Configurer la connectivité de Microsoft 365 à SharePoint Server

S’APPLIQUE À :  yes-img-13 2013  yes-img-16 2016  yes-img-19 2019  yes-img-se Subscription Edition  yes-img-sop SharePoint in Microsoft 365

**Cet article fait partie d'une feuille de route de procédures de configuration pour les solutions hybrides SharePoint. Veillez à respecter une feuille de route lorsque vous effectuez les procédures décrites dans cet article. **

Cet article contient des conseils sur SharePoint de déploiement d’environnement hybride, qui intègre SharePoint Server et SharePoint dans Microsoft 365.

Avant de commencer

Remarque sur l’accessibilité : SharePoint Server prend en charge les fonctionnalités d’accessibilité des navigateurs courants pour vous aider à administrer les déploiements et à accéder aux sites. Pour plus d'informations, consultez la rubrique Accessibilité pour SharePoint 2013.

Si vous ne l’avez pas déjà fait, lisez Planifier la connectivité de Microsoft 365 à SharePoint Server avant de commencer à configurer quoi que ce soit. Ceci est important, car l’article de planification vous aide à prendre des décisions importantes et à les enregistrer dans la feuille de calcul de déploiement hybride SharePoint, appelée feuille de calcul dans le reste de cet article. Cela vous permet d’informer les procédures de cet article à utiliser et les procédures que vous pouvez ignorer.

Si vous avez lu l’article de planification, vous devez avoir déjà effectué les choses suivantes :

  • Nous avons choisi la stratégie de collection de sites que vous allez configurer pour l’hybride.

  • Décision d’utiliser une application web existante ou d’en créer une pour un environnement hybride.

Icône Description
Icône Modifier Ces décisions sont enregistrées dans le tableau 2 de la feuille de calcul. Si ce n’est pas le cas, relisez Planifier la connectivité de Microsoft 365 à SharePoint Server et prendre ces décisions avant d’aller plus loin.

Conseils sur les feuilles de calcul

Les choses seront beaucoup plus faciles si toutes les informations applicables sont entrées dans la feuille de calcul hybride SharePoint avant de commencer à configurer quoi que ce soit. Au minimum, vous devez connaître les éléments suivants pour utiliser cet article.

Tableau : Décisions qui doivent déjà être enregistrées dans la feuille de SharePoint hybride

Décision Emplacement dans la feuille de calcul
Allez-vous utiliser une application web existante pour un environnement hybride ou en créer une ?
Ligne d’application web nouvelle ou existante du tableau 2
Quelle stratégie de collection de sites utiliserez-vous ?
Ligne Stratégie de collection de sites du tableau 2
Qu’est-ce que l’URL externe ?
Ligne URL externe du tableau 3
Quelle est l’adresse IP du point de terminaison connecté à Internet sur le périphérique de proxy inverse auquel l’URL externe est associée ?
Adresse IP de la ligne de point de terminaison externe du tableau 3

Vérifiez que ces décisions sont entrées dans la feuille de calcul avant de continuer.

Phases de configuration

Pour configurer l’infrastructure d’environnement, vous aurez besoin des interfaces SharePoint Server, telles que le site Web Administration centrale de SharePoint, et des pages Administration dans SharePoint dans Microsoft 365. Pour éviter d’avoir à basculer plus que nécessaire entre ces interfaces, nous avons organisé les étapes de configuration en différentes phases :

Veuillez effectuer chaque étape de configuration dans l’ordre indiqué dans cet article.

Important

Il est recommandé de documenter minutieusement votre stratégie de déploiement et de conserver des journaux de travail détaillés pendant le processus de configuration de l’environnement hybride. Dans tout projet d’implémentation complexe, un enregistrement détaillé de chaque décision de conception, configuration du serveur, procédure et sortie est une référence très importante pour la résolution des problèmes, la prise en charge et la sensibilisation.

Préparer votre domaine public

Pour Microsoft 365 envoyer des demandes au point de terminaison externe de votre périphérique de proxy inverse, vous devez avoir les éléments suivants :

  • Domaine public enregistré auprès d’un bureau d’enregistrement de domaines, tel que GoDaddy.com, à qui l’URL du point de terminaison externe du périphérique de proxy inverse est associée.

  • Enregistrement A dans la zone DNS de votre domaine public associé à la SharePoint publiée dans le site Microsoft 365 (qui est l’URL externe, telle que spexternal.adventureworks.com). Cela permet Microsoft 365 envoyer des demandes au point de terminaison externe sur le périphérique de proxy inverse configuré pour l’environnement hybride. Cet enregistrement A mapp e l’URL externe à l’adresse IP du point de terminaison internet du périphérique de proxy inverse. Pour plus d’informations, voir Plan connectivity from Microsoft 365 to SharePoint Server.

Si vous n’avez pas encore de domaine public à utiliser à cet effet (par exemple, adventureworks.com), obtenez-en un maintenant, puis créez cet enregistrement A. Si vous avez déjà pris cela en charge pendant la phase de planification, le nom de votre domaine public et l’adresse IP dont vous avez besoin pour créer cet enregistrement A sont enregistrés dans le tableau 3 de la feuille de calcul.

