Práticas recomendadas do Microsoft Identity Manager 2016 | Microsoft Docs

Este tópico descreve as práticas recomendadas para implantar e operar o Microsoft Identity Manager 2016 (MIM)

Configuração do SQL

Observação

Estas recomendações para configurar um servidor que executa o SQL partem do princípio de que há uma instância do SQL dedicada ao FIMService e outra dedicada ao banco de dados FIMSynchronizationService. Caso o FIMService seja executado em um ambiente consolidado, será necessário fazer os ajustes apropriados à configuração.

A configuração do servidor de linguagem SQL é essencial para que o sistema tenha um desempenho otimizado. Em implementações em grande escala, o desempenho otimizado do MIM depende da aplicação das práticas recomendadas em um servidor que executa o SQL. Para obter mais informações, consulte os seguintes tópicos sobre as práticas recomendadas do SQL:

• As 10 melhores práticas de armazenamento recomendadas

• Otimizando o desempenho do tempdb

• Artigo de práticas recomendado do SQL Server

• Reorganizar e Recompilar Índices

Arquivos de dados dimensionados previamente e de log

Não confie no crescimento automático. Em vez disso, gerencie o crescimento desses arquivos manualmente. É possível utilizar o crescimento automático por razões de segurança, mas é necessário gerenciar de maneira proativa o crescimento dos arquivos de dados. Para tamanhos de amostra do banco de dados do MIM, consulte o Guia de Planejamento de Capacidade do FIM.

Dimensionar previamente os dados do SQL e os arquivos de log

1. Inicie o SQL Server Management Studio.

2. Acesse o banco de dados FIMService, clique nele com o botão direito do mouse e, em seguida, clique em Propriedades.

3. Na página Arquivos, aumente os arquivos do banco de dados para o tamanho necessário.

Isolar o log dos arquivos de dados

Siga as práticas recomendadas do SQL Server para isolar os arquivos de log de dados e transações para os bancos de dados em para separar discos físicos.

Criar mais arquivos tempdb

Para obter um desempenho otimizado, recomenda-se a criação de um arquivo de dados por núcleo de CPU no arquivo tempdb.

Criar mais arquivos tempdb

1. Inicie o SQL Server Management Studio.

2. Acesse o banco de dados tempdb nos Bancos de Dados do Sistema, clique em tempdb com o botão direito do mouse e, em seguida, clique em Propriedades.

3. Na página Arquivos, crie um arquivo de dados para cada núcleo da CPU. Verifique se os arquivos tempdb de dados e log estão separados em unidades e eixos diferentes.

Assegure-se de que há espaço suficiente para os arquivos de log

É importante entender os requisitos de disco do modelo de recuperação. O modo de recuperação simples pode ser apropriado durante o carregamento inicial do sistema para limitar o uso de espaço em disco, mas os dados criados após o último backup ficará exposto à perda de dados. Ao usar o modo de recuperação completa, você precisa gerenciar o uso do disco por meio de backups que incluem backups frequentes do log de transações para evitar o alto uso de espaço em disco. Para obter mais informações, consulte Visão geral do Modelo de Recuperação.

Limitar a memória do SQL Server

Dependendo da quantidade de memória do SQL Server e se ele é compartilhado com outros serviços (ou seja, o Serviço do MIM 2016 e o Serviço de Sincronização do MIM 2016), talvez você queira restringir o consumo de memória do SQL. Você pode definir essa restrição por meio das etapas a seguir.

1. Inicie o SQL Server Enterprise Manager.

2. Selecione Nova Consulta.

3. Execute a seguinte consulta:

   USE master
   
   EXEC sp_configure 'show advanced options', 1
   
   RECONFIGURE WITH OVERRIDE
   
   USE master
   
   EXEC sp_configure 'max server memory (MB)', 12000--- max=12G RECONFIGURE
   WITH OVERRIDE
   

   Este exemplo reconfigura o servidor SQL para usar no máximo 12 gigabytes (GB) de memória.

4. Verifique a configuração usando a seguinte consulta:

   USE master
   
   EXEC sp_configure 'max server memory (MB)'--- verify the setting
   
   USE master
   
   EXEC sp_configure 'show advanced options', 0
   
   RECONFIGURE WITH OVERRIDE
   

Configuração de backup e recuperação

Em geral, você deve trabalhar com o administrador do banco de dados para criar uma estratégia de backup e recuperação. As recomendações incluem:

• Realize backups do banco de dados de acordo com a política de backup da organização.
• Caso os backups de log incremental não sejam planejados, o banco de dados deverá ser configurado no modo de recuperação simples.
• Entenda os efeitos dos diferentes modelos de recuperação, antes de implementar uma estratégia de backup. Conheça os Requisitos de Espaço em Disco para esses modelos. O modo de recuperação completa exige backups de log frequentes para evitar o uso excessivo do espaço em disco.

