Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Este tópico descreve as práticas recomendadas para implantar e operar o Microsoft Identity Manager 2016 (MIM)
Configuração do SQL
Observação
As recomendações a seguir para configurar um servidor que executa o SQL presumem uma instância SQL dedicada ao FIMService e uma instância SQL dedicada ao banco de dados FIMSynchronizationService. Se você estiver executando o FIMService em um ambiente consolidado, será necessário fazer os ajustes apropriados para sua configuração.
A configuração do servidor SQL (Structured Query Language) é fundamental para o desempenho ideal do sistema. Alcançar o desempenho ideal do MIM em implementações de grande escala depende da aplicação das práticas recomendadas para um servidor que executa SQL. Para obter mais informações, consulte os seguintes tópicos sobre práticas recomendadas de SQL:
Pré-dimensionar dados e arquivos de log
Não confie no crescimento automático. Em vez disso, gerencie o crescimento desses arquivos manualmente. Você pode deixar o crescimento automático ativado por motivos de segurança, mas deve gerenciar proativamente o crescimento dos arquivos de dados. Para obter tamanhos de amostra do banco de dados MIM, consulte o Guia de Planejamento de Capacidade do FIM .
Para pré-dimensionar dados SQL e arquivos de log
Inicie o SQL Server Management Studio.
Navegue até o banco de dados FIMService, clique com o botão direito do mouse em FIMService e clique em Propriedades.
Na página Arquivos, expanda os arquivos de banco de dados para o tamanho necessário.
Isolar o log dos arquivos de dados
Siga as práticas recomendadas do SQL Server para isolar os arquivos de log de transações e dados dos bancos de dados para separar discos físicos.
Criar arquivos tempdb adicionais
Para um desempenho ideal, recomendamos que você crie um arquivo de dados por núcleo de CPU no arquivo tempdb.
Para criar arquivos tempdb adicionais
Inicie o SQL Server Management Studio.
Navegue até o banco de dados tempdb em Bancos de Dados do Sistema, clique com o botão direito do mouse em tempdb e clique em Propriedades.
Na página Arquivos, crie um arquivo de dados para cada núcleo da CPU. Certifique-se de separar os dados tempdb e os arquivos de log em unidades e eixos diferentes.
Garantir espaço adequado para arquivos de log
É importante entender os requisitos de disco do modelo de recuperação. O modo de recuperação simples pode ser apropriado durante a carga inicial do sistema para limitar o uso do espaço em disco, mas os dados criados após o backup mais recente são expostos à perda de dados. Ao usar o modo de recuperação completa, você precisa gerenciar o uso do disco por meio de backups que incluem backups frequentes do log de transações para evitar o alto uso de espaço em disco. Para obter mais informações, consulte Visão geral do modelo de recuperação .
Limitar a memória do SQL Server
Dependendo da quantidade de memória que você tem no seu servidor SQL e se você compartilhar o servidor SQL com outros serviços (ou seja, o Serviço MIM 2016 e o Serviço de Sincronização do MIM 2016), convém restringir o consumo de memória do SQL. Você pode definir essa restrição através das etapas a seguir.
Inicie o SQL Server Enterprise Manager.
Selecione Nova Consulta.
Execute a seguinte consulta:
USE master EXEC sp_configure 'show advanced options', 1 RECONFIGURE WITH OVERRIDE USE master EXEC sp_configure 'max server memory (MB)', 12000--- max=12G RECONFIGURE WITH OVERRIDEEste exemplo reconfigura o servidor SQL para usar no máximo 12 gigabytes (GB) de memória.
Verifique a configuração usando a seguinte consulta:
USE master EXEC sp_configure 'max server memory (MB)'--- verify the setting USE master EXEC sp_configure 'show advanced options', 0 RECONFIGURE WITH OVERRIDE
Configuração de backup e recuperação
Em geral, você deve trabalhar com o administrador do banco de dados para projetar uma estratégia de backup e recuperação. Algumas recomendações incluem:
- Execute backups de banco de dados de acordo com a política de backup da sua organização.
- Se os backups de log incrementais não forem planejados, o banco de dados deverá ser definido para o modo de recuperação simples.
- Certifique-se de entender as implicações dos diferentes modelos de recuperação antes de implementar sua estratégia de backup. Conheça os requisitos de espaço em disco para esses modelos. O modelo de recuperação completa requer backups de log frequentes para evitar o alto uso de espaço em disco.
Para obter mais informações, consulte Visão geral do modelo de recuperação e Guia de backup e restauração do FIM 2010.
Criar uma conta de Administrador de Backup para o Serviço FIM após a instalação
Os membros do conjunto FIMService Administrators têm permissões exclusivas críticas para a operação da implantação do MIM. Se você não conseguir fazer logon como parte do conjunto Administradores, a única resolução será reverter para um backup anterior do sistema. Para atenuar essa situação, recomendamos que você adicione outros usuários ao conjunto administrativo do FIM como parte da configuração pós-instalação.
