MIMを構成する

前回から、ずいぶん時間が空いてしまい、大変申し訳ありません。コロナ過で皆さん大変な状況かと思いますが、前回投稿から1年半も経ってしまいました。本当に年1の更新とならないよう、気を付けていきたいと思います。

前回は、MIMの基本的なしくみとして、どのようなかたちでデータを取り込んで変換するか、というような話しをさせていただきましたが、今回はお待ちかねのインストール作業となります。 少々長いので、回を分けてご紹介したいと思います。なお、本環境は2020年に構築したものとなりますので、現時点で最新のバージョンとなっていない点は、ご了承ください。

MIMを構成する場合、すべてを1台にインストールする方法もありますが、検証環境のようなケース以外はお奨めしません。MIM自体もSharePoint Serverのうえに乗るアプリケーションとして動作負荷がかかりますが、 データエンジン(SQL Server)も相当に高い動作スペックを必要とするため、動きか遅くなってしまうためです。以下のように、サーバーを分けるとよいと思います。もちろん下記は、冗長性等考慮しない、最低構成の前提です。

今回は資材の関係上、MIM同期サーバーとMIMサービス/ポータルサーバーは1台にまとめて構成します。インストールに必要な主なソフトウェアは以下の通りです。サイジングに関しては、各製品のポータルサイト等を直接確認してください。

https://docs.microsoft.com/ja-jp/windows-server/get-started-19/sys-reqs-19
https://docs.microsoft.com/ja-jp/microsoft-identity-manager/capacity-planning-guide
https://docs.microsoft.com/ja-jp/sharepoint/install/hardware-and-software-requirements-2019
https://docs.microsoft.com/ja-jp/sql/sql-server/install/hardware-and-software-requirements-for-installing-sql-server?view=sql-server-ver15

なお、MIMでサポートされているソフトウェア一覧は、以下にありますので、組み合わせを変えたい場合は検討してください。

https://docs.microsoft.com/ja-jp/microsoft-identity-manager/microsoft-identity-manager-2016-supported-platforms

注意事項

MIMのインストールでいつも問題になるのが、「MIMコンポーネントは英語版が前提」であるということです。ユーザー入力や操作を行うMIMポータルは多言語化されており、日本語もサポートしています。 ですが、それ以外のコンポーネント類は英語環境が前提となっており、日本語環境にインストールが失敗するケースがあります。それを避けるには、すべてを英語版にすることが簡単ですが、できない場合、 SharePoint管理サイトに英語モジュールを有効化することで、作業そのものはできるでしょう。

また、MIMや関連ソフトウェア(とくにSharePoint)は、インストール時に関連モジュールを必要として、インターネットから自動ダウンロードを行います。インターネットに接続可能なサーバーで構築することをお奨めします。 オフラインの場合、手動でモジュールを集めてインストールする必要がありますので、手間がかかるでしょう。

ソフトウェアの入手方法・費用

MIMのソフトウェア自身は、ボリュームライセンスサービスセンター、Visual Studio Subscription(開発テストのみ)、あるいは評価版のいずれかでダウンロードが可能です。ソフトウェア自身に料金は発生しません。 利用ユーザー単位でのライセンス料が発生しますが、Azure ADとの連携環境でPremium 1または2の有償ライセンスがあれば、それで充当が可能です。ユーザー数が未定の場合、Software Assurance契約が必要です。Windows ServerやSQL Serverについても別途ライセンスが必要ですので、詳細は以下をご覧ください。

https://docs.microsoft.com/ja-jp/microsoft-identity-manager/microsoft-identity-manager-licensing

以下のPowerShellコマンドレッドを実行し、一括作成を行います。

import-module activedirectory
$sp = ConvertTo-SecureString "P@ssw0rd" -asplaintext -force

# 管理アカウント作成
New-ADUser -SamAccountName MIMAdmin -name MIMAdmin
Set-ADAccountPassword -identity MIMAdmin -NewPassword $sp
Set-ADUser -identity MIMAdmin -Enabled $true -PasswordNeverExpires $true

New-ADUser -SamAccountName svcSharePoint -name svcSharePoint
Set-ADAccountPassword -identity svcSharePoint -NewPassword $sp
Set-ADUser -identity svcSharePoint -Enabled $true -PasswordNeverExpires $true

New-ADUser -SamAccountName svcMIMSql -name svcMIMSql
Set-ADAccountPassword -identity svcMIMSql -NewPassword $sp
Set-ADUser -identity svcMIMSql -Enabled $true -PasswordNeverExpires $true

New-ADUser -SamAccountName svcMIMAppPool -name svcMIMAppPool
Set-ADAccountPassword -identity svcMIMAppPool -NewPassword $sp
Set-ADUser -identity svcMIMAppPool -Enabled $true -PasswordNeverExpires $true

# MIMグループ作成
New-ADGroup -name MIMSyncAdmins -GroupCategory Security -GroupScope Global -SamAccountName MIMSyncAdmins
New-ADGroup -name MIMSyncOperators -GroupCategory Security -GroupScope Global -SamAccountName MIMSyncOperators
New-ADGroup -name MIMSyncJoiners -GroupCategory Security -GroupScope Global -SamAccountName MIMSyncJoiners
New-ADGroup -name MIMSyncBrowse -GroupCategory Security -GroupScope Global -SamAccountName MIMSyncBrowse
New-ADGroup -name MIMSyncPasswordSet -GroupCategory Security -GroupScope Global -SamAccountName MIMSyncPasswordSet
Add-ADGroupMember -identity MIMSyncAdmins -Members Administrator
Add-ADGroupMember -identity MIMSyncAdmins -Members MIMAdmin

setspn -S http/mim.msp-test.intellilink.co.jp msp-test\svcMIMAppPool

#パスワードリセット・登録サイトURLのDNS登録
$ipaddress = [array]"192.168.10.51"
Add-DnsServerResourceRecordA -Name "mim" -ZoneName "msp-test.intellilink.co.jp" -AllowUpdateAny -IPv4Address $ipaddress
Add-DnsServerResourceRecordA -Name "passwordreset" -ZoneName "msp-test.intellilink.co.jp" -AllowUpdateAny -IPv4Address $ipaddress
Add-DnsServerResourceRecordA -Name "passwordregistration" -ZoneName "msp-test.intellilink.co.jp" -AllowUpdateAny -IPv4Address $ipaddress


# gMSA用ルートキー設定
Add-KDSRootKey -EffectiveTime ((Get-Date).AddHours(-10))

# gMSAアカウント・グループ作成
New-ADGroup -name MIMSync_Servers -GroupCategory Security -GroupScope Global -SamAccountName MIMSync_Servers
Add-ADGroupmember -identity MIMSync_Servers -Members chabmim$
New-ADServiceAccount -Name MIMSyncGMSAsvc -DNSHostName MIMSyncGMSAsvc.msp-test.intellilink.co.jp -PrincipalsAllowedToRetrieveManagedPassword "MIMSync_Servers"

Set-ADServiceAccount -Identity MIMSyncGMSAsvc -ServicePrincipalNames @{Add="PCNSCLNT/chabmim.msp-test.intellilink.co.jp"}

New-ADGroup -name MIMService_Servers -GroupCategory Security -GroupScope Global -SamAccountName MIMService_Servers
Add-ADGroupMember -identity MIMService_Servers -Members chabmim$
New-ADServiceAccount -Name MIMSrvGMSAsvc -DNSHostName MIMSrvGMSAsvc.msp-test.intellilink.co.jp -PrincipalsAllowedToRetrieveManagedPassword "MIMService_Servers" -OtherAttributes @{'msDS-AllowedToDelegateTo'='FIMService/chabmim.msp-test.intellilink.co.jp'}

Set-ADServiceAccount -Identity MIMSrvGMSAsvc -TrustedForDelegation $true -ServicePrincipalNames @{Add="FIMService/chabmim.msp-test.intellilink.co.jp"}

Add-ADGroupmember -identity MIMSyncPasswordSet -Members MIMSrvGMSAsvc$ 
Add-ADGroupmember -identity MIMSyncBrowse -Members MIMSrvGMSAsvc$


#パスワードリセットAPPPool用設定
New-ADGroup -name MIMPWReset_Servers -GroupCategory Security -GroupScope Global -SamAccountName MIMPWReset_Servers
Add-ADGroupMember -identity MIMPWReset_Servers -Members chabmim$
New-ADServiceAccount -Name MIMPRstGMSAsvc -DNSHostName MIMPRstGMSAsvc.msp-test.intellilink.co.jp -PrincipalsAllowedToRetrieveManagedPassword "MIMPWReset_Servers" -OtherAttributes @{'msDS-AllowedToDelegateTo'='HTTP/passwordreset.msp-test.intellilink.co.jp'}

Set-ADServiceAccount -Identity MIMPRstGMSAsvc -TrustedForDelegation $true -ServicePrincipalNames @{Add="HTTP/passwordreset.msp-test.intellilink.co.jp"}

Add-ADGroupmember -identity MIMSyncPasswordSet -Members MIMPRstGMSAsvc$ 
Add-ADGroupmember -identity MIMSyncBrowse -Members MIMPRstGMSAsvc$

