Microsoft Identity Manger (MIM) は、Active Directory (AD) ドメインと連携して動作します。 AD が既にインストールされており、管理可能なドメインの環境内にドメイン コントローラーが存在していることを確認してください。
この記事では、MIM と連携して動作するようにドメインを準備する手順について説明します。
ユーザー アカウントとグループを作成する
MIM デプロイのすべてのコンポーネントに対し、ドメイン内で独自の ID が必要です。 これには、サービスや同期などの MIM コンポーネントのほか、SharePoint や SQL も含まれます。
注
このチュートリアルでは、Contoso という会社のサンプル名と値を使用します。 これらを自分のものと置き換えます。 例えば次が挙げられます。
- ドメイン コントローラー名 - corpdc
- ドメイン名 - contoso
- MIM サービス サーバー名:corpservice
- MIM 同期サーバー名:corpsync
- SQL Server 名 - corpsql
- パスワード - Pass@word1
ドメイン管理者 (e. g. Contoso\Administrator) としてドメイン コントローラーにサインインします。
MIM サービス用に次のユーザー アカウントを作成します。 PowerShell を起動し、次の PowerShell スクリプトを入力してドメインを更新します。
import-module activedirectory $sp = ConvertTo-SecureString "Pass@word1" –asplaintext –force New-ADUser –SamAccountName MIMINSTALL –name MIMINSTALL Set-ADAccountPassword –identity MIMINSTALL –NewPassword $sp Set-ADUser –identity MIMINSTALL –Enabled 1 –PasswordNeverExpires 1 New-ADUser –SamAccountName MIMMA –name MIMMA Set-ADAccountPassword –identity MIMMA –NewPassword $sp Set-ADUser –identity MIMMA –Enabled 1 –PasswordNeverExpires 1 New-ADUser –SamAccountName MIMSync –name MIMSync Set-ADAccountPassword –identity MIMSync –NewPassword $sp Set-ADUser –identity MIMSync –Enabled 1 –PasswordNeverExpires 1 New-ADUser –SamAccountName MIMService –name MIMService Set-ADAccountPassword –identity MIMService –NewPassword $sp Set-ADUser –identity MIMService –Enabled 1 –PasswordNeverExpires 1 New-ADUser –SamAccountName MIMSSPR –name MIMSSPR Set-ADAccountPassword –identity MIMSSPR –NewPassword $sp Set-ADUser –identity MIMSSPR –Enabled 1 –PasswordNeverExpires 1 New-ADUser –SamAccountName SharePoint –name SharePoint Set-ADAccountPassword –identity SharePoint –NewPassword $sp Set-ADUser –identity SharePoint –Enabled 1 –PasswordNeverExpires 1 New-ADUser –SamAccountName SqlServer –name SqlServer Set-ADAccountPassword –identity SqlServer –NewPassword $sp Set-ADUser –identity SqlServer –Enabled 1 –PasswordNeverExpires 1 New-ADUser –SamAccountName BackupAdmin –name BackupAdmin Set-ADAccountPassword –identity BackupAdmin –NewPassword $sp Set-ADUser –identity BackupAdmin –Enabled 1 -PasswordNeverExpires 1 New-ADUser –SamAccountName MIMpool –name MIMpool Set-ADAccountPassword –identity MIMPool –NewPassword $sp Set-ADUser –identity MIMPool –Enabled 1 -PasswordNeverExpires 1すべてのグループにセキュリティ グループを作成します。
New-ADGroup –name MIMSyncAdmins –GroupCategory Security –GroupScope Global –SamAccountName MIMSyncAdmins New-ADGroup –name MIMSyncOperators –GroupCategory Security –GroupScope Global –SamAccountName MIMSyncOperators New-ADGroup –name MIMSyncJoiners –GroupCategory Security –GroupScope Global –SamAccountName MIMSyncJoiners New-ADGroup –name MIMSyncBrowse –GroupCategory Security –GroupScope Global –SamAccountName MIMSyncBrowse New-ADGroup –name MIMSyncPasswordSet –GroupCategory Security –GroupScope Global –SamAccountName MIMSyncPasswordSet Add-ADGroupMember -identity MIMSyncAdmins -Members Administrator Add-ADGroupmember -identity MIMSyncAdmins -Members MIMService Add-ADGroupmember -identity MIMSyncAdmins -Members MIMInstallサービス アカウントの Kerberos 認証を有効にするには SPN を追加します
setspn -S http/mim.contoso.com Contoso\mimpool setspn -S http/mim Contoso\mimpool setspn -S http/passwordreset.contoso.com Contoso\mimsspr setspn -S http/passwordregistration.contoso.com Contoso\mimsspr setspn -S FIMService/mim.contoso.com Contoso\MIMService setspn -S FIMService/corpservice.contoso.com Contoso\MIMServiceセットアップ中に、適切な名前解決のために次の DNS 'A' レコードを追加する必要があります
- mim.contoso.com を corpservice の物理 IP アドレスに対応付け
- passwordreset.contoso.com を corpservice の物理 IP アドレスに対応付け
- passwordregistration.contoso.com を corpservice の物理 IP アドレスに対応付け