Share via

Konfigurere serverbaseret godkendelse med SharePoint i det lokale miljø

  • Artikel

Serverbaseret SharePoint-integration for dokumentstyring kan bruges til at forbinde kundeengagement-apps (Dynamics 365 Sales, Dynamics 365 Customer Service, Dynamics 365 Field Service, Dynamics 365 Marketing og Dynamics 365 Project Service Automation) med SharePoint i det lokale miljø. Når du bruger serverbaseret godkendelse, bruges Microsoft Entra-domænetjenester som mægler, og brugere behøver ikke at logge på SharePoint.

Påkrævede tilladelser

Følgende medlemskaber og rettigheder kræves for at aktivere SharePoint-dokumentstyring.

  • Microsoft 365 Medlemskab af global administrator – dette kræves for at:

    • Administrativ adgang til Microsoft 365-abonnementet.
    • Køre aktivering af den serverbaserede godkendelsesguide.
    • Kørsel af AzurePowerShell-cmdlet.

  • Power Apps Kør SharePoint Integrationsguide-rettighed. Dette er påkrævet for at køre guiden Aktivér serverbaseret godkendelse.

    Sikkerhedsrollen Systemadministrator har som standard denne rettighed.

  • Medlemskab af SharePoint i det lokale miljø SharePoint-farmadministratorer for at få integration. Dette er påkrævet for at køre de fleste af PowerShell-kommandoerne på SharePoint-serveren.

Konfigurere server-til-server-godkendelse med SharePoint i det lokale miljø

Følg trinene i nævnte rækkefølge for at oprette kundeengagement-apps med SharePoint 2013 i det lokale miljø.

Vigtigt

De trin, der er beskrevet her, skal være fuldført i nævnte rækkefølge. Hvis en opgave ikke er fuldført, f.eks en PowerShell-kommando, der returnerer en fejlmeddelelse, skal problemet løses, før du fortsætter til næste kommando, opgave eller trin.

Kontrol af forudsætninger

Før du konfigurerer kundeengagement-apps og SharePoint i det lokale miljø med henblik på serverbaseret godkendelse, skal følgende forudsætninger være opfyldt:

SharePoint-forudsætninger

  • SharePoint 2013 (i det lokale miljø) med Service Pack 1 (SP1) eller en nyere version

    Vigtigt

    SharePoint Foundation 2013-versioner understøttes ikke til brug sammen med dokumentstyring til kundeengagement-apps.

  • Installer den kumulative opdatering fra april 2019 til SharePoint 2013-produktserien. Denne kumulative opdatering fra april 2019 omfatter alle SharePoint 2013-rettelser (herunder alle SharePoint 2013-sikkerhedsrettelser), der er udgivet siden SP1. Kumulativ opdatering fra april 2019 inkluderer ikke SP1. Du skal installere SP1, før du installerer kumulativ opdatering fra april 2019. Flere oplysninger: KB 4464514 Kumulativ opdatering fra april 2019 til SharePoint Server 2013

  • Konfiguration af SharePoint

    • Hvis du bruger SharePoint 2013 til hver SharePoint-farm, kan der kun konfigureres én kundeengagement-app til serverbaseret integration.

    • SharePoint webstedet skal være tilgængeligt via internettet. En omvendt proxy kan også være nødvendig for SharePoint godkendelse. Flere oplysninger: Konfigurere en omvendte proxy-enhed til SharePoint Server 2013 hybrid

    • SharePoint-webstedet skal være konfigureret til at bruge SSL (HTTPS) i TCP-porten 443 (ingen kundetilpassede porte understøttes), og certifikatet skal være udstedt af et offentligt nøglecenter. Flere oplysninger: SharePoint: Om sikre kanal SSL-certifikater

    • En pålidelig brugeregenskab til kravsbaseret godkendelsestilknytning mellem SharePoint og kundeengagement-apps. Flere oplysninger: Valg af en kravstilknytningstype

    • SharePoint-søgetjenesten skal være aktiveret i forbindelse med deling af dokumenter. Flere oplysninger: Oprette og konfigurere et søgetjenesteprogram i SharePoint Server

    • For dokumentstyring i forbindelse med brug af mobilapps til Dynamics 365 skal SharePoint-serveren i det lokale miljø være tilgængelig via internettet.

