Установка MIM 2016 с пакетом обновления 2 (SP2): служба И портал MIM для клиентов с Microsoft Entra идентификаторами P1 или P2
Примечание
В этом пошаговом руководстве используются примеры имен и значений для компании Contoso. Замените их своими значениями. Пример.
- Имя сервера службы MIM и портала — mim.contoso.com
- Имя сервера SQL — contosoagl.contoso.com
- Имя учетной записи службы — svcMIMService
- Имя домена — contoso.
- Пароль — Pass@word1.
Подготовка к работе
- Это руководство предназначено для установки службы MIM в организациях, лицензированных для Microsoft Entra id P1 или P2. Если в вашей организации нет идентификатора Microsoft Entra P1 или P2 или не использует идентификатор Microsoft Entra, вам потребуется следовать руководству по установке выпуска MIM с корпоративной лицензией.
- Убедитесь, что у вас есть Microsoft Entra учетные данные пользователя с достаточными разрешениями, чтобы убедиться, что ваша подписка клиента включает Microsoft Entra идентификатор P1 или P2 и может ли создавать регистрации приложений.
- Если вы планируете использовать проверку подлинности Office 365 контекста приложения, необходимо запустить скрипт, чтобы зарегистрировать приложение службы MIM в идентификаторе Microsoft Entra и предоставить службе MIM разрешения на доступ к почтовому ящику службы MIM в Office 365. Сохраните выходные данные скрипта, так как вам потребуется полученный идентификатор приложения и секрет позже во время установки.
Параметры развертывания
Выбор в развертывании зависит от двух критериев:
- Будет ли служба MIM работать как обычная учетная запись службы Windows или как управляемая группой учетная запись службы (gMSA)
- Будет ли служба MIM отправлять электронную почту через Exchange Server, Office 365 или SMTP-сервер
Доступные варианты развертывания:
- Вариант А. Обычная учетная запись службы + Exchange Server
- Вариант Б. Обычная учетная запись службы + Office 365 обычная проверка подлинности
- Вариант C. Обычная учетная запись службы + проверка подлинности контекста приложения Office 365
- Вариант D. Обычная учетная запись службы + SMTP
- Вариант E. Обычная учетная запись службы + нет почтового сервера
- Вариант F. Управляемая группой учетная запись службы + Exchange Server
- Вариант G. Управляемая группой учетная запись службы + Office 365 обычная проверка подлинности
- Вариант H. Управляемая группой учетная запись службы + проверка подлинности контекста приложения Office 365
- Вариант I. Управляемая группой учетная запись службы + без почтового сервера
Примечание
Параметр SMTP-сервера работает только с обычными учетными записями служб и встроенной проверкой подлинности Windows и не позволяет использовать надстройку Outlook для утверждений.
Подготовка к проверке подлинности контекста приложения Office 365
Начиная со сборки 4.6.421.0, помимо обычной проверки подлинности, служба MIM поддерживает проверку подлинности контекста приложения для Office 365 почтовых ящиков. Прекращение поддержки обычной проверки подлинности было объявлено 20 сентября 2019 г., поэтому рекомендуется использовать проверку подлинности контекста приложения для отправки уведомлений и сбора ответов на утверждение.
Сценарий проверки подлинности контекста приложения требует регистрации приложения в Microsoft Entra идентификаторе, создания секрета клиента, который будет использоваться вместо пароля, и предоставления этому приложению разрешения на доступ к почтовому ящику службы MIM. Служба MIM будет использовать этот идентификатор приложения и этот секрет для доступа к почтовому ящику в Office 365. Вы можете зарегистрировать приложение в идентификаторе Microsoft Entra с помощью скрипта (рекомендуется) или вручную.
Регистрация приложения с помощью Центра администрирования Microsoft Entra
Войдите в Центр администрирования Microsoft Entra с ролью глобального администратора.
Перейдите в колонку Microsoft Entra, скопируйте идентификатор клиента из раздела Обзор и сохраните его.
Перейдите в раздел Регистрация приложений и нажмите кнопку Новая регистрация.
Присвойте приложению имя, например клиентский доступ к почтовому ящику службы MIM, и нажмите кнопку Зарегистрировать.
После регистрации приложения скопируйте значение идентификатора приложения (клиента) и сохраните его.
Перейдите в раздел Разрешения API и отмените разрешение User.Read , щелкнув три точки в поле Имя разрешения и выбрав Удалить разрешение. Убедитесь, что вы хотите удалить это разрешение.