Serviço FIM
Configurando a caixa de correio do Exchange do serviço FIM Service
A seguir estão as práticas recomendadas para configurar o Microsoft Exchange Server para a conta de serviço do Serviço MIM 2016.
- Configure a conta de serviço para que ela possa aceitar emails somente de endereços de email internos. Especificamente, a caixa de correio da conta de serviço nunca deve ser capaz de receber emails de servidores SMTP externos.
Para configurar a conta de serviço
No Console de Gerenciamento do Exchange, selecione a conta de serviço do Serviço FIM.
Selecione Propriedades, selecione Configurações de fluxo de mensagens e, em seguida, selecione Restrições de entrega de email.
Marque a caixa de seleção Exigir que todos os remetentes sejam autenticados.
Para obter mais informações, consulte Configurar restrições de entrega de mensagens.
Configure a conta de serviço para que ela rejeite emails com tamanhos superiores a 1 MB. Siga as práticas recomendadas para Configurar limites de tamanho de mensagem para uma caixa de correio ou uma pasta pública Mail-Enabled.
Configure a conta de serviço para que ela tenha uma cota de armazenamento de caixa de correio de 5 GB. Para obter os melhores resultados, siga as práticas recomendadas listadas em Configurar cotas de armazenamento para uma caixa de correio.
MIM Portal
Desabilitar a indexação do SharePoint
Recomendamos que você desabilite a indexação do Microsoft Office SharePoint®. Não há documentos que precisem ser indexados. A indexação causa muitas entradas de log de erros e possíveis problemas de desempenho no MIM. Para desabilitar a indexação do SharePoint, execute estas etapas:
No servidor que hospeda o Portal do MIM 2016, clique em Iniciar.
Clique em Todos os programas.
Na lista Todos os Programas, clique em Ferramentas Administrativas.
Em Ferramentas Administrativas, clique em Administração Central do SharePoint.
Na página Administração Central, clique em Operações.
Na página Operações, em Configuração Global, clique em Definições de trabalho de Timer.
Na página Definições de Trabalho de Timer, clique em Atualização de Pesquisa do SharePoint Services.
Na página Editar Trabalho de Timer, clique em Desativar.
Carga de dados inicial do MIM 2016
Esta seção lista uma série de etapas para aumentar o desempenho da carga de dados inicial do sistema externo para o MIM. É importante entender que algumas dessas etapas só são realizadas durante a população inicial do sistema. Eles devem ser redefinidos após a conclusão da carga. Essas etapas são para uma operação única e não uma sincronização contínua.
Importante
Certifique-se de ter aplicado as práticas recomendadas abordadas na seção de instalação do SQL deste guia.
Etapa 1: Configurar o servidor SQL para carregamento inicial de dados
A carga inicial de dados pode ser um processo demorado. Quando você planeja carregar inicialmente muitos dados, pode reduzir o tempo necessário para preencher o banco de dados desativando temporariamente a pesquisa de texto completo e ativando-a novamente após a conclusão da exportação no agente de gerenciamento do MIM 2016 (FIM MA).
Para desativar temporariamente a pesquisa de texto completo:
Inicie o SQL Server Management Studio.
Selecione Nova Consulta.
Execute as seguintes instruções SQL:
ALTER FULLTEXT INDEX ON [fim].[ObjectValueString] SET CHANGE_TRACKING = MANUAL
ALTER FULLTEXT INDEX ON [fim].[ObjectValueXml] SET CHANGE_TRACKING = MANUAL
Importante
Não implementar esses procedimentos pode resultar em alto uso de espaço em disco, possivelmente fazendo com que você fique sem espaço em disco. Você pode encontrar detalhes adicionais sobre este tópico em Visão geral do modelo de recuperação. O Guia de Backup e Restauração do FIM contém informações adicionais.
Etapa 2: Aplicar a configuração mínima necessária do MIM durante o processo de carregamento
Durante o processo de carregamento inicial, você deve aplicar apenas a configuração mínima necessária à configuração do FIM para suas regras de política de gerenciamento (MPRs) e definir definições. Depois que o carregamento de dados for concluído, crie os conjuntos adicionais necessários para sua implantação. Use a configuração Atualização da Política de Run-On nos fluxos de trabalho de ação para aplicar essas políticas retroativamente nos dados carregados.
Etapa 3: Configurar e preencher o Serviço FIM com dados de identidade externos
Neste ponto, você deve seguir os procedimentos descritos no guia Como sincronizar usuários dos Serviços de Domínio Ative Directory com o FIM para configurar e sincronizar seu sistema com usuários do Ative Directory. Se você precisar sincronizar informações de grupo, os procedimentos para esse processo são descritos no guia Como sincronizo grupos dos Serviços de Domínio Ative Directory com o FIM.
