使用 SP2 安裝 MIM 2016:適用于Microsoft Entra識別碼 P1 或 P2 客戶的 MIM 服務和入口網站
注意
本逐步解說使用 Contoso 公司的範例名稱和值。 請替換成您自己的值。 例如:
- MIM 服務和入口網站伺服器名稱 - mim.contoso.com
- SQL 伺服器名稱 - contosoagl.contoso.com
- 服務帳戶名稱 - svcMIMService
- 網域名稱 - contoso
- 密碼 - Pass@word1
開始之前
- 本指南適用于在授權為 MICROSOFT ENTRA ID P1 或 P2 的組織安裝 MIM 服務。 如果您的組織沒有Microsoft Entra識別碼 P1 或 P2 或未使用 Microsoft Entra 識別碼,則您必須改為遵循MIM 大量授權版本的安裝指南。
- 請確定您具有足夠許可權Microsoft Entra使用者認證,以驗證您的租使用者訂用帳戶是否包含Microsoft Entra識別碼 P1 或 P2,而且可以建立應用程式註冊。
- 如果您打算使用Office 365應用程式內容驗證,您必須執行腳本,在Microsoft Entra識別碼中註冊 MIM 服務應用程式,並授與 MIM 服務許可權,以存取Office 365中的 MIM 服務信箱。 儲存腳本輸出,因為稍後在安裝期間需要產生的應用程式識別碼和秘密。
部署選項
部署中的選擇取決於兩個準則:
- MIM 服務是否會以一般 Windows 服務帳戶或群組管理的服務帳戶執行, (gMSA)
- MIM 服務是否會透過Exchange Server、Office 365或 SMTP 伺服器傳送電子郵件
可用的部署選項:
- 選項 A:一般服務帳戶 + Exchange Server
- 選項 B:一般服務帳戶 + Office 365基本驗證
- 選項 C:一般服務帳戶 + Office 365應用程式內容驗證
- 選項 D:一般服務帳戶 + SMTP
- 選項 E:一般服務帳戶 + 無郵件伺服器
- 選項 F:群組管理的服務帳戶 + Exchange Server
- 選項 G:群組管理的服務帳戶 + Office 365基本驗證
- 選項 H:群組管理的服務帳戶 + Office 365應用程式內容驗證
- 選項 I:群組管理的服務帳戶 + 沒有郵件伺服器
注意
SMTP 伺服器選項僅適用于一般服務帳戶和整合式 Windows 驗證,而且不允許使用 Outlook 增益集進行核准。
準備Office 365應用程式內容驗證
從組建 4.6.421.0 開始,除了基本驗證之外,MIM 服務還支援應用程式內容驗證來Office 365信箱。 基本驗證的支援終止于 2019 年 9 月 20 日宣佈,因此建議使用應用程式內容驗證來傳送通知並收集核准回應。
應用程式內容驗證案例要求您在Microsoft Entra識別碼中註冊應用程式、建立要使用的用戶端密碼,而不是密碼,並授與此應用程式存取 MIM 服務信箱的許可權。 MIM 服務將會使用此應用程式識別碼和此秘密來存取其信箱Office 365。 您可以使用腳本 (建議) 或手動,在Microsoft Entra識別碼中註冊您的應用程式。
使用Microsoft Entra系統管理中心註冊應用程式
使用全域管理員角色登入Microsoft Entra系統管理中心。
流覽至 [Microsoft Entra] 刀鋒視窗,然後從 [概觀] 區段複製您的 [租使用者識別碼] 並加以儲存。
流覽至[應用程式註冊] 區段,然後按一下 [新增註冊]按鈕。
為應用程式命名,例如 MIM 服務信箱用戶端存取權,然後按一下 [ 註冊]。
註冊應用程式之後,請複製 應用程式 (用戶端) 識別碼 值並加以儲存。
流覽至 [API 許可權] 區段並撤銷 User.Read 許可權,方法是按一下許可權名稱的三個點,然後選擇 [ 移除許可權]。 確認您想要移除此許可權。
按一下 [ 新增許可權] 按鈕。 切換至 我的組織使用的 API ,並輸入 Office。 選取[Office 365 Exchange Online] 和 [應用程式許可權類型]。 輸入 full ,然後選取 [full_access_as應用程式]。 按一下 [新增許可權 ] 按鈕。
您會看到已新增許可權,且未授與系統管理員同意。 按一下 [新增許可權] 按鈕旁的 [授與管理員同意] 按鈕。
