Sdílet prostřednictvím

Konfigurace serverového ověřování místní služby SharePoint

  • Článek

Serverovou integraci SharePoint pro správu dokumentů lze použít pro připojení aplikací pro zapojení zákazníků (Dynamics 365 Sales, Dynamics 365 Customer Service, Dynamics 365 Field Service, Dynamics 365 Marketing a Dynamics 365 Project Service Automation), s SharePoint on-premises. Při použití serverového ověřování se jako zprostředkovatel důvěryhodnosti používá služba Microsoft Entra Domain Services uživatelé se nemusejí přihlašovat ke službě SharePoint.

Požadována oprávnění

K aktivaci správy dokumentů SharePoint jsou vyžadována následující členství a oprávnění.

  • Členství globálního správce Microsoft 365 – je vyžadováno pro:

    • Přístup na úrovni správce k předplatnému Microsoft 365.
    • Spuštění průvodce Aktivovat ověřování na serveru.
    • Spuštění rutin AzurePowerShell.

  • Oprávnění Power Apps Spustit průvodce integrací SharePoint. To je nutné ke spuštění průvodce povolením serverového ověřování.

    Role zabezpečení Správce systému má ve výchozím nastavení toto oprávnění.

  • Pro místní integraci SharePoint členství ve skupině správců farmy SharePoint. To je vyžadováno pro spuštění většiny příkazů PowerShell na serveru služby SharePoint.

Nastavení ověřování mezi servery místní služby SharePoint

Podle kroků prováděných v uvedeném pořadí nastavte aplikace pro zapojení zákazníků s SharePoint 2013 místně.

Důležité

Zde popsané kroky musí být provedeny v uvedeném pořadí. Pokud úkol není dokončen, například v případě příkazu PowerShell, který vrátí chybovou zprávu, je třeba problém nejprve vyřešit a teprve poté je možné pokračovat k dalšímu příkazu, úloze či kroku.

Ověření předpokladů

Před konfigurací aplikací pro zapojení zákazníků a SharePoint on-premises pro serverové ověřování je třeba splnit následující předpoklady:

Požadavky na SharePoint

  • SharePoint 2013 (místní) s aktualizací Service Pack 1 (SP1) nebo novější verze

    Důležité

    Verze sady systému SharePoint Foundation 2013 nejsou podporovány pro použití se správou dokumentů aplikací pro zapojení zákazníků.

  • Nainstalujte kumulativní aktualizaci (CU) z dubna 2019 pro produktovou řadu SharePoint 2013. Tato CU z dubna 2019 zahrnuje všechny opravy SharePoint 2013 (včetně všech oprav zabezpečení SharePoint 2013) vydané od SP1. CU z dubna 2019 nezahrnuje SP1. Před instalací CU z dubna 2019 musíte nainstalovat SP1. Více informací: KB4464514 SharePoint Server 2013 duben 2019 CU

  • Konfigurace řešení SharePoint

    • Pokud použijete SharePoint 2013, u každé farmy služby SharePoint může být pro serverovou integraci nakonfigurována pouze jedna aplikace pro zapojení zákazníků.

    • Web systému SharePoint musí být přístupný z internetu. Reverzní proxy může být také vyžadováno pro ověřování systému SharePoint. Další informace: Konfigurace zařízení zpětného proxy pro hybridní systém SharePoint Server 2013

    • Webová stránka služby SharePoint musí být nakonfigurována pro použití protokolu SSL (HTTPS) na portu TCP 443 (nejsou podporovány vlastní porty) a certifikát musí být vydán veřejnou kořenovou certifikační autoritou. Více informací: SharePoint : O SSL certifikátech zabezpečeného kanálu

    • Vlastnost spolehlivého uživatele pro použití pro ověřování na základě deklarované identity mapování mezi službou SharePoint a aplikací pro zapojení zákazníků. Více informací: Výběr typu mapování nároků

    • Pro sdílení dokumentů musí být povoleno vyhledávání služby SharePoint. Více informací: Vytvoření a konfigurace aplikace Vyhledávací služby serveru SharePoint Server

    • Pro funkce správy dokumentů při použití mobilních aplikací Dynamics 365 místní nasazení serveru SharePoint musí být k dispozici prostřednictvím internetu.