Sincronização e exportação de sequências
Para otimizar o desempenho, execute uma exportação após uma execução de sincronização que resulte em um grande número de operações de exportação pendentes em um espaço de conector. Em seguida, execute uma execução de confirmação de importação no agente de gerenciamento associado ao espaço do conector afetado. Por exemplo, quando você precisar executar perfis de execução de sincronização em vários agentes de gerenciamento como parte de uma carga de dados inicial, deverá executar uma exportação seguida de uma importação delta após cada execução de sincronização individual. Para cada agente de gerenciamento de origem que faz parte do seu ciclo de inicialização, execute as seguintes etapas:
Importação completa em um agente de gerenciamento de código-fonte.
Sincronização completa no agente de gerenciamento de código-fonte.
Exporte em todos os agentes de gerenciamento de destino afetados com operações de exportação por etapas.
Importação Delta em todos os agentes de gerenciamento de destino afetados com operações de exportação em estágios.
Etapa 4: Aplicar a configuração completa do MIM
Quando a carga inicial de dados estiver concluída, você deverá aplicar a configuração completa do MIM para sua implantação.
Dependendo dos cenários, esta etapa pode incluir a criação de conjuntos adicionais, MPRs e fluxos de trabalho. Para quaisquer políticas que você precise aplicar retroativamente a todos os objetos existentes no sistema, use a configuração de atualização de política de execução em fluxos de trabalho de ação para aplicar essas políticas retroativamente nos dados carregados.
Etapa 5: Reconfigurar o SQL para as configurações anteriores
Lembre-se de alterar a configuração SQL para suas configurações normais. Essas alterações incluem:
Ativar a pesquisa de texto completo
Atualizando sua política de backup de acordo com a política da sua organização
Depois de concluir o carregamento inicial de dados, você precisa ativar a pesquisa de texto completo novamente. Execute as seguintes instruções SQL para ativar a pesquisa de texto completo novamente:
ALTER FULLTEXT INDEX ON [fim].[ObjectValueString] SET CHANGE_TRACKING = AUTO
ALTER FULLTEXT INDEX ON [fim].[ObjectValueXml] SET CHANGE_TRACKING = AUTO
Se você tiver que alternar para o modo de recuperação simples, certifique-se de reconfigurar sua agenda de backup de acordo com a política de backup da sua organização. Detalhes adicionais dos agendamentos de backup do FIM estão disponíveis no Guia de Backup e Restauração do FIM.
Migração da Configuração
Evite alterar nomes de exibição
Para muitos tipos de objeto, como MPRs, o script syncproduction.ps1 usa o nome de exibição como o único atributo âncora entre dois sistemas. Consequentemente, uma alteração no nome de exibição de um MPR existente resulta na exclusão do MPR existente, seguido pela criação de um novo MPR. Esse resultado ocorre porque o processo de migração não pode ingressar com êxito MPRs cujos critérios de junção foram alterados. Para evitar esse problema, você pode vincular um atributo personalizado a todos os tipos de objeto de configuração e usar esse atributo como o critério de junção. Esse processo permite modificar nomes de exibição sem afetar o processo de migração.
Evite alterar o conteúdo de arquivos intermediários
Embora o formato de arquivo e a interface de programação de aplicativos (API) dos objetos de baixo nível sejam públicos e as manipulações sejam suportadas pelos desenvolvedores, não recomendamos que você altere o conteúdo dos formatos intermediários durante a migração. No entanto, pode ser necessário remover ImportObjects inteiros do changes.xml ou executar operações de localização e substituição no pilot.xml para substituir números de versão ou informações piloto do Sistema de Nomes de Domínio (DNS) para informações de DNS de produção.
Verifique se o número da versão está correto no pilot.xml ao migrar entre versões
Embora as migrações entre números de versão não sejam recomendadas ou suportadas, muitas vezes você pode fazer essa migração substituindo o número da versão piloto pelo número da versão de produção no pilot.xml. Especificamente, WorkflowDefinition e
Os objetos ActivityInformationConfiguration exigem que o número da versão se refira precisamente às atividades do fluxo de trabalho no ambiente de produção. A falha ao substituir o número da versão resulta no cmdlet Compare-FIMConfig identificando diferenças entre os atributos XOML (Extensible Object Markup Language) em WorkflowDefinitions e migrando o número de versão do piloto. O Serviço FIM de produção pode falhar ao iniciar atividades de fluxo de trabalho com o número de versão incorreto.
