קביעת התצורה של אימות מבוסס-שרת עם SharePoint המקומי

ניתן להשתמש בשילוב SharePoint מבוסס שרת עבור ניהול מסמכים כדי לחבר יישומי Customer Engagement ‏(Dynamics 365 Sales, ‏Dynamics 365 Customer Service,‏ Dynamics 365 Field Service, ‏Dynamics 365 Marketing, ו- Dynamics 365 Project Service Automation), עם SharePoint מקומי. בעת שימוש באימות המבוסס על שרת, Azure AD Domain Services משמש כמתווך יחסי האמון, והמשתמשים לא צריכים להיכנס ל- SharePoint.

ההרשאות הנדרשות

Microsoft 365

  • חברות בקבוצת המנהלים הכלליים - זוהי דרישה לצורך גישה ברמת מנהל למנוי Microsoft 365 ולהפעלת כלי cmdlet של AzurePowerShell.

יישומי Customer Engagement

  • ההרשאה הפעלת אשף שילוב SharePoint. הדבר נדרש כדי להפעיל את אשף 'אימות מבוסס-שרת'.

    כברירת מחדל, לתפקיד האבטחה מנהל מערכת יש הרשאה זו.

    SharePoint מקומי

  • חברות בקבוצת מנהלי החווה - זה נדרש כדי להפעיל את רוב פקודות PowerShell בשרת SharePoint.

הגדרת אימות בין שרתים עם SharePoint מקומי

בצע את הפעולות בסדר הבא כדי להגדיר את יישומי Customer Engagement עם SharePoint 2013 מקומי.

חשוב

יש להשלים את השלבים המתוארים כאן בסדר שצוין. אם פעילות מסוימת לא הושלמה, כגון פקודת PowerShell מחזירה הודעת שגיאה, יש לפתור את הבעיה לפני שתמשיך לפקודה הבאה, לפעילות או לשלב הבא.

אימות דרישות מוקדמות

לפני שתגדיר את יישומי Customer Engagement ו- SharePoint מקומי עבור אימות מבוסס-שרת, יש לעמוד בתנאים המוקדמים הבאים:

דרישות מוקדמות של SharePoint

  • SharePoint 2013 (מקומי) עם Service Pack 1 (SP1) או גירסה מתקדמת יותר

    חשוב

    גירסאות SharePoint Foundation 2013 אינן נתמכות לשימוש עם ניהול מסמכים של יישומי Customer Engagement.

  • התקן את העדכון המצטבר (CU) של אפריל 2019 עבור משפחת מוצרי SharePoint 2013. העדכון המצטבר של אפריל 2019 כולל את כל תיקוני SharePoint 2013 (לרבות כל תיקוני האבטחה של SharePoint 2013) שפורסמו מאז SP1. העדכון המצטבר של אפריל 2019 אינו כולל את SP1. עליך להתקין את SP1 לפני התקנת העדכון המצטבר של אפריל 2019. מידע נוסף: מאמר KB4464514 על עדכון מצטבר של אפריל 2019 עבור SharePoint Server 2013

  • תצורת SharePoint

דרישות מוקדמות אחרות

עדכן את SharePoint Server SPN ב- Azure Active Directory Domain Services

בשרת SharePoint מקומי, במעטפת ניהול של SharePoint 2013, הרץ פקודות PowerShell אלה בסדר הנתון.

  1. הכן את הפעלת PowerShell.

    ה- Cmdlets הבאים מאפשרים למחשב לקבל פקודות מרוחקות ולהוסיף מודולים של Microsoft 365 להפעלה של PowerShell. לקבלת מידע נוסף אודות כלי cmdlet אלה ראה Windows PowerShell Core Cmdlets.

    Enable-PSRemoting -force  
    New-PSSession  
    Import-Module MSOnline -force  
    Import-Module MSOnlineExtended -force  
    
  2. התחבר אל Microsoft 365.

    כאשר אתה מפעיל את הפקודה Connect-MsolService, עליך לספק חשבון Microsoft חוקי עם חברות בניהול כללי עבור רישיון SharePoint Online שנדרש.

    לקבלת מידע מפורט אודות כל אחת מפקודות ‏‏Azure Active DirectoryPowerShell המפורטות כאן, ראה ניהול Azure AD באמצעות Windows PowerShell

    $msolcred = get-credential  
    connect-msolservice -credential $msolcred  
    
  3. הגדר את שם מארח SharePoint.