Vous devez effectuer les étapes de la procédure Connecter votre domaine pour Microsoft 365'article pour ajouter le nom d’hôte de votre domaine public à Microsoft 365.

Configurer SharePoint Server

Cette section vous indique comment configurer la batterie SharePoint Server pour une utilisation dans une solution hybride entrante. Nous avons organisé les étapes de cette section en phases suivantes. Pour obtenir le résultat le plus fiable, terminez les procédures dans l’ordre indiqué.

  • Configurer une stratégie de collection de sites

  • Affecter un suffixe de domaine UPN

  • Synchroniser les profils utilisateur

  • Configurer OAuth sur HTTP (si nécessaire)

Notes

Les procédures de cette section supposent que vous avez une batterie de serveurs SharePoint Server existante que vous envisagez d’utiliser pour la fonctionnalité hybride.

Configurer une stratégie de collection de sites

Dans un environnement hybride, les données sont échangées entre la collection de sites racine dans SharePoint dans Microsoft 365 et une application web spécifique dans la batterie de serveurs SharePoint sur site configurée pour un environnement hybride. Nous appelons cela l’application web principale. Cette application web est le point central sur lequel votre stratégie de collection de sites est configurée.

Au cours de la phase de planification, vous devez avoir décidé si vous allez utiliser une application web existante ou en créer une et quelle stratégie de collection de sites vous allez configurer. Si c’est le cas, vos décisions sont répertoriées dans la ligne Stratégie de collection de sites du tableau 2 de la feuille de calcul. Si vous ne l’avez pas encore décidé, examinez l’article Planifier la connectivité entre Microsoft 365 et SharePoint Server et prendre ces décisions avant d’aller plus loin.

Choisissez l’une des stratégies de collection de sites suivantes à configurer :

Configurer une stratégie de collection de sites à l’aide d’une collection de sites nommée par l’hôte

Si vous souhaitez configurer une stratégie de collection de sites à l’aide d’une collection de sites nommée par l’hôte pour l’environnement hybride SharePoint, complétez les étapes suivantes dans l’ordre indiqué :

  1. Assurez-vous que l’application web et la collection de sites racine existent.

  2. Assurez-vous qu’une liaison SSL existe sur l’application web principale.

  3. Créez la collection de sites nommée par l’hôte.

  4. Configurez le DNS fractioné.

  5. Créez un enregistrement A dans le DNS local.

Pour plus d’informations sur les décisions de stratégie de collection de sites, voir la section Choisir une stratégie de collection de sites de Plan connectivity from Microsoft 365 to SharePoint Server.

S’assurer que l’application web principale et la collection de sites racine existent

La collection de sites nommée par l’hôte que vous créerez un peu plus tard doit être créée dans une application web configurée pour utiliser les données suivantes :

  • Authentification Windows intégrée avec NTLM

  • protocole https (Secure Sockets Layer)

Vous avez également besoin d’une collection de sites basée sur le chemin d’accès à utiliser comme collection de sites racine dans cette application web.

Icône Description
Icône Modifier Si vous avez identifié une application web que vous souhaitez utiliser lors de la planification, elle doit être répertoriée dans la ligne URL de l’application web principale du tableau 5a de la feuille de calcul.

Si l’application web et la collection de sites racine n’existent pas, vous devez les créer. Vous pouvez le faire à l’aide de l’Administration centrale ou de SharePoint 2016 Management Shell. S’ils existent déjà, assurez-vous qu’une liaison SSL existe sur l’application web principale.

Voici un exemple de création d’une application web à l’aide SharePoint 2016 Management Shell.

New-SPWebApplication -Name 'Adventureworks Web app' -SecureSocketsLayer -port 443 -ApplicationPool AdventureworksAppPool -ApplicationPoolAccount (Get-SPManagedAccount 'adventureworks\abarr') -AuthenticationProvider (New-SPAuthenticationProvider -UseWindowsIntegratedAuthentication)

Où :

  • Le nom de l’application web est Adventureworks Web app.

  • Le numéro de port de l’application web est 443.

Icône Description
Icône Modifier Enregistrez le numéro de port que vous avez choisi dans le numéro de port de la ligne d’application web du tableau 5a de la feuille de calcul.
  • La nouvelle application web utilise un pool d’applications web nommé AdventureworksAppPool.

  • L’application web s’exécute en tant que compte géré adventureworks\abarr.

  • L’application web est créée à l’aide Windows’authentification intégrée avec NTLM.

Voici un exemple de création de la collection de sites racine à l’aide de SharePoint 2016 Management Shell.

New-SPSite 'https://sharepoint' -Name 'Portal' -Description 'Adventureworks Root site collection' -OwnerAlias 'adventureworks\abarr' -language 1033 -Template 'STS#0'

Où :

  • Le nom d’hôte de SharePoint batterie de serveurs est « sharepoint ».

