Konwertowanie usług specyficznych dla programu Microsoft Identity Manager w celu korzystania z kont usług zarządzanych przez grupę

Ten artykuł zawiera przewodnik konfigurowania obsługiwanych usług programu Microsoft Identity Manager w celu korzystania z kont usług zarządzanych przez grupę (gMSA). Po wstępnie skonfigurowanym środowisku proces konwersji na gMSA jest łatwy.

Wymagania wstępne

• Pobierz i zainstaluj następującą wymaganą poprawkę: Microsoft Identity Manager 4.5.26.0 lub nowsza.

  Obsługiwane usługi:

  • Usługa synchronizacji programu Microsoft Identity Manager (FIMSynchronizationService)
  • Usługa Programu Microsoft Identity Manager (FIMService)
  • Rejestracja haseł w programie Microsoft Identity Manager
  • Resetowanie hasła programu Microsoft Identity Manager
  • Usługa monitorowania Zarządzania Uprzywilejowanym Dostępem (PAM) (PamMonitoringService)
  • Usługa składnika PAM (PrivilegeManagementComponentService)

  Nieobsługiwane usługi:

  • Portal programu Microsoft Identity Manager nie jest obsługiwany. Jest on częścią środowiska programu SharePoint i należy wdrożyć go w trybie farmy i Skonfigurować automatyczne zmienianie hasła w programie SharePoint Server.
  • Wszyscy agenci zarządzania z wyjątkiem agenta zarządzania usługą programu Microsoft Identity Manager
  • Zarządzanie certyfikatami firmy Microsoft
  • BHOLD

• Aby uzyskać ogólne informacje na temat konfigurowania środowiska, zobacz:

  • Omówienie kont usług zarządzanych przez grupę
  • Nowe-KontoUsługiAD

• Przed rozpoczęciem utwórz klucz główny usług dystrybucji kluczy na kontrolerze domeny systemu Windows. Pamiętaj o następujących informacjach:

  • Klucze główne są używane przez usługę usług dystrybucji kluczy (KDS) do generowania haseł i innych informacji na kontrolerach domeny.
  • Utwórz klucz główny tylko raz na domenę, jeśli jest potrzebny.
  • Uwzględnij Add-KDSRootKey –EffectiveImmediately. "-EffectiveImmediately" oznacza, że replikacja klucza głównego do wszystkich kontrolerów domeny może potrwać do 10 godzin. Replikacja do dwóch kontrolerów domeny może zająć około 1 godzinę.

Akcje do uruchomienia na kontrolerze domeny usługi Active Directory

1. Utwórz grupę o nazwie MIMSync_Servers i dodaj do niej wszystkie serwery synchronizacji.

   

2. Zaloguj się do programu Windows PowerShell jako administrator domeny przy użyciu konta, które jest już przyłączone do domeny, a następnie uruchom następujące polecenie:

   New-ADServiceAccount -Name MIMSyncGMSAsvc -DNSHostName MIMSyncGMSAsvc.contoso.com -PrincipalsAllowedToRetrieveManagedPassword "MIMSync_Servers"

   

   • Wyświetl szczegółowe informacje o gMSA na potrzeby synchronizacji:
     

   • Jeśli używasz usługi powiadamiania o zmianie hasła (PCNS), zaktualizuj delegowanie, uruchamiając następujące polecenie:

     Set-ADServiceAccount -Identity MIMSyncGMSAsvc -ServicePrincipalNames @{Add="PCNSCLNT/mimsync.contoso.com"}

Akcje uruchamiane na serwerze synchronizacji programu Microsoft Identity Manager

1. W programie Synchronization Service Manager wykonaj kopię zapasową klucza szyfrowania. Zostanie ona zażądana z instalacją trybu zmiany. Należy wykonać następujące czynności:

   a. Na serwerze, na którym jest zainstalowany program Synchronization Service Manager, poszukaj narzędzia do zarządzania kluczami usługi synchronizacji. Zestaw kluczy eksportu jest już zaznaczony domyślnie.

   b. Wybierz Dalej.

   c. Po wyświetleniu monitu wprowadź i sprawdź informacje o koncie usługi synchronizacji programu Microsoft Identity Manager lub Forefront Identity Manager (FIM):

   • Nazwa konta: nazwa konta usługi synchronizacji używanego podczas początkowej instalacji.
   • Hasło: hasło konta usługi synchronizacji.
   • Domena: domena, do którego należy konto usługi synchronizacji.

   d. Wybierz Dalej.

