Sdílet prostřednictvím

Konfigurace serverového ověřování místní služby SharePoint

Serverová integrace pro správu dokumentů se používá k propojení aplikací pro zapojení zákazníků (Dynamics 365 Sales, Dynamics 365 Customer Service, Dynamics 365 Marketing a Dynamics 365 Marketing) s místními aplikacemi. SharePoint Dynamics 365 Field Service Dynamics 365 Project Service Automation SharePoint Při použití ověřování na serveru se jako zprostředkovatel důvěryhodnosti používá Microsoft Entra Domain Services a uživatelé se k němu nemusí přihlašovat SharePoint.

Požadována oprávnění

K aktivaci správy dokumentů SharePoint jsou vyžadována následující členství a oprávnění.

  • Microsoft 365 Členství globálního správce je vyžadováno pro:

    • Přístup na úrovni správce k předplatnému Microsoft 365.
    • Spuštění průvodce Aktivovat ověřování na serveru.
    • Spuštění rutin AzurePowerShell.

  • Power Apps Oprávnění Spustit průvodce integrací umožňuje spustit průvodce Povolit ověřování na základě serveru. SharePoint

    Role zabezpečení Správce systému má ve výchozím nastavení toto oprávnění.

  • Pro SharePoint integraci v místním prostředí SharePoint je pro spuštění většiny příkazů PowerShellu na SharePoint serveru vyžadováno členství ve skupině Farm Administrators.

Nastavení ověřování mezi servery místní služby SharePoint

Postupujte podle kroků v uvedeném pořadí a nastavte aplikace pro zapojení zákazníků s verzí 2016 v místním prostředí. SharePoint

Důležité

Zde popsané kroky musí být provedeny v uvedeném pořadí. Pokud úloha není dokončena, například příkaz PowerShellu, který vrací chybovou zprávu, je nutné problém vyřešit, než budete moci pokračovat k dalšímu příkazu, úloze nebo kroku.

Ověření předpokladů

Před konfigurací aplikací pro zapojení zákazníků a SharePoint on-premises pro serverové ověřování je třeba splnit následující předpoklady:

Požadavky na SharePoint

  • SharePoint 2016 (místní instalace) s aktualizací Service Pack 1 (SP1) nebo novější verzí.

  • Nainstalujte kumulativní aktualizaci (CU) z května 2025 pro produktovou řadu 2016. SharePoint Tato aktualizace CU z května 2025 obsahuje všechny opravy z roku 2016 – včetně všech bezpečnostních oprav z roku 2016 – vydaných od aktualizace SP1. SharePoint SharePoint Aktualizace CU z května 2025 neobsahuje SP1. Před instalací CU z května 2025 je nutné nainstalovat SP1. Další informace naleznete v článku Stažení aktualizace zabezpečení pro Microsoft SharePoint Enterprise Server 2016 (KB5002722) z oficiálního centra stahování společnosti Microsoft a pro verzi 2019 přejděte na článek Stažení aktualizace zabezpečení pro Microsoft SharePoint Server 2019 Core (KB5002708) z oficiálního centra stahování společnosti Microsoft.

  • SharePoint konfigurace:

    • Pokud použijete SharePoint 2016, u každé farmy služby SharePoint může být pro serverovou integraci nakonfigurována pouze jedna aplikace pro zapojení zákazníků.

    • Web systému SharePoint musí být přístupný z internetu. Reverzní proxy může být také vyžadováno pro ověřování systému SharePoint. Více se dozvíte v článku Konfigurace zařízení reverzní proxy pro hybridní server Server 2016. SharePoint

    • SharePoint Webová stránka musí být nakonfigurována pro použití SSL (HTTPS) na TCP portu 443 (vlastní porty nejsou podporovány) a pro použití veřejného kořenového certifikátu vydaného certifikační autoritou. Více se dozvíte v SharePoint: O certifikátech Secure Channel SSL.

    • Vlastnost spolehlivého uživatele pro použití pro ověřování na základě deklarované identity mapování mezi službou SharePoint a aplikací pro zapojení zákazníků. Více se dozvíte v části Výběr typu mapování deklarací identity.

    • Pro sdílení dokumentů musí být povoleno vyhledávání služby SharePoint. Více se dozvíte v článku Vytvoření a konfigurace aplikace vyhledávací služby na serveru Server. SharePoint

    • Pro funkce správy dokumentů při použití mobilních aplikací Dynamics 365 místní nasazení serveru SharePoint musí být k dispozici prostřednictvím internetu.