  • L’administrateur principal est adventureworks\abarr.

  • Le modèle de site utilise la langue anglaise (1033).

  • Le modèle (STS#0) est le modèle Site d’équipe.

Pour plus d’informations sur la création d’une application web et d’une collection de sites racine pour une collection de sites nommée par l’hôte, voir Créer des applications web basées sur les revendications dans l’architecture et le déploiement d’une collection de sites nommée par SharePoint Server et nommée par l’hôte dans SharePoint Server.

S’assurer qu’une liaison SSL existe sur l’application web principale

Étant donné que cette application web est configurée pour utiliser SSL, vous devez vous assurer qu’un certificat SSL est lié à l’application web principale. Pour les environnements de production, ce certificat doit être émis par une autorité de certification publique. Pour les environnements de test et de développement, il peut s’agit d’un certificat auto-signé. Nous appelons cela le certificat SharePoint SSL local.

Conseil

Il s’agit généralement d’un certificat distinct de celui que vous installerez ultérieurement sur le périphérique de proxy inverse. Pour plus d’informations sur ces certificats, voir la section Planifier les certificats SSL de Plan connectivity from Microsoft 365 to SharePoint Server.

Une fois que le certificat est lié à l’application web, vous pouvez voir ce nom d’hôte dans le champ Délivré à dans la boîte de dialogue Certificats de serveur dans Internet Information Services (IIS). Pour plus d’informations, voir How to Set Up SSL on IIS 7.0.

Créer la collection de sites nommée par l’hôte

Une fois que l’application web et la collection de sites racine sont en place, l’étape suivante consiste à créer une collection de sites nommée par l’hôte dans l’application web principale. L’URL publique de cette collection de sites doit être identique à l’URL du point de terminaison externe.

Notes

Les collections de sites nommées par l’hôte doivent être créées à l’aide SharePoint 2016 Management Shell. Vous ne pouvez pas utiliser l’Administration centrale pour créer ce type de collection de sites.

Voici un exemple de création d’une collection de sites nommée par l’hôte à l’aide de SharePoint 2016 Management Shell.

New-SPSite 'https://spexternal.adventureworks.com' -HostHeaderWebApplication 'https://sharepoint' -Name 'https://spexternal.adventureworks.com' -Description 'Site collection for hybrid' -OwnerAlias 'adventureworks\abarr' -language 1033 -Template 'STS#0'

Où :

  • https://spexternal.adventureworks.com est l’URL de la collection de sites nommée par l’hôte. Cette URL doit être identique à l’URL externe.

  • https://sharepoint est l’application web dans qui la collection de sites est créée.

Pour plus d’informations, voir Architecture et déploiement d’une collection de sites nommée par l’hôte dans SharePoint Server.

Configurer le DNS fractionner

Vous devez configurer le DNS fractionner. Il s’agit d’une configuration courante qui permet de s’assurer que les ordinateurs clients locaux résolvent un nom de serveur en adresses IP internes, même si la résolution DNS publique résout le même nom de service en une adresse IP publique complètement différente. Cela permet aux utilisateurs d’être redirigés vers un point de terminaison qui utilise des SharePoint Microsoft 365 standard dans les mécanismes d’authentification à sécurité améliorée, mais les requêtes provenant de Microsoft 365 peuvent être redirigées via un proxy inverse configuré pour utiliser l’authentification de certificat.

Pour plus d’informations sur l’utilisation du DNS fractioné dans une topologie hybride, voir Architecture Design Recommendation for SharePoint 2013 Hybrid Search Features. Pour plus d’informations sur la configuration d’un DNS fractionnement, voir Une configuration DNS split-brain défaie peut empêcher une expérience de se connectez à l’ings unique transparente.

Créer un enregistrement A dans le DNS local

Le périphérique de proxy inverse doit pouvoir résoudre l’URL interne de la collection de sites nommée par l’hôte. Pour ce faire, créez un enregistrement A dans l’espace de noms DNS local souhaité. Cela ne doit pas être dans le même espace de noms que le périphérique de proxy inverse. Toutefois, le périphérique de proxy inverse doit pouvoir résoudre cet espace de noms. Cet enregistrement A m’indique le nom d’hôte de l’URL externe sur l’adresse IP de la batterie de serveurs SharePoint local. Voici un exemple d’enregistrement A où se trouve l’URL https://spexternal.adventureworks.comexterne et l’adresse IP de l’équilibreur de charge réseau pour la batterie de serveurs SharePoint est 10.0.0.13.

Cette figure illustre un exemple d’enregistrement A

Icône Description
Icône Modifier L’URL externe est enregistrée dans la ligne URL externe du tableau 3 de la feuille de calcul.

Vous avez terminé de configurer la stratégie de collection de sites à l’aide d’une collection de sites nommée par l’hôte pour un site hybride. À présent, passez à l’étape d’affectation d’un suffixe de domaine UPN.

