Installera MIM 2016 med SP2: MIM-tjänst och portal för Microsoft Entra ID P1- eller P2-kunder

«Synkroniseringstjänst för MIMSynkronisera databaser»

Anteckning

I den här genomgången används exempelnamn och -värden från företaget Contoso. Ersätt dem med dina egna namn och värden. Exempel:

• MIM-tjänst- och portalservernamn – mim.contoso.com
• SQL-servernamn – contosoagl.contoso.com
• Tjänstkontonamn – svcMIMService
• Domännamn – contoso
• Lösenord – Pass@word1

Innan du börjar

• Den här guiden är avsedd för installation av MIM-tjänsten i organisationer som licensierats för Microsoft Entra ID P1 eller P2. Om din organisation inte har Microsoft Entra ID P1 eller P2 eller inte använder Microsoft Entra-ID måste du i stället följa installationsguiden för Volume License Edition av MIM.
• Kontrollera att du har Microsoft Entra användarautentiseringsuppgifter med tillräcklig behörighet för att verifiera att din klientprenumeration innehåller Microsoft Entra-ID P1 eller P2 och kan skapa appregistreringar.
• Om du planerar att använda Office 365 programkontextautentisering måste du köra ett skript för att registrera MIM-tjänstprogrammet i Microsoft Entra-ID och ge MIM-tjänsten behörighet att komma åt en MIM-tjänstpostlåda i Office 365. Spara skriptutdata eftersom du behöver det resulterande program-ID:t och hemligheten senare under installationen.

Distributionsalternativ

Alternativen i distributionen beror på två kriterier:

• Om MIM-tjänsten ska köras som ett vanligt Windows-tjänstkonto eller som ett grupphanterat tjänstkonto (gMSA)
• Om MIM-tjänsten ska skicka e-post via en Exchange Server, Office 365 eller en SMTP-server

Tillgängliga distributionsalternativ:

• Alternativ A: Stamtjänstkonto + Exchange Server
• Alternativ B: Reguljärt tjänstkonto + Office 365 grundläggande autentisering
• Alternativ C: Konto för vanlig tjänst + Office 365 programkontextautentisering
• Alternativ D: Stamtjänstkonto + SMTP
• Alternativ E: Stamtjänstkonto + ingen e-postserver
• Alternativ F: Grupphanterat tjänstkonto + Exchange Server
• Alternativ G: Grupphanterat tjänstkonto + Office 365 grundläggande autentisering
• Alternativ H: Grupphanterat tjänstkonto + Office 365 programkontextautentisering
• Alternativ I: Grupphanterat tjänstkonto + ingen e-postserver

Anteckning

SMTP-serveralternativet fungerar bara med vanliga tjänstkonton och integrerad Windows-autentisering och tillåter inte användning av Outlook-tillägget för godkännanden.

Förbereda för Office 365 programkontextautentisering

Från och med version 4.6.421.0, förutom grundläggande autentisering, stöder MIM-tjänsten programkontextautentisering för att Office 365 postlådor. Supporten för grundläggande autentisering upphörde den 20 september 2019. Därför rekommenderar vi att du använder programkontextautentisering för att skicka meddelanden och samla in godkännandesvar.

Scenariot med programkontextautentisering kräver att du registrerar ett program i Microsoft Entra-ID, skapar en klienthemlighet som ska användas i stället för ett lösenord och ger programmet behörighet att komma åt MIM-tjänstens postlåda. MIM-tjänsten använder det här program-ID:t och den här hemligheten för att komma åt postlådan i Office 365. Du kan registrera ditt program i Microsoft Entra-ID antingen med hjälp av ett skript (rekommenderas) eller manuellt.

Registrera program med hjälp av Microsoft Entra administrationscenter

1. Logga in på Microsoft Entra administrationscenter med rollen Global administratör.

2. Gå till bladet Microsoft Entra och kopiera ditt klientorganisations-ID från avsnittet Översikt och spara det.

3. Gå till avsnittet Appregistreringar och klicka på knappen Ny registrering.

4. Ge ditt program ett namn, till exempel åtkomst till MIM-tjänstens postlådeklient och klicka på Registrera.

5. När programmet har registrerats kopierar du värdet program-ID (klient) och sparar det.

6. Gå till avsnittet API-behörigheter och återkalla behörigheten User.Read genom att klicka på tre punkter direkt till behörighetsnamnet och välja Ta bort behörighet. Bekräfta att du vill ta bort den här behörigheten.

