Povolení vzdáleného přístupu k SharePointu pomocí proxy aplikace Microsoft Entra

Tento podrobný průvodce vysvětluje, jak integrovat místní farmu SharePointu s proxy aplikací Microsoft Entra.

Požadavky

K provedení konfigurace potřebujete následující prostředky:

• Farma SharePointu 2016 nebo novější
• Tenant Microsoft Entra s plánem, který zahrnuje aplikační proxy. Zjistěte více o plánech Microsoft Entra ID a cenách.
• Farma serveru Microsoft Office Web Apps, která správně spouští soubory Office z místní farmy SharePointu.
• Ověřená vlastní doména v tenantovi Microsoft Entra.
• Místní nasazení Active Directory synchronizovaná s Microsoft Entra Connect, prostřednictvím kterých se uživatelé můžou přihlásit ke službě Azure.
• Nainstalovaný a spuštěný privátní síťový konektor na počítači v podnikové doméně.

Konfigurace SharePointu s proxy aplikací vyžaduje dvě adresy URL:

• Externí adresa URL, která je viditelná pro koncové uživatele a nastavena v Microsoft Entra ID. Tato adresa URL může používat vlastní doménu. Přečtěte si další informace o práci s vlastními doménami v aplikační proxy Microsoft Entra.
• Interní adresa URL, známá pouze v rámci podnikové domény a nikdy nebyla použita přímo.

Důležitý

Pokud chcete mít jistotu, že jsou odkazy správně namapované, postupujte podle těchto doporučení pro interní adresu URL:

• Použijte HTTPS.
• Nepoužívejte vlastní porty.
• Vytvořte hostitele (A záznam) v podnikovém systému DNS (Domain Name System), který ukazuje na server WFE (SharePoint Web Front End) (nebo nástroj pro vyrovnávání zatížení), a ne alias (CName záznam).

Tento článek používá následující hodnoty:

• Interní adresa URL: https://sharepoint.
• Externí adresa URL: https://spsites-demo1984.msappproxy.net/.
• Účet fondu aplikací pro webovou aplikaci SharePoint: Contoso\spapppool.

Krok 1: Konfigurace aplikace v MICROSOFT Entra ID, která používá proxy aplikace

V tomto kroku vytvoříte aplikaci v tenantovi Microsoft Entra, který používá proxy aplikace. Nastavíte externí adresu URL a zadáte interní adresu URL, z nichž obě se později použijí v SharePointu.

1. Vytvořte aplikaci podle popisu s následujícím nastavením. Podrobné pokyny najdete v tématu Publikování aplikací pomocí proxy aplikací Microsoft Entra.

   • Interní adresa URL: Interní adresa URL SharePointu, která je nastavena později v SharePointu, například https://sharepoint.
   • Předběžné ověřování: Microsoft Entra ID.
   • Překlad adres URL v záhlavích: No.
   • Překlad adres URL vtextu aplikace: No.

   

2. Po publikování aplikace nakonfigurujte nastavení jednotného přihlašování podle těchto kroků.

   1. Na stránce aplikace na portálu vyberte jednotné přihlašování.
   2. V režimu jednotného přihlašovánívyberte integrované ověřování systému Windows.
   3. Nastavte název hlavního objektu služby interní aplikace (SPN) na hodnotu, kterou jste nastavili dříve. V tomto příkladu je hodnota HTTP/sharepoint.
   4. V části Pověřená přihlašovací identitavyberte nejvhodnější možnost pro konfiguraci doménové struktury služby Active Directory. Pokud máte například ve své doménové struktuře jednu doménu Active Directory, vyberte název místního účtu SAM (jak je znázorněno na následujícím snímku obrazovky). Pokud ale vaši uživatelé nejsou ve stejné doméně jako SharePoint a servery privátního síťového konektoru, vyberte místní hlavní název uživatele (nezobrazuje se na snímku obrazovky).

   

3. Dokončete nastavení aplikace, přejděte do části Uživatelé a skupiny a přiřaďte uživatelům přístup k této aplikaci.

Krok 2: Konfigurace webové aplikace SharePoint

Webová aplikace SharePoint musí být nakonfigurovaná pomocí protokolu Kerberos a odpovídající mapování alternativního přístupu, aby správně fungovala s proxy aplikací Microsoft Entra. Existují dvě možné možnosti:

• Vytvořte novou webovou aplikaci a použijte pouze výchozí zónu. Použití výchozí zóny je upřednostňovanou možností, která nabízí nejlepší prostředí se SharePointem. Například odkazy v e-mailových upozorněních, která SharePoint generuje, směřují na výchozí zónu .
• Rozšíření existující webové aplikace pro konfiguraci protokolu Kerberos v nedefaultní zóně

Důležitý

Bez ohledu na použitou zónu musí být účet fondu aplikací webové aplikace SharePointu doménovým účtem, aby protokol Kerberos fungoval správně.