Další předpoklady

  • Licence SharePoint Online. Serverové ověřování aplikací pro zapojení zákazníků v místní službě SharePoint musí mít hlavní název služby (SPN) SharePoint zaregistrován ve službě Microsoft Entra ID. K tomuto účelu je vyžadována alespoň jedna uživatelská licence služby SharePoint Online. Licenci služby SharePoint Online lze odvodit z jedné uživatelské licence a obvykle pochází z jedné z následujících možností:

    • Předplatné SharePoint Online. Stačí jakýkoli plán služby SharePoint Online, i když není licence přiřazená uživateli.

    • Předplatné služby Microsoft 365, které obsahuje SharePoint Online. Pokud například máte Microsoft 365 E3, máte k dispozici příslušné licence i v případě, že licence není přiřazena uživateli.

      Další informace o těchto plánech najdete v části Najděte pro sebe to správné řešení a Porovnání možností SharePoint

  • Ke spuštění rutin PowerShell popsaných v tomto tématu jsou potřeba následující softwarové funkce.

    • Pomocník pro přihlášení ke službám Microsoft Online Services pro odborníky z oblasti IT Beta

    • MSOnlineExt

    • Chcete-li nainstalovat modul MSOnlineExt, zadejte následující příkaz z relace prostředí PowerShell pro správce. PS> Install-Module -Name "MSOnlineExt"

    Důležité

    V době psaní tohoto textu existuje problém s verzí RTW pomocníka pro přihlášení ke službám Microsoft Online Services pro odborníky z oblasti IT. Dokud nebude problém vyřešen, doporučujeme používat verzi Beta. Další informace: Fórum Microsoft Azure: Nelze nainstalovat modul Microsoft Entra pro Windows PowerShell. MOSSIA není nainstalována.

  • Vhodný typ mapování ověřování na základě deklarované identity pro mapování identit mezi aplikacemi pro zapojení zákazníků a službou SharePoint (on-premises). Ve výchozím nastavení se používá e-mailová adresa. Další informace: Udělení aplikacím SharePoint pro zapojení zákazníků oprávnění pro přístup ke službě SharePoint a konfigurace mapování ověřování na základě deklarované identity

Aktualizujte SharePoint Server SPN v Microsoft Entra Domain Services

Na místním nasazení serveru služby SharePoint 2013 v prostředí SharePoint Management Shell spusťte tyto příkazy prostředí PowerShell v uvedeném pořadí.

  1. Připravte relaci PowerShell.

    Následující rutiny umožňují počítači příjem vzdálených příkazů a přidání modulů služby Microsoft 365 do relace prostředí PowerShell. Další informace o těchto rutinách naleznete v tématu Rutiny jádra Windows PowerShell.

    Enable-PSRemoting -force  
New-PSSession  
Import-Module MSOnline -force  
Import-Module MSOnlineExtended -force

  2. Připojte se ke službě Microsoft 365.

    Při spuštění příkazu Connect-MsolService je nutné zadat platný účet Microsoft, jež má členství ve skupině Globální správce pro licenci služby SharePoint Online, která je požadována.

    Podrobné informace o jednotlivých příkazech platformy Microsoft Entra IDPowerShell, které jsou zde uvedeny, naleznete v části Správa Microsoft Entra pomocí prostředí Windows PowerShell.

    $msolcred = get-credential  
connect-msolservice -credential $msolcred

  3. Nastavte název hostitele služby SharePoint.

    Hodnota, kterou jste nastavili pro proměnnou HostName, musí být kompletní název hostitele kolekce webů služby SharePoint. Název hostitele se odvozovat od adresy URL kolekce webů a rozlišují se v něm velká a malá písmena. V tomto příkladu je adresa URL kolekce webu <https://SharePoint.constoso.com/sites/salesteam>, takže název hostitele je SharePoint.contoso.com.

    $HostName = "SharePoint.contoso.com"

  4. Získejte id objektu (klienta) služby Microsoft 365 a hlavní název služby (SPN) SharePoint Server.

    $SPOAppId = "00000003-0000-0ff1-ce00-000000000000"  
$SPOContextId = (Get-MsolCompanyInformation).ObjectID  
$SharePoint = Get-MsolServicePrincipal -AppPrincipalId $SPOAppId  
$ServicePrincipalName = $SharePoint.ServicePrincipalNames

  5. Nastavte hlavní název služby (SPN) serveru SharePoint v Microsoft Entra ID.

    $ServicePrincipalName.Add("$SPOAppId/$HostName")   
Set-MsolServicePrincipal -AppPrincipalId $SPOAppId -ServicePrincipalNames $ServicePrincipalName

    Po provedení těchto příkazů nezavírejte prostředí SharePoint 2013 Management Shell a pokračujte k dalšímu kroku.

Aktualizace sféry SharePoint, aby vyhovovala sféře SharePoint Online

Na místním serveru služby SharePoint v prostředí SharePoint 2013 Management Shell spusťte tento příkaz Windows PowerShell.

Následující příkaz vyžaduje členství správce farmy služby SharePoint a nastaví sféru ověření farmy systému SharePoint (místní).

Upozornění

Spuštění tohoto příkazu změní sféru ověřování farmy služby SharePoint (místní). Pro aplikace, které používají existující službu tokenů zabezpečení (STS), to může způsobit neočekávané chování v jiných aplikacích, které používají přístupové tokeny. Další informace: Set-SPAuthenticationRealm.

Set-SPAuthenticationRealm -Realm $SPOContextId

Vytvoření vydavatele důvěryhodného bezpečnostního pro službu Microsoft Entra ID ve službě SharePoint

Na místním nasazení serveru služby SharePoint 2013 v prostředí SharePoint Management Shell spusťte tyto příkazy prostředí PowerShell v uvedeném pořadí.

Následující příkazy vyžadují členství správce farmy služby SharePoint.

Podrobné informace o těchto příkazech služby PowerShell získáte v tématu Použití rutin prostředí Windows PowerShell ke správě zabezpečení služby SharePoint 2013.

  1. Povolte relaci prostředí PowerShell, aby bylo možné provádět změny ve službě tokenů zabezpečení pro farmu prostředí SharePoint.

    $c = Get-SPSecurityTokenServiceConfig  
$c.AllowMetadataOverHttp = $true  
$c.AllowOAuthOverHttp= $true  
$c.Update()

  2. Nastavení koncového bodu metadat.

    $metadataEndpoint = "https://accounts.accesscontrol.windows.net/" + $SPOContextId + "/metadata/json/1"  
$acsissuer = "00000001-0000-0000-c000-000000000000@" + $SPOContextId  
$issuer = "00000007-0000-0000-c000-000000000000@" + $SPOContextId

  3. Vytvoření nové proxy aplikace služby ovládacího prvku tokenu v prostředí Microsoft Entra ID.

    New-SPAzureAccessControlServiceApplicationProxy -Name "Internal" -MetadataServiceEndpointUri $metadataEndpoint -DefaultProxyGroup

    Poznámka:

    Příkaz New- SPAzureAccessControlServiceApplicationProxy může vrátit chybovou zprávu oznamující, že proxy aplikace se stejným názvem již existuje. Pokud již proxy aplikace existuje, můžete chybu ignorovat.

  4. Vytvoření nového vydavatele služby ovládacího prvku tokenu v místní službě SharePoint pro prostředí Microsoft Entra ID.

    $acs = New-SPTrustedSecurityTokenIssuer –Name "ACSInternal" –IsTrustBroker:$true –MetadataEndpoint $metadataEndpoint -RegisteredIssuerName $acsissuer

Udělení aplikacím pro zapojení zákazníků oprávnění pro přístup ke službě SharePoint a konfigurace mapování ověřování na základě deklarované identity

Na místním nasazení serveru služby SharePoint 2013 v prostředí SharePoint Management Shell spusťte tyto příkazy prostředí PowerShell v uvedeném pořadí.