7. Klicka på knappen Lägg till en behörighet . Växla till API:er som min organisation använder och skriv Office. Välj behörighetstypen Office 365 Exchange Online och Program. Skriv full och välj full_access_as app. Klicka på knappen Lägg till behörigheter .

8. Du ser att behörighet har lagts till och att administratörsmedgivande inte beviljas. Klicka på knappen Bevilja administratörsmedgivande bredvid knappen Lägg till en behörighet .

9. Gå till Certifikat och hemligheter och välj att lägga till Ny klienthemlighet. Om du väljer en förfallotid för hemligheten måste du konfigurera om MIM-tjänsten närmare utgångsdatumet för att använda en annan hemlighet. Om du inte planerar att rotera programhemligheter väljer du Aldrig. Ge din hemlighet ett namn, till exempel MIM-tjänsten och klicka på knappen Lägg till . Det hemliga värdet visas i portalen. Kopiera det här värdet (inte hemligt ID) och spara det.

10. Nu när du har klientorganisations-ID, program-ID och programhemlighet som krävs av installationsprogrammet kan du fortsätta med installationen av MIM-tjänsten och portalen. Dessutom kanske du vill begränsa åtkomsten för ditt nyligen registrerade program till endast MIM-tjänstens postlåda (full_access_as_app beviljar åtkomst till alla postlådor i din organisation). För att göra det måste du skapa en princip för programåtkomst. Följ den här guiden om du vill begränsa åtkomsten för ditt program till MIM-tjänstens postlåda. Du måste skapa en distributions- eller e-postaktiverad säkerhetsgrupp och lägga till MIM-tjänstens postlåda i den gruppen. Kör sedan ett PowerShell-kommando och ange dina Exchange Online administratörsautentiseringsuppgifter:

    New-ApplicationAccessPolicy `
    -AccessRight RestrictAccess `
    -AppId "<your application ID from step 5>" `
    -PolicyScopeGroupId <your group email> `
    -Description "Restrict MIM Service app to members of this group"
    

Registrera program med hjälp av ett PowerShell-skript

Create-MIMMailboxApp.ps1 skript hittades antingen i Scripts.zip/Scripts/Service and Portal eller i Service and Portal.zip\Service and Portal\Program Files\Microsoft Forefront Identity Manager\2010\Service\Scripts.

Om inte MIM-tjänstens postlåda finns i ett nationellt moln eller myndighetsmoln är den enda parametern du behöver skicka till skriptet MIM-tjänstens e-post, MIMService@contoso.onmicrosoft.comtill exempel .

Från ett PowerShell-fönster börjar du Create-MIMMailboxApp.ps1 med e-postparametern> -MailboxAccountEmail <och anger MIM-tjänstens e-post.

./Create-MIMMailboxApp.ps1 -MailboxAccountEmail <MIM Service email>

När du tillfrågas om autentiseringsuppgifter anger du autentiseringsuppgifterna för Microsoft Entra global administratör för att registrera ett program i Azure.

När programmet har registrerats kommer ett annat popup-fönster att be om Exchange Online administratörsautentiseringsuppgifter för att skapa en princip för programåtkomst.

Efter lyckad programregistrering bör skriptutdata se ut så här:

Det uppstår en fördröjning på 30 sekunder efter att programmet har registrerats och ett webbläsarfönster öppnas för att undvika replikeringsproblem. Ange autentiseringsuppgifterna för din Microsoft Entra klientorganisationsadministratör och godkänn en begäran om att ge programmet åtkomst till MIM-tjänstens postlåda. Popup-fönstret bör se ut så här:

När du har klickat på knappen Acceptera omdirigeras du till Administrationscenter för Microsoft 365. Du kan stänga webbläsarfönstret och kontrollera skriptets utdata. Den bör se ut så här:

Kopiera värdena ApplicationId, TenantId och ClientSecret eftersom de behövs av installationsprogrammet för MIM-tjänsten och portalen.