Evite referências cíclicas
Em geral, referências cíclicas não são recomendadas em uma configuração de MIM. No entanto, os ciclos às vezes ocorrem quando o Conjunto A se refere ao Conjunto B e o Conjunto B também se refere ao Conjunto A. Para evitar problemas com referências cíclicas, você deve alterar a definição de Conjunto A ou Conjunto B para que ambos não se refiram um ao outro. Em seguida, reinicie o processo de migração. Se você tiver referências cíclicas e o cmdlet Compare-FIMConfig resultar em um erro como resultado, será necessário interromper o ciclo manualmente. Como o cmdlet Compare-FIMConfig gera uma lista de alterações em ordem de precedência, ele requer que não existam ciclos entre as referências de objetos de configuração.
Segurança
Conta MIM MA
A conta MIM MA não é considerada uma conta de serviço e deve ser uma conta de usuário regular. As contas devem ser capazes de fazer logon localmente para que a conta de serviço do Serviço de Sincronização do FIM possa representá-la.
Para permitir que a conta MA do MIM faça logon localmente
Clique em Iniciar, clique em Ferramentas Administrativas e, em seguida, clique em Política de Segurança Local.
Abra o nó Diretivas Locais e clique em Atribuição de Direitos de Usuário.
Na política Permitir logon localmente, verifique se a conta MA do FIM está explicitamente especificada ou adicione-a a um dos grupos aos quais já foi concedido acesso.
Contas do Serviço de Sincronização FIM e Serviços FIM
Para configurar os servidores que executam os componentes do servidor MIM de forma segura, as contas de serviço devem ser restritas. Usando o procedimento anterior para ativar a conta MA do MIM, defina as seguintes restrições nas contas do Serviço de Sincronização do FIM e do Serviço FIM:
Negar logon como um trabalho em lote
Negar logon localmente
Recusar acesso a este computador à rede
As contas de serviço não devem ser membros do grupo de administradores locais.
A conta de serviço do Serviço de Sincronização do FIM não deve ser membro dos grupos de segurança usados para controlar o acesso ao Serviço de Sincronização do FIM (grupos começando com FIMSync, por exemplo, FIMSyncAdmins e assim por diante).
Importante
Se você selecionar as opções para usar a mesma conta para ambas as contas de serviço e separar o Serviço FIM e o Serviço de Sincronização do FIM, não poderá definir Negar acesso a este computador da rede no servidor do Serviço de Sincronização mms. Se o acesso for negado, isso proibirá o Serviço FIM de entrar em contato com o Serviço de Sincronização da FIM para alterar a configuração e gerenciar senhas.
A redefinição de senha implantada em computadores semelhantes a quiosques deve definir a segurança local para limpar o arquivo de paginação da memória virtual
Ao implantar a redefinição de senha do FIM em uma estação de trabalho destinada a ser um quiosque, recomendamos que a configuração de diretiva de segurança local Shutdown: Clear virtual memory pagefile seja ativada para garantir que informações confidenciais da memória do processo não estejam disponíveis para usuários não autorizados.
Implementando SSL para o Portal FIM
É altamente recomendável que você use SSL (Secure Sockets Layer) no servidor do Portal FIM para proteger o tráfego entre os clientes e o servidor.
Para implementar SSL:
No servidor do Portal MIM, abra o Gerenciador do IIS.
Clique no nome do computador local.
Clique em Certificados do Servidor.
Clique em Criar solicitação de certificado.
Na caixa de texto Nome comum, digite o nome do servidor.
Clique em Avançar e, em seguida, clique em Avançar.
Salve o arquivo em qualquer local. Você precisará acessar esse local nas etapas subsequentes.
Navegue até https://servername/certsrv. Substitua servername pelo nome do servidor que emite certificados.
Clique em Solicitar um novo certificado.
Clique em Enviar uma solicitação avançada.
Clique em Enviar uma solicitação de certificado usando um codificado em base 64.
Cole o conteúdo do arquivo que você salvou na etapa anterior.
Em Modelo de Certificado, selecione Servidor Web.
Clique em Enviar.
Salve o certificado na área de trabalho.
No Gerenciador do IIS, clique em Concluir Solicitação de Certificação.
Aponte o Gerenciador do IIS para o certificado que você acabou de salvar na área de trabalho.
Em Nome amigável, digite o nome do servidor.
Clique em Sites e selecione SharePoint – 80.
Clique em Ligações e, em seguida, clique em Adicionar.
Selecione https.
Para certificado, selecione aquele que tem o mesmo nome do servidor, o certificado que você acabou de importar.
Clique em OK.
Remova a ligação HTTP.
Clique em Configurações de SSL e marque Exigir SSL.
Salve as configurações.
Clique em Iniciar, em Ferramentas Administrativas e em Administração Central do SharePoint 3.0.
Clique em Operações e, em seguida, clique em Mapeamentos de Acesso Alternativo.
Clique em https://servername.
Altere https://servername para https://servernamee, em seguida, clique em OK.
Clique em Iniciar , clique em Executar , digite iisreset e, em seguida, clique em OK .
Desempenho
Para uma configuração de desempenho ideal:
Aplique as práticas recomendadas de instalação do SQL conforme descrito na seção Instalação do SQL neste documento.
Desative a Indexação do SharePoint no site do Portal MIM. Para obter mais informações, consulte a seção Desabilitar de indexação do SharePoint.
Práticas recomendadas específicas do recurso
Gestão de Pedidos
Por padrão, o MIM 2016 limpa objetos de sistema expirados, o que inclui solicitações concluídas com aprovações associadas, respostas de aprovação e instâncias de fluxo de trabalho em um intervalo de 30 dias. Se sua organização precisar de um histórico de solicitações mais longo, exporte solicitações do MIM e armazene-as em um banco de dados auxiliar para preservá-las além da janela de 30 dias. Embora a janela de exclusão de solicitação de 30 dias seja configurável, estender essa janela pode afetar negativamente o desempenho devido aos objetos adicionais no sistema.
Regras da Política de Gestão
Use o tipo de MPR apropriado
O MIM fornece dois tipos de MPRs, Request e set Transition:
Solicitar MPR (RMPR)
- Usado para definir a política de controle de acesso (autenticação, autorização e ação) para operações Criar, Ler, Atualizar ou Excluir (CRUD) em relação a recursos,
- Aplicado quando uma operação CRUD é emitida em relação a um recurso de destino no MIM, e
- Escopo pelos critérios de correspondência definidos na regra, ou seja, aos quais a CRUD solicita que a regra se aplique.
Definir MPR de transição (TMPR)
- Use para definir políticas independentemente de como o objeto entrou no estado atual representado pelo Conjunto de Transição. Use TMPR para modelar políticas de direitos.
- Aplicado quando um recurso entra ou sai de um conjunto associado, e
- Escopo para os membros do conjunto.
Observação
Para obter mais informações, consulte Designing Business Policy Rules.
Ativar MPRs somente conforme necessário
Use o princípio do menor privilégio ao aplicar sua configuração. Os MPRs controlam a política de acesso à sua implantação do MIM. Habilite apenas os recursos usados pela maioria dos usuários. Por exemplo, nem todos os usuários usam o MIM para gerenciamento de grupo, portanto, MPRs de gerenciamento de grupo associadas devem ser desabilitadas. Por padrão, o MIM é fornecido com a maioria das permissões de não-administrador desabilitadas.
Duplique MPRs integradas em vez de modificar diretamente
Quando precisar modificar as MPRs integradas, você deve criar uma nova MPR com a configuração necessária e desativar a MPR integrada. A criação desta nova MPR garante que quaisquer alterações futuras nas MPRs incorporadas que são introduzidas através do processo de atualização não afetem negativamente a configuração do sistema.
As permissões de usuário final devem usar listas de atributos explícitas com escopo para as necessidades de negócios dos usuários
O uso de listas de atributos explícitos ajuda a evitar a concessão acidental de permissões a usuários sem privilégios quando atributos são adicionados a objetos. Os administradores devem explicitamente precisar conceder acesso a novos atributos em vez de tentar remover o acesso.
O acesso aos dados deve ter como escopo as necessidades comerciais dos usuários. Por exemplo, os membros do grupo não devem ter acesso ao atributo de filtro do grupo do qual são membros. O filtro pode revelar inadvertidamente dados organizacionais aos quais o usuário normalmente não teria acesso.
MPRs devem refletir permissões efetivas no sistema
Evite conceder permissões a atributos que o usuário nunca pode usar. Por exemplo, você não deve conceder permissão para modificar atributos de recursos principais, como objectType. Apesar do MPR, qualquer tentativa de modificar o tipo de um recurso após a criação do recurso será negada pelo sistema.
As permissões de leitura devem ser separadas das permissões Modificar e Criar ao usar atributos explícitos em MPRs
Ao listar explicitamente atributos em MPRs, os atributos necessários para Criar e Modificar geralmente são diferentes dos disponíveis para Leitura. Por exemplo, Read pode ser concedido sobre atributos System, como Creator ou objectId, enquanto Create ou Modify não pode ser especificado para atributos System.
Criar permissões deve ser separado de Modificar permissões ao usar atributos explícitos em regras
A operação Create requer que o usuário selecione o objectType como parte de sua operação. Este atributo é um atributo principal do sistema que não pode ser modificado após uma operação Create.
Use uma MPR de solicitação para todos os atributos com os mesmos requisitos de acesso
Para atributos com os mesmos requisitos de acesso que não devem ser alterados, você pode combiná-los em uma única solicitação MPR para eficiência.
