混合式設定和測試所需的帳戶
適用于:訂閱版本 Microsoft 365 中的 SharePoint
當您設定 SharePoint Server 混合式環境時,您的內部部署的 Active Directory和 Microsoft 365 中都需要數個使用者帳戶。 這些帳戶也需要有不同的權限及群組或角色成員資格。 其中有些帳戶是用來部署和設定軟體,而有些帳戶是用來測試特定的功能,以確保安全性和驗證系統的運作符合預期。
在混合式環境中,Active Directory 中的部分或所有使用者帳戶會與Microsoft Entra目錄服務同步處理。 我們將這些帳戶稱為「同盟使用者」。 Microsoft 365 中的 SharePoint Server 和 SharePoint 設定了伺服器對伺服器 (S2S) 信任關係,而且服務應用程式可以設定為讓同盟使用者使用單一身分識別從這兩個伺服器陣列存取內容和資源。 由於使用者帳戶和認證會在 Microsoft 365 中的 SharePoint Server 和 SharePoint 之間進行同步處理,因此可以使用相同的使用者和群組集,在這兩個伺服器陣列中套用清單和文件庫內容安全性。
注意事項
[!附註] 下表不含服務帳戶,在某些 SharePoint Server 混合式解決方案中,對於服務應用程式和功能,這些帳戶可能有特定的需求。 如需每一個受支援解決方案之需求的詳細資訊,請參閱<設定 SharePoint Server 的混合式解決方案>中的解決方案設定文章。
表格:SharePoint 混合式設定和測試所需的帳戶
帳戶 | 身分識別提供者 | 角色 |
---|---|---|
Global Admin |
Microsoft 365 和 Microsoft Entra 識別碼 |
使用已指派給 Microsoft 365 設定工作的全域管理員角色的 Microsoft 365 工作帳戶,例如在 Microsoft 365 功能中設定 SharePoint、在 Microsoft 365 PowerShell 命令中執行Microsoft Entra識別碼和 SharePoint,以及在 Microsoft 365 中測試 SharePoint。 |
AD 網域管理員 |
內部部署 AD |
使用 Domain Admins 群組中的 AD 帳戶,以設定和測試 AD、ADFS、DNS 和憑證,以及其他需要提高權限的作業。 |
Microsoft 365 伺服器陣列中的 SharePoint 管理員 |
內部部署 AD |
使用 Microsoft 365 伺服器陣列中 SharePoint 伺服器陣列管理員群組中的 AD 帳戶來進行 SharePoint Server 設定工作,例如在 Microsoft 365 管理命令介面的 SharePoint 中執行 PowerShell 命令,以設定 S2S 信任、建立和設定 Web 應用程式和網站集合、部署和設定SQL Server資料庫,以及針對 SharePoint Server 進行疑難排解。 此帳戶也必須有額外的許可權,才能使用 Microsoft 365 管理命令介面中的 SharePoint: 在 SQL Server 執行個體上,擁有 securityadmin 固定伺服器角色的成員資格。 在待更新的所有資料庫上,擁有 db_owner 固定資料庫角色的成員資格。 在您執行 PowerShell Cmdlet 的伺服器上,擁有 Administrators 群組的成員資格。 |
同盟使用者 |
內部部署 AD |
使用已與 Microsoft 365 同步處理的 AD 帳戶,測試 SharePoint Server 和 Microsoft 365 中 SharePoint 中的特定資源存取權。 這些帳戶或是其成員的群組,必須擁有這兩個環境中 SharePoint Server 網站集合和資源的許可權,並在 Microsoft 365 訂閱中指派適當的產品授權。 這些帳戶也必須設定為使用您在規劃過程中指定給同盟使用者的替代網域 UPN 尾碼。 您可以對多個同盟帳戶設定不同的權限或群組成員資格,以測試網站資源的安全性修剪和存取是否適當。 |