Configurar a autenticação servidor para servidor do SharePoint Server para o SharePoint no Microsoft 365
APLICA-SE A:
2013 2019 Subscription Edition SharePoint no Microsoft 365
Este artigo é parte de um roteiro de procedimentos para configurar soluções híbridas do SharePoint. Siga um roteiro ao realizar os procedimentos neste artigo.
Observação
Recomendamos usar o Assistente de Configuração Híbrida do SharePoint para estabelecer a autenticação servidor a servidor entre o SharePoint Server e o SharePoint no Microsoft 365. Se você não puder usar o Assistente de Configuração Híbrida por qualquer motivo, siga as etapas deste artigo para habilitar a autenticação servidor a servidor.
Configurar a autenticação de servidor para servidor
Este artigo fornece diretrizes para o processo de implantação de ambiente híbrido do SharePoint, que integra o SharePoint Server e o SharePoint no Microsoft 365.
Dica
Para obter o resultado mais confiável, conclua os procedimentos na ordem em que são mostrados no artigo.
Verificar as configurações do aplicativo Web
No SharePoint híbrido, os usuários federados podem enviar solicitações para o SharePoint Online no Microsoft 365 de qualquer aplicativo Web do SharePoint Server configurado para usar a Autenticação integrada do Windows com NTLM.
Por exemplo, você precisa garantir que os sites do centro de pesquisa local que você deseja usar em sua solução estejam configurados para usar a autenticação integrada do Windows com NTLM. Se não estiverem, você precisa reconfigurar o aplicativo Web para usar a autenticação do Windows com NTLM ou usar um site do centro de pesquisa em um aplicativo Web que atenda a esse requisito. Você também precisa garantir que os usuários que esperam que os resultados da pesquisa sejam retornados do SharePoint no Microsoft 365 são usuários federados.
Para verificar se um aplicativo Web atende aos requisitos
Confirme se a conta de usuário que executará esse procedimento é membro do grupo Administradores do Farm do SharePoint.
Na Administração Central, clique em Gerenciamento de Aplicativo e Gerenciar aplicativos Web.
Na coluna Nome, selecione o aplicativo Web que você deseja verificar e, na faixa de opções, clique em Provedores de Autenticação.
Na caixa de diálogo Provedores de Autenticação, na coluna Zona, clique na zona à qual o centro de pesquisa está associado.
Na caixa de diálogo Editar Autenticação, verifique se a autenticação Integrada do Windows e NTLM estão selecionadas, como mostra a imagem a seguir.
Configurar o OAuth sobre HTTP (se for necessário)
Por padrão, o OAuth no SharePoint Server exige HTTPS. Se você configurou seu aplicativo Web principal para usar o HTTP em vez de SSL, você precisará habilitar o OAuth via HTTP em cada servidor Web em seu farm SharePoint Server.
Observação
Se você configurou o seu aplicativo da web primário para usar o SSL, esta etapa não é necessária.
Para habilitar OAuth sobre HTTP, execute os seguintes comandos como administrador de farm no prompt de comando do Shell de Gerenciamento do SharePoint 2016 em cada servidor Web em seu farm do SharePoint Server.
$serviceConfig = Get-SPSecurityTokenServiceConfig
$serviceConfig.AllowOAuthOverHttp = $true
$serviceConfig.Update()
Se você tiver habilitado OAuth sobre HTTP para teste, mas quiser reconfigurar seu ambiente a fim de usar SSL, desabilite OAuth sobre HTTP executando os seguintes comandos como uma conta de administrador de farm a partir do prompt de comando do Shell de Gerenciamento do SharePoint 2016 em cada servidor Web em seu farm do SharePoint Server.
