手順 4 - PAM サーバーとワークステーションに MIM コンポーネントをインストールする

  • [アーティクル]

«手順 3手順 5 »

PAMSRV で PRIV\Administrator としてサインインして、MIM サービスをインストールできるようにします。

注意

ドメイン管理者である必要があります。AD の PRIV ドメインへの書き込みアクセス権を持たないユーザーとして次のコマンドを実行していない場合、インストールは成功しません。 これは、MIM インストールによって新しい AD OU "PAM オブジェクト" が作成されるためです。

MIM をダウンロードした場合は、MIM インストール アーカイブを新しいフォルダーに解凍します。

サービスとポータルのインストール プログラムを実行する

インストーラーのガイドラインに従って、インストールを完了します。

  1. コンポーネント機能を選択する場合は、MIM サービスを含めます (特権アクセス管理を使用しますが、MIM レポートは含まれません)。 前の手順で SharePoint をインストールした場合は、MIM ポータルをインストールできます。 前の手順で SharePoint をインストールしなかった場合は、MIM ポータルをインストールしないでください。

    カスタム セットアップ - スクリーンショット

  2. 一般的なサービスと MIM データベース接続を構成する場合は、 [新しいデータベースを作成] を指定します。

    注意

    高可用性のために MIM サービスを 2 回以上インストールする場合は、2 回目以降のすべてのインストールで [既存のデータベースを使用] を指定します。

  3. メール サーバー接続を構成する場合は、メール サーバーを CORP 環境の Exchange または SMTP サーバーのホスト名に設定し (テスト環境では、PRIV 環境にメール サーバーがない場合は corpdc.contoso.local を使用する場合があります)、[SSL とメール サーバーを使用する] チェック ボックスをオフにExchange Server 2007 または Exchange Server 2010 です。

  4. 新しい自己署名証明書を生成することを選びます。

  5. 次のアカウントの資格情報を設定します。

    • サービス アカウント名: MIMService
    • サービス アカウント パスワード: Pass@word1 (または手順 2 で作成したパスワード)
    • サービス アカウント ドメイン: PRIV:
    • サービス メール アカウント: MIMService@priv.contoso.local

  6. 同期サーバーのホスト名は既定値をそのまま使い、MIM 管理エージェント アカウントには「PRIV\MIMMA」を指定します。 MIM 同期サービスが存在しないという警告メッセージが表示されます。 MIM 同期サービスはこのシナリオでは使用されないため、この警告は問題ありません。

  7. MIM サービス サーバーのアドレスとして「PAMSRV」を設定します。

  8. SharePoint サイト コレクション URL として http://pamsrv.priv.contoso.local:82 を設定します。

  9. 登録ポータル URL を空白のままにします。

  10. ファイアウォールでポート 5725 と 5726 を開くチェックボックスをオンにし、MIM ポータルがインストールされている場合は、すべての認証済みユーザーに MIM ポータル サイトへのアクセスを許可するチェック ボックスをオンにします。

  11. PAM REST API ホスト名は空白のままにし、ポート番号として 8086 を設定します。

    PAM REST API のバインド情報 - スクリーンショット

  12. SHAREPoint と同じアカウントを使用するように MIM PAM REST API アカウントを構成します (MIM ポータルをこのサーバーに併置してインストールする場合)。

    • アプリケーション プール アカウント名: SharePoint
    • アプリケーション プール アカウント パスワード: Pass@word1 (または手順 2 で作成したパスワード)
    • アプリケーション プール アカウント ドメイン: PRIV:

    アプリケーション プール アカウントの資格情報のスクリーンショット

    現在の構成ではサービス アカウントがセキュリティ保護されていないことを警告するメッセージが表示されることがあります。 これは問題ありません。

  13. MIM PAM コンポーネント サービスを構成します。

    • サービス アカウント名: MIMComponent
    • サービス アカウント パスワード: Pass@word1 (または手順 2 で作成したパスワード)
    • サービス アカウント ドメイン: PRIV:

    PAM コンポーネント サービスのアカウント資格情報 - スクリーンショット

  14. PAM 監視サービスを構成します。

    • サービス アカウント名: MIMMonitor
    • サービス アカウント パスワード: Pass@word1 (または手順 2 で作成したパスワード)
    • サービス アカウント ドメイン: PRIV:

    PAM 監視サービスのアカウント資格情報のスクリーンショット

  15. [MIM パスワード ポータルの情報の入力] ページで、チェックボックスをオフのままにして続行します。 [次へ] をクリックし、インストールを続行します。

  16. インストールが完了すると、サーバーが再起動します。

PowerShell から管理ポリシールールを設定する

MIM ポータルをインストールした場合は、次のセクションに進みます。

  1. PAMSRV が再起動したら、PRIV\Administrator としてサインインします。

  2. PowerShell を起動し、「」と入力 add-pssnapin fimautomation して、MIM サービス構成 PowerShell コマンドレットを読み込みます。

  3. PowerShell を使用して MPR を有効にし、ローカルに保存する方法というスクリプトをダウンロードします。

  4. スクリプトを使用して、ユーザー管理という名前の MPR を有効にします 。ユーザーは独自の属性を読み取ることができます。 完了すると、 MPR が正常に有効になったというメッセージが表示されます。

  5. 以下のセクション「 ファイアウォール接続の確認」に進みます

MIM ポータルと管理ポリシールールを設定する

SharePoint をインストールすることを選択した場合は、MIM ポータルがアクティブであることを確認し、ユーザーが MIM で独自のオブジェクト リソースを表示できるようにします。

  1. PAMSRV が再起動したら、PRIV\Administrator としてサインインします。

  2. Internet Explorer を起動し、 http://pamsrv.priv.contoso.local:82/identitymanagement 上の MIM ポータルに接続します。 このページに初めてアクセスするときは、短時間の遅延が発生することがあります。

  3. 必要に応じて、Internet Explorer に対して PRIV\Administrator としてサインインします。

  4. [インターネット エクスプローラー] で、[インターネット オプション] を開き、[セキュリティ] タブに移動し、サイトがまだ存在しない場合はローカル イントラネット ゾーンに追加します。 [インターネット オプション] ダイアログを閉じます。

  5. インターネット エクスプローラーを使用して MIM ポータルを表示し、[管理ポリシー規則] を選択します。

  6. 管理ポリシー規則で [User management: Users can read attributes of their own]\(ユーザー管理: ユーザーが自分の属性を読み取ることができる\) を見つけます。

  7. この管理ポリシー規則を選択し、[ ポリシーが無効] をオフにし、[ OK] を選択して、[送信] を選択 します

ファイアウォール接続の確認

ファイアウォールが TCP ポート 5725、5726、8086、8090 との受信接続を許可していることを確認します。

  1. セキュリティが強化された Windows ファイアウォール を起動します (管理ツールにあります)。

  2. [受信の規則] をクリックします。

  3. 次の 2 つの規則が一覧に表示されていることを確認します。

    • Forefront Identity Manager サービス (STS)
    • Forefront Identity Manager サービス (Webservice)

  4. [新しい規則]>[ポート]>[TCP] をクリックし、特定のローカル ポート 8086 および 8090 を入力します。 既定値のままウィザードを次に進め、規則に名前を付けて [完了] をクリックします。

  5. ウィザードが完了したら、Windows ファイアウォール アプリケーションを閉じます。

  6. [コントロール パネル] を起動します。

  7. [ネットワークとインターネット] で、[ ネットワークの状態とタスクの表示] を選択します。

  8. priv.contoso.local として一覧表示されているアクティブなネットワークとドメイン ネットワークがあることを確認します。

  9. [コントロール パネル] を閉じます。

省略可能: サンプル Web アプリケーションを設定する

このセクションでは、MIM PAM REST API 用のサンプル Web アプリケーションをインストールして構成します。 このコンポーネントは、MIM PAM REST API の使用方法を学習する場合にのみ必要です。 PowerShell を使用してアクセスを要求および承認する場合は、次のセクションに進み、MIM PAM リクエスタ コマンドレットをインストールします。

  1. サンプル Web アプリケーション アーカイブから ID 管理のサンプルを zip ファイルとしてダウンロードします。

  2. フォルダー identity-management-samples-master\Privileged-Access-Management-Portal\src の内容を新しいフォルダー C:\Program Files\Microsoft Forefront Identity Manager\2010\Privileged Access Management Portal に展開します。

  3. 次を使用して IIS に新しい Web サイトを作成します。

    • MIM Privileged Access Management Example Portal のサイト名。
    • 物理パス C:\Program Files\Microsoft Forefront Identity Manager\2010\Privileged Access 管理ポータル、および
    • ポート 8090。

    サイトを作成するには、次の PowerShell コマンドを使用します。

    New-WebSite -Name "MIM Privileged Access Management Example Portal" -Port 8090   -PhysicalPath "C:\Program Files\Microsoft Forefront Identity Manager\2010\Privileged Access Management Portal\"

  4. サンプル Web アプリケーションがユーザーを MIM PAM REST API にリダイレクトできるようにセットアップします。 メモ帳などのテキスト エディターを使用して、ファイル C:\Program Files\Microsoft Forefront Identity Manager\2010\Privileged Access Management REST API\web.configを編集します。セクションで<system.webServer>、次の行を追加します。

    <httpProtocol>
<customHeaders>
  <add name="Access-Control-Allow-Credentials" value="true"  />
  <add name="Access-Control-Allow-Headers" value="content-type" />
  <add name="Access-Control-Allow-Origin" value="http://pamsrv:8090" />
</customHeaders>
</httpProtocol>

  5. サンプル Web アプリケーションを構成します。 メモ帳などのテキスト エディターを使用して、ファイル C:\Program Files\Microsoft Forefront Identity Manager\2010\Privileged Access Management Portal\js\utils.js を編集します。 pamRespApiUrl の値を http://pamsrv.priv.contoso.local:8086/api/pamresources/ に設定します。

  6. これらの変更を有効にするために、次のコマンドで IIS を再起動します。

    iisreset

  7. (省略可能) ユーザーが REST API に対して認証できることを確認します。 PAMSRV で管理者として Web ブラウザーを開きます。 Web サイト URL http://pamsrv.priv.contoso.local:8086/api/pamresources/pamroles/ にアクセスし、必要に応じて認証し、ダウンロードが実行されることを確認します。

MIM PAM Requestor コマンドレットをインストールします。

手順 2 で構成されたワークステーションに MIM PAM リクエスタ コマンドレットをインストールします。

  1. 管理者として PRIVWKSTN にサインインします。

  2. アドイン と拡張機能 を PRIVWKSTN コンピューターにダウンロードします (まだ存在しない場合)。

  3. フォルダーの アドインと拡張機能 のアーカイブを新しいフォルダーに展開します。

  4. インストーラー setup.exe を実行します。

  5. カスタム設定で、PAM クライアントをインストールするように指定し、Outlook 用 MIM アドインと、MIM パスワードおよび認証の拡張機能はインストールしないように指定します。

  6. PAM サーバーのアドレスには、PRIV MIM サーバーのホスト名として pamsrv.priv.contoso.local を指定します。

インストールが完了したら、PRIVWKSTN を再起動して、新しい PowerShell モジュールの登録を完了します。

次の手順では、PRIV フォレストと CORP フォレストの間に信頼を確立します。

«手順 3手順 5 »