Rekommenderade metoder för Microsoft Identity Manager 2016
Det här avsnittet beskriver rekommenderade metoder för att distribuera och använda Microsoft Identity Manager 2016 (MIM)
Konfiguration av SQL
Anteckning
Följande rekommendationer för att konfigurera en server som kör SQL förutsätter en SQL-instans som är dedikerad till FIM-tjänsten och en SQL-instans som är dedikerad till FIMSynchronizationService-databasen. Om du kör FIM-tjänsten i en konsoliderad miljö måste du göra de justeringar som krävs för din konfiguration.
Konfiguration av SQL-servern (Structured Query Language) är viktig för optimala systemprestanda. Optimala MIM-prestanda i storskaliga implementeringar beror på användning av rekommenderade metoder för en server som kör SQL. Mer information finns i följande avsnitt om rekommenderade metoder för SQL:
Ange storlek på data och loggfiler på förhand
Förlita dig inte på automatisk tillväxt. Hantera i stället tillväxten av dessa filer manuellt. Du kan låta automatisk tillväxt vara på av säkerhetsskäl, men du bör hantera datafilernas tillväxt proaktivt. Exempelstorlekar för MIM-databasen finns i Guide för kapacitetsplanering för FIM.
Ange storlek på data och loggfiler på förhand
Starta SQL Server Management Studio.
Navigera till databasen FIMService, högerklicka på FIMService och klicka sedan på Egenskaper.
På sidan Filer utökar du databasfilerna till önskad storlek.
Isolera loggen från datafiler
Följ metodtipsen för SQL Server för att isolera transaktions- och dataloggfilerna för databaserna på separata fysiska diskar.
Skapa ytterligare tempdb-filer
För att uppnå optimala prestanda rekommenderar vi att du skapar en datafil per processorkärna i tempdb-filen.
Skapa ytterligare tempdb-filer
Starta SQL Server Management Studio.
Gå till databasens tempdb i Systemdatabaser, högerklicka på tempdb och klicka sedan på Egenskaper.
Skapa en datafil för varje processorkärna på sidan Filer. Se till att skilja tempdb-data och loggfilerna åt på olika enheter och spindlar.
Se till att det finns tillräckligt med utrymme för loggfiler
Det är viktigt att förstå återställningsmodellens diskkrav. Enkelt återställningsläge kan vara lämpligt under den inledande systembelastningen för att begränsa diskutrymmesanvändningen, men data som skapas efter den senaste säkerhetskopieringen riskerar dataförlust. När du använder fullständigt återställningsläge måste du hantera diskanvändningen via säkerhetskopior som innehåller frekventa säkerhetskopieringar av transaktionsloggen för att förhindra hög diskutrymmesanvändning. Mer information finns i Recovery Model Overview (Översikt över återställningsmodell).
Begränsa SQL Server-minne
Beroende på hur mycket minne som finns på SQL Server och om du delar SQL Server med andra tjänster (d.v.s. MIM 2016-tjänsten och MIM 2016-synkroniseringstjänsten) kanske du vill begränsa minnesanvändningen för SQL. Du kan ange den här begränsningen med hjälp av följande steg.
Starta SQL Server Enterprise Manager.
Välj Ny fråga.
Kör följande fråga:
USE master EXEC sp_configure 'show advanced options', 1 RECONFIGURE WITH OVERRIDE USE master EXEC sp_configure 'max server memory (MB)', 12000--- max=12G RECONFIGURE WITH OVERRIDEDet här exemplet konfigurerar om SQL-servern så att den inte använder mer än 12 GB minne.
Verifiera inställningen med hjälp av följande fråga:
USE master EXEC sp_configure 'max server memory (MB)'--- verify the setting USE master EXEC sp_configure 'show advanced options', 0 RECONFIGURE WITH OVERRIDE
Konfiguration av säkerhetskopiering och återställning
I allmänhet bör du samarbeta med databasadministratören för att utforma en strategi för säkerhetskopiering och återställning. Några rekommendationer är:
- Utför databassäkerhetskopior enligt organisationens säkerhetskopieringsprincip.
- Om inkrementella säkerhetskopior inte är planerade bör databasen ställas in på enkelt återställningsläge.
- Se till att du förstår konsekvenserna av de olika återställningsmodellerna innan du implementerar säkerhetskopieringsstrategin. Lär dig mer om diskutrymmeskraven för dessa modeller. Den fullständiga återställningsmodellen kräver täta loggsäkerhetskopior för att undvika hög diskutrymmesanvändning.
Mer information finns i Recovery Model Overview (Översikt över återställningsmodell) och Guide för säkerhetskopiering och återställning av FIM 2010.
