Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este tema se describen los procedimientos recomendados para implementar y operar Microsoft Identity Manager 2016 (MIM)
Configuración de SQL
Nota:
Las siguientes recomendaciones para configurar un servidor que ejecuta SQL suponen una instancia de SQL dedicada a FIMService y una instancia de SQL dedicada a la base de datos FIMSynchronizationService. Si ejecuta FIMService en un entorno consolidado, tendrá que realizar ajustes adecuados para la configuración.
La configuración del servidor del lenguaje de consulta estructurado (SQL) es fundamental para optimizar el rendimiento del sistema. Lograr un rendimiento óptimo de MIM en implementaciones a gran escala depende de la aplicación de procedimientos recomendados para un servidor que ejecuta SQL. Para obtener más información, consulte los temas siguientes sobre los procedimientos recomendados de SQL:
Presize data and log files (Presize data and log files)
No confíe en el crecimiento automático. En su lugar, administre el crecimiento de estos archivos manualmente. Puede dejar el crecimiento automático por motivos de seguridad, pero debe administrar proactivamente el crecimiento de los archivos de datos. Para ver los tamaños de ejemplo de la base de datos MIM, consulte la Guía de planeamiento de capacidad de FIM .
Para preestablece los archivos de registro y datos de SQL
Inicie SQL Server Management Studio.
Vaya a la base de datos FIMService, haga clic con el botón derecho en FIMService y, a continuación, haga clic en Propiedades.
En la página Archivos, expanda los archivos de base de datos al tamaño necesario.
Aislar el registro de los archivos de datos
Siga los procedimientos recomendados de SQL Server para aislar los archivos de registro de transacciones y datos de las bases de datos en para separar los discos físicos.
Creación de archivos tempdb adicionales
Para obtener un rendimiento óptimo, se recomienda crear un archivo de datos por núcleo de CPU en el archivo tempdb.
Para crear archivos tempdb adicionales
Inicie SQL Server Management Studio.
Vaya a la base de datos tempdb en Bases de datos del sistema, haga clic con el botón derecho en tempdb y, a continuación, haga clic en Propiedades.
En la página Archivos, cree un archivo de datos para cada núcleo de CPU. Asegúrese de separar los archivos de registro y datos de tempdb en diferentes unidades y ejes.
Garantizar un espacio adecuado para los archivos de registro
Es importante comprender los requisitos de disco del modelo de recuperación. El modo de recuperación simple puede ser adecuado durante la carga inicial del sistema para limitar el uso del espacio en disco, pero los datos creados después de la copia de seguridad más reciente se exponen a la pérdida de datos. Al usar el modo de recuperación completa, debe administrar el uso del disco a través de copias de seguridad que incluyen copias de seguridad frecuentes del registro de transacciones para evitar un uso elevado del espacio en disco. Para obtener más información, consulte Información general del modelo de recuperación.
Limitar la memoria de SQL Server
En función de la cantidad de memoria que tenga en el servidor SQL Server y si comparte el servidor SQL con otros servicios (es decir, servicio MIM 2016 y servicio de sincronización de MIM 2016), es posible que desee restringir el consumo de memoria de SQL. Puede establecer esta restricción a través de los pasos siguientes.
Inicie el Administrador empresarial de SQL Server.
Seleccione Nueva consulta.
Ejecute la siguiente consulta:
USE master EXEC sp_configure 'show advanced options', 1 RECONFIGURE WITH OVERRIDE USE master EXEC sp_configure 'max server memory (MB)', 12000--- max=12G RECONFIGURE WITH OVERRIDEEn este ejemplo se vuelve a configurar SQL Server para que no use más de 12 gigabytes (GB) de memoria.
Compruebe la configuración mediante la consulta siguiente:
USE master EXEC sp_configure 'max server memory (MB)'--- verify the setting USE master EXEC sp_configure 'show advanced options', 0 RECONFIGURE WITH OVERRIDE
Configuración de copia de seguridad y recuperación
En general, debe trabajar con el administrador de bases de datos para diseñar una estrategia de copia de seguridad y recuperación. Algunas recomendaciones incluyen:
- Realice copias de seguridad de base de datos según la directiva de copia de seguridad de la organización.
- Si no se planean las copias de seguridad incrementales de registros, la base de datos debe establecerse en el modo de recuperación simple.
- Asegúrese de comprender las implicaciones de los diferentes modelos de recuperación antes de implementar la estrategia de copia de seguridad. Obtenga información sobre los requisitos de espacio en disco para estos modelos. El modelo de recuperación completa requiere copias de seguridad de registros frecuentes para evitar un uso elevado del espacio en disco.
Para obtener más información, vea Recovery Model Overview and FIM 2010 Backup and Restore Guide.