Para obter mais informações, consulte Visão Geral do Modelo de Recuperação e Guia de Backup e Restauração do FIM 2010.

Criar uma conta Administrador de Backup para o Serviço do FIM após a instalação

Os membros do conjunto de administradores do Serviço do FIM têm permissões exclusivas essenciais para a operação de implantação do MIM. Se não for possível fazer logon como parte do conjunto de administradores, a única solução será reverter para um backup anterior do sistema. Para atenuar essa situação, é recomendável adicionar outros usuários para ao conjunto Administrativo do FIM, como parte da configuração pós-instalação.

Serviço FIM

Configurar o serviço de caixa de correio do Exchange do Serviço FIM

Estas são as práticas recomendadas para configurar o Microsoft Exchange Server na conta de serviço do MIM 2016.

• Configure a conta de serviço para aceitar mensagens apenas de endereços de email internos. Especificamente, a caixa de correio de conta de serviço nunca deve receber mensagens de servidores SMTP externos.

Para configurar a conta de serviço

1. No Console de Gerenciamento do Exchange, selecione a conta de serviço do Serviço FIM.

2. Selecione Propriedades, Configurações de Fluxo de Mensagens e, em seguida, Restrições de Entrega de Mensagens.

3. Selecione a caixa de seleção Exigir que todos os remetentes sejam autenticados.

Para obter mais informações, consulte Configurar restrições de entrega de mensagens.

• Configure a conta de serviço para rejeitar mensagens com tamanhos maiores que 1 MB. Siga as práticas recomendadas para Configurar Limites de Tamanho de Mensagem de uma Caixa de Correio ou uma Pasta Pública Habilitada para Email.

• Configure a conta de serviço para ter uma cota de armazenamento de caixa de correio de 5 GB. Para obter resultados otimizados, siga as práticas recomendadas listadas na Configurar as Cotas de Armazenamento de uma Caixa de Correio.

Portal MIM

Desabilitar a indexação do SharePoint

É recomendável desabilitar a indexação do Microsoft Office SharePoint®. Não é necessário indexar nenhum documento. A indexação gera muitas entradas de log de erros e possíveis problemas de desempenho no MIM. Para desabilitar a indexação do SharePoint, execute estas etapas:

1. No servidor que hospeda o Portal do MIM 2016, clique em Iniciar.

2. Clique em Todos os Programas.

3. Na lista de Todos os Programas, clique em Ferramentas Administrativas.

4. Em Ferramentas Administrativas, clique em Administração Central do SharePoint.

5. Na página de Administração Central, clique em Operações.

6. Na página Operações, em Configuração Global, clique nas Definições de Trabalho do Timer.

7. Na página Definições de Trabalho do Timer, clique em Atualização da Pesquisa do SharePoint Services.

8. Na página Editar Trabalho do Timer, clique em Desabilitar.

Carregamento de Dados Inicial do MIM 2016

Esta seção descreve uma série de etapas para aumentar o desempenho do carregamento de dados inicial do sistema externo para o MIM. É importante entender que várias dessas etapas são realizadas apenas durante o preenchimento inicial do sistema. Elas devem ser redefinidas após a conclusão do carregamento. Essas etapas são para uma operação única e não para uma sincronização contínua.

Importante

Verifique se as práticas recomendadas abordadas na seção de configuração do SQL deste guia foram aplicadas.

Etapa 1: configurar o SQL Server para o carregamento de dados inicial

O carregamento inicial de dados pode ser um processo longo. Quando planejar o carregamento inicial de uma grande quantidade de dados, é possível reduzir o tempo necessário para preencher o banco de dados. Para fazer isso, desative temporariamente a pesquisa de texto completo e ative-a novamente, após concluir a exportação no agente de gerenciamento do MIM 2016.

Desligar temporariamente a pesquisa de texto completo:

1. Inicie o SQL Server Management Studio.

2. Selecione Nova Consulta.

3. Execute as seguintes instruções SQL:

ALTER FULLTEXT INDEX ON [fim].[ObjectValueString] SET CHANGE_TRACKING = MANUAL
ALTER FULLTEXT INDEX ON [fim].[ObjectValueXml] SET CHANGE_TRACKING = MANUAL

Importante

Não implementar esses procedimentos pode gerar um uso excessivo do espaço em disco, o que pode fazer com que ele acabe. É possível encontrar mais detalhes sobre este tópico em Visão Geral do Modelo de Recuperação. O Guia de Backup e Restauração do FIM contém mais informações.

Etapa 2: aplicar a configuração de MIM mínima necessária durante o processo de carregamento

Durante o processo de carregamento inicial, apenas a configuração mínima necessária deve ser aplicada à configuração do FIM das regras de gerenciamento de política (MPRs) e definições de configuração. Após o carregamento de dados, crie os conjuntos adicionais necessários para a implantação. Use a configuração Executar na Atualização da Política nos fluxos de trabalho da ação para aplicar essas políticas retroativamente aos dados carregados.