Skapa ett administratörskonto för säkerhetskopiering för FIM-tjänsten efter installationen
Medlemmar i UPPSÄTTNINGEN FIMService-administratörer har unika behörigheter som är viktiga för driften av MIM-distributionen. Om du inte kan logga in som en del av den angivna administratörsuppsättningen är den enda lösningen att återställa till en tidigare säkerhetskopia av systemet. Vi rekommenderar att du åtgärdar denna situation genom att lägga till andra användare i den administrativa uppsättningen för FIM som en del av konfigurationen efter installation.
FIM-tjänst
Konfigurera FIM-tjänstens Service Exchange-postlåda
Följande är rekommenderade metoder för att konfigurera Microsoft Exchange Server för MIM 2016-tjänstens tjänstekonto.
- Konfigurera tjänstekontot så att det endast kan ta emot e-post från interna e-postadresser. Tjänstekontots postlåda ska specifikt aldrig kunna ta emot e-post från externa SMTP-servrar.
För att konfigurera tjänstekontot
I Exchange Management-konsolen väljer du FIM-tjänstens tjänstkonto.
Välj Egenskaper, välj Inställningar för e-postflöde och välj sedan Mail Delivery Restrictions (Begränsningar för e-postleverans).
Markera kryssrutan Kräv att alla avsändare är autentiserade.
Mer information finns i Konfigurera begränsningar för meddelandeleverans.
Konfigurera tjänstekontot så att det avvisar e-postmeddelanden som har en storlek över 1 MB. Följ rekommenderade metoder för att konfigurera begränsningar för meddelandestorlek för en brevlåda eller e-postaktiverad offentlig mapp.
Konfigurera tjänstekontot så att det har en kvot för e-postlagring på 5 GB. För bästa resultat följer du de rekommenderade metoder som anges i Configure Storage Quotas for a Mailbox (Konfigurera lagringskvoter för en postlåda).
MIM-portal
Inaktivera SharePoint-indexering
Vi rekommenderar att du inaktiverar Microsoft Office SharePoint®-indexering. Det finns inga dokument som behöver indexeras. Indexering orsakar många felloggposter och potentiella prestandaproblem i MIM. Utför följande steg för att inaktivera SharePoint-indexering:
Klicka på Start på den server som är värd för 2016 MIM-portalen.
Klicka på Alla program.
I listan Alla program klickar du på Administrationsverktyg.
Klicka på Central Administration av SharePoint under Administrationsverktyg.
Klicka på Åtgärder på sidan Central administration.
Under Global konfiguration på sidan Åtgärder klickar du på Definitioner av tidsinställda jobb.
På sidan Definitioner av tidsinställda jobb klickar du på Uppdatering för SharePoint Services Search.
Klicka på Inaktivera på sidan Redigera tidsinställt jobb.
Inledande datainläsning för MIM 2016
Det här avsnittet innehåller en serie steg för att öka prestandan för den inledande datainläsningen från det externa systemet till MIM. Det är viktigt att förstå att ett antal av dessa steg endast utförs under systemets ursprungliga population. De bör återställas när belastningen har slutförts. De här stegen är för en engångsåtgärd och inte en kontinuerlig synkronisering.
Viktigt
Se till att du har följt de rekommenderade metoder som beskrivs i avsnittet om SQL-konfiguration i den här handledningen.
Steg 1: Konfigurera SQL Server för inledande datainläsning
Den första databelastningen kan vara en lång process. När du planerar att först läsa in mycket data kan du förkorta den tid det tar att fylla i databasen genom att tillfälligt inaktivera fulltextsökning och aktivera den igen när exporten av MIM 2016-hanteringsagenten (FIM MA) har slutförts.
Stänga av fulltextsökning tillfälligt:
Starta SQL Server Management Studio.
Välj Ny fråga.
Kör följande SQL-uttryck:
ALTER FULLTEXT INDEX ON [fim].[ObjectValueString] SET CHANGE_TRACKING = MANUAL
ALTER FULLTEXT INDEX ON [fim].[ObjectValueXml] SET CHANGE_TRACKING = MANUAL
Viktigt
Om du inte implementerar dessa metoder kan det leda till hög diskutrymmesanvändning, som eventuellt kan leda till att diskutrymmet tar slut. Du hittar mer information om det här avsnittet i Recovery Model Overview (Översikt över återställningsmodell). Guide för säkerhetskopiering och återställning av FIM innehåller ytterligare information.
Steg 2: Använd den minsta nödvändiga MIM-konfigurationen under inläsningen
Under den inledande inläsningen bör du bara använda den lägsta konfiguration som krävs av FIM-konfigurationen för hanteringsprincipreglerna (MPR) och uppsättningsdefinitionerna. När inläsningen är klar kan du skapa ytterligare uppsättningar som krävs för distributionen. Använd inställningen Kör vid principuppdatering på åtgärdsarbetsflöden för att verkställa dessa principer retroaktivt på inlästa data.
