Установите MIM 2016 с пакетом обновления 2 (SP2): служба MIM и портал для клиентов Microsoft Entra ID P1 или P2

«Служба синхронизации MIMСинхронизировать базы данных»

Заметка

В этом пошаговом руководстве используются примеры имен и значений из компании с именем Contoso. Замените их собственными. Например:

• Имя службы MIM и сервера портала — mim.contoso.com
• Имя сервера SQL — contosoagl.contoso.com
• Имя учетной записи службы — svcMIMService
• Доменное имя — contoso
• Пароль — Pass@word1

Перед началом работы

• Это руководство предназначено для установки службы MIM в организациях, лицензированных для Microsoft Entra ID P1 или P2. Если у вашей организации нет Microsoft Entra ID P1 или P2 или если не используется Microsoft Entra ID, вам потребуется следовать инструкциям по установке для Корпоративной лицензии MIM.
• Убедитесь, что у вас есть учетные данные пользователя Microsoft Entra с достаточными разрешениями, чтобы подписка клиента включала Microsoft Entra ID P1 или P2 и позволяла создавать регистрации приложений.
• Если вы планируете использовать проверку подлинности контекста приложения Office 365, необходимо запустить сценарий, чтобы зарегистрировать приложение службы MIM в идентификаторе Microsoft Entra ID и предоставить службе MIM разрешения на доступ к почтовому ящику службы MIM в Office 365. Сохраните выходные данные скрипта, так как вам потребуется полученный идентификатор приложения и секрет позже во время установки.

Варианты развертывания

Выбор в развертывании зависит от двух критериев:

• Будет ли служба MIM работать в качестве обычной учетной записи службы Windows или в качестве управляемой группой учетной записи службы (gMSA)
• Будет ли служба MIM отправлять электронную почту через Exchange Server, Office 365 или SMTP-сервер

Доступные варианты развертывания:

• Вариант A. Обычная учетная запись службы + Exchange Server
• Вариант B: обычная учетная запись службы + базовая проверка подлинности Office 365
• Вариант C: обычная сервисная учетная запись + аутентификация в контексте приложения Office 365
• Вариант D: обычная учетная запись службы + SMTP
• Вариант E: обычная учетная запись службы + нет почтового сервера
• Вариант F: учетная запись службы под управлением группы + Exchange Server
• Вариант G: учетная запись службы под управлением группы и базовая проверка подлинности Office 365
• Вариант H: учетная запись службы, управляемая группой, и проверка подлинности контекста приложения Office 365
• Вариант I. Учетная запись службы, управляемая группой, + нет почтового сервера

Заметка

Параметр SMTP-сервера работает только с обычными учетными записями служб и встроенной проверкой подлинности Windows и не разрешает использование надстройки Outlook для утверждений.

Подготовка к проверке подлинности контекста приложения Office 365

Начиная с сборки 4.6.421.0, помимо базовой проверки подлинности, служба MIM поддерживает проверку подлинности контекста приложения в почтовых ящиках Office 365. Прекращение поддержки базовой проверки подлинности было объявлено 20 сентября 2019 года, поэтому рекомендуется использовать проверку подлинности контекста приложения для отправки уведомлений и сбора ответов на утверждение.

Для сценария проверки подлинности контекста приложения необходимо зарегистрировать приложение в идентификаторе Microsoft Entra, создать секрет клиента, который будет использоваться вместо пароля и предоставить этому приложению разрешение на доступ к почтовому ящику службы MIM. Служба MIM будет использовать этот идентификатор приложения и этот секрет для доступа к почтовому ящику в Office 365. Вы можете зарегистрировать приложение в идентификаторе Microsoft Entra с помощью скрипта (рекомендуется) или вручную.

Регистрация приложения с помощью Центра администрирования Microsoft Entra

1. Войдите в центр администрирования Microsoft Entra с ролью глобального администратора.

2. Перейдите на панель Microsoft Entra и скопируйте идентификатор арендатора из раздела обзор и сохраните его.

3. Перейдите к разделу регистрации приложений и нажмите кнопку New Registration.

4. Присвойте приложению имя, например клиентский доступ к почтовому ящику службы MIM, и щелкните Зарегистрировать.