Etapa 3: configurar e preencher o Serviço FIM com os dados de identidade externa

Neste ponto, você deve seguir os procedimentos descritos no guia How Do I Synchronize Users from Active Directory Domain Services to FIM para configurar e sincronizar seu sistema com usuários do Active Directory. Se você precisar sincronizar informações de grupo, os procedimentos desse processo serão descritos no guia Como sincronizar grupos de Active Directory Domain Services para FIM.

Sequências de sincronização e exportação

Para otimizar o desempenho, execute uma exportação após uma execução de sincronização que resulta em um grande número de operações de exportação pendentes em um espaço conector. Em seguida, execute uma confirmação de importação no agente de gerenciamento associado ao espaço conector afetado. Por exemplo, quando for necessário executar perfis de execução de sincronização em diversos agentes de gerenciamento como parte de um carregamento de dados inicial, execute uma exportação seguida de uma importação delta após cada sincronização individual executada. Para cada agente de gerenciamento de origem que faz parte do ciclo de inicialização, execute as seguintes etapas:

1. Importação completa em um agente de gerenciamento de origem.

2. Sincronização completa no agente de gerenciamento de origem.

3. Exportação em todos os agentes de gerenciamento de destino afetados com operações de exportação em etapas.

4. Importação delta em todos os agentes de gerenciamento de destino afetados com operações de exportação em etapas.

Etapa 4: aplicar a configuração completa do MIM

Quando o carregamento de dados inicial for concluído, aplique a configuração completa do MIM à implantação.

Dependendo de seus cenários, essa etapa pode incluir a criação de conjuntos adicionais, MPRs e fluxos de trabalho. Para todas as políticas que devem ser aplicadas retroativamente a todos os objetos existentes no sistema, utilize a configuração Executar na Atualização da Política nos fluxos de trabalho da ação para aplicar essas políticas retroativamente aos dados carregados.

Etapa 5: reconfigurar o SQL com as configurações anteriores

Lembre-se de alterar a configuração do SQL para suas configurações normais. Essas alterações incluem:

• Ativar a pesquisa de texto completo

• Atualizar a política de backup de acordo com a política da empresa

Após a conclusão do carregamento de dados inicial, é necessário ativar novamente a pesquisa de texto completo. Execute as seguintes instruções SQL para ativar novamente a pesquisa de texto completo:

ALTER FULLTEXT INDEX ON [fim].[ObjectValueString] SET CHANGE_TRACKING = AUTO

ALTER FULLTEXT INDEX ON [fim].[ObjectValueXml] SET CHANGE_TRACKING = AUTO

Caso seja necessário mudar para o modo de recuperação simples, reconfigure o cronograma de backup de acordo com a política de backup da empresa. Mais detalhes sobre os cronogramas de backup do FIM estão disponíveis no Guia de Backup e Restauração do FIM.

Migração da Configuração

Evite alterar nomes de exibição

Para muitos tipos de objeto, como MPRs, o script syncproduction.ps1 usa o nome de exibição como o único atributo de âncora entre dois sistemas. Consequentemente, uma alteração no nome de exibição de uma MPR existente resulta na sua exclusão, seguida pela criação de uma nova MPR. Isso acontece porque o processo de migração não pode associar com êxito as MPRs cujos critérios de associação foram alterados. Para evitar esse problema, é possível associar um atributo personalizado a todos os tipos de objeto de configuração e usar esse atributo como critérios de associação. Esse processo permite modificar nomes de exibição sem afetar o processo de migração.

Evite alterar o conteúdo dos arquivos intermediários

Embora o formato de arquivo e a interface de programação de aplicativo (API) dos objetos de baixo nível sejam públicos e haja suporte dos desenvolvedores para as manipulações, não é recomendado alterar os conteúdos dos formatos intermediários durante a migração. No entanto, pode ser necessário remover todo o ImportObjects do changes.xml ou executar operações de localizar e substituir no pilot.xml para substituir números de versão ou informações do Sistema de Nome de Domínio (DNS) por informações de produção do DNS.

Verifique se o número de versão está correto no pilot.xml durante a migração entre versões

Embora as migrações entre números de versão não sejam recomendadas ou compatíveis, geralmente você pode fazer essa migração substituindo o número de versão piloto pelo número de versão de produção em pilot.xml. Especificamente, objetos WorkflowDefinition e

ActivityInformationConfiguration exigem que o número de versão se refira com precisão às atividades de fluxo de trabalho no ambiente de produção. A falha ao substituir o número de versão faz com que o cmdlet Compare-FIMConfig identifique diferenças entre os atributos de Extensible Object Markup Language (XOML) em WorkflowDefinitions e migre o número de versão piloto. O Serviço FIM de produção pode falhar ao iniciar atividades de fluxo de trabalho com o número de versão incorreto.