$serviceConfig = Get-SPSecurityTokenServiceConfig
$serviceConfig.AllowOAuthOverHttp = $false
$serviceConfig.Update()
Configurar a autenticação servidor para servidor entre o SharePoint Server local e o SharePoint no Microsoft 365
Esta seção o ajudará a configurar a autenticação de servidor para servidor entre:
SharePoint Server
SharePoint no Microsoft 365
Microsoft Entra ID
Ao configurar a autenticação servidor a servidor para ambientes híbridos, você cria uma relação de confiança entre o farm do SharePoint local e o sharepoint no locatário do Microsoft 365, que usa Microsoft Entra ID como um serviço de assinatura de token confiável. Com a adição dos módulos e snap-ins necessários do PowerShell, esse processo pode acontecer em uma única janela do PowerShell, em um servidor Web do SharePoint local.
Dica
[!DICA] Pode ser conveniente manter um registro das etapas, dos cmdlets do PowerShell executados e de qualquer erro que possam ocorrer. Você deve capturar todo o conteúdo do buffer do PowerShell quando tiver concluído e antes de fechar a janela. Isso fornecerá um histórico das etapas realizadas, o que poderá ser útil se você precisar solucionar problemas ou explicar o processo para outras pessoas. Também será útil como fonte de consulta, caso a configuração seja feita em etapas.
Veja um modo de exibição de alto nível dos procedimentos que devem ser concluídos nesta seção:
Instalar ferramentas de gerenciamento de serviços online em um servidor Web do em seu farm do SharePoint Server.
Configurar autenticação de servidor para servidor:
Definir as variáveis a serem utilizadas nas etapas posteriores.
Carregue o certificado STS do SharePoint Server interno no SharePoint no Microsoft 365.
Adicionar um Nome de Entidade de Serviço (SPN) ao Azure.
Registrar a ID de objeto principal do aplicativo SharePoint no Microsoft 365 no SharePoint Server local.
Configurar um domínio de autenticação comum entre o farm do SharePoint Server local e o SharePoint no Microsoft 365.
Configure um proxy de aplicativo Microsoft Entra local.
Instale as ferramentas de gerenciamento de serviços online e configure a janela do Windows PowerShell.
Para continuar, é preciso instalar essas ferramentas em um servidor Web do SharePoint Server local:
Microsoft Graph PowerShell
SharePoint no Shell de gerenciamento do Microsoft 365
Isso é feito com mais facilidade em um servidor Web em seu farm do SharePoint porque é mais fácil carregar o snap-in Microsoft.SharePoint.PowerShell nos servidores Web do que em servidores que não têm o SharePoint Server instalado.
A autenticação no SharePoint Server, sharePoint no Microsoft 365 e Microsoft Entra ID requer contas de usuário diferentes. Para saber mais sobre como determinar qual conta usar, veja Contas necessárias para a configuração e testes do híbrido.
Observação
Para facilitar a conclusão das etapas nesta seção, abriremos uma janela do Prompt de Comando do PowerShell em um servidor Web do SharePoint Server e adicionaremos os módulos e snap-ins que permitem que você se conecte ao SharePoint Server, Ao SharePoint no Microsoft 365 e Microsoft Entra ID. (Forneceremos etapas detalhadas sobre como fazer isso mais adiante neste artigo.) Em seguida, manteremos essa janela aberta para usá-la para todas as etapas restantes do PowerShell neste artigo.
Para instalar as ferramentas de gerenciamento de serviços online e configurar a janela doPowerShell:
Instalar a versão mais recente do Microsoft Graph PowerShell
Instalar o SharePoint no Shell de Gerenciamento do Microsoft 365:
SharePoint no Shell de Gerenciamento do Microsoft 365 (versão de 64 bits)
Para obter mais informações, confira Introdução ao SharePoint no Shell de Gerenciamento do Microsoft 365.
Abra uma janela do PowerShell.
Para ajudar a garantir espaço em buffer e evitar a perda de qualquer histórico de comando, aumente o tamanho do buffer da janela do PowerShell.
Clique no canto superior esquerdo da janela do PowerShell e em seguida, clique em Propriedades.
Na janela Propriedades do PowerShell, clique na guia Layout.