Distribuera MIM-tjänsten och -portalen

Vanliga distributionssteg

1. Skapa en tillfällig katalog för att behålla installationsloggarna, till exempel c:\miminstall.

2. Starta en upphöjd kommandotolk, gå till mappen binärfiler för MIM-tjänstens installationsprogram och kör:

   msiexec /i "Service and Portal.msi" /lvxi* c:\miminstall\log.txt
   

   På välkomstskärmen klickar du på Nästa.

   

3. Granska End-User-licensavtalet och klicka på Nästa om du godkänner licensvillkoren.

   

4. Nationella moln är isolerade instanser av Azure. Välj vilken Azure Cloud-instans din klient finns i och klicka på Nästa.

   

   Organisationer som inte använder ett nationellt moln eller myndighetsmoln bör välja den globala instansen Microsoft Entra ID.

   

5. När du har valt lämpligt moln ber installationsprogrammet dig att autentisera till den klientorganisationen. I popup-fönstret anger du Microsoft Entra användarautentiseringsuppgifter för en användare i klientorganisationen för att verifiera din klientprenumerationsnivå. Skriv ditt Microsoft Entra användarnamn och klicka på Nästa.

   

   Skriv ditt lösenord och klicka på Logga in.

   

   Om installationsprogrammet inte kan hitta en prenumeration på Microsoft Entra ID P1 eller en annan prenumeration, som omfattar Microsoft Entra ID P1 eller P2, visas ett popup-fel. Kontrollera att användarnamnet är för rätt klientorganisation och titta på installationsloggfilen för mer information.

6. När licenskontrollen är klar väljer du MIM-tjänst- och portalkomponenter för att installera och klickar på Nästa.

   

7. Ange SQL-servern och databasnamnet. Välj att återanvända den befintliga databasen om du uppgraderar från tidigare MIM-versioner. Om du installerar med sql-redundanskluster eller Always-On lyssnare för tillgänglighetsgrupper anger du ett kluster eller ett lyssnarnamn. Klicka på Nästa.

   

8. Om du installerar MIM med hjälp av en befintlig databas visas en varning. Klicka på Nästa.

   

9. Välj en kombination av e-postservertyp och autentiseringsmetod (alternativ A-I, se nedan)

   av tjänsttyp för allmän e-post

   Om du installerar MIM-tjänsten med hjälp av Group-Managed tjänstkonto markerar du motsvarande kryssruta. Annars lämnar du kryssrutan avmarkerad. Klicka på Nästa.

   

   Om du väljer inkompatibel kombination av e-postservertyp och autentiseringsmetod visas ett popup-fel när du klickar på Nästa.

   

Alternativ A. Stamtjänstkonto + Exchange Server

1. På sidan Konfigurera vanliga tjänster väljer du Exchange Server 2013 eller senare och Integrerad Windows-autentisering. Ange värdnamnet för Exchange-servern. Låt kryssrutan Använd grupphanterat tjänstkonto vara avmarkerad. Klicka på Nästa.

   

2. Om du installerar MIM-rapporteringskomponenten skriver du System Center Service Manager hanteringsservernamn och klickar på Nästa.

   

3. Om du installerar MIM-rapporteringskomponenten i en miljö med endast TLS 1.2 med System Center Service Manager 2019 väljer du ett certifikat som är betrott av SCSM Server med MIM-serverns värdnamn i certifikatets ämne, annars väljer du att generera ett nytt självsignerat certifikat. Klicka på Nästa.

   

4. Skriv MIM-tjänstens kontonamn och lösenord, domännamn och SMTP-adress för MIM-tjänstens postlåda. Klicka på Nästa.

   

Alternativ B. Konto för vanlig tjänst + Office 365 grundläggande autentisering

1. På sidan Konfigurera vanliga tjänster väljer du Office 365 e-posttjänst och Grundläggande autentisering. Låt kryssrutan Använd grupphanterat tjänstkonto vara avmarkerad. Klicka på Nästa.

   

2. Om du installerar MIM-rapporteringskomponenten skriver du System Center Service Manager hanteringsservernamn och klickar på Nästa.