Evite referências cíclicas

Em geral, as referências cíclicas não são recomendadas em uma configuração de MIM. No entanto, às vezes os ciclos ocorrem quando um conjunto A se refere ao conjunto B e o conjunto B também se refere ao conjunto A. Para evitar problemas com referências cíclicas, altere a definição de um conjunto A ou B para que um não faça referência ao outro. Então, reinicie o processo de migração. Se houver referências cíclicas e o cmdlet Compare-FIMConfig tiver um erro como resultado, será necessário interromper o ciclo manualmente. Como o cmdlet Compare-FIMConfig gera uma lista de alterações em ordem de precedência, é necessário que não exista nenhum ciclo entre as referências de objetos de configuração.

Segurança

Conta do MIM MA

A conta do MIM MA não é considerada uma conta de serviço e deve ser uma conta de usuário normal. As contas devem fazer logon localmente para que a conta de serviço do Serviço de Sincronização do FIM possa representá-lo.

Habilitar o logon local na conta do MIM MA

1. Clique em Iniciar, Ferramentas Administrativas e em Política de Segurança Local.

2. Abra o nó Políticas Locais e, em seguida, clique em Atribuição de Direitos de Usuário.

3. Na política Permitir Logon Local, verifique se a conta do FIM MA está especificada explicitamente ou a adicione a um dos grupos que têm acesso.

Contas do Serviço de Sincronização FIM e dos Serviços FIM

Para configurar os servidores que executam os componentes do servidor MIM de maneira segura, as contas de serviço devem ser restritas. Usando o procedimento anterior para ativar a conta do MIM MA, defina as seguintes restrições nas contas do Serviço de Sincronização FIM e dos Serviços FIM:

• Negar logon como um trabalho em lotes

• Negar logon localmente

• Negar acesso a este computador pela rede

As contas de serviço não devem ser membros do grupo local de administradores.

A conta de serviço do Serviço de Sincronização do FIM não deve ser um membro dos grupos de segurança usados para controlar o acesso ao Serviço de Sincronização do FIM (grupos que iniciam com FIMSync, por exemplo, FIMSyncAdmins e assim por diante).

Importante

Se as opções de usar a mesma conta para ambas as contas de serviço forem selecionadas e o Serviço de Sincronização FIM e os Serviços FIM forem separados, não será possível negar acesso a esse computador na rede no servidor de Serviço de Sincronização mms. Se o acesso for negado, o Serviço FIM seria proibido de contatar o Serviço de Sincronização FIM para alterar configurações e gerenciar senhas.

A redefinição de senha implantada em computadores do tipo quiosque deve configurar a segurança local para limpar o arquivo de paginação da memória virtual

Ao implantar a redefinição de senha do FIM em uma estação de trabalho destinada a ser um quiosque, recomendamos que a configuração de Shutdown: Clear virtual memory pagefile política de segurança local seja ativada para garantir que informações confidenciais da memória do processo não estejam disponíveis para usuários não autorizados.

Implementando o SSL para o Portal do FIM

É altamente recomendável usar o protocolo SSL (Secure Sockets Layer) no servidor do Portal do FIM para proteger o tráfego entre os clientes e o servidor.

Para implementar o SSL:

1. No servidor do Portal do MIM, abra o Gerenciador do IIS.

2. Clique no nome do computador local.

3. Clique em Certificados do Servidor.

4. Clique em Criar uma Solicitação de Certificado.

5. Na caixa de texto Nome Comum, digite o nome do servidor.

6. Clique em Avançar e em Avançar novamente.

7. Salve o arquivo em qualquer local. Será necessário acessar esse local nas próximas etapas.

8. Navegue para https://servername/certsrv. Substitua servername pelo nome do servidor que emite certificados.

9. Clique em Solicitar um Novo Certificado.

10. Clique em Enviar uma Solicitação Avançada.

11. Clique em Enviar uma Solicitação de Certificado Usando um Codificado em Base 64.

12. Cole os conteúdos do arquivo salvo na etapa anterior.

13. Em Modelo de Certificado, selecione Servidor Web.

14. Clique em Enviar.

15. Salve o certificado na área de trabalho.

16. No Gerenciador do IIS, clique em Concluir Solicitação de Certificado.

17. Aponte o Gerenciador do IIS para o certificado salvo na área de trabalho.

18. Em Nome Amigável, digite o nome do servidor.

19. Clique em Sites e, em seguida, selecione SharePoint – 80.

20. Clique em Associações e, em seguida, clique em Adicionar.

21. Selecione https.

22. Para o certificado, selecione aquele que tem o mesmo nome que o servidor, o certificado que você acabou de importar.

23. Clique em OK.

24. Remova a associação de HTTP.

25. Clique em Configurações de SSL e marque Exigir SSL.

26. Salve as configurações.

27. Clique em Iniciar, em Ferramentas Administrativas e em Central Administrativa do SharePoint 3.0.

28. Clique em Operações e, em seguida, clique em Mapeamentos Alternativos de Acesso.

29. Clique em https://servername.

30. Altere https://servername para https://servername e clique em OK.

31. Clique em Iniciar, clique em Executar, digite iisreset e clique em OK.

Desempenho

Para uma configuração de desempenho otimizada:

• Aplique as práticas recomendadas de configuração do SQL, conforme descrito na seção de configuração do SQL deste documento.