Нажмите кнопку Добавить разрешение . Перейдите к API, которые использует моя организация , и введите Office. Выберите Office 365 Exchange Online и Тип разрешений приложения. Введите full и выберите full_access_as приложение. Нажмите кнопку Добавить разрешения .
Вы увидите, что разрешение добавлено, а согласие администратора не предоставлено. Нажмите кнопку Предоставить согласие администратора рядом с кнопкой Добавить разрешение .
Перейдите в раздел Сертификаты и секреты и выберите добавить новый секрет клиента. Если вы выберете срок действия секрета, вам придется перенастроить службу MIM ближе к дате окончания срока действия, чтобы использовать другой секрет. Если вы не планируете менять секреты приложения, выберите Никогда. Присвойте секрету имя, например служба MIM , и нажмите кнопку Добавить . На портале отобразится значение секрета. Скопируйте это значение (не секретный идентификатор) и сохраните его.
Теперь, когда у вас есть идентификатор клиента, идентификатор приложения и секрет приложения, необходимые установщику, можно продолжить установку службы MIM и портала. Кроме того, может потребоваться ограничить доступ к зарегистрированному приложению только почтовым ящиком службы MIM (full_access_as_app предоставляет доступ ко всем почтовым ящикам в вашей организации). Для этого необходимо создать политику доступа к приложениям. Следуйте этому руководству , чтобы ограничить доступ приложения только к почтовому ящику службы MIM. Вам потребуется создать группу безопасности с поддержкой рассылки или почты и добавить в нее почтовый ящик службы MIM. Затем выполните команду PowerShell и укажите учетные данные администратора Exchange Online:
New-ApplicationAccessPolicy ` -AccessRight RestrictAccess ` -AppId "<your application ID from step 5>" ` -PolicyScopeGroupId <your group email> ` -Description "Restrict MIM Service app to members of this group"
Регистрация приложения с помощью скрипта PowerShell
Create-MIMMailboxApp.ps1 скрипт можно найти в Scripts.zip/Scripts/Service and Portal или в разделе Service and Portal.zip\Service and Portal\Program Files\Microsoft Forefront Identity Manager\2010\Service\Scripts.
Если почтовый ящик службы MIM не размещен в национальном облаке или облаке для государственных организаций, единственным параметром, который необходимо передать в скрипт, является адрес электронной почты службы MIM, например MIMService@contoso.onmicrosoft.com.
В окне PowerShell запустите Create-MIMMailboxApp.ps1 с параметром электронной почты> -MailboxAccountEmail <и укажите адрес электронной почты службы MIM.
./Create-MIMMailboxApp.ps1 -MailboxAccountEmail <MIM Service email>
При запросе учетных данных укажите учетные данные Microsoft Entra глобального администратора для регистрации приложения в Azure.
После регистрации приложения еще одно всплывающее окно запросит учетные данные Exchange Online администратора для создания политики доступа к приложениям.
После успешной регистрации приложения выходные данные скрипта должны выглядеть следующим образом:
После регистрации приложения происходит 30-секундная задержка, и открывается окно браузера, чтобы избежать проблем с репликацией. Укажите учетные данные администратора клиента Microsoft Entra и примите запрос на предоставление приложению доступа к почтовому ящику службы MIM. Всплывающее окно должно выглядеть следующим образом:
После нажатия кнопки Принять вы будете перенаправлены на Центр администрирования Microsoft 365. Вы можете закрыть окно браузера и проверка выходные данные скрипта. Он должен выглядеть так:
Скопируйте значения ApplicationId, TenantId и ClientSecret, так как они понадобятся установщику службы MIM и портала.
Развертывание службы И портала MIM
Распространенные шаги по развертыванию
Создайте временный каталог для хранения журналов установщика, например c:\miminstall.
Запустите командную строку с повышенными привилегиями, перейдите в папку двоичных файлов установщика службы MIM и выполните следующую команду:
msiexec /i "Service and Portal.msi" /lvxi* c:\miminstall\log.txt
Нажмите кнопку Далеена экране приветствия.
Просмотрите лицензионное соглашение End-User и нажмите кнопку Далее , если вы примите условия лицензии.
Национальные облака — это изолированные экземпляры Azure. Выберите облачный экземпляр Azure, в котором размещен ваш клиент, и нажмите кнопку Далее.
Организациям, которые не используют национальное облако или облако для государственных организаций, следует выбрать глобальный экземпляр Microsoft Entra идентификатор.