Andre forudsætninger

  • SharePoint Onlinelicens. Apps til kundeengagement til serverbaseret godkendelse på SharePoint i det lokale miljø skal have SharePoint-tjenestens hovednavn (SPN) registreret i Microsoft Entra ID. Dette kræver mindst én SharePoint Online-brugerlicens. SharePoint Online-licensen kan være afledt af en enkelt brugerlicens og kommer typisk fra et af følgende:

    • Et SharePoint Online-abonnement. Enhver SharePoint Online-plan er tilstrækkelig, selvom licensen ikke er tildelt en bruger.

    • Et Microsoft 365-abonnement, der omfatter SharePoint Online. Hvis du f.eks. har Microsoft 365 E3, har du de relevante licenser, selvom licensen ikke er tildelt en bruger.

      Du kan finde flere oplysninger om disse planer under Søge efter den rette løsning til dig og Sammenligne indstillinger for SharePoint

  • Følgende softwarefunktioner kræves for at køre de PowerShell cmdlets, der er beskrevet i dette emne.

    • Microsoft Online Services Sign-In Assistant for IT Professionals Beta

    • MSOnlineExt

    • Du kan installere modulet MSOnlineExt ved at skrive følgende kommando fra en administrator PowerShell-session. PS> Install-Module -Name "MSOnlineExt"

    Vigtigt

    Samtidig med dette blev skrevet er der et problem med RTW-versionen af Microsoft Online Services Sign-In Assistant for IT Professionals. Indtil problemet er løst, anbefaler vi, at du bruger betaversionen. Flere oplysninger: Microsoft Azure-forummer: Kan ikke installere Microsoft Entra-modul til Windows PowerShell. MOSSIA er ikke installeret.

  • En passende kravsbaseret godkendelsestilknytningstype, der bruges til at tilknytte identiteter mellem kundeengagement-apps og SharePoint i det lokale miljø. Mailadresser bruges som standard. Flere oplysninger: Give kundeengagement-apps adgang til SharePoint og konfigurere kravsbaseret godkendelsestilknytning

Opdater SharePoint Server SPN i Microsoft Entra-domænetjenester

På SharePoint-serveren i det lokale miljø skal du i SharePoint 2013 Management Shell køre disse PowerShell-kommandoer i den angivne rækkefølge.

  1. Forbered PowerShell-sessionen.

    Følgende cmdlets aktiverer computeren til at modtage fjernkommandoer og tilføje Microsoft 365-moduler til PowerShell-sessionen. Du kan finde flere oplysninger om disse cmdlets i Windows PowerShell-Core-cmdletter.

    Enable-PSRemoting -force  
New-PSSession  
Import-Module MSOnline -force  
Import-Module MSOnlineExtended -force

  2. Opret forbindelse til Microsoft 365.

    Når du kører kommandoen Connect-MsolService, skal du angive en gyldig Microsoft-konto, der har Global administrator-medlemskab for den SharePoint Online-licens, der kræves.

    Detaljerede oplysninger om hver af de Microsoft Entra ID PowerShell-kommandoer, der er angivet her, kan du se under Administrer Microsoft Entra ved hjælp af Windows PowerShell

    $msolcred = get-credential  
connect-msolservice -credential $msolcred

  3. Angiv SharePoint-værtsnavnet.

    Den værdi, du angiver for variablen HostName skal være det komplette værtsnavnet på gruppen af SharePoint-websteder. Værtsnavnet skal være afledt af URL-adressen til gruppe af websteder, og der skelnes mellem små og store bogstaver. I dette eksempel er webadressen til gruppen af websteder <https://SharePoint.constoso.com/sites/salesteam>, så værtsnavnet er SharePoint.contoso.com.

    $HostName = "SharePoint.contoso.com"

  4. Hent Microsoft 365-objektets (lejer)-id og SharePoint Server (Service Principal Name) (SPN).

    $SPOAppId = "00000003-0000-0ff1-ce00-000000000000"  
$SPOContextId = (Get-MsolCompanyInformation).ObjectID  
$SharePoint = Get-MsolServicePrincipal -AppPrincipalId $SPOAppId  
$ServicePrincipalName = $SharePoint.ServicePrincipalNames

  5. Angiv SharePoint Server-tjenestens hovednavn (SPN) i Microsoft Entra ID.

    $ServicePrincipalName.Add("$SPOAppId/$HostName")   
Set-MsolServicePrincipal -AppPrincipalId $SPOAppId -ServicePrincipalNames $ServicePrincipalName

    Når disse kommandoer er udført, må du ikke lukke SharePoint 2013 Management Shell. Fortsæt til næste trin.

Opdater SharePoint-domænet, så det svarer til SharePoint Online-domænet

På serveren SharePoint i det lokale miljø, i SharePoint 2013 Management Shell, skal du køre denne Windows PowerShell-kommando.

Følgende kommando kræver SharePoint-medlemskab af gruppen af farmadministratorer og indstiller godkendelsesdomænet for SharePoint-farmen i det lokale miljø.

Advarsel

Kørsel af denne kommando ændrer godkendelsesdomænet for SharePoint farmen i det lokale miljø. Dette kan medføre en uventet funktionsmåde for programmer, der bruger en eksisterende sikkerhedstokentjenesten (STS) med andre programmer, der bruger adgangstokens. Flere oplysninger: Set-SPAuthenticationRealm.

Set-SPAuthenticationRealm -Realm $SPOContextId

Opret en pålidelig sikkerhedstokenudsteder til Microsoft Entra ID på SharePoint

På SharePoint-serveren i det lokale miljø skal du i SharePoint 2013 Management Shell køre disse PowerShell-kommandoer i den angivne rækkefølge.

Følgende kommandoer kræver SharePoint-medlemskab af gruppen af farmadministratorer.

Du kan finde flere oplysninger om disse PowerShell-kommandoer under Brug Windows PowerShell-cmdlet til at administrere sikkerheden i SharePoint 2013.

  1. Aktivér PowerShell-sessionen for at foretage ændringer af sikkerhedstokentjenesten for SharePoint-farmen.

    $c = Get-SPSecurityTokenServiceConfig  
$c.AllowMetadataOverHttp = $true  
$c.AllowOAuthOverHttp= $true  
$c.Update()

  2. Angiv metadata-slutpunktet.

    $metadataEndpoint = "https://accounts.accesscontrol.windows.net/" + $SPOContextId + "/metadata/json/1"  
$acsissuer = "00000001-0000-0000-c000-000000000000@" + $SPOContextId  
$issuer = "00000007-0000-0000-c000-000000000000@" + $SPOContextId

  3. Opret proxy for det nye tokenkontrolprogram i Microsoft Entra ID.

    New-SPAzureAccessControlServiceApplicationProxy -Name "Internal" -MetadataServiceEndpointUri $metadataEndpoint -DefaultProxyGroup

    Bemærk

    Kommandoen New- SPAzureAccessControlServiceApplicationProxy returnerer muligvis en fejlmeddelelse, der angiver, at der allerede findes en programproxy med dette navn. Hvis den navngivne programproxy allerede findes, kan du ignorere fejlen.

  4. Opret udstederen af den nye tokenkontroltjenesten i SharePoint i det lokale miljø for Microsoft Entra ID.

    $acs = New-SPTrustedSecurityTokenIssuer –Name "ACSInternal" –IsTrustBroker:$true –MetadataEndpoint $metadataEndpoint -RegisteredIssuerName $acsissuer

Give kundeengagement-apps adgang til SharePoint og konfigurere kravsbaseret godkendelsestilknytning

På SharePoint-serveren i det lokale miljø skal du i SharePoint 2013 Management Shell køre disse PowerShell-kommandoer i den angivne rækkefølge.

Følgende kommandoer kræver SharePoint-medlemskab til administration af gruppe af websteder.

  1. Registrer kundeengagement-apps med gruppen af websteder for SharePoint.

    Angiv URL-adressen til SharePoint gruppe af websteder i det lokale miljø. I dette eksempel bruges https://sharepoint.contoso.com/sites/crm/.

    Vigtigt

    For at udføre denne kommando skal SharePoint App Management Service-programproxy findes og køre. Du kan finde flere oplysninger om, hvordan du starter og konfigurerer tjenesten, i underemnet Konfiguration af indstillinger for abonnement og App Management Service-programmer i Konfigurere et miljø til for apps til SharePoint (SharePoint 2013).

    $site = Get-SPSite "https://sharepoint.contoso.com/sites/crm/"  
Register-SPAppPrincipal -site $site.RootWeb -NameIdentifier $issuer -DisplayName "crm"

  2. Giv kundeengagement-apps adgang til SharePoint-webstedet. Erstat https://sharepoint.contoso.com/sites/crm/ med URL-adressen til dit SharePoint-websted.

    Bemærk

    I følgende eksempel har kundeengagement-apps fået tilladelse til den angivne gruppe af websteder for SharePoint ved hjælp af parameteren Omfang for gruppe af websteder. Parameteren Omfang accepterer følgende indstillinger. Vælg det omfang, der passer bedst til din konfiguration af SharePoint.

    • site. Giver kun kundeengagement-apps tilladelse til det angivne SharePoint-websted. Det giver ikke tilladelse til at eventuelle underordnede websteder under det navngivne websted.
      • sitecollection. Giver kundeengagement-apps tilladelse til alle websteder og underordnede websteder inden for den angivne gruppe af SharePoint-websteder.
      • sitesubscription. Giver kundeengagement-apps tilladelse til alle websteder i SharePoint-farmen, herunder alle grupper af websteder, websteder og underordnede websteder.
    $app = Get-SPAppPrincipal -NameIdentifier $issuer -Site "https://sharepoint.contoso.com/sites/crm/"  
Set-SPAppPrincipalPermission -AppPrincipal $app -Site $site.Rootweb -Scope "sitecollection" -Right "FullControl"

  3. Indstil tilknytningstypen for kravsbaseret godkendelse.

    Vigtigt

    Som standard vil den kravsbaserede godkendelsestilknytning bruge SharePoint-brugerens -mailadresse og brugerens Microsoft account-arbejdsmailadresse for tilknytningen i det lokale miljø. Når du bruger dette, skal brugerens mailadresser stemme overens mellem de to systemer. Du kan finde flere oplysninger under Valg af en tilknytningstype for kravsbaseret godkendelse.

    $map1 = New-SPClaimTypeMapping -IncomingClaimType "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress" -IncomingClaimTypeDisplayName "EmailAddress" -SameAsIncoming

Kør guiden Aktivér serverbaseret SharePoint-integration

Følg disse trin:

  1. Kontrollér, at du har de relevante tilladelser til at køre guiden. Du kan finde flere oplysninger ved at gennemse Påkrævede tilladelser

  2. Gå til Indstillinger>Dokumentstyring.

  3. I området Dokumentstyring skal du klikke på Aktivér serverbaseret SharePoint-integration.

  4. Gennemse oplysningerne, og klik derefter på Næste.

  5. For SharePoint-webstederne skal du klikke på Lokalt og derefter klikke på Næste.

  6. Angiv URL-adressen til gruppen af SharePoint-websteder i det lokale miljø, f.eks. https://sharepoint.contoso.com/sites/crm. Webstedet skal være konfigureret til at bruge SSL.

  7. Klik på Næste.

  8. Afsnittet om validering af websteder vises. Hvis alle websteder betragtes som gyldige, skal du klikke på Aktivér. Hvis en eller flere steder anses som ugyldige, skal du se under Fejlfinding i forbindelse med serverbaserede godkendelse.

Vælg de objekter, som skal indgå i dokumentstyring

Som standard er konto-, artikel-, kundeemne-, produkt-, tilbuds- og salgsmaterialeobjekterne inkluderet. Du kan tilføje eller fjerne de objekter, der skal bruges til dokumentstyring, med SharePoint i Indstillinger for dokumentstyring. Gå til Indstillinger>Dokumentstyring. Flere oplysninger: Aktivere dokumentstyring for objekter

Tilføj OneDrive for Business-integration

Når du har fuldført konfigurationen af serverbaseret godkendelse for kundeengagement-apps og SharePoint i det lokale miljø, kan du også integrere OneDrive for Business. Med integration af kundeengagement-apps og OneDrive for Business kan brugere oprette og administrere private dokumenter ved hjælp af OneDrive for Business. Du kan få adgang til disse dokumenter, når systemadministratoren har aktiveret OneDrive for Business.

Aktivér OneDrive for Business

På Windows Server, hvor SharePoint-serveren on-premises kører i det lokale miljø, skal du åbne SharePoint Management Shell og køre kommandoerne nedenfor:

Add-Pssnapin *  
# Access WellKnown App principal  
[Microsoft.SharePoint.Administration.SPWebService]::ContentService.WellKnownAppPrincipals  
  
# Create WellKnown App principal  
$ClientId = "00000007-0000-0000-c000-000000000000"  
$PermissionXml = "<AppPermissionRequests AllowAppOnlyPolicy=""true""><AppPermissionRequest Scope=""http://sharepoint/content/tenant"" Right=""FullControl"" /><AppPermissionRequest Scope=""http://sharepoint/social/tenant"" Right=""Read"" /><AppPermissionRequest Scope=""http://sharepoint/search"" Right=""QueryAsUserIgnoreAppPrincipal"" /></AppPermissionRequests>"  
  
$wellKnownApp= New-Object -TypeName "Microsoft.SharePoint.Administration.SPWellKnownAppPrincipal" -ArgumentList ($ClientId, $PermissionXml)  
  
$wellKnownApp.Update()

Valg af en tilknytningstype for kravsbaseret godkendelse

Som standard vil den kravsbaserede godkendelsestilknytning bruge brugerens Microsoft-mailadresse og brugerens SharePoint on-premises-arbejdsmailadresse for tilknytning. Bemærk, at uanset hvilket kravsbaseret godkendelsestype, du bruger, skal værdier som f.eks. mailadresse svare til hinanden mellem kundeengagement-apps og SharePoint. Microsoft 365-katalogsynkronisering kan hjælpe med dette. Flere oplysninger: Implementere Microsoft 365 Directory Synchronization i Microsoft Azure. Hvis du vil bruge en anden type tilknytning af kravsbaseret godkendelse, skal du se under Definere brugerdefineret kravstilknytning for serverbaseret SharePoint-integration.

Vigtigt

For at aktivere egenskaben Arbejdsmail skal SharePoint i det lokale miljø have et brugerprofiltjenesteprogram konfigureret og startet. For at aktivere et brugerprofiltjenesteprogram i SharePoint kan du se under Oprette, redigere eller slette tjenesteprogrammer til brugerprofiler i SharePoint Server 2013. Hvis du vil ændre en brugerdefineret egenskab, som arbejdsmail, kan du se under Rediger en brugerprofilegenskab. Du kan finde flere oplysninger om brugerprofiltjenesteprogrammet under Oversigt over brugerprofiltjenesteprogrammet i SharePoint Server 2013.

Se også

Fejlfinding i forbindelse med serverbaseret godkendelse
Konfigurere SharePoint-integration med kundeengagement-apps