Instalace MIM 2016 s aktualizací SP2: služba MIM a portál pro zákazníky Azure AD Premium

« Synchronizační služba MIMSynchronizace databází »

Poznámka

Tento návod používá vzorové názvy a hodnoty ze společnosti nazývané Contoso. Nahraďte je vlastními. Příklad:

• název serveru služby a portálu MIM – mim.contoso.com
• název serveru SQL – contosoagl.contoso.com
• Název účtu služby – svcMIMService
• Název domény – contoso
• Heslo – Pass@word1

Než začnete

• Tato příručka je určená k instalaci služby MIM v organizacích licencovaných pro Azure AD Premium. Pokud vaše organizace nemá Azure AD Premium nebo nepoužívá Azure AD, budete muset místo toho postupovat podle pokynů k instalaci pro multilicenční edici MIM.
• Ujistěte se, že máte Azure AD přihlašovací údaje uživatele s dostatečným oprávněním k ověření, že vaše předplatné tenanta zahrnuje Azure AD Premium a může vytvářet registrace aplikací.
• Pokud plánujete používat Office 365 ověřování kontextu aplikace, budete muset spustit skript pro registraci aplikace MIM Služby v Azure AD a udělit MIM Službě oprávnění pro přístup k poštovní schránce služby MIM v Office 365. Uložte výstup skriptu, protože během instalace budete potřebovat výsledné ID aplikace a tajný kód později.

Možnosti nasazení

Možnosti v nasazení závisí na dvou kritériích:

• Jestli bude služba MIM spuštěná jako běžný účet služby Windows nebo jako účet služby spravované skupinou (gMSA)
• Jestli služba MIM bude odesílat e-maily prostřednictvím Exchange Server, Office 365 nebo serveru SMTP

Dostupné možnosti nasazení:

• Možnost A: Běžný účet služby + Exchange Server
• Možnost B: Běžný účet služby + Office 365 základní ověřování
• Možnost C: Účet běžné služby + Office 365 ověřování kontextu aplikace
• Možnost D: Účet běžné služby + SMTP
• Možnost E: Běžný účet služby + žádný poštovní server
• Možnost F: Účet služby spravované skupinami + Exchange Server
• Možnost G: Účet služby spravované skupinami + Office 365 základní ověřování
• Možnost H: Účet služby spravované skupinami + Office 365 ověřování kontextu aplikace
• Možnost I: Účet služby spravované skupinami + žádný poštovní server

Poznámka

Možnost serveru SMTP funguje jenom s běžnými účty služeb a integrovaným ověřováním Windows a neumožňuje použití doplňku Outlook ke schválení.

Příprava na ověřování kontextu aplikace Office 365

Počínaje buildem 4.6.421.0 kromě základního ověřování služba MIM podporuje ověřování kontextu aplikace pro Office 365 poštovní schránky. Ukončení podpory základního ověřování bylo oznámeno 20. září 2019, proto se doporučuje použít ověřování kontextu aplikace k odesílání oznámení a shromažďování odpovědí na schválení.

Scénář ověřování kontextu aplikace vyžaduje registraci aplikace v Azure AD, vytvoření tajného klíče klienta, který se použije místo hesla, a udělení oprávnění této aplikace pro přístup k poštovní schránce služby MIM Service. Služba MIM bude používat toto ID aplikace a tento tajný klíč pro přístup ke své poštovní schránce v Office 365. Aplikaci můžete zaregistrovat v Azure AD buď pomocí skriptu (doporučeno), nebo ručně.

Registrace aplikace pomocí portálu Azure AD

1. Přihlaste se k portálu Azure AD pomocí role globálního správce.

2. Přejděte do okna Azure AD a zkopírujte ID tenanta z části Přehled a uložte ho.

3. Přejděte do části Registrace aplikací a klikněte na tlačítko Nová registrace.

4. Zadejte název aplikace, například MIM přístup klienta poštovní schránky služby, a klikněte na Zaregistrovat.

5. Po registraci aplikace zkopírujte hodnotu ID aplikace (klienta) a uložte ji.

6. Přejděte do části Oprávnění rozhraní API a odvolejte oprávnění User.Read kliknutím na tři tečky vpravo pro název oprávnění a výběrem možnosti Odebrat oprávnění. Potvrďte, že chcete odebrat toto oprávnění.