Další předpoklady

  • Licence SharePoint Online. Serverové ověřování aplikací pro zapojení zákazníků v místní službě SharePoint musí mít hlavní název služby (SPN) SharePoint zaregistrován ve službě Microsoft Entra ID. Pro získání přístupu je vyžadována alespoň jedna online uživatelská licence. SharePoint Licenci služby SharePoint Online lze odvodit z jedné uživatelské licence a obvykle pochází z jedné z následujících možností:

    • Předplatné SharePoint Online. Stačí jakýkoli plán služby SharePoint Online, i když není licence přiřazená uživateli.

    • Předplatné služby Microsoft 365, které obsahuje SharePoint Online. Pokud například máte Microsoft 365 E3, máte k dispozici příslušné licence i v případě, že licence není přiřazena uživateli.

      Více informací o těchto plánech naleznete v sekci Najděte si to správné řešení pro vás a Porovnejte SharePoint možnosti.

  • Pro spuštění rutin PowerShellu popsaných v tomto článku jsou vyžadovány následující softwarové funkce.

    Microsoft.Graph

    Chcete-li nainstalovat modul Microsoft.Graph, zadejte následující příkaz z relace PowerShellu správce.

    $currentMaxFunctionCount =
    $ExecutionContext.SessionState.PSVariable.Get("MaximumFunctionCount").Value

# Set execution policy to RemoteSigned for this session
if ((Get-ExecutionPolicy -Scope Process) -ne "RemoteSigned") {
    Set-ExecutionPolicy -Scope Process -ExecutionPolicy RemoteSigned -Force
}

# Update MaximumFunctionCount if needed
if ($currentMaxFunctionCount -lt 32768) {
    $ExecutionContext.SessionState.PSVariable.Set("MaximumFunctionCount", 32768)
}

# Install and import required modules
if (-not (Get-Module -ListAvailable -Name "Microsoft.Graph")) {
    $Params = @{
        Name = "Microsoft.Graph"
        Scope = CurrentUser
    }
    Install-Module @Params -Force
}

$Params = @{
    Name = "Microsoft.Graph"
    Function = @("Connect-MgGraph", "Get-MgOrganization")
}
Import-Module @Params

if (-not (Get-Module -ListAvailable -Name "Microsoft.Graph.Identity.DirectoryManagement")) {
    $Params = @{
        Name = "Microsoft.Graph.Identity.DirectoryManagement"
        Scope = CurrentUser
    }
    Install-Module @Params -Force
}

$Params = @{
    Name = "Microsoft.Graph.Identity.DirectoryManagement"
    Function = @("Get-MgServicePrincipal", "Update-MgServicePrincipal")
}
Import-Module @Params

  • Vhodný typ mapování ověřování na základě deklarované identity pro mapování identit mezi aplikacemi pro zapojení zákazníků a službou SharePoint (on-premises). Ve výchozím nastavení se používá e-mailová adresa. Další informace naleznete v článku Udělení oprávnění k přístupu aplikacím pro zapojení zákazníků SharePoint a konfigurace mapování ověřování na základě deklarací identity.

Aktualizujte SharePoint Server SPN v Microsoft Entra Domain Services

Na místním nasazení serveru služby SharePoint 2016 v prostředí SharePoint Management Shell spusťte tyto příkazy prostředí PowerShell v uvedeném pořadí.

  1. Připojte se ke službě Microsoft 365.

    Při spuštění příkazu Connect-MgGraph musíte zadat platný účet Microsoft s globálním členstvím správce pro požadovanou online licenci. SharePoint

    Podrobné informace o každém z zde uvedených příkazů IDPowerShell naleznete v části Správa pomocí Windows PowerShellu Microsoft Entra . Microsoft Entra 

    Connect-MgGraph -Scopes "Directory.ReadWrite.All", "Application.ReadWrite.All"

  2. Nastavte URL hostitele. SharePoint

    Hodnota, kterou nastavíte pro proměnnou HostNameUrl , musí být úplná adresa URL názvu hostitele kolekce webů SharePoint . Název hostitele se odvozovat od adresy URL kolekce webů a rozlišují se v něm velká a malá písmena. V tomto příkladu je adresa URL kolekce webů https://SharePoint.constoso.com/sites/salesteam, takže adresa URL názvu hostitele je https://SharePoint.contoso.com.