Creación de una cuenta de administrador de copia de seguridad para el servicio FIM después de la instalación
Los miembros del conjunto de administradores de FIMService tienen permisos únicos críticos para el funcionamiento de la implementación de MIM. Si no puede iniciar sesión como parte del conjunto administradores, la única resolución es revertir a una copia de seguridad anterior del sistema. Para mitigar esta situación, se recomienda agregar otros usuarios al conjunto administrativo de FIM como parte de la configuración posterior a la instalación.
Servicio FIM
Configuración del buzón de Exchange del servicio FIM
Estos son los procedimientos recomendados para configurar Microsoft Exchange Server para la cuenta de servicio de MIM 2016.
- Configure la cuenta de servicio para que pueda aceptar correo solo desde direcciones de correo electrónico internas. En concreto, el buzón de la cuenta de servicio nunca debe poder recibir correo de servidores SMTP externos.
Para configurar la cuenta de servicio
En la Consola de administración de Exchange, seleccione la cuenta de servicio fim de .
Seleccione Propiedades, seleccione Configuración del flujo de correo y, a continuación, seleccione Restricciones de entrega de correo.
Active la casilla Requerir que todos los remitentes se autentiquen.
Para obtener más información, vea Configurar restricciones de entrega de mensajes.
Configure la cuenta de servicio para que rechace el correo con tamaños superiores a 1 MB. Siga el procedimiento recomendado para Configurar límites de tamaño de mensaje para un buzón o una carpeta pública de Mail-Enabled.
Configure la cuenta de servicio para que tenga una cuota de almacenamiento de buzón de 5 GB. Para obtener resultados óptimos, siga los procedimientos recomendados que se enumeran en Configurar cuotas de almacenamiento para un buzón de correo.
MIM Portal
Deshabilitar la indexación de SharePoint
Se recomienda deshabilitar la indexación de Microsoft Office SharePoint®. No hay documentos que deban indexarse. La indexación provoca muchas entradas de registro de errores y posibles problemas de rendimiento en MIM. Para deshabilitar la indexación de SharePoint, realice estos pasos:
En el servidor que hospeda el portal de MIM 2016, haga clic en Iniciar.
Haga clic en Todos los programas.
En la lista Todos los programas, haga clic en Herramientas administrativas.
En Herramientas administrativas, haga clic en Administración central de SharePoint.
En la página Administración central, haga clic en Operaciones.
En la página Operaciones, en Configuración global, haga clic en Definiciones de trabajo del temporizador.
En la página Definiciones de trabajo del temporizador, haga clic en Actualizar búsqueda de SharePoint Services.
En la página Editar trabajo del temporizador, haga clic en Deshabilitar.
Carga inicial de datos de MIM 2016
En esta sección se enumeran una serie de pasos para aumentar el rendimiento de la carga de datos inicial desde el sistema externo a MIM. Es importante comprender que varios de estos pasos solo se realizan durante el rellenado inicial del sistema. Deben restablecerse tras la finalización de la carga. Estos pasos son para una operación única y no para una sincronización continua.
Importante
Asegúrese de que ha aplicado los procedimientos recomendados descritos en la sección configuración de SQL de esta guía.
Paso 1: Configuración del servidor SQL Server para la carga de datos inicial
La carga inicial de datos puede ser un proceso largo. Cuando planea cargar inicialmente una gran cantidad de datos, puede acortar el tiempo necesario para rellenar la base de datos desactivando temporalmente la búsqueda de texto completo y activarla de nuevo después de que se haya completado la exportación en el agente de administración de MIM 2016 (FIM MA).
Para desactivar temporalmente la búsqueda de texto completo:
Inicie SQL Server Management Studio.
Seleccione Nueva consulta.
Ejecute las siguientes instrucciones SQL:
ALTER FULLTEXT INDEX ON [fim].[ObjectValueString] SET CHANGE_TRACKING = MANUAL
ALTER FULLTEXT INDEX ON [fim].[ObjectValueXml] SET CHANGE_TRACKING = MANUAL
Importante
No implementar estos procedimientos puede dar lugar a un uso elevado de espacio en disco, lo que puede provocar que se agote el espacio en disco. Puede encontrar detalles adicionales sobre este tema en Información general del modelo de recuperación. la guía de copia de seguridad y restauración de FIM contiene información adicional.
Paso 2: Aplicar la configuración mínima necesaria de MIM durante el proceso de carga
Durante el proceso de carga inicial, solo debe aplicar la configuración mínima necesaria a la configuración de FIM para las reglas de directiva de administración (MPR) y establecer definiciones. Una vez completada la carga de datos, cree los conjuntos adicionales necesarios para la implementación. Use la configuración de actualización de directiva de Run-On en los flujos de trabajo de acción para aplicar esas directivas de forma retroactiva en los datos cargados.
Paso 3: Configurar y rellenar el servicio FIM con datos de identidad externos
En este momento, debe seguir los procedimientos descritos en la guía How Do I Synchronize Users from Active Directory Domain Services to FIM guide to configure and synchronize your system with users from Active Directory (Cómo sincronizar usuarios de Active Directory Domain Services con FIM) para configurar y sincronizar el sistema con usuarios de Active Directory. Si necesita sincronizar la información de grupo, los procedimientos para ese proceso se describen en la guía de Cómo sincronizar grupos de Active Directory Domain Services con FIM.