Configurer une stratégie de collection de sites à l’aide d’une application web basée sur des chemins d’accès sans AAM

Si vous souhaitez configurer une stratégie de collection de sites à l’aide d’une application web basée sur des chemins d’accès sans avoir à créer de mappage des accès de remplacement pour l’environnement hybride SharePoint, complétez ces étapes dans l’ordre indiqué :

  1. Assurez-vous que l’application web existe.

  2. Assurez-vous qu’une liaison SSL existe sur l’application web principale.

  3. Configurez le DNS fractioné.

  4. Créez un enregistrement A dans le DNS local.

Notes

Lorsque vous configurez une stratégie de collection de sites sans AAM, l’URL publique de l’application web principale doit être identique à l’URL externe.

Pour plus d’informations, voir la section Choisir une stratégie de collection de sites de Plan connectivity de Microsoft 365 à SharePoint Server.

S’assurer que l’application web principale existe

Vous pouvez utiliser une application web existante comme application web principale ou en créer une. Vous devez avoir pris cette décision lors de la planification et l’avoir enregistrée dans la ligne Nouvelle application web ou une application web existante du tableau 2 de la feuille de calcul. Si vous n’avez pas encore pris cette décision, reportez-vous à Plan connectivity from Microsoft 365 to SharePoint Server and decide before you go any further. N’oubliez pas que lorsque vous configurez une stratégie de collection de sites sans AAM, l’URL publique de l’application web principale doit être identique à l’URL externe.

Si, au cours de la planification, vous avez décidé de l’application web existante à utiliser comme application web principale, son URL doit être enregistrée dans la ligne URL de l’application web principale du tableau 5b de la feuille de calcul. Si tel est le cas, passez directement aux étapes pour vous assurer qu’une liaison SSL existe sur l’application web principale. Dans le cas contraire, pour créer une application web à utiliser comme application web principale, utilisez les procédures de création d’applications web basées sur les revendications dans SharePoint Server.

En règle générale, vous devez utiliser les paramètres par défaut. Toutefois, les paramètres de configuration suivants sont requis.

Paramètres de configuration requis

Emplacement Description
Dans la section Site Web IIS, dans la zone Port
Tapez le numéro de port que vous souhaitez que cette application web utilise, par exemple, 443.
Dans la section Configuration de la sécurité
Assurez-vous que l’accès anonyme est non.
Dans la section Configuration de la sécurité
Assurez-vous que l’utilisation de SSL (Secure Sockets Layer) est définie sur Oui. Vous devez lier un certificat SSL à l’application web, dont nous parlerons plus en détail dans la section suivante.
Dans la section Types d’authentification basée sur les revendications
Activez la case à cocher Activer Windows authentification, activez la case à cocher Authentification Windows intégrée et, dans le menu déroulant, sélectionnez NTLM.
Dans la section URL publique, dans la zone URL
Tapez l’URL externe, par exemple, https://spexternal.adventureworks.com.
Par défaut, SharePoint dans Microsoft 365 le numéro de port à l’URL par défaut qu’il recommande pour ce champ. Lorsque vous remplacez cette URL par l’URL externe, n’avez pas à l’annexer le numéro de port.

Pour vous faciliter la tâche dans les procédures ultérieures, nous vous recommandons d’effectuer les opérations suivantes.

Icône Description
Icône Modifier Obtenez l’URL à partir de la section URL publique de la page Créer une application Web dans l’Administration centrale et enregistrez-la dans la ligne URL de l’application web principale du tableau 5b de la feuille de calcul.

S’assurer qu’une liaison SSL existe sur l’application web principale

Vous devez vous assurer qu’un certificat SSL est lié à l’application web principale. Pour les environnements de production, ce certificat doit être émis par une autorité de certification publique. Pour les environnements de test et de développement, il peut s’agit d’un certificat auto-signé. Nous appelons cela le certificat local SharePoint dans Microsoft 365 certificat SSL.

Conseil

Il s’agit généralement d’un certificat distinct de celui que vous installerez ultérieurement sur le périphérique de proxy inverse, mais vous pouvez utiliser le certificat SSL de canal sécurisé pour cela si vous le souhaitez. Pour plus d’informations sur ces certificats, voir la section Planifier les certificats SSL de Plan connectivity from Microsoft 365 to SharePoint Server.

Le nom d’hôte de l’application web doit se trouver dans le champ Objet du certificat SSL. Une fois que le certificat est lié à l’application web, vous pouvez voir ce nom d’hôte dans le champ Délivré à dans la boîte de dialogue Certificats de serveur dans Internet Information Services (IIS). Pour plus d’informations, voir How to Set Up SSL on IIS 7.0.

Configurer le DNS fractionner

Vous devez configurer le DNS fractionner. Il s’agit d’une configuration courante qui permet de s’assurer que les ordinateurs clients locaux résolvent un nom de serveur en adresses IP internes, même si la résolution DNS publique résout le même nom de service en une adresse IP publique complètement différente. Cela permet aux utilisateurs d’être redirigés vers un point de terminaison qui utilise des SharePoint Microsoft 365 standard dans les mécanismes d’authentification à sécurité améliorée, mais les requêtes provenant de Microsoft 365 peuvent être redirigées via un proxy inverse configuré pour utiliser l’authentification de certificat.