Steg 3: Konfigurera och fylla i FIM-tjänsten med externa identitetsdata
Nu bör du följa de procedurer som beskrivs i guiden Hur synkroniserar jag användare från Active Directory Domain Services till FIM för att konfigurera och synkronisera systemet med användare från Active Directory. Om du behöver synkronisera gruppinformation beskrivs procedurerna för den processen i guiden Synkronisera grupper från Active Directory Domain Services till FIM.
Synkroniserings- och exportsekvenser
Optimera prestanda genom att köra en export efter en synkroniseringskörning som ger ett stort antal väntande exportåtgärder i en anslutarplats. Kör sedan en bekräftande importkörning på hanteringsagenten som är kopplad till berörd anslutarplats. Om du till exempel behöver köra körningsprofiler för synkronisering på flera hanteringsagenter som en del av en inledande databelastning bör du köra en export följt av en deltaimport efter varje enskild synkroniseringskörning. Utför följande steg för varje källhanteringsagent som är en del av initieringscykeln:
Fullständig import på en källhanteringsagent.
Fullständig synkronisering på källhanteringsagenten.
Export på alla berörda målhanteringsagenter med stegvisa exportåtgärder.
Deltaimport på alla berörda målhanteringsagenter med stegvisa exportåtgärder.
Steg 4: Verkställa den fullständiga MIM-konfigurationen
När den första datainläsningen har slutförts bör du verkställa den fullständiga MIM-konfigurationen för distributionen.
Beroende på dina scenarier kan det här steget omfatta skapandet av ytterligare uppsättningar, MPR:er och arbetsflöden. Vid eventuella principer som du måste verkställa retroaktivt på alla befintliga objekt i systemet använder du inställningen Kör vid principuppdatering på åtgärdsarbetsflöden för att verkställa dessa principer retroaktivt på inlästa data.
Steg 5: Konfigurera om SQL till tidigare inställningar
Kom ihåg att ändra SQL-inställningen till dess normala inställningar. Dessa ändringar omfattar:
Aktivera fulltextsökning
Uppdatera säkerhetskopieringsprincipen enligt organisationsprincipen
När du har slutfört den inledande datainläsningen måste du aktivera fulltextsökning igen. Kör följande SQL-uttryck för att aktivera fulltextsökning igen:
ALTER FULLTEXT INDEX ON [fim].[ObjectValueString] SET CHANGE_TRACKING = AUTO
ALTER FULLTEXT INDEX ON [fim].[ObjectValueXml] SET CHANGE_TRACKING = AUTO
Om du vill växla till enkelt återställningsläge ser du till att konfigurera om säkerhetskopieringsschemat i enlighet med organisationens säkerhetskopieringsprincip. Ytterligare information om säkerhetskopieringsscheman i FIM finns i Guide för säkerhetskopiering och återställning av FIM.
Konfigurationsmigrering
Undvik att ändra visningsnamn
För många objekttyper, till exempel MPR, använder skriptet syncproduction.ps1 visningsnamnet som det enda fästpunktsattributet mellan två system. Det innebär att om ett befintligt MPR-visningsnamn ändras raderas befintlig MPR och en ny MPR skapas. Det beror på att migreringsprocessen inte kan sammankoppla hanteringsprincipregler vars kopplingsvillkor har ändrats. Du kan undvika detta problem genom att koppla ett anpassat attribut till alla konfigurationsobjekttyper och använda det attributet som kopplingsvillkor. Med den här processen kan du ändra visningsnamn utan att påverka migreringsprocessen.
Undvik att ändra innehållet i mellanliggande filer
Även om filformatet och Application Programming Interface (API) för objekten på låg nivå är offentliga och ändringar stöds av utvecklare rekommenderar vi inte att du ändrar innehållet i mellanliggande format under migreringen. Det kan dock vara nödvändigt att ta bort hela importobjekt från changes.xml eller utföra åtgärder för att söka och ersätta i pilot.xml för att byta ut versionsnummer eller pilot-DNS-information (Domain Name System) mot produktions-DNS-information.
Se till att versionsnumret i pilot.xml är rätt vid migrering mellan versioner
Även om migreringar över versionsnummer inte rekommenderas eller stöds kan du ofta göra den här migreringen genom att ersätta pilotversionsnumret med produktionsversionsnumret i pilot.xml. Mer specifikt kräver objekten WorkflowDefinition och
ActivityInformationConfiguration versionsnumret för att exakt kunna hänvisa till arbetsflödesaktiviteter i produktionsmiljön. Om versionsnumret inte byts ut leder det till att cmdlet:en Compare-FIMConfig identifierar skillnader mellan XOML-attributen (Extensible Object Markup Language) i WorkflowDefinitions och migrerar pilotens versionsnummer. FIM-tjänsten för produktion kan misslyckas med att starta arbetsflödesaktiviteter med fel versionsnummer.
Undvik cykliska referenser
Normal rekommenderas inte cykliska referenser i en MIM-konfiguration. Cykler uppstår dock ibland när uppsättning A hänvisar till uppsättning B och uppsättning B också hänvisar till uppsättning A. För att undvika problem med cykliska referenser bör du ändra definitionen i uppsättning A eller uppsättning B så att de båda inte hänvisar till varandra. Starta sedan om migreringsprocessen. Om du har cykliska referenser och cmdlet:en Compare-FIMConfig ger ett fel som resultat måste du bryta cykeln manuellt. Eftersom cmdlet:en Compare-FIMConfig skapar en lista med ändringar i prioritetsordning får det inte finnas några cykler bland referenserna för konfigurationsobjekt.
Säkerhet
MIM MA-konto
MIM MA-kontot betraktas inte som ett tjänstkonto och ska vara ett vanligt användarkonto. Kontona måste kunna logga in lokalt för att FIM-synkroniseringstjänstens tjänstkonto ska kunna personifiera den.
Aktivera MIM MA-kontot för lokal inloggning
Klicka på Start, klicka på Administrationsverktyg och klicka sedan på Lokal säkerhetsprincip.
Öppna noden Lokala principer och klicka på Tilldelning av användarrättigheter.
I principen Tillåt lokal inloggning ser du till att FIM MA-kontot anges uttryckligen, annars lägger du till det i en av de grupper som redan har åtkomst.
FIM-synkroniseringstjänst och FIM-tjänstekonton
Tjänstekontona bör vara begränsade för att kunna konfigurera servrarna som kör MIM-serverkomponenterna på ett säkert sätt. Använd föregående metod för att aktivera MIM MA-kontot och ange följande begränsningar för FIM-synkroniseringstjänsten och FIM-tjänstekontona:
Neka inloggning som batchjobb
Neka lokal inloggning
Neka åtkomst till den här datorn från nätverket
Tjänstekontona bör inte vara medlem i den lokala administratörsgruppen.
FIM-synkroniseringstjänstens tjänstekonto bör inte vara medlem i de säkerhetsgrupper som används för att styra åtkomst till FIM-synkroniseringstjänsten (grupper som börjar med FIMSync, till exempel FIMSyncAdmins o.s.v.).
Viktigt
Om du väljer alternativen för att använda samma konto för båda tjänstekontona och inte skiljer FIM-tjänsten och FIM-synkroniseringstjänsten åt kan du inte konfigurera Neka tillgång till den här datorn från nätverket på mms-synkroniseringstjänstens server. Om åtkomst nekas förhindrar det att FIM-tjänsten kontaktar FIM-synkroniseringstjänsten för att ändra konfigurationen och hantera lösenord.
Lösenordsåterställning som distribueras på kioskliknande datorer bör ange lokal säkerhet för att rensa virtuell minnesväxlingsfil
När du distribuerar FIM-lösenordsåterställning på en arbetsstation som är avsedd att vara helskärmsläge rekommenderar vi att den lokala säkerhetsprincipinställningen Shutdown: Clear virtual memory pagefile aktiveras för att säkerställa att känslig information från processminnet inte är tillgänglig för obehöriga användare.
Implementera SSL för FIM-portalen
Vi rekommenderar starkt att du använder SSL (secure sockets layer) på FIM-portalservern för att skydda trafiken mellan klienterna och servern.
Implementera SSL:
Öppna IIS-hanteraren på MIM-portalservern.
Klicka på namnet på den lokala datorn.
Klicka på Servercertifikat.
Klicka på Skapa certifikatförfrågan.
I textrutan Eget namn anger du serverns namn.
Klicka på Nästa och sedan på Nästa.
Spara filen var som helst. Du behöver ha åtkomst till denna plats under följande steg.
Bläddra till https://servername/certsrv. Ersätt servernamn med namnet på den server som utfärdar certifikat.
Klicka på Begär ett nytt certifikat.
Klicka på Skicka en avancerad begäran.
Klicka på Skicka en certifikatbegäran genom att använda en base-64-krypterad.
Klistra in innehållet i filen som du sparade i föregående steg.
I Certifikatmall väljer du Webbserver.
Klicka på Skicka.
Spara certifikatet på skrivbordet.
I IIS-hanteraren klickar du på Complete Certification Request (Slutför certifieringsbegäran).
Led IIS-hanteraren till det certifikat du precis har sparat på skrivbordet.
Ange serverns namn som Eget namn.
Klicka på Platser och välj sedan SharePoint – 80.
Klicka på Bindningar och klicka sedan på Lägg till.
Välj https.
För certifikat väljer du det som har samma namn som servern, det certifikat som du precis har importerat.
Klicka på OK.
Ta bort HTTP-bindningen.
Klicka på SSL-inställningar och kontrollera Kräv SSL.
Spara inställningarna.
Klicka på Start, klicka på Administrationsverktyg och klicka sedan på Central administration för SharePoint 3.0.
Klicka på Åtgärder och klicka på Alternativa åtkomstmappningar.
Klicka på https://servername.
Ändra https://servername till https://servernameoch klicka sedan på OK.
Klicka på Start, klicka på Kör, skriv iisreset och klicka på OK.
Prestanda
För optimal prestandakonfiguration:
Använd de rekommenderade metoder för SQL-konfiguration som beskrivs i avsnittet om konfiguration av SQL i detta dokument.
Inaktivera SharePoint-indexering på MIM-portalwebbplatsen. Mer information finns i avsnittet Inaktivera SharePoint-indexering .
Funktionsspecifika metodtips
Hantering av begäran
MIM 2016 rensar som standard förfallna systemobjekt, vilket omfattar slutförda begäranden med kopplade godkännanden, godkännandesvar och arbetsflödesinstanser under en 30-dagarsintervall. Om organisationen behöver ha en längre begäranshistorik bör du exportera begäranden från MIM och lagra dem i en extra databas för att spara dem efter perioden på 30 dagar. Även om det går att konfigurera raderingsperioden på 30 dagar för begäranden kan en förlängning av denna tid ha en negativ effekt på prestanda till följd av de ytterligare objekten i systemet.
Hantering av principregler
Använd lämplig MPR-typ
MIM erbjuder två typer av MPR, Begäran och Uppsättningsövergång:
MPR för begäran (RMPR)
- Används för att definiera åtkomstkontrollprincipen (autentisering, auktorisering och åtgärd) för CRUD-åtgärder (Skapa, Läsa, Uppdatera eller Ta bort) mot resurser,
- Tillämpas när en CRUD-åtgärd utfärdas mot en målresurs i MIM och
- Omfattar de matchande kriterier som definieras i regeln, d.v.s. de CRUD-begäranden som regeln gäller för.
MPR för uppsättningsövergång (TMPR)
- Används för att definiera principer oavsett hur objektet har fått aktuellt tillstånd som representeras av övergångsuppsättningen. Använd TMPR för modellera rättighetsprinciper.
- Tillämpas när en resurs kommer in i eller lämnar en associerad uppsättning, och
- Omfattar medlemmarna i uppsättningen.
Anteckning
Mer information finns i Utforma affärsprincipregler.
Aktivera MPR endast efter behov
Använd principen om lägsta behörighet när konfigurationen verkställs. MPR:er styr åtkomstprincipen till MIM-distributionen. Aktivera endast de funktioner som används av de flesta användare. Det är till exempel inte alla användare som använder MIM för grupphantering, så associerade MPR för grupphantering bör inaktiveras. Som standard levereras MIM med de flesta icke-administratörsbehörigheter inaktiverade.
Duplicera inbyggda MPR i stället för att ändra direkt
Om du behöver ändra inbyggda MPR bör du skapa en ny MPR med den konfiguration som krävs och inaktivera inbyggd MPR. Om du skapar den här nya MPR:en ser du till att eventuella framtida ändringar av de inbyggda MPR:erna som introduceras via uppgraderingsprocessen inte påverkar systemkonfigurationen negativt.
Behörighet för slutanvändare bör använda explicita attributlistor som omfattar användarnas affärsbehov
Om explicita attributlistor används hjälper det till att förhindra att behörighet beviljas av misstag till obehöriga användare när attribut läggs till i objekt. Administratörer bör behöva bevilja åtkomst explicit till nya attribut istället för att försöka ta bort åtkomsten.
Åtkomst till data bör begränsas till användarnas affärsbehov. Gruppmedlemmar bör till exempel inte ha åtkomst till filterattributet för den grupp de är medlemmar i. Filtret kan oavsiktligt avslöja organisationsdata som användaren normalt inte ska ha åtkomst till.
MPR bör återspegla gällande behörigheter i systemet
Undvik att bevilja behörighet till attribut som användaren aldrig kan använda. Du bör till exempel inte bevilja behörighet till att ändra grundläggande resursattribut som objectType. Trots MPR nekas alla försök att ändra en resurstyp efter att resursen har skapats av systemet.
Läsbehörighet ska vara separat från behörigheter för att ändra och skapa när du använder explicita attribut i MPR
När attribut anges explicit i MPR ska attributen som krävs för att ändra och skapa normalt skilja sig från de som är tillgängliga för att läsa. Läsa kan till exempel beviljas över systemattribut som Creator eller objectId, medan Skapa eller Ändra inte kan anges för systemattribut.
Behörighet för att skapa ska vara separat från behörigheter för att ändra när du använder explicita attribut i regler
Åtgärden för att skapa kräver att användaren väljer objectType som en del av åtgärden. Det här attributet är ett grundläggande systemattribut som inte kan ändras efter en create-åtgärd.
Använd en begärans-MPR för alla attribut med samma åtkomstkrav
För attribut med samma åtkomstkrav som inte förväntas att ändras kan du förbättra effektiviteten genom att kombinera dem i en enda begärans-MPR.