Následující příkazy vyžadují členství správce kolekce webů služby SharePoint.

  1. Zaregistrujte aplikace pro zapojení zákazníků s kolekcí webů služby SharePoint.

    Zadejte adresu URL kolekce webu služby SharePoint (místní). V tomto příkladu je použito https://sharepoint.contoso.com/sites/crm/.

    Důležité

    K dokončení tohoto příkazu je potřeba, aby existoval a byla spuštěna proxy aplikace služby pro správu aplikací systému SharePoint. Další informace o tom, jak spustit a nakonfigurovat službu, naleznete v dílčím tématu Konfigurace nastavení odběru služby a aplikací služby správy aplikací v části Konfigurace prostředí pro aplikace pro systém SharePoint (SharePoint 2013).

    $site = Get-SPSite "https://sharepoint.contoso.com/sites/crm/"  
Register-SPAppPrincipal -site $site.RootWeb -NameIdentifier $issuer -DisplayName "crm"

  2. Udělte aplikacím pro zapojení zákazníků přístup na web SharePoint. Nahraďte https://sharepoint.contoso.com/sites/crm/ adresou URL webu SharePoint.

    Poznámka:

    V následujícím příkladu je aplikaci pro zapojení zákazníků uděleno oprávnění k zadané kolekci webů služby SharePoint pomocí parametru kolekce webů –Scope. Parametr Scope přijímá následující možnosti. Vyberte rozsah, který je nejvhodnější pro vaši konfiguraci serveru SharePoint.

    • site. Udělí oprávnění aplikacím pro zapojení zákazníků pouze pro zadaný web služby SharePoint. Neudělí oprávnění pro žádné dílčí weby určeného serveru.
      • sitecollection. Udělí oprávnění aplikacím pro zapojení zákazníků pro všechny weby a dílčí weby v rámci zadané kolekce webů služby SharePoint.
      • sitesubscription. Udělí oprávnění aplikacím pro zapojení zákazníků pro všechny weby ve farmě služby SharePoint, včetně všech kolekcí, webů a dílčích webů.
    $app = Get-SPAppPrincipal -NameIdentifier $issuer -Site "https://sharepoint.contoso.com/sites/crm/"  
Set-SPAppPrincipalPermission -AppPrincipal $app -Site $site.Rootweb -Scope "sitecollection" -Right "FullControl"

  3. Nastavte mapování typu ověřování na základě deklarované identity.

    Důležité

    Ve výchozím nastavení použije mapování ověřování na základě deklarované identity pro mapování e-mailovou adresu účtu Microsoft uživatele a pracovní e-mailovou adresu místního systému SharePoint. Když použijete tuto funkci, musí e-mailové adresy uživatele mezi oběma systémy odpovídat. Další informace najdete v části Výběr typu mapování pro ověřování na základě deklarované identity.

    $map1 = New-SPClaimTypeMapping -IncomingClaimType "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress" -IncomingClaimTypeDisplayName "EmailAddress" -SameAsIncoming

Spuštění průvodce Povolení serverovou integrací služby SharePoint

Postupujte takto:

  1. Zkontrolujte, zda máte odpovídající oprávnění ke spuštění průvodce. Další informace: Vyžadovaná oprávnění

  2. Přejděte na Nastavení>Správa dokumentů.

  3. V oblasti Správa dokumentů klikněte na položku Povolit serverovou integraci SharePoint.

  4. Zkontrolujte informace a poté klikněte na tlačítko Další.

  5. Pro weby systému SharePoint klikněte na položku Místní nasazení a pak na položku Další.

  6. Zadejte místní adresu URL kolekce webu SharePoint, například https://sharepoint.contoso.com/sites/crm. Web musí být nakonfigurován pro protokol SSL.

