Instalar o MIM 2016 com SP2: Serviço MIM e Portal para clientes Microsoft Entra ID P1 ou P2

«Serviço de Sincronização do MIMSincronizar bases de dados»

Nota

Estas instruções utilizam valores e nomes de exemplo de uma empresa denominada Contoso. Substitua estas instruções pelas suas. Por exemplo:

• Nome do servidor do Portal e do Serviço MIM – mim.contoso.com
• Nome do servidor SQL - contosoagl.contoso.com
• Nome da conta de serviço - svcMIMService
• Nome de domínio – contoso
• Palavra-passe – Palavra@passe1

Antes de começar

• Este guia destina-se a instalar o Serviço MIM em organizações licenciadas para Microsoft Entra ID P1 ou P2. Se a sua organização não tiver Microsoft Entra ID P1 ou P2 ou não estiver a utilizar Microsoft Entra ID, terá de seguir o guia de instalação da edição Licenciamento em Volume do MIM.
• Certifique-se de que tem Microsoft Entra credenciais de utilizador com permissões suficientes para validar que a sua subscrição de inquilino inclui Microsoft Entra ID P1 ou P2 e pode criar registos de aplicações.
• Se planear utilizar Office 365 autenticação de contexto da aplicação, terá de executar um script para registar a aplicação do Serviço MIM no Microsoft Entra ID e conceder ao Serviço MIM permissões para aceder a uma caixa de correio do Serviço MIM no Office 365. Guarde o resultado do script, pois precisará do ID da aplicação resultante e do segredo mais tarde durante a instalação.

Opções de implementação

As escolhas na implementação dependem de dois critérios:

• Se o Serviço MIM será executado como uma conta de serviço normal do Windows ou como uma conta de serviço gerida por grupo (gMSA)
• Se o Serviço MIM irá enviar e-mails através de um Exchange Server, Office 365 ou de um servidor SMTP

Opções de implementação disponíveis:

• Opção A: Conta de serviço normal + Exchange Server
• Opção B: Autenticação básica de conta de serviço normal + Office 365
• Opção C: Autenticação de contexto de aplicação de conta de serviço normal + Office 365
• Opção D: Conta de serviço normal + SMTP
• Opção E: Conta de serviço normal + sem servidor de correio
• Opção F: Conta de serviço gerida por grupo + Exchange Server
• Opção G: Conta de serviço gerida por grupo + autenticação básica Office 365
• Opção H: Conta de serviço gerida por grupo + autenticação de contexto da aplicação Office 365
• Opção I: Conta de serviço gerida por grupo + sem servidor de correio

Nota

A opção de servidor SMTP só funciona com contas de serviço regulares e Autenticação Integrada do Windows e não permite a utilização do suplemento do Outlook para aprovações.

Preparar para a autenticação de contexto da Aplicação Office 365

A partir da compilação 4.6.421.0, além da autenticação básica, o Serviço MIM suporta a autenticação de contexto da aplicação para Office 365 caixas de correio. O fim do suporte para a autenticação básica foi anunciado a 20 de setembro de 2019, pelo que é recomendado utilizar a autenticação de contexto da aplicação para enviar notificações e recolher respostas de aprovação.

O cenário de autenticação do contexto da aplicação requer que registe uma aplicação no ID Microsoft Entra, crie um segredo do cliente para ser utilizado em vez de uma palavra-passe e conceda a esta aplicação permissão para aceder à caixa de correio do Serviço MIM. O Serviço MIM irá utilizar este ID de aplicação e este segredo para aceder à respetiva caixa de correio no Office 365. Pode registar a aplicação no Microsoft Entra ID através de um script (recomendado) ou manualmente.

Registar a aplicação com o centro de administração do Microsoft Entra

1. Inicie sessão no Microsoft Entra centro de administração com a função de Administrador Global.

2. Navegue para Microsoft Entra painel, copie o ID do Inquilino na secção Descrição geral e guarde-o.

3. Navegue para Registos de aplicações secção e clique no botão Novo Registo.

4. Atribua um nome à sua aplicação, por exemplo, acesso de cliente de caixa de correio do Serviço MIM e clique em Registar.