   

3. Om du installerar MIM-rapporteringskomponenten i en miljö med endast TLS 1.2 med System Center Service Manager 2019 väljer du ett certifikat som är betrott av SCSM Server med MIM-serverns värdnamn i certifikatets ämne, annars väljer du att generera ett nytt självsignerat certifikat. Klicka på Nästa.

   

4. Skriv MIM-tjänstens kontonamn och lösenord, domännamn, MIM-tjänstens Office 365 SMTP-adress för postlåda och MIM-tjänstpostlåda Microsoft Entra lösenord. Klicka på Nästa.

   

Alternativ C. Konto för vanlig tjänst + Office 365 programkontextautentisering

1. På sidan Konfigurera vanliga tjänster väljer du Office 365 e-posttjänst och Programkontextautentisering. Låt kryssrutan Använd grupphanterat tjänstkonto vara avmarkerad. Klicka på Nästa.

   

2. Om du installerar MIM-rapporteringskomponenten skriver du System Center Service Manager hanteringsservernamn och klickar på Nästa.

   

3. Ange Microsoft Entra program-ID, klient-ID och klienthemlighet som genererades av ett skript tidigare. Klicka på Nästa.

   

   Om installationsprogrammet inte kan verifiera program-ID:t eller klientorganisations-ID:t visas ett fel:

   

   Om installationsprogrammet inte kan komma åt MIM-tjänstens postlåda visas ett annat fel:

   

4. Om du installerar MIM-rapporteringskomponenten i en miljö med endast TLS 1.2 med System Center Service Manager 2019 väljer du ett certifikat som är betrott av SCSM Server med MIM-serverns värdnamn i certifikatets ämne, annars väljer du att generera ett nytt självsignerat certifikat. Klicka på Nästa.

   

5. Skriv MIM-tjänstens kontonamn och lösenord, domännamn och MIM-tjänstens OFFICE 365 SMTP-adress för postlådan. Klicka på Nästa.

   

Alternativ D. Regelbundet tjänstkonto + SMTP-server

1. På sidan Konfigurera vanliga tjänster väljer du SMTP och Integrerad Windows-autentisering. Skriv SMTP-serverns värdnamn. Låt kryssrutan Använd grupphanterat tjänstkonto vara avmarkerad. Klicka på Nästa.

   

2. Om du installerar MIM-rapporteringskomponenten skriver du System Center Service Manager hanteringsservernamn och klickar på Nästa.

   

3. Om du installerar MIM-rapporteringskomponenten i en miljö med endast TLS 1.2 med System Center Service Manager 2019 väljer du ett certifikat som är betrott av SCSM Server med MIM-serverns värdnamn i certifikatets ämne, annars väljer du att generera ett nytt självsignerat certifikat. Klicka på Nästa.

   

4. Skriv MIM-tjänstkontots namn och lösenord, domännamn och SMTP-adress för MIM-tjänsten. Klicka på Nästa.

   

Alternativ E. Stamtjänstkonto + ingen e-postserver

1. På sidan Konfigurera vanliga tjänster väljer du Ingen servertyp. Låt kryssrutan Använd grupphanterat tjänstkonto vara avmarkerad. Klicka på Nästa.

   

2. Om du installerar MIM-rapporteringskomponenten skriver du System Center Service Manager hanteringsservernamn och klickar på Nästa.

   

3. Om du installerar MIM-rapporteringskomponenten i en miljö med endast TLS 1.2 med System Center Service Manager 2019 väljer du ett certifikat som är betrott av SCSM Server med MIM-serverns värdnamn i certifikatets ämne, annars väljer du att generera ett nytt självsignerat certifikat. Klicka på Nästa.

   

4. Skriv MIM-tjänstkontots namn och lösenord, domännamn. Klicka på Nästa.

   

Alternativ F. Grupphanterat tjänstkonto + Exchange Server

1. På sidan Konfigurera vanliga tjänster väljer du Exchange Server 2013 eller senare och Integrerad Windows-autentisering. Ange värdnamnet för Exchange-servern. Aktivera alternativet Använd grupphanterat tjänstkonto . Klicka på Nästa.

