Configure um domínio para o cenário de Contas de Serviço Geridas pelo Grupo (gMSA)


Certifique-se de que todas as contas do computador para computadores onde MIM software deve ser instalado já estão unidos ao domínio. Em seguida, execute estes passos no PowerShell como administrador de domínio.

  1. Crie um MIMSync_Servers de grupo e adicione todos os MIM servidores de sincronização a este grupo. Digite o seguinte para criar um novo grupo de AD para MIM Servidores de Sincronização. Em seguida, o add MIM Synchronization server Ative Directory accounts, por exemplo, contoso\MIMSync$, neste grupo.

    New-ADGroup –name MIMSync_Servers –GroupCategory Security –GroupScope Global –SamAccountName MIMSync_Servers
    Add-ADGroupmember -identity MIMSync_Servers -Members MIMSync$
    
  2. Criar MIM Serviço de Sincronização gMSA. Digite o seguinte PowerShell.

    New-ADServiceAccount -Name MIMSyncGMSAsvc -DNSHostName MIMSyncGMSAsvc.contoso.com -PrincipalsAllowedToRetrieveManagedPassword "MIMSync_Servers"
    

    Consulte os detalhes do GSMA criado através da execução do comando Get-ADServiceAccount PowerShell:

    screenshot de Comando Get-ADServiceAccount PowerShell sendo executado

  3. Se planeia executar o Serviço de Notificação de Alteração de Palavra-Passe, tem de registar o Nome Principal do Serviço executando este comando PowerShell:

    Set-ADServiceAccount -Identity MIMSyncGMSAsvc -ServicePrincipalNames @{Add="PCNSCLNT/mimsync.contoso.com"}
    
  4. Reinicie o seu servidor de sincronização MIM para refrescar um token Kerberos associado ao servidor, uma vez que a subscrição do grupo "MIMSync_Server" mudou.

Criar conta de agente de gestão de serviços de MIM

  1. Normalmente, ao instalar o Serviço MIM, irá criar uma nova conta para o MIM Service Management Agent (MIM conta MA). Com o gMSA, existem duas opções disponíveis:
  • Utilize MIM conta de serviço de sincronização gerida e não crie uma conta separada

    Pode ignorar a criação da conta de serviço de gestão de serviços MIM. Neste caso, utilize MIM nome gMSA do Serviço de Sincronização, por exemplo, contoso\MIMSyncGMSAsvc$, em vez da conta ma MIM ao instalar o Serviço MIM. Mais tarde, na configuração do Agente de Gestão de Serviços MIM, permite a opção 'Use MIMSync Account'.

    Não ative o 'Deny Logon from Network' para o serviço de sincronização MIM gMSA, uma vez MIM conta MA requer a permissão de "Permitir o início da rede".

  • Utilize uma conta de serviço regular para a conta de serviço de gestão de serviços de MIM

    Inicie o PowerShell como administrador de domínio e escreva o seguinte para criar um novo utilizador de domínio AD:

    $sp = ConvertTo-SecureString "Pass@word1" –asplaintext –force
    
    New-ADUser –SamAccountName svcMIMMA –name svcMIMMA
    Set-ADAccountPassword –identity svcMIMMA –NewPassword $sp
    Set-ADUser –identity svcMIMMA –Enabled 1 –PasswordNeverExpires 1
    

    Não ative o 'Deny Logon from Network' para a conta MA MIM, pois requer a permissão de 'Permitir o início da rede'.

Criar contas de serviço MIM, grupos e principal de serviço

Continue a utilizar o PowerShell como administrador de domínio.

  1. Crie um grupo MIMService_Servers e adicione todos os servidores MIM Service a este grupo. Digite o seguinte PowerShell para criar um novo grupo de AD para servidores de serviço MIM e adicione MIM conta de computador ative do servidor de serviço, por exemplo, contoso\MIMPortal$, neste grupo.

    New-ADGroup –name MIMService_Servers –GroupCategory Security –GroupScope Global –SamAccountName MIMService_Servers
    Add-ADGroupMember -identity MIMService_Servers -Members MIMPortal$
    
  2. Criar MIM Serviço gMSA.

    New-ADServiceAccount -Name MIMSrvGMSAsvc -DNSHostName MIMSrvGMSAsvc.contoso.com -PrincipalsAllowedToRetrieveManagedPassword "MIMService_Servers" -OtherAttributes @{'msDS-AllowedToDelegateTo'='FIMService/mimportal.contoso.com'} 
    
  3. Registar o nome principal do serviço e ativar a delegação Kerberos executando este comando PowerShell:

    Set-ADServiceAccount -Identity MIMSrvGMSAsvc -TrustedForDelegation $true -ServicePrincipalNames @{Add="FIMService/mimportal.contoso.com"}
    
  4. Para cenários SSPR é necessário MIM Conta de Serviço possa comunicar com MIM Serviço de Sincronização, por isso MIM conta de Serviço deve ser membro de grupos MIMSyncAdministrators ou MIM Sync Password Reset e Browse:

    Add-ADGroupmember -identity MIMSyncPasswordSet -Members MIMSrvGMSAsvc$ 
    Add-ADGroupmember -identity MIMSyncBrowse -Members MIMSrvGMSAsvc$ 
    
  5. Reinicie o seu servidor de serviço MIM para atualizar um token Kerberos associado ao servidor, uma vez que a adesão ao grupo "MIMService_Servers" mudou.

Criar outras contas e grupos MIM, se necessário

Se estiver a configurar MIM SSPR, seguindo as mesmas diretrizes acima descritas para o Serviço de Sincronização e serviço de MIM MIM, pode criar outros gMSA para:

  • MIM Redefinição de aplicações do site da Palavra-passe
  • MIM conjunto de aplicações do site do registo de senha

Se estiver a configurar MIM PAM, seguindo as mesmas orientações acima descritas para o Serviço de Sincronização e serviço de MIM MIM, pode criar outros gMSA para:

  • MIM piscina de aplicações do site da API PAM REST
  • MIM serviço de componentes PAM
  • MIM serviço de monitorização PAM

Especificar um gMSA ao instalar MIM

Regra geral, na maioria dos casos, ao utilizar um instalador de MIM, para especificar que pretende utilizar um gMSA em vez de uma conta regular, apedreie um caracter de sinal de dólar ao nome gMSA, por exemplo, contoso\MIMSyncGMSAsvc$e deixe o campo de palavra-passe vazio. Uma exceção é a ferramentamiisactivate.exe que aceita o nome gMSA sem o sinal de dólar.

Importante

Este artigo aplica-se apenas a MIM SP2 de 2016.

O Microsoft Identity Manager (MIM) funciona com o seu domínio do Active Directory (AD). Já deve ter o AD instalado, e certifique-se de que tem um controlador de domínio no seu ambiente para um domínio que possa administrar. Este artigo descreve como configurar contas de serviço geridas pelo Grupo nesse domínio para utilização por MIM.

Descrição Geral

As Contas de Serviço Geridas pelo Grupo eliminam a necessidade de alterar periodicamente as palavras-passe da conta de serviço. Com a libertação de MIM SP2 de 2016, os seguintes componentes MIM podem ter contas gMSA configuradas para serem utilizadas durante o processo de instalação:

  • MIM Serviço de Sincronização (FIMSynchronizationService)
  • Serviço MIM (FIMService)
  • MIM conjunto de aplicações do site do registo de senha
  • MIM Redefinição de aplicações do site da Palavra-passe
  • Piscina de aplicações da API DA PAM REST
  • Serviço de Monitorização PAM (PamMonitoringService)
  • Serviço de Componentes PAM (PrivilegeManagementComponentService)

Os seguintes componentes MIM não suportam o funcionamento das contas gMSA:

Mais informações sobre gMSA podem ser encontradas nestes artigos:

Configurar contas de utilizador e grupos

Todos os componentes de implementação do MIM têm as suas próprias identidades no domínio. Isto inclui os componentes MIM como Serviço e Sincronização, bem como SharePoint e SQL.

Nota

Estas instruções utilizam valores e nomes de exemplo de uma empresa denominada Contoso. Substitua estas instruções pelas suas. Por exemplo:

  • Nome do controlador de domínio - dc
  • Nome de domínio – contoso
  • MIM nome do Servidor de Serviço - mimservice
  • MIM Sync Server - mimsync
  • SQL Server nome - sql
  • Palavra-passe – Palavra@passe1
  1. Inicie sessão no controlador de domínio como o administrador do domínio (por exemplo, Contoso\Administrador).