Sincronización y exportación de secuencias
Para optimizar el rendimiento, ejecute una exportación después de una ejecución de sincronización que produzca un gran número de operaciones de exportación pendientes en un espacio del conector. A continuación, ejecute una ejecución de confirmación de importación en el agente de administración asociado al espacio del conector afectado. Por ejemplo, cuando necesite ejecutar perfiles de ejecución de sincronización en varios agentes de administración como parte de una carga de datos inicial, debe ejecutar una exportación seguida de una importación diferencial después de cada ejecución de sincronización individual. Para cada agente de administración de origen que forma parte del ciclo de inicialización, realice los pasos siguientes:
Importación completa en un agente de administración de origen.
Sincronización completa en el agente de administración de origen.
Exporte en todos los agentes de administración de destino afectados con operaciones de exportación almacenadas provisionalmente.
Importación diferencial en todos los agentes de administración de destino afectados con operaciones de exportación almacenadas provisionalmente.
Paso 4: Aplicar la configuración completa de MIM
Una vez completada la carga de datos inicial, debe aplicar la configuración completa de MIM para la implementación.
En función de los escenarios, este paso puede incluir la creación de conjuntos adicionales, MPR y flujos de trabajo. Para cualquier directiva que necesite aplicar retroactivamente a todos los objetos existentes del sistema, use la configuración de actualización de directiva de ejecución en los flujos de trabajo de acción para aplicar esas directivas de forma retroactiva en los datos cargados.
Paso 5: Volver a configurar SQL en la configuración anterior
Recuerde cambiar la configuración de SQL a su configuración normal. Estos cambios incluyen:
Activar la búsqueda de texto completo
Actualización de la directiva de copia de seguridad por directiva de la organización
Una vez que haya completado la carga de datos inicial, debe volver a activar la búsqueda de texto completo. Ejecute las siguientes instrucciones SQL para volver a activar la búsqueda de texto completo:
ALTER FULLTEXT INDEX ON [fim].[ObjectValueString] SET CHANGE_TRACKING = AUTO
ALTER FULLTEXT INDEX ON [fim].[ObjectValueXml] SET CHANGE_TRACKING = AUTO
Si tiene que cambiar al modo de recuperación simple, asegúrese de volver a configurar la programación de copia de seguridad de acuerdo con la directiva de copia de seguridad de la organización. Puede encontrar más detalles sobre las programaciones de copia de seguridad de FIM en Guía de copia de seguridad y restauración de FIM.
Migración de la configuración
Evitar cambiar los nombres para mostrar
Para muchos tipos de objetos como MPR, el script de syncproduction.ps1 usa el nombre para mostrar como el único atributo de delimitador entre dos sistemas. Por lo tanto, un cambio en el nombre para mostrar de un MPR existente da como resultado la eliminación del MPR existente, seguido de la creación de un nuevo MPR. Este resultado se produce porque el proceso de migración no puede unirse correctamente a mpR cuyos criterios de combinación han cambiado. Para evitar este problema, puede enlazar un atributo personalizado a todos los tipos de objetos de configuración y usar ese atributo como criterios de combinación. Este proceso le permite modificar los nombres para mostrar sin afectar al proceso de migración.
Evitar cambiar el contenido de los archivos intermedios
Aunque el formato de archivo y la interfaz de programación de aplicaciones (API) de los objetos de bajo nivel son públicos y los desarrolladores admiten manipulaciones, no se recomienda cambiar el contenido de los formatos intermedios durante la migración. Sin embargo, puede ser necesario quitar todo ImportObjects de changes.xml o realizar operaciones de búsqueda y reemplazo en pilot.xml para reemplazar números de versión o información piloto del Sistema de nombres de dominio (DNS) para la información de DNS de producción.
Asegúrese de que el número de versión es correcto en pilot.xml al migrar entre versiones
Aunque no se recomiendan ni admiten migraciones entre números de versión, a menudo puede realizar esta migración reemplazando el número de versión piloto por el número de versión de producción en pilot.xml. En concreto, WorkflowDefinition y
Los objetos ActivityInformationConfiguration requieren que el número de versión haga referencia precisamente a las actividades de flujo de trabajo en el entorno de producción. Si no se reemplaza el número de versión, el cmdlet Compare-FIMConfig identifica las diferencias entre los atributos del lenguaje de marcado de objetos extensibles (XOML) en WorkflowDefinitions y la migración del número de versión del piloto. Es posible que el servicio FIM de producción no pueda iniciar actividades de flujo de trabajo con el número de versión incorrecto.
