Konfigurer serverbaseret godkendelse med Dynamics 365 Online og SharePoint i det lokale miljø

 

Udgivet: februar 2017

Gælder for: Dynamics 365 (online), Dynamics 365 (on-premises), Dynamics CRM 2016, Dynamics CRM Online

Server-baseret Microsoft SharePoint-integration til dokumenthåndtering, som blev introduceret i Opdatering 1 til Microsoft Dynamics CRM Online 2015, kan nu bruges til at forbinde Microsoft Dynamics 365 (online) med SharePoint i det lokale miljø. Når du bruger serverbaseret godkendelse, bruges Azure AD-domænetjenester som mægler, og brugere behøver ikke at logge på SharePoint.

Dette emne indeholder

Påkrævede tilladelser

Konfigurer server til server-godkendelse med Dynamics 365 (online) og SharePoint i det lokale miljø

Tilføje OneDrive for Business-integration

Valg af en tilknytningstype for kravsbaseret godkendelse

Påkrævede tilladelser

Office 365

• Medlemskab af globale Office 365-administratorer – Dette er påkrævet for adgang til administratorniveau til Microsoft Office 365-abonnementet og for at køre Microsoft AzurePowerShell-cmdlets.

Microsoft Dynamics 365 (online)

• Rettigheden Kør guiden SharePoint-integration. Dette er påkrævet for at køre guiden Aktiver Server-baseret godkendelse i Microsoft Dynamics 365.

  Sikkerhedsrollen Systemadministrator har som standard denne tilladelse.

SharePoint i det lokale miljø

• Medlemskab af gruppen Farmadministratorer – dette er påkrævet for at køre de fleste af PowerShell-kommandoerne på SharePoint-serveren.

Konfigurer server til server-godkendelse med Dynamics 365 (online) og SharePoint i det lokale miljø

Følg trinene i nævnte rækkefølge for at oprette Dynamics 365 (online) med SharePoint 2013 i det lokale miljø.

Vigtigt

• De trin, der er beskrevet her, skal være fuldført i nævnte rækkefølge. Hvis en opgave ikke er fuldført, f.eks en PowerShell kommando, der returnerer en fejlmeddelelse, skal problemet løses, før du fortsætter til næste kommando, opgave eller trin.

• Når du har aktiveret serverbaseret SharePoint-integration, kan du ikke vende tilbage til den tidligere klientbaserede godkendelsesmetode. Du kan derfor ikke bruge Komponent til Microsoft Dynamics CRM-liste, når du har konfigureret din Dynamics 365-organisation for serverbaseret SharePoint-integration.

Kontrol af forudsætninger

Før du konfigurerer Microsoft Dynamics 365 (online) og SharePoint i det lokale miljø for server-baseret godkendelse, skal følgende forudsætninger være opfyldt:

SharePoint-forudsætninger

• Microsoft SharePoint 2013 (i det lokale miljø) med Service Pack 1 (SP1) eller en nyere version

  Vigtigt

  Microsoft SharePoint Foundation 2013-versioner understøttes ikke til brug sammen med Microsoft Dynamics 365-dokumentstyring.

• Hotfix KB2883081 til SharePoint Foundation 2013 August 12, 2014 (Sts-x-none.msp)

  Vigtigt

  Følgende opdateringer er forudsætninger for KB2883081 og kan også være nødvendig.

  • https://support2.microsoft.com/kb/2768000

  • https://support.microsoft.com/kb/2767999

  • https://support.microsoft.com/kb/2880963

• Konfiguration af SharePoint

  • SharePoint skal være konfigureret til en enkelt farm udrulning.

  • SharePoint webstedet skal være tilgængeligt via internettet. En omvendt proxy kan også være nødvendig for SharePoint godkendelse. Yderligere oplysninger: Konfigurere en omvendte proxy-enhed til SharePoint Server 2013 hybrid

  • SharePoint-webstedet skal være konfigureret til at bruge SSL (HTTPS), og certifikatet skal være udstedt af en offentlig rod nøglecenter.Flere oplysninger:SharePoint: om sikre kanal SSL-certifikater

  • En pålidelig brugeregenskab til kravsbaseret godkendelsestilknytning mellem SharePoint og Microsoft Dynamics 365.Flere oplysninger:Valg af en tilknytningstype for kravsbaseret godkendelse

  • SharePoint-søgetjenesten skal være aktiveret i forbindelse med deling af dokumenter.Flere oplysninger:Opret og konfigurer et søgetjenesteprogram i SharePoint-server

  • For dokumentstyring i forbindelse med brug af Microsoft Dynamics 365-mobilapps skal SharePoint-serveren i det lokale miljø være tilgængelig via internettet.

  • Hvis du bruger Microsoft SharePoint 2013 for hver SharePoint-farm, kan der kun konfigureres én Microsoft Dynamics 365-organisation til serverbaseret integration.

Andre forudsætninger

• SharePoint Online-licens.Microsoft Dynamics 365 (online) til SharePoint-serverbaseret godkendelse i det lokale miljø skal have SharePoint-tjenestens hovednavn (SPN) registreret i Azure Active Directory. Dette kræver mindst én SharePoint Online brugerlicens.SharePoint Online-licensen kan være afledt af en enkelt brugerlicens og kommer typisk fra et af følgende:

  • Et SharePoint Online-abonnement. Enhver SharePoint Online plan er tilstrækkelig, selvom licensen ikke er tildelt en bruger.

  • Et Office 365 abonnement, der omfatter SharePoint Online. For eksempel, hvis du har Office 365 E3, har du de relevante licenser, selvom licensen ikke er tildelt en bruger.

  Du kan finde flere oplysninger om disse planer, i Office 365: Vælg en plan og Sammenlign SharePoint-indstillinger

• Følgende softwarefunktioner kræves for at køre de PowerShell cmdlets, der er beskrevet i dette emne.

  • Microsoft Online Services Sign-In Assistant for IT Professionals Beta

  • Azure Active Directory modul til Windows PowerShell (64-bit version)

  Vigtigt

  Samtidig med dette blev skrevet er der et problem med RTW-versionen af Microsoft Online Services Sign-In Assistant for IT Professionals. Indtil problemet er løst, anbefaler vi, at du bruger betaversionen.Flere oplysninger:Microsoft Azure-forummer Kan ikke installere Azure Active Directory-modul til Windows PowerShell. MOSSIA er ikke installeret.

• En passende kravsbaseret godkendelses-tilknytningstype der bruges til tilknytning af identitet mellem Microsoft Dynamics 365 (online) og SharePoint i det lokale miljø. Mailadresser bruges som standard.Flere oplysninger:Giv Microsoft Dynamics 365 tilladelse til at få adgang til SharePoint og konfigurer kravsbaseret godkendelsestilknytning

Opdater SharePoint Server SPN i Azure Active Directory-domænetjenester

På SharePoint serveren i det lokale miljø, i SharePoint 2013 Management Shell, skal du køre disse PowerShell kommandoer i den angivne rækkefølge.

1. Forbered PowerShell session.

   Følgende cmdlets aktiverer computeren til at modtage fjernkommandoer og tilføje Office 365 moduler til PowerShell session. Du kan finde flere oplysninger om disse cmdlets i Windows PowerShell-Core-cmdletter.

   Enable-PSRemoting -force
   New-PSSession
   Import-Module MSOnline -force
   Import-Module MSOnlineExtended -force
   

2. Opret forbindelse til Office 365.

   Når du kører kommandoen Connect-MsolService, skal du angive et gyldigt Microsoft-konto, der er medlem af globale Office 365-administratorer for den SharePoint Online-licens, der kræves.

   Detaljerede oplysninger om hver af de Azure Active DirectoryPowerShell kommandoer, der er angivet her, kan du se under MSDN: Administrer Azure AD ved hjælp af Windows PowerShell

   $msolcred = get-credential
   connect-msolservice -credential $msolcred
   

3. Angiv SharePoint-værtsnavnet.

   Den værdi, du angiver for variablen HostName skal være det komplette værtsnavnet på gruppen af SharePoint-websteder. Værtsnavnet skal være afledt af URL-adressen til gruppe af websteder, og der skelnes mellem små og store bogstaver. I dette eksempel er URL-adressen til gruppen af websteder https://SharePoint.constoso.com/sites/salesteam, så værtsnavnet er SharePoint.contoso.com.

   $HostName = "SharePoint.contoso.com"
   

4. Hent Office 365-objektets (lejer)-id og SharePoint Server-SPN (Service Principal Name).

   $SPOAppId = "00000003-0000-0ff1-ce00-000000000000"
   $SPOContextId = (Get-MsolCompanyInformation).ObjectID
   $SharePoint = Get-MsolServicePrincipal -AppPrincipalId $SPOAppId
   $ServicePrincipalName = $SharePoint.ServicePrincipalNames
   

5. Angiv SharePoint Server-tjenestens hovednavn (SPN) i Azure Active Directory.

   $ServicePrincipalName.Add("$SPOAppId/$HostName") 
   Set-MsolServicePrincipal -AppPrincipalId $SPOAppId -ServicePrincipalNames $ServicePrincipalName 
   

Når disse kommandoer er udført, må du ikke lukke SharePoint 2013 Management Shell. Fortsæt til næste trin.

Opdater SharePoint-domænet, så det svarer til SharePoint Online-domænet

På SharePoint serveren i det lokale miljø, i SharePoint 2013 Management Shell, skal du køre denne Windows PowerShell kommando i den angivne rækkefølge.

Følgende kommando kræver SharePoint-medlemskab af gruppen af farmadministratorer og indstiller godkendelsesdomænet for SharePoint-farmen i det lokale miljø.

Advarsel!

Kørsel af denne kommando ændrer godkendelsesdomænet for SharePoint farmen i det lokale miljø. Dette kan medføre en uventet funktionsmåde for programmer, der bruger en eksisterende sikkerhedstokentjenesten (STS) med andre programmer, der bruger adgangstokens. Flere oplysninger: Set-SPAuthenticationRealm

Set-SPAuthenticationRealm -Realm $SPOContextId

Opret en pålidelig sikkerhedstokenudsteder til Azure Active Directory på SharePoint

På SharePoint serveren i det lokale miljø, i SharePoint 2013 Management Shell, skal du køre disse PowerShell kommandoer i den angivne rækkefølge.

Følgende kommandoer kræver SharePoint-medlemskab af gruppen af farmadministratorer.

Du kan finde flere oplysninger om disse PowerShell kommandoer under Brug Windows PowerShell-cmdletter til at administrere sikkerheden i SharePoint 2013.

1. Aktiver PowerShell-sessionen for at foretage ændringer af sikkerhedstokentjenesten for SharePoint-farmen.

   $c = Get-SPSecurityTokenServiceConfig
   $c.AllowMetadataOverHttp = $true
   $c.AllowOAuthOverHttp= $true
   $c.Update()
   

2. Angiv metadata-slutpunktet.

   $metadataEndpoint = "https://accounts.accesscontrol.windows.net/" + $SPOContextId + "/metadata/json/1"
   $acsissuer  = "00000001-0000-0000-c000-000000000000@" + $SPOContextId
   $issuer = "00000007-0000-0000-c000-000000000000@" + $SPOContextId
   

3. Opret proxy for det nye tokenkontrolprogram i Azure Active Directory.

   New-SPAzureAccessControlServiceApplicationProxy -Name "Internal" -MetadataServiceEndpointUri $metadataEndpoint -DefaultProxyGroup
   

   Bemærk

   Kommandoen New- SPAzureAccessControlServiceApplicationProxy returnerer muligvis en fejlmeddelelse, der angiver, at der allerede findes en programproxy med dette navn. Hvis den navngivne programproxy allerede findes, kan du ignorere fejlen.

4. Opret udstederen af den nye tokenkontroltjenesten i SharePoint i det lokale miljø for Azure Active Directory.

   $ = New-SPTrustedSecurityTokenIssuer –Name "ACSInternal" –IsTrustBroker:$true –MetadataEndpoint $metadataEndpoint -RegisteredIssuerName $acsissuer 
   

Giv Microsoft Dynamics 365 tilladelse til at få adgang til SharePoint og konfigurer kravsbaseret godkendelsestilknytning

På SharePoint serveren i det lokale miljø, i SharePoint 2013 Management Shell, skal du køre disse PowerShell kommandoer i den angivne rækkefølge.

Følgende kommandoer kræver SharePoint-medlemskab til administration af gruppe af websteder.

1. Registrer Microsoft Dynamics 365 med SharePoint gruppe af websteder.

   Angiv URL-adressen til SharePoint gruppe af websteder i det lokale miljø. I dette eksempel bruges https://sharepoint.contoso.com/sites/crm/.

   Vigtigt

   For at udføre denne kommando skal SharePoint App Management Service-programproxy findes og køre. Du kan finde flere oplysninger om, hvordan du starter og konfigurere tjenesten, i underemnet Konfiguration af indstillinger for abonnement og App Management Service-programmer i Konfigurere et miljø til apps til SharePoint (SharePoint 2013).

   $site = Get-SPSite "https://sharepoint.contoso.com/sites/crm/"
   Register-SPAppPrincipal -site $site.RootWeb -NameIdentifier $issuer -DisplayName "crm"
   

2. Giv Microsoft Dynamics 365-programadgang til webstedet for SharePoint. Erstat https://sharepoint.contoso.com/sites/crm/ med dit SharePoint-websteds URL-adresse.

   Bemærk

   I følgende eksempel har Dynamics 365-programmet fået tilladelse til den angivne gruppe af SharePoint-websteder ved hjælp af – Omfang "Gruppe af websteder". Parameteren Omfang accepterer følgende indstillinger. Vælg det omfang, der passer bedst til din konfiguration af SharePoint.

   • site. Giver kun tilladelse til Dynamics 365-programmet til det angivne SharePoint-websted. Det giver ikke tilladelse til at eventuelle underordnede websteder under det navngivne websted.

   • sitecollection. Giver tilladelse til Dynamics 365-programmet til alle websteder og underordnede websteder inden for den angivne gruppe af SharePoint-websteder.

   • sitesubscription. Giver tilladelse til Dynamics 365-programmet til alle websteder i SharePoint-farmen, herunder alle grupper af websteder, websteder og underordnede websteder.

   $app = Get-SPAppPrincipal -NameIdentifier $issuer -Site "https://sharepoint.contoso.com/sites/crm/"
   Set-SPAppPrincipalPermission -AppPrincipal $app -Site $site.Rootweb -Scope "sitecollection" -Right "FullControl"
   

3. Indstil tilknytningstypen for kravsbaseret godkendelse.

   Vigtigt

   Som standard bruger den kravsbaserede godkendelsestilknytning brugerens Microsoft-konto mailadresse og brugerens SharePoint lokale arbejdsmail adresse til tilknytningen. Når du bruger dette, skal brugerens mailadresser stemme overens mellem de to systemer. Du kan finde flere oplysninger under Valg af en tilknytningstype for kravsbaseret godkendelse.

   $map1 = New-SPClaimTypeMapping -IncomingClaimType "https://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress" -IncomingClaimTypeDisplayName "EmailAddress" -SameAsIncoming
   

Kør guiden Aktivér serverbaseret SharePoint-integration

I appen Microsoft Dynamics 365, skal du følge disse trin:

1. Gå til Indstillinger > Dokumentstyring. (Hvordan kommer jeg dertil?)

2. I området Dokumentstyring skal du klikke på Aktivér serverbaseret SharePoint-integration.

3. Gennemse oplysningerne, og klik derefter på Næste.

4. For SharePoint-webstederne skal du klikke på Lokalt og derefter klikke på Næste.

5. Angiv SharePoint URL-adressen til den lokale gruppe af websteder, f.eks. https://sharepoint.contoso.com/sites/crm. Webstedet skal være konfigureret til at bruge SSL.

6. Klik på Næste.

7. Afsnittet om validering af websteder vises. Hvis alle websteder betragtes som gyldige, skal du klikke på Aktivér. Hvis et eller flere websteder er ugyldigt, skal du se under Fejlfinding i forbindelse med server-baseret godkendelse.

Vælg de objekter, som skal indgå i dokumentstyring

Som standard er konto-, artikel-, kundeemne-, produkt-, tilbuds- og salgsmaterialeobjekterne inkluderet. Du kan tilføje eller fjerne de enheder, der skal bruges til dokumentstyring med SharePoint i Indstillinger for dokumentstyring i Microsoft Dynamics 365.Gå til Indstillinger > Dokumentstyring. (Hvordan kommer jeg dertil?)Flere oplysninger:Kundecenter: Aktivér dokumentstyring for objekter

Tilføje OneDrive for Business-integration

Når du har fuldført Microsoft Dynamics 365 og SharePoint konfiguration af lokal serverbaseret godkendelse, kan du også integrere OneDrive for Business.Dynamics 365-brugere kan oprette og administrere private dokumenter vha. OneDrive for Business med Microsoft Dynamics 365 og OneDrive for Business-integration. Du kan få adgang til disse dokumenter i Dynamics 365, når systemadministratoren har aktiveret OneDrive for Business.

Aktivér OneDrive for Business

På Windows Server, hvor SharePoint Server kører lokalt, skal du åbne SharePoint Management Shell og køre følgende kommandoer:

Add-Pssnapin *
# Access WellKnown App principal
[Microsoft.SharePoint.Administration.SPWebService]::ContentService.WellKnownAppPrincipals

# Create WellKnown App principal
$ClientId = "00000007-0000-0000-c000-000000000000"
$PermissionXml = "<AppPermissionRequests AllowAppOnlyPolicy=""true""><AppPermissionRequest Scope=""https://sharepoint/content/tenant"" Right=""FullControl"" /><AppPermissionRequest Scope=""https://sharepoint/social/tenant"" Right=""Read"" /><AppPermissionRequest Scope=""https://sharepoint/search"" Right=""QueryAsUserIgnoreAppPrincipal"" /></AppPermissionRequests>"

$wellKnownApp= New-Object -TypeName "Microsoft.SharePoint.Administration.SPWellKnownAppPrincipal" -ArgumentList ($ClientId, $PermissionXml)

$wellKnownApp.Update()

Valg af en tilknytningstype for kravsbaseret godkendelse

Som standard bruger den kravsbaserede godkendelsestilknytning brugerens Microsoft-konto mailadresse og brugerens SharePoint lokale arbejdsmail adresse til tilknytningen. Bemærk, at uanset den kravsbaserede godkendelsestype, skal værdier som f.eks. mailadresse svare til hinanden mellem Microsoft Dynamics 365 (online) og SharePoint.Office 365-katalogsynkronisering kan hjælpe med dette.Flere oplysninger:Installer Office 365 Katalogsynkronisering (DirSync) i Microsoft Azure For at bruge en anden type tilknytning for kravsbaseret godkendelse, skal du se Definere brugerdefineret kravtilknytning til SharePoint server-baseret integration.

Vigtigt

For at aktivere egenskaben Arbejdsmail skal SharePoint i det lokale miljø have et brugerprofiltjenesteprogram konfigureret og startet. For at aktivere et brugerprofiltjenesteprogram i SharePoint kan du se under Oprette, redigere eller slette brugerprofil tjenesteprogrammer i SharePoint Server 2013. Hvis du vil ændre en brugerdefineret egenskab, som arbejdsmail, kan du se under Rediger en brugerprofilegenskab. Du kan finde flere oplysninger om brugerprofiltjenesteprogrammet under Oversigt over brugerprofil tjenesteprogrammet i SharePoint Server 2013.

Se også

Fejlfinding i forbindelse med server-baseret godkendelse
Konfigurere SharePoint-integration med Microsoft Dynamics 365

© 2017 Microsoft. Alle rettigheder forbeholdes. Ophavsret