使用 SP2 安装 MIM 2016：适用于 Azure AD Premium 客户的 MIM 服务和门户

« MIM 同步服务同步数据库 »

注意

本演练使用名为 Contoso 的公司中的示例名和值。 将其替换为你自己的。 例如：

• MIM服务和门户服务器名称 - mim.contoso.com
• SQL服务器名称 - contosoagl.contoso.com
• 服务帐户名称 - svcMIMService
• 域名 - contoso
• 密码 - Pass@word1

准备阶段

• 本指南适用于在获得Azure AD Premium许可的组织中安装MIM服务。 如果组织没有Azure AD Premium或未使用 Azure AD，则需要遵循 MIM 批量许可证版本的安装指南。
• 确保具有足够权限的 Azure AD 用户凭据，以验证租户订阅是否包括Azure AD Premium，并且可以创建应用注册。
• 如果计划使用Office 365应用程序上下文身份验证，则需要运行脚本，在 Azure AD 中注册MIM服务应用程序，并授予MIM服务权限，以访问Office 365中的MIM服务邮箱。 保存脚本输出，因为稍后在安装过程中需要生成的应用程序 ID 和机密。

部署选项

部署中的选择取决于两个条件：

• MIM服务是作为常规Windows服务帐户运行还是作为组托管服务帐户运行， (gMSA)
• MIM服务是通过Exchange Server、Office 365还是 SMTP 服务器发送电子邮件

可用的部署选项：

• 选项 A：常规服务帐户 + Exchange Server
• 选项 B：常规服务帐户 + Office 365基本身份验证
• 选项 C：常规服务帐户 + Office 365应用程序上下文身份验证
• 选项 D：常规服务帐户 + SMTP
• 选项 E：常规服务帐户 + 无邮件服务器
• 选项 F：组托管服务帐户 + Exchange Server
• 选项 G：组托管服务帐户 + Office 365基本身份验证
• 选项 H：组托管服务帐户 + Office 365应用程序上下文身份验证
• 选项 I：组托管服务帐户 + 无邮件服务器

注意

SMTP 服务器选项仅适用于常规服务帐户和集成Windows身份验证，并且不允许使用Outlook加载项进行审批。

准备Office 365应用程序上下文身份验证

从内部版本 4.6.421.0 开始，除了基本身份验证之外，MIM服务还支持对Office 365邮箱的应用程序上下文身份验证。 2019 年 9 月 20 日宣布了对基本身份验证的支持，因此建议使用应用程序上下文身份验证发送通知和收集审批响应。

应用程序上下文身份验证方案要求你在 Azure AD 中注册应用程序，创建要使用的客户端密码，而不是密码，并授予此应用程序访问MIM服务邮箱的权限。 MIM服务将使用此应用程序 ID 和此机密访问其Office 365中的邮箱。 可以使用脚本在 Azure AD 中注册应用程序， (建议) 或手动注册应用程序。

使用 Azure AD 门户注册应用程序

1. 使用全局管理员角色登录到 Azure AD 门户 。

2. 导航到“Azure AD”边栏选项卡，然后从 “概述 ”部分复制租户 ID 并将其保存。

3. 导航到应用注册部分，然后单击“新建注册”按钮。

4. 为应用程序指定名称，例如MIM服务邮箱客户端访问权限，然后单击“注册”。

5. 注册应用程序后，复制 应用程序 (客户端) ID 值并将其保存。

6. 导航到“API 权限”部分，然后通过单击权限名称的三个点并选择“删除权限”来撤销 User.Read 权限。 确认要删除此权限。

7. 单击“ 添加权限 ”按钮。 切换到组织使用的 API 并键入Office。 选择Office 365 Exchange Online和应用程序权限类型。 键入 完整 并选择 full_access_as应用。 单击“ 添加权限 ”按钮。

8. 你将看到添加的权限，并且未授予管理员同意。 单击“添加权限”按钮旁边的“授予管理员同意”按钮。

9. 导航到 证书和机密 ，然后选择添加新 客户端密码。 如果选择机密的过期时间，则必须重新配置MIM服务更接近其到期日期才能使用另一个机密。 如果不打算轮换应用程序机密，请选择 “永不”。 为机密指定一个名称，例如，MIM服务，然后单击“添加”按钮。 你将在门户中看到机密值。 复制此值 (不是机密 ID) 并保存它。

10. 现在，安装程序需要租户 ID、应用程序 ID 和应用程序机密，可以继续MIM服务和门户安装。 此外，你可能希望将新注册的应用程序的访问权限限制为MIM服务邮箱， (full_access_as_app授予对组织中所有邮箱的访问权限) 。 为此，需要创建 应用程序访问策略。 请遵循本指南，仅将应用程序的访问限制为MIM服务邮箱。 需要创建一个通讯组或启用邮件的安全组，并将MIM服务邮箱添加到该组中。 然后运行 PowerShell 命令并提供Exchange Online管理员凭据：

    New-ApplicationAccessPolicy `
    -AccessRight RestrictAccess `
    -AppId "<your application ID from step 5>" `
    -PolicyScopeGroupId <your group email> `
    -Description "Restrict MIM Service app to members of this group"
    

使用 PowerShell 脚本注册应用程序

可以在 Scripts.zip/Scripts/Service/Portal 或 Service 和 Portal.zip\Service 和 Portal\Program Files\Microsoft Forefront Identity Manager\2010\Service\Scripts 中找到Create-MIMMailboxApp.ps1脚本。

除非MIM服务邮箱托管在国家或政府云中，否则传递给脚本的唯一参数是MIM服务电子邮件，例如MIMService@contoso.onmicrosoft.com。

从 PowerShell 窗口中开始使用 -MailboxAccountEmail <电子邮件>参数Create-MIMMailboxApp.ps1并提供MIM服务电子邮件。

./Create-MIMMailboxApp.ps1 -MailboxAccountEmail <MIM Service email>

当系统要求提供凭据时，请提供 Azure AD 全局管理员凭据以在 Azure 中注册应用程序。

注册应用程序后，另一个弹出窗口会要求Exchange Online管理员凭据来创建应用程序访问策略。

成功注册应用程序后，脚本输出应如下所示：

注册应用程序后有 30 秒的延迟，并打开浏览器窗口以避免复制问题。 提供 Azure AD 租户管理员凭据，并接受向应用程序授予对 MIM 服务邮箱的访问权限的请求。 弹出窗口应如下所示：

单击“接受”按钮后，将重定向到Microsoft 365 管理中心。 可以关闭浏览器窗口并检查脚本输出。 应如下所示：

复制 ApplicationId、TenantId 和 ClientSecret 值，因为MIM服务和门户安装程序需要它们。

部署MIM服务和门户

常见部署步骤

1. 创建临时目录以保留安装程序日志，例如 c：\miminstall。

2. "开始"菜单提升的命令提示符，导航到MIM服务安装程序二进制文件文件夹并运行

   msiexec /i "Service and Portal.msi" /lvxi* c:\miminstall\log.txt
   

   在欢迎屏幕中，单击“下一步” 。

   

3. 查看End-User许可协议，如果接受许可条款，请单击“ 下一步 ”。

   

4. 国家云是 Azure 的隔离实例。 选择租户托管在哪个 Azure 云实例中，然后单击“ 下一步”。

   

   未使用国家或政府云的组织应选择全局实例 Azure AD。

   

5. 选择适当的云后，安装程序会要求你向该租户进行身份验证。 在弹出窗口中，提供该租户中某个用户的 Azure AD 用户凭据，以验证租户订阅级别。 键入 Azure AD 用户名，然后单击“ 下一步”。

   

   键入密码，然后单击 “登录”。

   

   如果安装程序找不到Azure AD Premium P1订阅或其他订阅（包括Azure AD Premium），则会出现弹出窗口错误。 检查用户名是否为正确的租户，并查看安装程序日志文件以了解详细信息。

6. 许可证检查完成后，选择MIM服务和门户组件进行安装和单击“下一步”。

   

7. 提供SQL服务器和数据库名称。 如果从以前的MIM版本升级，请选择重复使用现有数据库。 如果使用SQL故障转移群集或Always-On可用性组侦听器进行安装，请提供群集或侦听器名称。 单击“下一步”。

   

8. 如果使用现有数据库安装MIM，则会出现警告。 单击“下一步”。

   

9. 选择邮件服务器类型和身份验证方法的组合 (选项 A-I，请参阅以下)

   

   如果使用Group-Managed服务帐户安装MIM服务，则选中相应的复选框，否则请取消选中此复选框。 单击“下一步”。

   

   如果选择邮件服务器类型和身份验证方法的不兼容组合，请单击“下一步”后，将显示弹出错误。

   

选项 A.常规服务帐户 + Exchange Server

1. 在“配置公用服务”页上，选择Exchange Server 2013 或更高版本和集成Windows身份验证。 键入Exchange服务器主机名。 取消选中“使用组托管服务帐户”复选框。 单击“下一步”。

   

2. 如果安装MIM报告组件，请键入System Center Service Manager管理服务器名称，然后单击“下一步”。

   

3. 如果在仅具有 System Center Service Manager 2019 的 TLS 1.2 环境中安装MIM报告组件，请选择证书使用者中具有MIM服务器主机名的 SCSM 服务器信任的证书，否则请选择生成新的自签名证书。 单击“下一步”。

   

4. 键入MIM服务帐户名称和密码、域名和MIM服务邮箱 SMTP 地址。 单击“下一步”。

   

选项 B.常规服务帐户 + Office 365基本身份验证

1. 在“配置公用服务”页上，选择Office 365邮件服务和基本身份验证。 取消选中“使用组托管服务帐户”复选框。 单击“下一步”。

   

2. 如果安装MIM报告组件，请键入System Center Service Manager管理服务器名称，然后单击“下一步”。

   

3. 如果在仅具有 System Center Service Manager 2019 的 TLS 1.2 环境中安装MIM报告组件，请选择证书使用者中具有MIM服务器主机名的 SCSM 服务器信任的证书，否则请选择生成新的自签名证书。 单击“下一步”。

   

4. 键入MIM服务帐户名称和密码、域名、MIM服务的Office 365邮箱 SMTP 地址和MIM服务邮箱 Azure AD 密码。 单击“下一步”。

   

选项 C.常规服务帐户 + Office 365应用程序上下文身份验证

1. 在“配置公用服务”页上，选择Office 365邮件服务和应用程序上下文身份验证。 取消选中“使用组托管服务帐户”复选框。 单击“下一步”。

   

2. 如果安装MIM报告组件，请键入System Center Service Manager管理服务器名称，然后单击“下一步”。

   

3. 提供之前由脚本生成的 Azure AD 应用程序 ID、租户 ID 和客户端密码。 单击“下一步”。

   

   如果安装程序无法验证应用程序 ID 或租户 ID，则会出现错误：

   

   如果安装程序无法访问服务邮箱MIM，则会出现另一个错误：

   

4. 如果在仅具有 System Center Service Manager 2019 的 TLS 1.2 环境中安装MIM报告组件，请选择证书使用者中具有MIM服务器主机名的 SCSM 服务器信任的证书，否则请选择生成新的自签名证书。 单击“下一步”。

   

5. 键入MIM服务帐户名称和密码、域名和MIM服务的Office 365邮箱 SMTP 地址。 单击“下一步”。

   

选项 D. 常规服务帐户 + SMTP 服务器

1. 在“配置公用服务”页上，选择 SMTP 和集成Windows身份验证。 键入 SMTP 服务器主机名。 取消选中“使用组托管服务帐户”复选框。 单击“下一步”。

   

2. 如果安装MIM报告组件，请键入System Center Service Manager管理服务器名称，然后单击“下一步”。

   

3. 如果在仅具有 System Center Service Manager 2019 的 TLS 1.2 环境中安装MIM报告组件，请选择证书使用者中具有MIM服务器主机名的 SCSM 服务器信任的证书，否则请选择生成新的自签名证书。 单击“下一步”。

   

4. 键入MIM服务帐户名称和密码、域名和MIM服务 SMTP 地址。 单击“下一步”。

   

选项 E.常规服务帐户 + 无邮件服务器

1. 在“ 配置公用服务 ”页上，选择 “无服务器 类型”。 取消选中“使用组托管服务帐户”复选框。 单击“下一步”。

   

2. 如果安装MIM报告组件，请键入System Center Service Manager管理服务器名称，然后单击“下一步”。

   

3. 如果在仅具有 System Center Service Manager 2019 的 TLS 1.2 环境中安装MIM报告组件，请选择证书使用者中具有MIM服务器主机名的 SCSM 服务器信任的证书，否则请选择生成新的自签名证书。 单击“下一步”。

   

4. 键入MIM服务帐户名称和密码、域名。 单击“下一步”。

   

选项 F. 组托管服务帐户 + Exchange Server

1. 在“配置公用服务”页上，选择Exchange Server 2013 或更高版本和集成Windows身份验证。 键入Exchange服务器主机名。 启用 “使用组托管服务帐户” 选项。 单击“下一步”。

   

2. 如果安装MIM报告组件，请键入System Center Service Manager管理服务器名称，然后单击“下一步”。

   

3. 如果在仅具有 System Center Service Manager 2019 的 TLS 1.2 环境中安装MIM报告组件，请选择证书使用者中具有MIM服务器主机名的 SCSM 服务器信任的证书，否则请选择生成新的自签名证书。 单击“下一步”。

   

4. 键入MIM服务组托管服务帐户名称、域名、MIM服务邮箱 SMTP 地址和密码。 单击“下一步”。

   

选项 G. 组托管服务帐户 + Office 365基本身份验证

1. 在“配置公用服务”页上，选择Office 365邮件服务和基本身份验证。 启用 “使用组托管服务帐户” 选项。 单击“下一步”。

   

2. 如果安装MIM报告组件，请键入System Center Service Manager管理服务器名称，然后单击“下一步”。

   

3. 如果在仅具有 System Center Service Manager 2019 的 TLS 1.2 环境中安装MIM报告组件，请选择证书使用者中具有MIM服务器主机名的 SCSM 服务器信任的证书，否则请选择生成新的自签名证书。 单击“下一步”。

   

4. 键入MIM服务组托管服务帐户名称、域名、MIM服务的Office 365邮箱 SMTP 地址和MIM服务帐户的 Azure AD 密码。 单击“下一步”。

   

选项 H. 组托管服务帐户 + Office 365应用程序上下文身份验证

1. 在“配置公用服务”页上，选择Office 365邮件服务和应用程序上下文身份验证。 启用 “使用组托管服务帐户” 选项。 单击“下一步”。

   

2. 如果安装MIM报告组件，请键入System Center Service Manager管理服务器名称，然后单击“下一步”。

   

3. 提供之前由脚本生成的 Azure AD 应用程序 ID、租户 ID 和客户端密码。 单击“下一步”。

   

   如果安装程序无法验证应用程序 ID 或租户 ID，则会出现错误：

   

   如果安装程序无法访问服务邮箱MIM，则会出现另一个错误：

   

4. 如果在仅具有 System Center Service Manager 2019 的 TLS 1.2 环境中安装MIM报告组件，请选择证书使用者中具有MIM服务器主机名的 SCSM 服务器信任的证书，否则请选择生成新的自签名证书。 单击“下一步”。

   

5. 键入MIM服务组托管服务帐户名称、域名和MIM服务Office 365邮箱 SMTP 地址。 单击“下一步”。

   

选项 I. 组托管服务帐户 + 无邮件服务器

1. 在“ 配置公用服务 ”页上，选择 “无服务器 类型”。 启用 “使用组托管服务帐户” 选项。 单击“下一步”。

   

2. 如果安装MIM报告组件，请键入System Center Service Manager管理服务器名称，然后单击“下一步”。

   

3. 如果在仅具有 System Center Service Manager 2019 的 TLS 1.2 环境中安装MIM报告组件，请选择证书使用者中具有MIM服务器主机名的 SCSM 服务器信任的证书，否则请选择生成新的自签名证书。 单击“下一步”。

   

4. 键入MIM服务组托管服务帐户名称、域名。 单击“下一步”。

   

常见部署步骤。 延续

1. 如果MIM服务帐户未限制为拒绝本地登录，则会显示警告消息。 单击“下一步”。

   

2. 键入 MIM Synchronization Server 主机名。 键入MIM管理代理帐户名称。 如果要使用 Group-Managed 服务帐户安装MIM同步服务，请将美元符号添加到帐户名称，例如 contoso\MIMSyncGMSAsvc$。 单击“下一步”。

   

3. 键入MIM服务服务器主机名。 如果负载均衡器用于平衡MIM服务有效负载，请提供群集的名称。 单击“下一步”。

   

4. 提供SharePoint网站集名称。 请确保替换为 http://localhost 正确的值。 单击“下一步”。

   

   此时会显示警告。 单击“下一步”。

   

5. 如果使用 Azure AD 进行密码重置) ，则安装Self-Service密码注册网站 (不需要，请在登录后指定 URL MIM客户端重定向到。 单击“下一步”。

   

6. 选中打开防火墙中的端口 5725 和 5726 的复选框，以及授予所有经过身份验证的用户访问 MIM 门户权限的复选框。 单击“下一步”。

   

7. 如果使用 Azure AD 重置密码) ，则安装Self-Service密码注册网站 (不需要，请设置应用程序池帐户名及其密码、主机名和网站的端口。 如果需要， 请在防火墙选项中启用“打开端口 ”。 单击“下一步”。

   

   将显示警告 – 阅读该警告，然后单击“下一步” 。

   

8. 在下一个MIM密码注册门户配置屏幕中，键入密码注册门户的MIM服务服务器地址，并选择此网站是否可供 Intranet 用户访问。 单击“下一步”。

   

9. 如果安装Self-Service密码重置网站，请设置应用程序池帐户名及其密码、主机名和网站的端口。 如果需要， 请在防火墙选项中启用“打开端口 ”。 单击“下一步”。

   

   将显示警告 – 阅读该警告，然后单击“下一步” 。

   

10. 在下一个MIM密码重置门户配置屏幕中，键入密码重置门户的MIM服务服务器地址，并选择 Intranet 用户是否可以访问此网站。 单击“下一步”。

    

11. 所有预安装定义准备就绪后，单击“安装”以开始安装所选的“服务和门户”组件。

安装后任务

安装完成后，验证 MIM 门户是否处于活动状态。

1. 启动 Internet Explorer 并连接到 MIM 门户 http://mim.contoso.com/identitymanagement。 请注意，第一次访问此页可能有一个短暂的延迟。

   • 如有必要，以用户身份向 Internet Explorer 进行身份验证，该用户已安装MIM服务和门户。

2. 在 Internet Explorer 中，打开 “Internet 选项”，更改为 “安全 ”选项卡，并将站点添加到 本地 Intranet 区域（如果尚未存在）。 关闭“Internet 选项” 对话框。

3. 在 Internet Explorer 中，打开设置，更改为“兼容性视图设置”选项卡，然后取消选中“兼容性”视图中的“显示 Intranet 站点”复选框。 “关闭 兼容性视图 ”对话框。

4. 使非管理员能够访问MIM门户。

   1. 使用 Internet Explorer，在“MIM 门户” 中，单击“管理策略规则” 。
   2. 搜索管理策略规则“用户管理：用户可以读取自己的属性”。
   3. 选择此管理策略规则，取消选中“策略已禁用”。
   4. 单击“确定” ，然后单击“提交” 。

注意

可选：此时可以安装MIM加载项和扩展和语言包。

« MIM 同步服务同步数据库 »