Evitar referencias cíclicas
En general, las referencias cíclicas no se recomiendan en una configuración de MIM. Sin embargo, los ciclos a veces se producen cuando Set A hace referencia a Set B y Set B también hace referencia a Set A. Para evitar problemas con las referencias cíclicas, debe cambiar la definición de Set A o Set B para que ambos no hagan referencia entre sí. A continuación, reinicie el proceso de migración. Si tiene referencias cíclicas y el cmdlet Compare-FIMConfig produce un error como resultado, es necesario interrumpir el ciclo manualmente. Dado que el cmdlet Compare-FIMConfig genera una lista de cambios en orden de prioridad, requiere que no existan ciclos entre las referencias de objetos de configuración.
Seguridad
Cuenta de MIM MA
La cuenta de MIM MA no se considera una cuenta de servicio y debe ser una cuenta de usuario normal. Las cuentas deben poder iniciar sesión localmente para que la cuenta de servicio del servicio de sincronización fiM pueda suplantarla.
Para habilitar la cuenta de MIM MA para iniciar sesión localmente
Haga clic en Inicio, en Herramientas administrativasy, a continuación, en Directiva de seguridad local.
Abra el nodo Directivas locales y, a continuación, haga clic en Asignación de derechos de usuario.
En la directiva Permitir inicio de sesión localmente, asegúrese de que la cuenta de FIM MA se especifica explícitamente o agréguela a uno de los grupos a los que ya se ha concedido acceso.
Cuentas del servicio de sincronización de FIM y los servicios FIM
Para configurar los servidores que ejecutan los componentes del servidor MIM de forma segura, las cuentas de servicio deben restringirse. Con el procedimiento anterior para activar la cuenta de MIM MA, establezca las restricciones siguientes en las cuentas del servicio de sincronización fiM y del servicio FIM:
Denegar el inicio de sesión como un trabajo por lotes
Denegar el inicio de sesión localmente
Denegar el acceso desde la red a este equipo
Las cuentas de servicio no deben ser miembros del grupo de administradores locales.
La cuenta del servicio de sincronización de FIM no debe ser miembro de los grupos de seguridad usados para controlar el acceso al servicio de sincronización de FIM (grupos que comienzan por FIMSync, por ejemplo, FIMSyncAdmins, etc.).
Importante
Si selecciona las opciones para usar la misma cuenta para las cuentas de servicio y separa el servicio FIM y el servicio de sincronización de FIM, no puede establecer Denegar acceso a este equipo desde la red en el servidor del servicio de sincronización mms. Si se deniega el acceso que prohibiría al servicio FIM ponerse en contacto con el servicio de sincronización de FIM para cambiar la configuración y administrar las contraseñas.
El restablecimiento de contraseña implementado en equipos de pantalla completa debe establecer la seguridad local para borrar el archivo de páginas de memoria virtual.
Al implementar el restablecimiento de contraseña de FIM en una estación de trabajo destinada a ser un quiosco, se recomienda activar la configuración de directiva de seguridad local Shutdown: Clear virtual memory pagefile para asegurarse de que la información confidencial de la memoria del proceso no esté disponible para los usuarios no autorizados.
Implementación de SSL para el portal de FIM
Se recomienda encarecidamente usar la capa de sockets seguros (SSL) en el servidor del portal de FIM para proteger el tráfico entre los clientes y el servidor.
Para implementar SSL:
En el servidor del portal de MIM, abra el Administrador de IIS.
Haga clic en el nombre del equipo local.
Haga clic en Certificados de servidor.
Haga clic en Crear solicitud de certificado.
En el cuadro de texto Nombre común, escriba el nombre del servidor.
Haga clic en Siguientey, a continuación, haga clic en Siguiente.
Guarde el archivo en cualquier ubicación. Tendrá que acceder a esta ubicación en los pasos posteriores.
Navegue a https://servername/certsrv. Reemplace servername por el nombre del servidor que emite certificados.
Haga clic en Solicitar un nuevo certificado.
Haga clic en Enviar una solicitud avanzada.
Haga clic en Enviar una solicitud de certificado mediante una codificación base-64.
Pegue el contenido del archivo que guardó en el paso anterior.
En Plantilla de certificado, seleccione Servidor web.
Haga clic en Enviar.
Guarde el certificado en el escritorio.
En el Administrador de IIS, haga clic en Completar solicitud de certificación.
Apunte el Administrador de IIS al certificado que acaba de guardar en el escritorio.
En Nombre descriptivo, escriba el nombre del servidor.
Haga clic en Sitios y, a continuación, seleccione SharePoint – 80.
Haga clic en Enlaces y, a continuación, haga clic en Agregar.
Seleccione https.
Para el certificado, seleccione el que tiene el mismo nombre que el servidor, el certificado que acaba de importar.
Haga clic en Aceptar.
Quite el enlace HTTP.
Haga clic en Configuración de SSL y, a continuación, active Requerir SSL.
Guardar la configuración.
Haga clic en Inicio, en Herramientas administrativas y, a continuación, en Administración central de SharePoint 3.0.
Haga clic en Operacionesy, a continuación, haga clic en Asignaciones de acceso alternativas.