  7. Klikněte na tlačítko Další.

  8. Zobrazí se část ověřování webů. Pokud jsou všechny weby určeny jako platné, klikněte na položku Povolit. Pokud je jeden nebo více webů určeno jako neplatné, viz Poradce při potížích se serverovým ověřováním.

Vyberte entity, které chcete zahrnout do správy dokumentů.

Ve výchozím nastavení jsou zahrnuty entity obchodní vztah, článek, zájemce, produkt, nabídka a prodejní dokumentace. Můžete přidat nebo odebrat entity, které budou použity pro správu dokumentů pomocí služby SharePoint, v části Nastavení správy dokumentů. Přejděte na Nastavení>Správa dokumentů. Další informace: Povolení správy dokumentů u entit

Přidání integrace s OneDrive pro firmy

Po dokončení konfigurace ověřování založeného na serveru pro místní nasazení aplikací pro zapojení zákazníků a SharePoint on-premises můžete také integrovat aplikace OneDrive pro firmy. Díky integraci aplikací pro zapojení zákazníků a OneDrive pro firmy mohou uživatelé vytvářet a spravovat soukromé dokumenty pomocí aplikací OneDrive pro firmy. Tyto dokumenty jsou přístupné hned poté, co správce systému povolí aplikaci OneDrive pro firmy.

Povolit OneDrive pro firmy

V systému Windows Server, kde je spuštěn místní SharePoint Server, otevřete prostředí SharePoint Management Shell a spusťte následující příkazy:

Add-Pssnapin *  
# Access WellKnown App principal  
[Microsoft.SharePoint.Administration.SPWebService]::ContentService.WellKnownAppPrincipals  
  
# Create WellKnown App principal  
$ClientId = "00000007-0000-0000-c000-000000000000"  
$PermissionXml = "<AppPermissionRequests AllowAppOnlyPolicy=""true""><AppPermissionRequest Scope=""http://sharepoint/content/tenant"" Right=""FullControl"" /><AppPermissionRequest Scope=""http://sharepoint/social/tenant"" Right=""Read"" /><AppPermissionRequest Scope=""http://sharepoint/search"" Right=""QueryAsUserIgnoreAppPrincipal"" /></AppPermissionRequests>"  
  
$wellKnownApp= New-Object -TypeName "Microsoft.SharePoint.Administration.SPWellKnownAppPrincipal" -ArgumentList ($ClientId, $PermissionXml)  
  
$wellKnownApp.Update()

Výběr typu mapování ověřování na základě deklarované identity

Ve výchozím nastavení použije mapování ověřování na základě deklarované identity pro mapování e-mailovou adresu účtu Microsoft uživatele a pracovní e-mailovou adresu místního systému SharePoint. Všimněte si, že ať použijete jakýkoli typ ověřování na základě deklarované identity, hodnoty, například e-mailové adresy, musí odpovídat mezi aplikacemi pro zapojení zákazníků a službou SharePoint. Synchronizace adresářů služby Microsoft 365 v tom může pomoci. Další informace: Nasazení synchronizace adresářů Microsoft 365 (DirSync) v Microsoft Azure. Chcete-li použít jiný typ mapování ověřování na základě deklarované identity, viz část Definování vlastního mapování deklarací identity pro serverovou integraci služby SharePoint.

Důležité

Chcete-li povolit vlastnost Pracovní e-mailová adresa, musí mít služba SharePoint (místní) nakonfigurovanou a spuštěnou aplikaci Služby profilů uživatelů. Chcete-li povolit aplikaci Služby profilů uživatelů ve službě SharePoint, viz část Vytvoření, úprava nebo odstranění služeb aplikace profilu uživatele ve službě SharePoint Server 2013. Chcete-li provést změny vlastnosti uživatele, jako je například Pracovní e-mailová adresa, viz část Úprava vlastnosti profilu uživatele. Další informace o aplikace Služby profilů uživatelů naleznete v tématu Přehled aplikace služby Profil uživatele ve službě SharePoint Server 2013.

Viz také

Poradce při potížích se serverovým ověřováním
Nastavení integrace služby SharePoint s aplikacemi pro zapojení zákazníků