Aktivieren des Remotezugriffs auf SharePoint per Azure AD-AnwendungsproxyEnable remote access to SharePoint with Azure AD Application Proxy

In dieser Schritt-für-Schritt-Anleitung wird beschrieben, wie Sie eine lokale SharePoint-Farm mit dem Anwendungsproxy von Azure Active Directory (Azure AD) integrieren.This step-by-step guide explains how to integrate an on-premises SharePoint farm with Azure Active Directory (Azure AD) Application Proxy.

VoraussetzungenPrerequisites

Um die Konfiguration vornehmen zu können, benötigen Sie die folgenden Ressourcen:To perform the configuration, you need the following resources:

  • Eine SharePoint 2013-Farm (oder neuer).A SharePoint 2013 farm or newer.
  • Einen Azure AD-Mandanten mit einem Plan, der den Anwendungsproxy enthält.An Azure AD tenant with a plan that includes Application Proxy. Weitere Informationen zu Azure AD-Tarifen und Preisen finden Sie hier.Learn more about Azure AD plans and pricing.
  • Eine benutzerdefinierte überprüfte Domäne im Azure AD-Mandanten.A custom, verified domain in the Azure AD tenant.
  • Eine mit Azure AD Connect synchronisierte lokale Active Directory-Instanz, über die sich Benutzer bei Azure anmelden können.On-premises Active Directory synchronized with Azure AD Connect, through which users can sign in to Azure.
  • Einen Anwendungsproxyconnector, der auf einem Computer in der Unternehmensdomäne installiert ist und ausgeführt wird.An Application Proxy connector installed and running on a machine within the corporate domain.

Für die Konfiguration von SharePoint mit dem Anwendungsproxy sind zwei URLs erforderlich:Configuring SharePoint with Application Proxy requires two URLs:

  • Eine externe URL, die für Endbenutzer sichtbar und in Azure AD festgelegt ist.An external URL, visible to end-users and determined in Azure AD. Diese URL kann eine benutzerdefinierte Domäne enthalten.This URL can use a custom domain. Weitere Informationen zur Verwendung benutzerdefinierter Domänen im Azure AD-Anwendungsproxy finden Sie hier.Learn more about working with custom domains in Azure AD Application Proxy.
  • Eine interne URL, die nur innerhalb der Unternehmensdomäne bekannt ist und nie direkt verwendet wird.An internal URL, known only within the corporate domain and never used directly.

Wichtig

Halten Sie sich an die folgenden Empfehlungen für die interne URL, um sicherzustellen, dass die Links ordnungsgemäß zugeordnet werden:To make sure the links are mapped correctly, follow these recommendations for the internal URL:

  • Verwenden Sie HTTPS.Use HTTPS.
  • Verwenden Sie keine benutzerdefinierten Ports.Don't use custom ports.
  • Erstellen Sie im Domain Name System (DNS) des Unternehmens keinen Alias (CName), sondern einen Host (A), der auf den SharePoint-WFE (oder Lastenausgleich) verweist.In the corporate Domain Name System (DNS), create a host (A) to point to the SharePoint WFE (or load balancer), and not an alias (CName).

In diesem Artikel werden folgende Werte verwendet:This article uses the following values:

  • Interne URL: https://sharepointInternal URL: https://sharepoint
  • Externe URL: https://spsites-demo1984.msappproxy.net/External URL: https://spsites-demo1984.msappproxy.net/
  • Anwendungspoolkonto für die SharePoint-Webanwendung: Contoso\spapppoolApplication pool account for the SharePoint web application: Contoso\spapppool

Schritt 1: Konfigurieren einer Anwendung in Azure AD, die den Anwendungsproxy verwendetStep 1: Configure an application in Azure AD that uses Application Proxy

In diesem Schritt wird in Ihrem Azure Active Directory-Mandanten eine Anwendung erstellt, die den Anwendungsproxy verwendet.In this step, you create an application in your Azure Active Directory tenant that uses Application Proxy. Sie legen die externe URL fest und geben die interne URL an. Beide werden später in SharePoint verwendet.You set the external URL and specify the internal URL, both of which are used later in SharePoint.

  1. Erstellen Sie die App mit den folgenden Einstellungen gemäß der Beschreibung.Create the app as described with the following settings. Eine ausführliche Anleitung finden Sie unter Veröffentlichen von Anwendungen mit Azure AD-Anwendungsproxy.For step-by-step instructions, see Publishing applications using Azure AD Application Proxy.