Undvik att ge obegränsad åtkomst till valda huvudgrupper
I MIM definieras behörigheter som en positiv försäkran. Eftersom MIM inte stöder neka-behörigheter är det svårt att tillhandahålla undantag i behörigheterna om du ger obegränsad åtkomst till en resurs. Rekommenderad metod är att endast bevilja de behörigheter som behövs.
Använd TMPR för att definiera anpassade rättigheter
Använd MPR för uppsättningsövergång (TMPR) i stället för RMPR för att definiera anpassade rättigheter. TMPR utgör en tillståndsbaserad modell för att tilldela eller ta bort rättigheter baserat på medlemskap i definierade övergångsuppsättningar, eller roller, och medföljande arbetsflödesaktiviteter. TMPR bör alltid definieras i par, en för resurser som övergår i och en för resurser som övergår. Dessutom bör varje övergångs-MPR innehålla separata arbetsflöden för etablering och avetablering av aktiviteter.
Anteckning
Eventuella borttagningsarbetsflöden bör säkerställa att attributet Kör vid principuppdatering är inställt på sant.
Aktivera uppsättningsövergången i MPR sist
När du skapar ett TMPR-par aktiverar du Uppsättningsövergång i MPR sist. Den här ordningen säkerställer att ingen resurs finns kvar med rättigheten om den läggs till i och tas bort från uppsättningen när in-MPR är aktiverad men innan ut-MPR aktiveras.
Arbetsflöden i TMPR bör kontrollera målresursens tillstånd först
Etableringsarbetsflöden bör först kontrollera för att fastställa om målresursen redan har etablerats i enlighet med rättigheten. Om den har det ska den inte göra någonting.
Borttagningsarbetsflöden bör först kontrollera för att fastställa om målresursen har etablerats. Om den har det ska målresursen tas bort. Annars ska den inte göra någonting.
Välj Kör vid principuppdatering för TMPR
Den här inställningen säkerställer att rätt etableringsbeteende gäller när principuppdateringar implementeras och använder flaggan RunOn Policy update på åtgärdsarbetsflöden som är associerade med TMPR och att ändringar i principdefinitionerna tillämpar åtgärdsarbetsflödena på nya medlemmar i övergångsuppsättningen.
Undvik att koppla samma rättighet till två olika övergångsuppsättningar
Om samma rättighet kopplas till två olika övergångsuppsättningar kan det leda till att återkallelse och ny tilldelning av rättigheter sker i onödan om resursen flyttar från en uppsättning till en annan. Den rekommenderade metoden är att se till att en uppsättning innehåller alla resurser som kräver den kopplade rättigheten. Den här proceduren säkerställer en en-till-en-relation mellan övergångsuppsättningen och berättigandet som beviljar arbetsflödet.
Använd en lämplig sekvens med åtgärder när du tar bort rättigheter i systemet
Ordningen för stegen som utförs när rättigheter tas bort i systemet kan leda till två olika driftresultat. Se till att du förstår vilken ordning som gäller för den effekt du vill ha.
Ta bort en rättighet från systemet (och återkalla den från alla medlemmar som har rättigheten för närvarande):
Inaktivera T-In MPR. Den här ändringen undviker nya bidrag.
Ta bort T-Set-filtret eller ändra det så att det är tomt. Det får alla befintliga medlemmar att göra en övergång ut och det verkställer principen för övergång ut, inklusive de konfigurerade avetableringsarbetsflöden som är kopplade till rättigheten.
Inaktivera T-Out MPR.
Så här tar du bort en rättighet men låter de aktuella medlemmarna vara (till exempel sluta använda MIM för att hantera rättigheten):
Inaktivera T-In MPR. Den här ändringen undviker nya bidrag.
Inaktivera T-Out MPR.
Ta bort T-Set-filtret eller ändra det så att det är tomt. Eftersom uppsättningen inte längre är kopplad till en TMPR verkställs inga avetableringsarbetsflöden.
Uppsättningar
När du använder de rekommenderade metoderna för uppsättningar måste du överväga effekten av optimeringen på hanterbarheten och hur enkel framtida administration blir. Lämplig testning med förväntad produktionsskala ska utföras för att identifiera den rätta balansen mellan prestanda och hanterbarhet innan dessa rekommendationer verkställs.
Anteckning
Alla följande riktlinjer gäller dynamiska uppsättningar och dynamiska grupper.
Minska användningen av dynamisk kapsling
Det här gäller filtret i en uppsättning som hänvisar till attributet ComputedMember i en annan uppsättning. En vanlig orsak till kapslade uppsättningar är att undvika att duplicera ett medlemskapsvillkor över flera uppsättningar. Även om den här metoden kan ge bättre hanterbarhet för uppsättningarna försämras prestanda. Du kan förbättra prestandan genom att duplicera medlemskapsvillkoren för en kapslad uppsättning i stället för att kapsla själva uppsättningen.
