Convertire i servizi specifici di Microsoft Identity Manager per l'uso di account del servizio gestiti di gruppo

Questo articolo è una guida per configurare i servizi Microsoft Identity Manager supportati per l'uso di account del servizio gestiti di gruppo (gMSA). Dopo che l'ambiente è stato configurato, il processo di conversione in gMSA è facile.

Prerequisiti

• Scaricare e installare questo hotfix necessario: Microsoft Identity Manager 4.5.26.0 o versione successiva.

  Servizi supportati:

  • Servizio di sincronizzazione di Microsoft Identity Manager (FIMSynchronizationService)
  • Servizio Microsoft Identity Manager (FIMService)
  • Registrazione password di Microsoft Identity Manager
  • Reimpostazione password di Microsoft Identity Manager
  • Servizio di monitoraggio Privileged Access Management (PAM) (PamMonitoringService)
  • Servizio componenti PAM (PrivilegeManagementComponentService)

  Servizi non supportati:

  • Il portale di Microsoft Identity Manager non è supportato. Il portale fa parte dell'ambiente SharePoint ed è necessario distribuirlo in modalità farm e configurare la modifica automatica della password in SharePoint Server.
  • Tutti gli agenti di gestione ad eccezione di quello del servizio Microsoft Identity Manager
  • Gestione certificati Microsoft
  • BHOLD

• Per informazioni di carattere generale e di riferimento sulla configurazione dell'ambiente, vedere:

  • Panoramica degli account del servizio gestiti del gruppo
  • New-ADServiceAccount

• Prima di iniziare, creare la chiave radice del servizio distribuzione chiavi nel controller di dominio Windows. Tenere presente quanto segue:

  • Il servizio distribuzione chiavi usa le chiavi radice per generare password e altre informazioni nei controller di dominio.
  • Creare una chiave radice una sola volta per dominio, se necessario.
  • Includere Add-KDSRootKey –EffectiveImmediately. "–EffectiveImmediately" indica che la replica della chiave radice in tutti i controller di dominio può richiedere fino a 10 ore. La replica in due controller di dominio può richiedere circa un'ora.

Azioni da eseguire nel controller di dominio di Active Directory

1. Creare un gruppo denominato MIMSync_Servers e aggiungere tutti i server di sincronizzazione.

   

2. Accedere a Windows PowerShell come amministratore di dominio con un account già aggiunto al dominio e quindi eseguire il comando seguente:

   New-ADServiceAccount -Name MIMSyncGMSAsvc -DNSHostName MIMSyncGMSAsvc.contoso.com -PrincipalsAllowedToRetrieveManagedPassword "MIMSync_Servers"

   

   • Visualizzare i dettagli dell'account gMSA per la sincronizzazione:
     

   • Se il servizio di notifica di modifica della password è in esecuzione, aggiornare la delega eseguendo il comando seguente:

     Set-ADServiceAccount -Identity MIMSyncGMSAsvc -ServicePrincipalNames @{Add="PCNSCLNT/mimsync.contoso.com"}

Azioni da eseguire nel server di sincronizzazione di Microsoft Identity Manager

1. In Synchronization Service Manager eseguire un backup della chiave di crittografia. Verrà richiesta con l'installazione in modalità di modifica. Eseguire le operazioni seguenti:

   a. Nel server in cui è installato Synchronization Service Manager cercare lo strumento di gestione delle chiavi del servizio di sincronizzazione. Il set di chiavi Esporta è già selezionato per impostazione predefinita.

   b. Selezionare Avanti.

   c. Al prompt, immettere e verificare le informazioni relative all'account del servizio di sincronizzazione di Microsoft Identity Manager o Forefront Identity Manager (FIM):

   • Nome account: nome dell'account del servizio di sincronizzazione usato durante l'installazione iniziale.
   • Password: password dell'account del servizio di sincronizzazione.
   • Dominio: dominio di cui fa parte l'account del servizio di sincronizzazione.

   d. Selezionare Avanti.

   Se le informazioni relative all'account sono state immesse correttamente sarà possibile modificare la destinazione o il percorso del file di esportazione della chiave di crittografia di backup. Per impostazione predefinita, il percorso del file di esportazione è C:\Windows\system32\miiskeys-1.bin.

2. Installare Microsoft Identity Manager 2016 SP1 o un hotfix successivo, disponibile nel Centro servizi per contratti multilicenza o nel sito dei download MSDN. Al termine dell'installazione, salvare il set di chiavi miiskeys.bin.

   

3. Installare l'hotfix 4.5.2.6.0 o versione successiva.

4. Dopo l'installazione della patch, arrestare il servizio di sincronizzazione FIM nel modo seguente:

   a. Nel Pannello di controllo selezionare Programmi e funzionalità>Microsoft Identity Manager.
   b. Nella pagina Servizio di sincronizzazione selezionare Modifica>Avanti.
   c. Nella finestra Opzioni di manutenzione selezionare Configura.

   

   d. Nella finestra Configure Microsoft Identity Manager Synchronization Service (Configura servizio di sincronizzazione di Microsoft Identity Manager) cancellare il valore predefinito nella casella Service account (Account del servizio) e quindi immettere MIMSyncGMSA$ . Assicurarsi di includere il simbolo del dollaro ($), come illustrato nella figura riportata di seguito. Lasciare vuota la casella Password.

   

   e. Selezionare Avanti>Avanti>Installa.
   f. Ripristinare il set di chiavi dal file miiskeys.bin salvato in precedenza.

   

   

Servizio Microsoft Identity Manager

Importante

Durante la conversione di account correlati al servizio Microsoft Identity Manager in account gMSA seguire attentamente le istruzioni riportate in questa sezione.