5. Depois de registar a aplicação, copie o valor do ID da Aplicação (cliente) e guarde-o.

6. Navegue para a secção Permissões da API e revogue a permissão User.Read ao clicar em três pontos diretamente para o nome da permissão e ao selecionar Remover Permissão. Confirme que pretende remover esta permissão.

7. Clique no botão Adicionar uma permissão . Mude para APIs que a minha organização utiliza e escreva Office. Selecione Office 365 Exchange Online e Tipo de permissões de aplicação. Escreva completo e selecione full_access_as aplicação. Clique no botão Adicionar Permissões .

8. Verá a permissão adicionada e o consentimento do administrador não é concedido. Clique no botão Conceder consentimento do administrador junto ao botão Adicionar uma permissão .

9. Navegue para Certificados e segredos e opte por adicionar Novo segredo do cliente. Se selecionar uma hora de expiração para o segredo, terá de reconfigurar o Serviço MIM mais perto da data de expiração para utilizar outro segredo. Se não planear rodar segredos da aplicação, selecione Nunca. Atribua um nome ao seu segredo, por exemplo, Serviço MIM e clique no botão Adicionar . Verá o valor do segredo apresentado no portal. Copie este valor (não o ID secreto) e guarde-o.

10. Agora que tem o ID do Inquilino, o ID da Aplicação e o segredo da aplicação necessários pelo instalador, pode continuar com a instalação do Portal e do Serviço MIM. Além disso, poderá querer restringir o acesso da sua aplicação recentemente registada apenas à caixa de correio do Serviço MIM (full_access_as_app concede acesso a todas as caixas de correio na sua organização). Para tal, tem de criar uma política de acesso à aplicação. Siga este guia para restringir o acesso da sua aplicação apenas à caixa de correio do Serviço MIM. Terá de criar um grupo de segurança de distribuição ou com capacidade de correio e adicionar a sua caixa de correio do Serviço MIM a esse grupo. Em seguida, execute um comando do PowerShell e forneça as suas credenciais de administrador Exchange Online:

    New-ApplicationAccessPolicy `
    -AccessRight RestrictAccess `
    -AppId "<your application ID from step 5>" `
    -PolicyScopeGroupId <your group email> `
    -Description "Restrict MIM Service app to members of this group"
    

Registar a aplicação com um script do PowerShell

Create-MIMMailboxApp.ps1 script pode ser encontrado no Scripts.zip/Scripts/Serviço e Portal ou em Serviço e Portal.zip\Serviço e Portal\Programas\Microsoft Forefront Identity Manager\2010\Service\Scripts.

A menos que a sua caixa de correio do Serviço MIM esteja alojada numa nuvem nacional ou governamental, o único parâmetro que precisa de transmitir para o script é o e-mail do Serviço MIM, por exemplo, MIMService@contoso.onmicrosoft.com.

A partir de uma janela do PowerShell, comece Create-MIMMailboxApp.ps1 com o parâmetro de e-mail> -MailboxAccountEmail <e forneça o e-mail do Serviço MIM.

./Create-MIMMailboxApp.ps1 -MailboxAccountEmail <MIM Service email>

Quando lhe forem pedidas credenciais, forneça as suas credenciais de Administrador Global Microsoft Entra para registar uma aplicação no Azure.

Assim que a aplicação estiver registada, outro pop-up pedirá credenciais de administrador Exchange Online para criar uma política de acesso à aplicação.

Após o registo da aplicação com êxito, a saída do script deverá ter o seguinte aspeto:

Ocorre um atraso de 30 segundos após o registo da aplicação e é aberta uma janela do browser para evitar problemas de replicação. Forneça as suas credenciais de administrador inquilino Microsoft Entra e aceite um pedido para conceder à sua aplicação acesso à caixa de correio do Serviço MIM. A janela de pop-up deverá ter o seguinte aspeto:

Depois de clicar no botão Aceitar, será redirecionado para centro de administração do Microsoft 365. Pode fechar a janela do browser e verificar a saída do script. Deverá ter o seguinte aspeto:

Copie os valores ApplicationId, TenantId e ClientSecret, uma vez que serão necessários pelo instalador do Portal e do Serviço MIM.

Implementar o Portal e o Serviço MIM

Passos de implementação comuns

1. Crie um diretório temporário para manter os registos do instalador, por exemplo, c:\miminstall.

2. Inicie a linha de comandos elevada, navegue para a pasta de binários do instalador do Serviço MIM e execute:

   msiexec /i "Service and Portal.msi" /lvxi* c:\miminstall\log.txt
   

   No ecrã de boas-vindas, clique em Seguinte.

   

3. Reveja o Contrato de Licença End-User e clique em Seguinte se aceitar os termos de licenciamento.

   

4. As clouds nacionais são instâncias isoladas do Azure. Selecione em que instância da Cloud do Azure o seu inquilino está alojado e clique em Seguinte.

   

   As organizações que não estão a utilizar uma cloud nacional ou governamental devem selecionar a instância global Microsoft Entra ID.

   

5. Depois de selecionar a cloud adequada, o instalador irá pedir-lhe para se autenticar nesse inquilino. Na janela de pop-up, forneça Microsoft Entra credenciais de utilizador de um utilizador nesse inquilino para validar o nível de subscrição do inquilino. Escreva o seu Microsoft Entra nome de utilizador e clique em Seguinte.

   

   Escreva a sua palavra-passe e clique em Iniciar Sessão.

   

   Se o instalador não conseguir localizar uma subscrição para Microsoft Entra ID P1 ou outra subscrição, que inclui Microsoft Entra ID P1 ou P2, verá um erro de pop-up. Verifique se o nome de utilizador se destina ao inquilino correto e consulte o ficheiro de registo do instalador para obter mais informações.

6. Assim que a verificação de licença estiver concluída, selecione Componentes do Serviço MIM e do Portal para instalar e clique em Seguinte.

   

7. Indique o nome do SQL Server e da base de dados. Opte por reutilizar a base de dados existente se atualizar a partir de versões anteriores do MIM. Se instalar com o cluster de ativação pós-falha do SQL ou Always-On Serviço de Escuta de Grupos de Disponibilidade, forneça um cluster ou um nome de serviço de escuta. Clique em Seguinte.

   

8. Se instalar o MIM com uma base de dados existente, será apresentado um aviso. Clique em Seguinte.

   

9. Escolha uma combinação do tipo de servidor de correio e do método de autenticação (opções A-I, consulte abaixo)

   Imagem de ecrã de de

   Se instalar o Serviço MIM com Group-Managed Conta de Serviço, selecione a caixa de verificação correspondente. Caso contrário, deixe esta caixa de verificação desmarcada. Clique em Seguinte.

   

   Se selecionar uma combinação incompatível do tipo de servidor de correio e do método de autenticação, depois de clicar em Seguinte, é apresentado um erro de pop-up.

   

Opção A. Conta de serviço regular + Exchange Server

1. Na página Configurar serviços comuns, selecioneExchange Server 2013 ou posterior e Autenticação Integrada do Windows. Escreva o seu nome de anfitrião do exchange server. Deixe a caixa de verificação Utilizar Conta de Serviço Gerida do Grupodesmarcada. Clique em Seguinte.

   

2. Se instalar o componente relatório do MIM, escreva System Center Service Manager nome do servidor de gestão e clique em Seguinte.

   

3. Se instalar o componente relatório do MIM apenas no ambiente TLS 1.2 com System Center Service Manager 2019, escolha um certificado fidedigno pelo SCSM Server com o nome de anfitrião do servidor MIM no assunto do certificado. Caso contrário, opte por gerar um novo certificado autoassinado. Clique em Seguinte.

   

4. Escreva nome e palavra-passe da conta do Serviço MIM, nome de domínio e endereço SMTP da caixa de correio do Serviço MIM. Clique em Seguinte.

   

Opção B. Conta de serviço regular + autenticação básica Office 365

1. Na página Configurar serviços comuns, selecioneOffice 365 serviço de correio e Autenticação Básica. Deixe a caixa de verificação Utilizar Conta de Serviço Gerida do Grupodesmarcada. Clique em Seguinte.

   

2. Se instalar o componente relatório do MIM, escreva System Center Service Manager nome do servidor de gestão e clique em Seguinte.