Em Tamanho do Buffer de Tela, defina o campo Altura como 9999 e depois clique em OK.
Essa etapa carrega os módulos baixados para que seja possível utilizá-los na sua sessão do PowerShell. Copie os seguintes comandos em sua sessão do PowerShell e pressione Enter.
Add-PSSnapin Microsoft.SharePoint.PowerShell Import-Module Microsoft.PowerShell.Utility Import-Module Microsoft.GraphSe, mais tarde, quiser executar novamente qualquer etapa de configuração, lembre-se de executar esses comandos outra vez para carregar os módulos e snap-ins do PowerShell necessários.
Insira os comandos a seguir para entrar no SharePoint no Microsoft 365, a partir do prompt de comando do PowerShell:
Connect-MgGraph -Scopes "Group.ReadWrite.All","RoleManagement.ReadWrite.Directory"Você é solicitado a entrar. Você precisa entrar usando uma conta de administrador global do Microsoft 365. Você pode explorar outras maneiras de se conectar ao Microsoft Graph.
Deixe a janela do PowerShell aberta concluir todas as etapas neste artigo. Você precisa dela para vários procedimentos nas seções seguintes.
Configurar autenticação S2S (servidor para servidor)
Agora que você instalou as ferramentas para permitir que você administre remotamente Microsoft Entra ID e SharePoint no Microsoft 365, você está pronto para configurar a autenticação servidor a servidor.
Sobre as variáveis que serão criadas
Esta seção descreve as variáveis que você definirá no procedimento a seguir. Essas variáveis contêm informações importantes e que são utilizadas em muitas das etapas de configuração restantes.
| Variável | Comentários |
|---|---|
| $spcn | O nome de domínio raiz do seu domínio público. Esse valor não deve estar na forma de uma URL; ele deve ser apenas o nome de domínio sem nenhum protocolo. Por exemplo, adventureworks.com. |
| $spsite | A URL interna do aplicativo Web principal local; por exemplo, http://sharepoint ou https://sharepoint.adventureworks.com. Esse valor é uma URL completa usando o protocolo apropriado ( http: // ou https:// ). Esta é a URL interna do aplicativo Web que está em uso para a funcionalidade híbrida. Por exemplo, http://sharepoint ou https://sharepoint.adventureworks.com |
| $site | O objeto do aplicativo Web principal local. O comando que popula essa variável obtém o objeto do site que você especificou na variável $spsite. Essa variável é populada automaticamente. |
| $spoappid | A ID da entidade de aplicativo do SharePoint no Microsoft 365 é sempre 00000003-0000-0ff1-ce00-000000000000. Esse valor genérico identifica o SharePoint em objetos do Microsoft 365 em uma organização do Microsoft 365. |
| $spocontextID | A ID de contexto (ObjectID) do seu SharePoint no locatário do Microsoft 365. Esse valor é um GUID exclusivo que identifica seu SharePoint no locatário do Microsoft 365. Esse valor é detectado automaticamente quando você executa o comando para definir a variável. |
| $metadataEndpoint | A URL usada pelo proxy de ID Microsoft Entra para se conectar ao seu Microsoft Entra locação. Não é preciso inserir o valor dessa variável. |
Etapa 1: Definir as variáveis
Agora que você identificou as variáveis que devem ser definidas, utilize essas instruções para defini-las. O pré-preenchimento das variáveis mais comumente utilizadas devem lhe ajudar a realizar as demais etapas, de forma mais rápida. Essas variáveis permanecerão preenchidas enquanto a sessão do PowerShell não for fechada. Tenha cuidado para fornecer informações precisas onde quer que você veja colchetes de ângulo (<>) e sempre remova os colchetes de ângulo antes de executar o comando. Não altere o código fora dos colchetes de ângulo.
Observação
Se, mais tarde, você precisar realizar qualquer uma dessas etapas de configuração, comece executando os seguintes comandos do PowerShell desta etapa para popular novamente as variáveis importantes.
Copie as seguintes declarações de variáveis e cole-as em um editor de texto, como o Bloco de Notas. Defina valores de entrada específicos para sua organização. No prompt de comando do PowerShell configurado com as ferramentas de gerenciamento de serviços online, execute os comandos:
$spcn="*.<public_root_domain_name>.com"
$spsite=Get-Spsite <principal_web_application_URL>
$site=Get-Spsite $spsite
$spoappid="00000003-0000-0ff1-ce00-000000000000"
$spocontextID = (Get-MgOrganization).Id
$metadataEndpoint = "https://accounts.accesscontrol.windows.net/" + $spocontextID + "/metadata/json/1
Após preencher essas variáveis, é possível exibir os respectivos valores inserindo o nome da variável na janela do PowerShell. Por exemplo, inserir $metadataEndpoint retorna um valor semelhante ao seguinte:
https://accounts.accesscontrol.windows.net/00fceb75-246c-4ac4-a0ad-7124xxxxxxxx/metadata/json/1
Etapa 2: Carregar o certificado STS para o SharePoint no Microsoft 365
Nessa etapa, você carrega o novo certificado STS para seu farm do SharePoint Server para seu locatário do SharePoint no Microsoft 365, o que habilita o SharePoint Server e o SharePoint no Microsoft 365 a se conectarem e consumirem aplicativos de serviços entre si.
Os comandos nesta etapa adicionam o certificado STS local (somente chave pública) ao objeto principal do SharePoint no Microsoft 365 da sua organização Microsoft 365.
No prompt de comando do PowerShell, digite os seguintes comandos:
Import-Module Microsoft.Graph.Applications
$params = @{
keyCredential = @{
type = "AsymmetricX509Cert"
usage = "Verify"
key = [System.Text.Encoding]::ASCII.GetBytes("MIIDYDCCAki...")
}
passwordCredential = $null
proof = "eyJ0eXAiOiJ..."
}
Add-MgServicePrincipalKey -ServicePrincipalId $spoappid -BodyParameter $params
Etapa 3: Adicionar um SPN para seu nome de domínio público para Microsoft Entra ID
Nesta etapa, você adiciona um SPN (nome da entidade de serviço) ao locatário Microsoft Entra. O objeto principal do SharePoint no Microsoft 365 e o namespace DNS público da sua empresa formam o SPN.
Assim como a função SPNs no Active Directory, a criação desse SPN registra um objeto no Microsoft Entra ID usado para dar suporte à autenticação mútua entre o SharePoint Server e o SharePoint no Microsoft 365. A sintaxe básica para o SPN é:
<nome do tipo> de serviço/<instância>
Onde:
<o tipo> de serviço é o SharePoint no objeto principal do Microsoft 365, que é o mesmo para todos os locatários do SharePoint no Microsoft 365.
<nome da instância> é a URL do espaço para nomes de domínios DNS público de sua empresa, o qual sempre é expresso como um curinga, mesmo se o Certificado SSL de Canal Seguro for um certificado de SAN.
Exemplo:
00000003-0000-0ff1-ce00-000000000000/*.<public domain name>.com
Se sharepoint.adventureworks.com for um nome comum em seu certificado, a sintaxe de o SPN terá a seguinte aparência:
00000003-0000-0ff1-ce00-000000000000/*.adventureworks.com
O uso de um valor curinga permite que o SharePoint no Microsoft 365 valide conexões com qualquer host nesse domínio. Isso é útil no caso de necessitar alterar o nome de host do ponto de extremidade externo (caso a sua topologia inclua um) ou se você desejar alterar seu do aplicativo Web do SharePoint Server, futuramente.
Para adicionar o SPN ao Microsoft Entra ID, insira os comandos a seguir no prompt de comando do Microsoft Graph PowerShell.
$msp = Get-MgServicePrincipal -Filter "AppId eq '$spoappid'"
$params =@{
"servicePrincipalNames"="$spoappid/$spcn"
}
Update-MgServicePrincipal -ServicePrincipalId $msp.Id -BodyParameter $params
Para validar se o SPN foi definido, insira os seguintes comandos no prompt de comando do Microsoft Graph PowerShell.
$msp = Get-MgServicePrincipal -Filter "AppId eq '$spoappid'"
$spns = $msp.ServicePrincipalNames
$spns
Você deverá ver uma lista atual de SPNs para o SharePoint no Microsoft 365 em sua organização do Microsoft 365 e um dos SPNs deve incluir seu nome de domínio raiz público, precedida da ID principal do aplicativo do SharePoint no Microsoft 365. Esse registro é um registro de caractere curinga e deve ser parecido com o exemplo a seguir:
00000003-0000-0ff1-ce00-000000000000/*.<public domain name>.com
Este deve ser o único SPN na lista que inclui seu nome de domínio raiz público.
Etapa 4: Registrar a ID do objeto principal do aplicativo do SharePoint no Microsoft 365 com o SharePoint Server
Essa etapa registra a ID do objeto principal do aplicativo do SharePoint no Microsoft 365 no Serviço de Gerenciamento de Aplicativos do SharePoint no Microsoft 365 local, que permite ao SharePoint Server se autenticar no SharePoint no Microsoft 365 usando OAuth.
No prompt de comando do PowerShell, digite os seguintes comandos:
$spoappprincipalID = (Get-MgServicePrincipal -Filter "servicePrincipalName eq '$spoappid'").Id
$sponameidentifier = "$spoappprincipalID@$spocontextID"
$appPrincipal = Register-SPAppPrincipal -site $site.rootweb -nameIdentifier $sponameidentifier -displayName "SharePoint"
Para validar essa etapa, no prompt de comando do PowerShell, digite a seguinte variável $appPrincipal:
$appPrincipal | fl
A saída esperada é uma descrição da entidade de segurança de aplicativo registrada com o nome SharePoint Online, que deve ser parecida com o seguinte:
Etapa 5: configurar o domínio de autenticação do SharePoint no Microsoft 365
Esta etapa define o domínio de autenticação do farm do SharePoint Server para a identificação de contexto da organização do Microsoft 365 da organização.
No prompt de comando do PowerShell, digite o seguinte comando:
Set-SPAuthenticationRealm -realm $spocontextID
Para validar esta etapa, no prompt de comando do PowerShell, digite os seguintes comandos:
$spocontextID
Get-SPAuthenticationRealm
A saída de cada um desses comandos é o GUID que representa a ID de contexto do locatário do SharePoint no Microsoft 365. Esses GUIDs devem ser idênticos.
Importante
Se tiver configurado scripts de configuração de farm que especificam o valor do realm de autenticação de farm, você deverá atualizar os scripts de configuração com esse novo valor antes de executá-los novamente. > Para obter mais informações sobre os requisitos para valores reais em scripts de configuração de farm, consulte Planejar a autenticação servidor a servidor no SharePoint Server. Como, agora, você já configurou esse farm do SharePoint para participar da configuração híbrida, o valor de realm de autenticação de farm do SharePoint deve sempre equivaler ao identificador de contexto do locatário. Se esse valor for alterado, o farm não participará mais da funcionalidade híbrida.
Etapa 6: configurar um proxy local para Microsoft Entra ID
Nesta etapa, você cria um serviço de proxy de ID Microsoft Entra no farm do SharePoint Server. Isso permite Microsoft Entra ID como um emissor de token confiável que o SharePoint Server usará para assinar e autenticar tokens de declarações do SharePoint no Microsoft 365.
No prompt de comando do PowerShell, digite os seguintes comandos.
New-SPAzureAccessControlServiceApplicationProxy -Name "ACS" -MetadataServiceEndpointUri $metadataEndpoint -DefaultProxyGroup
New-SPTrustedSecurityTokenIssuer -MetadataEndpoint $metadataEndpoint -IsTrustBroker:$true -Name "ACS"
Para validar o comando New-SPAzureAccessControlServiceApplicationProxy:
Navegue no site do Administração central do SharePoint 2016 e clique em Segurança>Segurança geral>Gerenciar confiança.
Verifique se você possui uma entrada com um nome que comece com ACS e digite Consumidor de serviços confiável.
Para validar esta etapa, no prompt de comando do PowerShell, digite o seguinte comando.
Get-SPTrustedSecurityTokenIssuerA saída esperada é uma descrição do emissor de token confiável do farm, onde o valor da propriedade NomeDoEmissorRegistrado é o seguinte:
00000001-0000-0000-c000-000000000000@<context ID>Onde:
- <ID> de contexto é a ID de contexto do seu SharePoint na locação do Microsoft 365, que é o valor na variável $spocontextID.
Etapa 7: Atualizar pesquisa federada híbrida
A partir de outubro de 2021, é necessária uma etapa extra para ajustar uma configuração híbrida existente do SharePoint para trabalhar e autenticar usando o novo mecanismo de pesquisa do Microsoft 365.
O script deve ser executado em um servidor em que o SharePoint On-Premises está instalado (2013, 2016 ou 2019). O script tentará instalar as dependências de módulo necessárias (MSOnline, AzureAD) no servidor em que ele é executado.
Baixe o script de configuração.
No diretório em que o script foi baixado, execute o script usando a conta do Administrador do Farm Local do SharePoint, usando o seguinte comando:
Update-FederatedHybridSearchForM365.ps1 -HybridWebApp YourHybridWebApplication -ForcePara obter mais informações sobre os valores de parâmetro, execute o seguinte comando:
Get-Help .\Update-FederatedHybridSearchForM365.ps1Quando solicitado, faça logon usando a conta do Administrador Global do Microsoft 365.
Aguarde a conclusão da execução do script; caso haja problemas, entre em contato com Suporte da Microsoft.
Após a execução do script, os usuários não verão alterações quando essa alteração for implementada.
Etapa 8 (necessária apenas para o SharePoint Server 2013): conceder permissão à nova entidade de aplicativo QueryAsUserIgnoreAppPrincipal
O SharePoint Server 2013 precisa de uma restrição oculta em cada consulta federada. O proxy reverso retorna os documentos indexados no próprio site de proxy reverso, não no site de pesquisa local interno, como esperado. Para evitar isso, você precisa executar as seguintes etapas em seu site de administração do SharePoint Server 2013:
<CentralAdminURL>/_layouts/appinv.aspxAcesse e Pesquise c3959f3a-5ad4-4d2b-b1f0-bc70f9a5d0a1, onde você deve encontrar a Habilidade de Bot de Pesquisa Federada da Groenlândia.Se houver itens no campo Domínio do Aplicativo, deixe-os estar e, se estiver vazio, use localhost.
Na URL de Redirecionamento, use https://localhost.
No campo XML da Solicitação de Permissão, cole o seguinte trecho XML:
<AppPermissionRequests> <AppPermissionRequest Scope="http://sharepoint/search" Right="QueryAsUserIgnoreAppPrincipal" /> </AppPermissionRequests>A página de configuração deve aparecer semelhante à captura de tela a seguir. Por fim, selecione Criar.
Validação e próximas etapas
Após terminar as tarefas deste tópico e suas etapas de validação, você deverá verificar seu SSO e a configuração da Sincronização de Diretório.
Tendo um histórico das etapas realizadas, você captura todo o conteúdo do buffer do PowerShell em um arquivo. Isso será fundamental caso você precise consultar o histórico de configuração para solucionar problemas ou por qualquer outro motivo. Isso também ajudará a retomar o trabalho do ponto em que você tiver parado, caso a configuração demore vários dias ou envolva diversas pessoas.
Depois de ter concluído e validado as tarefas de configuração deste tópico, continue com seu roteiro de configuração.