7. Klikněte na tlačítko Přidat oprávnění . Přepněte na rozhraní API, která moje organizace používá, a zadejte Office. Vyberte Office 365 Exchange Online a typ oprávnění aplikace. Zadejte úplnou verzi a vyberte full_access_as aplikaci. Klikněte na tlačítko Přidat oprávnění .

8. Zobrazí se oprávnění přidaná a souhlas správce se neuděluje. Klikněte na tlačítko Udělit souhlas správce vedle tlačítka Přidat oprávnění .

9. Přejděte na Certifikáty a tajné kódy a zvolte přidat nový tajný klíč klienta. Pokud vyberete čas vypršení platnosti tajného kódu, budete muset změnit konfiguraci služby MIM blíže k datu vypršení platnosti, aby používala jiný tajný kód. Pokud nechcete obměňovat tajné kódy aplikací, vyberte Nikdy. Zadejte název tajného kódu, například MIM Službu a klikněte na tlačítko Přidat. Na portálu se zobrazí hodnota tajného kódu. Zkopírujte tuto hodnotu (ne ID tajného kódu) a uložte ji.

10. Teď, když máte ID tenanta, ID aplikace a tajný klíč aplikace potřebný instalačním programem, můžete pokračovat v instalaci služby a portálu MIM. Kromě toho můžete chtít omezit přístup k nově zaregistrované aplikaci jenom na poštovní schránku služby MIM Service (full_access_as_app uděluje přístup ke všem poštovním schránkám ve vaší organizaci). Abyste to mohli udělat, musíte vytvořit zásady přístupu k aplikacím. Pokud chcete omezit přístup aplikace jenom k poštovní schránce služby MIM Service, postupujte podle tohoto průvodce. Budete muset vytvořit distribuční nebo poštovní skupinu zabezpečení a přidat do této skupiny poštovní schránku služby MIM. Pak spusťte příkaz PowerShellu a zadejte přihlašovací údaje správce Exchange Online:

    New-ApplicationAccessPolicy `
    -AccessRight RestrictAccess `
    -AppId "<your application ID from step 5>" `
    -PolicyScopeGroupId <your group email> `
    -Description "Restrict MIM Service app to members of this group"
    

Registrace aplikace pomocí skriptu PowerShellu

Create-MIMMailboxApp.ps1 skript najdete buď v Scripts.zip/Scripts/Service and Portal, nebo ve službě a Portal.zip\Service and Portal\Program Files\Microsoft Forefront Identity Manager\2010\Service\Scripts.

Pokud vaše poštovní schránka služby MIM není hostovaná v národním cloudu nebo cloudu státní správy, jediný parametr, který musíte předat skriptu, je MIM e-mail služby, například MIMService@contoso.onmicrosoft.com.

V okně PowerShellu spusťte Create-MIMMailboxApp.ps1 s parametrem e-mailu> -MailboxAccountEmail <a zadejte e-mail služby MIM.

./Create-MIMMailboxApp.ps1 -MailboxAccountEmail <MIM Service email>

Po zobrazení výzvy k zadání přihlašovacích údajů zadejte přihlašovací údaje globálního správce Azure AD pro registraci aplikace v Azure.

Jakmile je aplikace zaregistrovaná, zobrazí se další automaticky otevírané okno s žádostí o Exchange Online přihlašovací údaje správce k vytvoření zásad přístupu k aplikacím.

Po úspěšné registraci aplikace by výstup skriptu měl vypadat takto:

Po registraci aplikace dojde k 30sekundové prodlevě a otevře se okno prohlížeče, které zabrání problémům s replikací. Zadejte přihlašovací údaje správce klienta Azure AD a přijměte žádost o udělení přístupu aplikace k poštovní schránce služby MIM Service. Automaticky otevírané okno by mělo vypadat takto:

Po kliknutí na tlačítko Přijmout budete přesměrováni na Centrum pro správu Microsoftu 365. Okno prohlížeče můžete zavřít a zkontrolovat výstup skriptu. Měl by vypadat takto:

Zkopírujte hodnoty ApplicationId, TenantId a ClientSecret, protože je bude potřebovat instalační program služby MIM a portálu.