    • Interne URL: Interne SharePoint-URL, die später in SharePoint festgelegt wird (Beispiel: https://sharepoint).Internal URL: SharePoint internal URL that will be set later in SharePoint, such as https://sharepoint.
    • Vorauthentifizierung: Azure Active DirectoryPre-Authentication: Azure Active Directory
    • Übersetzen von URLs in Headern: NeinTranslate URLs in Headers: No
    • URLs übersetzen in Anwendungstext: NeinTranslate URLs in Application Body: No

    Veröffentlichen von SharePoint als Anwendung

  2. Nachdem Ihre App veröffentlicht wurde, konfigurieren Sie die Einstellungen für einmaliges Anmelden:After your app is published, follow these steps to configure the single sign-on settings:

    1. Wählen Sie auf der Anwendungsseite im Portal Einmaliges Anmelden aus.On the application page in the portal, select Single sign-on.
    2. Legen Sie den Modus für einmaliges Anmelden auf Integrierte Windows-Authentifizierung fest.For Single Sign-on Mode, select Integrated Windows Authentication.
    3. Legen Sie Interner Anwendungs-SPN auf den zuvor festgelegten Wert fest.Set Internal Application SPN to the value you set earlier. In diesem Beispiel lautet der Wert HTTP/sharepoint.For this example, the value is HTTP/sharepoint.
    4. Wählen Sie unter Delegierte Identität für Anmeldung die am besten geeignete Option für Ihre Active Directory-Gesamtstrukturkonfiguration aus.Under Delegated Login Identity, select the most suitable option for your Active Directory forest configuration. Wenn Ihre Gesamtstruktur also beispielsweise eine einzelne Active Directory-Domäne enthält, wählen Sie Name des lokalen SAM-Kontos aus (wie im folgenden Screenshot zu sehen).For example if you have a single Active Directory domain in your forest, select On-premises SAM account name (as shown in the following screenshot). Sollten sich Ihre Benutzer allerdings nicht in der gleichen Domäne befinden wie SharePoint und die Anwendungsproxy-Connectorserver, wählen Sie Lokaler Benutzerprinzipalname aus (nicht im Screenshot dargestellt).But if your users aren't in the same domain as SharePoint and the Application Proxy Connector servers, select On-premises user principal name (not shown in the screenshot).

    Konfigurieren der integrierten Windows-Authentifizierung für einmaliges Anmelden

  3. Zum Abschluss der Anwendungseinrichtung wechseln Sie zum Abschnitt Benutzer und Gruppen. Weisen Sie dort Benutzer zu, die Zugriff auf diese Anwendung erhalten.To finish setting up your application, go to the Users and groups section and assign users to access this application.

Schritt 2: Konfigurieren der SharePoint-WebanwendungStep 2: Configure the SharePoint web application

Die SharePoint-Webanwendung muss mit Kerberos und den entsprechenden alternativen Zugriffszuordnungen konfiguriert werden, damit sie ordnungsgemäß mit dem Azure AD-Anwendungsproxy funktioniert.The SharePoint web application must be configured with Kerberos and the appropriate alternate access mappings to work correctly with Azure AD Application Proxy. Es gibt zwei mögliche Optionen:There are two possible options:

  • Erstellen Sie eine neue Webanwendung, und verwenden Sie nur die Standardzone.Create a new web application and use only the Default zone. Dies ist die bevorzugte Option für die optimale Verwendung von SharePoint. (Die Links in den von SharePoint generierten E-Mail-Benachrichtigungen verweisen beispielsweise immer auf die Standardzone.)This is the preferred option, as it offers the best experience with SharePoint (for example, the links in the email alerts generated by SharePoint always point to the Default zone).
  • Erweitern Sie eine vorhandene Webanwendung, um Kerberos für eine standardfremde Zone zu konfigurieren.Extend an existing web application to configure Kerberos in a non-default zone.

Wichtig

Das Anwendungspoolkonto der SharePoint-Webanwendung muss unabhängig von der verwendeten Zone ein Domänenkonto sein, damit Kerberos ordnungsgemäß funktioniert.Regardless of the zone that's used, the application pool account of the SharePoint web application must be a domain account for Kerberos to work correctly.