    הערך שאתה מגדיר עבור המשתנה HostName‎ חייב להיות שם מלא של מחשב מארח באוסף אתרים של SharePoint. שם המארח חייב להיגזר מכתובת ה-URL של אוסף האתרים והוא תלוי רישיות. בדוגמה זו, כתובת ה-URL של אוסף האתרים היא https://SharePoint.constoso.com/sites/salesteam, כך ששם המארח הוא SharePoint.contoso.com.

    $HostName = "SharePoint.contoso.com"  
    
  4. קבל את מזהה האובייקט (דייר) של Microsoft 365 ושם השירות הראשי (SPN) של שרת SharePoint.

    $SPOAppId = "00000003-0000-0ff1-ce00-000000000000"  
    $SPOContextId = (Get-MsolCompanyInformation).ObjectID  
    $SharePoint = Get-MsolServicePrincipal -AppPrincipalId $SPOAppId  
    $ServicePrincipalName = $SharePoint.ServicePrincipalNames  
    
  5. הגדר את השם הראשי של שירות (SPN) של שרת SharePoint ב- ‏‏Azure Active Directory.

    $ServicePrincipalName.Add("$SPOAppId/$HostName")   
    Set-MsolServicePrincipal -AppPrincipalId $SPOAppId -ServicePrincipalNames $ServicePrincipalName  
    

    לאחר השלמת פקודות אלה אל תסגור את SharePoint 2013 Management Shell, והמשך לשלב הבא.

עדכן את תחום SharePoint כך שיתאים לזה של SharePoint Online

בשרת SharePoint מקומי, ב- SharePoint 2013 Management Shell, הפעל את פקודת Windows PowerShell הזו.

הפקודה הבאה דורשת חברות מנהל חוות של SharePoint ומגדירה את תחום האימות של חוות SharePoint המקומי.

זהירות

הפעלת פקודה זו משנה את תחום האימות של חוות SharePoint המקומי. עבור יישומים המשתמשים בשירות אסימון אבטחה (STS) קיים, הדבר עלול לגרום לאופן פעולה בלתי צפוי עם יישומים אחרים המשתמשים באסימוני גישה. מידע נוסף: Set-SPAuthenticationRealm.

Set-SPAuthenticationRealm -Realm $SPOContextId  

יצירה של מנפיק אסימוני אבטחה אמין עבור Azure Active Directory ב- SharePoint

בשרת SharePoint מקומי, במעטפת ניהול של SharePoint 2013, הרץ פקודות PowerShell אלה בסדר הנתון.

הפקודות הבאות דורשות חברות מנהל חוות SharePoint.

לקבלת מידע מפורט אודות פקודות PowerShell אלו, ראה שימוש ב- cmdlets של Windows PowerShell כדי לנהל אבטחה ב- SharePoint 2013.

  1. אפשר את הפעלת PowerShell כדי לבצע שינויים בשירות אסימון האבטחה עבור חוות SharePoint.

    $c = Get-SPSecurityTokenServiceConfig  
    $c.AllowMetadataOverHttp = $true  
    $c.AllowOAuthOverHttp= $true  
    $c.Update()  
    
  2. הגדר את נקודת הקצה של המטה-נתונים.

    $metadataEndpoint = "https://accounts.accesscontrol.windows.net/" + $SPOContextId + "/metadata/json/1"  
    $acsissuer = "00000001-0000-0000-c000-000000000000@" + $SPOContextId  
    $issuer = "00000007-0000-0000-c000-000000000000@" + $SPOContextId  
    
  3. צור את ה- proxy החדש של יישום שירות פקד האסימון ב- ‏‏Azure Active Directory.

    New-SPAzureAccessControlServiceApplicationProxy -Name "Internal" -MetadataServiceEndpointUri $metadataEndpoint -DefaultProxyGroup  
    

    הערה

    הפקודה New- SPAzureAccessControlServiceApplicationProxy עלולה להחזיר הודעת שגיאה המציינת כי proxy של יישום בשם זה כבר קיים. אם ה- Proxy של יישום ששמו צוין כבר קיים, באפשרותך להתעלם מהשגיאה.

  4. צור את המנפיק החדש של שירות בקרת האסימונים ב- SharePoint המקומי עבור ‏‏Azure Active Directory.

    $acs = New-SPTrustedSecurityTokenIssuer –Name "ACSInternal" –IsTrustBroker:$true –MetadataEndpoint $metadataEndpoint -RegisteredIssuerName $acsissuer  
    

הענק ליישומי Customer Engagement הרשאה לגשת אל SharePoint והגדר מיפוי אימות מבוסס-טענות

בשרת SharePoint מקומי, במעטפת ניהול של SharePoint 2013, הרץ פקודות PowerShell אלה בסדר הנתון.

הפקודות הבאות דורשות חברות מנהל אתרים של SharePoint.

  1. רשום את יישומי Customer Engagement עם אוסף אתרים של SharePoint.

    הזן את כתובת ה-URL של אוסף האתרים של SharePoint המקומי. בדוגמה זו נעשה שימוש ב- https://sharepoint.contoso.com/sites/crm/.

    חשוב

    לשם השלמת הפקודה, ה- Proxy של יישום שירות הניהול של SharePoint חייב להתקיים ולפעול. לקבלת מידע נוסף אודות אופן ההפעלה וההגדרה של השירות, ראה את נושא המשנה 'הגדרות מנוי ויישומי שירות של ניהול יישום' ב- הגדרת סביבה ליישומים עבור SharePoint (SharePoint 2013).

    $site = Get-SPSite "https://sharepoint.contoso.com/sites/crm/"  
    Register-SPAppPrincipal -site $site.RootWeb -NameIdentifier $issuer -DisplayName "crm"  
    
  2. הענק ליישומי Customer Engagement גישה לאתר SharePoint. החלף את https://sharepoint.contoso.com/sites/crm/ בכתובת URL של אתר SharePoint שלך.

    הערה

    בדוגמה שלהלן, ליישום Customer Engagement מוענקת הרשאה לאוסף אתרי SharePoint שצוין באמצעות פרמטר האוסף –Scope site. הפרמטר Scope מקבל את האפשרויות הבאות. בחר את הטווח המתאים ביותר עבור תצורת SharePoint שלך.

    • site. מעניק הרשאה של יישומי Customer Engagement לאתר SharePoint שצוין בלבד. לא מעניק הרשאה לאתרי משנה כלשהם תחת האתר ששמו צוין.
      • sitecollection. מעניק הרשאה של יישומי Customer Engagement לכל אתרי האינטרנט ואתרי המשנה באוסף אתרי SharePoint שצוין.
      • sitesubscription. מעניק את ההרשאה של יישומי Customer Engagement לכל אתרי האינטרנט בחוות SharePoint, כולל כל אוספי האתרים, אתרי האינטרנט ואתרי המשנה.
    $app = Get-SPAppPrincipal -NameIdentifier $issuer -Site "https://sharepoint.contoso.com/sites/crm/"  
    Set-SPAppPrincipalPermission -AppPrincipal $app -Site $site.Rootweb -Scope "sitecollection" -Right "FullControl"  
    
  3. הגדר את סוג המיפוי של אימות מבוסס-טענות.

    חשוב

    כברירת מחדל, מיפוי של אימות מבוסס-טענות ישתמש בכתובת הדואר האלקטרוני של חשבון Microsoft של המשתמש ובכתובת של המשתמש עבור SharePoint המקומי וכתובת דואר אלקטרוני בעבודה למיפוי. בעת שימוש זה, כתובות הדואר האלקטרוני של המשתמש חייבות להתאים בין שתי המערכות. לקבלת מידע נוסף, ראה בחירת סוג המיפוי של אימות מבוסס-טענות.

    $map1 = New-SPClaimTypeMapping -IncomingClaimType "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress" -IncomingClaimTypeDisplayName "EmailAddress" -SameAsIncoming  
    

הפעל את אשף השילוב להפעלת SharePoint המבוסס על שרת

פעל בהתאם לשלבים אלה:

  1. עבור אל הגדרות > ניהול מסמכים.

  2. באזור ניהול מסמכים, לחץ על אפשר שילוב SharePoint מבוסס-שרת.

  3. בדוק את הנתונים ולאחר מכן לחץ על הבא.

  4. עבור אתרי SharePoint, לחץ על מקומי, ולאחר מכן לחץ על הבא.

  5. הזן את כתובת ה-URL של אוסף האתרים של SharePoint המקומי, כגון https://sharepoint.contoso.com/sites/crm. יש לקבוע את תצורת האתר עבור SSL.

  6. לחץ על Next.

  7. המקטע אמת אתרים מופיע. אם נקבע שכל האתרים חוקיים, לחץ על אפשר. אם אתר אחד או יותר נקבעים כלא חוקיים, ראה ‏‫פתרון בעיות בנושא אימות מבוסס-שרת‬.

בחר בישויות שברצונך לכלול בניהול המסמכים

כברירת מחדל, הישויות הנכללות הן תיק לקוח, מאמר, הפניה, מוצר, הצעת מחיר ומסמכי מכירות. באפשרותך להוסיף או להסיר את הישויות אשר ישמשו לניהול מסמכים עם SharePoint ב- הגדרות ניהול מסמכים. עבור אל הגדרות > ניהול מסמכים. מידע נוסף: הפעלת ניהול מסמכים ביישויות

הוספת OneDrive לשילוב Business

לאחר השלמת הגדרת התצורה של אימות מבוסס-שרת ביישומי Customer Engagement ו- SharePoint מקומי, תוכל גם לשלב את for Business OneDrive. עם שילוב של יישומי Customer Engagement ו- for Business OneDrive, משתמשים יכולים ליצור ולנהל מסמכים פרטיים באמצעות for Business OneDrive. ניתן לגשת למסמכים האלה לאחר שמנהל המערכת מפעיל את for Business OneDrive.

הפוך את OneDrive for Business לזמין

בשרת Windows Server שבו פועל שרת SharePoint המקומי, פתח את מעטפת הניהול של SharePoint והרץ את הפקודות הבאות:

Add-Pssnapin *  
# Access WellKnown App principal  
[Microsoft.SharePoint.Administration.SPWebService]::ContentService.WellKnownAppPrincipals  
  
# Create WellKnown App principal  
$ClientId = "00000007-0000-0000-c000-000000000000"  
$PermissionXml = "<AppPermissionRequests AllowAppOnlyPolicy=&quot;&quot;true&quot;&quot;><AppPermissionRequest Scope=&quot;&quot;http://sharepoint/content/tenant&quot;&quot; Right=&quot;&quot;FullControl&quot;&quot; /><AppPermissionRequest Scope=&quot;&quot;http://sharepoint/social/tenant&quot;&quot; Right=&quot;&quot;Read&quot;&quot; /><AppPermissionRequest Scope=&quot;&quot;http://sharepoint/search&quot;&quot; Right=&quot;&quot;QueryAsUserIgnoreAppPrincipal&quot;&quot; /></AppPermissionRequests>"  
  
$wellKnownApp= New-Object -TypeName "Microsoft.SharePoint.Administration.SPWellKnownAppPrincipal" -ArgumentList ($ClientId, $PermissionXml)  
  
$wellKnownApp.Update()  
  

בחירת סוג המיפוי של אימות מבוסס-טענות.

כברירת מחדל, מיפוי של אימות מבוסס-טענות ישתמש בכתובת הדואר האלקטרוני של חשבון Microsoft של המשתמש ובכתובת הדואר האלקטרוני בעבודה של המשתמש ב- SharePoint המקומי למיפוי. שים לב שבכל סוג של אימות מבוסס-טענות שתשתמש בו, הערכים, כגון כתובות דואר אלקטרוני, חייבים להתאים בין יישומי Customer Engagement ו- SharePoint. סינכרון ספריות Microsoft 365 יכול לעזור בכך. מידע נוסף: פריסת סנכרון מדריכי כתובות של Microsoft 365 ב- Microsoft Azure. כדי להשתמש בסוג אחר של מיפוי אימות מבוסס-טענות, ראה הגדרת מיפוי טענות מותאם אישית לשילוב SharePoint מבוסס-שרת‬‏‫.

חשוב

כדי להפעיל את המאפיין דואר אלקטרוני בעבודה, ל- SharePoint המקומי חייב להיות יישום שירות של פרופיל משתמש מוגדר ומופעל. כדי להפעיל יישום שירות פרופיל משתמש ב- SharePoint, ראה יצירה, עריכה או מחיקה של יישומי שירות פרופיל משתמש ב- SharePoint Server 2013. כדי לבצע שינויים במאפיין משתמש בדרך הנכונה, כגון דואר אלקטרוני של העבודה, ראה ערוך מאפיין של פרופיל משתמש. לקבלת מידע נוסף אודות יישום שירות של פרופיל משתמש, ראה סקירה של יישום שירות של פרופיל משתמש ב- SharePoint Server 2013.

למידע נוסף

פתרון בעיות בנושא אימות מבוסס-שרת
הגדרת שילוב SharePoint עם יישומי Customer Engagement