Nasazení služby a portálu MIM

Běžné kroky nasazení

1. Vytvořte dočasný adresář pro zachování protokolů instalačního programu, například c:\miminstall.

2. Spusťte příkazový řádek se zvýšenými oprávněními, přejděte do složky binárních souborů instalačního programu služby MIM a spusťte

   msiexec /i "Service and Portal.msi" /lvxi* c:\miminstall\log.txt
   

   Na úvodní obrazovce klikněte na Další.

   

3. Zkontrolujte licenční smlouvu End-User a klikněte na Další , pokud licenční podmínky přijmete.

   

4. Národní cloudy jsou izolované instance Azure. Vyberte, ve které instanci Azure Cloud je váš tenant hostovaný, a klikněte na Tlačítko Další.

   

   Organizace, které nepoužívají národní cloud nebo cloud pro státní správu, by měly vybrat globální instanci Azure AD.

   

5. Po výběru příslušného cloudu vás instalační program požádá o ověření pro daného tenanta. V místním okně zadejte Azure AD přihlašovací údaje uživatele v daném tenantovi k ověření úrovně předplatného tenanta. Zadejte své uživatelské jméno Azure AD a klikněte na Další.

   

   Zadejte heslo a klikněte na Přihlásit se.

   

   Pokud instalační program nemůže najít předplatné pro Azure AD Premium P1 nebo jiné předplatné, které zahrnuje Azure AD Premium, zobrazí se automaticky otevíraná chyba. Zkontrolujte, jestli je uživatelské jméno pro správného tenanta, a další informace najdete v souboru protokolu instalačního programu.

6. Po dokončení kontroly licence vyberte MIM součásti služby a portálu, které chcete nainstalovat, a klikněte na tlačítko Další.

   

7. Zadejte název serveru a databáze SQL. Pokud upgradujete z předchozích verzí MIM, zvolte opakované použití stávající databáze. Pokud se instaluje pomocí clusteru s podporou převzetí služeb při selhání SQL nebo Always-On naslouchacího procesu skupiny dostupnosti, zadejte název clusteru nebo naslouchacího procesu. Klikněte na Next (Další).

   

8. Pokud instalujete MIM pomocí existující databáze, zobrazí se upozornění. Klikněte na Next (Další).

   

9. Zvolte kombinaci typu poštovního serveru a metody ověřování (možnosti A-I, viz níže).

   

   Pokud instalujete službu MIM pomocí účtu služby Group-Managed, zaškrtněte příslušné políčko, jinak toto políčko ponechte nezaškrtnuté. Klikněte na Next (Další).

   

   Pokud vyberete nekompatibilní kombinaci typu poštovního serveru a metody ověřování, zobrazí se po kliknutí na tlačítko Další automaticky otevíraná chyba.

   

Možnost A. Účet pravidelné služby + Exchange Server

1. Na stránce Konfigurovat běžné služby vyberte Exchange Server 2013 nebo novější a integrované ověřování Windows. Zadejte název hostitele serveru Exchange. Políčko Použít účet spravované služby skupiny ponechte nezaškrtnuté. Klikněte na Next (Další).

   

2. Pokud instalujete MIM komponentu Reporting, zadejte název serveru pro správu System Center Service Manager a klikněte na tlačítko Další.

   

3. Pokud instalujete komponentu MIM Reporting pouze v prostředí PROTOKOLU TLS 1.2 s System Center Service Manager 2019, zvolte certifikát důvěryhodný serverem SCSM s názvem hostitele serveru MIM v předmětu certifikátu, jinak se rozhodnete vygenerovat nový certifikát podepsaný svým držitelem. Klikněte na Next (Další).

   

4. Zadejte název a heslo účtu služby MIM, název domény a adresu SMTP poštovní schránky služby MIM. Klikněte na Next (Další).

   

Možnost B. Běžný účet služby + Office 365 základní ověřování

1. Na stránce Konfigurovat běžné služby vyberte Office 365 poštovní služby a základní ověřování. Políčko Použít účet spravované služby skupiny ponechte nezaškrtnuté. Klikněte na Next (Další).

   

2. Pokud instalujete MIM komponentu Reporting, zadejte název serveru pro správu System Center Service Manager a klikněte na tlačítko Další.