   

3. Se instalar o componente relatório do MIM apenas no ambiente TLS 1.2 com System Center Service Manager 2019, escolha um certificado fidedigno pelo SCSM Server com o nome de anfitrião do servidor MIM no assunto do certificado. Caso contrário, opte por gerar um novo certificado autoassinado. Clique em Seguinte.

   

4. Escreva nome e palavra-passe da conta do Serviço MIM, nome de domínio, endereço SMTP Office 365 caixa de correio do Serviço MIM e Microsoft Entra palavra-passe do Serviço MIM. Clique em Seguinte.

   

Opção C. Conta de serviço regular + autenticação de contexto da aplicação Office 365

1. Na página Configurar serviços comuns, selecioneOffice 365 serviço de correio e Autenticação do Contexto da Aplicação. Deixe a caixa de verificação Utilizar Conta de Serviço Gerida do Grupodesmarcada. Clique em Seguinte.

   

2. Se instalar o componente relatório do MIM, escreva System Center Service Manager nome do servidor de gestão e clique em Seguinte.

   

3. Indique o ID da Aplicação Microsoft Entra, o ID do Inquilino e o Segredo do Cliente, que foram gerados por um script anteriormente. Clique em Seguinte.

   

   Se o instalador não conseguir validar o ID da Aplicação ou o ID do Inquilino, é apresentado um erro:

   

   Se o instalador não conseguir aceder à caixa de correio do Serviço MIM, é apresentado outro erro:

   

4. Se instalar o componente relatório do MIM apenas no ambiente TLS 1.2 com System Center Service Manager 2019, escolha um certificado fidedigno pelo SCSM Server com o nome de anfitrião do servidor MIM no assunto do certificado. Caso contrário, opte por gerar um novo certificado autoassinado. Clique em Seguinte.

   

5. Escreva nome e palavra-passe da conta do Serviço MIM, nome de domínio e endereço SMTP da caixa de correio Office 365 do Serviço MIM. Clique em Seguinte.

   

Opção D. Conta de serviço regular + servidor SMTP

1. Na página Configurar serviços comuns, selecioneSMTP e Autenticação Integrada do Windows. Escreva Nome do anfitrião do servidor SMTP. Deixe a caixa de verificação Utilizar Conta de Serviço Gerida do Grupodesmarcada. Clique em Seguinte.

   

2. Se instalar o componente relatório do MIM, escreva System Center Service Manager nome do servidor de gestão e clique em Seguinte.

   

3. Se instalar o componente relatório do MIM apenas no ambiente TLS 1.2 com System Center Service Manager 2019, escolha um certificado fidedigno pelo SCSM Server com o nome de anfitrião do servidor MIM no assunto do certificado. Caso contrário, opte por gerar um novo certificado autoassinado. Clique em Seguinte.

   

4. Escreva nome e palavra-passe da conta do Serviço MIM, nome de domínio e endereço SMTP do Serviço MIM. Clique em Seguinte.

   

Opção E. Conta de serviço regular + sem servidor de correio

1. Na página Configurar serviços comuns, selecioneNenhum tipo de servidor. Deixe a caixa de verificação Utilizar Conta de Serviço Gerida do Grupodesmarcada. Clique em Seguinte.

   

2. Se instalar o componente relatório do MIM, escreva System Center Service Manager nome do servidor de gestão e clique em Seguinte.

   

3. Se instalar o componente relatório do MIM apenas no ambiente TLS 1.2 com System Center Service Manager 2019, escolha um certificado fidedigno pelo SCSM Server com o nome de anfitrião do servidor MIM no assunto do certificado. Caso contrário, opte por gerar um novo certificado autoassinado. Clique em Seguinte.

   

4. Escreva nome e palavra-passe da conta do Serviço MIM, nome de domínio. Clique em Seguinte.

   

Opção F. Conta de serviço gerida pelo grupo + Exchange Server

1. Na página Configurar serviços comuns, selecioneExchange Server 2013 ou posterior e Autenticação Integrada do Windows. Escreva o seu nome de anfitrião do exchange server. Ativar a opção Utilizar Conta de Serviço Gerida de Grupo . Clique em Seguinte.

   

2. Se instalar o componente relatório do MIM, escreva System Center Service Manager nome do servidor de gestão e clique em Seguinte.

   

3. Se instalar o componente relatório do MIM apenas no ambiente TLS 1.2 com System Center Service Manager 2019, escolha um certificado fidedigno pelo SCSM Server com o nome de anfitrião do servidor MIM no assunto do certificado. Caso contrário, opte por gerar um novo certificado autoassinado. Clique em Seguinte.

   

4. Escreva nome da conta de serviço gerida pelo grupo do SERVIÇO MIM, nome de domínio, endereço E palavra-passe SMTP da caixa de correio do Serviço MIM. Clique em Seguinte.

   

Opção G. Conta de serviço gerida por grupo + autenticação básica Office 365

1. Na página Configurar serviços comuns, selecioneOffice 365 serviço de correio e Autenticação Básica. Ativar a opção Utilizar Conta de Serviço Gerida de Grupo . Clique em Seguinte.

   

2. Se instalar o componente relatório do MIM, escreva System Center Service Manager nome do servidor de gestão e clique em Seguinte.

   

3. Se instalar o componente relatório do MIM apenas no ambiente TLS 1.2 com System Center Service Manager 2019, escolha um certificado fidedigno pelo SCSM Server com o nome de anfitrião do servidor MIM no assunto do certificado. Caso contrário, opte por gerar um novo certificado autoassinado. Clique em Seguinte.

   

4. Escreva o nome da conta de serviço gerida pelo grupo do Serviço MIM, o nome de domínio, o endereço SMTP Office 365 caixa de correio do Serviço MIM e a palavra-passe de Microsoft Entra da conta do Serviço MIM. Clique em Seguinte.

   

Opção H. Conta de serviço gerida pelo grupo + autenticação de contexto da aplicação Office 365

1. Na página Configurar serviços comuns, selecioneOffice 365 serviço de correio e Autenticação do Contexto da Aplicação. Ativar a opção Utilizar Conta de Serviço Gerida de Grupo . Clique em Seguinte.

   

2. Se instalar o componente relatório do MIM, escreva System Center Service Manager nome do servidor de gestão e clique em Seguinte.

   

3. Indique o ID da Aplicação Microsoft Entra, o ID do Inquilino e o Segredo do Cliente, que foram gerados por um script anteriormente. Clique em Seguinte.

   

   Se o instalador não conseguir validar o ID da Aplicação ou o ID do Inquilino, é apresentado um erro:

   

   Se o instalador não conseguir aceder à caixa de correio do Serviço MIM, é apresentado outro erro:

   

4. Se instalar o componente relatório do MIM apenas no ambiente TLS 1.2 com System Center Service Manager 2019, escolha um certificado fidedigno pelo SCSM Server com o nome de anfitrião do servidor MIM no assunto do certificado. Caso contrário, opte por gerar um novo certificado autoassinado. Clique em Seguinte.

   

5. Escreva o nome da conta de serviço gerida pelo grupo do Serviço MIM, o nome de domínio e o endereço SMTP da caixa de correio Office 365 Serviço MIM. Clique em Seguinte.

   

Opção I. Conta de serviço gerida por grupo + sem servidor de correio

1. Na página Configurar serviços comuns, selecioneNenhum tipo de servidor. Ativar a opção Utilizar Conta de Serviço Gerida de Grupo . Clique em Seguinte.

   

2. Se instalar o componente relatório do MIM, escreva System Center Service Manager nome do servidor de gestão e clique em Seguinte.

   

3. Se instalar o componente relatório do MIM apenas no ambiente TLS 1.2 com System Center Service Manager 2019, escolha um certificado fidedigno pelo SCSM Server com o nome de anfitrião do servidor MIM no assunto do certificado. Caso contrário, opte por gerar um novo certificado autoassinado. Clique em Seguinte.

   

4. Escreva nome da conta de serviço gerida pelo grupo do Serviço MIM, nome de domínio. Clique em Seguinte.

   

Passos de implementação comuns. Continuação

1. Se a conta do Serviço MIM não tiver sido restringida para negar inícios de sessão locais, é apresentada uma mensagem de aviso. Clique em Seguinte.

