Povolení vzdáleného přístupu k SharePointu s využitím Proxy aplikací služby Microsoft Entra

  • Článek

Tento podrobný průvodce vysvětluje, jak integrovat místní farmu SharePointu s proxy aplikací Microsoft Entra.

Požadavky

K provedení konfigurace potřebujete následující prostředky:

  • Farma SharePointu 2013 nebo novější Farma služby SharePoint musí být integrovaná s ID Microsoft Entra.
  • Tenant Microsoft Entra s plánem, který zahrnuje proxy aplikace. Přečtěte si další informace o plánech a cenách Microsoft Entra ID.
  • Serverová farma systém Microsoft Office Web Apps pro správné spouštění souborů Office z místní farmy SharePointu.
  • Vlastní ověřená doména v tenantovi Microsoft Entra.
  • Místní služba Active Directory synchronizovaná s Microsoft Entra Připojení, prostřednictvím kterých se uživatelé můžou přihlásit k Azure.
  • nainstalovaný a spuštěný privátní síťový konektor na počítači v podnikové doméně.

Konfigurace SharePointu s proxy aplikací vyžaduje dvě adresy URL:

  • Externí adresa URL, viditelná koncovým uživatelům a určená v Microsoft Entra ID. Tato adresa URL může používat vlastní doménu. Přečtěte si další informace o práci s vlastními doménami v proxy aplikací Microsoft Entra.
  • Interní adresa URL, známá pouze v rámci podnikové domény a nikdy nebyla použita přímo.

Důležité

Pokud chcete mít jistotu, že jsou odkazy správně namapované, postupujte podle těchto doporučení pro interní adresu URL:

  • Použijte HTTPS.
  • Nepoužívejte vlastní porty.
  • V podnikovém systému DNS (Domain Name System) vytvořte hostitele (A), který bude odkazovat na server WFE služby SharePoint (nebo nástroj pro vyrovnávání zatížení), a ne na alias (CName).

Tento článek používá následující hodnoty:

  • Interní adresa URL: https://sharepoint.
  • Externí adresa URL: https://spsites-demo1984.msappproxy.net/.
  • Účet fondu aplikací pro webovou aplikaci SharePoint: Contoso\spapppool.

Krok 1: Konfigurace aplikace v MICROSOFT Entra ID, která používá proxy aplikace

V tomto kroku vytvoříte aplikaci v tenantovi Microsoft Entra, který používá proxy aplikace. Nastavíte externí adresu URL a zadáte interní adresu URL, z nichž obě se později použijí v SharePointu.

  1. Vytvořte aplikaci podle popisu s následujícím nastavením. Podrobné pokyny najdete v tématu Publikování aplikací pomocí proxy aplikací Microsoft Entra.

    • Interní adresa URL: Interní adresa URL SharePointu, která je nastavená později v SharePointu, například https://sharepoint.
    • Předběžné ověřování: Microsoft Entra ID.
    • Překlad adres URL v hlavicích: No.
    • Překlad adres URL v textu aplikace: No.

    Publikování SharePointu jako aplikace

  2. Po publikování aplikace nakonfigurujte nastavení jednotného přihlašování podle těchto kroků.

    1. Na stránce aplikace na portálu vyberte jednotné přihlašování.
    2. V režimu jednotného přihlašování vyberte Integrované ověřování systému Windows.
    3. Nastavte interní název instančního objektu aplikace (SPN) na hodnotu, kterou jste nastavili dříve. V tomto příkladu je HTTP/sharepointhodnota .
    4. V části Delegovaná přihlašovací identita vyberte nejvhodnější možnost pro konfiguraci doménové struktury služby Active Directory. Pokud máte například ve své doménové struktuře jednu doménu Active Directory, vyberte název místního účtu SAM (jak je znázorněno na následujícím snímku obrazovky). Pokud ale vaši uživatelé nejsou ve stejné doméně jako SharePoint a servery privátního síťového konektoru, vyberte místní hlavní název uživatele (na snímku obrazovky se nezobrazuje).

    Konfigurace integrovaného ověřování systému Windows pro jednotné přihlašování

  3. Dokončete nastavení aplikace, přejděte do části Uživatelé a skupiny a přiřaďte uživatelům přístup k této aplikaci.

Krok 2: Konfigurace webové aplikace SharePoint

Webová aplikace SharePoint musí být nakonfigurovaná pomocí protokolu Kerberos a odpovídající mapování alternativního přístupu, aby správně fungovala s proxy aplikací Microsoft Entra. Existují dvě možné možnosti:

  • Vytvořte novou webovou aplikaci a použijte pouze výchozí zónu. Použití výchozí zóny je upřednostňovanou možností, která nabízí nejlepší prostředí se SharePointem. Například odkazy v e-mailových upozorněních, které SharePoint generuje odkaz na výchozí zónu.
  • Rozšiřte existující webovou aplikaci tak, aby konfigurovali Protokol Kerberos v jiné než výchozí zóně.

Důležité

Bez ohledu na použitou zónu musí být účet fondu aplikací webové aplikace SharePoint doménovým účtem, aby protokol Kerberos fungoval správně.

Vytvoření webové aplikace SharePoint

  • Tento skript ukazuje příklad vytvoření nové webové aplikace pomocí výchozí zóny. použití výchozí zóny je upřednostňovanou možností.

    1. Spusťte prostředí SharePoint Management Shell a spusťte skript.

      # This script creates a web application and configures the Default zone with the internal/external URL needed to work with Azure AD application proxy
# Edit variables below to fit your environment. Note that the managed account must exist and it must be a domain account
$internalUrl = "https://sharepoint"
$externalUrl = "https://spsites-demo1984.msappproxy.net/"
$applicationPoolManagedAccount = "Contoso\spapppool"

$winAp = New-SPAuthenticationProvider -UseWindowsIntegratedAuthentication -DisableKerberos:$false
$wa = New-SPWebApplication -Name "SharePoint - AAD Proxy" -Port 443 -SecureSocketsLayer -URL $externalUrl -ApplicationPool "SharePoint - AAD Proxy" -ApplicationPoolAccount (Get-SPManagedAccount $applicationPoolManagedAccount) -AuthenticationProvider $winAp
New-SPAlternateURL -Url $internalUrl -WebApplication $wa -Zone Default -Internal

    2. Otevřete web centrálního Správa sharepointového obsahu.

    3. V části Systémové Nastavení vyberte Konfigurovat mapování alternativních přístupů. Otevře se okno Kolekce mapování alternativních přístupů.

    4. Vyfiltrujte zobrazení pomocí nové webové aplikace.

      Mapování alternativních přístupů webové aplikace

  • Pokud rozšíříte existující webovou aplikaci do nové zóny.

    1. Spusťte prostředí SharePoint Management Shell a spusťte následující skript.

      # This script extends an existing web application to Internet zone with the internal/external URL needed to work with Azure AD application proxy
# Edit variables below to fit your environment
$webAppUrl = "http://spsites/"
$internalUrl = "https://sharepoint"
$externalUrl = "https://spsites-demo1984.msappproxy.net/"

$winAp = New-SPAuthenticationProvider -UseWindowsIntegratedAuthentication -DisableKerberos:$false
$wa = Get-SPWebApplication $webAppUrl
New-SPWebApplicationExtension -Name "SharePoint - AAD Proxy" -Identity $wa -SecureSocketsLayer -Zone Extranet -Url $externalUrl -AuthenticationProvider $winAp
New-SPAlternateURL -Url $internalUrl -WebApplication $wa -Zone Extranet -Internal

    '. Otevřete web centrálního Správa sharepointového obsahu.

    1. V části Systémové Nastavení vyberte Konfigurovat mapování alternativních přístupů. Otevře se okno Kolekce mapování alternativních přístupů.

    2. Vyfiltrujte zobrazení pomocí webové aplikace, která byla rozšířena.

      Mapování alternativních přístupů rozšířené aplikace

Ujistěte se, že je webová aplikace SharePoint spuštěná v rámci účtu domény.

Pokud chcete identifikovat účet, na kterém běží fond aplikací webové aplikace SharePoint, a ujistěte se, že se jedná o účet domény, postupujte takto:

  1. Otevřete web centrálního Správa sharepointového obsahu.

  2. Přejděte do části Zabezpečení a vyberte Konfigurovat účty služeb.

  3. Vyberte fond webových aplikací – YourWebApplicationName.

    Možnosti konfigurace účtu služby

  4. Potvrďte, že vyberete účet pro tuto komponentu , vrátí účet domény a pamatujte si ho, protože ho použijete v dalším kroku.

Ujistěte se, že je pro web služby IIS zóny extranetu nakonfigurovaný certifikát HTTPS.

Protože interní adresa URL používá protokol HTTPS (https://SharePoint/), musí být certifikát nastaven na webu Internetová informační služba (IIS).

  1. Otevřete konzolu Windows PowerShellu.

  2. Spuštěním následujícího skriptu vygenerujte certifikát podepsaný svým držitelem a přidejte ho MY storedo počítače .

    # Replace "SharePoint" with the actual hostname of the Internal URL of your Azure AD proxy application
New-SelfSignedCertificate -DnsName "SharePoint" -CertStoreLocation "cert:\LocalMachine\My"

    Důležité

    Certifikáty podepsané svým držitelem jsou vhodné pouze pro testovací účely. V produkčních prostředích důrazně doporučujeme místo toho používat certifikáty vydané certifikační autoritou.

  3. Otevřete konzolu Internetová informační služba Manager.

  4. Rozbalte server ve stromovém zobrazení, rozbalte Weby, vyberte sharepointový web proxy serveru Microsoft Entra ID a vyberte Vazby.

  5. Vyberte vazbu https a pak vyberte Upravit.

  6. V poli certifikát TLS/SSL zvolte certifikát SharePointu a pak vyberte OK.

K sharepointovém webu teď můžete přistupovat externě prostřednictvím proxy aplikací Microsoft Entra.

Krok 3: Konfigurace omezeného delegování kerberos

Uživatelé se nejprve ověřují v Microsoft Entra ID a pak k SharePointu pomocí protokolu Kerberos prostřednictvím privátního síťového konektoru Microsoft Entra. Pokud chcete konektoru povolit získání tokenu Kerberos jménem uživatele Microsoft Entra, musíte nakonfigurovat omezené delegování protokolu Kerberos (KCD) s přechodem protokolu. Další informace o KCD najdete v tématu Přehled omezeného delegování protokolu Kerberos.

Nastavení hlavního názvu služby (SPN) pro účet služby SharePoint

V tomto článku je https://sharepointinterní adresa URL a proto hlavní název služby (SPN) je HTTP/sharepoint. Tyto hodnoty musíte nahradit hodnotami, které odpovídají vašemu prostředí. Pokud chcete zaregistrovat hlavní název služby (SPN HTTP/sharepoint ) pro účet Contoso\spapppoolfondu aplikací SharePointu, spusťte z příkazového řádku následující příkaz jako správce domény:

setspn -S HTTP/sharepoint Contoso\spapppool

Příkaz Setspn vyhledá hlavní název služby (SPN) předtím, než ho přidá. Pokud hlavní název služby (SPN) již existuje, zobrazí se chyba duplicitní hodnoty SPN. Odeberte existující hlavní název služby (SPN). Spuštěním příkazu s -L možností ověřte, že se hlavní název služby úspěšně Setspn přidal. Další informace o příkazu najdete v tématu Setspn.

Ujistěte se, že je konektor důvěryhodný pro delegování do hlavního názvu služby (SPN), který byl přidán do účtu fondu aplikací Služby SharePoint.

Nakonfigurujte KCD tak, aby služba proxy aplikací Microsoft Entra mohl delegovat identity uživatelů na účet fondu aplikací Služby SharePoint. Nakonfigurujte KCD povolením privátního síťového konektoru načíst lístky Kerberos pro uživatele, kteří jsou ověřeni v Microsoft Entra ID. Potom tento server předá kontext cílové aplikaci (v tomto případě SharePoint).

Pokud chcete nakonfigurovat KCD, postupujte podle těchto kroků pro každý počítač konektoru:

  1. Přihlaste se k řadiči domény jako správce domény a otevřete Uživatelé a počítače služby Active Directory.

  2. Najděte počítač s konektorem privátní sítě Microsoft Entra. V tomto příkladu je to počítač, na kterém běží SharePoint Server.

  3. Poklikejte na počítač a pak vyberte kartu Delegování .

  4. Ujistěte se, že jsou možnosti delegování nastavené tak, aby důvěřovaly tomuto počítači pouze pro delegování určených služeb. Pak vyberte Použít libovolný ověřovací protokol.

  5. Vyberte tlačítko Přidat, vyberte Uživatelé nebo Počítače a vyhledejte účet fondu aplikací Služby SharePoint. Například: Contoso\spapppool.

  6. V seznamu hlavního názvu služby vyberte ten, který jste vytvořili dříve pro účet služby.

  7. Vyberte OK a pak znovu vyberte OK , aby se změny uložily.

    Nastavení delegování

Teď jste připraveni se přihlásit k SharePointu pomocí externí adresy URL a ověření pomocí Azure.

Řešení potíží s chybami přihlášení

Pokud přihlášení k webu nefunguje, můžete získat další informace o problému v protokolech Připojení oru: Z počítače, na kterém je spuštěný konektor, otevřete prohlížeč událostí, přejděte do části Protokoly>aplikací a služeb microsoft Microsoft>Entra privátní sítě> Připojení or a zkontrolujte protokol Správa.

Další kroky