5. После регистрации вашего приложения скопируйте идентификатор приложения (клиента) и сохраните его.

6. Перейдите в раздел разрешений API и отмените разрешение User.Read, щелкнув три точки справа от имени разрешения и выбрав Удалить разрешение. Убедитесь, что вы хотите удалить это разрешение.

7. Нажмите кнопку Добавить разрешение. Переключитесь на API, которые использует моя организация и наберите Office. Выберите Office 365 Exchange Online и разрешения для приложений. Введите полный и выберите полные права доступа в качестве приложения. Нажмите кнопку Добавить разрешения.

8. Вы увидите, что добавлено разрешение и что согласие администратора не предоставлено. Нажмите кнопку Предоставить согласие администратора рядом с кнопкой Добавить разрешение.

9. Перейдите к Сертификатам и секретам и выберите Новый секрет клиента. Если выбрать время окончания срока действия секрета, необходимо будет перенастроить службу MIM ближе к дате окончания срока действия, чтобы использовать другой секрет. Если вы не планируете сменить секреты приложений, выберите Никогда не. Присвойте секрету имя, например служба MIM и нажмите кнопку Добавить. Вы увидите значение секрета, отображаемое на портале. Скопируйте это значение (не секретный идентификатор) и сохраните его.

10. Теперь, когда у вас есть идентификатор клиента, идентификатор приложения и секрет приложения, необходимые установщику, можно продолжить установку службы MIM и портала. Кроме того, может потребоваться ограничить доступ вашего нового зарегистрированного приложения только к почтовому ящику службы MIM (full_access_as_app предоставляет доступ ко всем почтовым ящикам в вашей организации). Для этого необходимо создать политику доступа к приложениям . Воспользуйтесь этим руководством, чтобы ограничить доступ вашего приложения только к почтовому ящику службы MIM. Необходимо создать группу безопасности с поддержкой рассылки или почты и добавить почтовый ящик службы MIM в эту группу. Затем выполните команду PowerShell и укажите учетные данные администратора Exchange Online:

    New-ApplicationAccessPolicy `
    -AccessRight RestrictAccess `
    -AppId "<your application ID from step 5>" `
    -PolicyScopeGroupId <your group email> `
    -Description "Restrict MIM Service app to members of this group"
    

Регистрация приложения с помощью скрипта PowerShell

Create-MIMMailboxApp.ps1 можно найти скрипт в Scripts.zip/Scripts/Service и Portal или Service и Portal.zip\Service and Portal\Program Files\Microsoft Forefront Identity Manager\2010\Service\Scripts.

Если почтовый ящик службы MIM не размещен в национальном или правительственном облаке, единственный параметр, который необходимо передать в скрипт, — это электронная почта службы MIM, например MIMService@contoso.onmicrosoft.com.

В окне PowerShell запустите Create-MIMMailboxApp.ps1 с параметром электронной почты>, -MailboxAccountEmail <, и укажите адрес электронной почты для службы MIM.

./Create-MIMMailboxApp.ps1 -MailboxAccountEmail <MIM Service email>

При запросе учетных данных укажите учетные данные глобального администратора Microsoft Entra для регистрации приложения в Azure.

После регистрации приложения еще одно всплывающее окно запрашивает учетные данные администратора Exchange Online для создания политики доступа к приложению.

После успешной регистрации приложения выходные данные скрипта должны выглядеть следующим образом:

После регистрации приложения возникает 30-секундная задержка, а окно браузера открывается, чтобы избежать проблем с репликацией. Укажите учетные данные администратора клиента Microsoft Entra и примите запрос на предоставление приложению доступа к почтовому ящику службы MIM. Всплывающее окно должно выглядеть следующим образом:

изображение экрана согласия администратора

После нажатия кнопки "Принять" вы будете перенаправлены в Центр администрирования Microsoft 365. Вы можете закрыть окно браузера и проверить выходные данные скрипта.

Скопируйте значения ApplicationId, TenantId и ClientSecret, так как они потребуются установщиком службы MIM и портала.