  2. Crie as seguintes contas de utilizador para os serviços MIM. Inicie o PowerShell e digite o seguinte script PowerShell para criar novos utilizadores de domínio AD (nem todas as contas são obrigatórias, embora o script seja fornecido apenas para fins informativos, é uma boa prática utilizar uma conta MIMAdmin dedicada para MIM e processo de instalação sharePoint).

    import-module activedirectory
    $sp = ConvertTo-SecureString "Pass@word1" –asplaintext –force
    
    New-ADUser –SamAccountName MIMAdmin –name MIMAdmin
    Set-ADAccountPassword –identity MIMAdmin –NewPassword $sp
    Set-ADUser –identity MIMAdmin –Enabled 1 –PasswordNeverExpires 1
    
    New-ADUser –SamAccountName svcSharePoint –name svcSharePoint
    Set-ADAccountPassword –identity svcSharePoint –NewPassword $sp
    Set-ADUser –identity svcSharePoint –Enabled 1 –PasswordNeverExpires 1
    
    New-ADUser –SamAccountName svcMIMSql –name svcMIMSql
    Set-ADAccountPassword –identity svcMIMSql –NewPassword $sp
    Set-ADUser –identity svcMIMSql –Enabled 1 –PasswordNeverExpires 1
    
    New-ADUser –SamAccountName svcMIMAppPool –name svcMIMAppPool
    Set-ADAccountPassword –identity svcMIMAppPool –NewPassword $sp
    Set-ADUser –identity svcMIMAppPool –Enabled 1 -PasswordNeverExpires 1
    
  3. Crie grupos de segurança para todos os grupos.

    New-ADGroup –name MIMSyncAdmins –GroupCategory Security –GroupScope Global –SamAccountName MIMSyncAdmins
    New-ADGroup –name MIMSyncOperators –GroupCategory Security –GroupScope Global –SamAccountName MIMSyncOperators
    New-ADGroup –name MIMSyncJoiners –GroupCategory Security –GroupScope Global –SamAccountName MIMSyncJoiners
    New-ADGroup –name MIMSyncBrowse –GroupCategory Security –GroupScope Global –SamAccountName MIMSyncBrowse
    New-ADGroup –name MIMSyncPasswordSet –GroupCategory Security –GroupScope Global –SamAccountName MIMSyncPasswordSet
    Add-ADGroupMember -identity MIMSyncAdmins -Members Administrator
    Add-ADGroupMember -identity MIMSyncAdmins -Members MIMAdmin
    
  4. Adicionar SPNs para ativar a autenticação Kerberos nas contas de serviço

    setspn -S http/mim.contoso.com contoso\svcMIMAppPool
    
  5. Certifique-se de registar os seguintes registos DNS 'A' para resolução de nomes adequados (assumindo que MIM Serviço, portal MIM, Redefinição de Passwords e Registo de Palavras-Passe serão hospedados na mesma máquina)

    • mim.contoso.com - ponto para MIM Serviço e endereço IP físico do servidor portal
    • passwordreset.contoso.com - ponto para MIM Serviço e endereço IP físico do servidor portal
    • passwordregistration.contoso.com - ponto para MIM Serviço e endereço IP físico do servidor portal

Criar chave raiz de serviço de distribuição chave

Certifique-se de que é contratado no seu controlador de domínio como administrador para preparar o serviço de distribuição de chaves de grupo.

Se já existir uma chave de raiz para o domínio (utilize o Get-KdsRootKey para verificar), então continue para a secção seguinte.

  1. Crie a chave raiz dos Serviços de Distribuição de Chaves (KDS) (apenas uma vez por domínio) se necessário. A Chave raiz é utilizada pelo serviço KDS em controladores de domínio (juntamente com outras informações) para gerar palavras-passe. Como administrador de domínio, digite o seguinte comando PowerShell:

    Add-KDSRootKey –EffectiveImmediately
    

    –Eficazmente, pode exigir um atraso de até ~10 horas, uma vez que terá de se replicar a todos os controladores de domínio. Este atraso foi de aproximadamente 1 hora para dois controladores de domínio.

    screenshot de Add-KDSRootKey de comando powershell sendo executado

    Nota

    No ambiente de laboratório ou teste pode evitar um atraso de replicação de 10 horas executando o seguinte comando:
    Add-KDSRootKey -Tempo Eficaz ((Get-Date). AddHours (-10))

Criar MIM conta de Serviço de Sincronização, grupo e principal de serviço