Le package de correctif cumulatif (build 4.4.1459.0) est disponible pour Microsoft Identity Manager Service Pack 1 2016

Service de synchronisation

Une fois cette mise à jour installée, les extensions de règles et les agents de gestion personnalisés basés sur une ma extensible (ECMA1 ou ECMA 2.0) peuvent ne pas s’exécuter et produire l’état d’exécution « stopped-extension-dll-load ». Ce problème se produit lorsque vous exécutez de telles extensions de règles ou des autorités de certification personnalisées après avoir modifié le fichier de configuration (.config) pour l’un des processus suivants :

• MIIServer.exe

• Mmsscrpt.exe

• Dllhost.exe

Par exemple, vous avez modifié le fichier MIIServer.exe.config pour modifier la taille de lot par défaut pour le traitement des entrées de synchronisation pour l’agent de gestion des services FIM.

Dans ce cas, le programme d’installation du moteur de synchronisation pour cette mise à jour évite intentionnellement de remplacer le fichier de configuration pour éviter de supprimer vos modifications précédentes. Étant donné que le fichier de configuration n’est pas remplacé, les entrées requises par cette mise à jour ne sont pas présentes dans les fichiers, et le moteur de synchronisation ne charge aucune DLL d’extension de règles lorsque le moteur exécute un profil d’exécution d’importation complète ou delta sync.

Pour résoudre ce problème, procédez comme suit :

1. Effectuez une copie de sauvegarde du fichier MIIServer.exe.config.

2. Ouvrez le fichier MIIServer.exe.config dans un éditeur de texte ou dans Microsoft Visual Studio.

3. Recherchez la section> du runtime <dans le fichier MIIServer.exe.config, puis remplacez le contenu de la section <dependentAssembly> par le code suivant : <dependentAssembly> <assemblyIdentity name="Microsoft.MetadirectoryServicesEx » publicKeyToken="31bf3856ad364e3 5 » /> <bindingRedirect oldVersion="3.3.0.0-4.1.3.0 » newVersion="4.1.4.0 » /> </dependentAssembly>

4. Enregistrez les modifications apportées au fichier.

5. Recherchez le fichier Mmsscrpt.exe.config dans le même répertoire et le fichier Dllhost.exe.config situé dans le répertoire parent. Répétez les étapes 1 à 4 pour ces deux fichiers.

6. Redémarrez le service de synchronisation de Forefront Identity Manager (FIMSynchronizationService).

7. Vérifiez que les extensions de règles et les agents de gestion personnalisés fonctionnent à présent comme prévu.

Service MIM

Problème 1

Le flux de travail d’authentification échoue avec « Le délai d’expiration du sémaphore a expiré » après que le client personnalisé a demandé le jeton AuthN.

Une fois la mise à jour installée, la demande se termine comme prévu et un message clair sur une erreur de communication est généré dans le journal des événements.

Problème 2

Sous une charge importante, il peut y avoir une situation de condition de concurrence quand deux instances de service MIM essaient de traiter le même workflow en même temps. Cela peut entraîner l’échec du traitement du flux de travail.

Une fois cette mise à jour installée, ce problème ne se produit plus.

Problème 3

Le partitionnement des ensembles peut ne pas fonctionner si un critère d’ensemble contient une sous-condition. Après avoir installé cette mise à jour, définir le partitionnement fonctionne correctement.

Problème 4

Au fil du temps, certaines données de traitement s’accumulent dans la base de données du service MIM, ce qui peut entraîner des problèmes de performances. Cela provoque un problème quand de nombreux ID d’objet sont conservés dans le FICHIER FIM. Table d’objets . Le travail SQL Server Agent exécute la procédure stockée FIM_DeleteExpiredSystemObjectsJob et supprime les objets système expirés en collectant toutes les demandes et toutes les références d’objet, et place leurs ID d’objet dans la table ExpiredObjectKeys.

Ensuite, toutes les valeurs des tables ObjectValue* sont supprimées pour chaque numéro d’ID dans la table ExpiredObjectKeys . Enfin, si les valeurs des tables ObjectValue* ont en effet toutes été supprimées, la ligne correspondante dans la table ExpiredObjectKeys est également supprimée. Toutefois, l’ID d’objet lui-même n’est jamais supprimé du fichier fim. Table d’objets .