Выбрав соответствующее облако, установщик предложит вам пройти проверку подлинности в этом клиенте. Во всплывающем окне укажите Microsoft Entra учетные данные пользователя в этом клиенте, чтобы проверить уровень подписки клиента. Введите имя пользователя Microsoft Entra и нажмите кнопку Далее.
Введите пароль и нажмите кнопку Войти.
Если установщику не удается найти подписку на Microsoft Entra с идентификатором P1 или другую подписку, которая включает Microsoft Entra С идентификатором P1 или P2, появится всплывающее сообщение об ошибке. Убедитесь, что имя пользователя предназначено для правильного клиента, и просмотрите файл журнала установщика для получения дополнительных сведений.
После завершения проверка лицензии выберите Компоненты службы И портала MIM для установки и нажмите кнопку Далее.
Укажите имя сервера SQL и базы данных. Выберите повторное использование существующей базы данных при обновлении с предыдущих версий MIM. При установке с помощью отказоустойчивого кластера SQL или прослушивателя групп доступности Always-On укажите имя кластера или прослушивателя. Щелкните Далее.
При установке MIM с помощью существующей базы данных отображается предупреждение. Щелкните Далее.
Выберите сочетание типа почтового сервера и метода проверки подлинности (параметры A-I см. ниже)
При установке службы MIM с помощью учетной записи службы Group-Managed установите соответствующий флажок, в противном случае оставьте этот флажок снятым. Щелкните Далее.
Если выбрать несовместимое сочетание типа почтового сервера и метода проверки подлинности, после нажатия кнопки Далее появится всплывающее сообщение об ошибке.
Вариант А. Обычная учетная запись службы + Exchange Server
На странице Настройка общих служб выберите Exchange Server 2013 или более поздней версии и Встроенная проверка подлинности Windows. Введите имя узла сервера Exchange Server. Оставьте флажок Использовать групповую управляемую учетную запись службыснят. Щелкните Далее.
При установке компонента отчетов MIM введите имя сервера управления System Center Service Manager и нажмите кнопку Далее.
При установке компонента отчетов MIM в среде только TLS 1.2 с System Center Service Manager 2019 выберите сертификат, доверенный сервером SCSM с именем узла сервера MIM в субъекте сертификата, в противном случае выберите создание нового самозаверяющего сертификата. Щелкните Далее.
Введите имя и пароль учетной записи службы MIM, доменное имя и SMTP-адрес почтового ящика службы MIM. Щелкните Далее.
Вариант Б. Обычная учетная запись службы + Office 365 обычная проверка подлинности
На странице Настройка общих служб выберите Office 365 почтовую службу и обычную проверку подлинности. Оставьте флажок Использовать групповую управляемую учетную запись службыснят. Щелкните Далее.
При установке компонента отчетов MIM введите имя сервера управления System Center Service Manager и нажмите кнопку Далее.
При установке компонента отчетов MIM в среде только TLS 1.2 с System Center Service Manager 2019 выберите сертификат, доверенный сервером SCSM с именем узла сервера MIM в субъекте сертификата, в противном случае выберите создание нового самозаверяющего сертификата. Щелкните Далее.
Введите имя и пароль учетной записи службы MIM, доменное имя, SMTP-адрес Office 365 почтового ящика службы MIM и почтовый ящик службы MIM Microsoft Entra пароль. Щелкните Далее.
Вариант В. Обычная учетная запись службы + Office 365 проверка подлинности контекста приложения
На странице Настройка общих служб выберите Office 365 почтовая служба и проверка подлинности контекста приложения. Оставьте флажок Использовать групповую управляемую учетную запись службыснят. Щелкните Далее.
При установке компонента отчетов MIM введите имя сервера управления System Center Service Manager и нажмите кнопку Далее.
Укажите Microsoft Entra идентификатор приложения, идентификатор клиента и секрет клиента, созданные скриптом ранее. Щелкните Далее.
Если установщику не удается проверить идентификатор приложения или идентификатор клиента, появится ошибка:
Если установщику не удается получить доступ к почтовому ящику службы MIM, появляется еще одна ошибка:
При установке компонента отчетов MIM в среде только TLS 1.2 с System Center Service Manager 2019 выберите сертификат, доверенный сервером SCSM с именем узла сервера MIM в субъекте сертификата, в противном случае выберите создание нового самозаверяющего сертификата. Щелкните Далее.
Введите имя и пароль учетной записи службы MIM, доменное имя и SMTP-адрес Office 365 почтового ящика службы MIM. Щелкните Далее.