Pour plus d’informations sur l’utilisation du DNS fractioné dans une topologie hybride, voir Architecture Design Recommendation for SharePoint 2013 Hybrid Search Features. Pour plus d’informations sur la configuration d’un DNS fractionnement, voir Une configuration DNS split-brain défaie peut empêcher une expérience de se connectez à l’ings unique transparente.

Créer un enregistrement A dans le DNS local

Le périphérique de proxy inverse doit pouvoir résoudre l’URL interne de la collection de sites nommée par l’hôte. Pour ce faire, créez un enregistrement A dans l’espace de noms DNS local souhaité. Cela ne doit pas être dans le même espace de noms que le périphérique de proxy inverse. Toutefois, le périphérique de proxy inverse doit pouvoir résoudre cet espace de noms. Cet enregistrement A m’indique le nom d’hôte de l’URL externe sur l’adresse IP de la batterie de serveurs SharePoint local. Voici un exemple d’enregistrement A où se trouve l’URL https://spexternal.adventureworks.com externe et où l’adresse IP de l’équilibreur de charge réseau pour la batterie de serveurs SharePoint est 10.0.0.13.

Cette figure illustre un exemple d’enregistrement A

Icône Description
Icône Modifier L’URL externe est enregistrée dans la ligne URL externe du tableau 3 de la feuille de calcul.

Vous avez terminé de configurer la stratégie de collection de sites à l’aide d’une collection de sites basée sur des chemins d’accès sans AAM pour hybride. À présent, passez à l’étape d’affectation d’un suffixe de domaine UPN.

Configurer une stratégie de collection de sites à l’aide d’une application web basée sur le chemin d’accès avec AAM

Si vous souhaitez utiliser une application web basée sur le chemin d’accès avec mappage des accès de remplacement (AAM) pour votre stratégie de collection de sites, complétez les étapes suivantes dans l’ordre indiqué :

  1. Assurez-vous que l’application web principale existe.

  2. Étendez l’application web principale et configurez AAM.

  3. Assurez-vous qu’une liaison SSL existe sur l’application web principale (si nécessaire).

  4. Configurez AAM.

  5. Créez un enregistrement CNAME.

Si vous avez déjà configuré un autre type de mappage de noms, allez à Affecter un suffixe de domaine UPN.

La vidéo suivante illustre le fonctionnement d’une stratégie de collection de sites avec une application web basée sur des chemins d’accès avec AAM.

Vidéo : Présentation des URL et des noms d’hôte

S’assurer que l’application web principale existe

Vous pouvez utiliser une application web existante comme application web principale ou en créer une. Si vous n’avez pas encore pris cette décision, reportez-vous à Plan connectivity from Microsoft 365 to SharePoint Server and decide before you go any further.

Si, au cours de la planification, vous avez décidé de l’application web existante à utiliser comme application web principale, son URL doit être enregistrée dans la ligne URL de l’application web principale du tableau 5c de la feuille de calcul. Si c’est le cas, passez directement à l’extension de l’application web principale. Dans le cas contraire, pour créer une application web à utiliser comme application web principale, utilisez les procédures de création d’applications web basées sur les revendications dans SharePoint Server. La configuration SharePoint hybride n’est pas affectée par la configuration initiale de cette application web lorsque vous configurez cette stratégie de collection de sites. Cela est dû au fait que vous appliquerez les paramètres dont vous avez besoin pour l’environnement hybride lorsque vous étendez l’application web un peu plus tard. Vous pouvez donc utiliser les paramètres de votre besoin lorsque vous créez une application web.

Icône Description
Icône Modifier Pour vous faciliter la tâche dans les procédures ultérieures, nous vous recommandons d’enregistrer ces informations lorsque vous créez l’application web :
Obtenez l’URL à partir de la section URL publique de la page Créer une application Web dans l’Administration centrale et enregistrez-la dans la ligne URL de l’application web principale du tableau 5c de la feuille de calcul.

Étendre l’application web principale

Cette section explique comment étendre votre application web. L’extension de l’application web crée un nouveau site web IIS à qui vous affecterez l’URL externe en tant qu’URL publique.

Lorsque vous aurez terminé les procédures de cette section, vous aurez deux sites web IIS. Les deux sont connectés à la même base de données de contenu. Le site web IIS d’origine reste inchangé et reste accessible aux utilisateurs internes. L’application web étendue utilisera une autre zone, telle que la zone Internet, et sera configurée pour utiliser l’URL externe comme URL publique. Cette application web étendue est utilisée uniquement pour la maintenance SharePoint demandes hybrides.

Important

Veillez à effectuer ces procédures sur les applications web spécifiques que vous envisagez d’utiliser comme application web principale pour SharePoint solutions hybrides. L’URL de cette application web que vous devez étendre est enregistrée dans la ligne URL de l’application web principale du tableau 5c de la feuille de calcul.

Pour étendre l’application web, utilisez les procédures dans Étendre les applications web basées sur les revendications SharePoint dans Microsoft 365. En règle générale, vous devez utiliser les paramètres par défaut. Toutefois, les paramètres de configuration suivants sont requis.

Paramètres de configuration requis

Emplacement Description
Dans la section Site Web IIS, dans la zone Port
Assurez-vous que la valeur est définie sur le numéro de port approprié pour l’une des valeurs suivantes :
Si vous décidez d’étendre l’application web principale pour les connexions HTTP non chiffrées, utilisez le port 80 ou le port HTTP spécifié par l’administrateur réseau qui configure le périphérique de proxy inverse. Toutes les connexions de service entrantes entre le périphérique de proxy inverse et la collection de sites de l’application web doivent utiliser le protocole HTTP.
Si vous décidez de configurer l’application web principale pour les connexions HTTPS chiffrées, utilisez le port 443 ou le port SSL spécifié par l’administrateur réseau qui configure le périphérique de proxy inverse. Toutes les connexions de service entrantes entre le périphérique de proxy inverse et la collection de sites de l’application web doivent utiliser le protocole HTTPS.
Dans la section Configuration de la sécurité
Assurez-vous que l’accès anonyme est non.
Dans la section Configuration de la sécurité
Choisissez la valeur appropriée pour Utiliser SSL (Secure Sockets Layer). Si vous choisissez Non, l’application web utilisera le protocole HTTP non chiffré. Si vous choisissez Oui, l’application web utilisera le protocole HTTPS chiffré et vous devez lier un certificat SSL à l’application web étendue. Nous aborderons ce certificat plus en avant dans la section suivante.
Dans la section Types d’authentification basée sur les revendications
Activez la case à cocher Activer Windows authentification, activez la case à cocher Authentification Windows intégrée et, dans le menu déroulant, sélectionnez NTLM.
Dans la section URL publique, dans la zone URL
Tapez l’URL externe, par exemple, https://spexternal.adventureworks.com.
Notez que par défaut, SharePoint le numéro de port à l’URL par défaut qu’il recommande pour ce champ. Lorsque vous remplacez cette URL par l’URL externe, n’avez pas à l’annexer le numéro de port.
Dans la section URL publique, dans la liste Zone
Sélectionnez la zone que vous souhaitez affecter à cette application web étendue. Nous vous recommandons de définir la valeur Zone sur Internet si elle est disponible.

S’assurer qu’une liaison SSL existe sur l’application web principale (si nécessaire)

Si vous avez configuré l’application web étendue pour utiliser SSL, vous devez vous assurer qu’un certificat SSL est lié à l’application web que vous avez étendue dans la section précédente. Dans le cas contraire, si vous avez configuré l’application web étendue pour HTTP (non chiffré), passez directement à Configure AAM.

Pour les environnements de production, ce certificat doit être émis par une autorité de certification publique ou d’entreprise. Pour les environnements de test et de développement, il peut s’agit d’un certificat auto-signé. Nous appelons cela le certificat local SharePoint dans Microsoft 365 certificat SSL.

Important

Ce certificat doit avoir le nom d’hôte de pontage de l’URL dans le champ Objet. Par exemple, si l’URL de pontage est https://bridge, le champ Objet du certificat doit contenir le pont. Par conséquent, ce certificat ne peut pas être créé à l’aide d’IIS. Toutefois, vous pouvez utiliser un outil de création de certificat tel que MakeCert.exe pour le créer. Une fois que le certificat est lié à l’application web, vous pouvez voir ce nom d’hôte dans le champ Délivré à dans la boîte de dialogue Certificats de serveur dans Internet Information Services (IIS).

Conseil

Il s’agit généralement d’un certificat distinct de celui que vous installerez ultérieurement sur le périphérique de proxy inverse. Pour plus d’informations sur ces certificats, voir la section Planifier les certificats SSL de Plan connectivity from Microsoft 365 to SharePoint Server.

Pour plus d’informations sur la façon de configurer SSL, voir un guide sur https et Secure Sockets Layer dans SharePoint 2013.

Configurer AAM

Pour permettre à SharePoint server de traduire dynamiquement les liens dans les demandes à l’aide de l’URL externe, suivez ces étapes.

Pour configurer AAM

  1. Dans l’Administration centrale, dans la zone Lancement rapide, sélectionnez Gestion des applications.

  2. Dans la section Applications Web , sélectionnez Configurer les mappages des accès de remplacement.

  3. Dans la page Mappages des accès de remplacement, sélectionnez Ajouter des URL internes.

  4. Dans la section Collection de mappages des accès de remplacement, sélectionnez la flèche vers le bas, puis modifiez la collection Mappage des accès de remplacement. Dans la boîte de dialogue qui s’affiche, sélectionnez l’application web principale que vous configurez pour un mode hybride.

Icône Description
Icône Modifier L’URL de cette application web est enregistrée dans la ligne URL de l’application web principale du tableau 5c de la feuille de calcul.
  1. Dans la section Ajouter une URL interne, dans le protocole d’URL, l’hôte et la zone de port, entrez l’URL que vous souhaitez utiliser comme URL de pontage. Cette URL doit avoir le même protocole que l’application web étendue, http ou https. Par exemple, si vous avez configuré l’application web étendue à l’aide de https, l’URL ressemblera à .https://bridge
Icône Description
Icône Modifier
Le protocole que vous avez utilisé est enregistré dans le protocole de la ligne d’application web étendue du tableau 5c de la feuille de calcul. Enregistrez cette URL dans la ligne URL de pontage du tableau 5c de la feuille de calcul.
  1. Dans la zone de la zone, sélectionnez la zone que vous avez utilisée lorsque vous avez étendu l’application web.
Icône Description
Icône Modifier Cette zone est enregistrée dans la zone de la ligne d’application web étendue du tableau 5c de la feuille de calcul.
  1. Sélectionnez Enregistrer.

    L’URL que vous avez spécifiée à l’étape 5 apparaît dans la colonne URL interne de la page Mappages des accès de remplacement.

Créer un enregistrement CNAME

Vous devez créer un enregistrement CNAME dans le DNS local. Cet enregistrement m’indique le nom d’hôte de l’URL de pontage sur le nom de domaine complet de la batterie de serveurs SharePoint local. L’URL de pontage est celle que vous avez affectée auam dans la section précédente. Le périphérique de proxy inverse doit être en mesure d’interroger DNS pour résoudre l’alias en adresse IP de la batterie de serveurs SharePoint local.

Voici un exemple d’enregistrement CNAME où le nom d’hôte est Bridge, en fonction de l’URL de pontage, https://bridge.

Cette figure illustre un enregistrement CName dans un environnement hybride dans SharePoint Server 2013

Pour vérifier que le nom d’alias que vous avez choisi pour votre enregistrement CNAME est en cours de résolution vers la batterie de serveurs SharePoint Server, faites l’étape de vérification suivante.

Étape de vérification

  1. Connectez-vous au périphérique de proxy inverse en tant qu’administrateur et ouvrez Windows invite de commandes.

  2. Ping sur le nom d’alias dans l’enregistrement CNAME. Par exemple, si le nom d’alias est Bridge, entrez ce qui suit, puis appuyez sur <Enter>.

ping bridge

L’invite de commandes doit renvoyer l’adresse IP SharePoint batterie de serveurs spécifiée dans l’enregistrement CNAME. Si ce n’est pas le cas, vérifiez que le nom de domaine complet de la batterie de serveurs SharePoint est correctement spécifié dans l’enregistrement CNAME, puis répétez ces étapes de vérification.

Notes

Si la ping commande est bloquée sur le réseau, tracert -4 pathping -4 essayez plutôt d’utiliser la commande ou la commande.

Créer et configurer une application cible pour le certificat SSL dans SharePoint dans Microsoft 365

Dans cette section, vous créez et configurez une application cible du magasin sécurisé dans SharePoint dans Microsoft 365. Cette application cible est utilisée pour stocker le certificat SSL de canal sécurisé et l’activer afin qu’il puisse être utilisé par SharePoint dans les services Microsoft 365 lorsque les utilisateurs demandent des données à partir de la batterie de serveurs SharePoint locale. Nous faisons référence à cette application cible en tant qu’application cible de canal sécurisé.

Icône Description
Icône Modifier Pour suivre ces étapes, vous avez besoin des informations enregistrées dans le tableau 4a de la feuille de calcul.

Notes

Vous pouvez utiliser un certificat qui contient une clé privée, telle qu’un fichier private information Exchange (.pfx), ou un fichier de certificat de sécurité Internet (.cer). Si vous utilisez un fichier .pfx, vous devez fournir un mot de passe pour la clé privée plus loin dans cette procédure.

Lorsque vous configurez des solutions hybrides SharePoint à la phase 4 : configurer une solution hybride, vous devez fournir le nom de l’application cible que vous avez créée afin que SharePoint dans Microsoft 365 Search et Services Business Connectivity puisse obtenir le certificat SSL de canal sécurisé nécessaire pour s’authentifier auprès du périphérique proxy inverse.

Pour créer une application cible pour stocker le certificat SSL de canal sécurisé

  1. Go to More features in the SharePoint admin center, and sign in with an account that has admin permissions in Microsoft 365.

  2. Sous Magasin sécurisé, sélectionnez Ouvrir.

  3. Sous l’onglet Modifier, sélectionnez Nouveau.

  4. Dans la section Application Paramètres cible, faites les choses suivantes :

  5. Dans la zone ID de l’application cible, entrez le nom (qui sera l’ID) que vous souhaitez utiliser pour l’application cible; par exemple, nous vous recommandons de le nommer SecureChannelTargetApplication. N’utilisez pas d’espaces dans ce nom.

    Notes

    Vous créez l’ID à cette étape : vous ne recevez pas l’ID d’un autre lieu. Cet ID est un nom d’application cible unique qui ne peut pas être modifié.

Icône Description
Icône Modifier Enregistrez ce nom dans la ligne ID de l’application cible du tableau 6 de la feuille de calcul.
  1. Dans la zone Nom complet , entrez le nom que vous souhaitez utiliser comme nom complet pour la nouvelle application cible. Par exemple, application cible de canal sécurisé.
Icône Description
Icône Modifier Enregistrez ce nom dans la ligne Nom complet de l’application cible du tableau 6 de la feuille de calcul.
  1. Dans la zone de courrier électronique Contact , entrez le nom du contact principal pour cette application cible.

  2. Dans la section Champs d’informations d’identification, faites les choses suivantes :

  3. Dans la colonne Nom du champ, dans la première ligne, supprimez tout texte existant dans la zone, puis entrez Certificat.

  4. Dans la colonne Type de champ, dans la première ligne, dans la liste, sélectionnez Certificat.

  5. Dans la colonne Nom du champ, dans la deuxième ligne, supprimez tout texte existant dans la zone, puis entrez Mot de passe du certificat.

    Notes

    Vous ne devez suivre cette étape que si vous importez le certificat à partir d’un certificat qui contient une clé privée, telle qu’un fichier .pfx (Private Information Exchange).

  6. Dans la colonne Type de champ, dans la deuxième ligne, dans la zone de dropdown, sélectionnez Mot de passe de certificat.

    La section informations d’identification doit ressembler à l’illustration suivante.

    Cette figure illustre le paramètre d’informations d’identification d’une application cible du service Magasin sécurisé

  7. Dans la section Administrateurs d’application cible, dans la zone, entrez les noms des utilisateurs qui auront accès à la gestion des paramètres de cette application cible. Veillez à ajouter tous les utilisateurs qui testent la configuration hybride afin qu’ils peuvent apporter des modifications, si nécessaire.

  8. Dans la section Membres, dans la zone, entrez les noms des utilisateurs et des groupes Azure AD que vous souhaitez activer pour utiliser des solutions hybrides.

    L Microsoft 365 administrateur global peut créer Azure AD groupes. Il s’agit de groupes de domaines, SharePoint de Microsoft 365 groupes.

Icône Description
Icône Modifier La liste de ces utilisateurs, ou le groupe à qui ils ont été ajoutés, est répertoriée à la ligne Utilisateurs fédérés du tableau 1 de la feuille de calcul.
  1. Sélectionnez OK.

  2. Cochez la case en regard de l’ID de l’application cible que vous avez créée (par exemple, SecureChannelTargetApp).

Icône Description
Icône Modifier Ce nom est répertorié à la ligne Nom complet de l’application cible du tableau 6 de la feuille de calcul.
  1. Sous l’onglet Modifier, dans le groupe Informations d’identification , sélectionnez Définir.

  2. Dans la boîte de dialogue définir les informations d’identification de l’application cible du magasin sécurisé, faites les choses suivantes :

  3. En de côté du champ Certificat , sélectionnez Parcourir.

  4. Accédez à l’emplacement du certificat SSL de canal sécurisé, sélectionnez le certificat, puis sélectionnez Ouvrir.

Icône Description
Icône Modifier Le nom et l’emplacement de ce certificat sont enregistrés dans la ligne Nom de fichier et emplacement du certificat SSL de canal sécurisé du tableau 4b de la feuille de calcul.
  1. Si le certificat que vous utilisez contient une clé privée, telle qu’un fichier private Information Exchange (.pfx), dans le champ Mot de passe du certificat, entrez le mot de passe du certificat. Dans le cas contraire, allez à l’étape 12.
Icône Description
Icône Modifier Le mot de passe est enregistré dans la ligne de mot de passe Certificat SSL de canal sécurisé du tableau 4b de la feuille de calcul.
  1. Dans le champ Confirmer le mot de passe du certificat, entrez de nouveau le mot de passe du certificat.

  2. Sélectionnez OK.

Pour plus d’informations, voir Configurer le service Magasin sécurisé dans SharePoint Server.

Validation et étapes suivantes

Une fois que vous avez terminé les tâches de configuration de cette rubrique, vous devez valider les éléments suivants :

  • Vérifiez que votre nom de domaine Internet public peut être résolu dans DNS.

  • Vérifiez que vous pouvez vous connecter à l’application web principale à l’aide des URL internes et externes.

  • Vérifiez que vous pouvez accéder à une collection de sites sur site dans l’application web principale à partir d’Internet à l’aide de l’URL externe de votre point de terminaison de proxy inverse. Le certificat SSL de canal sécurisé doit être installé sur l’ordinateur que vous utilisez pour cette étape de validation dans le magasin de certificats personnels du compte d’ordinateur.

Une fois que vous avez terminé et validé les tâches de configuration dans cette rubrique, revenir à votre feuille de route de configuration.