avançar.

   Imagem da tela de seleção do tipo de serviço de

2. Se estiver a instalar o componente Relatórios do MIM, digite o nome do servidor de gestão do System Center Service Manager e clique em Avançar.

   

3. Se estiver instalando o componente Relatórios do MIM no ambiente somente TLS 1.2 com o System Center Service Manager 2019, escolha um certificado confiável pelo Servidor SCSM com o nome de host do servidor MIM no assunto do certificado, caso contrário, escolha gerar um novo certificado autoassinado. Clique Avançar.

   

4. Digite o nome da conta de serviço gerenciado pelo grupo do Serviço MIM, nome de domínio, endereço SMTP da caixa de correio do Serviço MIM e senha. Clique Avançar.

   

Opção G. Conta de serviço gerida por grupo + autenticação básica do Office 365

1. Na página Configurar serviços comuns, selecione serviço de email do Office 365 e Autenticação Básica . Habilite Usar a opção Conta de Serviço Gerida de Grupo. Clique Avançar.

   Imagem da ecrã de seleção do tipo de serviço do

2. Se estiver a instalar o componente de Relatórios do MIM, digite o nome do servidor de gestão do System Center Service Manager e clique em Avançar.

   

3. Se estiver instalando o componente Relatórios do MIM no ambiente somente TLS 1.2 com o System Center Service Manager 2019, escolha um certificado confiável pelo Servidor SCSM com o nome de host do servidor MIM no assunto do certificado, caso contrário, escolha gerar um novo certificado autoassinado. Clique Avançar.

   

4. Digite o nome da conta de serviço gerenciada pelo grupo do Serviço MIM, o nome do domínio, o endereço SMTP da caixa de correio do Office 365 do Serviço MIM e a senha Microsoft Entra da conta do Serviço MIM. Clique Avançar.

   

Opção H. Conta de serviço gerenciada por grupo + autenticação de contexto de aplicativo do Office 365

1. Na página Configurar serviços comuns, selecione serviço de correio eletrónico do Office 365 e Autenticação de Contexto da Aplicação. Habilite a opção Usar Conta de Serviço Gerenciado de Grupo. Clique Avançar.

   Imagem da tela de seleção do tipo de serviço de

2. Se estiver a instalar o componente Relatórios do MIM, digite o nome do servidor de gestão do System Center Service Manager e clique em Avançar.

   

3. Forneça a ID do Aplicativo Microsoft Entra, a ID do Locatário e o Segredo do Cliente, que foram gerados por um script anteriormente. Clique Avançar.

   

   Se o instalador não conseguir validar a ID do Aplicativo ou a ID do Locatário, um erro será exibido:

   

   Se o instalador não conseguir acessar a caixa de correio do Serviço MIM, outro erro será exibido:

   

4. Se estiver instalando o componente Relatórios do MIM no ambiente somente TLS 1.2 com o System Center Service Manager 2019, escolha um certificado confiável pelo Servidor SCSM com o nome de host do servidor MIM no assunto do certificado, caso contrário, escolha gerar um novo certificado autoassinado. Clique Avançar.

   

5. Digite Nome da conta de serviço gerenciado por grupo do Serviço MIM, nome de domínio e endereço SMTP da caixa de correio do Serviço MIM Office 365. Clique Avançar.

   

Opção I. Conta de serviço gerida pelo grupo + sem servidor de correio

1. Na página Configurar serviços comuns, selecione Nenhum tipo de servidor. Habilite a opção Usar Conta de Serviço Gerenciado de Grupo. Clique Avançar.

   

2. Se estiver instalando o componente Relatórios do MIM, digite o nome do servidor de gerenciamento do System Center Service Manager e clique em Avançar.

   

3. Se estiver instalando o componente Relatórios do MIM no ambiente somente TLS 1.2 com o System Center Service Manager 2019, escolha um certificado confiável pelo Servidor SCSM com o nome de host do servidor MIM no assunto do certificado, caso contrário, escolha gerar um novo certificado autoassinado. Clique Avançar.

   

4. Digite o nome da conta de serviço gerida por grupo do MIM Service e o nome do domínio. Clique Avançar.

   

Etapas comuns de implantação. Continuação

1. Se a conta do Serviço MIM não estiver restrita a negar logons locais, uma mensagem de aviso será exibida. Clique Avançar.