   

2. Om du installerar MIM-rapporteringskomponenten skriver du System Center Service Manager hanteringsservernamn och klickar på Nästa.

   

3. Om du installerar MIM-rapporteringskomponenten i en miljö med endast TLS 1.2 med System Center Service Manager 2019 väljer du ett certifikat som är betrott av SCSM Server med MIM-serverns värdnamn i certifikatets ämne, annars väljer du att generera ett nytt självsignerat certifikat. Klicka på Nästa.

   

4. Skriv MIM-tjänstens grupphanterade tjänstkontonamn, domännamn, SMTP-adress och lösenord för MIM-tjänstens postlåda. Klicka på Nästa.

   

Alternativ G. Grupphanterat tjänstkonto + Office 365 grundläggande autentisering

1. På sidan Konfigurera vanliga tjänster väljer du Office 365 e-posttjänst och Grundläggande autentisering. Aktivera alternativet Använd grupphanterat tjänstkonto . Klicka på Nästa.

   

2. Om du installerar MIM-rapporteringskomponenten skriver du System Center Service Manager hanteringsservernamn och klickar på Nästa.

   

3. Om du installerar MIM-rapporteringskomponenten i en miljö med endast TLS 1.2 med System Center Service Manager 2019 väljer du ett certifikat som är betrott av SCSM Server med MIM-serverns värdnamn i certifikatets ämne, annars väljer du att generera ett nytt självsignerat certifikat. Klicka på Nästa.

   

4. Skriv MIM-tjänstens grupphanterade tjänstkontonamn, domännamn, MIM-tjänstens SMTP-adress Office 365 postlåda och MIM-tjänstkontots Microsoft Entra lösenord. Klicka på Nästa.

   

Alternativ H. Grupphanterat tjänstkonto + Office 365 programkontextautentisering

1. På sidan Konfigurera vanliga tjänster väljer du Office 365 e-posttjänst och Programkontextautentisering. Aktivera alternativet Använd grupphanterat tjänstkonto . Klicka på Nästa.

   

2. Om du installerar MIM-rapporteringskomponenten skriver du System Center Service Manager hanteringsservernamn och klickar på Nästa.

   

3. Ange Microsoft Entra program-ID, klient-ID och klienthemlighet som genererades av ett skript tidigare. Klicka på Nästa.

   

   Om installationsprogrammet inte kan verifiera program-ID:t eller klientorganisations-ID:t visas ett fel:

   

   Om installationsprogrammet inte kan komma åt MIM-tjänstens postlåda visas ett annat fel:

   

4. Om du installerar MIM-rapporteringskomponenten i en miljö med endast TLS 1.2 med System Center Service Manager 2019 väljer du ett certifikat som är betrott av SCSM Server med MIM-serverns värdnamn i certifikatets ämne, annars väljer du att generera ett nytt självsignerat certifikat. Klicka på Nästa.

   

5. Skriv MIM-tjänstens grupphanterade tjänstkontonamn, domännamn och MIM-tjänst Office 365 SMTP-adress för postlådan. Klicka på Nästa.

   

Alternativ I. Grupphanterat tjänstkonto + ingen e-postserver

1. På sidan Konfigurera vanliga tjänster väljer du Ingen servertyp. Aktivera alternativet Använd grupphanterat tjänstkonto . Klicka på Nästa.

   

2. Om du installerar MIM-rapporteringskomponenten skriver du System Center Service Manager hanteringsservernamn och klickar på Nästa.

   

3. Om du installerar MIM-rapporteringskomponenten i en miljö med endast TLS 1.2 med System Center Service Manager 2019 väljer du ett certifikat som är betrott av SCSM Server med MIM-serverns värdnamn i certifikatets ämne, annars väljer du att generera ett nytt självsignerat certifikat. Klicka på Nästa.

   

4. Skriv MIM-tjänstens grupphanterade tjänstkontonamn, domännamn. Klicka på Nästa.

   

Vanliga distributionssteg. Fortsättning

1. Om MIM-tjänstkontot inte var begränsat till att neka lokala inloggningar visas ett varningsmeddelande. Klicka på Nästa.

