使用 SP2 安裝 MIM 2016:適用於 Microsoft Entra ID P1 或 P2 客戶的 MIM 服務與入口網站
注意
本逐步解說使用名為 Contoso 的公司之範例名稱和數值。 以您自己的取代這些專案。 例如:
- MIM 服務和入口網站伺服器名稱 - mim.contoso.com
- SQL Server 名稱 - contosoagl.contoso.com
- 服務帳戶名稱 - svcMIMService
- 網域名稱 - contoso
- 密碼 - Pass@word1
開始之前
- 本指南旨在為授權為 Microsoft Entra ID P1 或 P2 的組織安裝 MIM 服務。 如果您的組織沒有 Microsoft Entra ID P1 或 P2,或未使用 Microsoft Entra ID,則您必須改為遵循 MIM 大量授權版本的 安裝指南。
- 請確定您擁有具有足夠許可權 Microsoft 的 Entra 使用者認證,以驗證您的租使用者訂用帳戶是否包含 Microsoft Entra ID P1 或 P2,而且可以建立應用程式註冊。
- 如果您打算使用 Office 365 應用程式內容驗證,您必須執行腳本,在 Microsoft Entra ID 中註冊 MIM 服務應用程式,並授與 MIM 服務許可權,以存取 Office 365 中的 MIM 服務信箱。 將腳本輸出儲存起來,因為稍後在安裝過程中,您將需要用到產生的應用程式 ID 和密鑰。
部署選項
部署中的選擇取決於兩個準則:
- MIM 服務是否會以一般 Windows 服務帳戶或群組管理的服務帳戶執行 (gMSA)
- MIM 服務是否會透過 Exchange Server、Office 365 或 SMTP 伺服器傳送電子郵件
可用的部署選項:
- 選項 A:一般服務帳戶 + Exchange Server
- 選項 B:一般服務帳戶 + Office 365 基本身份驗證
- 選項 C:一般服務帳戶 + Office 365 應用程式內容驗證
- 選項 D:一般服務帳戶 + SMTP
- 選項 E:一般服務帳戶 + 無郵件伺服器
- 選項 F:群組管理的服務帳戶 + Exchange Server
- 選項 G:群組管理的服務帳戶 + Office 365 基本身份驗證
- 選項 H:群組管理的服務帳戶 + Office 365 應用程式內容驗證
- 選項 I:群組管理的服務帳戶 + 沒有郵件伺服器
注意
SMTP 伺服器選項僅適用於一般服務帳戶和整合式 Windows 驗證,且不允許使用 Outlook 外掛程式用於核准流程。
準備 Office 365 應用程式內容驗證
從組建 4.6.421.0 開始,除了基本身份驗證之外,MIM 服務還支援 Office 365 信箱的應用程式內容驗證。 基本身份驗證的支持終止於 2019 年 9 月 20 日宣佈,因此建議使用應用程式內容驗證來傳送通知並收集核准回應。
應用程式內容驗證案例要求您在 Microsoft Entra ID 中註冊應用程式、建立要使用的客戶端密碼,而不是密碼,並授與此應用程式存取 MIM 服務信箱的許可權。 MIM 服務將會使用此應用程式識別碼和此秘密來存取 Office 365 中的信箱。 您可以使用腳本(建議)或手動在 Microsoft Entra ID 中註冊您的應用程式。
使用 Microsoft Entra 系統管理中心註冊應用程式
使用全域管理員角色登入 Microsoft Entra 系統管理中心。
前往 [Microsoft Entra] 面板,然後從 [概觀] 區段複製您的租用戶 ID 並儲存。
流覽至 [應用程式註冊] 區段,然後按一下 [新增註冊] 按鈕。
例如,為您的應用程式指定名稱,例如MIM 服務信箱用戶端存取,然後按一下 註冊。
註冊應用程式之後,請複製 應用程式 (用戶端) 識別碼 值並加以儲存。
流覽至 [API 許可權] 區段,按下許可權名稱旁邊的選單圖示,然後選擇 [移除許可權],以撤銷 User.Read 許可權。 確認您想要移除此許可權。
點擊 [新增許可權] 按鈕。 切換至 API,我的組織使用,並輸入 Office類型。 選取 [Office 365 Exchange Online] 和 [應用程式許可權] 的類型。 輸入完整 ,然後選取 [full_access_as 應用程式]。 按一下 [新增許可權] 按鈕。