Clic https://servername.
Cambie https://servername a https://servernamey haga clic en Aceptar.
Haga clic en Inicio, haga clic en Ejecutar, escriba iisresety, a continuación, haga clic en Aceptar.
Rendimiento
Para una configuración de rendimiento óptima:
Aplique los procedimientos recomendados de instalación de SQL como se describe en la sección Configuración de SQL de este documento.
Desactive la indexación de SharePoint en el sitio del portal de MIM. Para obtener más información, vea la sección Deshabilitar la indexación de SharePoint.
Procedimientos recomendados específicos de características
Administración de solicitudes
De forma predeterminada, MIM 2016 purga objetos del sistema expirados, lo que incluye solicitudes completadas con aprobaciones asociadas, respuestas de aprobación e instancias de flujo de trabajo en un intervalo de 30 días. Si su organización necesita un historial de solicitudes más largo, debe exportar solicitudes de MIM y almacenarlas en una base de datos auxiliar para conservarlas más allá de la ventana de 30 días. Aunque la ventana de eliminación de solicitudes de 30 días es configurable, la extensión de esta ventana puede afectar negativamente al rendimiento debido a los objetos adicionales del sistema.
Reglas de directivas de administración
Usar el tipo de MPR adecuado
MIM proporciona dos tipos de MPR, Solicitud y Transición de conjunto:
Solicitud de MPR (RMPR)
- Se usa para definir la directiva de control de acceso (autenticación, autorización y acción) para las operaciones Crear, Leer, Actualizar o Eliminar (CRUD) en recursos,
- Se aplica cuando se emite una operación CRUD en un recurso de destino en MIM y
- Con ámbito por los criterios de coincidencia definidos en la regla, es decir, a los que CRUD solicita la regla.
Establecer MPR de transición (TMPR)
- Use para definir directivas independientemente de cómo el objeto entró en el estado actual representado por el conjunto de transición. Use TMPR para modelar directivas de derechos.
- Se aplica cuando un recurso entra o deja un conjunto asociado, y
- Con ámbito para los miembros del conjunto.
Nota:
Para obtener más información, consulte Diseño de reglas de directiva de negocios.
Habilitar solo MPR según sea necesario
Use el principio de privilegios mínimos al aplicar la configuración. Los MPR controlan la directiva de acceso a la implementación de MIM. Habilite solo esas características usadas por la mayoría de los usuarios. Por ejemplo, no todos los usuarios usan MIM para la administración de grupos, por lo que los MPR de administración de grupos asociados deben deshabilitarse. De forma predeterminada, MIM se distribuye con la mayoría de los permisos que no son de administrador deshabilitados.
MpR integrados duplicados en lugar de modificar directamente
Cuando necesite modificar las MPR integradas, debe crear un nuevo MPR con la configuración necesaria y desactivar el MPR integrado. La creación de este nuevo MPR garantiza que los cambios futuros en los MPR integrados que se introducen a través del proceso de actualización no afectan negativamente a la configuración del sistema.
Los permisos de usuario final deben usar listas de atributos explícitas en el ámbito de las necesidades empresariales de los usuarios
El uso de listas de atributos explícitos ayuda a evitar la concesión accidental de permisos a usuarios sin privilegios cuando se agregan atributos a objetos. Los administradores deben tener explícitamente que conceder acceso a los nuevos atributos en lugar de intentar quitar el acceso.
El acceso a los datos debe tener como ámbito las necesidades empresariales de los usuarios. Por ejemplo, los miembros del grupo no deben tener acceso al atributo de filtro del grupo del que son miembros. El filtro puede revelar accidentalmente los datos de la organización a los que normalmente el usuario no tendría acceso.
Los MPR deben reflejar los permisos efectivos en el sistema
Evite conceder permisos a los atributos que el usuario nunca puede usar. Por ejemplo, no debe conceder permiso para modificar atributos de recursos principales, como objectType. A pesar de MPR, el sistema denegará cualquier intento de modificar el tipo de un recurso una vez creado el recurso.
Los permisos de lectura deben ser independientes de Los permisos Modificar y Crear al usar atributos explícitos en MPR
Cuando se enumeran explícitamente atributos en MPR, los atributos necesarios para Crear y Modificar suelen ser diferentes de los disponibles para Lectura. Por ejemplo, se puede conceder Read a través de atributos system como Creator o objectId, mientras que Create o Modify no se puede especificar para los atributos System.
Crear permisos debe ser independiente de Modificar permisos al usar atributos explícitos en reglas
La operación Create requiere que el usuario seleccione objectType como parte de su operación. Este atributo es un atributo principal del sistema que no se puede modificar después de una operación Create.
Usar un MPR de solicitud para todos los atributos con los mismos requisitos de acceso
En el caso de los atributos con los mismos requisitos de acceso que no se espera que cambien, puede combinarlos en un único MPR de solicitud para mejorar la eficacia.
Evitar conceder acceso sin restricciones incluso a grupos de entidades de seguridad seleccionados
En MIM, los permisos se definen como una aserción positiva. Dado que MIM no admite permisos de denegación, conceder acceso sin restricciones a un recurso complica proporcionar exclusiones en los permisos. Como procedimiento recomendado, conceda solo los permisos necesarios.
Uso de TMPR para definir derechos personalizados
Use Set Transition MPR (TMPR) en lugar de RMPR para definir derechos personalizados. Los TMPR proporcionan un modelo basado en estado para asignar o quitar derechos en función de la pertenencia a los conjuntos de transición definidos, o roles, y las actividades de flujo de trabajo complementarias. Los TMPR siempre deben definirse en pares, uno para la transición de recursos y otro para la transición de recursos. Además, cada MPR de transición debe contener flujos de trabajo independientes para las actividades de aprovisionamiento y desaprovisionamiento.
Nota:
Cualquier flujo de trabajo de desaprovisionamiento debe asegurarse de que el atributo Run On Policy Update está establecido en true.
Habilitación de la transición establecida en MPR por última vez
Al crear un par TMPR, active Set Transition In MPR last (Establecer transición en MPR) por última vez. Este orden garantiza que no queda ningún recurso con el derecho si se agrega y se quita del conjunto mientras en MPR está activado, pero antes de activar Out MPR.
Los flujos de trabajo de TMPR deben comprobar primero el estado del recurso de destino.
En primer lugar, los flujos de trabajo de aprovisionamiento deben comprobar si el recurso de destino ya se ha aprovisionado de acuerdo con el derecho. Si lo tiene, entonces no debería hacer nada.
Los flujos de trabajo de desaprovisionamiento deben comprobar primero para determinar si se ha aprovisionado el recurso de destino. Si lo tiene, debe desaprovisionar el recurso de destino. De lo contrario, no debería hacer nada.
Seleccione Ejecutar en la actualización de directivas para los TMPR.
Esta configuración garantiza que el comportamiento de aprovisionamiento correcto se aplica cuando se implementan las actualizaciones de directivas y usa la marca de actualización de directivas de ejecución en los flujos de trabajo de acción asociados a los TMPR y que los cambios en las definiciones de directiva aplican los flujos de trabajo de acción a los nuevos miembros del conjunto de transición.
Evitar asociar el mismo derecho con dos conjuntos de transición diferentes
La asociación del mismo derecho con dos conjuntos de transición diferentes puede provocar una revocación innecesaria y la reasignación de derechos si el recurso se mueve de un conjunto a otro. Como procedimiento recomendado, asegúrese de que un conjunto contiene todos los recursos que requieren el derecho asociado. Este procedimiento garantiza una relación uno a uno entre el conjunto de transición y el derecho que concede el flujo de trabajo.
Usar una secuencia adecuada de operaciones al quitar derechos en el sistema
El orden de los pasos realizados al quitar derechos en el sistema puede dar lugar a dos resultados operativos diferentes. Asegúrese de comprender qué orden se aplica al efecto que desea.
Para quitar un derecho del sistema (y revocarlo de todos los miembros que poseen actualmente el derecho):
Deshabilite el MPR de T-In. Este cambio evita nuevas concesiones.
Elimine el filtro T-Set o cámbielo para que el conjunto esté vacío. Esto hace que todos los miembros existentes realicen la transición y apliquen la directiva de desaprovisionamiento, incluidos los flujos de trabajo de desaprovisionamiento configurados asociados con el derecho.
Deshabilite el MPR de salida.
Para quitar un derecho, pero dejar solo los miembros actuales (por ejemplo, dejar de usar MIM para administrar el derecho):
Deshabilite el MPR de T-In. Este cambio evita nuevas concesiones.
Deshabilite el MPR de salida.
Elimine el filtro T-Set o cámbielo para que el conjunto esté vacío. Dado que el conjunto ya no está asociado a un TMPR, no se aplican flujos de trabajo de desaprovisionamiento.
Conjuntos
Al aplicar los procedimientos recomendados para conjuntos, debe tener en cuenta el impacto de las optimizaciones en la capacidad de administración y la facilidad de administración futura. Se deben realizar pruebas adecuadas a escala de producción esperadas para identificar el equilibrio adecuado entre el rendimiento y la capacidad de administración antes de aplicar estas recomendaciones.
Nota:
Todas las instrucciones siguientes se aplican a conjuntos dinámicos y grupos dinámicos.
Minimizar el uso de anidamiento dinámico
Esto hace referencia al filtro de un conjunto que hace referencia al atributo ComputedMember de otro conjunto. Una razón común para los conjuntos de anidamiento es evitar duplicar una condición de pertenencia en muchos conjuntos. Aunque este enfoque puede dar lugar a una mejor manejabilidad de los conjuntos, existe un equilibrio de rendimiento. Puede optimizar el rendimiento duplicando las condiciones de pertenencia de un conjunto anidado en lugar de anidar el propio conjunto.