Развертывание службы MIM и портала

Распространенные шаги развертывания

1. Создайте временный каталог, чтобы сохранить журналы установщика, например c:\miminstall.

2. Запустите командную строку с повышенными привилегиями, перейдите в папку двоичных файлов установщика службы MIM и выполните следующую команду:

   msiexec /i "Service and Portal.msi" /lvxi* c:\miminstall\log.txt
   

   На экране приветствия нажмите кнопку Далее.

   

3. Просмотрите лицензионное соглашение End-User и нажмите кнопку Далее, если вы принимаете условия лицензии.

   

4. Национальные облака являются изолированными экземплярами Azure. Выберите экземпляр облака Azure, в котором размещен ваш клиент, и нажмите кнопку Далее.

   

   Организации, которые не используют национальное или государственное облако, должны выбрать глобальный экземпляр Microsoft Entra ID.

   

5. Выбрав соответствующее облако, установщик попросит вас пройти проверку подлинности в этом клиенте. Во всплывающем окне укажите учетные данные пользователя Microsoft Entra этого арендатора для подтверждения уровня подписки арендатора. Введите ваше имя пользователя Microsoft Entra и нажмите Далее.

   

   Введите пароль и нажмите Войти.

   

   Если установщику не удается найти подписку на Microsoft Entra ID P1 или другую подписку, которая включает идентификатор Microsoft Entra ID P1 или P2, появится сообщение об ошибке всплывающего окна. Убедитесь, что имя пользователя предназначено для правильного клиента и ознакомьтесь с файлом журнала установщика для получения дополнительных сведений.

6. После завершения проверки лицензии выберите компоненты службы и портала MIM, а затем нажмите кнопку Далее, чтобы установить их.

   

7. Укажите имя SQL Server и базы данных. При обновлении предыдущих версий MIM выберите повторно использовать существующую базу данных. При установке с помощью отказоустойчивого кластера SQL или прослушивателя групп доступности Always-On укажите кластер или имя прослушивателя. Нажмите кнопку Далее.

   

8. При установке MIM с помощью существующей базы данных появится предупреждение. Нажмите кнопку Далее.

   

9. Выберите сочетание типа почтового сервера и метода проверки подлинности (параметры A-I см. ниже).

   

   Если вы устанавливаете службу MIM, используя учетную запись Group-Managed, установите флажок. В противном случае оставьте флажок неустановленным. Нажмите кнопку Далее.

   экран выбора учетной записи управляемой службы группы изображение 1

   Если выбрать несовместимое сочетание типа почтового сервера и метода проверки подлинности, после нажатия кнопки "Далее" появится сообщение об ошибке всплывающего окна.

   

Вариант A. Обычная учетная запись службы + Exchange Server

1. На странице Настройка общих служб выберите Exchange Server 2013 или новее и Встроенную проверку подлинности Windows. Введите имя узла сервера Exchange. Оставьте флажок Использовать управляемую учетную запись службы группыбез флажка. Нажмите кнопку Далее.

   изображение экрана выбора типа службы почты

2. При установке компонента отчетов MIM введите имя сервера управления System Center Service Manager и нажмите кнопку Далее.

   скриншот

3. При установке компонента отчетов MIM в среде TLS 1.2 только с System Center Service Manager 2019 выберите сертификат, доверенный SCSM Server с названием хоста сервера MIM в субъекте сертификата, в противном случае выберите создать новый самозаверяющий сертификат. Нажмите кнопку Далее.

   изображение экрана выбора сертификата

4. Введите имя учетной записи службы MIM и пароль, доменное имя и smtp-адрес почтового ящика службы MIM. Нажмите кнопку Далее.

   

Вариант B. Обычная учетная запись службы + базовая проверка подлинности Office 365

1. На странице Настройка общих служб выберите службу почты Office 365 и базовую проверку подлинности. Оставьте флажок Использовать управляемую учетную запись службы группыбез флажка. Нажмите Далее.

   изображение экрана выбора типа службы почты

2. При установке компонента отчетов MIM введите имя сервера управления System Center Service Manager и нажмите Далее.