您會看到已新增許可權,且未授與系統管理員同意。 點擊 [授與系統管理員同意] 按鈕,位於 [新增許可權] 按鈕旁。
瀏覽至 憑證和秘密,然後選擇新增 [新增客戶端密碼]。 如果您選取秘密的到期時間,則必須將 MIM 服務重新設定為接近其到期日,才能使用另一個秘密。 如果您不打算輪替應用程式密鑰,請選擇 永不。 例如,為您的秘密指定名稱,
MIM 服務 ,然後按兩下 [新增] 按鈕。 您會看到入口網站中顯示的秘密值。 複製此值(而非秘密標識符),並加以儲存。 現在,您有安裝程式所需的租使用者標識碼、應用程式識別碼和應用程式密碼,您可以繼續進行 MIM 服務和入口網站安裝。 此外,您可能只想將新註冊應用程式的存取權限限制為僅限於 MIM 服務信箱(full_access_as_app 授予您的組織中所有信箱的存取權)。 若要這樣做,您必須建立 應用程式存取原則。 請遵循本指南 ,將應用程式的存取限限制為僅限 MIM 服務信箱。 您必須建立通訊或啟用郵件功能的安全組,並將 MIM 服務信箱新增至該群組。 然後執行 PowerShell 命令,並提供 Exchange Online 系統管理員認證:
New-ApplicationAccessPolicy ` -AccessRight RestrictAccess ` -AppId "<your application ID from step 5>" ` -PolicyScopeGroupId <your group email> ` -Description "Restrict MIM Service app to members of this group"
使用 PowerShell 腳本註冊應用程式
Create-MIMMailboxApp.ps1 腳本可以在 Scripts.zip/Scripts/Service 和 Portal 或 Service 和 Portal.zip\Service 和 Portal\Program Files\Microsoft Forefront Identity Manager\2010\Service\Scripts中找到。
除非您的 MIM 服務信箱裝載於國家或政府雲端,否則您唯一需要傳遞至腳本的參數是 MIM 服務電子郵件,例如,MIMService@contoso.onmicrosoft.com。
在 PowerShell 視窗中執行 Create-MIMMailboxApp.ps1,以 -MailboxAccountEmail <電子郵件> 參數並提供 MIM 服務電子郵件。
./Create-MIMMailboxApp.ps1 -MailboxAccountEmail <MIM Service email>
當系統要求認證時,請提供您的Microsoft Entra Global Administrator 認證,以在 Azure 中註冊應用程式。
註冊應用程式之後,另一個彈出視窗會要求 Exchange Online 系統管理員認證來建立應用程式存取原則。
成功註冊應用程式之後,腳本輸出看起來應該像這樣:
註冊應用程式後會有 30 秒的延遲,然後開啟瀏覽器視窗,以避免發生重複問題。 請提供您的 Microsoft Entra 租戶管理員憑證,並接受將應用程式存取權授予 MIM 服務信箱的要求。 彈出視窗看起來應該像這樣:
按兩下 [接受] 按鈕之後,系統會將您重新導向至 Microsoft 365 系統管理中心。 您可以關閉瀏覽器視窗並檢查文稿輸出。
複製 MIM 服務和入口網站安裝程式所需的 ApplicationId、TenantId 和 ClientSecret 值。
部署 MIM 服務和入口網站
常見的部署步驟
建立暫存目錄以將安裝程序記錄檔保留在中,例如 c:\miminstall。
啟動具有提升權限的命令提示字元,導航到 MIM 服務安裝程式的二進位檔資料夾,然後執行:
msiexec /i "Service and Portal.msi" /lvxi* c:\miminstall\log.txt在歡迎畫面中,點擊 下一步。
檢閱 End-User 許可協定,如果您接受授權條款,請按兩下 [下一步]。
國家雲端是 Azure 的隔離實例。 選擇租使用者裝載的 Azure 雲端環境,然後按下 [下一步]。
未使用國家或政府雲端的組織應選擇全球實例,即 Microsoft Entra 識別。