Es posible que encuentre casos en los que no pueda evitar el anidamiento de conjuntos para satisfacer un requisito funcional. Estas son las situaciones principales en las que debe anidar conjuntos. Por ejemplo, para definir el conjunto de todos los grupos sin Full-Time Propietarios de empleados, el anidamiento de conjuntos debe usarse de la siguiente manera: /Group[not(Owner = /Set[ObjectID = ‘X’]/ComputedMember], donde "X" es el ObjectID del conjunto de Todos los empleados de tiempo completo.
Minimizar el uso de condiciones negativas
Las condiciones negativas son las condiciones de pertenencia que usan los siguientes operadores o funciones: !=, not(), \< , \<=. Para optimizar el rendimiento, siempre que sea posible, exprese la condición que desea con varias condiciones positivas en lugar de como una condición negativa.
Minimizar el uso de condiciones de pertenencia basadas en atributos de referencia multivalor
El uso de condiciones basadas en atributos de referencia multivalor debe minimizarse porque un gran número de estos conjuntos puede afectar al rendimiento de las operaciones en el atributo usado en la condición de pertenencia.
Restablecimiento de contraseña
Los equipos de pantalla completa que se usan para el restablecimiento de contraseña deben establecer la seguridad local para borrar el archivo de página de memoria virtual.
Al implementar el restablecimiento de contraseña de MIM en una estación de trabajo destinada a ser una pantalla completa, se recomienda que la configuración de directiva de seguridad local Shutdown: Clear virtual memory pagefile local (Apagar: borrar la configuración de la directiva de seguridad local del archivo de memoria de memoria virtual) esté activada para asegurarse de que la información confidencial de la memoria del proceso no está disponible para los usuarios no autorizados.
Los usuarios siempre deben registrarse para un restablecimiento de contraseña en un equipo en el que hayan iniciado sesión.
Cuando un usuario intenta registrarse para el restablecimiento de contraseña a través de un portal web, MIM siempre inicia el registro en nombre del usuario que ha iniciado sesión, independientemente de quién haya iniciado sesión en el sitio web. Los usuarios siempre deben registrarse para un restablecimiento de contraseña en un equipo en el que hayan iniciado sesión.
No establezca la clave del Registro AvoidPdcOnWan en true.
Al usar el restablecimiento de contraseña de MIM 2016, no establezca la clave del Registro AvoidPdcOnWan en true.
Si esta clave del Registro está establecida en true, es muy probable que el usuario pase por las puertas de contraseña, tenga su restablecimiento de contraseña en el controlador de dominio principal (PDC) e intente iniciar sesión. Debido a esta clave del Registro, el controlador de dominio local no realiza la validación secundaria con el PDC, por lo que se deniega la solicitud de inicio de sesión. Si el usuario se deniega horas suficientes, se puede bloquear fuera del dominio y tendrá que llamar al soporte técnico.
No active el registro de contraseñas de texto no cifrado
Es posible registrar contraseñas de texto no cifrado al activar el seguimiento del nivel de servicio de diagnóstico en Windows
Communication Foundation (WCF). Esta opción no está activada de forma predeterminada y no se recomienda activarla en entornos de producción. Estas contraseñas son visibles como elementos de texto no cifrado dentro de un mensaje cifrado del Protocolo simple de acceso a objetos (SOAP) cuando los usuarios se registran para el restablecimiento de contraseña. Para obtener más información, vea Configuración del registro de mensajes.
No asignar un flujo de trabajo de autorización al proceso de restablecimiento de contraseña
No debe adjuntar un flujo de trabajo de autorización a una operación de restablecimiento de contraseña. El restablecimiento de contraseña requiere una respuesta sincrónica y flujos de trabajo de autorización que contienen actividades como la actividad de aprobación son asincrónicas.
No asignar varias actividades de acción al restablecimiento de contraseña
No debe adjuntar un flujo de trabajo que contenga más de una actividad de acción a una operación de restablecimiento de contraseña. Un escenario de ejemplo sería asociar una segunda actividad de restablecimiento de contraseña de AD DS a un MPR de restablecimiento de contraseña. No se admite este escenario.
Requerir volver a registrar al agregar, quitar o cambiar el orden de las actividades en un flujo de trabajo existente
Al agregar, quitar o cambiar el orden de las actividades de autenticación en un flujo de trabajo existente, seleccione siempre la opción para requerir volver a registrar. Los usuarios que intentan autenticarse para el restablecimiento de contraseña después de agregar o quitar una actividad de un flujo de trabajo, pero antes de que se hayan vuelto a registrar, pueden encontrar efectos no deseados.
Configuración del portal y configuración de visualización del control de recursos
Considere la posibilidad de agregar una declinación de responsabilidades de privacidad a la página de perfil de usuario
En MIM, de forma predeterminada, es posible que se muestre información de perfil de usuario a otros usuarios. Como cortesía de los usuarios, los administradores deben considerar la posibilidad de agregar texto personalizado coherente con las directivas de su empresa a la página Perfil de usuario. Para obtener más información sobre cómo agregar texto personalizado a una página del portal de MIM, vea Introducción a Configuración y personalización del portal de FIM.
Esquema
No eliminar tipos de recursos de persona o grupo
Aunque los tipos de recursos Person y Group no están marcados como tipos de recursos principales, los propios recursos o los atributos asignados a ellos no deben eliminarse. La interfaz de usuario (UI) en el portal de MIM requiere que los tipos de recursos Person y Group y sus atributos estén presentes.
No modifique los atributos principales
Hay 13 atributos principales asignados a todos los tipos de recursos. No debe modificar de ninguna manera su relación con ningún tipo de recurso. Los 13 atributos principales son:
CreatedTime
Creador
DeletedTime
Descripción
DetectedRulesList • DisplayName
ExpectedRulesList
ExpirationTime
Configuración regional
MVObjectID
ObjectID
ObjectType
ResourceTime
No elimine el recurso de esquema con una dependencia de los requisitos de auditoría.
No debe eliminar los recursos de esquema mientras sigue teniendo requisitos de auditoría para estos recursos.
Hacer que las expresiones regulares no distinguen mayúsculas de minúsculas
En MIM, puede resultar útil hacer que algunas expresiones regulares no distinguen mayúsculas de minúsculas. Puede pasar por alto mayúsculas y minúsculas dentro de un grupo mediante ?!:. Por ejemplo, para Tipo de empleado, use
\^(?!:contractor\|full time employee)%.
Cálculo del atributo miembro
El atributo Member expuesto al motor de sincronización se asigna realmente a ComputedMembers. Es una combinación de miembros basados en criterios y miembros seleccionados manualmente. Incluso si agrega los tres atributos (Filter, ExplicitMembers y ComputedMembers), el cálculo dinámico del atributo miembro no se produce para los tipos de recursos que no sean para el grupo y el conjunto.
Los espacios iniciales y finales de las cadenas se omiten
En MIM, puede escribir cadenas con espacios iniciales y finales, pero el sistema MIM omite esos espacios. Si envía una cadena con un espacio inicial y final, el motor de sincronización y los servicios web omiten esos espacios.
Las cadenas vacías no son iguales a NULL
Las cadenas vacías no son iguales a NULL en esta versión de MIM. La entrada de cadena vacía se considera un valor válido. No está presente se considera un valor null.
Procesamiento de solicitudes y flujos de trabajo
No elimine flujos de trabajo predeterminados que se envían con MIM 2016
Los flujos de trabajo siguientes se envían con MIM y no se deben eliminar:
Flujo de trabajo de expiración
Flujo de trabajo de validación de filtros para administradores
Flujo de trabajo de validación de filtros para usuarios que no son administradores
Flujo de trabajo de notificación de expiración de grupo
Flujo de trabajo de validación de grupos
Flujo de trabajo de aprobación del propietario
Flujo de trabajo de acción de restablecimiento de contraseña
Flujo de trabajo de autenticación de restablecimiento de contraseña
Validación del solicitante con autorización de propietario
Validación del solicitante sin autorización de propietario
Flujo de trabajo del sistema necesario para el registro
No ejecute dos o más approvalActivities en paralelo
No debe ejecutar dos o más ApprovalActivities en paralelo. Si lo hace, es posible que la solicitud se bloquee en la fase de autorización. Para varias aprobaciones, incluya una lista mayor de aprobadores en la aprobación o secuencia las dos actividades de vuelta a atrás.
Las actividades de autorización no deben modificar los datos de recursos de MIM
Evite el uso de actividades que modifiquen los recursos de MIM, como la actividad del evaluador de funciones, como parte de los flujos de trabajo de los flujos de trabajo de autorización. Dado que la solicitud no se ha confirmado mientras se encuentra en el punto de autorización de procesamiento, las modificaciones realizadas en la información de identidad se pueden aplicar a pesar de que la solicitud se pueda rechazar.
Descripción de las particiones del servicio FIM
El objetivo de MIM es procesar las solicitudes que pueden iniciar varios clientes de MIM, como el servicio de sincronización FIM y los componentes de autoservicio según las directivas empresariales configuradas. Por diseño, cada instancia de servicio FIM pertenece a un grupo lógico que consta de una o varias instancias de servicio FIM, que también se conoce como partición de servicio FIM. Si solo tiene implementada una instancia de servicio FIM para controlar todas las solicitudes, es posible que experimente latencias de procesamiento. Algunas operaciones incluso pueden superar los valores de tiempo de espera predeterminados que son adecuados para las operaciones de autoservicio. Las particiones del servicio FIM pueden ayudarle a solucionar este problema.
Para obtener más información, consulte Descripción de las particiones del servicio FIM.
Pasos siguientes
- guía de copia de seguridad y restauración de FIM
- Información general del modelo de recuperación de .