Det kan hända att du påträffar fall då du inte kan undvika kapsling av uppsättningar för att tillfredsställa ett funktionskrav. Det här är de huvudsakliga situationer då du bör kapsla uppsättningar. Kapsling av uppsättningar måste till exempel användas på följande sätt för att definiera uppsättningen för alla grupper utan ägare som är heltidsmedarbetare: /Group[not(Owner = /Set[ObjectID = ‘X’]/ComputedMember], där ”X” är uppsättningens ObjectID för alla heltidsmedarbetare.
Minska användningen av negativa villkor
Negativa villkor är de medlemskapsvillkor som använder följande operatorer eller funktioner: !=, not(), \< , \<=. Optimera prestanda genom att uttrycka det villkor du vill använda med flera positiva villkor i stället för ett negativt villkor, där det är möjligt.
Minska användningen av medlemskapsvillkor baserat på referensattribut med flera värden
Användning av villkor baserat på referensattribut med flera värden ska minimeras, eftersom om det finns stora mängder sådana uppsättningar kan det påverka prestanda för åtgärder på det attribut som används i medlemskapsvillkoret.
Lösenordsåterställning
Kioskliknande datorer som används för lösenordsåterställning bör ange lokal säkerhet för att rensa den virtuella minnesväxlingsfilen
När du distribuerar MIM-lösenordsåterställningen på en arbetsstation som är avsedd att vara helskärmsläge rekommenderar vi att inställningen Avstängning: Rensa virtuell minnessidefil för lokal säkerhetsprincip aktiveras för att säkerställa att känslig information från processminnet inte är tillgänglig för obehöriga användare.
Användare bör alltid registrera sig för lösenordsåterställning på en dator som de är inloggade på
När en användare försöker registrera sig för lösenordsåterställning via en webbportal initierar MIM alltid registrering för den inloggade användarens räkning, oavsett vem som är inloggad på webbplatsen. Användare bör alltid registrera sig för lösenordsåterställning på en dator som de är inloggade på.
Ställ inte in registernyckeln AvoidPdcOnWan på true
När du använder MIM 2016-lösenordsåterställning ska du inte ställa in registernyckeln AvoidPdcOnWan på true.
Om den här registernyckeln ställs in på true är det mycket troligt att användaren går igenom lösenordsportarna, får sitt lösenord återställt på den primära domänkontrollanten (PDC) och försöker logga in. På grund av den här registernyckeln utför inte den lokala domänkontrollanten den sekundära valideringen med PDC och därför nekas inloggningsbegäran. Om användaren nekas tillräckligt många gånger kan denne bli utelåst från domänen och måste ringa support.
Aktivera inte loggning av lösenord i klartext
Det är möjligt att logga lösenord i klartext när spårning av diagnostiktjänstenivå aktiveras i Windows
Communication Foundation (WCF). Det här alternativet är inaktiverat som standard och vi avråder från att aktivera det i produktionsmiljöer. De här lösenorden visas som klartextelement i ett krypterat SOAP-meddelande (Simple Object Access Protocol) när användarna registrerar sig för lösenordsåterställning. Mer information finns i Configuring Message Logging (Konfigurera meddelandeloggning).
Mappa inte ett auktoriseringsarbetsflöde till processen för lösenordsåterställning
Du bör inte koppla ett auktoriseringsarbetsflöde till en åtgärd för lösenordsåterställning. Lösenordsåterställning kräver ett synkront svar, och auktoriseringsarbetsflöden som innehåller aktiviteter som exempelvis godkännandeaktiviteten är asynkrona.
Mappa inte flera åtgärdsaktiviteter till lösenordsåterställning
Du bör inte koppla ett arbetsflöde som innehåller fler än en åtgärdsaktivitet till en åtgärd för lösenordsåterställning. Ett exempelscenario skulle vara att bifoga en andra aktivitet för AD DS-lösenordsåterställning till en MPR för lösenordsåterställning. Det här scenariot stöds inte.
Kräv omregistrering när aktiviteter läggs till, tas bort eller deras ordning ändras i ett befintligt arbetsflöde
När du lägger till, tar bort eller ändrar ordningen för autentiseringsaktiviteter i ett befintligt arbetsflöde ska du alltid välja alternativet att kräva omregistrering. Användare som försöker autentisera för lösenordsåterställning efter att en aktivitet har lagts till eller tagits bort från ett arbetsflöde, men innan de har registrerats om kan råka ut för oönskade effekter.
Portalkonfiguration och konfiguration av skärmen för resurskontroll
Överväg att lägga till en sekretessfriskrivningsklausul på användarprofilsidan
I MIM kan en del användarprofilinformation som standard visas för andra användare. För att hjälpa användarna bör administratörerna överväga att lägga till anpassad text på användarprofilsidan som följer företagets principer. Mer information om att lägga till en anpassad text på en MIM-portalsida finns i introduktionen till att konfigurera och anpassa FIM-portalen.