選取適當的雲端之後,安裝程式會要求您向該租用戶進行驗證。 在彈出視窗中,提供該租用戶中的 Microsoft Entra 用戶認證,以驗證您的租用戶訂閱層級。 輸入您的 Microsoft Entra 使用者名稱,然後按 [下一步] 。
輸入您的密碼,然後按下 [[登入]。
如果安裝程式無法找到 Microsoft Entra ID P1 的訂閱或其他包含 Microsoft Entra ID P1 或 P2 的訂閱,您會看到一個快顯錯誤。 請檢查使用者名稱是否為正確的租使用者,並查看安裝程式記錄檔以取得詳細資訊。
授權檢查完成後,請選取 [MIM 服務和入口網站] 元件進行安裝,然後按兩下 [下一步]。
提供 SQL Server 和資料庫名稱。 如果從舊版 MIM 升級,請選擇重複使用現有的資料庫。 如果使用 SQL 故障轉移叢集或 Always-On 可用性群組接聽程式進行安裝,請提供叢集或接聽程式名稱。 點選 下一步。
如果使用現有的資料庫安裝 MIM,則會出現警告。 點選 [下一步]。
選擇郵件伺服器類型和驗證方法的組合(選項 A-I,請參閱下方)
如果使用 Group-Managed 服務帳戶安裝 MIM 服務,請選取對應的複選框,否則請取消核取此複選框。 點選 [下一步]。
如果您選取郵件伺服器類型和驗證方法的不相容組合,在您按 [下一步] 之後,就會顯示快顯錯誤。
選項 A.一般服務帳戶 + Exchange Server
在 [設定一般服務 頁面上,選取 Exchange Server 2013 或更新版本,並 整合式 Windows 驗證。 輸入您的 Exchange 伺服器主機名。 保持 [使用群組受管理的服務帳戶] 複選框 不勾選。 點選 [下一步]。
如果安裝 MIM 報告元件,請輸入 System Center Service Manager 管理伺服器名稱,然後按兩下 [下一步]。
在僅啟用 TLS 1.2 的環境中安裝 MIM 報告元件並使用 System Center Service Manager 2019 時,請選擇一張由 SCSM 伺服器信任且在憑證主體中含有 MIM 伺服器主機名稱的憑證,否則,請選擇產生新的自我簽署憑證。 點選 [下一步]。
輸入 MIM 服務帳戶名稱及密碼、網域名稱,以及 MIM 服務信箱的 SMTP 位址。 點選 [下一步]。
選項 B.一般服務帳戶 + Office 365 基本身份驗證
在 [設定一般服務 頁面上,選取 [Office 365 郵件服務和 基本身份驗證。 [使用群組受管理的服務帳戶] 複選框 保持不選取。 點選 [下一步]。
如果安裝 MIM 報告元件,請輸入 System Center Service Manager 管理伺服器名稱,然後按兩下 [下一步]。
如果要在僅支援 TLS 1.2 的環境中,並結合 System Center Service Manager 2019 來安裝 MIM 報告元件,請選擇一張受到 SCSM 伺服器信任、且憑證主題中包含 MIM 伺服器主機名的憑證。否則,請選擇產生一張新的自行簽署憑證。 點選 [下一步] 。
輸入 MIM 服務帳戶名稱和密碼、網域名稱、MIM 服務的 Office 365 信箱 SMTP 位址以及 MIM 服務信箱的 Microsoft Entra 密碼。 點選 [下一步]。
選項 C.一般服務帳戶 + Office 365 應用程式內容驗證
在 [設定通用服務] 頁面上,選取 [Office 365 郵件服務和 應用程式內容驗證。 [使用群組受管理的服務帳戶] 複選框 未核取。 點選 [下一步] 。
如果安裝 MIM 報告元件,請輸入 System Center Service Manager 管理伺服器名稱,然後按兩下 [下一步]。
提供稍早由腳本產生的Microsoft Entra 應用程式標識碼、租用戶標識碼和客戶端密碼。 按下 [下一步]。
如果安裝程式無法驗證應用程式識別碼或租使用者識別碼,則會出現錯誤:
如果安裝程式無法存取 MIM 服務信箱,則會出現另一個錯誤:
如果在只使用 TLS 1.2 的環境中安裝 MIM 報告元件並使用 System Center Service Manager 2019,請選擇由 SCSM 伺服器信任且憑證主體中包含 MIM 伺服器主機名稱的憑證,否則選擇生成新的自簽名憑證。 點選 [下一步]。
輸入 MIM 服務帳戶名稱和密碼;網域名稱和 MIM 服務的 Office 365 信箱 SMTP 位址。 點選 下一步。
選項 D.一般服務帳戶 + SMTP 伺服器