• Desative a indexação do SharePoint no site do Portal do MIM. Para obter mais informações, consulte a seção Desabilitar indexação do SharePoint .

Práticas recomendadas específicas do recurso

Gerenciamento de Solicitações

Por padrão, o MIM 2016 limpa objetos expirados do sistema, o que inclui solicitações concluídas com aprovações associadas, respostas de aprovação e instâncias de fluxo de trabalho em um intervalo de 30 dias. Caso a empresa necessite de um histórico de solicitação maior, exporte as solicitações do MIM e armazene-as em um banco de dados auxiliar para preservá-las além dos 30 dias. Embora a janela de 30 dias para a exclusão de solicitações possa ser configurada, prolongá-la pode afetar negativamente o desempenho devido aos outros objetos do sistema.

Regras de Política de Gerenciamento

Use o tipo de MPR apropriado

O MIM oferece dois tipos de MPRs, Solicitação e Definir Transição:

• MPR de Solicitação (RMPR)

  • Usada para definir a política de controle de acesso (autenticação, autorização e ação) para operações CRUD (criar, ler, atualizar ou excluir) em recursos,
  • Aplicado quando uma operação CRUD é emitida em um recurso de destino no MIM e
  • É projetada pelos critérios de correspondência definidos na regra, ou seja, a quais solicitações CRUD a regra se aplica.

• MPR Definir Transição (TMPR)

  • É utilizada para definir políticas, independentemente de como o objeto entrou no estado atual representado pelo Conjunto de Transição. Use a TMPR para criar políticas de direito.
  • Aplicado quando um recurso entra ou sai de um conjunto associado e
  • É projetada para os membros do conjunto.

Observação

Para obter mais informações, consulte Criando regras de política de negócios.

Habilite as MPRs conforme o necessário

Use o princípio de menos privilégios ao aplicar a configuração. As MPRs controlam a política de acesso para a implantação do MIM. Habilite apenas os recursos usados pela maioria dos usuários. Por exemplo, nem todos os usuários utilizam o MIM para gerenciamento de grupo. Portanto, as MPRs associadas de gerenciamento de grupo devem ser desabilitadas. Por padrão, o MIM é fornecido com a maioria das permissões de não administrador desabilitadas.

Duplicar MPRs internas em vez de modificá-las diretamente

Caso precise modificar as MPRs internas, crie uma nova MPR com a configuração necessária e desligue a MPR interna. A criação desse novo MPR garante que quaisquer alterações futuras nos MPRs internos introduzidos por meio do processo de atualização não afetem negativamente a configuração do sistema.

As permissões do usuário final devem utilizar listas de atributo explícitas projetadas para as necessidades dos usuários da empresa

Usar listas de atributo explícitas ajuda a evitar a concessão acidental de permissões a usuários sem privilégios quando os atributos são adicionados aos objetos. Os administradores devem ter uma necessidade explícita para conceder acesso a novos atributos em vez de tentar remover o acesso.

O acesso aos dados deve estar alinhado com as necessidades empresariais dos usuários. Por exemplo, os membros do grupo não devem ter acesso ao atributo de filtro do seu grupo ao qual pertencem. O filtro pode revelar de modo acidental dados organizacionais a que o usuário não teria acesso normalmente.

As MPRs devem refletir as permissões efetivas no sistema

Evite conceder permissões a atributos que o usuário nunca poderá usar. Por exemplo, não conceda permissão para modificar atributos de recursos de núcleo, como o objectType. Apesar do MPR, qualquer tentativa de modificar o tipo de um recurso após a criação do recurso será negada pelo sistema.

Ao usar atributos explícitos em MPRs, as permissões de Leitura devem ser separadas das permissões de Modificação e Criação

Ao listar os atributos de forma explícita em MPRs, os atributos necessários para Criação e Modificação são normalmente distintos dos disponíveis para leitura. Por exemplo, a permissão de Leitura pode ser concedida em atributos do Sistema como Criador ou objectId, enquanto Criação ou Modificação não podem ser especificadas para atributos do Sistema.

Ao usar atributos explícitos em regras, as permissões de Criação devem ser separadas das permissões de Modificação

A operação de Criação exige que o usuário selecionar o objectType como parte de sua operação. Esse atributo é um atributo principal do sistema que não pode ser modificado após uma operação Create.

Use uma MPR de solicitação para todos os atributos com os mesmos requisitos de acesso

Para atributos com os mesmos requisitos de acesso que não devem ser alterados, é possível combiná-los em uma única MPR de solicitação para maior eficiência.

Evite fornecer acesso irrestrito até mesmo para grupos de entidades selecionadas

No MIM, as permissões são definidas como uma declaração positiva. Como o MIM não tem suporte para permissões de Negação, conceder acesso irrestrito a um recurso complica a distribuição de exclusões nas permissões. Como prática recomendada, conceda somente as permissões necessárias.

Use TMPRs para definir direitos personalizados

Use MPRs Definir Transição (TMPRs) em vez de RMPRs para definir direitos personalizados. As TMPRs oferecem um modelo baseado em estado para atribuir ou remover direitos com base na associação em Conjuntos de Transição definidos ou funções, e nas atividades de fluxo de trabalho que os acompanham. Os TMPRs sempre devem ser definidos em pares, um para recursos em transição e outro para recursos em transição para fora. Além disso, cada MPR de transição deve conter fluxos de trabalho separados para atividades de provisionamento e desprovisionamento.

Observação

Qualquer fluxo de trabalho de desprovisionamento deve garantir que o atributo Executar na Atualização da Política está definido como true.

Habilite a MPR Definir Transição de Entrada por último

Ao criar um par de TMPRs, ative a MPR Definir Transição de Entrada por último. Essa ordem garante que nenhum recurso fique com o direito se for adicionado e removido do conjunto enquanto a MPR de Entrada está ativada, mas antes de a MPR de Saída ser ativada.

Os fluxos de trabalho da TMPR devem verificar o estado do recurso de destino primeiro

Os fluxos de trabalho de provisionamento devem ser verificados primeiro para determinar se o recurso de destino já foi provisionado de acordo com o direito. Em caso afirmativo, nada acontecerá.

Os fluxos de trabalho de desprovisionamento devem ser verificados primeiro para determinar se o recurso de destino foi provisionado. Em caso afirmativo, será necessário desprovisionar o recurso de destino. Caso contrário, nada acontecerá.

Selecione Executar na Atualização da Política de TMPRs

Essa configuração garante que o comportamento de provisionamento correto se aplique quando as atualizações de política forem implementadas e use o sinalizador de atualização da Política RunOn em fluxos de trabalho de ação associados aos TMPRs e que as alterações nas definições de política apliquem os fluxos de trabalho de ação a novos membros do Conjunto de Transição.

Evite associar o mesmo direito a dois Conjuntos de Transição diferentes

Associar o mesmo direito a dois Conjuntos de Transição diferentes pode causar uma revogação desnecessária e uma nova concessão de direitos caso o recurso seja movido de um conjunto para outro. Como prática recomendada, certifique-se de que um conjunto contém todos os recursos que exigem o direito associado. Esse procedimento garante uma relação um-para-um entre o Conjunto de Transição e o direito de conceder o fluxo de trabalho.

Use uma sequência apropriada de operações ao remover direitos no sistema

A ordem das etapas executadas durante a remoção de direitos no sistema pode ter dois resultados operacionais diferentes. Assegure-se de que você compreendeu qual ordem se aplica ao efeito desejado.

Para remover um direito do sistema (e revogá-lo de todos os membros que têm esse direito no momento):

1. Desabilite a MPR T-In. Essa alteração evita novas concessões.

2. Exclua o filtro T-Set ou altere-o para que o conjunto fique vazio. Isso faz com que todos os membros existentes realizem uma transição de saída e que a política de transição de saída seja aplicada, incluindo os fluxos de trabalho de desprovisionamento configurado associados ao direito.

3. Desabilite a MPR T-Out.

Para remover um direito, mas deixar os membros atuais isolados (por exemplo, parar de usar o MIM para gerenciar o direito):

1. Desabilite a MPR T-In. Essa alteração evita novas concessões.

2. Desabilite a MPR T-Out.

3. Exclua o filtro T-Set ou altere-o para que o conjunto fique vazio. Como o conjunto não está mais vinculado a uma TMPR, nenhum fluxo de trabalho de desprovisionamento será aplicado.

Conjuntos

Ao aplicar as práticas recomendadas aos conjuntos, é necessário considerar o impacto das otimizações na capacidade de gerenciamento e na facilidade de administração no futuro. Os testes apropriados na escala de produção esperada devem ser executados a fim de identificar o equilíbrio correto entre desempenho e capacidade de gerenciamento antes da aplicação de tais recomendações.

Observação

As orientações a seguir se aplicam a conjuntos e grupos dinâmicos.

Reduza o uso do aninhamento dinâmico

Isso diz respeito ao filtro de um conjunto que faz referência ao atributo ComputedMember de outro conjunto. Um motivo comum para aninhar conjuntos é evitar a duplicação de uma condição de associação entre diversos conjuntos. Embora essa abordagem possa resultar em uma melhor capacidade de gerenciamento dos conjuntos, há uma compensação de desempenho. É possível otimizar o desempenho duplicando as condições de associação de um conjunto aninhado, em vez de aninhar o próprio conjunto.

Há casos em que, para cumprir um requisito funcional, não é possível evitar o aninhamento de conjuntos. Essas são as principais situações em que se deve aninhar conjuntos. Por exemplo, para definir o conjunto de todos os grupos que não têm proprietários de Funcionários de Tempo Integral, o aninhamento de conjuntos deve ser usado desta maneira: /Group[not(Owner = /Set[ObjectID = ‘X’]/ComputedMember], em que “X” é o ObjectID do conjunto de Todos os Funcionários de Tempo Integral.

Reduza o uso de condições negativas

As condições negativas são as condições de associação que usam os operadores ou as funções a seguir: !=, not(), \< e \<=. Para otimizar o desempenho, sempre que possível, expresse a condição desejada com várias condições positivas em vez de uma condição de negativa.

Reduza o uso de condições de associação baseadas em atributos de referência multivalorados

O uso de condições baseadas em atributos de referência multivalorados deve ser reduzido, pois muitos desses conjuntos podem afetar o desempenho de operações do atributo usado na condição de associação.

Redefinição de senha

Computadores do tipo quiosque usados para redefinição de senha devem configurar a segurança local para limpar o arquivo de paginação da memória virtual

Quando implantar a redefinição de senha do MIM em uma estação de trabalho destinada a ser um quiosque, recomendamos ativar a configuração da política de segurança local, "Desligamento: limpar arquivo de paginação de memória virtual", para garantir que as informações confidenciais da memória do processo não sejam disponibilizadas para usuários não autorizados.

Os usuários sempre devem se registrar para redefinir a senha em um computador ao qual estão conectados

Quando um usuário tenta se registrar para redefinir a senha por meio de um portal da Web, o MIM sempre inicia o registro em nome do usuário conectado, independentemente de quem está conectado ao site da Web. Os usuários sempre devem se registrar para redefinir a senha em um computador ao qual estão conectados.

Não defina a chave do Registro AvoidPdcOnWan como true

Ao usar a redefinição de senha do MIM 2016, não defina a chave do Registro AvoidPdcOnWan como true.

Caso esta chave do Registro seja definida como true, o usuário muito provavelmente passará pelos portões de senha, terá sua senha redefinida no controlador de domínio primário (PDC) e tentará fazer logon. Em virtude dessa chave do Registro, o controlador de domínio local não executa a validação secundária com o PCD e, como consequência, nega a solicitação de logon. Se o usuário for negado várias vezes, ele poderá ser bloqueado no domínio e será necessário contatar o suporte.

Não ative o registro em log de senhas com texto não criptografado

É possível registrar em log as senhas com texto não criptografado ao ativar o rastreamento de Nível de Serviço de diagnóstico no Windows

Communication Foundation (WCF). Essa opção não é ativada por padrão e é desaconselhável de ativá-la em ambientes de produção. Essas senhas são visíveis como elementos de texto não criptografado em uma mensagem criptografada do protocolo SOAP quando os usuários se registram para a redefinição de senha. Para obter mais informações, consulte Configurando o Log de Mensagens.

Não mapeie um fluxo de trabalho de autorização para o processo de redefinição de senha

Não anexe um fluxo de trabalho de autorização a uma operação de redefinição de senha. A redefinição de senha exige uma resposta síncrona e fluxos de trabalho de autorização que contêm atividades, como a atividade de aprovação, são assíncronos.

Não mapeie várias atividades de ação na redefinição de senha

Não anexe um fluxo de trabalho que contenha mais que uma ação de atividade a uma operação de redefinição de senha. Um cenário de exemplo seria anexar uma segunda atividade de redefinição de senha do AD DS a uma MPR de redefinição de senha. Não há suporte para esse cenário.

Solicite um novo registro ao adicionar, remover ou alterar a ordem das atividades em um fluxo de trabalho existente

Ao adicionar, remover ou alterar a ordem de atividades de autenticação em um fluxo de trabalho existente, sempre selecione a opção de solicitar novo registro. Os usuários que tentarem autenticar uma redefinição de senha após a adição ou remoção de uma atividade de um fluxo de trabalho antes do novo registro podem obter efeitos indesejados.

Configuração do Portal e Configuração de Exibição de Controle de Recurso

Considere adicionar uma declaração de privacidade à página de perfil do usuário

No MIM, por padrão, algumas informações de perfil do usuário podem ser exibidas para outros usuários. Como cortesia para os usuários, os administradores devem considerar adicionar texto personalizado consistente com as políticas da empresa para a página de Perfil do Usuário. Para obter mais informações sobre como adicionar texto personalizado a uma página do Portal do MIM, consulte Introdução à Configuração e Personalização do Portal do FIM.