Schema
Ta inte bort resurstyperna Person eller Grupp
Även om resurstyperna Person och Grupp inte är markerade som huvudresurstyper ska själva resurserna eller attributen som har tilldelats till dem inte tas bort. Användargränssnittet (UI) i MIM-portalen kräver att resurstyperna Person och Grupp och deras attribut finns.
Ändra inte huvudattributen
Det finns 13 huvudattribut som tilldelas till alla resurstyper. Du bör inte på något sätt ändra deras relation till någon resurstyp. De 13 huvudattributen är:
CreatedTime
Creator
DeletedTime
Description
DetectedRulesList • DisplayName
ExpectedRulesList
ExpirationTime
Nationell inställning
MVObjectID
ObjectID
ObjectType
ResourceTime
Ta inte bort schemaresursen med ett beroende av granskningskrav
Du bör inte ta bort schemaresurserna medan du fortfarande har granskningskrav för dessa resurser.
Göra reguljära uttryck skiftlägesokänsliga
I MIM kan det vara bra att göra vissa reguljära uttryck skiftlägesokänsliga. Du kan ignorera ärende i en grupp med hjälp ?!:av . För Typ av anställd kan du till exempel använda
\^(?!:contractor\|full time employee)%.
Beräkning av medlemsattributet
Medlemsattributet som är exponerat för synkroniseringsmotorn mappas faktiskt till ComputedMembers. Det är en kombination av villkorsbaserade medlemmar och manuellt valda medlemmar. Även om du lägger till alla tre attributen (Filter, ExplicitMembers och ComputedMembers) sker inte den dynamiska beräkningen av medlemsattributet för andra resurstyper än grupp och uppsättning.
Inledande och avslutande blanksteg i strängar ignoreras
I MIM kan du ange strängar med inledande och avslutande blanksteg, men MIM-systemet ignorerar dessa blanksteg. Om du skickar en sträng med inledande och avslutande blanksteg ignorerar synkroniseringsmotorn och webbtjänsterna dessa blanksteg.
Tomma strängar är inte lika med null
Tomma strängar är inte lika med null i den här versionen av MIM. Tomma strängindata betraktas som ett giltigt värde. Ej tillgängligt betraktas som ett null-värde.
Arbetsflöde och bearbetning av begäran
Ta inte bort standardarbetsflöden som medföljer MIM 2016
Följande arbetsflöden levereras med MIM och bör inte tas bort:
Förfalloarbetsflöde
Filtervalideringsarbetsflöde för administratörer
Filtervalideringsarbetsflöde för icke-administratörer
Arbetsflöde för meddelande om gruppförfallodatum
Gruppvalideringsarbetsflöde
Arbetsflöde för ägargodkännande
Arbetsflöde för lösenordsåterställningsåtgärd
AuthN-arbetsflöde för lösenordsåterställning
Förfrågarvalidering med ägarauktorisering
Förfrågarvalidering utan ägarauktorisering
Systemarbetsflöde som krävs för registrering
Kör inte två eller flera godkännandeaktiviteter parallellt
Du ska inte köra två eller flera godkännandeaktiviteter parallellt. Det kan leda till att begäran fastnar i auktoriseringsfasen. För flera godkännanden kan du antingen inkludera en större lista med godkännare i godkännandet eller sätta de två aktiviteterna i en sekvens efter varandra.
Auktoriseringsaktiviteter bör inte ändra MIM-resursdata
Undvik att använda aktiviteter som ändrar MIM-resurserna, t.ex. funktionsutvärderaraktiviteten, som en del av arbetsflödena i auktoriseringsarbetsflöden. Eftersom begäran inte har utförts under auktoriseringspunkten i bearbetningen kan eventuella ändringar som görs i identitetsinformationen verkställas trots att begäran kan komma att avvisas.
Förstå FIM-tjänstpartitioner
Målet med MIM är att bearbeta begäranden som kan initieras av olika MIM-klienter, till exempel FIM-synkroniseringstjänsten och självbetjäningskomponenterna enligt dina konfigurerade affärsprinciper. Varje FIM-tjänstinstans har skapats så att den tillhör en logisk grupp som består av en eller flera FIM-tjänstinstanser, som också kallas FIM-tjänstpartition. Om du endast har en FIM-tjänstinstans distribuerad för att hantera alla begäranden kan det hända att det uppstår fördröjningar i bearbetningen. En del åtgärder kan även överskrida de standardtidsgränsvärden som gäller för självbetjäningsåtgärder. FIM-tjänstpartitioner kan hjälpa dig att lösa detta problem.
Mer information finns i Förstå FIM-tjänstpartitioner.