Instalar o MIM 2016 com SP2: Serviço e Portal do MIM para clientes P1 ou P2 da ID de Microsoft Entra

Antes de começar

• Este guia destina-se à instalação do Serviço mim em organizações licenciadas para Microsoft Entra ID P1 ou P2. Se sua organização não tiver Microsoft Entra ID P1 ou P2 ou não estiver usando Microsoft Entra ID, você precisará seguir o guia de instalação da edição licença de volume do MIM.
• Verifique se você tem Microsoft Entra credenciais de usuário com permissões suficientes para validar se sua assinatura de locatário inclui Microsoft Entra ID P1 ou P2 e pode criar registros de aplicativo.
• Se você planeja usar Office 365 autenticação de contexto de aplicativo, precisará executar um script para registrar o aplicativo serviço MIM em Microsoft Entra ID e conceder permissões do Serviço mim para acessar uma caixa de correio do Serviço MIM em Office 365. Salve a saída do script, pois você precisará da ID do aplicativo resultante e do segredo posteriormente durante a instalação.

Opções de implantação

As opções na implantação dependem de dois critérios:

• Se o Serviço MIM será executado como uma conta de serviço regular do Windows ou como uma gMSA (conta de serviço gerenciada por grupo)
• Se o Serviço mim enviará emails por meio de um Exchange Server, Office 365 ou um servidor SMTP

Opções de implantação disponíveis:

• Opção A: conta de serviço regular + Exchange Server
• Opção B: conta de serviço regular + autenticação básica Office 365
• Opção C: conta de serviço regular + autenticação de contexto de aplicativo Office 365
• Opção D: conta de serviço regular + SMTP
• Opção E: conta de serviço regular + nenhum servidor de email
• Opção F: conta de serviço gerenciada por grupo + Exchange Server
• Opção G: conta de serviço gerenciada por grupo + autenticação básica Office 365
• Opção H: conta de serviço gerenciada por grupo + autenticação de contexto de aplicativo Office 365
• Opção I: conta de serviço gerenciada por grupo + nenhum servidor de email

Preparando-se para a autenticação de contexto do aplicativo Office 365

A partir do build 4.6.421.0, além da autenticação básica, o Serviço mim dá suporte à autenticação de contexto do aplicativo para Office 365 caixas de correio. O fim do suporte para autenticação básica foi anunciado em 20 de setembro de 2019, portanto, é recomendável usar a autenticação de contexto do aplicativo para enviar notificações e coletar respostas de aprovação.

O cenário de autenticação de contexto do aplicativo exige que você registre um aplicativo em Microsoft Entra ID, crie um segredo do cliente a ser usado em vez de uma senha e conceda a esse aplicativo permissão para acessar a caixa de correio do Serviço mim. O Serviço mim usará essa ID do aplicativo e esse segredo para acessar sua caixa de correio em Office 365. Você pode registrar seu aplicativo em Microsoft Entra ID usando um script (recomendado) ou manualmente.

Registrar aplicativo usando Microsoft Entra centro de administração

1. Entre no centro de administração do Microsoft Entra com a função administrador global.

2. Navegue até Microsoft Entra folha e copie sua ID de Locatário da seção Visão geral e salve-a.

3. Navegue até Registros de aplicativo seção e clique no botão Novo Registro.

4. Dê um nome ao aplicativo, por exemplo, acesso ao cliente da caixa de correio do serviço MIM e clique em Registrar.

5. Depois que o aplicativo for registrado, copie o valor da ID do aplicativo (cliente) e salve-o.

6. Navegue até a seção Permissões de API e revogue a permissão User.Read clicando em três pontos diretamente no nome da permissão e escolhendo Remover Permissão. Confirme se deseja remover essa permissão.

7. Clique no botão Adicionar uma permissão . Alterne para APIs que minha organização usa e digite Office. Selecione Office 365 Exchange Online e Tipo de permissões de aplicativo. Digite completo e selecione full_access_as aplicativo. Clique no botão Adicionar Permissões .