Bereitstellen der SharePoint-WebanwendungProvision the SharePoint web application

  • Gehen Sie wie folgt vor, wenn Sie eine neue Webanwendung erstellen und nur die Standardzone verwenden (bevorzugte Option):If you create a new web application and use only the Default zone (preferred option):

    1. Starten Sie die SharePoint-Verwaltungsshell, und führen Sie das folgende Skript aus:Start the SharePoint Management Shell and run the following script:

      # This script creates a web application and configures the Default zone with the internal/external URL needed to work with Azure AD Application Proxy
      # Edit variables below to fit your environment. Note that the managed account must exist and it must be a domain account
      $internalUrl = "https://sharepoint"
      $externalUrl = "https://spsites-demo1984.msappproxy.net/"
      $applicationPoolManagedAccount = "Contoso\spapppool"
      
      $winAp = New-SPAuthenticationProvider -UseWindowsIntegratedAuthentication -DisableKerberos:$false
      $wa = New-SPWebApplication -Name "SharePoint - AAD Proxy" -Port 443 -SecureSocketsLayer -URL $externalUrl -ApplicationPool "SharePoint - AAD Proxy" -ApplicationPoolAccount (Get-SPManagedAccount $applicationPoolManagedAccount) -AuthenticationProvider $winAp
      New-SPAlternateURL -Url $internalUrl -WebApplication $wa -Zone Default -Internal
      
    2. Öffnen Sie die Website der SharePoint-Zentraladministration.Open the SharePoint Central Administration site.

    3. Wählen Sie unter Systemeinstellungen die Option Alternative Zugriffszuordnungen konfigurieren.Under System Settings, select Configure Alternate Access Mappings. Das Feld Alternative Zugriffszuordnungssammlung wird geöffnet.The Alternate Access Mapping Collection box opens.

    4. Filtern Sie die Anzeige mit der neuen Webanwendung, und vergewissern Sie sich, dass die Anzeige in etwa wie folgt aussieht:Filter the display with the new web application and confirm that you see something like this:

      Alternative Zugriffszuordnungen der Webanwendung

  • Gehen Sie wie folgt vor, wenn Sie eine vorhandene Webanwendung auf eine neue Zone erweitern (falls Sie die Standardzone nicht verwenden können):If you extend an existing web application to a new zone (in case you can't use the Default zone):

    1. Starten Sie die SharePoint-Verwaltungsshell, und führen Sie das folgende Skript aus:Start the SharePoint Management Shell and run the following script:

      # This script extends an existing web application to Internet zone with the internal/external URL needed to work with Azure AD Application Proxy
      # Edit variables below to fit your environment
      $webAppUrl = "http://spsites/"
      $internalUrl = "https://sharepoint"
      $externalUrl = "https://spsites-demo1984.msappproxy.net/"
      
      $winAp = New-SPAuthenticationProvider -UseWindowsIntegratedAuthentication -DisableKerberos:$false
      $wa = Get-SPWebApplication $webAppUrl
      New-SPWebApplicationExtension -Name "SharePoint - AAD Proxy" -Identity $wa -SecureSocketsLayer -Zone Extranet -Url $externalUrl -AuthenticationProvider $winAp
      New-SPAlternateURL -Url $internalUrl -WebApplication $wa -Zone Extranet -Internal
      
    2. Öffnen Sie die Website der SharePoint-Zentraladministration.Open the SharePoint Central Administration site.

    3. Wählen Sie unter Systemeinstellungen die Option Alternative Zugriffszuordnungen konfigurieren.Under System Settings, select Configure Alternate Access Mappings. Das Feld Alternative Zugriffszuordnungssammlung wird geöffnet.The Alternate Access Mapping Collection box opens.

    4. Filtern Sie die Anzeige mit der erweiterten Webanwendung, und vergewissern Sie sich, dass die Anzeige in etwa wie folgt aussieht:Filter the display with the web application that was extended and confirm that you see something like this:

      Alternative Zugriffszuordnungen der erweiterten Anwendung

Sicherstellen, dass die SharePoint-Webanwendung unter einem Domänenkonto ausgeführt wirdMake sure the SharePoint web application is running under a domain account

Identifizieren Sie das Konto, unter dem der Anwendungspool der SharePoint-Webanwendung ausgeführt wird, und vergewissern Sie sich, dass es sich dabei um ein Domänenkonto handelt:To identify the account running the application pool of the SharePoint web application and to make sure it's a domain account, follow these steps:

  1. Öffnen Sie die Website der SharePoint-Zentraladministration.Open the SharePoint Central Administration site.

  2. Navigieren Sie zu Sicherheit, und wählen Sie die Option Dienstkonten konfigurieren.Go to Security and select Configure service accounts.

  3. Wählen Sie Webanwendungspool – YourWebApplicationName aus.Select Web Application Pool - YourWebApplicationName.

    Optionen für das Konfigurieren eines Dienstkontos

  4. Vergewissern Sie sich, dass im Feld Wählen Sie ein Konto für diese Komponente aus. ein Domänenkonto angezeigt wird, und merken Sie sich dieses Konto für den nächsten Schritt.Confirm that Select an account for this component returns a domain account, and remember it, since it will be needed in the next step.

Sicherstellen, dass für die IIS-Website der Zone „Extranet“ ein HTTPS-Zertifikat konfiguriert istMake sure that an HTTPS certificate is configured for the IIS site of the Extranet zone

Da die interne URL das HTTPS-Protokoll (https://SharePoint/) verwendet, muss auf der IIS-Website (Internet Information Services, Internetinformationsdienste) ein Zertifikat festgelegt werden.Because the Internal URL uses HTTPS protocol (https://SharePoint/), a certificate must be set on the Internet Information Services (IIS) site.

  1. Öffnen Sie die Windows PowerShell-Konsole.Open the Windows PowerShell console.

  2. Führen Sie das folgende Skript aus, um ein selbstsigniertes Zertifikat zu generieren und es dem Computerzertifikatspeicher „MY“ hinzuzufügen:Run the following script to generate a self-signed certificate and add it to the computer's MY store:

    # Replace "SharePoint" with the actual hostname of the Internal URL of your Azure AD proxy application
    New-SelfSignedCertificate -DnsName "SharePoint" -CertStoreLocation "cert:\LocalMachine\My"
    

    Wichtig

    Selbstsignierte Zertifikate sind nur für Testzwecke geeignet.Self-signed certificates are suitable only for test purposes. In Produktionsumgebungen wird dringend empfohlen, stattdessen Zertifikate einer Zertifizierungsstelle zu verwenden.In production environments, we strongly recommend that you use certificates issued by a certificate authority instead.

  3. Öffnen Sie die Konsole „Internetinformationsdienste-Manager“.Open the Internet Information Services Manager console.

  4. Erweitern Sie den Server in der Strukturansicht, erweitern Sie Websites, wählen Sie die Website SharePoint – AAD-Proxy aus, und wählen Sie anschließend Bindungen aus.Expand the server in the tree view, expand Sites, select the SharePoint - AAD Proxy site, and select Bindings.

  5. Wählen Sie HTTPS-Bindung und anschließend Bearbeiten aus.Select https binding and then select Edit.

  6. Wählen Sie im TLS/SSL-Zertifikatfeld die Zertifikatoption SharePoint und anschließend OK aus.In the TLS/SSL certificate field, choose SharePoint certificate and then select OK.

Nun können Sie extern über den Azure AD-Anwendungsproxy auf die SharePoint-Website zugreifen.You can now access the SharePoint site externally through Azure AD Application Proxy.

Schritt 3: Konfigurieren der eingeschränkten Kerberos-DelegierungStep 3: Configure Kerberos Constrained Delegation

Benutzer authentifizieren sich zunächst bei Azure AD und dann bei SharePoint, wobei diese Authentifizierung mithilfe von Kerberos über den Azure AD-Proxyconnector erfolgt.Users will initially authenticate in Azure AD and then to SharePoint by using Kerberos through the Azure AD Proxy connector. Damit der Connector ein Kerberos-Token im Namen des Azure AD-Benutzers abrufen kann, muss die eingeschränkte Kerberos-Delegierung (Kerberos Constrained Delegation, KCD) mit Protokollübergang konfiguriert werden.To allow the connector to obtain a Kerberos token on behalf of the Azure AD user, you must configure Kerberos Constrained Delegation (KCD) with protocol transition. Weitere Informationen zu KCD finden Sie in der Übersicht über die eingeschränkte Kerberos-Delegierung.To learn more about KCD, see Kerberos Constrained Delegation overview.

Festlegen des SPN für das SharePoint-DienstkontoSet the SPN for the SharePoint service account

Da in diesem Artikel die interne URL https://sharepoint verwendet wird, lautet der Dienstprinzipalname (Service Principal Name, SPN) HTTP/sharepoint.In this article, the internal URL is https://sharepoint, and so the service principal name (SPN) is HTTP/sharepoint. Diese Werte müssen durch Werte für Ihre Umgebung ersetzt werden.You must replace those values with the values that correspond to your environment. Um den SPN HTTP/sharepoint für das SharePoint-Anwendungspoolkonto Contoso\spapppool zu registrieren, führen Sie den folgenden Befehl als Administrator der Domäne an einer Eingabeaufforderung aus:To register SPN HTTP/sharepoint for the SharePoint application pool account Contoso\spapppool, run the following command from a command prompt, as an administrator of the domain:

setspn -S HTTP/sharepoint Contoso\spapppool

Der Befehl Setspn sucht vor dem Hinzufügen nach dem SPN.The Setspn command searches for the SPN before it adds it. Ist der SPN bereits vorhanden, wird der Fehler Doppelter SPN-Wert angezeigt.If the SPN already exists, you see a Duplicate SPN Value error. In diesem Fall sollte der vorhandene SPN ggf. entfernt werden, wenn er nicht unter dem korrekten Anwendungspoolkonto festgelegt ist.In that case, consider removing the existing SPN if it's not set under the correct application pool account. Sie können überprüfen, ob der SPN erfolgreich hinzugefügt wurde, indem Sie den Befehl Setspn mit der Option „-L“ ausführen.You can verify that the SPN was added successfully by running the Setspn command with the -L option. Weitere Informationen zu diesem Befehl finden Sie unter Setspn.To learn more about this command, see Setspn.

Sicherstellen, dass dem Connector bei Delegierungen an den SPN, der dem SharePoint-Anwendungspoolkonto hinzugefügt wurde, vertraut wirdMake sure the connector is trusted for delegation to the SPN that was added to the SharePoint application pool account

Konfigurieren Sie KCD so, dass der Azure AD-Anwendungsproxydienst Benutzeridentitäten an das SharePoint-Anwendungspoolkonto delegieren kann.Configure the KCD so that the Azure AD Application Proxy service can delegate user identities to the SharePoint application pool account. Sie konfigurieren KCD, indem Sie den Anwendungsproxyconnector so einrichten, dass er Kerberos-Tickets für Benutzer abruft, die in Azure AD authentifiziert wurden.Configure KCD by enabling the Application Proxy connector to retrieve Kerberos tickets for your users who have been authenticated in Azure AD. Anschließend übergibt dieser Server den Kontext an die Zielanwendung (in diesem Fall an SharePoint).Then, that server passes the context to the target application (SharePoint in this case).

Führen Sie zum Konfigurieren von KCD für jeden Connectorcomputer die folgenden Schritte aus:To configure the KCD, follow these steps for each connector machine:

  1. Melden Sie sich bei einem Domänencontroller als Domänenadministrator an, und öffnen Sie dann „Active Directory-Benutzer und -Computer“.Sign in to a domain controller as a domain administrator, and then open Active Directory Users and Computers.

  2. Suchen Sie nach dem Computer, auf dem der Azure AD-Proxyconnector ausgeführt wird.Find the computer running the Azure AD Proxy connector. In diesem Beispiel ist das der SharePoint-Server.In this example, it's the SharePoint server itself.

  3. Doppelklicken Sie auf den Computer, und wählen Sie anschließend die Registerkarte Delegierung aus.Double-click the computer, and then select the Delegation tab.

  4. Stellen Sie sicher, dass die Delegierungsoptionen auf Computer bei Delegierungen angegebener Dienste vertrauen festgelegt sind.Make sure the delegation options are set to Trust this computer for delegation to the specified services only. Wählen Sie dann die Option Beliebiges Authentifizierungsprotokoll verwenden aus.Then, select Use any authentication protocol.

  5. Wählen Sie die Schaltfläche Hinzufügen und anschließend Benutzer oder Computer aus, und suchen Sie nach dem SharePoint-Anwendungspoolkonto.Select the Add button, select Users or Computers, and locate the SharePoint application pool account. Beispiel: Contoso\spapppool.For example: Contoso\spapppool.

  6. Wählen Sie in der Liste der SPNs denjenigen aus, den Sie zuvor für das Dienstkonto erstellt haben.In the list of SPNs, select the one that you created earlier for the service account.

  7. Wählen Sie OK und anschließend erneut OK aus, um Ihre Änderungen zu speichern.Select OK and then select OK again to save your changes.

    Delegierungseinstellungen

Nun können Sie sich unter Verwendung der externen URL bei SharePoint anmelden und bei Azure authentifizieren.You're now ready to sign in to SharePoint by using the external URL and to authenticate with Azure.

Beheben von AnmeldefehlernTroubleshoot sign-in errors

Sollte die Anmeldung bei der Website nicht funktionieren, finden Sie weitere Informationen zum Problem in den Connectorprotokollen: Öffnen Sie die Ereignisanzeige auf dem Computer, auf dem der Connector ausgeführt wird, navigieren Sie zu Anwendungs- und Dienstprotokolle > Microsoft > AadApplicationProxy > Connector, und überprüfen Sie das Protokoll Admin.If sign-in to the site isn't working, you can get more information about the issue in the Connector logs: From the machine running the connector, open the event viewer, go to Applications and Services Logs > Microsoft > AadApplicationProxy > Connector, and inspect the Admin log.

Nächste SchritteNext steps