#パスワード登録APPPool用設定
New-ADGroup -name MIMPWRegist_Servers -GroupCategory Security -GroupScope Global -SamAccountName MIMPWRegist_Servers
Add-ADGroupMember -identity MIMPWRegist_Servers -Members chabmim$
New-ADServiceAccount -Name MIMPRegGMSAsvc -DNSHostName MIMPRegGMSAsvc.msp-test.intellilink.co.jp -PrincipalsAllowedToRetrieveManagedPassword "MIMPWRegist_Servers" -OtherAttributes @{'msDS-AllowedToDelegateTo'='HTTP/passwordregistration.msp-test.intellilink.co.jp'}

Set-ADServiceAccount -Identity MIMPRegGMSAsvc -TrustedForDelegation $true -ServicePrincipalNames @{Add="HTTP/passwordregistration.msp-test.intellilink.co.jp"}

Add-ADGroupmember -identity MIMSyncPasswordSet -Members MIMPRegGMSAsvc$ 
Add-ADGroupmember -identity MIMSyncBrowse -Members MIMPRegGMSAsvc$

Windows役割・機能のインストール

MIMサーバーに対して、Windows役割・機能をインストールします。SharePointインストール等の必要要件ともなりますが、GUIでインストールすると大変ですので、CUI(PSコマンドレット)で作業しましょう。 Winodows ServerインストールディスクをDドライブにメディア装着しておく必要があります。(そうでない方はインストールコマンドレットを読み替え修正してください)

Add-WindowsFeature Web-Server, `
windows-identity-foundation, `
NET-Framework-45-ASPNET, `
Net-Framework-Features, `
Web-Mgmt-Console, `
Web-Mgmt-Compat, `
Web-Metabase, `
Web-Lgcy-Mgmt-Console, `
Web-Lgcy-Scripting, `
Web-Mgmt-Tools, `
Web-WMI, `
Web-Common-HTTP, `
Web-Windows-Auth, `
NET-HTTP-Activation, `
NET-Non-HTTP-Activ, `
NET-WCF-HTTP-Activation45,`
rsat-ad-powershell,`
Server-Media-Foundation,`
Xps-Viewer -includeallsubfeature -source D:\sources\sxs

gMSA等のセキュリティ設定

gMSA等サービスアカウント類は、Winodowsサービスに対して使用可能になるよう、セキュリティ設定を変更します。また特定アカウントは「ネットワーク経由でログオンを拒否」に設定し、 外部からのアクセスを禁止してセキュリティ低下を防ぎます。

(MIMサーバー:ローカルセキュリティポリシー→[セキュリティの設定]-[ローカルポリシー]-[ユーザー権利の割り当て]-<サービスとしてログオン>)

(MIMサーバー:ローカルセキュリティポリシー→[セキュリティの設定]-[ローカルポリシー]-[ユーザー権利の割り当て]-<ネットワーク経由のアクセスを拒否>)

(DBサーバー:ローカルセキュリティポリシー→[セキュリティの設定]-[ローカルポリシー]-[ユーザー権利の割り当て]-<サービスとしてログオン>)

MIMサーバーのインストール前準備

DBサーバーのSQL Serverインストール

DBサーバー上で、SQL Serverをインストールします。アプリケーション用のデータベースは、そのアプリケーションインストール時に自動作成されますが、 その下地としてSQL Server一式が必要です。GUIだと大変ですので、CUIでインストールを行います。

.\setup.exe /Q /IACCEPTSQLSERVERLICENSETERMS /ACTION=install /FEATURES=SQL /INSTANCENAME=MSSQLSERVER /SQLSVCACCOUNT="msp-test\svcMIMSql" /SQLSVCPASSWORD="P@ssw0rd" /AGTSVCSTARTUPTYPE=Automatic /AGTSVCACCOUNT="NT AUTHORITY\Network Service" /SQLSYSADMINACCOUNTS="msp-test\MIMAdmin"

SQL ServerにはCU(累積的アップデート)があり、追加インストールを行うことで、セキュリティ・不具合の修正が可能になります。以下をご覧いただくと、必要なCUモジュールが確認できるでしょう。

https://docs.microsoft.com/ja-jp/sql/database-engine/install-windows/latest-updates-for-microsoft-sql-server?view=sql-server-ver15

インストールが完了した後、1344/tcpポートを外部から参照できるようWindows Firewallを調整する必要があります。そうしないと、SQL Serverに外部からアクセスができません。

まず、前編としてはここまでになります。後編はMIMサーバーの前提構成(Share Point Serverの構成)、および実際のMIMサーバーのインストールになります。