   изображение экрана

3. При установке компонента отчетов MIM в среде, поддерживающей только TLS 1.2, с System Center Service Manager 2019, выберите сертификат, доверенный серверу SCSM, с именем хоста сервера MIM в строке «субъект» сертификата. В противном случае выберите создание нового самозаверяющего сертификата. Нажмите Далее.

   изображение экрана выбора сертификата

4. Введите имя учетной записи службы MIM, пароль, доменное имя, SMTP-адрес почтового ящика службы Office 365 MIM и пароль к почтовому ящику Microsoft Entra службы MIM. Нажмите кнопку Далее.

   

Вариант C. Обычная служебная учетная запись + аутентификация в контексте приложения Office 365

1. На странице Настройка общих служб выберите службу электронной почты Office 365 и аутентификацию в контексте приложения. Оставьте флажок Использовать управляемую учетную запись службы группыбез флажка. Нажмите кнопку Далее.

   изображение экрана выбора типа службы почты

2. При установке компонента отчетов MIM введите имя сервера управления System Center Service Manager и нажмите кнопку Далее.

   изображение экрана имени сервера SCSM

3. Укажите идентификатор приложения Microsoft Entra, идентификатор клиента и секрет клиента, созданные скриптом ранее. Нажмите кнопку Далее.

   

   Если установщику не удается проверить идентификатор приложения или идентификатор клиента, появится ошибка:

   

   Если установщик не удается получить доступ к почтовому ящику службы MIM, появится другая ошибка:

   изображение всплывающего экрана с ошибкой аутентификации

4. При установке компонента отчетов MIM в среде только TLS 1.2 с System Center Service Manager 2019 выберите сертификат, доверенный SCSM Server, с именем хоста сервера MIM в субъекте сертификата, в противном случае выберите создание нового самозаверяющего сертификата. Нажмите кнопку Далее.

   изображение экрана выбора сертификата

5. Введите имя учетной записи службы MIM и пароль, доменное имя и SMTP-адрес почтового ящика Службы MIM в Office 365. Нажмите на кнопку Далее.

   

Вариант D. Обычная учетная запись службы + SMTP-сервер

1. На странице Настройка общих служб выберите SMTP и встроенную проверку подлинности Windows. Введите имя узла SMTP-сервера. Оставьте флажок Использовать управляемую учетную запись службы группыбез флажка. Нажмите кнопку Далее.

   изображение экрана выбора типа службы почты

2. При установке компонента отчетов MIM введите имя сервера управления System Center Service Manager и нажмите Далее.

   Экранное изображение

3. При установке компонента отчетов MIM в среде только TLS 1.2 с System Center Service Manager 2019 выберите сертификат, доверенный сервером SCSM, с именем узла сервера MIM в субъекте сертификата, в противном случае выберите создание нового самозаверяющего сертификата. Нажмите на кнопку Далее.

   изображение экрана выбора сертификата

4. Введите имя учетной записи службы MIM и пароль, доменное имя и SMTP-адрес службы MIM. Нажмите кнопку Далее.

   

Вариант E. Обычная учетная запись службы + нет почтового сервера

1. На странице Настройка общих служб выберите тип сервера None. Оставьте флажок Использовать управляемую учетную запись службы группыбез флажка. Нажмите кнопку Далее.

   изображение экрана выбора типа службы почты

2. При установке компонента отчетов MIM введите имя сервера управления System Center Service Manager и нажмите Далее.

   Экранное изображение

3. При установке компонента отчетов MIM в среде, использующей только TLS 1.2, с System Center Service Manager 2019 выберите сертификат, доверенный сервером SCSM, с именем узла сервера MIM в теме сертификата. В противном случае выберите создание нового самоподписанного сертификата. Нажмите кнопку Далее.

   изображение экрана выбора сертификата

4. Введите имя учетной записи службы MIM и пароль, доменное имя. Нажмите Далее.

   

Вариант F. Учетная запись службы под управлением группы + Exchange Server

1. На странице Настройка общих служб выберите Exchange Server 2013 или более поздней версии и встроенную проверку подлинности Windows. Введите имя узла сервера Exchange. Включите параметр «Использовать групповую управляемую учетную запись службы». Нажмите кнопку Далее.