    Důležité

    Pokud existuje více webů, spusťte pro každý web následující příkaz.

    # Generate Service Principal Name
# Note: If there are multiple sites, and the host is the same, no action is needed.
#       If the host is different, each site needs to be configured to add the 
#       host to the service principal.
$uri = [System.Uri]"https://SharePoint.constoso.com/sites/salesteam"
$hostName = $uri.Host
$baseUrl = "$($uri.Scheme)://$hostName"
$servicePrincipalName = $baseUrl

  3. Získejte ID objektu (nájemce) a hlavní název serverové služby (SPN). Microsoft 365 SharePoint 

    # SharePoint Online App ID
$SPOAppId = "00000003-0000-0ff1-ce00-000000000000"

# Retrieve SharePoint Online Service Principal
$SharePoint = Get-MgServicePrincipal -Filter "AppId eq '$SPOAppId'"

$UpdatedServicePrincipalNames = $SharePoint.ServicePrincipalNames |
    Where-Object { $_ -ne $servicePrincipalName }
$UpdatedServicePrincipalNames += $servicePrincipalName

  4. Získejte ID objektu (nájemce) a hlavní název serverové služby (SPN). Microsoft 365 SharePoint 

    $maxRetries = 5
$retryDelay = 5 # seconds 

for ($retry = 1; $retry -le $maxRetries; $retry++) {
    try {
        $Params = @{
 	         ServicePrincipalId = $SharePoint.Id
 			     ServicePrincipalNames = $UpdatedServicePrincipalNames
 		   }
 		   Update-MgServicePrincipal @Params
 		   Write-Host "Service Principal Names updated successfully."
 		   break
 	 }
 	 catch {
 		   if ($_.Exception.Message -match "Directory_ConcurrencyViolation" -and
            $retry -lt $maxRetries) {
 			     Write-Host "Concurrency violation detected. (Attempt $retry of $maxRetries)"
 			     Start-Sleep -Seconds $retryDelay
   		 }
   		 else {
     			 Write-Host "Failed to update Service Principal Names. Error: $_"
 		    	 exit 1
        }
    }
}

Po dokončení těchto příkazů nezavírejte prostředí Management Shell verze 2016. SharePoint Pokračujte dalším krokem.

Aktualizace sféry SharePoint, aby vyhovovala sféře SharePoint Online

Na místním serveru služby SharePoint v prostředí SharePoint 2016 Management Shell spusťte tento příkaz Windows PowerShell.

Následující příkaz vyžaduje členství správce farmy služby SharePoint a nastaví sféru ověření farmy systému SharePoint (místní).

Upozornění

Spuštění tohoto příkazu změní sféru ověřování farmy služby SharePoint (místní). U aplikací, které používají existující službu bezpečnostních tokenů (STS), může tento příkaz způsobit neočekávané chování u jiných aplikací, které používají přístupové tokeny. Více se dozvíte v části Set-SPAuthenticationRealm.

# SPOContextId is the tenant ID for the dynamics 365 tenant. It is used to identify the tenant in Azure AD and SharePoint Online.
$SPOContextId = "<tenantId>"
Set-SPAuthenticationRealm -Realm $SPOContextId

Vytvoření vydavatele důvěryhodného bezpečnostního pro službu Microsoft Entra ID ve službě SharePoint

Na místním nasazení serveru služby SharePoint 2016 v prostředí SharePoint Management Shell spusťte tyto příkazy prostředí PowerShell v uvedeném pořadí.

Následující příkazy vyžadují členství správce farmy služby SharePoint.

Podrobné informace o těchto příkazech PowerShellu najdete v SharePointu 2016: Seznam rutin PowerShellu.

  1. Povolte relaci prostředí PowerShell, aby bylo možné provádět změny ve službě tokenů zabezpečení pro farmu prostředí SharePoint.

    $c = Get-SPSecurityTokenServiceConfig  
$c.AllowMetadataOverHttp = $true  
$c.AllowOAuthOverHttp= $true  
$c.Update()

  2. Nastavení koncového bodu metadat.

    $metadataEndpoint = 
    "https://login.microsoftonline.com/common/.well-known/openid-configuration"  
$oboissuer = "https://sts.windows.net/*/" 
$issuer = "00000007-0000-0000-c000-000000000000@" + $SPOContextId

  3. Vytvoření nové proxy aplikace služby ovládacího prvku tokenu v prostředí Microsoft Entra ID.

    $existingIssuer = Get-SPTrustedSecurityTokenIssuer "D365Obo"
if ($existingIssuer) {
    $Params = @{
        Identity = $existingIssuer
        IsTrustBroker = $true
        MetadataEndpoint = $metadataEndpoint
        RegisteredIssuerName = $oboissuer
    }
    Set-SPTrustedSecurityTokenIssuer @Params
} else {
    $Params = @{
        Name = "D365Obo"
        IsTrustBroker = $true
        MetadataEndpoint = $metadataEndpoint
        RegisteredIssuerName = $oboissuer
    }
    $obo = New-SPTrustedSecurityTokenIssuer @Params
}

Udělení aplikacím pro zapojení zákazníků oprávnění pro přístup ke službě SharePoint a konfigurace mapování ověřování na základě deklarované identity

Na místním nasazení serveru služby SharePoint 2016 v prostředí SharePoint Management Shell spusťte tyto příkazy prostředí PowerShell v uvedeném pořadí.

Následující příkazy vyžadují členství správce kolekce webů služby SharePoint.

  1. Zaregistrujte aplikace pro zapojení zákazníků s kolekcí webů služby SharePoint.

    Zadejte adresu URL kolekce webu služby SharePoint (místní). V tomto příkladu se používá <https://sharepoint.contoso.com/sites/crm/> .

    $site = Get-SPSite "https://sharepoint.contoso.com/sites/crm/"
$Params = @{
    site = $site.RootWeb
    NameIdentifier = $issuer
    DisplayName = "crmobo"
}
Register-SPAppPrincipal @Params

  2. Udělte aplikacím pro zapojení zákazníků přístup na web SharePoint. Nahraďte <https://sharepoint.contoso.com/sites/crm/> adresou URL vašeho SharePoint webu.

    Poznámka:

    V následujícím příkladu je aplikaci pro zapojení zákazníků uděleno oprávnění k zadané kolekci webů služby SharePoint pomocí parametru kolekce webů –Scope. Parametr Scope přijímá následující možnosti. Vyberte rozsah, který je nejvhodnější pro vaši konfiguraci serveru SharePoint.

    • site. Udělí oprávnění aplikacím pro zapojení zákazníků pouze pro zadaný web služby SharePoint. Neudělí oprávnění pro žádné dílčí weby určeného serveru.
      • sitecollection. Udělí oprávnění aplikacím pro zapojení zákazníků pro všechny weby a dílčí weby v rámci zadané kolekce webů služby SharePoint.
      • sitesubscription. Udělí oprávnění aplikacím pro zapojení zákazníků pro všechny weby ve farmě služby SharePoint, včetně všech kolekcí, webů a dílčích webů.

    Důležité

    Pokud existuje více webů, spusťte skript pro každý z nich.

    $Params = @{
    NameIdentifier = $issuer
    Site = "https://sharepoint.contoso.com/sites/crm/"
}
$app = Get-SPAppPrincipal @Params

$Params = @{
    AppPrincipal = $app
    Site = $site.Rootweb
    Scope = "sitecollection"
    Right = "FullControl"
}
Set-SPAppPrincipalPermission @Params

  3. Nastavte mapování typu ověřování na základě deklarované identity.

    Důležité

    Ve výchozím nastavení mapování ověřování na základě deklarací identity používá pro mapování e-mailovou adresu účtu Microsoft uživatele a **místní** pracovní e-mailovou adresu uživatele. SharePoint Pokud používáte mapování ověřování na základě deklarací identity, musí se e-mailové adresy uživatelů v obou systémech shodovat. Více se dozvíte v článku Výběr typu mapování ověřování na základě deklarací identity.

    $Params = @{
    IncomingClaimType = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress"
    IncomingClaimTypeDisplayName = "EmailAddress"
}
$map1 = New-SPClaimTypeMapping @Params -SameAsIncoming

Spuštění průvodce Povolení serverovou integrací služby SharePoint

Postupujte takto:

  1. Zkontrolujte, zda máte odpovídající oprávnění ke spuštění průvodce. Další informace: Vyžadovaná oprávnění.

  2. Přejděte na Nastavení>Správa dokumentů.

  3. V oblasti Správa dokumentů klikněte na položku Povolit serverovou integraci SharePoint.

  4. Zkontrolujte informace a poté klikněte na tlačítko Další.

  5. Pro weby systému SharePoint klikněte na položku Místní nasazení a pak na položku Další.

  6. Zadejte místní adresu URL kolekce webu SharePoint, například https://sharepoint.contoso.com/sites/crm. Web musí být nakonfigurován pro protokol SSL.