8. Você verá a permissão adicionada e que o consentimento do administrador não é concedido. Clique no botão Conceder consentimento do administrador ao lado de Adicionar um botão de permissão .

9. Navegue até Certificados e segredos e escolha adicionar Novo segredo do cliente. Se você selecionar um tempo de expiração para o segredo, precisará reconfigurar o Serviço mim mais próximo da data de validade para usar outro segredo. Se você não planeja girar segredos do aplicativo, selecione Nunca. Dê um nome ao seu segredo, por exemplo, Serviço mim e clique no botão Adicionar . Você verá o valor do segredo exibido no portal. Copie esse valor (não a ID do segredo) e salve-o.

10. Agora que você tem a ID do locatário, a ID do aplicativo e o segredo do aplicativo necessários pelo instalador, você pode continuar com a instalação do Serviço e do Portal do MIM. Além disso, talvez você queira restringir o acesso de seu aplicativo recém-registrado à caixa de correio do Serviço MIM (full_access_as_app concede acesso a todas as caixas de correio em sua organização). Para fazer isso, você precisa criar uma política de acesso de aplicativo. Siga este guia para restringir o acesso do aplicativo somente à caixa de correio do Serviço mim. Você precisará criar um grupo de segurança habilitado para distribuição ou email e adicionar sua caixa de correio do Serviço MIM a esse grupo. Em seguida, execute um comando do PowerShell e forneça suas credenciais de administrador Exchange Online:

    New-ApplicationAccessPolicy `
    -AccessRight RestrictAccess `
    -AppId "<your application ID from step 5>" `
    -PolicyScopeGroupId <your group email> `
    -Description "Restrict MIM Service app to members of this group"
    

Registrar aplicativo usando um script do PowerShell

Create-MIMMailboxApp.ps1 script pode ser encontrado em Scripts.zip/Scripts/Serviço e Portal ou em Serviço e Portal.zip\Serviço e Portal\Arquivos de Programas\Microsoft Forefront Identity Manager\2010\Service\Scripts.

A menos que sua caixa de correio do Serviço mim esteja hospedada em uma nuvem nacional ou governamental, o único parâmetro que você precisa passar para o script é o email do Serviço mim, por exemplo, MIMService@contoso.onmicrosoft.com.

Em uma janela do PowerShell, comece Create-MIMMailboxApp.ps1 com o parâmetro de email> -MailboxAccountEmail <e forneça o email do Serviço mim.

./Create-MIMMailboxApp.ps1 -MailboxAccountEmail <MIM Service email>

Quando solicitado, forneça suas credenciais de administrador global Microsoft Entra para registrar um aplicativo no Azure.

Depois que o aplicativo for registrado, outro pop-up solicitará Exchange Online credenciais de administrador para criar uma política de acesso de aplicativo.

Após o registro bem-sucedido do aplicativo, a saída do script deverá ter esta aparência:

Há um atraso de 30 segundos depois que o aplicativo é registrado e uma janela do navegador é aberta para evitar problemas de replicação. Forneça suas Microsoft Entra credenciais de administrador de locatário e aceite uma solicitação para conceder acesso ao aplicativo à caixa de correio do Serviço mim. A janela pop-up deve ter esta aparência:

Depois de clicar no botão Aceitar, você será redirecionado para Centro de administração do Microsoft 365. Você pode fechar a janela do navegador e marcar a saída do script. Ele deverá ser parecido com:

Copie os valores ApplicationId, TenantId e ClientSecret, pois eles serão necessários pelo instalador do Portal e serviço do MIM.

Implantando o serviço e o portal do MIM

Etapas comuns de implantação

1. Crie um diretório temporário para manter os logs do instalador, por exemplo, c:\miminstall.

2. Inicie o prompt de comandos com privilégios elevados, navegue até a pasta binários do instalador do serviço MIM e execute:

   msiexec /i "Service and Portal.msi" /lvxi* c:\miminstall\log.txt
   

   Na tela de boas-vindas, clique em Avançar.