流覽至 [ 憑證和密碼] ,然後選擇 [新增 用戶端密碼]。 如果您選取秘密的到期時間,則必須將 MIM 服務重新設定為接近其到期日,才能使用另一個秘密。 如果您不打算輪替應用程式秘密,請選取 [ 永不]。 為您的秘密命名,例如 MIM 服務 ,然後按一下 [ 新增 ] 按鈕。 您會看到顯示在入口網站中的秘密值。 複製此值 (非秘密識別碼) 並加以儲存。
既然您擁有安裝程式所需的租使用者識別碼、應用程式識別碼和應用程式密碼,您可以繼續進行 MIM 服務和入口網站安裝。 此外,您可能只想將新註冊的應用程式存取限制為 MIM 服務信箱, (full_access_as_app 授與組織中所有信箱的存取權) 。 若要這樣做,您必須建立 應用程式存取原則。 請遵循 本指南 ,將應用程式的存取限制為僅限 MIM 服務信箱。 您必須建立通訊組或啟用郵件功能的安全性群組,並將 MIM 服務信箱新增至該群組。 然後執行 PowerShell 命令,並提供您的Exchange Online系統管理員認證:
New-ApplicationAccessPolicy ` -AccessRight RestrictAccess ` -AppId "<your application ID from step 5>" ` -PolicyScopeGroupId <your group email> ` -Description "Restrict MIM Service app to members of this group"
使用 PowerShell 腳本註冊應用程式
Create-MIMMailboxApp.ps1腳本可以在Scripts.zip/Scripts/Service 和 Portal或Service 和 Portal.zip\Service\Service\Program Files\Microsoft Forefront Identity Manager\2010\Service\Scripts中找到。
除非您的 MIM 服務信箱裝載于國家或政府雲端,否則您必須傳遞至腳本的唯一參數是 MIM 服務電子郵件,例如 MIMService@contoso.onmicrosoft.com 。
從 PowerShell 視窗中,使用 -MailboxAccountEmail < 電子郵件 > 參數開始 Create-MIMMailboxApp.ps1 並提供 MIM 服務電子郵件。
./Create-MIMMailboxApp.ps1 -MailboxAccountEmail <MIM Service email>
當系統要求您提供認證時,請提供您的Microsoft Entra全域管理員認證,以在 Azure 中註冊應用程式。
註冊應用程式之後,另一個快顯視窗會要求Exchange Online系統管理員認證來建立應用程式存取原則。
成功註冊應用程式之後,您的腳本輸出看起來應該像這樣:
註冊應用程式並開啟瀏覽器視窗以避免複寫問題之後,會有 30 秒的延遲。 提供您的Microsoft Entra租使用者系統管理員認證,並接受將 MIM 服務信箱存取權授與應用程式的要求。 快顯視窗看起來應該像這樣:
按一下 [接受] 按鈕之後,系統會將您重新導向至Microsoft 365 系統管理中心。 您可以關閉瀏覽器視窗,並檢查腳本輸出。 其看起來應該如下:
複製 APPLICATIONId、TenantId 和 ClientSecret 值,因為 MIM 服務和入口網站安裝程式需要它們。
部署 MIM 服務和入口網站
常見的部署步驟
建立臨時目錄以將安裝程式記錄保留在中,例如 c:\miminstall。
啟動提升許可權的命令提示字元,流覽至 MIM 服務安裝程式二進位檔資料夾並執行:
msiexec /i "Service and Portal.msi" /lvxi* c:\miminstall\log.txt在 [歡迎] 畫面中,按 [下一步] 。
檢閱 End-User 授權合約,如果您接受授權條款,請按 [ 下一步 ]。
國家雲端是 Azure 的隔離實例。 選取您的租使用者裝載所在的 Azure 雲端實例,然後按 [ 下一步]。
未使用國家或政府雲端的組織應該選取全域實例,Microsoft Entra識別碼。
選取適當的雲端之後,安裝程式會要求您向該租使用者進行驗證。 在快顯視窗中,提供該租使用者中使用者Microsoft Entra使用者認證,以驗證您的租使用者訂用帳戶層級。 輸入您的Microsoft Entra使用者名稱,然後按 [下一步]。