Après avoir installé la mise à jour, une nouvelle procédure stockée dans l’espace de noms de débogage est ajoutée pour nettoyer la base de données de ces objets.

• Nom de la procédure stockée : débogage. DeleteObjectRemainders

• Syntaxe : exec debug. DeleteObjectRemainders

Problème 5

Une fois l’installation MIM SP1 nettoyée, MIM Reporting ou MIM Service Partitioning peut ne pas fonctionner correctement. Après avoir installé cette mise à jour, les rapports de service MIM et le partitionnement sont installés et fonctionnent correctement.

Problème 6

Si le niveau de compatibilité de la base de données FIMService est défini sur 120, des interblocages SQL peuvent se produire. Après avoir installé cette mise à jour, ces interblocages ne se produisent plus.

Amélioration 1

La journalisation détaillée des traces dans le service MIM peut désormais être activée sans forcer le redémarrage du service.

Une nouvelle section est ajoutée au fichier Microsoft.ResourceManagement.Service.exe.config pour prendre en charge cette fonctionnalité. Une fois cette mise à jour installée, cette nouvelle section est maintenant présente.

<dynamicLogging mode="true" loggingLevel="Critical" />

La journalisation peut être définie sur n’importe quel niveau entre Critique et Détaillé.

Deux fichiers de sortie seront écrits dans le dossier d’installation du service MIM. Il est important que le compte de service MIM dispose d’autorisations d’écriture sur ce dossier.

Emplacement du dossier :

%programfiles%\Microsoft Forefront Identity Manager\2010\Service

Fichiers écrits :

• Microsoft.ResourceManagement.Service_tracelog.svclog

• Microsoft.ResourceManagement.Service_tracelog.txt

Amélioration 2

La prise en charge de System Center 2016 Service Manager et Data Warehouse est ajoutée pour MIM Service Reporting.

Avant cette mise à jour, MIM Reporting n’a pas pu être installé et exécuté avec System Center 2016 Service Manager Console.

Après avoir installé cette mise à jour, MIM Reporting peut être installé et exécuté sans avoir à préinstaller la console SCSM, pour n’importe quelle version prise en charge de SCSM.

Service de synchronisation

Problème 1

Si l’agent de gestion du service FIM exporte une suppression d’objet mais ne reçoit pas de confirmation de la suppression, ce même objet peut être en partie recréé dans le FIMService.

Une fois cette mise à jour installée, une erreur s’affiche dans la liste des erreurs de l’exécution de l’exportation, et la récré ne se produit pas.

Problème 2

Lorsque le DN d’un objet est également l’ancre, il ne peut pas être renommé. Au lieu de cela, vous recevez l’exception suivante :

Après avoir installé cette mise à jour, le changement de nom est traité comme prévu.

Problème 3

L’outil clé de gestion des clés de chiffrement (miiskmu.exe) peut ne pas abandonner les clés en raison d’un délai d’attente causé par un verrou de base de données.

Après avoir installé cette mise à jour, les clés sont traitées sans rencontrer de délai d’attente.

Problème 4

Lorsque vous exécutez une étape de profil de synchronisation, des problèmes de performances périodiques sont rencontrés.

Un correctif a été apporté à la procédure stockée mms_getprojected_csrefguids_noorder pour améliorer les performances.

Problème 5

Dans certaines circonstances, les règles de synchronisation basées sur des filtres sont appliquées même si elles ne doivent pas l’être.

Après avoir installé cette mise à jour, la règle de synchronisation est appliquée uniquement si elle doit l’être.

Problème 6

Lors de l’exportation pour le connecteur LDAP générique, si la création d’un fichier journal d’audit a été configurée, le profil d’exécution de l’exportation s’arrête sans afficher d’erreur BAIL.

Après avoir installé cette mise à jour, une étape d’exportation du profil d’exécution s’exécute correctement sur le connecteur LDAP générique lorsque l’option de création du fichier journal d’audit est activée.

Portail de réinitialisation de mot de passe MIM

Problème 1

Lorsque vous réinitialisez un mot de passe à l’aide de la porte d’authentification SMS, un message incorrect s’affiche à l’utilisateur :

Après avoir installé cette mise à jour, la chaîne incorrecte « Call Verified: » est supprimée de cette boîte de dialogue.

Portail de gestion des identités MIM

Problème 1

Le glisser-déplacer des utilisateurs dans la zone Supprimer pour supprimer ou supprimer un membre pour l’appartenance au groupe ne fonctionne pas dans toutes les circonstances.

Après avoir installé ce correctif, les utilisateurs peuvent glisser-déplacer des utilisateurs dans la zone Supprimer lorsque vous gérez les appartenances manuelles aux groupes.

Problème 2

Paramètres de date/heure locaux ignorés pour l’anglais (Australie).

Après avoir installé cette mise à jour, les paramètres de format de date/heure locales sont appliqués.

Problème 3

Les contrôles personnalisés ne sont pas initialisés si nous avons des paramètres d’événement personnalisés dans la configuration d’affichage du contrôle de ressource (RCDC).

Après avoir installé ce correctif, les contrôles personnalisés sont initialisés comme prévu.

Problème 4

La gestion des erreurs dans la configuration d’affichage du contrôle des ressources n’est parfois pas claire.

Dans cette mise à jour, les notifications d’erreur sont personnalisées pour décrire l’erreur plus clairement.

Problème 5

Lorsque vous utilisez un lien copié vers un objet personnalisé dans le portail de gestion des identités, l’objet ne s’affiche pas comme prévu.

Après avoir installé cette mise à jour, l’objet personnalisé s’affiche comme prévu à partir du lien copié.

Problème 6

Lorsque vous essayez d’installer le portail de gestion des identités sur SharePoint 2016 après la désinstallation ou lors d’une mise à jour, le portail n’est pas installé. En outre, vous recevez l’exception suivante :

En installant cette mise à jour, le programme d’installation redémarre le service de minuteur SharePoint pour réessayer les travaux SharePoint ayant échoué. L’installation peut donc maintenant se terminer.

Problème 7

L’affichage d’approbation RCDC comporte des symboles incorrects et affiche une erreur.

Après avoir installé ce correctif, la vue d’approbation RCDC s’affiche comme prévu et ne lève pas d’exception.

Problème 8

Boutons d’appartenance si les objets de groupe personnalisés ne fonctionnent pas correctement.

Après avoir installé ce correctif, les boutons d’appartenance au groupe fonctionnent comme prévu.

Problème 9

Lorsque vous affichez le portail de gestion des identités MIM à l’aide du navigateur Firefox, les affichages de liste d’objets, tels que les utilisateurs et les groupes de distribution, ne s’affichent pas correctement.

Après avoir installé cette mise à jour, les affichages de liste d’objets s’affichent comme prévu lorsque vous utilisez le navigateur Firefox.

Problème 10

Lorsque vous affichez le portail de gestion des identités MIM à l’aide du navigateur Internet Explorer, les en-têtes des affichages de liste d’objets peuvent ne pas être alignés à gauche dans la colonne.

Après avoir installé cette mise à jour, les en-têtes d’affichage de liste d’objets s’affichent à gauche alignés comme prévu.

Problème 11

Lorsque vous exécutez le portail MIM dans SharePoint 2016, les boutons Join, Leave, Add Member et Remove Member ne fonctionnent pas comme prévu sur les types d’objets de groupe personnalisés.

Après avoir installé cette mise à jour, ces boutons fonctionnent comme prévu sur les types d’objets de groupe personnalisés.

Amélioration 1

Pour résoudre le fait que la valeur par défaut d’une étendue de groupe ne peut pas être définie, deux propriétés facultatives ont été ajoutées à UoCDropDownList et uocRadioButtonList.

• Defaultvalue

• Condition

Defaultvalue: Il s’agit d’une propriété facultative. Utilisez cette propriété pour définir une valeur par défaut pour le contrôle si le contrôle est utilisé pour créer de nouvelles données.

Par exemple :

   <my:Control my:Name="My UocDropDownList" my:TypeName="UocDropDownList"
        …
         <my:Properties>
          ...
           <my:Property my:Name="DefaultValue" my:Value="MyDefault" />

Condition: La condition est un attribut facultatif dans la propriété et elle est utilisée pour spécifier la condition lorsque la propriété est appliquée. Le contrôle peut avoir plusieurs propriétés qui utilisent le même nom, mais des conditions disjointes.

La syntaxe de la condition est la suivante :

my:Condition="[left part] [condition] [right part]"

Remarques

• [partie gauche] a les options suivantes :

  • Liaison source et chemin d’accès

  • Valeur simple

• [condition] a les options suivantes :

  • ==

  • !=

• [partie droite] a les options suivantes :

  • Liaison source et chemin d’accès

  • Valeur simple

Exemple de création de valeurs par défaut différentes pour différents types de groupe :

<my:Control my:Name="My UocDropDownList" my:TypeName="UocDropDownList"
        …
         <my:Properties>
          ...
           <my:Property my:Name="DefaultValue" my:Value=" MyDefautltForDistributionGroups" my:Condition="{Binding Source=object, Path=Type} == Distribution" />
          <my:Property my:Name="DefaultValue" my:Value=" MyDefautltForSecurityGroups " my:Condition="{Binding Source=object, Path=Type} == Security" />

Amélioration 2

Le nom de tous les types d’activités que vous avez créés via le portail est authenticationGateActivity. Après avoir installé cette mise à jour, tous les nouveaux objets ActivityType créés ont les valeurs de nom d’activité suivantes, en fonction du type :

• Authentification : authenticationActivity1... authenticationActivityN

• Autorisation : authorizationActivity1... authorizationActivityN

• Action : actionActivity1... actionActivityN

Amélioration 3

Le demandeur ou l’approbateur n’a aucun moyen de fournir une justification lors de la création de la demande ou de l’approbation/du rejet de la demande en attente.

Avec cette mise à jour, un champ de justification est ajouté à la vue Créer une demande et de nouvelles données de demande de justification/flux de travail peuvent être utilisées. Les attributs suivants sont ajoutés aux paramètres [//Request/Justification] et [//WorkflowData/Reason].

Gestion des certificats

Problème 1

Lors de l’inscription à une carte à puce virtuelle, la saisie d’une broche de moins de 8 caractères renvoie une erreur trompeuse.

Une fois cette mise à jour installée, une erreur pertinente est retournée à l’utilisateur.

Problème 2

Lors du renouvellement d’une carte à puce, un utilisateur peut être intercepté dans une boucle de renouvellement infinie.

Les étapes suivantes entraînent ce problème :

1. Les profils de carte à puce actuels entrent dans la fenêtre de renouvellement :

   • L’utilisateur reçoit un e-mail du service CM FIM lui demandant d’effectuer une demande de renouvellement

2. L’utilisateur exécute correctement la demande de renouvellement et récupère tous les certificats renouvelés.

3. Plusieurs heures plus tard, l’utilisateur reçoit un deuxième e-mail du service FIM CM.

   • Cela n’est pas attendu, car le profil a déjà été renouvelé.

4. L’utilisateur se termine par une boucle de renouvellement infinie s’il exécute toutes les demandes créées par le service FIM CM.

Une fois cette mise à jour installée, seules les demandes correctes sont créées et il n’existe aucune boucle infinie.

Problème 3

Si les listes de révocation de certificats Delta sont désactivées sur une autorité de certification utilisée par MIM Certificate Management, l’exception ERROR_FILE_NOT_FOUND sera levée par MIM CM.

Une fois cette mise à jour installée, aucune exception n’est levée.

Problème 4

MIM CM ne prend pas en charge le mode NonAdmin lorsque vous travaillez avec des cartes virtuelles. La carte à puce virtuelle ne peut être créée que par le client MIM CM lors de l’inscription. Il est également nécessaire d’avoir des droits d’administrateur local pour créer une carte à puce virtuelle. Ainsi, seuls les administrateurs locaux peuvent s’inscrire à une nouvelle carte à puce virtuelle via le portail MIM CM.

Après avoir installé ce correctif logiciel, une nouvelle clé de Registre configure le client MIM CM pour qu’il s’exécute en mode non administrateur. Notez que la carte à puce virtuelle doit être précréée avant que l’utilisateur puisse inscrire sa carte à puce virtuelle sous les paramètres du mode non Administration.