Вариант D. Обычная учетная запись службы + SMTP-сервер
На странице Настройка общих служб выберите SMTP и встроенную проверку подлинности Windows. Введите имя узла SMTP-сервера. Оставьте флажок Использовать групповую управляемую учетную запись службыснят. Щелкните Далее.
При установке компонента отчетов MIM введите имя сервера управления System Center Service Manager и нажмите кнопку Далее.
При установке компонента отчетов MIM в среде только TLS 1.2 с System Center Service Manager 2019 выберите сертификат, доверенный сервером SCSM с именем узла сервера MIM в субъекте сертификата, в противном случае выберите создание нового самозаверяющего сертификата. Щелкните Далее.
Введите имя и пароль учетной записи службы MIM, доменное имя и SMTP-адрес службы MIM. Щелкните Далее.
Вариант E. Обычная учетная запись службы + без почтового сервера
На странице Настройка общих служб выберите Тип сервера Нет . Оставьте флажок Использовать групповую управляемую учетную запись службыснят. Щелкните Далее.
При установке компонента отчетов MIM введите имя сервера управления System Center Service Manager и нажмите кнопку Далее.
При установке компонента отчетов MIM в среде только TLS 1.2 с System Center Service Manager 2019 выберите сертификат, доверенный сервером SCSM с именем узла сервера MIM в субъекте сертификата, в противном случае выберите создание нового самозаверяющего сертификата. Щелкните Далее.
Введите имя учетной записи службы MIM и пароль, доменное имя. Щелкните Далее.
Вариант F. Управляемая группой учетная запись службы + Exchange Server
На странице Настройка общих служб выберите Exchange Server 2013 или более поздней версии и Встроенная проверка подлинности Windows. Введите имя узла сервера Exchange Server. Включите параметр Использовать групповую управляемую учетную запись службы . Щелкните Далее.
При установке компонента отчетов MIM введите имя сервера управления System Center Service Manager и нажмите кнопку Далее.
При установке компонента отчетов MIM в среде только TLS 1.2 с System Center Service Manager 2019 выберите сертификат, доверенный сервером SCSM с именем узла сервера MIM в субъекте сертификата, в противном случае выберите создание нового самозаверяющего сертификата. Щелкните Далее.
Введите имя учетной записи службы, управляемой группой службы MIM, доменное имя, SMTP-адрес и пароль почтового ящика службы MIM. Щелкните Далее.
Вариант G. Управляемая группой учетная запись службы + Office 365 обычная проверка подлинности
На странице Настройка общих служб выберите Office 365 почтовую службу и обычную проверку подлинности. Включите параметр Использовать групповую управляемую учетную запись службы . Щелкните Далее.
При установке компонента отчетов MIM введите имя сервера управления System Center Service Manager и нажмите кнопку Далее.
При установке компонента отчетов MIM в среде только TLS 1.2 с System Center Service Manager 2019 выберите сертификат, доверенный сервером SCSM с именем узла сервера MIM в субъекте сертификата, в противном случае выберите создание нового самозаверяющего сертификата. Щелкните Далее.
Введите имя учетной записи службы, управляемой группой службы MIM, доменное имя, SMTP-адрес Office 365 почтового ящика службы MIM и пароль Microsoft Entra учетной записи службы MIM. Щелкните Далее.
Вариант H. Управляемая группой учетная запись службы + проверка подлинности контекста приложения Office 365
На странице Настройка общих служб выберите Office 365 почтовая служба и проверка подлинности контекста приложения. Включите параметр Использовать групповую управляемую учетную запись службы . Щелкните Далее.
При установке компонента отчетов MIM введите имя сервера управления System Center Service Manager и нажмите кнопку Далее.
Укажите Microsoft Entra идентификатор приложения, идентификатор клиента и секрет клиента, созданные скриптом ранее. Щелкните Далее.
Если установщику не удается проверить идентификатор приложения или идентификатор клиента, появится ошибка:
Если установщику не удается получить доступ к почтовому ящику службы MIM, появляется еще одна ошибка:
При установке компонента отчетов MIM в среде только TLS 1.2 с System Center Service Manager 2019 выберите сертификат, доверенный сервером SCSM с именем узла сервера MIM в субъекте сертификата, в противном случае выберите создание нового самозаверяющего сертификата. Щелкните Далее.
Введите имя учетной записи службы, управляемой группой службы MIM, доменное имя и smtp-адрес почтового ящика Office 365 службы MIM. Щелкните Далее.