在 [設定通用服務] 頁面上,選取 [SMTP],並 [整合式 Windows 驗證]。 輸入 SMTP 伺服器主機名。 請保持 [使用群組受管理的服務帳戶] 複選框 為未核取狀態。 點選 [下一步]。
如果安裝 MIM 報告元件,請輸入 System Center Service Manager 管理伺服器名稱,然後按兩下 [下一步]。
如果在僅使用 TLS 1.2 的環境中安裝 System Center Service Manager 2019 的 MIM 報告元件,請選擇由 SCSM 伺服器信任且在憑證主體中包含 MIM 伺服器主機名的憑證,否則選擇產生新的自我簽署憑證。 點選 [下一步] 。
輸入 MIM 服務帳戶名稱和密碼、網域名稱和 MIM 服務 SMTP 位址。 點選 下一步。
選項 E.一般服務帳戶 + 無郵件伺服器
在 [設定一般服務 頁面上,選取 [無 伺服器類型]。 [使用群組受管理的服務帳戶] 複選框 保持未選取。 點選 [下一步]。
如果安裝 MIM 報告元件,請輸入 System Center Service Manager 管理伺服器名稱,然後按兩下 [下一步]。
如果要在只支援 TLS 1.2 的環境中使用 System Center Service Manager 2019 安裝 MIM 報告元件,請選擇一個憑證,該憑證需是 SCSM 伺服器信任的,並且其主體中包含 MIM 伺服器主機名,否則請選擇產生新的自我簽署憑證。 點選 [下一步] 。
輸入 MIM 服務帳戶名稱和密碼、網域名稱。 點選 下一步。
選項 F.群組管理的服務帳戶 + Exchange Server
在 [設定一般服務 頁面上,選取 Exchange Server 2013 或更新版本,並 整合式 Windows 驗證。 輸入您的 Exchange 伺服器主機名。 啟用 [使用群組受管理的服務帳戶] 選項。 點選 [下一步]。
如果安裝 MIM 報告元件,請輸入 System Center Service Manager 管理伺服器名稱,然後按兩下 [下一步]。
在僅限使用 TLS 1.2 的環境中,如果使用 System Center Service Manager 2019 安裝 MIM 報告元件,請選擇由 SCSM 伺服器信任且憑證主體中包含 MIM 伺服器主機名稱的憑證。否則,請選擇產生新的自我簽署憑證。 點選 [下一步]。
輸入 MIM 服務群組管理的服務帳戶名稱、網域名稱、MIM 服務信箱 SMTP 位址和密碼。 點選 [下一步]。
選項 G. 群組管理的服務帳戶 + Office 365 基本身份驗證
在 [設定一般服務 頁面上,選取 [Office 365 郵件服務和 基本身份驗證。 啟用 [使用群組受管理的服務帳戶] 選項。 點選 [下一步]。
如果安裝 MIM 報告元件,請輸入 System Center Service Manager 管理伺服器名稱,然後按兩下 [下一步]。
如果在僅支援 TLS 1.2 的環境中,使用 System Center Service Manager 2019 安裝 MIM Reporting 元件,請選擇憑證的主體中具有 MIM 伺服器的主機名的 SCSM 伺服器信任的憑證,否則選擇生成新的自我簽署憑證。 點選 [下一步]。
輸入 MIM 服務群組受控服務帳戶名稱、網域名稱、MIM 服務的 Office 365 信箱 SMTP 位址,以及 MIM 服務帳戶的 Microsoft Entra 密碼。 點選 [下一步]。
選項 H.群組管理的服務帳戶 + Office 365 應用程式內容驗證
在 [設定通用服務] 頁面上,選取 [Office 365 郵件服務和 應用程式內容驗證。 啟用 [使用群組受管理的服務帳戶] 選項。 點選 [下一步]。
如果安裝 MIM 報告元件,請輸入 System Center Service Manager 管理伺服器名稱,然後按兩下 [下一步]。
提供稍早由腳本產生的Microsoft Entra 應用程式標識碼、租用戶標識碼和客戶端密碼。 點選 [下一步]。
如果安裝程式無法驗證應用程式識別碼或租使用者識別碼,則會出現錯誤:
如果安裝程式無法存取 MIM 服務信箱,則會出現另一個錯誤:
如果在僅支援 TLS 1.2 的環境中搭配 System Center Service Manager 2019 安裝 MIM 報告元件,請選擇一個受 SCSM 伺服器信任且憑證主體中具有 MIM 伺服器主機名的憑證,否則選擇產生一個新的自我簽署憑證。 點選 [下一步] 。