   

3. Pokud instalujete komponentu MIM Reporting pouze v prostředí PROTOKOLU TLS 1.2 s System Center Service Manager 2019, zvolte certifikát důvěryhodný serverem SCSM s názvem hostitele serveru MIM v předmětu certifikátu, jinak se rozhodnete vygenerovat nový certifikát podepsaný svým držitelem. Klikněte na Next (Další).

   

4. Zadejte název a heslo účtu služby MIM, název domény, adresu SMTP Office 365 poštovní schránky služby MIM a MIM poštovní schránku služby Azure AD heslo. Klikněte na Next (Další).

   

Možnost C. Účet běžné služby + Office 365 ověřování kontextu aplikace

1. Na stránce Konfigurovat běžné služby vyberte Office 365 poštovní službě a ověřování kontextu aplikace. Políčko Použít účet spravované služby skupiny ponechte nezaškrtnuté. Klikněte na Next (Další).

   

2. Pokud instalujete MIM komponentu Reporting, zadejte název serveru pro správu System Center Service Manager a klikněte na tlačítko Další.

   

3. Zadejte AZURE AD ID aplikace, ID tenanta a tajný klíč klienta, které byly generovány skriptem dříve. Klikněte na Next (Další).

   

   Pokud se instalačnímu programu nepodaří ověřit ID aplikace nebo ID tenanta, zobrazí se chyba:

   

   Pokud se instalačnímu programu nepodaří získat přístup k poštovní schránce služby MIM Service, zobrazí se další chyba:

   

4. Pokud instalujete komponentu MIM Reporting pouze v prostředí PROTOKOLU TLS 1.2 s System Center Service Manager 2019, zvolte certifikát důvěryhodný serverem SCSM s názvem hostitele serveru MIM v předmětu certifikátu, jinak se rozhodnete vygenerovat nový certifikát podepsaný svým držitelem. Klikněte na Next (Další).

   

5. Zadejte název a heslo účtu služby MIM, název domény a adresu SMTP Office 365 poštovní schránky služby MIM. Klikněte na Next (Další).

   

Možnost D. Běžný účet služby + server SMTP

1. Na stránce Konfigurovat běžné služby vyberte SMTP a integrované ověřování Windows. Zadejte název hostitele serveru SMTP. Políčko Použít účet spravované služby skupiny ponechte nezaškrtnuté. Klikněte na Next (Další).

   

2. Pokud instalujete MIM komponentu Reporting, zadejte název serveru pro správu System Center Service Manager a klikněte na tlačítko Další.

   

3. Pokud instalujete komponentu MIM Reporting pouze v prostředí PROTOKOLU TLS 1.2 s System Center Service Manager 2019, zvolte certifikát důvěryhodný serverem SCSM s názvem hostitele serveru MIM v předmětu certifikátu, jinak se rozhodnete vygenerovat nový certifikát podepsaný svým držitelem. Klikněte na Next (Další).

   

4. Zadejte název a heslo účtu služby MIM, název domény a adresu SMTP služby MIM. Klikněte na Next (Další).

   

Možnost E. Běžný účet služby + žádný poštovní server

1. Na stránce Konfigurovat běžné služby vyberte Typ žádného serveru. Políčko Použít účet spravované služby skupiny ponechte nezaškrtnuté. Klikněte na Next (Další).

   

2. Pokud instalujete MIM komponentu Reporting, zadejte název serveru pro správu System Center Service Manager a klikněte na tlačítko Další.

   

3. Pokud instalujete komponentu MIM Reporting pouze v prostředí PROTOKOLU TLS 1.2 s System Center Service Manager 2019, zvolte certifikát důvěryhodný serverem SCSM s názvem hostitele serveru MIM v předmětu certifikátu, jinak se rozhodnete vygenerovat nový certifikát podepsaný svým držitelem. Klikněte na Next (Další).

   

4. Zadejte název a heslo účtu služby MIM, název domény. Klikněte na Next (Další).

   

Možnost F. Účet služby spravované skupinou + Exchange Server

1. Na stránce Konfigurovat běžné služby vyberte Exchange Server 2013 nebo novější a integrované ověřování Windows. Zadejte název hostitele serveru Exchange. Povolit možnost Použít účet spravované služby skupiny Klikněte na Next (Další).

   

2. Pokud instalujete MIM komponentu Reporting, zadejte název serveru pro správu System Center Service Manager a klikněte na tlačítko Další.

   

3. Pokud instalujete komponentu MIM Reporting pouze v prostředí PROTOKOLU TLS 1.2 s System Center Service Manager 2019, zvolte certifikát důvěryhodný serverem SCSM s názvem hostitele serveru MIM v předmětu certifikátu, jinak se rozhodnete vygenerovat nový certifikát podepsaný svým držitelem. Klikněte na Next (Další).

   

4. Zadejte MIM název účtu služby spravovaného skupinou, název domény, MIM poštovní schránka služby SMTP a heslo. Klikněte na Next (Další).

   

Možnost G. Účet služby spravované skupinou + Office 365 základní ověřování

1. Na stránce Konfigurovat běžné služby vyberte Office 365 poštovní služby a základní ověřování. Povolit možnost Použít účet spravované služby skupiny Klikněte na Next (Další).

   

2. Pokud instalujete MIM komponentu Reporting, zadejte název serveru pro správu System Center Service Manager a klikněte na tlačítko Další.

   

3. Pokud instalujete komponentu MIM Reporting pouze v prostředí PROTOKOLU TLS 1.2 s System Center Service Manager 2019, zvolte certifikát důvěryhodný serverem SCSM s názvem hostitele serveru MIM v předmětu certifikátu, jinak se rozhodnete vygenerovat nový certifikát podepsaný svým držitelem. Klikněte na Next (Další).

   

4. Zadejte název účtu služby spravované MIM skupiny, název domény, Office 365 poštovní schránku SMTP služby MIM a Azure AD heslo účtu služby MIM. Klikněte na Next (Další).

   

Možnost H. Účet služby spravované skupinou + Office 365 ověřování kontextu aplikace

1. Na stránce Konfigurovat běžné služby vyberte Office 365 poštovní službě a ověřování kontextu aplikace. Povolit možnost Použít účet spravované služby skupiny Klikněte na Next (Další).

   

2. Pokud instalujete MIM komponentu Reporting, zadejte název serveru pro správu System Center Service Manager a klikněte na tlačítko Další.

   

3. Zadejte AZURE AD ID aplikace, ID tenanta a tajný klíč klienta, které byly generovány skriptem dříve. Klikněte na Next (Další).

   

   Pokud se instalačnímu programu nepodaří ověřit ID aplikace nebo ID tenanta, zobrazí se chyba:

   

   Pokud se instalačnímu programu nepodaří získat přístup k poštovní schránce služby MIM Service, zobrazí se další chyba:

   

4. Pokud instalujete komponentu MIM Reporting pouze v prostředí PROTOKOLU TLS 1.2 s System Center Service Manager 2019, zvolte certifikát důvěryhodný serverem SCSM s názvem hostitele serveru MIM v předmětu certifikátu, jinak se rozhodnete vygenerovat nový certifikát podepsaný svým držitelem. Klikněte na Next (Další).

   

5. Zadejte MIM Název účtu služby spravovaného skupinou, název domény a MIM Poštovní schránka SMTP Office 365. Klikněte na Next (Další).

   

Možnost I. Účet služby spravované skupinami + žádný poštovní server

1. Na stránce Konfigurovat běžné služby vyberte Typ žádného serveru. Povolit možnost Použít účet spravované služby skupiny Klikněte na Next (Další).

   

2. Pokud instalujete MIM komponentu Reporting, zadejte název serveru pro správu System Center Service Manager a klikněte na tlačítko Další.

   

3. Pokud instalujete komponentu MIM Reporting pouze v prostředí PROTOKOLU TLS 1.2 s System Center Service Manager 2019, zvolte certifikát důvěryhodný serverem SCSM s názvem hostitele serveru MIM v předmětu certifikátu, jinak se rozhodnete vygenerovat nový certifikát podepsaný svým držitelem. Klikněte na Next (Další).

   

4. Zadejte název účtu služby spravovaného skupinou služby MIM název domény. Klikněte na Next (Další).

   

Běžné kroky nasazení Pokračování

1. Pokud MIM účet služby nebyl omezen na odepření místních přihlášení, zobrazí se zpráva s upozorněním. Klikněte na Next (Další).