   

2. Skriv värdnamnet för MIM-synkroniseringsservern. Skriv kontonamn för MIM-hanteringsagenten. Om du installerar MIM-synkroniseringstjänsten med Group-Managed tjänstkonto lägger du till dollartecknet i kontonamnet, till exempel contoso\MIMSyncGMSAsvc$. Klicka på Nästa.

   

3. Skriv VÄRDNAMN för MIM-tjänstservern. Om en lastbalanserare används för att balansera MIM-tjänstens nyttolast anger du namnet på klustret. Klicka på Nästa.

   

4. Ange namnet på SharePoint-webbplatssamlingen. Se till att ersätta http://localhost med ett korrekt värde. Klicka på Nästa.

   

   En varning visas. Klicka på Nästa.

   

5. Om du installerar Self-Service webbplats för lösenordsregistrering (behövs inte om du använder Microsoft Entra-ID för lösenordsåterställning) anger du en URL som MIM-klienter ska omdirigeras till efter inloggningen. Klicka på Nästa.

   

6. Markera kryssrutan för att öppna portarna 5725 och 5726 i brandväggen, och kryssrutan för att bevilja alla autentiserade användare åtkomst till MIM-portalen. Klicka på Nästa.

   

7. Om du installerar Self-Service webbplats för lösenordsregistrering (behövs inte om du använder Microsoft Entra-ID för lösenordsåterställning) anger du namnet på programpoolens konto och dess lösenord, värdnamnet och porten för webbplatsen. Aktivera alternativet Öppna port i brandväggen om det behövs. Klicka på Nästa.

   

   En varning visas. Läs den och klicka på Nästa.

   

8. På nästa konfigurationsskärm för MIM-portalen för lösenordsregistrering skriver du MIM-tjänstserveradressen för portalen för lösenordsregistrering och väljer om den här webbplatsen ska vara tillgänglig för intranätanvändare. Klicka på Nästa.

   

9. Om du installerar Self-Service webbplats för lösenordsåterställning anger du namnet på programpoolens konto och dess lösenord, värdnamnet och porten för webbplatsen. Aktivera alternativet Öppna port i brandväggen om det behövs. Klicka på Nästa.

   

   En varning visas. Läs den och klicka på Nästa.

   

10. På nästa konfigurationsskärm för MIM-portalen för lösenordsåterställning skriver du MIM-tjänstserveradressen för portalen för lösenordsåterställning och väljer om den här webbplatsen ska vara tillgänglig för intranätanvändare. Klicka på Nästa.

    

11. När alla förberedande definitioner för installationen är klara klickar du på Installera för att starta installationen av de valda komponenterna i Tjänsten och portalen.

Uppgifter efter installationen

Verifiera att MIM-portalen är aktiv när installationen är klar.

1. Starta Internet Explorer och anslut till MIM-portalen på http://mim.contoso.com/identitymanagement. Observera att det kan uppstå en kort fördröjning vid det första besöket på den här sidan.

   • Vid behov autentisera som en användare, som installerade MIM-tjänsten och portalen, till Internet Explorer.

2. I Internet Explorer öppnar du Internetalternativen, ändrar till fliken Säkerhet och lägger till platsen i zonen Lokalt intranät om den inte redan finns där. Stäng dialogrutan Internetalternativ.

3. I Internet Explorer öppnar du inställningar, ändrar till fliken Inställningar för kompatibilitetsvy och avmarkerar kryssrutan Visa intranätplatser i kompatibilitetsvyn . Stäng dialogrutan Kompatibilitetsvy .

4. Ge icke-administratörer åtkomst till MIM-portalen.

   1. Gå till MIM-portalen i Internet Explorer och klicka på Hanteringsprincipregler (MPR).
   2. Sök efter hanteringsprincipregeln Användarhantering: användare får läsa sina egna attribut.
   3. Välj den här hanteringsprincipregeln och avmarkera Hanteringsprincipregeln (MPR) är inaktiverad.
   4. Klicka på OK och därefter på Skicka.

Anteckning

Valfritt: Nu kan du installera MIM-tillägg och tillägg och språkpaket.

«Synkroniseringstjänst för MIMSynkronisera databaser»