Evite dar acesso irrestrito, mesmo a grupos principais selecionados
No MIM, as permissões são definidas como uma afirmação positiva. Como o MIM não oferece suporte a permissões de negação, conceder acesso irrestrito a um recurso complica o fornecimento de exclusões nas permissões. Como prática recomendada, conceda apenas as permissões necessárias.
Usar TMPRs para definir direitos personalizados
Use Definir MPRs de transição (TMPRs) em vez de RMPRs para definir direitos personalizados. Os TMPRs fornecem um modelo baseado em estado para atribuir ou remover direitos com base na associação nos Conjuntos de Transição definidos, ou funções, e nas atividades de fluxo de trabalho que os acompanham. As TMPRs devem ser sempre definidas em pares, uma para recursos em transição e outra para recursos em transição. Além disso, cada MPR de transição deve conter fluxos de trabalho separados para atividades de provisionamento e desprovisionamento.
Observação
Qualquer fluxo de trabalho de desprovisionamento deve garantir que o atributo Run On Policy Update esteja definido como true.
Ativar a transição definida no MPR por último
Ao criar um par TMPR, ative Definir transição no MPR por último. Essa ordem garante que nenhum recurso fique com o direito se ele for adicionado e removido do conjunto enquanto In MPR estiver ativado, mas antes de out MPR ser ativado.
Os fluxos de trabalho no TMPR devem verificar primeiro o estado do recurso de destino
Os fluxos de trabalho de provisionamento devem primeiro verificar se o recurso de destino já foi provisionado de acordo com o direito. Se tem, então não deve fazer nada.
Os fluxos de trabalho de desprovisionamento devem primeiro verificar se o recurso de destino foi provisionado. Se tiver, então deve desprovisionar o recurso de destino. Caso contrário, não deverá fazer nada.
Selecione Executar em Atualização de política para TMPRs
Essa configuração garante que o comportamento de provisionamento correto se aplique quando as atualizações de política são implementadas e usam o sinalizador de atualização de Política RunOn em fluxos de trabalho de ação associados aos TMPRs, e que as alterações nas definições de política aplicam os fluxos de trabalho de ação a novos membros do Conjunto de Transição.
Evite associar o mesmo direito a dois conjuntos de transição diferentes
Associar o mesmo direito a dois Conjuntos de Transição diferentes pode causar uma revogação e reconcessão desnecessárias de direitos se o recurso for movido de um conjunto para o outro. Como prática recomendada, certifique-se de que um conjunto contenha todos os recursos que exigem o direito associado. Este procedimento garante uma relação um-para-um entre o Conjunto de Transição e o direito que concede o fluxo de trabalho.
Utilizar uma sequência adequada de operações aquando da supressão de direitos no sistema
A ordem das etapas executadas na remoção de direitos no sistema pode resultar em dois resultados operacionais diferentes. Certifique-se de entender qual ordem se aplica ao efeito desejado.
Para retirar um direito do sistema (e revogá-lo de todos os membros que atualmente detêm o direito):
Desative o T-In MPR. Esta alteração evita novas subvenções.
Exclua o filtro T-Set ou altere-o para que o conjunto fique vazio. Isso faz com que todos os membros existentes façam a transição e aplique a política de transição para fora, incluindo os fluxos de trabalho de desprovisionamento configurados associados ao direito.
Desative o T-Out MPR.
Para remover um direito, mas deixar os membros atuais sozinhos (por exemplo, parar de usar o MIM para gerenciar o direito):
Desative o T-In MPR. Esta alteração evita novas subvenções.
Desative o T-Out MPR.
Exclua o filtro T-Set ou altere-o para que o conjunto fique vazio. Como o conjunto não está mais vinculado a um TMPR, nenhum fluxo de trabalho de desprovisionamento é aplicado.
Conjuntos
Ao aplicar as melhores práticas para conjuntos, você precisa considerar o impacto das otimizações na capacidade de gerenciamento e na facilidade de administração futura. Testes apropriados na escala de produção esperada devem ser realizados para identificar o equilíbrio certo entre desempenho e capacidade de gerenciamento antes de aplicar essas recomendações.
Observação
Todas as diretrizes a seguir se aplicam a conjuntos dinâmicos e grupos dinâmicos.
Minimizar o uso de aninhamento dinâmico
Isso se refere ao filtro de um conjunto que faz referência ao atributo ComputedMember de outro conjunto. Uma razão comum para aninhar conjuntos é evitar a duplicação de uma condição de associação em muitos conjuntos. Embora essa abordagem possa resultar em uma melhor capacidade de gerenciamento dos conjuntos, há uma compensação de desempenho. Você pode otimizar o desempenho duplicando as condições de associação de um conjunto aninhado em vez de aninhar o próprio conjunto.
Você pode encontrar casos em que não é possível evitar conjuntos de aninhamento para satisfazer um requisito funcional. Estas são as principais situações em que você deve aninhar conjuntos. Por exemplo, para definir o conjunto de todos os grupos sem Full-Time proprietários de funcionários, o aninhamento de conjuntos deve ser usado da seguinte maneira: /Group[not(Owner = /Set[ObjectID = ‘X’]/ComputedMember], onde 'X' é o ObjectID do conjunto de Todos os Funcionários em Tempo Integral.
Minimizar o uso de condições negativas
Condições negativas são as condições de adesão que fazem uso dos seguintes operadores ou funções: !=, not(), \< , \<=. Para otimizar o desempenho, sempre que possível, expresse a condição que você deseja com várias condições positivas em vez de como uma condição negativa.
Minimizar o uso de condições de associação com base em atributos de referência de valores múltiplos
O uso de condições baseadas em atributos de referência de valores múltiplos deve ser minimizado porque um grande número desses conjuntos pode afetar o desempenho de operações no atributo usado na condição de associação.
Reposição de Palavra-passe
Os computadores semelhantes a quiosques que são usados para redefinição de senha devem definir a segurança local para limpar o arquivo de paginação da memória virtual
Ao implantar a redefinição de senha do MIM em uma estação de trabalho destinada a ser um quiosque, recomendamos que a configuração de diretiva de segurança local Shutdown: Clear virtual memory pagefile seja ativada para garantir que as informações confidenciais da memória do processo não estejam disponíveis para usuários não autorizados.
Os usuários devem sempre se registrar para uma redefinição de senha em um computador no qual estão conectados
Quando um usuário tenta se registrar para redefinir a senha por meio de um portal da Web, o MIM sempre inicia o registro em nome do usuário conectado, independentemente de quem está conectado ao site. Os usuários devem sempre se registrar para uma redefinição de senha em um computador no qual estão conectados.
Não defina a chave de registo AvoidPdcOnWan como true
Ao usar a redefinição de senha do MIM 2016, não defina a chave do Registro AvoidPdcOnWan como true.
Se essa chave do Registro estiver definida como true, o usuário provavelmente passará pelas portas de senha, terá sua senha redefinida no controlador de domínio primário (PDC) e tentará fazer logon. Devido a essa chave do Registro, o controlador de domínio local não executa a validação secundária com o PDC, negando assim a solicitação de logon. Se o usuário for negado vezes suficientes, ele pode ser bloqueado fora do domínio e precisará ligar para o suporte.
Não ative o registo de palavras-passe de texto não criptografado
É possível registrar senhas de texto não criptografado ao ativar o rastreamento de nível de serviço de diagnóstico no Windows
Fundação de Comunicação (WCF). Essa opção não está ativada por padrão, e você é desencorajado a ativá-la em ambientes de produção. Essas senhas são visíveis como elementos de texto não criptografado em uma mensagem SOAP (Simple Object Access Protocol) criptografada quando os usuários se registram para redefinição de senha. Para obter mais informações, consulte Configurando o log de mensagens.
Não mapeie um fluxo de trabalho de autorização para o processo de redefinição de senha
Você não deve anexar um fluxo de trabalho de autorização a uma operação de redefinição de senha. A redefinição de senha requer uma resposta síncrona e fluxos de trabalho de autorização que contêm atividades como a atividade de aprovação são assíncronas.
Não mapeie várias atividades de ação para redefinir a senha
Você não deve anexar um fluxo de trabalho que contenha mais de uma atividade de ação a uma operação de redefinição de senha. Um cenário de exemplo seria anexar uma segunda atividade de redefinição de senha do AD DS a uma MPR de redefinição de senha. Este cenário não é suportado.
Exigir novo registro ao adicionar, remover ou alterar a ordem das atividades em um fluxo de trabalho existente
Ao adicionar, remover ou alterar a ordem das atividades de autenticação em um fluxo de trabalho existente, sempre selecione a opção para exigir um novo registro. Os usuários que tentam se autenticar para redefinição de senha depois que uma atividade foi adicionada ou removida de um fluxo de trabalho, mas antes de se registrarem novamente, podem encontrar efeitos indesejados.
Configuração do Portal e Configuração de Exibição de Controle de Recursos
Considere adicionar um aviso de privacidade à página de perfil do usuário
No MIM, por padrão, algumas informações de perfil de usuário podem ser exibidas para outros usuários. Como cortesia para os usuários, os administradores devem considerar adicionar texto personalizado consistente com as políticas de sua empresa à página Perfil de Usuário. Para obter mais informações sobre como adicionar texto personalizado a uma página do Portal do MIM, consulte Introdução ao Configurando e personalizando o Portal do FIM.