   Jeśli informacje o koncie zostały wprowadzone pomyślnie, możesz zmienić lokalizację docelową lub wyeksportować lokalizację pliku kopii zapasowej klucza szyfrowania. Domyślnie lokalizacja pliku eksportu to C:\Windows\system32\miiskeys-1.bin.

2. Zainstaluj poprawkę programu Microsoft Identity Manager 2016 SP1 lub nowszą, którą można znaleźć w centrum usługi licencjonowania zbiorowego lub witrynie pobierania MSDN. Po zakończeniu instalacji zapisz miiskeys.bin zestawu kluczy.

   

3. Zainstaluj poprawkę 4.5.2.6.0 lub nowszą.

4. Po zainstalowaniu poprawki zatrzymaj usługę synchronizacji programu FIM, wykonując następujące czynności:

   a. W Panelu sterowania wybierz pozycję Programy i funkcje>programu Microsoft Identity Manager.
   b. Na stronie Usługa synchronizacji wybierz pozycję Zmień>dalej.
   c. W oknie Opcje konserwacji wybierz pozycję Konfiguruj.

   

   d. W oknie Konfigurowanie usługi synchronizacji programu Microsoft Identity Manager wyczyść wartość domyślną w polu Konto usługi , a następnie wprowadź wartość MIMSyncGMSA$. Pamiętaj, aby dołączyć symbol znaku dolara ($), jak pokazano na poniższej ilustracji. Pozostaw puste pole Hasło .

   

   e. Wybierz pozycję Dalej>>Zainstaluj.
   f. Przywróć zestaw kluczy z zapisanego wcześniej pliku miiskeys.bin .

   

   

Usługa programu Microsoft Identity Manager

Ważne

Postępuj zgodnie z instrukcjami w tej sekcji uważnie podczas konwertowania kont związanych z usługą Microsoft Identity Manager na konta gMSA.

1. Tworzenie kont zarządzanych przez grupę dla usługi Microsoft Identity Manager, interfejsu API REST usługi PAM, usługi monitorowania PAM, usługi składnika PAM, samoobsługowego portalu rejestracji resetowania hasła (SSPR) i portalu resetowania samoobsługowego resetowania hasła.

   • Zaktualizuj delegowanie gMSA i nazwę główną usługi (SPN):

     • Set-ADServiceAccount -Identity \<account\> -ServicePrincipalNames @{Add="\<SPN\>"}

   • Delegacja:

     • Set-ADServiceAccount -Identity \<gmsaaccount\> -TrustedForDelegation $true

   • Delegowanie z ograniczeniami

     • $delspns = 'http/mim', 'http/mim.contoso.com'
     • New-ADServiceAccount -Name \<gmsaaccount\> -DNSHostName \<gmsaaccount\>.contoso.com -PrincipalsAllowedToRetrieveManagedPassword \<group\> -ServicePrincipalNames $spns -OtherAttributes @{'msDS-AllowedToDelegateTo'=$delspns }

2. Dodaj konto usługi Microsoft Identity Manager w grupach synchronizacji. Ten krok jest niezbędny w przypadku samoobsługowego resetowania hasła.

   

   Uwaga

   Znany problem w systemie Windows Server 2012 R2 polega na tym, że usługi korzystające z zarządzanego konta przestają odpowiadać po ponownym uruchomieniu serwera, ponieważ usługa dystrybucji kluczy firmy Microsoft nie jest uruchamiana po ponownym uruchomieniu systemu Windows. Obejściem tego problemu jest uruchomienie następującego polecenia:

   sc triggerinfo kdssvc start/networkon

   Polecenie uruchamia usługę dystrybucji kluczy firmy Microsoft, gdy sieć jest włączona (zazwyczaj na początku cyklu rozruchowego).

   Aby zapoznać się z omówieniem podobnego problemu, zobacz AD FS Windows 2012 R2: adfssrv zawiesza się w trybie uruchamiania.

3. Uruchom podwyższony MSI usługi Microsoft Identity Manager, a następnie wybierz opcję Zmień.

4. W oknie Konfigurowanie połączenia z serwerem poczty wybierz pole wyboru Użyj innego użytkownika dla programu Exchange (dla kont zarządzanych). Masz możliwość korzystania z bieżącego konta programu Exchange lub skrzynki pocztowej w chmurze.

   Uwaga

   Jeśli wybierzesz opcję Użyj usługi Exchange Online , aby włączyć usługę Microsoft Identity Manager do przetwarzania odpowiedzi zatwierdzenia z dodatku Programu Outlook programu Microsoft Identity Manager, ustaw klucz rejestru HKLM\SYSTEM\CurrentControlSet\Services\FiMService wartości PollExchangeEnabled na 1 po instalacji.

   

5. W oknie Konfigurowanie konta usługi PROGRAMU MIM w polu Nazwa konta usługi wprowadź nazwę. Pamiętaj, aby dołączyć symbol znaku dolara ($). Wprowadź również hasło w polu Hasło konta e-mail usługi . Pole Hasło konta usługi powinno być niedostępne.

   

   Ponieważ funkcja LogonUser nie działa w przypadku kont zarządzanych, na następnej stronie zostanie wyświetlone ostrzeżenie "Sprawdź, czy konto usługi jest bezpieczne w bieżącej konfiguracji".

   

6. W oknie Konfigurowanie interfejsu API REST usługi Privileged Access Management w polu Nazwa konta puli aplikacji wprowadź nazwę konta. Pamiętaj, aby dołączyć symbol znaku dolara ($). Pozostaw puste pole Hasło konta puli aplikacji.

   

7. W oknie Konfigurowanie usługi składnika PAM w polu Nazwa konta usługi wprowadź nazwę konta. Pamiętaj, aby dołączyć symbol znaku dolara ($). Pozostaw puste pole Hasło konta usługi .

   

   

8. W oknie Konfigurowanie usługi monitorowania dostępu uprzywilejowanego w polu Nazwa konta usługi wpisz nazwę konta usługi. Pamiętaj, aby dołączyć symbol znaku dolara ($). Pozostaw puste pole Hasło konta usługi .

   

9. W oknie Konfigurowanie portalu rejestracji haseł programu MIM w polu Nazwa konta wprowadź nazwę konta. Pamiętaj, aby dołączyć symbol znaku dolara ($). Pozostaw puste pole Hasło .

   

10. W oknie Konfigurowanie portalu resetowania hasła programu MIM w polu Nazwa konta wprowadź nazwę konta. Pamiętaj, aby dołączyć symbol znaku dolara ($). Pozostaw puste pole Hasło .

    

11. Ukończ instalację.

    Uwaga

    Podczas instalacji dwa nowe klucze są tworzone w ścieżce rejestru HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Forefront Identity Manager\2010\Service do przechowywania zaszyfrowanego hasła programu Exchange. Jeden wpis jest przeznaczony dla exchangeOnline, a drugi to ExchangeOnPremise. W przypadku jednego z wpisów wartość w kolumnie Dane powinna być pusta.

    

Aby zaktualizować hasło do przechowywanych kont bez konieczności uruchamiania trybu zmiany, pobierz ten skrypt programu PowerShell.

Aby zaszyfrować hasło programu Exchange, instalator tworzy dodatkową usługę i uruchamia ją na koncie zarządzanym. Podczas instalacji w dzienniku zdarzeń aplikacji są dodawane następujące komunikaty: