Habilitar el acceso remoto a SharePoint con Microsoft Entra proxy de aplicación

En esta guía paso a paso se explica cómo integrar una granja de SharePoint local con Microsoft Entra proxy de aplicación.

Requisitos previos

Para realizar la configuración, necesita los siguientes recursos:

  • Una granja de servidores de SharePoint 2013, o posterior. La granja SharePoint debe estar integrada con Microsoft Entra ID.
  • Un inquilino de Microsoft Entra con un plan que incluye el proxy de aplicación. Obtenga más información sobre losplanes y precios de Microsoft Entra ID.
  • Una granja de Microsoft Office Web Apps Server para iniciar correctamente archivos de Office desde la granja de SharePoint local.
  • Un dominio personalizado comprobado en el inquilino de Microsoft Entra.
  • Un directorio local de Active Directory sincronizado con Microsoft Entra Connect con el que los usuarios pueden iniciar sesión en Azure.
  • Un conector del proxy de aplicación instalado y en ejecución en una máquina que se encuentre dentro del dominio corporativo.

La configuración de SharePoint con el proxy de aplicación requiere dos direcciones URL:

Importante

Para garantizar que los vínculos se asignan correctamente, siga estas recomendaciones para la dirección URL interna:

  • Utilice HTTPS.
  • No utilice puertos personalizados.
  • En el sistema de nombres de dominio (DNS) corporativo, cree un host (A), que apunte a SharePoint WFE (o al equilibrador de carga), no a un alias (CName).

En este artículo se usan los siguientes valores:

  • Dirección URL interna: https://sharepoint.
  • Dirección URL externa: https://spsites-demo1984.msappproxy.net/.
  • Cuenta del grupo de aplicaciones para la aplicación web de SharePoint: Contoso\spapppool.

Paso 1: Configurar una aplicación en Microsoft Entra ID que usa el proxy de aplicación

En este paso, usted crea una aplicación en su inquilino Microsoft Entra que usa un proxy de aplicación. Establezca la dirección URL externa y especifique la dirección URL interna. Ambas direcciones se usarán más adelante en SharePoint.

  1. Cree la aplicación como se describe en la siguiente configuración. Para obtener instrucciones paso a paso, vea Publicación de aplicaciones mediante el proxy de aplicación Microsoft Entra.

    • Dirección URL interna: la dirección URL interna de SharePoint que se establece más adelante en SharePoint, como https://sharepoint.
    • Autenticación previa: Microsoft Entra ID.
    • Traducir las URL en encabezados: No.
    • Traducir las URL en el cuerpo de la aplicación: No.

    Publish SharePoint as application

  2. Después de publicar la aplicación, siga los pasos a continuación para configurar las opciones de inicio de sesión único.

    1. En la página de la aplicación en el portal, seleccione Inicio de sesión único.
    2. En Modo de inicio de sesión único, seleccione Autenticación de Windows integrada.
    3. Establezca el Nombre de entidad de seguridad de servicio (SPN) de la aplicación interno en el valor que estableció antes. Para este ejemplo, el valor es HTTP/sharepoint.
    4. En Identidad de inicio de sesión delegada, seleccione la opción más adecuada para la configuración del bosque de Active Directory. Por ejemplo, si tiene un solo dominio de Active Directory en el bosque, seleccione Nombre de cuenta SAM local (como se muestra en la captura de pantalla siguiente). Sin embargo, si los usuarios no están en el mismo dominio que SharePoint y los servidores de conector del proxy de aplicación, seleccione Nombre principal de usuario local (no se muestra en la captura de pantalla).

    Configure integrated Windows authentication for SSO

  3. Finalice la configuración de la aplicación, vaya a la sección Usuarios y grupos y asigne usuarios para que accedan a esta aplicación.

Paso 2: Configuración de la aplicación web de SharePoint

La aplicación web SharePoint debe estar configurada con Kerberos y las asignaciones de acceso alternativas apropiadas para funcionar correctamente con el proxy de aplicación Microsoft Entra. Hay dos posibles opciones:

  • Cree una aplicación web y use solo la zona predeterminada. El uso de la zona predeterminada es la opción preferida; ofrece la mejor experiencia con SharePoint. Por ejemplo, los vínculos de las alertas de correo electrónico que SharePoint genera apuntan a la zona predeterminada.
  • Extienda una aplicación web existente para configurar Kerberos en una zona no predeterminada.

Importante

Independientemente de la zona que se use, para que Kerberos funcione correctamente la cuenta del grupo de aplicaciones de la aplicación web de SharePoint debe ser una cuenta de dominio.

Creación de la aplicación web de SharePoint

  • En el script se muestra un ejemplo de creación de una nueva aplicación web mediante la zona predeterminada. El uso de la zona predeterminada es la opción preferida.

    1. Inicie el shell de administración de SharePoint y ejecute el script.

      # This script creates a web application and configures the Default zone with the internal/external URL needed to work with Azure AD application proxy
      # Edit variables below to fit your environment. Note that the managed account must exist and it must be a domain account
      $internalUrl = "https://sharepoint"
      $externalUrl = "https://spsites-demo1984.msappproxy.net/"
      $applicationPoolManagedAccount = "Contoso\spapppool"
      
      $winAp = New-SPAuthenticationProvider -UseWindowsIntegratedAuthentication -DisableKerberos:$false
      $wa = New-SPWebApplication -Name "SharePoint - AAD Proxy" -Port 443 -SecureSocketsLayer -URL $externalUrl -ApplicationPool "SharePoint - AAD Proxy" -ApplicationPoolAccount (Get-SPManagedAccount $applicationPoolManagedAccount) -AuthenticationProvider $winAp
      New-SPAlternateURL -Url $internalUrl -WebApplication $wa -Zone Default -Internal
      
    2. Abra el sitio Administración central de SharePoint.

    3. En Configuración del sistema, seleccione Configurar asignaciones de acceso alternativas. Se abre el cuadro Colección de asignaciones de acceso alternativas.

    4. Filtre la pantalla con la nueva aplicación web.

      Alternate Access Mappings of web application

  • Si extiende una aplicación web existente a una nueva zona.

    1. Inicie el shell de administración de SharePoint y ejecute el siguiente script.

      # This script extends an existing web application to Internet zone with the internal/external URL needed to work with Azure AD application proxy
      # Edit variables below to fit your environment
      $webAppUrl = "http://spsites/"
      $internalUrl = "https://sharepoint"
      $externalUrl = "https://spsites-demo1984.msappproxy.net/"
      
      $winAp = New-SPAuthenticationProvider -UseWindowsIntegratedAuthentication -DisableKerberos:$false
      $wa = Get-SPWebApplication $webAppUrl
      New-SPWebApplicationExtension -Name "SharePoint - AAD Proxy" -Identity $wa -SecureSocketsLayer -Zone Extranet -Url $externalUrl -AuthenticationProvider $winAp
      New-SPAlternateURL -Url $internalUrl -WebApplication $wa -Zone Extranet -Internal
      

    `. Abra el sitio Administración central de SharePoint.

    1. En Configuración del sistema, seleccione Configurar asignaciones de acceso alternativas. Se abre el cuadro Colección de asignaciones de acceso alternativas.

    2. Filtre la pantalla con la nueva aplicación web que se extendió.

      Alternate Access Mappings of extended application

Asegúrese de que la aplicación web de SharePoint se ejecuta en una cuenta de dominio

Para identificar la cuenta que ejecuta el grupo de aplicaciones de la aplicación web de SharePoint y asegurarse de que es una cuenta de dominio, siga estos pasos:

  1. Abra el sitio Administración central de SharePoint.

  2. Vaya a Seguridad y seleccione Configurar cuentas de servicio.

  3. Seleccione Grupo de aplicaciones web - YourWebApplicationName.

    Choices for configuring a service account

  4. Confirme que Seleccionar una cuenta para este componente devuelve una cuenta de dominio y recuérdela, ya que la usará en el paso siguiente.

Asegúrese de que hay un certificado HTTPS configurado para el sitio IIS de la zona Extranet.

Dado que la dirección URL interna usa el protocolo HTTPS (https://SharePoint/), debe establecerse un certificado en el sitio de Internet Information Services (IIS).

  1. Abra la consola Windows PowerShell.

  2. Ejecute el siguiente script para generar un certificado autofirmado y agregarlo al elemento MY store del equipo.

    # Replace "SharePoint" with the actual hostname of the Internal URL of your Azure AD proxy application
    New-SelfSignedCertificate -DnsName "SharePoint" -CertStoreLocation "cert:\LocalMachine\My"
    

    Importante

    Los certificados autofirmados son adecuados solo para pruebas. En los entornos de producción, se recomienda encarecidamente que use certificados emitidos por una entidad de certificación.

  3. Abra la consola del administrador de Internet Information Services.

  4. Expanda el servidor en la vista de árbol, expanda Sitios, seleccione el sitio SharePoint - Microsoft Entra ID Proxy y elija Enlaces.

  5. Seleccione el enlace HTTPS y después haga clic en Editar.

  6. En el campo Certificado TLS/SSL, elija el certificado de SharePoint y después seleccione Aceptar.

Ahora puede tener acceso al sitio de SharePoint de forma externa mediante Microsoft Entra application proxy.

Paso 3: Configuración de la delegación restringida de Kerberos

Los usuarios se autentican inicialmente en Microsoft Entra ID y, después, en SharePoint mediante Kerberos mediante el conector de proxy de Microsoft Entra ID. Para permitir que el conector obtenga un token de Kerberos en nombre del usuario de Microsoft Entra, debe configurar la delegación restringida de Kerberos (KCD) con transición de protocolo. Para obtener más información acerca de KCD, consulte Introducción a la delegación limitada de Kerberos.

Establecimiento de un Nombre de entidad de seguridad de servicio (SPN) para la cuenta de servicio de SharePoint

En este artículo, la dirección URL interna es https://sharepoint, por lo que el nombre de entidad de servicio (SPN) es HTTP/sharepoint. Debe reemplazar esos valores por los que corresponden a su entorno. Para registrar el SPN HTTP/sharepoint de la cuenta del grupo de aplicaciones de SharePoint Contoso\spapppool, ejecute el siguiente comando desde un símbolo del sistema como administrador del dominio:

setspn -S HTTP/sharepoint Contoso\spapppool

El comando Setspn busca el SPN antes de agregarlo. Si ya existe, se muestra el error Valor de SPN duplicado. Quite el SPN existente. Compruebe que el SPN se agregó correctamente; para ello, ejecute el comando Setspn con la opción -L. Para obtener más información sobre este comando, consulte Setspn.

Asegúrese de que el conector es de confianza para delegación en el SPN que se agregó a la cuenta del grupo de aplicaciones de SharePoint.

Configure el KCD para que el servicio proxy de aplicaciones de Microsoft Entra pueda delegar identidades de usuario en la cuenta del grupo de aplicaciones de SharePoint. Para configurar KCD, habilite el conector Application Proxy a fin de recuperar los vales de Kerberos para los usuarios que se han autenticado en Microsoft Entra ID. A continuación, ese servidor pasa el contexto a la aplicación de destino (SharePoint en este caso).

Para configurar KCD, siga estos pasos para cada equipo de conexión:

  1. Inicie sesión como administrador de dominio en un controlador de dominio y, después, abra Usuarios y equipos de Active Directory.

  2. Busque el equipo que ejecuta el conector de proxy de Microsoft Entra ID. En este ejemplo, es el equipo que ejecuta SharePoint Server.

  3. Haga doble clic en el equipo y, después, seleccione la pestaña Delegación.

  4. Asegúrese de que las opciones de delegación estén establecidas en Confiar en este equipo para la delegación solo a los servicios especificados. Después, seleccione Usar cualquier protocolo de autenticación.

  5. Seleccione el botón Agregar, seleccione Usuarios o equipos y busque la cuenta del grupo de aplicaciones de SharePoint. Por ejemplo: Contoso\spapppool.

  6. En la lista de SPN, seleccione el que creó anteriormente para la cuenta de servicio.

  7. Seleccione Aceptar y, después, otra vez Aceptar para guardar sus cambios.

    Delegation settings

Ya está listo para iniciar sesión en SharePoint mediante la dirección URL externa y para autenticarse en Azure.

Solución de errores de inicio de sesión

Si el inicio de sesión en el sitio no funciona, puede obtener más información sobre el problema en los registros del conector: desde la máquina que ejecuta el conector, abra el visor de eventos, vaya a Registros de aplicaciones y servicios>Microsoft>AadApplicationProxy>Conector e inspeccione el registro Admin.

Pasos siguientes