Pour activer le mode NonAdmin , modifiez ou créez la valeur DWORD NonAdmin=1 sous la clé de Registre suivante sur un ordinateur client :

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\CLM\v1.0\SmartCardClient

Problème 5

Lorsque vous utilisez l’API REST MIM CM pour remplacer l’état de la carte à puce par « Désactivé », une erreur 501 (NotImplemented) est retournée.

Une fois cette mise à jour installée, ce même code désactive la carte à puce.

PUT …/api/v1.0/requests/{reqID}/smartcards/{smartcardID}
{
   “status” : “Disabled”
}

Pour plus d’informations, consultez la rubrique Mettre à jour l’état de la carte à puce sur le site web de Microsoft.

Problème 6

MIM CM Server version 4.3.1999.0 ou une version ultérieure (jusqu’au correctif logiciel actuel) ne peut pas fonctionner avec une version antérieure des clients CM (FIM 2010R2 et MIM).

Après avoir installé cette mise à jour, MIM CM Server fonctionne avec les anciens clients MIM et FIM 2010R2 CM (les clients FIM 2010R2 version 4.1.3508.0 et versions ultérieures ont été testés).

Problème 7

Impossible de créer la requête « OfflineUnblock » à l’aide de l’appel suivant à partir de l’API REST MIM CM :

https://learn.microsoft.com/en-us/microsoft-identity-manager/reference/create-request

Une fois cette mise à jour installée, ce même code envoie la requête OfflineUnblock.

Problème 8

Il n’est pas possible d’utiliser l’ID de carte à puce comme paramètre lorsque vous créez une demande « Désactiver » (ou tout autre type) à l’aide de l’appel suivant à partir de l’API REST MIM CM :

https://learn.microsoft.com/en-us/microsoft-identity-manager/reference/create-request

 Seul le paramètre « profile » est disponible.

Par exemple :

POST api/v1.0/requests
    {
        "target":"e5008CDD9E614F9BBEDC45EEEE6776F0",
        "comment":"any comment",
        "type":"Disable",
        "profiletemplateuuid":"7860DEBB-771D-464E-AAC5-2F093282CE66",
        "datacollection":[],
        "priority":"1",
        "smartcard":"49BFE09C-5590-4CC4-8A21-FB4289F4F6C8"  
     }

Après avoir installé cette mise à jour, vous pouvez utiliser l’ID de carte à puce comme paramètre.

Notez que l’ID de carte à puce n’est pas identique à celui du numéro de série de la carte à puce. L’ID de carte à puce est créé par le cm MIM pour chaque carte à puce active.

Problème 9

Le suivi du client MIM CM ne journalise pas datetime. Après avoir installé cette mise à jour, les données de date et d’heure sont incluses dans le journal de suivi du client.

Problème 10

L’annulation d’un utilisateur dans la boîte de dialogue modale de cartes à puce virtuelles existante peut entraîner un message d’erreur non utilisé et déroutant au lieu d’annuler simplement l’opération.

Une fois cette mise à jour installée, l’opération annule l’utilisateur.

Problème 11

Le flux de mise hors service cesse de répondre aux cartes à puce virtuelles TPM lorsque l’option NonAdmin est définie dans le Registre.

Problème 12

Les paramètres de révocation en double sous Stratégie de remplacement ne s’appliquent pas à un profil dupliqué. Après avoir installé cette mise à jour, le flux fonctionne comme prévu. Le délai de révocation est correctement copié dans le profil dupliqué.

Problème 13

La gestion des certificats MIM ne journalise pas les données d’exception de service web. Après avoir installé cette mise à jour, CM journalise désormais toutes les données d’exception de service web.

Amélioration 1

Avant cette mise à jour, les seules options pour les règles de code confidentiel dans l’application moderne MIM CM sont MinimumPinLength.

Après avoir installé cette mise à jour, les paramètres de validation suivants sont désormais disponibles :

• Chiffres

• Minuscules

• Maxlength

• MinLength

• SpecialCharacte3rs

• Majuscules

Complément MIM pour Outlook

Problème 1

Les DLL de complément MIM 32 bits (par exemple, OfficeintegrationShim2010.dll) ne sont pas signées après l’application de la mise à jour MIM SP1 MSP (build 4.4.1302.0).

Dans cette mise à jour, tous les fichiers sont signés comme prévu.