Convertir les services spécifiques à Microsoft Identity Manager pour utiliser des comptes de service gérés de groupe
Cet article est un guide de configuration des services Microsoft Identity Manager pris en charge pour utiliser des comptes de service gérés de groupe (gMSA). Une fois que vous avez préconfiguré votre environnement, le processus de conversion en gMSA est simple.
Prérequis
Téléchargez et installez le correctif logiciel requis suivant : Microsoft Identity Manager 4.5.26.0 ou version ultérieure.
Services pris en charge :
- Service de synchronisation Microsoft Identity Manager (FIMSynchronizationService)
- Service Microsoft Identity Manager (FIMService)
- Inscription du mot de passe Microsoft Identity Manager
- Réinitialisation de mot de passe Microsoft Identity Manager
- Service de surveillance Privileged Access Management (PAM) (PamMonitoringService)
- Service de composants PAM (PrivilegeManagementComponentService)
Services non pris en charge :
- le portail Microsoft Identity Manager n’est pas pris en charge. Il fait partie de l’environnement SharePoint et il vous faudrait le déployer en mode batterie de serveurs ainsi que Configurer une modification automatique du mot de passe dans SharePoint Server.
- Tous les agents de gestion, à l’exception de l’agent de gestion Microsoft Identity Manager Service
- Gestion des certificats Microsoft
- BHOLD
Pour obtenir des informations de référence d’arrière-plan et générales sur la configuration de votre environnement, consultez :
Avant de commencer, créez la clé racine des services de distribution de clés sur votre contrôleur de domaine Windows. Tenez compte des informations suivantes :
- Les clés racines sont utilisées par le service de distribution de clés (KDS) pour générer des mots de passe et d’autres informations sur les contrôleurs de domaine.
- Créez une clé racine une seule fois par domaine, si nécessaire.
- Incluez
Add-KDSRootKey –EffectiveImmediately
. « – EffectiveImmediately » signifie que la réplication de la clé racine sur tous les contrôleurs de domaine peut prendre jusqu’à 10 heures. La réplication sur deux contrôleurs de domaine peut prendre environ 1 heure.
Actions à exécuter sur chaque contrôleur de domaine Active Directory
Créez un groupe nommé MIMSync_Servers et ajoutez tous les serveurs de synchronisation.
Connectez-vous à Windows PowerShell en tant qu’administrateur de domaine avec un compte déjà joint au domaine, puis exécutez la commande suivante :
New-ADServiceAccount -Name MIMSyncGMSAsvc -DNSHostName MIMSyncGMSAsvc.contoso.com -PrincipalsAllowedToRetrieveManagedPassword "MIMSync_Servers"
Afficher les détails du compte gMSA pour la synchronisation :
Si vous exécutez le service de notification de modification de mot de passe (PCNS), mettez à jour la délégation en exécutant la commande suivante :
Set-ADServiceAccount -Identity MIMSyncGMSAsvc -ServicePrincipalNames @{Add="PCNSCLNT/mimsync.contoso.com"}
Actions à exécuter sur le serveur de synchronisation Microsoft Identity Manager
Dans Synchronization Service Manager, sauvegardez la clé de chiffrement. Elle sera demandée lors de l’installation du mode de modification. Procédez comme suit :
a. Sur le serveur où Synchronization Service Manager est installé, recherchez l’outil de gestion des clés du service de synchronisation. Le jeu de clés Exporter est déjà sélectionné par défaut.
b. Sélectionnez Suivant.
c. À l’invite, entrez et vérifiez les informations du compte de service de synchronisation Microsoft Identity Manager ou Forefront Identity Manager (FIM) :
- Nom du compte : nom du compte du service de synchronisation utilisé lors de l’installation initiale.
- Mot de passe : mot de passe du compte du service de synchronisation.
- Domaine : domaine dont le compte du service de synchronisation fait partie.
d. Sélectionnez Suivant.
Si vous avez réussi à entrer les informations sur le compte, une option vous permet de modifier la destination ou d’exporter l’emplacement du fichier de la clé de chiffrement de sauvegarde. Par défaut, l’emplacement du fichier d’exportation est C :\Windows\system32\miiskeys-1.bin.
Installez Microsoft Identity Manager correctif logiciel 2016 SP1 ou ultérieur, que vous pouvez trouver dans le Centre de gestion des licences en volume ou le site téléchargements MSDN. Une fois l’installation terminée, enregistrez le jeu de clés miiskeys.bin.
Installez le correctif logiciel 4.5.2.6.0 ou version ultérieure.
Une fois le correctif installé, arrêtez le service de synchronisation FIM en procédant comme suit :
a. Dans le panneau de configuration, sélectionnez Programmes et fonctionnalités>Microsoft Identity Manager.
b. Dans la page Service de synchronisation, sélectionnez Modifier>Suivant.
c. Dans la fenêtre Options de maintenance, sélectionnez Configurer.d. Dans la fenêtre Configurer le service de synchronisation Microsoft Identity Manager, désactivez la valeur par défaut dans la zone Compte de service, puis entrez MIMSyncGMSA$ . Veillez à inclure le symbole du dollar ($), comme le montre l’illustration suivante. Laissez la zone Mot de passe vide.
e. Sélectionnez Suivant>Suivant>Installer.
f. Restaurez le jeu de clés à partir du fichier miiskeys.bin enregistré précédemment.
Service Microsoft Identity Manager
Important
Suivez attentivement les instructions de cette section quand vous convertissez des comptes Microsoft Identity Manager liés à des services en comptes gMSA.
Créez des comptes gérés de groupe pour le service Microsoft Identity Manager, l’API Rest PAM, le service de surveillance PAM, le service de composants PAM, le portail d’inscription de réinitialisation de mot de passe en libre-service (SSPR) et le portail de réinitialisation SSPR.
Mettez à jour la délégation gMSA et le nom de principal du service (SPN) :
Set-ADServiceAccount -Identity \<account\> -ServicePrincipalNames @{Add="\<SPN\>"}
Délégation :
Set-ADServiceAccount -Identity \<gmsaaccount\> -TrustedForDelegation $true
Délégation contrainte :
$delspns = 'http/mim', 'http/mim.contoso.com'
New-ADServiceAccount -Name \<gmsaaccount\> -DNSHostName \<gmsaaccount\>.contoso.com -PrincipalsAllowedToRetrieveManagedPassword \<group\> -ServicePrincipalNames $spns -OtherAttributes @{'msDS-AllowedToDelegateTo'=$delspns }
ajoutez un compte pour le service Microsoft Identity Manager dans les groupes de synchronisation. Cette étape est nécessaire pour la réinitialisation de mot de passe en libre-service (SSPR).
Notes
Un problème connu sur Windows Server 2012 R2 est que les services qui utilisent un compte géré cessent de répondre après le redémarrage du serveur, car le service de distribution de clés Microsoft n’est pas démarré après le redémarrage de Windows. Pour contourner ce problème, exécutez la commande suivante :
sc triggerinfo kdssvc start/networkon
La commande démarre le service de distribution de clés de Microsoft lorsque le réseau est activé (généralement au début du cycle de démarrage).
Pour lire une discussion sur un problème similaire, consultez AD FS Windows 2012 R2 : adfssrv se bloque en mode de démarrage.
Exécutez MSI avec des privilèges élevés du service Microsoft Identity Manager, puis sélectionnez Modifier.
Dans la fenêtre Configurer la connexion au serveur de messagerie, activez la case à cocher Utiliser un autre utilisateur pour Exchange (pour les comptes gérés) . Vous avez la possibilité d’utiliser le compte Exchange actuel ou la boîte aux lettres cloud.
Notes
Si vous sélectionnez l’option Utiliser Exchange Online, pour permettre au service Microsoft Identity Manager de traiter les réponses d’approbation provenant du module complémentaire Outlook Microsoft Identity Manager, définissez la valeur de clé de Registre HKLM\SYSTEM\CurrentControlSet\Services\FIMService de PollExchangeEnabled sur 1 après l’installation.
Dans la fenêtre Configurer le compte de service MIM, dans la zone Nom du compte de service, entrez le nom. Veillez à inclure le symbole du dollar ($). Entrez également un mot de passe dans la zone Mot de passe du compte de messagerie de service. La zone Mot de passe du compte de service ne devrait pas être disponible.
Comme la fonction LogonUser ne fonctionne pas pour les comptes gérés, à la page suivante, l’avertissement « Veuillez vérifier si le compte de Service est sécurisé dans sa configuration actuelle » s’affiche.
Dans la fenêtre Configurer l’API REST Privileged Access Management, dans la zone Nom du compte du pool d'applications, entrez le nom du compte. Veillez à inclure le symbole du dollar ($). Laissez la zone Mot de passe du compte du pool d'applications vide.
Dans la fenêtre Configurer le composant de service PAM, dans la zone Nom du compte de service, entrez le nom du compte. Veillez à inclure le symbole du dollar ($). Laissez la zone Mot de passe du compte de service vide.
Dans la fenêtre Configurer le service de surveillance de Privileged Access Management, dans la zone Nom du compte de service, tapez le nom du compte de service. Veillez à inclure le symbole du dollar ($). Laissez la zone Mot de passe du compte de service vide.
Dans la fenêtre Configurer le portail d’inscription du mot de passe MIM, dans la zone Nom du compte, entrez le nom du compte. Veillez à inclure le symbole du dollar ($). Laissez la zone Mot de passe vide.
Dans la fenêtre Configurer le portail de réinitialisation de mot de passe MIM, dans la zone Nom du compte, entrez le nom du compte. Veillez à inclure le symbole du dollar ($). Laissez la zone Mot de passe vide.
Terminez l'installation.
Notes
Pendant l’installation, deux nouvelles clés sont créées dans le chemin de registre HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Forefront Identity Manager\2010\Service pour le stockage du mot de passe Exchange chiffré. Une entrée est destinée à ExchangeOnline et l’autre à ExchangeOnPremise. Pour l’une des entrées, la valeur dans la colonne Données doit être vide.
Pour mettre à jour le mot de passe de vos comptes stockés sans avoir à exécuter le mode de modification, téléchargez ce script PowerShell.
Pour chiffrer le mot de passe Exchange, le programme d’installation crée un service supplémentaire qu’il exécute sous le compte géré. Les messages suivants sont ajoutés dans le journal des événements de l’application au cours de l’installation :