   

3. Examine a End-User Contrato de Licença e clique em Avançar se você aceitar os termos de licença.

   

4. Nuvens nacionais são instâncias isoladas do Azure. Selecione em qual instância do Azure Cloud seu locatário está hospedado e clique em Avançar.

   

   As organizações que não estão usando uma nuvem nacional ou governamental devem selecionar a instância global, Microsoft Entra ID.

   

5. Depois de selecionar a nuvem apropriada, o instalador solicitará que você se autentique nesse locatário. Na janela pop-up, forneça Microsoft Entra credenciais de usuário de um usuário nesse locatário para validar o nível de assinatura do locatário. Digite seu nome de usuário Microsoft Entra e clique em Avançar.

   

   Digite sua senha e clique em Entrar.

   

   Se o instalador não conseguir localizar uma assinatura para Microsoft Entra ID P1 ou outra assinatura, que inclui Microsoft Entra ID P1 ou P2, você verá um erro pop-up. Verifique se o nome de usuário é para o locatário correto e examine o arquivo de log do instalador para obter mais informações.

6. Depois que a licença marcar for concluída, selecione Componentes do Serviço e do Portal do MIM para instalar e clique em Avançar.

   

7. Forneça o nome do sql server e do banco de dados. Escolha reutilizar o banco de dados existente se estiver atualizando das versões anteriores do MIM. Se estiver instalando usando o cluster de failover do SQL ou Always-On Ouvinte de Grupos de Disponibilidade, forneça um cluster ou um nome de ouvinte. Clique em Próximo.

   

8. Se estiver instalando o MIM usando um banco de dados existente, um aviso será exibido. Clique em Próximo.

   

9. Escolha uma combinação de tipo de servidor de email e método de autenticação (opções A-I, veja abaixo)

   Imagem de

   Se estiver instalando o Serviço MIM usando Group-Managed Conta de Serviço, marque a caixa de seleção correspondente; caso contrário, deixe essa caixa de seleção desmarcada. Clique em Próximo.

   

   Se você selecionar uma combinação incompatível de tipo de servidor de email e método de autenticação, depois de clicar em Avançar, um erro pop-up será exibido.

   

Opção A. Conta de serviço regular + Exchange Server

1. Na página Configurar serviços comuns, selecioneExchange Server 2013 ou posterior e Autenticação Integrada do Windows. Digite o nome do host do servidor Exchange. Deixe a caixa de seleção Usar Conta de Serviço Gerenciada de Grupodesmarcada. Clique em Próximo.

   

2. Se estiver instalando o componente relatório do MIM, digite System Center Service Manager nome do servidor de gerenciamento e clique em Avançar.

   

3. Se estiver instalando o componente relatório do MIM apenas no ambiente do TLS 1.2 com System Center Service Manager 2019, escolha um certificado confiável pelo SERVIDOR SCSM com o nome do host do servidor MIM na entidade do certificado, caso contrário, escolha gerar um novo certificado autoassinado. Clique em Próximo.

   

4. Digite o nome e a senha da conta de serviço do MIM, o nome de domínio e o endereço SMTP da caixa de correio do serviço MIM. Clique em Próximo.

   

Opção B. Conta de serviço regular + autenticação básica Office 365

1. Na página Configurar serviços comuns, selecioneOffice 365 serviço de email e Autenticação Básica. Deixe a caixa de seleção Usar Conta de Serviço Gerenciada de Grupodesmarcada. Clique em Próximo.

   

2. Se estiver instalando o componente relatório do MIM, digite System Center Service Manager nome do servidor de gerenciamento e clique em Avançar.

   

3. Se estiver instalando o componente relatório do MIM apenas no ambiente do TLS 1.2 com System Center Service Manager 2019, escolha um certificado confiável pelo SERVIDOR SCSM com o nome do host do servidor MIM na entidade do certificado, caso contrário, escolha gerar um novo certificado autoassinado. Clique em Próximo.

