Comptes nécessaires pour la configuration et les tests d’un environnement hybride

S’APPLIQUE À :  yes-img-13 2013  yes-img-16 2016  yes-img-19 2019  yes-img-se Subscription Edition  yes-img-sop SharePoint in Microsoft 365

Lorsque vous configurez un environnement hybride SharePoint Server, vous avez besoin de plusieurs comptes d’utilisateur dans votre environnement Active Directory local et dans Microsoft 365. Ces comptes nécessitent également différentes autorisations et appartenances de groupe ou de rôle. Certains de ces comptes sont utilisés pour déployer et configurer le logiciel, et certains pour tester des fonctionnalités spécifiques afin de s'assurer que les systèmes d'authentification et de sécurité fonctionnent comme prévu.

Dans un environnement hybride, certains ou l'ensemble des comptes d'utilisateurs dans Active Directory sont synchronisés avec les services d'annuaire Azure AD. Ces comptes sont appelés utilisateurs fédérés. SharePoint Les serveurs et les SharePoint dans Microsoft 365 sont configurés avec une relation d’confiance de serveur à serveur (S2S), et les applications de service peuvent être configurées pour permettre aux utilisateurs fédérés d’accéder au contenu et aux ressources à partir des deux batteries de serveurs à l’aide d’une identité unique. Étant donné que les comptes d’utilisateur et les informations d’identification sont synchronisés entre SharePoint Server et SharePoint dans Microsoft 365, la sécurité du contenu de liste et de bibliothèque peut être appliquée dans les deux batteries de serveurs à l’aide du même ensemble d’utilisateurs et de groupes.

Notes

Ce tableau n'inclut pas les comptes de service, qui peuvent avoir des conditions requises spécifiques pour les fonctionnalités et applications de service dans certaines solutions hybrides SharePoint Server. Pour plus d'informations sur les conditions requises pour chaque solution prise en charge, voir les articles relatifs à la configuration de solutions sur Configuration d'une solution hybride pour SharePoint Server.

Tableau : Comptes nécessaires pour la configuration et les tests d'un environnement hybride SharePoint

Account Fournisseur d'identité Rôle
Administrateur global
Microsoft 365 et Azure Active Directory
Utilisez un compte de travail Microsoft 365 qui Microsoft 365 été affecté au rôle d’administrateur général pour les tâches de configuration telles que la configuration de SharePoint dans les fonctionnalités Microsoft 365, l’exécution de Azure AD et de SharePoint dans les commandes Microsoft 365 PowerShell et le test des SharePoint dans Microsoft 365.
Administrateur de domaine AD
AD sur site
Utilisez un compte AD dans le groupe Administrateurs de domaine pour configurer et tester AD, AD FS, DNS et les certificats, ainsi que pour effectuer d’autres tâches qui nécessitent une élévation.
SharePoint dans Microsoft 365 batterie de serveurs
AD sur site
Utilisez un compte AD dans le SharePoint du groupe Administrateurs de batterie de serveurs Microsoft 365 pour les tâches de configuration SharePoint Server telles que l’exécution de commandes PowerShell dans le SharePoint dans Microsoft 365 Management Shell pour configurer les trusts S2S, créer et configurer des applications web et des collections de sites, déployer et configurer des collections de sites configurer SQL Server bases de données et résoudre les problèmes SharePoint Server.
Ce compte doit également avoir des privilèges supplémentaires pour utiliser les SharePoint dans Microsoft 365 Management Shell :
Appartenance au rôle de serveur fixe securityadmin sur l'instance SQL Server.
Appartenance au rôle de base de données fixe db_owner sur toutes les bases de données à mettre à jour.
Appartenance au groupe Administrateurs sur le serveur sur lequel vous exécutez les applets de commande PowerShell.
Utilisateurs fédérés
AD sur site
Utilisez des comptes AD qui ont été synchronisés avec Microsoft 365 pour tester l’accès à des ressources spécifiques dans SharePoint Server et SharePoint dans Microsoft 365.
Ces comptes, ou groupes dont ils sont membres, doivent avoir des autorisations sur les ressources et les collections de sites SharePoint Server dans les deux environnements et avoir les licences de produit appropriées attribuées dans l’abonnement Microsoft 365. Ils doivent également être définis de manière à utiliser l'autre suffixe UPN de domaine indiqué pour les utilisateurs fédérés au cours du processus de planification.
Vous pouvez configurer plusieurs comptes fédérés avec des autorisations ou des appartenances de groupe différentes pour tester le filtrage de sécurité et l’accès aux ressources de site appropriés.