Converter serviços específicos do Microsoft Identity Manager para usar contas de serviço gerenciado de grupo

Este artigo é um guia para configurar os serviços suportados do Microsoft Identity Manager para usar contas de serviço gerenciado de grupo (gMSA). Depois de pré-configurar seu ambiente, o processo de conversão para gMSA é fácil.

Pré-requisitos

• Transfira e instale a seguinte atualização de correção urgente obrigatória: Microsoft Identity Manager 4.5.26.0 ou posterior.

  Serviços suportados:

  • Serviço de sincronização do Microsoft Identity Manager (FIMSynchronizationService)
  • Serviço Microsoft Identity Manager (FIMService)
  • Registro de senha do Microsoft Identity Manager
  • Redefinição de senha do Microsoft Identity Manager
  • Serviço de Monitorização de Gestão de Acessos Privilegiados (PAM) (PamMonitoringService)
  • Serviço de componente PAM (PrivilegeManagementComponentService)

  Serviços não suportados:

  • O portal do Microsoft Identity Manager não é suportado. Ele faz parte do ambiente do SharePoint e seria necessário implantá-lo no modo de farm e configurar a alteração automática de senhas no SharePoint Server.
  • Todos os agentes de gerenciamento, exceto o agente de gerenciamento de serviços do Microsoft Identity Manager
  • Gerenciamento de Certificados Microsoft
  • BHOLD

• Para obter informações básicas e de referência geral sobre como configurar seu ambiente, consulte:

  • Visão geral das Contas de Serviço Gerenciado de Grupo
  • Novo-ContaDeServiçoAD

• Antes de começar, crie a chave raiz dos Serviços de Distribuição de Chaves no controlador de domínio do Windows. Tenha em mente as seguintes informações:

  • As chaves raiz são usadas pelo serviço Serviços de Distribuição de Chaves (KDS) para gerar senhas e outras informações em controladores de domínio.
  • Crie uma chave raiz apenas uma vez por domínio, se necessário.
  • Inclua Add-KDSRootKey –EffectiveImmediately. "–EffectiveImmediately" significa que pode levar até 10 horas para replicar a chave raiz para todos os controladores de domínio. Pode demorar cerca de 1 hora a replicar em dois controladores de domínio.

Ações a serem executadas no controlador de domínio do Ative Directory

1. Crie um grupo chamado MIMSync_Serverse adicione todos os servidores de sincronização a ele.

   

2. Inicie sessão no Windows PowerShell como um Administrador de Domínio com uma conta que já tenha aderido ao domínio e, em seguida, execute o seguinte comando:

   New-ADServiceAccount -Name MIMSyncGMSAsvc -DNSHostName MIMSyncGMSAsvc.contoso.com -PrincipalsAllowedToRetrieveManagedPassword "MIMSync_Servers"

   

   • Veja os detalhes do gMSA para sincronização:
     

   • Se você estiver executando o Serviço de Notificação de Alteração de Senha (PCNS), atualize a delegação executando o seguinte comando:

     Set-ADServiceAccount -Identity MIMSyncGMSAsvc -ServicePrincipalNames @{Add="PCNSCLNT/mimsync.contoso.com"}

Ações a serem executadas no servidor de Sincronização do Microsoft Identity Manager

1. No Gerenciador do Serviço de Sincronização, faça backup da chave de criptografia. Será solicitado durante a instalação do modo de alteração. Faça o seguinte:

   a) No servidor em que o Gerenciador de Serviço de Sincronização está instalado, procure a ferramenta Gerenciamento de Chaves do Serviço de Sincronização. O conjunto de chaves Exportar já está selecionado por padrão.

   b. Selecione Seguinte.

   c. No prompt, insira e verifique as informações da conta do Serviço de Sincronização do Microsoft Identity Manager ou do Forefront Identity Manager (FIM):

   • Nome da Conta: O nome da conta do Serviço de Sincronização usada durante a instalação inicial.
   • Password: A senha da conta do Serviço de Sincronização.
   • Domínio: O domínio do qual a conta do Serviço de Sincronização faz parte.

   d. Selecione Seguinte.

   Se você inseriu as informações da conta com êxito, tem a opção de alterar o destino ou o local do arquivo de exportação da chave de criptografia de backup. Por padrão, o local do arquivo de exportação é C:\Windows\system32\miiskeys-1.bin.

2. Instale o hotfix do Microsoft Identity Manager 2016 SP1 ou posterior, que você pode encontrar no Centro de Serviços de Licenciamento por Volume ou no site de Downloads do MSDN. Depois de concluir a instalação, salve o conjunto de chaves miiskeys.bin.

   

3. Instale hotfix 4.5.2.6.0 ou posterior.

4. Depois que o patch for instalado, pare o Serviço de Sincronização do FIM fazendo o seguinte:

   a) No Painel de Controle, selecione Programas e Recursos>Microsoft Identity Manager.
   b. Na página Serviço de Sincronização , selecione Alterar>Próximo.
   c. Na janela Opções de Manutenção, selecione Configurar.

   

   d. Na janela Configurar o Serviço de Sincronização do Microsoft Identity Manager, limpe o valor padrão na caixa Conta de Serviço e, em seguida, digite MIMSyncGMSA$. Certifique-se de incluir o símbolo do cifrão ($), conforme mostrado na imagem a seguir. Deixe a caixa Password vazia.