Vytvoření webové aplikace SharePoint

• Tento skript ukazuje příklad vytvoření nové webové aplikace pomocí výchozí zóny. použití výchozí zóny je upřednostňovanou možností.

  1. Otevřete SharePoint Management Shell a spusťte skript.

     # This script creates a web application and configures the Default zone with the internal/external URL needed to work with Azure AD application proxy
     # Edit variables below to fit your environment. Note that the managed account must exist and it must be a domain account
     $internalUrl = "https://sharepoint"
     $externalUrl = "https://spsites-demo1984.msappproxy.net/"
     $applicationPoolManagedAccount = "Contoso\spapppool"
     
     $winAp = New-SPAuthenticationProvider -UseWindowsIntegratedAuthentication -DisableKerberos:$false
     $wa = New-SPWebApplication -Name "SharePoint - AAD Proxy" -Port 443 -SecureSocketsLayer -URL $externalUrl -ApplicationPool "SharePoint - AAD Proxy" -ApplicationPoolAccount (Get-SPManagedAccount $applicationPoolManagedAccount) -AuthenticationProvider $winAp
     New-SPAlternateURL -Url $internalUrl -WebApplication $wa -Zone Default -Internal
     

  2. Otevřete web centrální správy SharePointu .

  3. V části Nastavení systémuvyberte Konfigurovat mapování alternativních přístupů. Otevře se okno alternativní mapovací kolekce přístupu.

  4. Vyfiltrujte zobrazení pomocí nové webové aplikace.

     webových aplikací

• Pokud rozšíříte existující webovou aplikaci do nové zóny.

  1. Spusťte prostředí SharePoint Management Shell a spusťte následující skript.

     # This script extends an existing web application to Internet zone with the internal/external URL needed to work with Azure AD application proxy
     # Edit variables below to fit your environment
     $webAppUrl = "http://spsites/"
     $internalUrl = "https://sharepoint"
     $externalUrl = "https://spsites-demo1984.msappproxy.net/"
     
     $winAp = New-SPAuthenticationProvider -UseWindowsIntegratedAuthentication -DisableKerberos:$false
     $wa = Get-SPWebApplication $webAppUrl
     New-SPWebApplicationExtension -Name "SharePoint - AAD Proxy" -Identity $wa -SecureSocketsLayer -Zone Extranet -Url $externalUrl -AuthenticationProvider $winAp
     New-SPAlternateURL -Url $internalUrl -WebApplication $wa -Zone Extranet -Internal
     

  `. Otevřete web centrální správy SharePointu .

  1. V části Nastavení systémuvyberte Konfigurovat mapování alternativních přístupů. Otevře se okno alternativní mapovací kolekce přístupu.

  2. Vyfiltrujte zobrazení pomocí webové aplikace, která byla rozšířena.

     

Ujistěte se, že je webová aplikace SharePoint spuštěná v rámci účtu domény.

Pokud chcete identifikovat účet, na kterém běží fond aplikací webové aplikace SharePoint, a ujistěte se, že se jedná o účet domény, postupujte takto:

1. Otevřete web centrální správy SharePointu .

2. Přejděte na Zabezpečení a vyberte Konfigurovat účty služeb.

3. Vyberte fond aplikací – název_vaší_aplikace_webu.

   

4. Ověřte, že Vyberte účet pro tuto komponentu, vrátí účet domény a pamatujte si ho, protože ho použijete v dalším kroku.

Ujistěte se, že je pro web služby IIS zóny extranetu nakonfigurovaný certifikát HTTPS.

Protože interní adresa URL používá protokol HTTPS (https://SharePoint/), musí být na webu Internetové informační služby (IIS) nastaven certifikát.

1. Otevřete konzolu Windows PowerShellu.

2. Spuštěním následujícího skriptu vygenerujte certifikát podepsaný svým držitelem a přidejte jej do úložiště MY storepočítače.

   # Replace "SharePoint" with the actual hostname of the Internal URL of your Azure AD proxy application
   New-SelfSignedCertificate -DnsName "SharePoint" -CertStoreLocation "cert:\LocalMachine\My"
   

   Důležitý

   Certifikáty podepsané svým držitelem jsou vhodné pouze pro testovací účely. V produkčních prostředích důrazně doporučujeme místo toho používat certifikáty vydané certifikační autoritou.

3. Otevřete konzolu Správce internetové informační služby.

4. Rozbalte server ve stromovém zobrazení, rozbalte Weby, vyberte SharePoint - Microsoft Entra ID Proxy stránku, a poté vyberte Vazby.

5. Vyberte https vazbu a pak vyberte Upravit.

6. V poli Certifikát TLS (Transport Layer Security) zvolte certifikát Služby SharePoint a pak vyberte OK.

K sharepointovém webu teď můžete přistupovat externě prostřednictvím proxy aplikací Microsoft Entra.

Krok 3: Konfigurace omezeného delegování Kerberos

Uživatelé se nejprve ověřují v Microsoft Entra ID a pak k SharePointu pomocí protokolu Kerberos prostřednictvím privátního síťového konektoru Microsoft Entra. Pokud chcete konektoru povolit získání tokenu Kerberos jménem uživatele Microsoft Entra, musíte nakonfigurovat omezené delegování protokolu Kerberos (KCD) s přechodem protokolu. Další informace o KCD najdete v tématu Přehled omezeného delegování v protokolu Kerberos.

Nastavení hlavního názvu služby (SPN) pro účet služby SharePoint

V tomto článku je interní adresa URL https://sharepointa proto je hlavní název služby (SPN) HTTP/sharepoint. Tyto hodnoty musíte nahradit hodnotami, které odpovídají vašemu prostředí. Pokud chcete zaregistrovat hlavní název služby (SPN) HTTP/sharepoint pro účet fondu aplikací SharePoint Contoso\spapppool, spusťte z příkazového řádku následující příkaz jako správce domény:

setspn -S HTTP/sharepoint Contoso\spapppool

Příkaz Setspn nejprve vyhledá SPN, než ho přidá. Pokud SPN již existuje, zobrazí se chyba duplicitní hodnota SPN. Odeberte existující SPN. Pomocí příkazu Setspn s volbou -L ověřte, že byl SPN přidán úspěšně. Další informace o příkazu najdete v tématu Setspn.

Ujistěte se, že je konektoru poskytnuta důvěryhodnost pro delegování k SPN, který byl přidán do účtu aplikačního bazénu služby SharePoint.

Nakonfigurujte KCD tak, aby mohla služba aplikace proxy Microsoft Entra delegovat uživatelské identity na účet fondu aplikací služby SharePoint. Nakonfigurujte KCD tak, že povolíte konektor privátní sítě, aby načítal Kerberosové tikety pro uživatele ověřené v Microsoft Entra ID. Potom tento server předá kontext cílové aplikaci (v tomto případě SharePoint).

Pro konfiguraci KCD postupujte podle těchto kroků pro každý stroj konektoru:

1. Přihlaste se k řadiči domény jako správce domény a otevřete službu Active Directory Users and Computers.

2. Najděte počítač s konektorem privátní sítě Microsoft Entra. V tomto příkladu je to počítač, na kterém běží SharePoint Server.

3. Poklikejte na ikonu počítače, poté vyberte kartu Delegování.

4. Ujistěte se, že jsou možnosti delegování nastaveny na Důvěřovat tomuto počítači pro delegování pouze do určených služeb. Pak vyberte Použít libovolný ověřovací protokol.

5. Vyberte tlačítko Přidat, zvolte Uživatelé nebo Počítačea najděte účet fondu aplikací SharePoint. Příklad: Contoso\spapppool.

6. V seznamu hlavního názvu služby vyberte ten, který jste vytvořili dříve pro uživatelský účet služby.

7. Vyberte OK a pak znovu vyberte OK uložte provedené změny.

   nastavení delegování

Teď jste připraveni se přihlásit k SharePointu pomocí externí adresy URL a ověření pomocí Azure.

Řešení chyb přihlašování

Pokud přihlášení k webu nefunguje, můžete získat další informace o problému v protokolech konektoru: Na počítači, na kterém je konektor spuštěný, otevřete prohlížeč událostí, přejděte do protokolů aplikací a služeb>Microsoft>Microsoft Entra private network>Connectora zkontrolujte protokol admin.

Další kroky

• Práce s vlastními doménami v Microsoft Entra Application Proxy
• Pochopte privátní síťové konektory Microsoft Entra