輸入 MIM 服務群組管理的服務帳戶名稱、網域名稱和 MIM 服務 Office 365 信箱 SMTP 位址。 點選 [下一步] 。
選項 I.群組管理的服務帳戶 + 無郵件伺服器
在 [設定一般服務 頁面上,選取 [無 伺服器類型]。 啟用 [使用群組受管理的服務帳戶] 選項。 點選 下一步。
如果安裝 MIM 報告元件,請輸入 System Center Service Manager 管理伺服器名稱,然後按兩下 [下一步]。
如果在僅支援 TLS 1.2 的環境中安裝 MIM 報告元件,且使用 System Center Service Manager 2019,請選擇一張受到 SCSM 伺服器信任並且憑證主體包含 MIM 伺服器主機名的憑證。否則,請選擇產生一張新的自我簽署憑證。 點選 [下一步]。
輸入 MIM 群組管理的服務帳戶名稱和網域名稱。 點選 [下一步]。
常見的部署步驟。 延續
如果 MIM 服務帳戶未限制為拒絕本機登入,則會出現警告訊息。 點選 [下一步]。
輸入 MIM 同步處理伺服器主機名。 輸入 MIM 管理代理程式帳戶名稱。 如果您要使用 Group-Managed 服務帳戶安裝 MIM 同步處理服務,請將美元符號新增至帳戶名稱,例如,contoso\MIMSyncGMSAsvc$。 點選 [下一步]。
輸入 MIM 服務伺服器主機名。 如果負載平衡器用來平衡 MIM 服務承載,請提供叢集的名稱。 點選 [下一步]。
提供 SharePoint 網站集合名稱。 請務必以適當的值取代 http://localhost。 點選 [下一步]。
會出現警告。 點選 [下一步]。
如果安裝 Self-Service 密碼註冊網站(如果您未使用 Microsoft Entra ID 進行密碼重設,則無需安裝),請指定一個 URL,MIM 用戶端會在登入後重新導向至該地址。 點選 [下一步] 。
選取複選框以在防火牆中開啟埠 5725 和 5726,並選取複選框,以授與所有已驗證的使用者 MIM 入口網站存取權。 點選 [下一步]。
如果安裝 Self-Service 密碼註冊網站(如果您使用 Microsoft Entra ID 進行密碼重設則不需要安裝),請設定應用程式集區帳號名稱及其密碼,主機名和網站的埠。 如果需要,啟用防火牆中的「開啟埠」選項。 點擊 下一步。
會出現警告 – 閱讀警告,然後點擊下一步。
在下一個 MIM 密碼註冊入口網站設定畫面中,輸入密碼註冊入口網站的 MIM 服務伺服器位址,然後選取內部網路使用者是否可存取此網站。 點選 [下一步] 。
如果安裝 Self-Service 密碼重設網站,請設定應用程式集區帳戶名稱和其密碼、主機名和網站的端口號碼。 如果需要,啟用防火牆中的開放埠選項 。 點選 [下一步]。
會出現警告——閱讀並按一下下一步
。 
在下一個 MIM 密碼重設入口網站組態畫面中,輸入密碼重設入口網站的 MIM 服務伺服器位址,然後選取內部網路使用者是否可以存取此網站。 點選 [下一步]。
當所有安裝前的定義準備就緒時,請按一下 [安裝 ],以開始安裝選取的 服務與 Portal 元件。
安裝後步驟
安裝完成之後,請確認 MIM 入口網站為作用中。
在
http://mim.contoso.com/identitymanagement上啟動 Internet Explorer 並連線到 MIM 入口網站。 請注意,第一次瀏覽此頁面時可能會有短暫的延遲。- 如有必要,請以安裝 MIM 服務和入口網站的使用者身分向 Internet Explorer 驗證。
在 Internet Explorer 中,開啟 [Internet Options],切換至 [安全性] 標籤,如果尚未存在,就將網站新增至 [本機內部網路] 區域。 關閉 [因特網選項] 對話框。
在 Internet Explorer 中,開啟 [設定],變更為 [相容性檢視設定] 索引標籤,然後取消勾選 [在相容性檢視中顯示內部網站] 的核取方塊。 關閉 兼容性檢視 對話框。
啟用非系統管理員存取 MIM 入口網站。
- 使用 Internet Explorer,在 MIM 入口網站中,點擊 管理原則規則。
- 搜尋管理政策規則,使用者管理:用戶可以讀取自己的屬性。
- 選擇此管理策略規則,取消選取 [已停用的策略]。
- 按一下 [確定] ,然後按一下 [提交] 。
注意
此時您可以選擇安裝 MIM 增益集、延伸模組和語言套件。