  7. Klikněte na tlačítko Další.

  8. Zobrazí se část ověřování webů. Pokud jsou všechny weby určeny jako platné, klikněte na položku Povolit. Pokud je jeden nebo více webů označeno jako neplatné, přejděte k části Řešení problémů s ověřováním na serveru.

Vyberte entity, které chcete zahrnout do správy dokumentů.

Ve výchozím nastavení jsou zahrnuty entity obchodní vztah, článek, zájemce, produkt, nabídka a prodejní dokumentace. Entity používané pro správu dokumentů můžete přidat nebo odebrat pomocí SharePoint v Nastavení správy dokumentů. Přejděte na Nastavení>Správa dokumentů. Více se dozvíte v článku Povolení správy dokumentů u entit.

Přidání integrace s OneDrive pro firmy

Po dokončení konfigurace ověřování založeného na serveru pro místní nasazení aplikací pro zapojení zákazníků a SharePoint on-premises můžete také integrovat aplikace OneDrive pro firmy. Díky integraci aplikací pro zapojení zákazníků a OneDrive pro firmy mohou uživatelé vytvářet a spravovat soukromé dokumenty pomocí aplikací OneDrive pro firmy. K těmto dokumentům je možné přistupovat poté, co správce systému povolí funkci **for Business**. OneDrive

Povolit OneDrive pro firmy

V systému Windows Server, kde je spuštěn místní SharePoint Server, otevřete prostředí SharePoint Management Shell a spusťte následující příkazy:

Add-Pssnapin *  

# Access WellKnown App principal  
[Microsoft.SharePoint.Administration.SPWebService]::ContentService.WellKnownAppPrincipals  
  
# Create WellKnown App principal  
$ClientId = "00000007-0000-0000-c000-000000000000"  
$PermissionXml = @"
<AppPermissionRequests AllowAppOnlyPolicy="true">
    <AppPermissionRequest Scope="http://sharepoint/content/tenant" Right="FullControl" />
    <AppPermissionRequest Scope="http://sharepoint/social/tenant" Right="Read" />
    <AppPermissionRequest Scope="http://sharepoint/search" Right="QueryAsUserIgnoreAppPrincipal" />
</AppPermissionRequests>
"@

$wellKnownApp = New-Object `
    -TypeName "Microsoft.SharePoint.Administration.SPWellKnownAppPrincipal" `
    -ArgumentList ($ClientId, $PermissionXml)  
  
$wellKnownApp.Update()

Výběr typu mapování ověřování na základě deklarované identity

Ve výchozím nastavení mapování ověřování na základě deklarací identity používá pro mapování e-mailovou adresu účtu Microsoft uživatele a pracovní e-mailovou adresu uživatele v místní síti. SharePoint Ať už používáte jakýkoli typ ověřování na základě deklarací identity, hodnoty, jako například e-mailové adresy, musí shodovat mezi aplikacemi pro zapojení zákazníků a SharePoint. Microsoft 365 Synchronizace adresářů pomáhá s porovnáváním e-mailových adres. Více se dozvíte v článku Nasazení synchronizace adresářů v článku. Microsoft 365 Microsoft Azure Chcete-li použít jiný typ mapování ověřování založeného na deklaracích identity, přejděte k části Definování vlastního mapování deklarací identity pro integraci založenou na serveru. SharePoint

Důležité

Chcete-li povolit vlastnost Pracovní e-mailová adresa, musí mít služba SharePoint (místní) nakonfigurovanou a spuštěnou aplikaci Služby profilů uživatelů. Chcete-li povolit aplikaci služby profilů uživatelů v serveru Server 2016, přejděte do části Vytvoření, úprava nebo odstranění aplikací služby profilů uživatelů v serveru Server 2016 SharePoint. SharePoint Chcete-li provést změny v uživatelské vlastnosti, například v pracovní e-mailové adrese, přejděte na stránku Úprava vlastnosti uživatelského profilu . Další informace o aplikaci Služby profilů uživatelů naleznete v článku Přehled aplikace Služby profilů uživatelů v serveru Server 2016 . SharePoint

Související obsah

  • Last updated on