Esquema

Não exclua os tipos de recurso de Pessoa ou Grupo

Embora os tipos de recurso de Pessoa e Grupo não estejam marcados como tipos de recursos de Núcleo, os próprios recursos ou os atributos atribuídos a eles não devem ser excluídos. A interface do usuário (IU) no Portal do MIM requer que os tipos de recurso de Pessoa e Grupo e seus atributos estejam presentes.

Não modifique os atributos de núcleo

Há 13 atributos de Núcleo atribuídos a todos os tipos de recursos. Não modifique sua relação com qualquer tipo de recurso. Os 13 atributos de Núcleo são:

• CreatedTime

• Criador

• DeletedTime

• Descrição

• DetectedRulesList • DisplayName

• ExpectedRulesList

• ExpirationTime

• Local

• MVObjectID

• ObjectID

• ObjectType

• ResourceTime

Não exclua o recurso de esquema com uma dependência nos requisitos de auditoria

Não exclua os recursos de esquema enquanto ainda tiver requisitos de auditoria para esses recursos.

Fazer com que expressões regulares não diferenciem maiúsculas de minúsculas

No MIM, pode ser útil para fazer com que algumas expressões regulares não diferenciem maiúsculas de minúsculas. Você pode ignorar maiúsculas e minúsculas em um grupo usando ?!:. Por exemplo, para o Tipo de Funcionário, use

\^(?!:contractor\|full time employee)%.

Cálculo do atributo de membro

O atributo de membro exposto ao mecanismo de sincronização, na verdade, é mapeado para ComputedMembers. É uma combinação entre membros baseados em critérios e membros selecionados manualmente. Mesmo se todos os três atributos forem adicionados (Filtro, ExplicitMembers e ComputedMembers), o cálculo dinâmico do atributo de membro não ocorrerá em tipos de recurso diferentes de grupo e conjunto.

Espaços à direita e à esquerda em cadeias de caracteres são ignorados

É possível inserir cadeias de caracteres com espaços à esquerda e à direita, mas o sistema do MIM ignora esses espaços. Se você enviar uma cadeia de caracteres com um espaço à esquerda e à direita, o mecanismo de sincronização e os serviços Web ignorarão esses espaços.

Cadeias de caracteres vazias não são iguais a null

As cadeias de caracteres vazias são diferentes de nulas neste lançamento do MIM. Entradas de cadeia de caracteres vazias são consideradas um valor válido. Ausente é considerado um valor nulo.

Processamento de Fluxo de Trabalho e Solicitação

Não exclua os fluxos de trabalho padrão fornecidos com o MIM 2016

Os seguintes fluxos de trabalho são fornecidos com o MIM e não devem ser excluídos:

• Fluxo de trabalho de expiração

• Fluxo de trabalho de validação de filtro para administradores

• Fluxo de trabalho de validação de filtro para usuários sem privilégios de administrador

• Fluxo de trabalho de notificação de expiração grupo

• Fluxo de trabalho de validação de grupo

• Fluxo de trabalho de aprovação do proprietário

• Fluxo de trabalho de ação de redefinição de senha

• Fluxo de trabalho AuthN de redefinição de senha

• Validação do solicitante com autorização do proprietário

• Validação do solicitante sem autorização do proprietário

• Fluxo de trabalho do sistema necessário para o registro

Não execute dois ou mais ApprovalActivities em paralelo

Não execute dois ou mais ApprovalActivities em paralelo. Isso pode fazer com que a solicitação fique presa na fase de autorização. Para diversas aprovações, inclua uma lista maior de aprovadores na aprovação ou sequencie as duas atividades.

Atividades de autorização não devem modificar os dados de recursos do MIM

Evite usar as atividades que modificam os recursos do MIM, como a Atividade do Avaliador de Função, como parte dos fluxos de trabalho em fluxos de trabalho de autorização. Como a solicitação não foi confirmada no ponto de autorização do processamento, quaisquer modificações realizadas nas informações de identidade podem ser aplicadas, apesar da possível rejeição da solicitação.

Noções Básicas das Partições de Serviço do FIM

O objetivo do MIM é processar solicitações que podem ser iniciadas por vários clientes, como o serviço de sincronização do FIM e os componentes de autoatendimento, de acordo com as políticas configuradas pela empresa. Por padrão, cada instância de serviço do FIM pertence a um grupo lógico composto por uma ou mais instâncias de serviço do FIM, também conhecidas como partição de serviço do FIM. Caso haja apenas uma instância de serviço do FIM implantada para manipular todas as solicitações, podem haver latências de processamento. Algumas operações podem até exceder os valores de tempo limite padrão apropriados para operações de autoatendimento. As partições de serviço do FIM podem ajudá-lo a resolver esse problema.

Para obter mais informações, consulte Noções básicas sobre partições de serviço do FIM.

Próximas etapas

• Guia de backup e restauração do FIM
• Visão geral do modelo de recuperação.