Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cette rubrique décrit les meilleures pratiques pour le déploiement et l’exploitation de Microsoft Identity Manager 2016 (MIM)
Configuration de SQL
Remarque
Les recommandations suivantes pour configurer un serveur exécutant SQL présument une instance SQL dédiée au FIMService et à une instance SQL dédiée à la base de données FIMSynchronizationService. Si vous exécutez fiMService dans un environnement consolidé, vous devez apporter des ajustements appropriés à votre configuration.
La configuration du serveur SQL (Structured Query Language) est essentielle pour optimiser les performances du système. L’obtention de performances MIM optimales dans les implémentations à grande échelle dépend de l’application des meilleures pratiques pour un serveur exécutant SQL. Pour plus d’informations, consultez les rubriques suivantes sur les meilleures pratiques SQL :
Présisez les fichiers journaux et les données
Ne vous fiez pas à la croissance automatique. Au lieu de cela, gérez manuellement la croissance de ces fichiers. Vous pouvez laisser la croissance automatique pour des raisons de sécurité, mais vous devez gérer de manière proactive la croissance des fichiers de données. Pour obtenir des exemples de tailles de la base de données MIM, consultez le guide de planification de la capacité FIM .
Pour préséiser les fichiers journaux et les données SQL
Exécutez SQL Server Management Studio.
Accédez à la base de données FIMService, cliquez avec le bouton droit sur FIMService, puis cliquez sur Propriétés.
Dans la page Fichiers, développez les fichiers de base de données à la taille requise.
Isoler le journal des fichiers de données
Suivez les bonnes pratiques de SQL Server pour isoler les fichiers journaux des transactions et des données des bases de données sur des disques physiques distincts.
Créer des fichiers tempdb supplémentaires
Pour des performances optimales, nous vous recommandons de créer un fichier de données par cœur d’UC dans le fichier tempdb.
Pour créer des fichiers tempdb supplémentaires
Exécutez SQL Server Management Studio.
Accédez à la base de données tempdb dans les bases de données système, cliquez avec le bouton droit sur tempdb, puis cliquez sur Propriétés.
Dans la page Fichiers, créez un fichier de données pour chaque cœur de processeur. Veillez à séparer les données tempdb et les fichiers journaux sur différents lecteurs et spindles.
Garantir un espace suffisant pour les fichiers journaux
Il est important de comprendre les exigences de disque de votre modèle de récupération. Le mode de récupération simple peut être approprié pendant la charge système initiale pour limiter l’utilisation de votre espace disque, mais les données créées après votre sauvegarde la plus récente sont exposées à la perte de données. Lorsque vous utilisez le mode de récupération complète, vous devez gérer l’utilisation du disque via des sauvegardes qui incluent des sauvegardes fréquentes du journal des transactions afin d’éviter une utilisation élevée de l’espace disque. Pour plus d’informations, consultez Vue d’ensemble du modèle de récupération.
Limiter la mémoire du serveur SQL
Selon la quantité de mémoire que vous avez sur votre serveur SQL et si vous partagez le serveur SQL avec d’autres services (autrement dit, le service MIM 2016 et le service de synchronisation MIM 2016), vous pouvez restreindre la consommation de mémoire de SQL. Vous pouvez définir cette restriction en procédant comme suit.
Démarrez SQL Server Entreprise Manager.
Sélectionnez Nouvelle requête.
Exécutez la requête suivante :
USE master EXEC sp_configure 'show advanced options', 1 RECONFIGURE WITH OVERRIDE USE master EXEC sp_configure 'max server memory (MB)', 12000--- max=12G RECONFIGURE WITH OVERRIDECet exemple reconfigure le serveur SQL pour qu’il n’utilise pas plus de 12 gigaoctets (Go) de mémoire.
Vérifiez le paramètre à l’aide de la requête suivante :
USE master EXEC sp_configure 'max server memory (MB)'--- verify the setting USE master EXEC sp_configure 'show advanced options', 0 RECONFIGURE WITH OVERRIDE
Configuration de la sauvegarde et de la récupération
En général, vous devez collaborer avec votre administrateur de base de données pour concevoir une stratégie de sauvegarde et de récupération. Voici quelques recommandations :
- Effectuez des sauvegardes de base de données en fonction de la stratégie de sauvegarde de votre organisation.
- Si les sauvegardes de journal incrémentielles ne sont pas planifiées, la base de données doit être définie sur le mode de récupération simple.
- Veillez à comprendre les implications des différents modèles de récupération avant d’implémenter votre stratégie de sauvegarde. Découvrez les besoins en espace disque pour ces modèles. Le modèle de récupération complète nécessite des sauvegardes de journaux fréquentes pour éviter une utilisation élevée de l’espace disque.
Pour plus d’informations, consultez Vue d’ensemble du modèle de récupération et GUIDE de sauvegarde et de restauration FIM 2010.
Créer un compte d’administrateur de sauvegarde pour le service FIM après l’installation
Les membres du jeu d’administrateurs FIMService disposent d’autorisations uniques critiques pour l’opération de votre déploiement MIM. Si vous ne parvenez pas à vous connecter dans le cadre du jeu Administrateurs, la seule résolution consiste à restaurer une sauvegarde précédente du système. Pour atténuer cette situation, nous vous recommandons d’ajouter d’autres utilisateurs au jeu d’administration FIM dans le cadre de votre configuration post-installation.
FIM Service
Configuration de la boîte aux lettres Exchange du service FIM Service
Voici les meilleures pratiques pour configurer Microsoft Exchange Server pour le compte de service MIM 2016.
- Configurez le compte de service pour qu’il puisse accepter le courrier uniquement à partir d’adresses de messagerie internes. Plus précisément, la boîte aux lettres du compte de service ne doit jamais être en mesure de recevoir du courrier à partir de serveurs SMTP externes.
Pour configurer le compte de service
Dans la console de gestion Exchange, sélectionnez le compte de service FIM .
Sélectionnez Propriétés, sélectionnez Paramètres de flux de messagerie, puis Restrictions de remise de courrier.
Cochez la case Exiger que tous les expéditeurs soient authentifiés case.
Pour plus d’informations, consultez Configurer les restrictions de remise des messages.
Configurez le compte de service pour qu’il rejette le courrier avec des tailles supérieures à 1 Mo. Suivez la bonne pratique pour configurer les limites de taille des messages pour une boîte aux lettres ou un dossier public Mail-Enabled.
Configurez le compte de service afin qu’il dispose d’un quota de stockage de boîte aux lettres de 5 Go. Pour obtenir des résultats optimaux, suivez les meilleures pratiques répertoriées dans Configurer des quotas de stockage pour une boîte aux lettres.
Portail MIM
Désactiver l’indexation SharePoint
Nous vous recommandons de désactiver l’indexation Microsoft Office SharePoint®. Il n’existe aucun document qui doit être indexé. L’indexation provoque de nombreuses entrées du journal des erreurs et des problèmes de performances potentiels dans MIM. Pour désactiver l’indexation SharePoint, procédez comme suit :
Sur le serveur qui héberge le portail MIM 2016, cliquez sur Démarrer.
Cliquez sur Tous les programmes.
Dans la liste Tous les programmes, cliquez sur Outils d’administration.
Sous Outils d’administration, cliquez sur Administration centrale de SharePoint.
Dans la page Administration centrale, cliquez sur Opérations.
Dans la page Opérations, sous Configuration globale, cliquez sur Définitions de travail du minuteur.
Dans la page Définitions de travaux du minuteur, cliquez sur Actualisation de la recherche SharePoint Services.
Dans la page Modifier le travail du minuteur, cliquez sur Désactiver.
Chargement initial des données MIM 2016
Cette section répertorie une série d’étapes pour augmenter les performances de la charge de données initiale du système externe vers MIM. Il est important de comprendre qu’un certain nombre de ces étapes sont effectuées uniquement pendant la population initiale du système. Ils doivent être réinitialisés une fois la charge terminée. Ces étapes concernent une opération ponctuelle et non une synchronisation continue.
Important
Vérifiez que vous avez appliqué les meilleures pratiques décrites dans la section de configuration SQL de ce guide.
Étape 1 : Configurer le serveur SQL pour le chargement initial des données
La charge initiale des données peut être un processus long. Lorsque vous envisagez de charger initialement un grand nombre de données, vous pouvez raccourcir le temps nécessaire pour remplir la base de données en désactivant temporairement la recherche en texte intégral et en l’activant une fois l’exportation effectuée sur l’agent de gestion MIM 2016 (FIM MA).
Pour désactiver temporairement la recherche en texte intégral :
Exécutez SQL Server Management Studio.
Sélectionnez Nouvelle requête.
Exécutez les instructions SQL suivantes :
ALTER FULLTEXT INDEX ON [fim].[ObjectValueString] SET CHANGE_TRACKING = MANUAL
ALTER FULLTEXT INDEX ON [fim].[ObjectValueXml] SET CHANGE_TRACKING = MANUAL
Important
L’implémentation de ces procédures peut entraîner une utilisation élevée de l’espace disque, ce qui vous amène à manquer d’espace disque. Vous trouverez plus d’informations sur cette rubrique dans Vue d’ensemble du modèle de récupération. Guide de sauvegarde et de restauration FIM contient des informations supplémentaires.
Étape 2 : Appliquer la configuration MIM minimale nécessaire pendant le processus de chargement
Pendant le processus de chargement initial, vous devez appliquer uniquement la configuration minimale requise à votre configuration FIM pour vos règles de stratégie de gestion (MPR) et définir des définitions. Une fois le chargement des données terminé, créez les jeux supplémentaires requis pour votre déploiement. Utilisez le paramètre de mise à jour de stratégie Run-On sur les flux de travail d’action pour appliquer ces stratégies rétroactivement aux données chargées.
Étape 3 : Configurer et remplir le service FIM avec des données d’identité externes
À ce stade, vous devez suivre les procédures décrites dans le guide How Do I Synchronize Users from Active Directory Domain Services to FIM pour configurer et synchroniser votre système avec les utilisateurs d’Active Directory. Si vous devez synchroniser les informations de groupe, les procédures de ce processus sont décrites dans le guide Comment synchroniser des groupes à partir des services de domaine Active Directory vers FIM guide.
Séquences de synchronisation et d’exportation
Pour optimiser les performances, exécutez une exportation après une exécution de synchronisation qui entraîne un grand nombre d’opérations d’exportation en attente dans un espace connecteur. Ensuite, exécutez une exécution de confirmation de l’importation sur l’agent de gestion associé à l’espace du connecteur affecté. Par exemple, lorsque vous devez exécuter des profils d’exécution de synchronisation sur plusieurs agents de gestion dans le cadre d’une charge de données initiale, vous devez exécuter une exportation suivie d’une importation delta après chaque exécution de synchronisation individuelle. Pour chaque agent de gestion source qui fait partie de votre cycle d’initialisation, procédez comme suit :
Importation complète sur un agent de gestion source.
Synchronisation complète sur l’agent de gestion source.
Exporter sur tous les agents de gestion cibles affectés avec des opérations d’exportation intermédiaires.
Importation delta sur tous les agents de gestion cibles affectés avec des opérations d’exportation intermédiaires.
Étape 4 : Appliquer votre configuration MIM complète
Une fois votre chargement initial de données terminé, vous devez appliquer la configuration MIM complète pour votre déploiement.
Selon vos scénarios, cette étape peut inclure la création d’ensembles, de MPR et de flux de travail supplémentaires. Pour toutes les stratégies que vous devez appliquer rétroactivement à tous les objets existants dans le système, utilisez le paramètre de mise à jour de stratégie d’exécution sur les workflows d’action pour appliquer ces stratégies rétroactivement sur les données chargées.
Étape 5 : Reconfigurer SQL en paramètres précédents
N’oubliez pas de remplacer le paramètre SQL par ses paramètres normaux. Ces modifications sont notamment les suivantes :
Activation de la recherche en texte intégral
Mise à jour de votre stratégie de sauvegarde par stratégie d’organisation
Une fois que vous avez terminé le chargement initial des données, vous devez réactiver la recherche en texte intégral. Exécutez les instructions SQL suivantes pour réactiver la recherche en texte intégral :
ALTER FULLTEXT INDEX ON [fim].[ObjectValueString] SET CHANGE_TRACKING = AUTO
ALTER FULLTEXT INDEX ON [fim].[ObjectValueXml] SET CHANGE_TRACKING = AUTO
Si vous devez passer en mode de récupération simple, veillez à reconfigurer votre planification de sauvegarde conformément à la stratégie de sauvegarde de votre organisation. Des détails supplémentaires sur les planifications de sauvegarde FIM sont disponibles dans le guide de sauvegarde et de restauration FIM .
Migration de la configuration
Éviter de modifier les noms d’affichage
Pour de nombreux types d’objets tels que les MPR, le script syncproduction.ps1 utilise le nom complet comme seul attribut d’ancrage entre deux systèmes. Par conséquent, une modification du nom complet d’un MPR existant entraîne la suppression du MPR existant, suivie de la création d’un nouveau MPR. Ce résultat se produit parce que le processus de migration ne peut pas joindre correctement les MPR dont les critères de jointure ont changé. Pour éviter ce problème, vous pouvez lier un attribut personnalisé à tous les types d’objets de configuration et utiliser cet attribut comme critères de jointure. Ce processus vous permet de modifier les noms d’affichage sans affecter le processus de migration.
Éviter de modifier le contenu des fichiers intermédiaires
Bien que le format de fichier et l’interface de programmation d’application (API) des objets de bas niveau soient publics et que les manipulations sont prises en charge par les développeurs, nous vous déconseillons de modifier le contenu des formats intermédiaires pendant la migration. Toutefois, il peut être nécessaire de supprimer l’intégralité des ImportObjects de changes.xml ou d’effectuer des opérations de recherche et de remplacement sur pilot.xml pour remplacer les numéros de version ou les informations DNS (Domain Name System) pilote pour les informations DNS de production.
Vérifiez que le numéro de version est correct dans pilot.xml lors de la migration entre les versions
Bien que les migrations entre les numéros de version ne soient pas recommandées ou prises en charge, vous pouvez souvent effectuer cette migration en remplaçant le numéro de version pilote par le numéro de version de production dans pilot.xml. Plus précisément, WorkflowDefinition et
Les objets ActivityInformationConfiguration nécessitent le numéro de version pour faire référence précisément aux activités de flux de travail dans l’environnement de production. L’échec du remplacement du numéro de version entraîne l'Compare-FIMConfig applet de commande identifiant les différences entre les attributs XOML (Extensible Object Markup Language) sur WorkflowDefinitions et la migration du numéro de version du pilote. Le service FIM de production peut ne pas démarrer les activités de flux de travail avec le numéro de version incorrect.
Éviter les références cycliques
En général, les références cycliques ne sont pas recommandées dans une configuration MIM. Toutefois, des cycles se produisent parfois lorsque Set A fait référence à Set B et Set B fait également référence à Set A. Pour éviter les problèmes liés aux références cycliques, vous devez modifier la définition de Set A ou Set B afin qu’ils ne fassent pas référence les uns aux autres. Ensuite, redémarrez le processus de migration. Si vous avez des références cycliques et que l’applet de commande Compare-FIMConfig génère une erreur en conséquence, il est nécessaire de rompre le cycle manuellement. Étant donné que l’applet de commande Compare-FIMConfig génère une liste de modifications dans l’ordre de priorité, il faut qu’aucun cycle n’existe parmi les références d’objets de configuration.
Sécurité
Compte MIM MA
Le compte MIM MA n’est pas considéré comme un compte de service et doit être un compte d’utilisateur standard. Les comptes doivent être en mesure de se connecter localement afin que le compte de service de synchronisation FIM puisse emprunter l’identité.
Pour permettre au compte MIM MA de se connecter localement
Cliquez sur Démarrer, sur Outils d’administration, puis sur Stratégie de sécurité locale.
Ouvrez le nœud Stratégies locales, puis cliquez sur Attribution des droits utilisateur.
Dans la stratégie Autoriser l’ouverture de session localement, vérifiez que le compte MA FIM est explicitement spécifié ou ajoutez-le à l’un des groupes déjà autorisés à accéder.
Comptes fiM Synchronization Service et FIM Services
Pour configurer les serveurs exécutant les composants du serveur MIM de manière sécurisée, les comptes de service doivent être restreints. À l’aide de la procédure précédente pour activer le compte MIM MA, définissez les restrictions suivantes sur le service de synchronisation FIM et les comptes de service FIM :
Refuser l’ouverture de session en tant que tâche de traitement par lots
Refuser l’ouverture de session localement
Interdire l’accès à cet ordinateur à partir du réseau
Les comptes de service ne doivent pas être membres du groupe Administrateurs locaux.
Le compte de service de service de synchronisation FIM ne doit pas être membre des groupes de sécurité utilisés pour contrôler l’accès au service de synchronisation FIM (groupes commençant par FIMSync, par exemple, FIMSyncAdmins, etc.).
Important
Si vous sélectionnez les options permettant d’utiliser le même compte pour les deux comptes de service et que vous séparez le service FIM et le service de synchronisation FIM, vous ne pouvez pas définir l’accès refuser à cet ordinateur à partir du réseau sur le serveur du service de synchronisation mms. Si l’accès est refusé, cela empêcherait le service FIM de contacter le service de synchronisation FIM pour modifier la configuration et gérer les mots de passe.
La réinitialisation de mot de passe déployée sur des ordinateurs de type kiosque doit définir la sécurité locale pour effacer le fichier de page de mémoire virtuelle
Lors du déploiement de la réinitialisation de mot de passe FIM sur une station de travail destinée à être un kiosque, nous vous recommandons d’activer le paramètre de stratégie de sécurité locale Shutdown: Clear virtual memory pagefile pour vous assurer que les informations sensibles de la mémoire du processus ne sont pas disponibles pour les utilisateurs non autorisés.
Implémentation du protocole SSL pour le portail FIM
Il est vivement recommandé d’utiliser ssl (Secure Sockets Layer) sur le serveur du portail FIM pour sécuriser le trafic entre les clients et le serveur.
Pour implémenter SSL :
Sur le serveur du portail MIM, ouvrez le Gestionnaire IIS.
Cliquez sur le nom de l’ordinateur local.
Cliquez sur Certificats de serveur.
Cliquez sur Créer une demande de certificat.
Dans la zone de texte Nom commun, entrez le nom du serveur.
Cliquez sur Suivant, puis sur Suivant.
Enregistrez le fichier à n’importe quel emplacement. Vous devrez accéder à cet emplacement dans les étapes suivantes.
Accédez à https://servername/certsrv. Remplacez le nom du serveur par le nom du serveur qui émet des certificats.
Cliquez sur Demander un nouveau certificat.
Cliquez sur Envoyer une demande avancée.
Cliquez sur Envoyer une demande de certificat à l’aide d’une requête encodée en base 64.
Collez le contenu du fichier que vous avez enregistré à l’étape précédente.
Dans le modèle de certificat, sélectionnez Serveur web.
Cliquez sur Envoyer.
Enregistrez le certificat sur votre bureau.
Dans le Gestionnaire IIS, cliquez sur Terminer la demande de certification.
Pointez le Gestionnaire IIS vers le certificat que vous venez d’enregistrer sur le bureau.
Pour le nom convivial, tapez le nom du serveur.
Cliquez sur Sites, puis sélectionnez SharePoint – 80.
Cliquez sur Liaisons, puis sur Ajouter.
Sélectionnez https.
Pour le certificat, sélectionnez celui qui porte le même nom que le serveur, le certificat que vous venez d’importer.
Cliquez sur OK.
Supprimez la liaison HTTP.
Cliquez sur Paramètres SSL, puis cochez Exiger SSL.
Enregistrez les paramètres.
Cliquez sur Démarrer, cliquez sur Outils d’administration, puis sur Administration centrale de SharePoint 3.0.
Cliquez sur Opérations, puis sur Mappages d’accès alternatifs.
Cliquer https://servername.
Remplacez https://servername par https://servername, puis cliquez sur OK.
Cliquez sur Démarrer, sur Exécuter, tapez iisreset, puis cliquez sur OK.
Performances
Pour une configuration optimale des performances :
Appliquez les meilleures pratiques de configuration SQL, comme décrit dans la section installation de SQL dans ce document.
Désactivez l’indexation SharePoint sur le site du portail MIM. Pour plus d’informations, consultez la section Désactiver l’indexation SharePoint.
Meilleures pratiques spécifiques aux fonctionnalités
Gestion des demandes
Par défaut, MIM 2016 vide les objets système expirés, ce qui inclut les demandes terminées avec les approbations, les réponses d’approbation et les instances de flux de travail associées à un intervalle de 30 jours. Si votre organisation a besoin d’un historique de demandes plus long, vous devez exporter des demandes de MIM et les stocker dans une base de données auxiliaire pour les conserver au-delà de la fenêtre de 30 jours. Bien que la fenêtre de suppression de demande de 30 jours soit configurable, l’extension de cette fenêtre peut avoir un impact négatif sur les performances en raison des objets supplémentaires dans le système.
Règles de stratégie de gestion
Utiliser le type MPR approprié
MIM fournit deux types de MPR, de requête et de transition de définition :
Demande MPR (RMPR)
- Permet de définir la stratégie de contrôle d’accès (authentification, autorisation et action) pour les opérations créer, lire, mettre à jour ou supprimer (CRUD) sur des ressources,
- Appliqué lorsqu’une opération CRUD est émise sur une ressource cible dans MIM et
- Délimité par les critères correspondants définis dans la règle, c’est-à-dire à laquelle CRUD demande la règle.
Définir le MPR de transition (TMPR)
- Permet de définir des stratégies, quelle que soit la façon dont l’objet a entré l’état actuel représenté par le jeu de transitions. Utilisez TMPR pour modéliser les stratégies de droits d’utilisation.
- Appliqué lorsqu’une ressource entre ou quitte un jeu associé et
- Étendue aux membres du jeu.
Remarque
Pour plus d’informations, consultez Conception de règles de stratégie métier.
Activer uniquement les MPR si nécessaire
Utilisez le principe du privilège minimum lors de l’application de votre configuration. Les MPR contrôlent la stratégie d’accès à votre déploiement MIM. Activez uniquement les fonctionnalités utilisées par la plupart de vos utilisateurs. Par exemple, tous les utilisateurs n’utilisent pas MIM pour la gestion de groupe. Par conséquent, les MPR d’administration de groupe associés doivent être désactivés. Par défaut, MIM est fourni avec la plupart des autorisations non-administrateur désactivées.
Dupliquer des MPR intégrés au lieu de modifier directement
Lorsque vous avez besoin de modifier les MPR intégrés, vous devez créer un MPR avec la configuration requise et désactiver le MPR intégré. La création de ce nouveau MPR garantit que les modifications futures apportées aux MPR intégrés introduites par le biais du processus de mise à niveau n’ont pas d’impact négatif sur la configuration de votre système.
Les autorisations de l’utilisateur final doivent utiliser des listes d’attributs explicites délimitées aux besoins professionnels des utilisateurs
L’utilisation de listes d’attributs explicites permet d’empêcher l’octroi accidentel d’autorisations à des utilisateurs non privilégiés lorsque des attributs sont ajoutés à des objets. Les administrateurs doivent explicitement accorder l’accès aux nouveaux attributs au lieu d’essayer de supprimer l’accès.
L’accès aux données doit être limité aux besoins métier des utilisateurs. Par exemple, les membres du groupe ne doivent pas avoir accès à l’attribut de filtre du groupe dont ils sont membres. Le filtre peut révéler par inadvertance les données organisationnelles auxquelles l’utilisateur n’aurait normalement pas accès.
Les MPR doivent refléter des autorisations effectives dans le système
Évitez d’accorder des autorisations aux attributs que l’utilisateur ne peut jamais utiliser. Par exemple, vous ne devez pas accorder l’autorisation de modifier les attributs de ressource principaux tels que objectType. Malgré le MPR, toute tentative de modification du type d’une ressource après la création de la ressource est refusée par le système.
Les autorisations de lecture doivent être séparées des autorisations Modifier et Créer lors de l’utilisation d’attributs explicites dans des MPR
Lorsque vous répertoriez explicitement les attributs dans les MPR, les attributs requis pour Créer et Modifier sont généralement différents de ceux disponibles pour lecture. Par exemple, la lecture peut être accordée sur des attributs système tels que Creator ou objectId, tandis que Create ou Modify ne peut pas être spécifié pour les attributs système.
Créer des autorisations doit être séparée des autorisations Modifier lors de l’utilisation d’attributs explicites dans des règles
L’opération Create nécessite que l’utilisateur sélectionne l’objectType dans le cadre de son opération. Cet attribut est un attribut système de base qui ne peut pas être modifié après une opération De création.
Utiliser un MPR de requête pour tous les attributs avec les mêmes exigences d’accès
Pour les attributs ayant les mêmes exigences d’accès que celles qui ne sont pas censées changer, vous pouvez les combiner en un seul MPR de requête pour plus d’efficacité.
Éviter d’accorder un accès illimité même aux groupes principaux sélectionnés
Dans MIM, les autorisations sont définies comme une assertion positive. Étant donné que MIM ne prend pas en charge les autorisations Refuser, l’octroi d’un accès illimité à une ressource complique la fourniture d’exclusions dans les autorisations. En guise de meilleure pratique, accordez uniquement les autorisations nécessaires.
Utiliser des TMPR pour définir des droits personnalisés
Utilisez définir des mprs de transition (TMPR) au lieu de RMPR pour définir des droits personnalisés. Les TMPR fournissent un modèle basé sur l’état pour attribuer ou supprimer des droits en fonction de l’appartenance aux jeux de transition ou rôles définis et aux activités de flux de travail associées. Les TMPR doivent toujours être définis en paires, une pour la transition des ressources et une pour la transition des ressources. En outre, chaque MPR de transition doit contenir des flux de travail distincts pour l’approvisionnement et la déprovisionnement des activités.
Remarque
Tout flux de travail de déprovisionnement doit s’assurer que l’attribut Run On Policy Update a la valeur true.
Activer la transition définie dans MPR en dernier
Lors de la création d’une paire TMPR, activez la dernière option Définir la transition dans MPR. Cet ordre garantit qu’aucune ressource n’est laissée avec le droit s’il est ajouté à l’ensemble et supprimé de l’ensemble pendant que le MPR est activé, mais avant que le MPR out ne soit activé.
Les flux de travail dans TMPR doivent d’abord vérifier l’état de la ressource cible
Les flux de travail d’approvisionnement doivent d’abord vérifier si la ressource cible a déjà été provisionnée conformément au droit. Si c’est le cas, il ne devrait rien faire.
Le déprovisionnement des flux de travail doit d’abord vérifier si la ressource cible a été provisionnée. Si c’est le cas, il doit déprovisionner la ressource cible. Sinon, il ne devrait rien faire.
Sélectionner Exécuter sur la mise à jour de stratégie pour les TMPR
Ce paramètre garantit que le comportement d’approvisionnement correct s’applique lorsque les mises à jour de stratégie sont implémentées et utilisent l’indicateur de mise à jour de stratégie RunOn sur les flux de travail d’action associés aux TMPR, et que les modifications apportées aux définitions de stratégie appliquent les flux de travail d’action aux nouveaux membres du jeu de transition.
Évitez d’associer le même droit à deux jeux de transition différents
L’association du même droit à deux jeux de transition différents peut entraîner une révocation inutile et une nouvelle octroi de droits si la ressource passe d’un ensemble à l’autre. En guise de meilleure pratique, assurez-vous qu’un ensemble contient toutes les ressources qui nécessitent le droit associé. Cette procédure garantit une relation un-à-un entre le jeu de transition et le droit d’octroi du flux de travail.
Utiliser une séquence appropriée d’opérations lors de la suppression des droits dans le système
L’ordre des étapes effectuées lors de la suppression des droits dans le système peut entraîner deux résultats opérationnels différents. Vérifiez que vous comprenez quel ordre s’applique à l’effet souhaité.
Pour supprimer un droit du système (et le révoquer de tous les membres détenant actuellement le droit) :
Désactivez le MPR T-In. Cette modification évite les nouvelles subventions.
Supprimez le filtre T-Set ou modifiez-le afin que l’ensemble soit vide. Cela entraîne la transition de tous les membres existants et l’application de la stratégie de transition sortante, y compris les flux de travail de déprovisionnement configurés associés au droit d’utilisation.
Désactivez le MPR T-Out.
Pour supprimer un droit, mais laisser les membres actuels seuls (par exemple, arrêter d’utiliser MIM pour gérer le droit) :
Désactivez le MPR T-In. Cette modification évite les nouvelles subventions.
Désactivez le MPR T-Out.
Supprimez le filtre T-Set ou modifiez-le afin que l’ensemble soit vide. Étant donné que l’ensemble n’est plus lié à un TMPR, aucun flux de travail de déprovisionnement n’est appliqué.
Ensembles
Lorsque vous appliquez les meilleures pratiques pour les ensembles, vous devez prendre en compte l’impact des optimisations sur la facilité de gestion et la facilité d’administration future. Les tests appropriés à l’échelle de production attendue doivent être effectués pour identifier le bon équilibre entre les performances et la facilité de gestion avant d’appliquer ces recommandations.
Remarque
Toutes les instructions suivantes s’appliquent aux jeux dynamiques et aux groupes dynamiques.
Réduire l’utilisation de l’imbrication dynamique
Cela fait référence au filtre d’un jeu référençant l’attribut ComputedMember d’un autre jeu. Une raison courante pour l’imbrication des jeux consiste à éviter de dupliquer une condition d’appartenance dans de nombreux ensembles. Bien que cette approche puisse entraîner une meilleure facilité de gestion des ensembles, il existe un compromis des performances. Vous pouvez optimiser les performances en dupliquant les conditions d’appartenance d’un ensemble imbriqué au lieu d’imbriquer l’ensemble lui-même.
Vous pouvez rencontrer des cas où vous ne pouvez pas éviter l’imbrication de jeux pour répondre à une exigence fonctionnelle. Il s’agit des situations principales où vous devez imbriquer des ensembles. Par exemple, pour définir l’ensemble de tous les groupes sans Full-Time propriétaires d’employés, l’imbrication des ensembles doit être utilisée comme suit : /Group[not(Owner = /Set[ObjectID = ‘X’]/ComputedMember], où « X » est l’ObjectID de l’ensemble d’employés à temps plein.
Réduire l’utilisation de conditions négatives
Les conditions négatives sont les conditions d’appartenance qui utilisent les opérateurs ou fonctions suivants : !=, not(), \< , \<=. Pour optimiser les performances, dans la mesure du possible, exprimez la condition souhaitée avec plusieurs conditions positives plutôt que comme condition négative.
Réduire l’utilisation des conditions d’appartenance en fonction des attributs de référence à valeurs multiples
L’utilisation de conditions basées sur des attributs de référence à valeurs multiples doit être réduite, car un grand nombre de ces jeux peut affecter les performances des opérations sur l’attribut utilisé dans la condition d’appartenance.
Réinitialisation de mot de passe
Les ordinateurs de type kiosque utilisés pour la réinitialisation de mot de passe doivent définir la sécurité locale pour effacer le fichier de page de mémoire virtuelle
Lors du déploiement de la réinitialisation de mot de passe MIM sur une station de travail destinée à être un kiosque, nous vous recommandons d’activer le paramètre de stratégie de sécurité locale du fichier de mémoire virtuelle de mémoire virtuelle : effacer le paramètre de stratégie de sécurité locale du fichier de mémoire virtuelle pour s’assurer que les informations sensibles de la mémoire du processus ne sont pas disponibles pour les utilisateurs non autorisés.
Les utilisateurs doivent toujours s’inscrire à une réinitialisation de mot de passe sur un ordinateur auquel ils sont connectés
Lorsqu’un utilisateur tente de s’inscrire à la réinitialisation de mot de passe via un portail Web, MIM lance toujours l’inscription pour le compte de l’utilisateur connecté, quel que soit l’utilisateur connecté au site Web. Les utilisateurs doivent toujours s’inscrire à une réinitialisation de mot de passe sur un ordinateur auquel ils sont connectés.
Ne définissez pas la clé de Registre AvoidPdcOnWan sur true
Lorsque vous utilisez la réinitialisation du mot de passe MIM 2016, ne définissez pas la clé de Registre AvoidPdcOnWan sur true.
Si cette clé de Registre est définie sur true, l’utilisateur passe très probablement par les portes de mot de passe, a sa réinitialisation de mot de passe sur le contrôleur de domaine principal (PDC) et tente de se connecter. En raison de cette clé de Registre, le contrôleur de domaine local n’effectue pas la validation secondaire avec le contrôleur de domaine principal, refusant donc la demande d’ouverture de session. Si l’utilisateur est refusé suffisamment de fois, il peut être verrouillé hors du domaine et doit appeler le support technique.
Ne pas activer la journalisation des mots de passe en texte clair
Il est possible de journaliser les mots de passe en texte clair lors de l’activation du suivi au niveau du service de diagnostic dans Windows
Communication Foundation (WCF). Cette option n’est pas activée par défaut et vous êtes déconseillé de l’activer dans les environnements de production. Ces mots de passe sont visibles en tant qu’éléments en texte clair dans un message SOAP (Simple Object Access Protocol) chiffré lorsque les utilisateurs s’inscrivent pour la réinitialisation du mot de passe. Pour plus d’informations, consultez Configuration de la journalisation des messages.
Ne mappez pas un flux de travail d’autorisation au processus de réinitialisation de mot de passe
Vous ne devez pas attacher un flux de travail d’autorisation à une opération de réinitialisation de mot de passe. La réinitialisation de mot de passe nécessite une réponse synchrone et des flux de travail d’autorisation qui contiennent des activités telles que l’activité d’approbation sont asynchrones.
Ne pas mapper plusieurs activités d’action à la réinitialisation de mot de passe
Vous ne devez pas attacher un flux de travail qui contient plusieurs activités d’action à une opération de réinitialisation de mot de passe. Un exemple de scénario consiste à attacher une deuxième activité de réinitialisation de mot de passe AD DS à un MPR de réinitialisation de mot de passe. Ce scénario n'est pas pris en charge.
Exiger une réinscription lors de l’ajout, de la suppression ou de la modification de l’ordre des activités dans un flux de travail existant
Lors de l’ajout, de la suppression ou de la modification de l’ordre des activités d’authentification dans un flux de travail existant, sélectionnez toujours l’option pour exiger une réinscription. Les utilisateurs qui tentent de s’authentifier pour la réinitialisation du mot de passe une fois qu’une activité a été ajoutée ou supprimée d’un flux de travail, mais avant de les réinscrire, peuvent rencontrer des effets indésirables.
Configuration du portail et configuration d’affichage du contrôle de ressources
Envisagez d’ajouter une clause d’exclusion de confidentialité à la page de profil utilisateur
Dans MIM, par défaut, certaines informations de profil utilisateur peuvent être affichées à d’autres utilisateurs. En guise de courtoisie pour les utilisateurs, les administrateurs doivent envisager d’ajouter du texte personnalisé cohérent avec les stratégies de leur entreprise à la page Profil utilisateur. Pour plus d’informations sur l’ajout de texte personnalisé à une page du portail MIM, consultez Présentation de configuration et personnalisation du portail FIM.
Schéma
Ne supprimez pas les types de ressources personne ou groupe
Bien que les types de ressources Personne et Groupe ne soient pas marqués comme types de ressources principaux, les ressources elles-mêmes ou les attributs qui leur sont attribués ne doivent pas être supprimés. L’interface utilisateur dans le portail MIM nécessite que les types de ressources Person et Group et leurs attributs soient présents.
Ne modifiez pas les attributs principaux
Il existe 13 attributs principaux attribués à tous les types de ressources. Vous ne devez en aucun cas modifier leur relation avec n’importe quel type de ressource. Les 13 attributs principaux sont les suivants :
CreatedTime
Créateur
DeletedTime
Description
DetectedRulesList • DisplayName
ExpectedRulesList
ExpirationTime
Paramètres régionaux
MVObjectID
ObjectID
ObjectType
ResourceTime
Ne supprimez pas la ressource de schéma avec une dépendance aux exigences d’audit
Vous ne devez pas supprimer vos ressources de schéma pendant que vous avez toujours des exigences d’audit pour ces ressources.
Respect de la casse des expressions régulières
Dans MIM, il peut être utile de rendre certaines expressions régulières insensibles à la casse. Vous pouvez ignorer le cas au sein d’un groupe à l’aide de ?!:. Par exemple, pour le type d’employé, utilisez
\^(?!:contractor\|full time employee)%.
Calcul de l’attribut membre
L’attribut Membre exposé au moteur de synchronisation est réellement mappé à ComputedMembers. Il s’agit d’une combinaison de membres basés sur des critères et de membres sélectionnés manuellement. Même si vous ajoutez les trois attributs (Filter, ExplicitMembers et ComputedMembers), le calcul dynamique de l’attribut membre ne se produit pas pour les types de ressources autres que pour le groupe et le jeu.
Les espaces de début et de fin dans les chaînes sont ignorés
Dans MIM, vous pouvez entrer des chaînes avec des espaces de début et de fin, mais le système MIM ignore ces espaces. Si vous envoyez une chaîne avec un espace de début et de fin, le moteur de synchronisation et les services Web ignorent ces espaces.
Les chaînes vides ne sont pas égales à Null
Les chaînes vides ne sont pas égales à null dans cette version de MIM. L’entrée de chaîne vide est considérée comme une valeur valide. Non présent est considéré comme une valeur Null.
Traitement des flux de travail et des demandes
Ne supprimez pas les flux de travail par défaut fournis avec MIM 2016
Les flux de travail suivants sont fournis avec MIM et ne doivent pas être supprimés :
Flux de travail d’expiration
Flux de travail de validation de filtre pour les administrateurs
Flux de travail de validation de filtre pour les non-administrateurs
Flux de travail de notification d’expiration de groupe
Flux de travail de validation de groupe
Flux de travail d’approbation du propriétaire
Workflow d’action de réinitialisation de mot de passe
Flux de travail d’authentification de réinitialisation de mot de passe
Validation du demandeur avec autorisation de propriétaire
Validation du demandeur sans autorisation de propriétaire
Flux de travail système requis pour l’inscription
N’exécutez pas deux ou plusieurs ApprobationActivities en parallèle
Vous ne devez pas exécuter deux ou plusieurs ApprobationActivities en parallèle. Cela peut entraîner le blocage de la demande dans la phase d’autorisation. Pour plusieurs approbations, incluez une plus grande liste d’approbateurs dans l’approbation ou séquencez les deux activités de retour en arrière.
Les activités d’autorisation ne doivent pas modifier les données de ressources MIM
Évitez d’utiliser des activités qui modifient les ressources MIM, telles que l’activité de l’évaluateur de fonction, dans le cadre des flux de travail d’autorisation. Étant donné que la demande n’a pas été validée lors du traitement du point d’autorisation, toutes les modifications apportées aux informations d’identité peuvent être appliquées malgré la demande éventuellement rejetée.
Présentation des partitions de service FIM
L’objectif de MIM est de traiter les demandes qui peuvent être initiées par différents clients MIM tels que le service de synchronisation FIM et les composants libre-service en fonction de vos stratégies métier configurées. Par conception, chaque instance de service FIM appartient à un groupe logique qui se compose d’une ou plusieurs instances de service FIM, également appelées partition de service FIM. Si vous n’avez qu’une seule instance de service FIM déployée pour gérer toutes les requêtes, il est possible que vous rencontriez des latences de traitement. Certaines opérations peuvent même dépasser les valeurs de délai d’expiration par défaut appropriées pour les opérations en libre-service. Les partitions de service FIM peuvent vous aider à résoudre ce problème.
Pour plus d’informations, consultez Understanding FIM Service Partitions.
Étapes suivantes
- guide de sauvegarde et de restauration FIM
- Vue d’ensemble du modèle de récupération .