Configurare un dominio per lo scenario di account gestito di gruppo (gMSA)

Microsoft Identity Manger (MIM) funziona con il dominio di Active Directory (AD). È necessario aver già installato Active Directory e assicurarsi di disporre di un controller di dominio nell'ambiente per un dominio che è possibile amministrare. Questo articolo descrive come configurare gli account del servizio gestito del gruppo in tale dominio per l'uso da parte di MIM.

Informazioni generali

Gli account del servizio gestito del gruppo eliminano la necessità di modificare periodicamente le password dell'account del servizio. Con il rilascio di MIM 2016 SP3, i seguenti componenti MIM possono avere gli account gMSA configurati per essere utilizzati durante il processo di installazione:

• Servizio di sincronizzazione MIM (FIMSynchronizationService)
• Servizio MIM (FIMService)
• Pool di applicazioni per il sito web di registrazione delle password MIM
• Pool di applicazioni per il sito Web di reimpostazione della password MIM
• Pool di applicazioni per l'API REST PAM
• Servizio di monitoraggio PAM (PamMonitoringService)
• Servizio componenti PAM (PrivilegeManagementComponentService)

I componenti di MIM seguenti non sono supportati in esecuzione come account del servizio gestito del gruppo.

• Portale MIM. Ciò è dovuto al fatto che il portale MIM fa parte dell'ambiente SharePoint. È invece possibile distribuire SharePoint in modalità farm e Configurare la modifica automatica della password in SharePoint Server.
• Tutti gli agenti di gestione
• Gestione certificati Microsoft
• BHOLD

Maggiori informazioni sul gMSA possono essere trovate nei seguenti articoli:

• Panoramica degli account del servizio gestito del gruppo

• New-ADServiceAccount

• Creare la chiave radice KDS dei servizi di distribuzione delle chiavi

Creare account utente e gruppi di utenti

Tutti i componenti della distribuzione MIM devono avere le proprie identità nel dominio. Sono inclusi i componenti MIM, ad esempio Servizio e Sincronizzazione, nonché SharePoint e SQL.

1. Accedere al controller di dominio come amministratore di dominio (ad esempio Contoso\Administrator).

2. Creare gli account utente seguenti per i servizi MIM. Avviare PowerShell e digitare lo script di PowerShell seguente per creare nuovi utenti di dominio AD (non tutti gli account sono obbligatori, anche se lo script viene fornito solo a scopo informativo, è consigliabile usare un account MIMAdmin dedicato per MIM e il processo di installazione di SharePoint).

   import-module activedirectory
   $sp = ConvertTo-SecureString "Pass@word1" –asplaintext –force
   
   New-ADUser –SamAccountName MIMAdmin –name MIMAdmin
   Set-ADAccountPassword –identity MIMAdmin –NewPassword $sp
   Set-ADUser –identity MIMAdmin –Enabled 1 –PasswordNeverExpires 1
   
   New-ADUser –SamAccountName svcSharePoint –name svcSharePoint
   Set-ADAccountPassword –identity svcSharePoint –NewPassword $sp
   Set-ADUser –identity svcSharePoint –Enabled 1 –PasswordNeverExpires 1
   
   New-ADUser –SamAccountName svcMIMSql –name svcMIMSql
   Set-ADAccountPassword –identity svcMIMSql –NewPassword $sp
   Set-ADUser –identity svcMIMSql –Enabled 1 –PasswordNeverExpires 1
   
   New-ADUser –SamAccountName svcMIMAppPool –name svcMIMAppPool
   Set-ADAccountPassword –identity svcMIMAppPool –NewPassword $sp
   Set-ADUser –identity svcMIMAppPool –Enabled 1 -PasswordNeverExpires 1
   

3. Creare gruppi di sicurezza per tutti i gruppi.

   New-ADGroup –name MIMSyncAdmins –GroupCategory Security –GroupScope Global –SamAccountName MIMSyncAdmins
   New-ADGroup –name MIMSyncOperators –GroupCategory Security –GroupScope Global –SamAccountName MIMSyncOperators
   New-ADGroup –name MIMSyncJoiners –GroupCategory Security –GroupScope Global –SamAccountName MIMSyncJoiners
   New-ADGroup –name MIMSyncBrowse –GroupCategory Security –GroupScope Global –SamAccountName MIMSyncBrowse
   New-ADGroup –name MIMSyncPasswordSet –GroupCategory Security –GroupScope Global –SamAccountName MIMSyncPasswordSet
   Add-ADGroupMember -identity MIMSyncAdmins -Members Administrator
   Add-ADGroupMember -identity MIMSyncAdmins -Members MIMAdmin
   