Esquema
Não excluir tipos de recursos Pessoa ou Grupo
Embora os tipos de recursos Pessoa e Grupo não estejam marcados como tipos de recursos principais, os próprios recursos ou os atributos atribuídos a eles não devem ser excluídos. A interface do usuário (UI) no Portal do MIM requer que os tipos de recursos Pessoa e Grupo e seus atributos estejam presentes.
Não modifique os atributos principais
Há 13 atributos principais atribuídos a todos os tipos de recursos. Você não deve, de forma alguma, modificar sua relação com qualquer tipo de recurso. Os 13 atributos principais são:
HoraDeCriação
Criador
DeletedTime
Descrição
DetectedRulesList • DisplayName
ExpectedRulesList
ExpirationTime
Localidade
MVObjectID
ObjectID
Tipo de objeto
ResourceTime
Não exclua o recurso de esquema com uma dependência de requisitos de auditoria
Você não deve excluir seus recursos de esquema enquanto ainda tiver requisitos de auditoria para esses recursos.
Tornar as expressões regulares insensíveis a maiúsculas e minúsculas
No MIM, pode ser útil tornar algumas expressões regulares insensíveis a maiúsculas e minúsculas. Você pode ignorar maiúsculas e minúsculas dentro de um grupo usando ?!:. Por exemplo, para Tipo de funcionário, use
\^(?!:contractor\|full time employee)%.
Cálculo do atributo membro
O atributo Member exposto ao mecanismo de sincronização é, na verdade, mapeado para ComputedMembers. É uma combinação de membros baseados em critérios e membros selecionados manualmente. Mesmo se você adicionar todos os três atributos, (Filter, ExplicitMembers e ComputedMembers), o cálculo dinâmico do atributo member não ocorrerá para tipos de recursos diferentes de group e set.
Os espaços à esquerda e à direita em cadeias de caracteres são ignorados
No MIM, você pode inserir cadeias de caracteres com espaços à esquerda e à direita, mas o sistema MIM ignora esses espaços. Se você enviar uma cadeia de caracteres com um espaço à esquerda e à direita, o mecanismo de sincronização e os serviços Web ignorarão esses espaços.
Cadeias de caracteres vazias não são iguais a null
Cadeias de caracteres vazias não são iguais a null nesta versão do MIM. A entrada de cadeia de caracteres vazia é considerada como um valor válido. O não presente é considerado nulo.
Fluxo de trabalho e processamento de solicitações
Não exclua fluxos de trabalho padrão fornecidos com o MIM 2016
Os seguintes fluxos de trabalho são fornecidos com o MIM e não devem ser excluídos:
Fluxo de trabalho de expiração
Fluxo de trabalho de validação de filtro para administradores
Fluxo de trabalho de validação de filtro para não-administradores
Fluxo de trabalho de notificação de expiração de grupo
Fluxo de trabalho de validação de grupo
Fluxo de trabalho de aprovação do proprietário
Fluxo de trabalho de ação de redefinição de senha
Fluxo de trabalho AuthN de redefinição de senha
Validação do Requerente com Autorização do Proprietário
Validação do solicitante sem autorização do proprietário
Fluxo de trabalho do sistema necessário para o registro
Não execute duas ou mais ApprovalActivities em paralelo
Você não deve executar duas ou mais ApprovalActivities em paralelo. Isso pode fazer com que a solicitação fique presa na fase de autorização. Para aprovações múltiplas, inclua uma lista maior de aprovadores na aprovação ou sequencie as duas atividades consecutivamente.
As atividades de autorização não devem modificar os dados dos recursos do MIM
Evite usar atividades que modifiquem os recursos do MIM, como a Atividade do Avaliador de Função, como parte dos fluxos de trabalho nos fluxos de trabalho de autorização. Como a solicitação não foi confirmada durante o ponto de autorização de processamento, quaisquer modificações realizadas nas informações de identidade podem ser aplicadas, apesar da solicitação ter sido possivelmente rejeitada.
Noções básicas sobre partições de serviço FIM
O objetivo do MIM é processar solicitações que podem ser iniciadas por vários clientes MIM, como o serviço de sincronização FIM e os componentes de autoatendimento de acordo com suas políticas de negócios configuradas. Por design, cada instância de serviço FIM pertence a um grupo lógico que consiste em uma ou mais instâncias de serviço FIM, que também é conhecido como partição de serviço FIM. Se você tiver apenas uma instância de serviço FIM implantada para lidar com todas as solicitações, é possível que você experimente latências de processamento. Algumas operações podem até exceder os valores de tempo limite padrão apropriados para operações de autoatendimento. As partições de serviço FIM podem ajudá-lo a resolver esse problema.
Para obter mais informações, consulte Noções básicas sobre partições de serviço FIM.
Próximos passos
- Guia de backup e restauração do FIM
- Visão geral do modelo de recuperação .