   

   e. Selecione Avançar>Avançar>Instalar.
   f. Restaure o conjunto de chaves a partir do ficheiro miiskeys.bin que guardou anteriormente.

   

   

Serviço Microsoft Identity Manager

Importante

Siga as instruções nesta seção cuidadosamente ao converter contas relacionadas ao serviço Microsoft Identity Manager em contas gMSA.

1. Crie Contas de Grupo Geridas para o Serviço Microsoft Identity Manager, a API REST do PAM, o Serviço de Monitorização do PAM, o Serviço de Componente do PAM, o Portal de Registo de Redefinição de Senha Automática (SSPR) e o Portal de Redefinição de SSPR.

   • Atualize a delegação gMSA e o SPN (Nome Principal de Serviço):

     • Set-ADServiceAccount -Identity \<account\> -ServicePrincipalNames @{Add="\<SPN\>"}

   • Delegação:

     • Set-ADServiceAccount -Identity \<gmsaaccount\> -TrustedForDelegation $true

   • Delegação restrita:

     • $delspns = 'http/mim', 'http/mim.contoso.com'
     • New-ADServiceAccount -Name \<gmsaaccount\> -DNSHostName \<gmsaaccount\>.contoso.com -PrincipalsAllowedToRetrieveManagedPassword \<group\> -ServicePrincipalNames $spns -OtherAttributes @{'msDS-AllowedToDelegateTo'=$delspns }

2. Adicione uma conta para o Serviço Microsoft Identity Manager em Grupos de Sincronização. Esta etapa é necessária para o SSPR.

   

   Observação

   Um problema conhecido no Windows Server 2012 R2 é que os serviços que usam uma conta gerenciada param de responder depois que o servidor é reiniciado, porque o Serviço de Distribuição de Chaves da Microsoft não é iniciado após a reinicialização do Windows. A solução alternativa para esse problema é executar o seguinte comando:

   sc triggerinfo kdssvc start/networkon

   O comando inicia o Serviço de Distribuição de Chaves da Microsoft quando a rede está ligada (normalmente no início do ciclo de inicialização).

   Para uma discussão sobre um problema semelhante, consulte AD FS Windows 2012 R2: adfssrv fica preso no modo de inicialização.

3. Execute o MSI elevado do serviço Microsoft Identity Manager e selecione Alterar.

4. Na janela Configurar ligação do servidor de e-mail, marque a caixa de seleção Utilizar utilizador diferente para o Exchange (para contas geridas). Você tem a opção de usar a conta atual do Exchange ou a caixa de correio na nuvem.

   Observação

   Se você selecionar a opção Usar do Exchange Online, para habilitar o Serviço Microsoft Identity Manager a processar respostas de aprovação do suplemento Microsoft Identity Manager para Outlook, defina a chave do Registro HKLM\SYSTEM\CurrentControlSet\Services\FIMService valor de PollExchangeEnabled para 1 após a instalação.

   

5. Na janela Configurar a conta de serviço MIM, na caixa Nome da Conta de Serviço, digite o nome. Certifique-se de incluir o símbolo do cifrão ($). Introduza também uma palavra-passe na caixa Palavra-passe da Conta de E-mail do Serviço. A caixa para a Senha da Conta de Serviço deve estar indisponível.

   

   Como a função LogonUser não funciona para contas gerenciadas, a próxima página exibe o aviso: "Verifique se a Conta de Serviço é segura em sua configuração atual".

   

6. Na janela Configurar a API REST do Gerenciamento de Acesso Privilegiado, na caixa Nome da Conta do Pool de Aplicativos, digite o nome da conta. Certifique-se de incluir o símbolo do cifrão ($). Deixe caixa de de Senha da Conta do Pool de Aplicativos vazia.

   

7. Na janela Configurar Serviço de Componente PAM, na caixa Nome da Conta de Serviço, insira o nome da conta. Certifique-se de incluir o símbolo do cifrão ($). Deixe a caixa Senha da Conta de Serviço vazia.

   

   

8. Na janela Configurar o Serviço de Monitoramento de Acesso Privilegiado, na caixa Nome da Conta de Serviço, digite o nome da conta de serviço. Certifique-se de incluir o símbolo do cifrão ($). Deixe a caixa Senha da Conta de Serviço vazia.

   

9. Na janela Configurar Portal de Registro de Senha do MIM, na caixa Nome da Conta, digite o nome da conta. Certifique-se de incluir o símbolo do cifrão ($). Deixe a caixa Password vazia.

   

10. Na janela Configurar Portal de Redefinição de Senha do MIM, na caixa Nome da Conta, digite o nome da conta. Certifique-se de incluir o símbolo do cifrão ($). Deixe a caixa Password vazia.

    

11. Conclua a instalação.

    Observação

    Durante a instalação, duas novas chaves são criadas no caminho do Registro HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Forefront Identity Manager\2010\Service para armazenar a senha criptografada do Exchange. Uma entrada é para ExchangeOnline e a outra é para ExchangeOnPremise. Para uma das entradas, o valor na coluna Data deve estar vazio.

    

Para atualizar a senha para suas contas armazenadas sem ter que executar o modo de alteração, baixe este script do PowerShell.

Para criptografar a senha do Exchange, o instalador cria um serviço adicional e o executa na conta gerenciada. As seguintes mensagens são adicionadas no log de eventos do Application durante a instalação: