設定混合式 SharePoint Server 的反向 Proxy 裝置

  • 發行項

適用于:是-img-13 2013是-img-16 2016是-img-19 2019是-img-se訂閱版本 是-img-sopMicrosoft 365 中的 SharePoint

重要事項

本文是設定 SharePoint 混合式解決方案程式 藍圖的一 部分。 Be sure you're following a roadmap when you do the procedures in this article.

本主題提供 SharePoint Server 混合式部署中反向 Proxy 裝置角色的概觀,以及裝置特定設定指引的連結。

SharePoint Server 混合式部署中反向 Proxy 的角色

您可以在混合式組態中設定 Microsoft 365 中的 SharePoint Server 和 SharePoint,以安全地結合來自 Microsoft Business Connectivity Services 的搜尋結果和外部資料。 當來自 Microsoft 365 中 SharePoint 的輸入流量需要轉送至內部部署 SharePoint Server 伺服器陣列時,反向 Proxy 裝置會在混合式 SharePoint Server 部署的安全設定中扮演角色。 例如,如果同盟使用者在 Microsoft 365 搜尋入口網站中使用設定為傳回混合式搜尋結果的 SharePoint,反向 Proxy 裝置會攔截並預先驗證內部部署 SharePoint Server 內容的要求,然後將其轉送至 SharePoint Server。 混合式拓撲中的反向 Proxy 裝置提供使用 SSL 加密和用戶端憑證驗證之輸入流量的安全端點。

輸入連線的運作方式

下列圖表顯示反向 Proxy 裝置是如何用於輸入連線中。

使用輸入搜尋解決方案時,只有 Microsoft 365 中的 SharePoint 網站具有來自這兩個位置的搜尋結果。

輸入連線

輸入 Proxy 的圖形。

在下列範例中,網際網路上的同盟使用者會使用 Microsoft 365 中的 SharePoint 搜尋入口網站,在 Microsoft 365 中的 SharePoint 及其公司的內部部署 SharePoint 伺服器中搜尋內容。

網際網路上的同盟使用者會搜尋位於其公司內部部署伺服器上的內容。

此圖形說明外部網路使用者如何透過 TMG 存取檔案。

下列清單說明上圖所示的步驟。

  1. 同盟使用者從網際網路流覽至 Microsoft 365 中的 SharePoint 網站。

  2. Microsoft 365 中的 SharePoint 會查詢 Microsoft 365 中 SharePoint 中的搜尋索引,也會將搜尋查詢傳送至內部部署 SharePoint 伺服器陣列的外部 URL,該伺服器陣列會解析為反向 Proxy 裝置的外部端點。

  3. 反向 Proxy 裝置會使用安全通道 SSL 憑證來預先驗證要求,並將要求轉送至主要 Web 應用程式的 URL。

  4. SharePoint 伺服器陣列服務帳戶會查詢內部部署搜尋索引,而安全性會在已傳送搜尋要求之使用者的內容中整理搜尋結果。

  5. 安全性修剪的搜尋結果會傳回 Microsoft 365 中的 SharePoint,並出現在搜尋結果頁面上。 此結果集包含來自 Microsoft 365 中 SharePoint 搜尋索引的搜尋結果,以及來自 SharePoint Server 伺服器陣列搜尋索引的搜尋結果。

注意事項

只有當使用者透過 VPN 或 DirectAccess 與內部網路網路有作用中、安全的連線,或在外部網路拓撲中設定 SharePoint Server 伺服器陣列時,輸入連線才能 網際網路存取內部部署 SharePoint Server 伺服器陣列中的內容和資源。

如需此程序 (顯示此拓撲中的憑證使用方式以及驗證和授權運作方式) 的詳細說明,請參閱海報:SharePoint 2013 混合式拓撲:憑證、驗證和授權流程 (英文)。

一般反向 Proxy 需求

在混合式 SharePoint Server 案例中,反向 Proxy 必須可以:

  • 支援具有萬用字元或 SAN SSL 憑證的用戶端憑證驗證。

  • 支援 OAuth 2.0 的透通驗證,包括無限制的 OAuth 承載 Token 交易。

  • 接受 TCP 連接埠 443 (HTTPS) 上的來路不明輸入流量。

    提示

    外部反向 Proxy 端點上只需要 TCP 443 連接埠,以支援混合式連線。

  • 將萬用字元或 SAN SSL 憑證繫結至已發佈端點。

  • 將流量轉送至內部部署 SharePoint Server 伺服器陣列或負載平衡器,而不需要重新寫入任何封包標頭。

支援的反向 Proxy 裝置

下表列出 SharePoint Server 混合式部署目前支援的反向 Proxy 裝置。 新裝置的支援性經過測試後,就會更新此清單。 針對您想要使用的反向 Proxy 裝置,請依照設定文章中的步驟。 完成設定反向 Proxy 裝置後,請回到您的藍圖

支援的反向 Proxy 裝置 設定文章 其他資訊
Azure 應用程式 Proxy 使用 Microsoft Entra 應用程式 Proxy 在 Microsoft 365 中啟用 SharePoint 的遠端存取 Azure 應用程式 Proxy 是一項 Azure 服務,可讓您從遠端存取網路內的服務,而不需要開啟從網際網路到服務的防火牆埠。
Windows Server 2012 R2 (含 Web Application Proxy (WA-P))
 設定適用於混合式環境的 Web Application Proxy
Web Application Proxy (WA-P) 是 Windows Server 2012 R2 中發佈 Web 應用程式的遠端存取服務,而使用者可以從多種裝置與 Web 應用程式進行互動。
>[!重要] > 若要在混合式 SharePoint Server 環境中使用 Web 應用程式 Proxy 作為反向 Proxy 裝置,您也必須在 Windows Server 2012 R2 中部署 AD FS。
Forefront Threat Management Gateway (TMG) 2010
 設定適用於混合式環境的 Forefront TMG
Forefront TMG 2010 是提供安全反向 Proxy 功能的完整安全 Web 閘道解決方案。
> [!注意] > Forefront TMG 2010 已不再由 Microsoft 銷售,但將在 2020/4/14 之前受到支援。 如需詳細資訊,請參閱 TMG 2010 的 Microsoft 支援週期資訊
F5 BIG-IP
 以 BIG-IP 啟用 SharePoint 2013 混合式 Search
F5 網路所管理的外部內容。
Citrix NetScaler
 Citrix NetScaler 和 Microsoft SharePoint 2013 混合式部署指南 (英文)
Citrix 所管理的外部內容。

另請參閱

概念

SharePoint Server 的混合