   

2. Digite o nome do servidor de sincronização MIM. Digite o nome da conta do Agente de Gerenciamento do MIM. Se estiver a instalar o Serviço de Sincronização do MIM utilizando a Conta de Serviço Group-Managed, então adicione o sinal de dólar ao nome da conta, por exemplo, contoso\MIMSyncGMSAsvc$. Clique Avançar.

   

3. Escreva o nome do anfitrião do servidor do MIM Service. No caso de um balanceador de carga ser usado para equilibrar a carga útil do Serviço MIM, forneça o nome do cluster. Clique Avançar.

   

4. Forneça o nome do conjunto de sites do SharePoint. Certifique-se de substituir http://localhost por um valor adequado. Clique Avançar.

   

   É apresentado um aviso. Clique Avançar.

   

5. Se instalar Self-Service site de Registro de Senha (não necessário se você estiver usando o Microsoft Entra ID para redefinição de senha), especifique uma URL para a qual os clientes MIM serão redirecionados após o logon. Clique Avançar.

   

6. Marque a caixa de seleção para abrir as portas 5725 e 5726 no firewall e a caixa de seleção para conceder a todos os usuários autenticados acesso ao Portal MIM. Clique Avançar.

   

7. Se estiver a instalar o site de Registro de Senha Self-Service (não é necessário se estiver a utilizar o Microsoft Entra ID para redefinição de senha), defina-se o nome da conta do pool de aplicativos e a sua senha, o nome do host e a porta para o site. Habilite a opção Abrir porta na firewall, se necessário. Clique Avançar.

   

   Aparecerá um aviso – leia-o e clique em Seguinte.

   

8. Na próxima tela de configuração do Portal de Registro de Senha do MIM, digite o Endereço do Servidor de Serviço do MIM para o Portal de Registro de Senha e selecione se este site será acessível pelos usuários da intranet. Clique Avançar.

   

9. Ao instalar o website de Redefinição de Senha Self-Service, configure o nome da conta e a senha do pool de aplicativos, bem como o nome do host e a porta do website. Habilite a opção Abrir porta na firewall, se necessário. Clique Avançar.

   

   Aparecerá um aviso – leia-o e clique em Seguinte.

   Imagem da tela de aviso

10. Na próxima tela de configuração do Portal de Redefinição de Senha do MIM, digite o Endereço do Servidor de Serviço do MIM para o Portal de Redefinição de Senha e selecione se este site será acessível pelos usuários da intranet. Clique Avançar.

    

11. Quando todas as definições de pré-instalação estiverem prontas, clique em Instalar para começar a instalar os componentes selecionados Service e Portal.

Tarefas pós-instalação

Após a conclusão da instalação, verifique se o Portal do MIM está ativo.

1. Inicie o Internet Explorer e conecte-se ao Portal MIM em http://mim.contoso.com/identitymanagement. Note, que pode haver um pequeno atraso na primeira visita a esta página.

   • Se necessário, autentique-se como um usuário, que instalou o Serviço e Portal do MIM, no Internet Explorer.

2. No Internet Explorer, abra as Opções da Internet, mude para o separador de Segurança e adicione o site à zona da intranet local , se ainda não estiver lá. Feche a caixa de diálogo Opções da Internet .

3. No Internet Explorer, abra a Configurações, mude para a guia Configurações do Modo de Exibição de Compatibilidade, e desmarque a caixa de seleção Exibir Sites da Intranet no Modo de Exibição de Compatibilidade. Feche caixa de diálogo Modo de Exibição de Compatibilidade.

4. Permita que não-administradores acessem o Portal do MIM.

   1. Usando o Internet Explorer, no Portal do MIM, clique em Regras de Políticas de Gestão.
   2. Procure a regra de política de gerenciamento Gerenciamento de usuários: os usuários podem ler atributos de seus próprios.
   3. Selecione esta regra de política de gerenciamento, desmarque Política está desabilitada.
   4. Clique em OK e, em seguida, clique em Enviar.

Observação

Opcional: Neste ponto, você pode instalar suplementos e extensões do MIM e pacotes de idiomas.

« MIM Synchronization ServiceSincronizar bancos de dados »