   

4. Digite o nome e a senha da conta de serviço do MIM, o nome de domínio, o endereço SMTP da caixa de correio Office 365 do serviço MIM e a caixa de correio do Serviço MIM Microsoft Entra senha. Clique em Próximo.

   

Opção C. Conta de serviço regular + autenticação de contexto do aplicativo Office 365

1. Na página Configurar serviços comuns, selecioneOffice 365 serviço de email e Autenticação de Contexto do Aplicativo. Deixe a caixa de seleção Usar Conta de Serviço Gerenciada de Grupodesmarcada. Clique em Próximo.

   

2. Se estiver instalando o componente relatório do MIM, digite System Center Service Manager nome do servidor de gerenciamento e clique em Avançar.

   

3. Forneça a ID do aplicativo Microsoft Entra, A ID do Locatário e o Segredo do Cliente, que foram gerados por um script anteriormente. Clique em Próximo.

   

   Se o instalador não validar a ID do aplicativo ou a ID do locatário, um erro será exibido:

   

   Se o instalador não acessar a caixa de correio do Serviço MIM, outro erro será exibido:

   

4. Se estiver instalando o componente relatório do MIM apenas no ambiente do TLS 1.2 com System Center Service Manager 2019, escolha um certificado confiável pelo SERVIDOR SCSM com o nome do host do servidor MIM na entidade do certificado, caso contrário, escolha gerar um novo certificado autoassinado. Clique em Próximo.

   

5. Digite o nome e a senha da conta de serviço do MIM, o nome de domínio e o endereço SMTP da caixa de correio Office 365 serviço mim. Clique em Próximo.

   

Opção D. Conta de serviço regular + servidor SMTP

1. Na página Configurar serviços comuns, selecioneSMTP e Autenticação Integrada do Windows. Digite nome do host do servidor SMTP. Deixe a caixa de seleção Usar Conta de Serviço Gerenciada de Grupodesmarcada. Clique em Próximo.

   

2. Se estiver instalando o componente relatório do MIM, digite System Center Service Manager nome do servidor de gerenciamento e clique em Avançar.

   

3. Se estiver instalando o componente relatório do MIM apenas no ambiente do TLS 1.2 com System Center Service Manager 2019, escolha um certificado confiável pelo SERVIDOR SCSM com o nome do host do servidor MIM na entidade do certificado, caso contrário, escolha gerar um novo certificado autoassinado. Clique em Próximo.

   

4. Digite o nome e a senha da conta de serviço do MIM, o nome de domínio e o endereço SMTP do Serviço mim. Clique em Próximo.

   

Opção E. Conta de serviço regular + nenhum servidor de email

1. Na página Configurar serviços comuns, selecioneNenhum tipo de servidor. Deixe a caixa de seleção Usar Conta de Serviço Gerenciada de Grupodesmarcada. Clique em Próximo.

   

2. Se estiver instalando o componente relatório do MIM, digite System Center Service Manager nome do servidor de gerenciamento e clique em Avançar.

   

3. Se estiver instalando o componente relatório do MIM apenas no ambiente do TLS 1.2 com System Center Service Manager 2019, escolha um certificado confiável pelo SERVIDOR SCSM com o nome do host do servidor MIM na entidade do certificado, caso contrário, escolha gerar um novo certificado autoassinado. Clique em Próximo.

   

4. Digite nome e senha da conta de serviço do MIM, nome de domínio. Clique em Próximo.

   

Opção F. Conta de serviço gerenciada por grupo + Exchange Server

1. Na página Configurar serviços comuns, selecioneExchange Server 2013 ou posterior e Autenticação Integrada do Windows. Digite o nome do host do servidor Exchange. Habilitar a opção Usar Conta de Serviço Gerenciada de Grupo . Clique em Próximo.

   

2. Se estiver instalando o componente relatório do MIM, digite System Center Service Manager nome do servidor de gerenciamento e clique em Avançar.