4. Aggiungere Nomi Principali di Servizio (SPN) per abilitare l'autenticazione Kerberos per gli account di servizio.

   setspn -S http/mim.contoso.com contoso\svcMIMAppPool
   

5. Assicurarsi di registrare i record DNS 'A' seguenti per la corretta risoluzione dei nomi (presupponendo che il servizio MIM, il portale MIM, Password Reset e Password Registration saranno ospitati nello stesso computer)

   • mim.contoso.com: puntare all'indirizzo IP fisico del servizio MIM e del server del portale
   • passwordreset.contoso.com - indirizzare all'indirizzo IP fisico del servizio MIM e del server del portale
   • passwordregistration.contoso.com: scegliere l'indirizzo IP fisico del servizio MIM e del server del portale

Creare la chiave radice del servizio di distribuzione delle chiavi

Accertati di aver effettuato l'accesso come amministratore al controller di dominio per preparare il servizio di distribuzione delle chiavi del gruppo.

Se è già presente una chiave radice per il dominio (usare Get-KdsRootKey per controllare), continuare con la sezione successiva.

6. Creare la chiave radice KDS (Key Distribution Services) (una sola volta per dominio) se necessario. La chiave radice viene usata dal servizio KDS nei controller di dominio (insieme ad altre informazioni) per generare password. Come amministratore di dominio, digitare il comando di PowerShell seguente:

   Add-KDSRootKey –EffectiveImmediately
   

   –EffectiveImmediately potrebbe richiedere un ritardo fino a circa 10 ore perché sarà necessario replicare in tutti i controller di dominio. Questo ritardo è stato di circa 1 ora per due controller di dominio.

   

   Nota

   Nell'ambiente Lab o Test è possibile evitare un ritardo di replica di 10 ore eseguendo invece il comando seguente:
   Add-KDSRootKey -EffectiveTime ((Get-Date). AddHours(-10))

Creare un account, un gruppo e un'entità servizio principale per il servizio di sincronizzazione MIM.

Assicurarsi che tutti gli account computer per i computer in cui deve essere installato il software MIM siano già aggiunti al dominio. Eseguire quindi questi passaggi in PowerShell come amministratore di dominio.

7. Creare un gruppo MIMSync_Servers e aggiungere tutti i server di sincronizzazione MIM a questo gruppo. Digitare quanto segue per creare un nuovo gruppo di Active Directory per i server di sincronizzazione MIM. Aggiungere quindi gli account computer active Directory del server di sincronizzazione MIM, ad esempio contoso\MIMSync$, in questo gruppo.

   New-ADGroup –name MIMSync_Servers –GroupCategory Security –GroupScope Global –SamAccountName MIMSync_Servers
   Add-ADGroupmember -identity MIMSync_Servers -Members MIMSync$
   

8. Creare il gMSA per il servizio di sincronizzazione MIM. Digitare il comando PowerShell seguente.

   New-ADServiceAccount -Name MIMSyncGMSAsvc -DNSHostName MIMSyncGMSAsvc.contoso.com -PrincipalsAllowedToRetrieveManagedPassword "MIMSync_Servers"
   

   Controllare i dettagli del GSMA creato eseguendo comando Get-ADServiceAccount PowerShell:

   

9. Se si prevede di eseguire il servizio di notifica delle modifiche delle password, è necessario registrare il nome dell'entità servizio eseguendo questo comando di PowerShell:

   Set-ADServiceAccount -Identity MIMSyncGMSAsvc -ServicePrincipalNames @{Add="PCNSCLNT/mimsync.contoso.com"}
   

10. Riavviare il server di sincronizzazione MIM per aggiornare un token Kerberos associato al server quando l'appartenenza al gruppo "MIMSync_Server" è stata modificata.

Creare un account del servizio dell'agente di gestione dei servizi MIM

11. In genere, quando si installa il servizio MIM, si creerà un nuovo account per l'agente di gestione del servizio MIM (account MA MIM). Con gMSA sono disponibili due opzioni:

• Usare l'account del servizio gestito di gruppo del servizio di sincronizzazione MIM e non creare un account separato

  È possibile ignorare la creazione dell'account del servizio dell'agente di gestione dei servizi MIM. In questo caso, usare il nome gMSA del servizio di sincronizzazione MIM, ad esempio contoso\MIMSyncGMSAsvc$, anziché l'account MA MIM durante l'installazione del servizio MIM. Più avanti nella configurazione dell'agente di gestione dei servizi MIM abilitare 'opzione 'Usa account MIMSync'.

  Non abilitare "Nega accesso dalla rete" per l'account del servizio di sincronizzazione MIM gMSA, poiché l'account MIM MA richiede l'autorizzazione "Consenti accesso alla rete".

• Usare un account di servizio standard per l'agente di gestione del servizio MIM

  Avviare PowerShell come amministratore di dominio e digitare quanto segue per creare un nuovo utente di dominio AD:

  $sp = ConvertTo-SecureString "Pass@word1" –asplaintext –force
  
  New-ADUser –SamAccountName svcMIMMA –name svcMIMMA
  Set-ADAccountPassword –identity svcMIMMA –NewPassword $sp
  Set-ADUser –identity svcMIMMA –Enabled 1 –PasswordNeverExpires 1
  

  Non abilitare "Nega accesso dalla rete" per l'account MA MIM perché richiede l'autorizzazione "Consenti accesso alla rete".

Creare account, gruppi e entità servizio MIM

Continuare a usare PowerShell come amministratore di dominio.

12. Creare un gruppo MIMService_Servers e aggiungere tutti i server del servizio MIM a questo gruppo. Digitare il comando PowerShell seguente per creare un nuovo gruppo di Ad per i server del servizio MIM e aggiungere l'account computer Active Directory del server del servizio MIM, ad esempio contoso\MIMPortal$, in questo gruppo.

    New-ADGroup –name MIMService_Servers –GroupCategory Security –GroupScope Global –SamAccountName MIMService_Servers
    Add-ADGroupMember -identity MIMService_Servers -Members MIMPortal$
    

13. Creare gMSA del servizio MIM.

    New-ADServiceAccount -Name MIMSrvGMSAsvc -DNSHostName MIMSrvGMSAsvc.contoso.com -PrincipalsAllowedToRetrieveManagedPassword "MIMService_Servers" -OtherAttributes @{'msDS-AllowedToDelegateTo'='FIMService/mimportal.contoso.com'} 
    

14. Registrare il Service Principal Name e abilitare la delega Kerberos eseguendo questo PowerShell comando:

    Set-ADServiceAccount -Identity MIMSrvGMSAsvc -TrustedForDelegation $true -ServicePrincipalNames @{Add="FIMService/mimportal.contoso.com"}
    

15. Per gli scenari SSPR è necessario che l'account del servizio MIM sia in grado di comunicare con il servizio di sincronizzazione MIM, pertanto l'account del servizio MIM deve essere membro di MIMSyncAdministrators o dei gruppi MIM Sync Password Reset e Browse.

    Add-ADGroupmember -identity MIMSyncPasswordSet -Members MIMSrvGMSAsvc$ 
    Add-ADGroupmember -identity MIMSyncBrowse -Members MIMSrvGMSAsvc$ 
    

16. Riavviare il server del servizio MIM per aggiornare un token Kerberos associato al server quando l'appartenenza al gruppo "MIMService_Servers" è stata modificata.

Creare altri account e gruppi MIM, se necessario

Se si sta configurando il sistema di reimpostazione self-service della password di MIM, seguendo le stesse linee guida descritte in precedenza per il servizio di sincronizzazione MIM e il servizio MIM, è possibile creare altri gMSA per:

• Pool di applicazioni per il sito Web di reimpostazione della password MIM
• Pool di applicazioni per il sito web di registrazione delle password MIM

Se si sta configurando MIM PAM, seguendo le stesse linee guida descritte in precedenza per il servizio di sincronizzazione MIM e il servizio MIM, è possibile creare altri gMSA per:

• Pool di applicazioni del MIM PAM API REST del sito Web
• Servizio componente PAM MIM
• Servizio di monitoraggio MIM PAM

Specificare un account del servizio gestito del gruppo quando si installa MIM

Come regola generale, nella maggior parte dei casi quando si usa un programma di installazione MIM, per specificare che si vuole usare un account del servizio gestito del gruppo anziché un account normale, aggiungere un carattere di segno dollaro al nome dell'account del servizio gestito del gruppo, ad esempio contoso\MIMSyncGMSAsvc$, e lasciare vuoto il campo della password. Un'eccezione è lo strumento miisactivate.exe che accetta il nome gMSA senza il segno di dollaro.