   

2. Escreva nome de anfitrião do Servidor de Sincronização do MIM. Escreva o nome da conta do Agente de Gestão do MIM. Se estiver a instalar o Serviço de Sincronização do MIM com Group-Managed Conta de Serviço, adicione o sinal de dólar ao nome da conta, por exemplo contoso\MIMSyncGMSAsvc$. Clique em Seguinte.

   

3. Escreva nome de anfitrião do Servidor de Serviço mim. Num caso em que é utilizado um balanceador de carga para equilibrar o payload do Serviço MIM, forneça o nome do cluster. Clique em Seguinte.

   

4. Indique o nome da coleção de sites do SharePoint. Certifique-se de que substitui http://localhost por um valor adequado. Clique em Seguinte.

   

   É apresentado um aviso. Clique em Seguinte.

   

5. Se instalar Self-Service Site de Registo de Palavras-passe (não é necessário se estiver a utilizar Microsoft Entra ID para reposição de palavra-passe), especifique um URL para o qual os clientes mim serão redirecionados após o início de sessão. Clique em Seguinte.

   

6. Selecione a caixa de verificação para abrir as portas 5725 e 5726 na firewall e a caixa de verificação para conceder acesso ao Portal do MIM a todos os utilizadores autenticados. Clique em Seguinte.

   

7. Se instalar Self-Service Site de Registo de Palavras-passe (não é necessário se estiver a utilizar Microsoft Entra ID para reposição de palavra-passe), defina o nome da conta do conjunto aplicacional e a respetiva palavra-passe, o nome do anfitrião e a porta do site. Ative a opção Abrir porta na firewall , se necessário. Clique em Seguinte.

   

   Será apresentado um aviso. Leia-o e clique em Seguinte.

   

8. No próximo ecrã de configuração do Portal de Registo de Palavras-passe do MIM, escreva o Endereço do Servidor do Serviço MIM para o Portal de Registo de Palavras-passe e selecione se este site será acessível por utilizadores da intranet. Clique em Seguinte.

   

9. Se instalar Self-Service site de Reposição de Palavra-passe, defina o nome da conta do conjunto de aplicações e a respetiva palavra-passe, o nome do anfitrião e a porta do site. Ative a opção Abrir porta na firewall , se necessário. Clique em Seguinte.

   

   Será apresentado um aviso. Leia-o e clique em Seguinte.

   

10. No ecrã seguinte de configuração do Portal de Reposição de Palavra-passe do MIM, escreva o Endereço do Servidor do Serviço MIM para o Portal de Reposição de Palavra-passe e selecione se este site será acessível pelos utilizadores da intranet. Clique em Seguinte.

    

11. Quando todas as definições de pré-instalação estiverem prontas, clique em Instalar para começar a instalar os componentes do Serviço e Portal selecionados.

Tarefas de pós-instalação

Depois de concluída a instalação, verifique se o Portal do MIM está ativo.

1. Inicie o Internet Explorer e ligue-se ao Portal do MIM em http://mim.contoso.com/identitymanagement. Tenha em atenção que poderá haver um curto atraso na primeira visita a esta página.

   • Se necessário, autentique-se como utilizador, que instalou o Portal e o Serviço MIM no Internet Explorer.

2. No Internet Explorer, abra as Opções da Internet, mude para o separador Segurança e adicione o site à zona da intranet Local , caso ainda não esteja lá. Feche a caixa de diálogo Opções da Internet.

3. No Internet Explorer, abra as Definições, mude para o separador Definições da vista de Compatibilidade e desmarque a caixa de verificação Mostrar Sites da Intranet na Vista de Compatibilidade . Fechar a caixa de diálogo Vista de Compatibilidade .

4. Permitir que os não administradores acedam ao Portal do MIM.

   1. Através do Internet Explorer, no Portal do MIM, clique nas Regras de Política de Gestão.
   2. Procure a regra de política de gestão, Gestão de utilizadores: os utilizadores podem ler os seus próprios atributos.
   3. Selecione esta regra de política de gestão e desmarque A política está desativada.
   4. Clique em OK e em Submeter.

Nota

Opcional: neste momento, pode instalar suplementos e extensões do MIM e pacotes de idiomas.

«Serviço de Sincronização do MIMSincronizar bases de dados»