   

3. Se estiver instalando o componente relatório do MIM apenas no ambiente do TLS 1.2 com System Center Service Manager 2019, escolha um certificado confiável pelo SERVIDOR SCSM com o nome do host do servidor MIM na entidade do certificado, caso contrário, escolha gerar um novo certificado autoassinado. Clique em Próximo.

   

4. Digite MIM Nome da conta de serviço gerenciada pelo grupo de serviços, nome de domínio, endereço SMTP da caixa de correio do serviço MIM e senha. Clique em Próximo.

   

Opção G. Conta de serviço gerenciada por grupo + autenticação básica Office 365

1. Na página Configurar serviços comuns, selecioneOffice 365 serviço de email e Autenticação Básica. Habilitar a opção Usar Conta de Serviço Gerenciada de Grupo . Clique em Próximo.

   

2. Se estiver instalando o componente relatório do MIM, digite System Center Service Manager nome do servidor de gerenciamento e clique em Avançar.

   

3. Se estiver instalando o componente relatório do MIM apenas no ambiente do TLS 1.2 com System Center Service Manager 2019, escolha um certificado confiável pelo SERVIDOR SCSM com o nome do host do servidor MIM na entidade do certificado, caso contrário, escolha gerar um novo certificado autoassinado. Clique em Próximo.

   

4. Digite o nome da conta de serviço gerenciada pelo grupo do MIM, o nome de domínio, o endereço SMTP da caixa de correio Office 365 do serviço MIM e a senha Microsoft Entra da conta de Serviço do MIM. Clique em Próximo.

   

Opção H. Conta de serviço gerenciada por grupo + autenticação de contexto de aplicativo Office 365

1. Na página Configurar serviços comuns, selecioneOffice 365 serviço de email e Autenticação de Contexto do Aplicativo. Habilitar a opção Usar Conta de Serviço Gerenciada de Grupo . Clique em Próximo.

   

2. Se estiver instalando o componente relatório do MIM, digite System Center Service Manager nome do servidor de gerenciamento e clique em Avançar.

   

3. Forneça a ID do aplicativo Microsoft Entra, A ID do Locatário e o Segredo do Cliente, que foram gerados por um script anteriormente. Clique em Próximo.

   

   Se o instalador não validar a ID do aplicativo ou a ID do locatário, um erro será exibido:

   

   Se o instalador não acessar a caixa de correio do Serviço MIM, outro erro será exibido:

   

4. Se estiver instalando o componente relatório do MIM apenas no ambiente do TLS 1.2 com System Center Service Manager 2019, escolha um certificado confiável pelo SERVIDOR SCSM com o nome do host do servidor MIM na entidade do certificado, caso contrário, escolha gerar um novo certificado autoassinado. Clique em Próximo.

   

5. Digite o nome da conta de serviço gerenciada pelo grupo de serviços mim, o nome de domínio e o endereço SMTP da caixa de correio Office 365 serviço mim. Clique em Próximo.

   

Opção I. Conta de serviço gerenciada por grupo + nenhum servidor de email

1. Na página Configurar serviços comuns, selecioneNenhum tipo de servidor. Habilitar a opção Usar Conta de Serviço Gerenciada de Grupo . Clique em Próximo.

   

2. Se estiver instalando o componente relatório do MIM, digite System Center Service Manager nome do servidor de gerenciamento e clique em Avançar.

   

3. Se estiver instalando o componente relatório do MIM apenas no ambiente do TLS 1.2 com System Center Service Manager 2019, escolha um certificado confiável pelo SERVIDOR SCSM com o nome do host do servidor MIM na entidade do certificado, caso contrário, escolha gerar um novo certificado autoassinado. Clique em Próximo.

   

4. Digite NOME da conta de serviço gerenciada pelo grupo de serviços do MIM, nome de domínio. Clique em Próximo.

   

Etapas comuns de implantação. Continuação

1. Se a conta de Serviço do MIM não estiver restrita para negar logons locais, uma mensagem de aviso será exibida. Clique em Próximo.

   

2. Digite nome do host do Servidor de Sincronização do MIM. Digite o nome da conta do Agente de Gerenciamento do MIM. Se você estiver instalando o Serviço de Sincronização do MIM usando Group-Managed Conta de Serviço, adicione o sinal de dólar ao nome da conta, por exemplo, contoso\MIMSyncGMSAsvc$. Clique em Próximo.

   

3. Digite nome do host do Servidor de Serviço do MIM. Em um caso, um balanceador de carga é usado para equilibrar a carga do serviço MIM, forneça o nome do cluster. Clique em Próximo.

   

4. Forneça o nome do conjunto de sites do SharePoint. http://localhost Substitua por um valor adequado. Clique em Próximo.

   

   Um aviso é exibido. Clique em Próximo.

   

5. Se estiver instalando Self-Service site de Registro de Senha (não necessário se você estiver usando Microsoft Entra ID para redefinição de senha), especifique uma URL para a qual os clientes mim serão redirecionados após o logon. Clique em Próximo.

   

6. Marque a caixa de seleção para abrir as portas 5725 e 5726 no firewall e a caixa de seleção para conceder acesso ao Portal do MIM a todos os usuários autenticados. Clique em Próximo.

   

7. Se estiver instalando Self-Service site de Registro de Senha (não necessário se você estiver usando Microsoft Entra ID para redefinição de senha), defina o nome da conta do pool de aplicativos e sua senha, o nome do host e a porta do site. Habilite a opção Abrir porta no firewall , se necessário. Clique em Próximo.

   

   Um aviso será exibido. Leia-o e clique em Avançar.

   

8. Na próxima tela de configuração do Portal de Registro de Senha do MIM, digite o Endereço do Servidor de Serviço do MIM para o Portal de Registro de Senha e selecione se este site estará acessível por usuários da intranet. Clique em Próximo.

   

9. Se estiver instalando Self-Service site de Redefinição de Senha, defina o nome da conta do pool de aplicativos e sua senha, o nome do host e a porta do site. Habilite a opção Abrir porta no firewall , se necessário. Clique em Próximo.

   

   Um aviso será exibido. Leia-o e clique em Avançar.

   

10. Na próxima tela de configuração do Portal de Redefinição de Senha do MIM, digite o Endereço do Servidor de Serviço do MIM para o Portal de Redefinição de Senha e selecione se este site estará acessível pelos usuários da intranet. Clique em Próximo.

    

11. Quando todas as definições de pré-instalação estiverem prontas, clique em Instalar para começar a instalação dos componentes de Serviço e Portal selecionados.

Tarefas pós-instalação

Após a conclusão da instalação, verifique se o Portal do MIM está ativo.

1. Inicie o Internet Explorer e conecte-se ao Portal do MIM em http://mim.contoso.com/identitymanagement. Observe que pode haver um pequeno atraso na primeira visita a essa página.

   • Se necessário, autentique-se como um usuário, que instalou o Serviço e o Portal do MIM, na Internet Explorer.

2. Na Internet Explorer, abra as Opções da Internet, altere para a guia Segurança e adicione o site à zona de intranet local se ele ainda não estiver lá. Feche a caixa de diálogo Opções da Internet .

3. Na Internet Explorer, abra as Configurações, altere para a guia Configurações do modo de exibição de Compatibilidade e desmarque a caixa de seleção Exibir Sites da Intranet no modo de exibição de Compatibilidade. Feche a caixa de diálogo Modo de Exibição de Compatibilidade .

4. Habilite não administradores para acessar o Portal do MIM.

   1. Usando o Internet Explorer, no Portal do MIM, clique em Regras de da Política de Gerenciamento.
   2. Procure a regra da política de gerenciamento, Gerenciamento de usuário: os usuários podem ler atributos próprios.
   3. Selecione essa regra de política de gerenciamento, desmarque Política está desabilitada.
   4. Clique em OK e em Enviar.