Вариант I. Управляемая группой учетная запись службы + без почтового сервера
На странице Настройка общих служб выберите Тип сервера Нет . Включите параметр Использовать групповую управляемую учетную запись службы . Щелкните Далее.
При установке компонента отчетов MIM введите имя сервера управления System Center Service Manager и нажмите кнопку Далее.
При установке компонента отчетов MIM в среде только TLS 1.2 с System Center Service Manager 2019 выберите сертификат, доверенный сервером SCSM с именем узла сервера MIM в субъекте сертификата, в противном случае выберите создание нового самозаверяющего сертификата. Щелкните Далее.
Введите имя учетной записи службы, управляемой группой службы MIM, доменное имя. Щелкните Далее.
Распространенные шаги по развертыванию. Продолжение
Если учетная запись службы MIM не была ограничена запретом локального входа, появится предупреждающее сообщение. Щелкните Далее.
Введите имя узла сервера синхронизации MIM. Введите имя учетной записи агента управления MIM. Если вы устанавливаете службу синхронизации MIM с помощью учетной записи службы Group-Managed, добавьте знак доллара в имя учетной записи, например contoso\MIMSyncGMSAsvc$. Щелкните Далее.
Введите имя узла сервера службы MIM. Если для балансировки полезных данных службы MIM используется подсистема балансировки нагрузки, укажите имя кластера. Щелкните Далее.
Укажите имя семейства веб-сайтов SharePoint. Обязательно замените http://localhost правильным значением. Щелкните Далее.
Появится предупреждение. Щелкните Далее.
При установке Self-Service веб-сайте регистрации паролей (не требуется, если для сброса пароля используется идентификатор Microsoft Entra), укажите URL-адрес клиентов MIM, на который будут перенаправлены клиенты MIM после входа. Щелкните Далее.
Установите флажки, чтобы открыть порты 5725 и 5726 в брандмауэре и предоставлять всем вошедшим пользователям доступ к порталу MIM. Щелкните Далее.
При установке Self-Service веб-сайта регистрации паролей (не требуется, если для сброса пароля используется идентификатор Microsoft Entra), задайте имя учетной записи пула приложений и пароль, имя узла и порт веб-сайта. При необходимости включите параметр Открыть порт в брандмауэре . Щелкните Далее.
Появится предупреждение — прочитайте его и нажмите кнопку Далее.
На следующем экране конфигурации портала регистрации паролей MIM введите адрес сервера службы MIM для портала регистрации паролей и укажите, будет ли этот веб-сайт доступен пользователям интрасети. Щелкните Далее.
При установке Self-Service веб-сайт сброса пароля задайте имя учетной записи пула приложений и пароль, имя узла и порт для веб-сайта. При необходимости включите параметр Открыть порт в брандмауэре . Щелкните Далее.
Появится предупреждение — прочитайте его и нажмите кнопку Далее.
На следующем экране конфигурации портала сброса паролей MIM введите адрес сервера службы MIM для портала сброса паролей и укажите, будет ли этот веб-сайт доступен пользователям интрасети. Щелкните Далее.
Когда все предварительные настройки будут завершены, нажмите кнопку Установить, чтобы начать установку выбранных компонентов службы и портала.
Задачи, выполняемые после установки
После завершения установки убедитесь, что портал MIM работает.
Запустите Internet Explorer и перейдите на портал MIM по адресу
http://mim.contoso.com/identitymanagement
. Обратите внимание, что возможна небольшая задержка при первом посещении этой страницы.- При необходимости выполните проверку подлинности от имени пользователя, который установил службу MIM и портал, в Интернет Обозреватель.
В internet Обозреватель откройте свойства браузера, перейдите на вкладку Безопасность и добавьте сайт в зону местной интрасети, если он еще не там. Закройте диалоговое окно Свойства обозревателя .
В Internet Обозреватель откройте параметры, перейдите на вкладку Параметры представления совместимости и снимите флажок Отображать сайты интрасети в режиме совместимости. Закройте диалоговое окно представления в режиме совместимости .
Разрешить доступ к порталу MIM для пользователей, не являющихся администраторами.
- В Internet Explorer на портале MIMщелкните Правила политики управления.
- Найдите правило политики управления User management: Users can read attributes of their own (Управление пользователями: пользователи могут читать собственные атрибуты).
- Выберите это правило политики управления, снимите флажок Политика отключена,
- нажмите кнопку ОК , после чего щелкните Отправить.
Примечание
Необязательно. На этом этапе можно установить надстройки MIM, расширения и языковые пакеты.