   изображение экрана выбора типа службы

2. При установке компонента отчетности MIM введите имя сервера управления System Center Service Manager и нажмите Далее.

   изображение экрана с именем сервера SCSM

3. При установке компонента отчетов MIM в среде, поддерживающей только TLS 1.2, с System Center Service Manager 2019, выберите сертификат, которому доверяет сервер SCSM, с именем хоста сервера MIM в субъекте сертификата. В противном случае выберите создание нового самозаверяющего сертификата. Нажмите Далее.

   изображение экрана выбора сертификата

4. Введите имя учетной записи службы, управляемой группой службы MIM, доменное имя, smtp-адрес и пароль почтового ящика службы MIM. Нажмите кнопку Далее.

   

Вариант G. Учетная запись службы под управлением группы + базовая проверка подлинности Office 365

1. На странице Настройка общих служб выберите службу почты Office 365 и базовую проверку подлинности. Включите параметр Использовать управляемую учетную запись службы группы. Нажмите кнопку Далее.

   изображение экрана выбора типа службы почты

2. Если вы устанавливаете компонент отчетов MIM, необходимо ввести имя сервера управления System Center Service Manager и нажать на Далее.

   изображение экрана имени сервера SCSM

3. При установке компонента отчетов MIM в среде, поддерживающей только TLS 1.2, с System Center Service Manager 2019 выберите сертификат, доверенный SCSM Server, с именем узла сервера MIM в субъекте сертификата, в противном случае выберите создать новый самозаверяющий сертификат. Нажмите кнопку Далее.

   изображение экрана выбора сертификата

4. Введите имя управляемой группой учетной записи службы MIM, доменное имя, SMTP-адрес почтового ящика службы MIM и пароль учетной записи службы MIM для Microsoft Entra. Нажмите кнопку Далее.

   

Параметр H. Учётная запись службы с групповым управлением - аутентификация в контексте приложения Office 365

1. На странице Настройка общих служб выберите почтовую службу Office 365 и аутентификацию в контексте приложения. Включите параметр Использовать групповую управляемую учетную запись службы. Нажмите Далее.

   изображение экрана выбора типа службы почты

2. При установке компонента отчетов MIM введите имя сервера управления System Center Service Manager и нажмите Далее.

   

3. Укажите идентификатор приложения Microsoft Entra, идентификатор клиента и секрет клиента, созданные скриптом ранее. Нажмите кнопку Далее.

   

   Если установщику не удается проверить идентификатор приложения или идентификатор клиента, появится ошибка:

   изображение всплывающего окна ошибки валидации

   Если установщик не удается получить доступ к почтовому ящику службы MIM, появится другая ошибка:

   

4. При установке компонента отчетов MIM в среде, работающей только с TLS 1.2 и System Center Service Manager 2019, выберите сертификат, которому доверяет сервер SCSM, с именем хоста сервера MIM в субъекте сертификата, в противном случае выберите создание нового самозаверяющего сертификата. Нажмите кнопку Далее.

   изображение экрана выбора сертификата

5. Введите имя учетной записи службы, управляемое группой служб MIM, доменное имя и SMTP-адрес почтового ящика Службы MIM Office 365. Нажмите кнопку Далее.

   

Параметр I. Учетная запись службы, управляемая группой, + нет почтового сервера

1. На странице Настройка общих служб выберите тип сервера None. Включите параметр Использовать учетную запись управляемой службы группы. Нажмите кнопку Далее.

   изображение экрана выбора типа службы почты

2. При установке компонента отчетов MIM, введите имя сервера управления System Center Service Manager и нажмите кнопку Далее.

   изображение экрана имени сервера SCSM

3. При установке компонента отчетов MIM в среде, поддерживающей только TLS 1.2, с System Center Service Manager 2019 выберите сертификат, которому доверяет сервер SCSM и в субъекте которого указано имя узла сервера MIM, или выберите создание нового самозаверяющего сертификата. Нажмите кнопку Далее.

   изображение экрана выбора сертификата

4. Введите имя учетной записи службы, управляемой группой служб MIM, доменное имя. Нажмите Далее.