   

2. Zadejte název hostitele synchronizačního serveru MIM. Zadejte název účtu agenta pro správu MIM. Pokud instalujete synchronizační službu MIM pomocí účtu služby Group-Managed, přidejte znaménko dolaru do názvu účtu, například contoso\MIMSyncGMSAsvc$. Klikněte na Next (Další).

   

3. Zadejte název hostitele serveru služby MIM. V případě, že se nástroj pro vyrovnávání zatížení používá k vyrovnávání MIM datové části služby, zadejte název clusteru. Klikněte na Next (Další).

   

4. Zadejte název kolekce webů SharePoint. Nezapomeňte nahradit http://localhost správnou hodnotou. Klikněte na Next (Další).

   

   Zobrazí se upozornění. Klikněte na Next (Další).

   

5. Pokud se instaluje Self-Service web pro registraci hesel (pokud používáte Azure AD pro resetování hesla), zadejte adresu URL MIM klienti se po přihlášení přesměrují na adresu URL. Klikněte na Next (Další).

   

6. Zaškrtnutím příslušných políček otevřete porty 5725 a 5726 v bráně firewall a potom zaškrtněte políčko, které všem ověřeným uživatelům uděluje přístup k portálu MIM. Klikněte na Next (Další).

   

7. Pokud instalujete Self-Service web pro registraci hesel (pokud používáte Azure AD pro resetování hesla), nastavte název účtu fondu aplikací a jeho heslo, název hostitele a port webu. V případě potřeby povolte možnost Otevřít port v bráně firewall . Klikněte na Next (Další).

   

   Zobrazí se upozornění. Přečtěte si ho a klikněte na Další.

   

8. Na další MIM konfiguračním portálu pro registraci hesel zadejte adresu serveru služby MIM pro portál pro registraci hesel a vyberte, jestli bude tento web přístupný uživatelům intranetu. Klikněte na Next (Další).

   

9. Pokud instalujete web Self-Service resetování hesla, nastavte název účtu fondu aplikací a jeho heslo, název hostitele a port webu. V případě potřeby povolte možnost Otevřít port v bráně firewall . Klikněte na Next (Další).

   

   Zobrazí se upozornění. Přečtěte si ho a klikněte na Další.

   

10. Na další MIM konfigurační obrazovce portálu pro resetování hesla zadejte adresu serveru služby MIM portálu pro resetování hesla a vyberte, jestli bude tento web přístupný uživatelům intranetu. Klikněte na Next (Další).

    

11. Když jsou všechny předinstalační definice připravené, kliknutím na Instalovat zahájíte instalaci vybraných komponent služby a portálu.

Úlohy po instalaci

Po dokončení instalace ověřte, že je portál MIM aktivní.

1. Spusťte Internet Explorer a připojte se k portálu MIM na .http://mim.contoso.com/identitymanagement Všimněte si, že na první návštěvě této stránky může dojít k krátké prodlevě.

   • V případě potřeby se ověřte jako uživatel, který nainstaloval službu MIM Service and Portal, do Internet Exploreru.

2. V Internet Exploreru otevřete možnosti internetu, přejděte na kartu Zabezpečení a přidejte web do zóny Místní intranet , pokud tam ještě není. Zavřete dialogové okno Možnosti internetu.

3. V Internet Exploreru otevřete Nastavení, přejděte na kartu Nastavení zobrazení kompatibility a zrušte zaškrtnutí políčka Zobrazit intranetové weby v zobrazení kompatibility. Zavřete dialogové okno Zobrazení kompatibility .

4. Povolte přístup k portálu MIM, který nejsou správci.

   1. Použijte Internet Explorer a na portálu MIM klikněte na Pravidla zásad správy.
   2. Vyhledejte pravidlo zásad správy User management: Users can read attributes of their own (Správa uživatelů: Uživatelé mohou číst vlastní atributy).
   3. Vyberte toto pravidlo zásad správy a zrušte zaškrtnutí políčka Zásada je zakázána.
   4. Klikněte na OK a potom na Odeslat.

Poznámka

Volitelné: V tuto chvíli můžete nainstalovat MIM doplňky a rozšíření a jazykové sady.

« Synchronizační služba MIMSynchronizace databází »