輸入您的密碼,然後按一下 [ 登入]。
如果安裝程式找不到訂用帳戶來Microsoft Entra識別碼 P1 或其他訂用帳戶,其中包含Microsoft Entra識別碼 P1 或 P2,您會看到快顯視窗錯誤。 請檢查使用者名稱是否為正確的租使用者,並查看安裝程式記錄檔以取得詳細資訊。
授權檢查完成後,請選取 [MIM 服務和入口網站元件] 進行安裝,然後按 [ 下一步]。
提供 SQL Server 和資料庫名稱。 如果從舊版 MIM 升級,請選擇重複使用現有的資料庫。 如果使用 SQL 容錯移轉叢集或 Always-On 可用性群組接聽程式進行安裝,請提供叢集或接聽程式名稱。 按一下 [下一步]。
如果使用現有的資料庫安裝 MIM,則會出現警告。 按一下 [下一步]。
選擇郵件伺服器類型和驗證方法的組合, (選項 A-I,請參閱下列)
如果使用 Group-Managed 服務帳戶安裝 MIM 服務,請選取對應的核取方塊,否則請取消核取此核取方塊。 按一下 [下一步]。
如果您選取郵件伺服器類型和驗證方法不相容的組合,按一下 [下一步] 之後,就會顯示快顯錯誤。
選項 A.一般服務帳戶 + Exchange Server
在 [設定一般服務] 頁面上,選取[Exchange Server 2013 或更新版本和整合式 Windows 驗證]。 輸入您的 Exchange Server 主機名稱。 取消核取[使用群組受管理的服務帳戶]核取方塊。 按一下 [下一步]。
如果安裝 MIM 報告元件,請輸入System Center Service Manager管理伺服器名稱,然後按 [下一步]。
如果僅在 TLS 1.2 環境中安裝 MIM 報告元件,且System Center Service Manager 2019,請在憑證主體中選擇 SCSM 伺服器信任的憑證,並在憑證主體中選擇 MIM 伺服器主機名稱信任的憑證,否則請選擇產生新的自我簽署憑證。 按一下 [下一步]。
輸入 MIM 服務帳戶名稱和密碼、功能變數名稱和 MIM 服務信箱 SMTP 位址。 按一下 [下一步]。
選項 B.一般服務帳戶 + Office 365基本驗證
在 [設定一般服務] 頁面上,選取[Office 365郵件服務和基本驗證]。 取消核取[使用群組受管理的服務帳戶]核取方塊。 按一下 [下一步]。
如果安裝 MIM 報告元件,請輸入System Center Service Manager管理伺服器名稱,然後按 [下一步]。
如果僅在 TLS 1.2 環境中安裝 MIM 報告元件,且System Center Service Manager 2019,請在憑證主體中選擇 SCSM 伺服器信任的憑證,並在憑證主體中選擇 MIM 伺服器主機名稱信任的憑證,否則請選擇產生新的自我簽署憑證。 按一下 [下一步]。
輸入 MIM 服務帳戶名稱和密碼、功能變數名稱、MIM 服務Office 365信箱 SMTP 位址和 MIM 服務信箱Microsoft Entra密碼。 按一下 [下一步]。
選項 C.一般服務帳戶 + Office 365應用程式內容驗證
在 [設定一般服務] 頁面上,選取[Office 365郵件服務和應用程式內容驗證]。 取消核取[使用群組受管理的服務帳戶]核取方塊。 按一下 [下一步]。
如果安裝 MIM 報告元件,請輸入System Center Service Manager管理伺服器名稱,然後按 [下一步]。
提供稍早由腳本產生的Microsoft Entra應用程式識別碼、租使用者識別碼和用戶端密碼。 按一下 [下一步]。
如果安裝程式無法驗證應用程式識別碼或租使用者識別碼,則會出現錯誤:
如果安裝程式無法存取 MIM 服務信箱,則會出現另一個錯誤:
如果僅在 TLS 1.2 環境中安裝 MIM 報告元件,且System Center Service Manager 2019,請在憑證主體中選擇 SCSM 伺服器信任的憑證,並在憑證主體中選擇 MIM 伺服器主機名稱信任的憑證,否則請選擇產生新的自我簽署憑證。 按一下 [下一步]。
輸入 MIM 服務帳戶名稱和密碼、功能變數名稱和 MIM 服務的Office 365信箱 SMTP 位址。 按一下 [下一步]。
選項 D.一般服務帳戶 + SMTP 伺服器
在 [ 設定一般服務 ] 頁面上,選取 [SMTP ] 和 [ 整合式 Windows 驗證]。 輸入 SMTP 伺服器主機名稱。 取消核取[使用群組受管理的服務帳戶]核取方塊。 按一下 [下一步]。
如果安裝 MIM 報告元件,請輸入System Center Service Manager管理伺服器名稱,然後按 [下一步]。
如果僅在 TLS 1.2 環境中安裝 MIM 報告元件,且System Center Service Manager 2019,請在憑證主體中選擇 SCSM 伺服器信任的憑證,並在憑證主體中選擇 MIM 伺服器主機名稱信任的憑證,否則請選擇產生新的自我簽署憑證。 按一下 [下一步]。
輸入 MIM 服務帳戶名稱和密碼、功能變數名稱和 MIM 服務 SMTP 位址。 按一下 [下一步]。
選項 E. 一般服務帳戶 + 無郵件伺服器
在 [ 設定一般服務 ] 頁面上,選取 [無 伺服器類型]。 取消核取[使用群組受管理的服務帳戶]核取方塊。 按一下 [下一步]。
如果安裝 MIM 報告元件,請輸入System Center Service Manager管理伺服器名稱,然後按 [下一步]。
如果僅在 TLS 1.2 環境中安裝 MIM 報告元件,且System Center Service Manager 2019,請在憑證主體中選擇 SCSM 伺服器信任的憑證,並在憑證主體中選擇 MIM 伺服器主機名稱信任的憑證,否則請選擇產生新的自我簽署憑證。 按一下 [下一步]。
輸入 MIM 服務帳戶名稱和密碼、功能變數名稱。 按一下 [下一步]。
選項 F.群組管理的服務帳戶 + Exchange Server
在 [設定一般服務] 頁面上,選取[Exchange Server 2013 或更新版本和整合式 Windows 驗證]。 輸入您的 Exchange Server 主機名稱。 啟用 [使用群組受管理的服務帳戶] 選項。 按一下 [下一步]。
如果安裝 MIM 報告元件,請輸入System Center Service Manager管理伺服器名稱,然後按 [下一步]。
如果僅在 TLS 1.2 環境中安裝 MIM 報告元件,且System Center Service Manager 2019,請在憑證主體中選擇 SCSM 伺服器信任的憑證,並在憑證主體中選擇 MIM 伺服器主機名稱信任的憑證,否則請選擇產生新的自我簽署憑證。 按一下 [下一步]。
輸入 MIM 服務群組受控服務帳戶名稱、功能變數名稱、MIM 服務信箱 SMTP 位址和密碼。 按一下 [下一步]。
選項 G. 群組管理的服務帳戶 + Office 365基本驗證
在 [設定一般服務] 頁面上,選取[Office 365郵件服務和基本驗證]。 啟用 [使用群組受管理的服務帳戶] 選項。 按一下 [下一步]。
如果安裝 MIM 報告元件,請輸入System Center Service Manager管理伺服器名稱,然後按 [下一步]。
如果僅在 TLS 1.2 環境中安裝 MIM 報告元件,且System Center Service Manager 2019,請在憑證主體中選擇 SCSM 伺服器信任的憑證,並在憑證主體中選擇 MIM 伺服器主機名稱信任的憑證,否則請選擇產生新的自我簽署憑證。 按一下 [下一步]。
輸入 MIM 服務群組管理的服務帳戶名稱、功能變數名稱、MIM 服務的Office 365信箱 SMTP 位址,以及 MIM 服務帳戶Microsoft Entra密碼。 按一下 [下一步]。
選項 H.群組管理的服務帳戶 + Office 365應用程式內容驗證
在 [設定一般服務] 頁面上,選取[Office 365郵件服務和應用程式內容驗證]。 啟用 [使用群組受管理的服務帳戶] 選項。 按一下 [下一步]。
如果安裝 MIM 報告元件,請輸入System Center Service Manager管理伺服器名稱,然後按 [下一步]。
提供稍早由腳本產生的Microsoft Entra應用程式識別碼、租使用者識別碼和用戶端密碼。 按一下 [下一步]。
如果安裝程式無法驗證應用程式識別碼或租使用者識別碼,則會出現錯誤:
如果安裝程式無法存取 MIM 服務信箱,則會出現另一個錯誤:
如果僅在 TLS 1.2 環境中安裝 MIM 報告元件,且System Center Service Manager 2019,請在憑證主體中選擇 SCSM 伺服器信任的憑證,並在憑證主體中選擇 MIM 伺服器主機名稱信任的憑證,否則請選擇產生新的自我簽署憑證。 按一下 [下一步]。
輸入 MIM 服務群組管理的服務帳戶名稱、功能變數名稱和 MIM 服務Office 365信箱 SMTP 位址。 按一下 [下一步]。
選項 I.群組管理的服務帳戶 + 沒有郵件伺服器
在 [ 設定一般服務 ] 頁面上,選取 [無 伺服器類型]。 啟用 [使用群組受管理的服務帳戶] 選項。 按一下 [下一步]。
如果安裝 MIM 報告元件,請輸入System Center Service Manager管理伺服器名稱,然後按 [下一步]。
如果僅在 TLS 1.2 環境中安裝 MIM 報告元件,且System Center Service Manager 2019,請在憑證主體中選擇 SCSM 伺服器信任的憑證,並在憑證主體中選擇 MIM 伺服器主機名稱信任的憑證,否則請選擇產生新的自我簽署憑證。 按一下 [下一步]。
輸入 MIM 服務群組受控服務帳戶名稱、功能變數名稱。 按一下 [下一步]。
常見的部署步驟。 延續
如果 MIM 服務帳戶未限制為拒絕本機登入,則會出現警告訊息。 按一下 [下一步]。
輸入 MIM 同步處理伺服器主機名稱。 輸入 MIM 管理代理程式帳戶名稱。 如果您要使用 Group-Managed 服務帳戶安裝 MIM 同步處理服務,請將貨幣符號新增至帳戶名稱,例如 contoso\MIMSyncGMSAsvc$。 按一下 [下一步]。
輸入 MIM 服務伺服器主機名稱。 在負載平衡器用來平衡 MIM 服務承載的情況下,請提供叢集的名稱。 按一下 [下一步]。
提供 SharePoint 網站集合名稱。 請務必以適當的值取代 http://localhost 。 按一下 [下一步]。
隨即出現警告。 按一下 [下一步]。
如果您使用密碼重設) Microsoft Entra識別碼,則不需要安裝 Self-Service 密碼註冊 (網站,請在登入之後將重新導向 URL MIM 用戶端。 按一下 [下一步]。
選取核取方塊以在防火牆中開啟連接埠 5725 和 5726,以及選取核取方塊,將 MIM 入口網站的存取權授與所有已驗證的使用者。 按一下 [下一步]。
如果您使用密碼重設) Microsoft Entra識別碼,則安裝 Self-Service 密碼註冊網站 (不需要,請設定應用程式集區帳戶名稱和其密碼、主機名稱和網站的埠。 視需要啟用 [在 防火牆中開啟埠 ] 選項。 按一下 [下一步]。
會出現警告:請閱讀內容並按 [下一步] 。
在下一個 MIM 密碼註冊入口網站設定畫面中,輸入密碼註冊入口網站的 MIM 服務伺服器位址,然後選取內部網路使用者是否可以存取此網站。 按一下 [下一步]。
如果安裝 Self-Service 密碼重設網站,請設定應用程式集區帳戶名稱和其密碼、主機名稱和網站的埠。 視需要啟用 [在 防火牆中開啟埠 ] 選項。 按一下 [下一步]。
會出現警告:請閱讀內容並按 [下一步] 。
在下一個 MIM 密碼重設入口網站組態畫面中,輸入密碼重設入口網站的 MIM 服務伺服器位址,然後選取內部網路使用者是否可以存取此網站。 按一下 [下一步]。
當所有預先安裝定義準備就緒時,按一下 [安裝] 開始安裝所選 [服務和入口網站] 元件。
後續安裝工作
完成安裝後,確認 MIM 入口網站是作用中。
啟動 Internet Explorer 並連線到
http://mim.contoso.com/identitymanagement上的 MIM 入口網站。 請注意,第一次瀏覽此頁面時可能有短暫延遲。- 如有必要,請以已安裝 MIM 服務和入口網站的使用者身分向 Internet Explorer 進行驗證。
在 Internet Explorer 中,開啟 [網際網路選項]、變更為 [ 安全性 ] 索引標籤,並在網站尚未存在時將網站新增至 本機內部網路 區域。 關閉 [網際網路選項] 對話方塊。
在 Internet Explorer 中,開啟 [ 設定]、變更為 [ 相容性檢視設定 ] 索引標籤,然後取消核取 [ 在相容性檢視中顯示內部網路網站 ] 核取方塊。 關閉 [相容性檢視] 對話方塊。
讓非系統管理員能夠存取 MIM 入口網站。
- 使用 Internet Explorer,在 [MIM 入口網站] 中按一下 [管理原則規則] 。
- 搜尋管理原則規則,使用者管理:使用者可以讀取自己的屬性。
- 選取此管理原則規則,取消選取 [原則已停用] 。
- 按一下 [確定] ,然後按一下 [提交] 。
注意
選用:此時,您可以安裝 MIM 增益集和延伸模組和語言套件。