   

Распространенные шаги развертывания. Продолжение

1. Если учетная запись службы MIM не была ограничена запретом локального входа в систему, появится предупреждение. Нажмите кнопку Далее.

   

2. Введите имя узла сервера синхронизации MIM. Введите имя учетной записи агента управления MIM. Если вы устанавливаете службу синхронизации MIM с помощью учетной записи службы Group-Managed, добавьте знак доллара в имя учетной записи, например contoso\MIMSyncGMSAsvc$. Нажмите кнопку Далее.

   

3. Введите имя узла сервера службы MIM. В случае использования балансировщика нагрузки для распределения полезной нагрузки службы MIM, укажите имя кластера. Нажмите Далее.

   

4. Укажите имя семейства веб-сайтов SharePoint. Обязательно замените http://localhost соответствующим значением. Нажмите Далее.

   

   Появится предупреждение. Нажмите кнопку Далее.

   изображение экрана предупреждения таймера SharePoint

5. При установке веб-сайта регистрации паролей Self-Service (не требуется, если для сброса пароля используется идентификатор Microsoft Entra), укажите url-адреса, на которые будут перенаправлены клиенты MIM после входа. Нажмите кнопку Далее.

   

6. Установите флажок, чтобы открыть порты 5725 и 5726 в брандмауэре, а также установите флажок, чтобы предоставить всем прошедшим проверку подлинности пользователям доступ к порталу MIM. Нажмите кнопку Далее.

   

7. При установке веб-сайта регистрации паролей Self-Service (не требуется, если вы используете Microsoft Entra ID для сброса пароля), задайте имя учетной записи пула приложений и его пароль, а также имя хоста и порт для веб-сайта. При необходимости включите параметр «Открыть порт в брандмауэре». Нажмите кнопку Далее.

   

   Появится предупреждение— прочитайте его и нажмите кнопку Далее.

   

8. На следующем экране конфигурации портала регистрации паролей MIM введите адрес сервера службы MIM для портала регистрации паролей и выберите, будет ли этот веб-сайт доступен пользователям интрасети. Нажмите кнопку Далее.

   

9. При установке веб-сайта "Сброс пароля Self-Service", задайте имя учетной записи пула приложений и его пароль, имя хоста и порт для веб-сайта. При необходимости включите опцию Открыть порт в брандмауэре. Нажмите кнопку Далее.

   

   Появится предупреждение— прочитайте его и нажмите кнопку Далее.

   

10. На следующем экране конфигурации портала сброса пароля MIM введите адрес сервера службы MIM для портала сброса пароля и выберите, будет ли этот веб-сайт доступен пользователям интрасети. Нажмите Далее.

    

11. Когда все определения предварительной установки готовы, щелкните Установить, чтобы начать установку выбранных компонентов службы и портала. изображение экрана установки службы MIM и портала

Задачи после установки

После завершения установки убедитесь, что портал MIM активен.

1. Запустите Internet Explorer и подключитесь к порталу MIM на http://mim.contoso.com/identitymanagement. Обратите внимание, что при первом посещении этой страницы может возникнуть небольшая задержка.

   • При необходимости выполните проверку подлинности от имени пользователя, которая установила службу MIM и портал в Internet Explorer.

2. В Internet Explorer откройте Параметры Интернета, перейдите на вкладку Безопасность и добавьте сайт в зону Локальная интрасеть, если он еще не добавлен. Закройте диалоговое окно параметров браузера.

3. В Internet Explorer откройте Настройки, перейдите на вкладку Параметры режима совместимости и снимите флажок Отображать сайты интрасети в режиме совместимости. Закройте диалоговое окно представления совместимости.

4. Разрешить неадминистраторам доступ к порталу MIM.

   1. На портале MIM , используя Internet Explorer, щелкните Правила политики управления.
   2. Найдите правило политики управления, управление пользователями: пользователи могут читать атрибуты своих собственных.
   3. Выберите это правило политики управления, снимите флажок Политика отключена.
   4. Нажмите кнопку ОК и нажмите кнопку Отправить.

Заметка

Необязательно. На этом этапе можно установить надстройки MIM и расширения и языковые пакеты.

«Служба синхронизации MIMсинхронизации баз данных»