1. Creare account gestiti di gruppo per il servizio Microsoft Identity Manager, l'API Rest PAM, il servizio di monitoraggio PAM, il servizio componenti PAM, il portale di registrazione per la reimpostazione della password self-service (SSPR) e il portale di reimpostazione SSPR.

   • Aggiornare la delega gMSA e il nome dell'entità servizio (SPN):

     • Set-ADServiceAccount -Identity \<account\> -ServicePrincipalNames @{Add="\<SPN\>"}

   • Delega:

     • Set-ADServiceAccount -Identity \<gmsaaccount\> -TrustedForDelegation $true

   • Delega vincolata:

     • $delspns = 'http/mim', 'http/mim.contoso.com'
     • New-ADServiceAccount -Name \<gmsaaccount\> -DNSHostName \<gmsaaccount\>.contoso.com -PrincipalsAllowedToRetrieveManagedPassword \<group\> -ServicePrincipalNames $spns -OtherAttributes @{'msDS-AllowedToDelegateTo'=$delspns }

2. Aggiungere un account per il servizio Microsoft Identity Manager nei gruppi di sincronizzazione. Questo passaggio è necessario per la reimpostazione della password self-service.

   

   Nota

   Un problema noto in Windows Server 2012 R2 è il blocco delle risposte dei servizi che usano un account gestito dopo il riavvio del server. Ciò si verifica perché il servizio distribuzione chiavi Microsoft non viene avviato dopo il riavvio di Windows. La soluzione alternativa per questo problema consiste nell'eseguire il comando seguente:

   sc triggerinfo kdssvc start/networkon

   Il comando avvia il servizio distribuzione chiavi Microsoft quando la rete è attiva (in genere all'inizio del ciclo di avvio).

   Per una discussione su un problema simile, vedere AD FS Windows 2012 R2: adfssrv hangs in starting mode (AD FS Windows 2012 R2: adfssrv si blocca in modalità di avvio).

3. Eseguire MSI con privilegi elevati per il servizio Microsoft Identity Manager e selezionare Modifica.

4. Nella finestra Configure mail server connection (Configura connessione al server di posta) selezionare la casella di controllo Use different user for Exchange (for managed accounts) (Usa un utente diverso per Exchange, per account gestiti). Si potrà scegliere di usare l'account di Exchange corrente o la cassetta postale cloud.

   Nota

   Se si seleziona l'opzione Use Exchange Online (Usa Exchange Online), per abilitare il servizio Microsoft Identity Manager a elaborare le risposte di approvazione dal componente aggiuntivo Microsoft Identity Manager per Outlook, impostare il valore della chiave del Registro di sistema HKLM\SYSTEM\CurrentControlSet\Services\FIMServicePollExchangeEnabled su 1 dopo l'installazione.

   

5. Nella casella Service Account Name (Nome account servizio) della finestra Configure the MIM service account (Configura l'account del servizio MIM) immettere il nome. Assicurarsi di includere il simbolo del dollaro ($). Immettere anche una password nella casella Service Email Account Password (Password account di posta elettronica del servizio). La casella Service Account Password (Password account del servizio) risulta non disponibile.

   

   Dal momento che la funzione LogonUser non funziona per gli account gestiti, la pagina successiva visualizzerà l'avviso "Please check if Service Account is secure in its current configuration." (Controllare se l'account del servizio è sicuro nella configurazione corrente).

   

6. Nella casella Application Pool Account Name (Nome account del pool di applicazioni) della finestra Configure Privileged Access Management REST API (Configura l'API REST Privileged Access Management) immettere il nome dell'account. Assicurarsi di includere il simbolo del dollaro ($). Lasciare vuota la casella Application Pool Account Password (Password account del pool di applicazioni).

   

7. Nella casella Service Account Name (Nome account servizio) della finestra Configure PAM Component Service (Configura il servizio componenti PAM) immettere il nome dell'account. Assicurarsi di includere il simbolo del dollaro ($). Lasciare vuota la casella Service Account Password (Password account del servizio).

   

   

8. Nella casella Service Account Name (Nome account servizio) della finestra Configure the Privileged Access Management Monitoring Service (Configura il servizio di monitoraggio Privileged Access Management) digitare il nome dell'account del servizio. Assicurarsi di includere il simbolo del dollaro ($). Lasciare vuota la casella Service Account Password (Password account del servizio).

   

9. Nella casella Account Name (Nome account) della finestra Configure MIM Password Registration Portal (Configura il portale di registrazione password MIM) immettere il nome dell'account. Assicurarsi di includere il simbolo del dollaro ($). Lasciare vuota la casella Password.

   

10. Nella casella Account Name (Nome account) della finestra Configure MIM Password Reset Portal (Configura il portale di reimpostazione password MIM) immettere il nome dell'account. Assicurarsi di includere il simbolo del dollaro ($). Lasciare vuota la casella Password.

    

11. Completare l'installazione.

    Nota

    Durante l'installazione vengono create due nuove chiavi nel percorso del Registro di sistema HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Forefront Identity Manager\2010\Service per l'archiviazione della password di Exchange crittografata. Una voce è per ExchangeOnline e l'altra per ExchangeOnPremise. Per una delle voci, il valore nella colonna Dati deve essere vuoto.

    

Per aggiornare la password per gli account archiviati senza dover eseguire la modalità di modifica, scaricare questo script di PowerShell.

Per crittografare la password di Exchange, il programma di installazione crea un servizio aggiuntivo e lo esegue nel contesto dell'account gestito. I messaggi seguenti vengono aggiunti al log eventi dell'applicazione durante l'installazione: