Aktivieren des Remotezugriffs auf SharePoint per Microsoft Entra-Anwendungsproxy

In dieser Schritt-für-Schritt-Anleitung wird beschrieben, wie Sie eine lokale SharePoint-Farm mit dem Anwendungsproxy von Microsoft Entra integrieren.

Voraussetzungen

Zum Ausführen der Konfiguration benötigen Sie die folgenden Ressourcen:

• Eine SharePoint 2013-Farm (oder neuer). Die SharePoint-Farm muss in Microsoft Entra ID integriert sein.
• Ein Microsoft Entra-Mandant mit einem Plan, der den Anwendungs-Proxy umfasst. Erfahren Sie mehr über Microsoft Entra ID Pläne und Preise.
• Eine Microsoft Office Web Apps Server-Farm zum ordnungsgemäßen Starten von Office-Dateien aus der lokalen SharePoint-Farm.
• Eine benutzerdefinierte, überprüfte Domäne im Microsoft Entra-Mandanten.
• Lokale Active Directory-Bereitstellungen, die mit Microsoft Entra Connect synchronisiert werden, über die Benutzer sich bei Azure anmelden können.
• ein privater Netzwerkconnector, der auf einem Computer in der Unternehmensdomäne installiert und ausgeführt wird.

Für das Konfigurieren von SharePoint mit Anwendungsproxy sind zwei URLs erforderlich:

• Eine externe URL, die für Endbenutzer*innen sichtbar und in Microsoft Entra ID festgelegt ist. Diese URL kann eine benutzerdefinierte Domäne enthalten. Weitere Informationen zur Verwendung benutzerdefinierter Domänen im Microsoft Entra-Anwendungsproxy finden Sie hier.
• Eine interne URL, die nur innerhalb der Unternehmensdomäne bekannt ist und nie direkt verwendet wird.

Von Bedeutung

Halten Sie sich an die folgenden Empfehlungen für die interne URL, um sicherzustellen, dass die Links ordnungsgemäß zugeordnet werden:

• Verwenden Sie HTTPS.
• Verwenden Sie keine benutzerdefinierten Ports.
• Erstellen Sie einen Host (A-Eintrag) im DNS des Unternehmens, der auf das SharePoint Web Front End (WFE) oder auf den Load Balancer verweist und keinen Alias (CName-Eintrag).

In diesem Artikel werden folgende Werte verwendet:

• Interne URL: https://sharepoint.
• Externe URL: https://spsites-demo1984.msappproxy.net/.
• Anwendungspoolkonto für die SharePoint-Webanwendung: Contoso\spapppool.

Schritt 1: Konfigurieren einer Anwendung in Microsoft Entra ID, die den Anwendungsproxy verwendet.

In diesem Schritt erstellen Sie eine Anwendung in Ihrem Microsoft Entra-Mandanten, der den Anwendungsproxydienst verwendet. Sie legen die externe URL fest und geben die interne URL an. Beide werden später in SharePoint verwendet.

1. Erstellen Sie die App mit den folgenden Einstellungen gemäß der Beschreibung. Eine ausführliche Anleitung finden Sie unter Veröffentlichen von Anwendungen mit Microsoft Entra-Anwendungsproxy.

   • Interne URL: Interne SharePoint-URL, die später in SharePoint festgelegt wird, z. B. https://sharepoint.
   • Vorauthentifizierung: Microsoft Entra ID.
   • Übersetzen von URLs in Kopfzeilen: No.
   • Übersetzen von URLs im Anwendungstext: No.

   

2. Nachdem Ihre App veröffentlicht wurde, führen Sie die folgenden Schritte aus, um die Einstellungen für einmaliges Anmelden zu konfigurieren.

   1. Wählen Sie auf der Anwendungsseite im Portal einmaliges Anmelden aus.
   2. Wählen Sie für den Modus für einmaliges Anmeldendie integrierte Windows-Authentifizierung aus.
   3. Legen Sie den internen Dienstprinzipalnamen (INTERNAL Application Service Principal Name, SPN) auf den Wert fest, den Sie zuvor festgelegt haben. In diesem Beispiel lautet der Wert HTTP/sharepoint.
   4. Wählen Sie unter Delegierte Identität für Anmeldung die am besten geeignete Option für Ihre Active Directory-Gesamtstrukturkonfiguration aus. Wenn Ihre Gesamtstruktur also beispielsweise eine einzelne Active Directory-Domäne enthält, wählen Sie Name des lokalen SAM-Kontos aus (wie im folgenden Screenshot zu sehen). Wenn sich Ihre Benutzer jedoch nicht in derselben Domäne wie SharePoint und die Server des privaten Netzwerkconnectors befinden, wählen Sie den lokalen Benutzerprinzipalnamen aus (nicht im Screenshot dargestellt).

   

3. Schließen Sie die Einrichtung Ihrer Anwendung ab, wechseln Sie zum Abschnitt "Benutzer und Gruppen ", und weisen Sie Benutzern zu, um auf diese Anwendung zuzugreifen.

Schritt 2: Konfigurieren der SharePoint-Webanwendung

Die SharePoint-Webanwendung muss mit Kerberos und den entsprechenden alternativen Zugriffszuordnungen konfiguriert werden, damit sie ordnungsgemäß mit dem Microsoft Entra-Anwendungsproxy funktioniert. Es gibt zwei mögliche Optionen:

• Erstellen Sie eine neue Webanwendung, und verwenden Sie nur die Standardzone . Die Verwendung der Standardzone ist die bevorzugte Option, sie bietet die beste Erfahrung mit SharePoint. Beispielsweise zeigen die Links in E-Mail-Benachrichtigungen, die SharePoint generiert, auf die Standardzone .
• Erweitern Sie eine vorhandene Webanwendung, um Kerberos in einer nicht standardmäßigen Zone zu konfigurieren.

Von Bedeutung

Unabhängig von der verwendeten Zone muss das Anwendungspoolkonto der SharePoint-Webanwendung ein Domänenkonto sein, damit Kerberos ordnungsgemäß funktioniert.

Erstellen der SharePoint-Webanwendung

• Das Skript zeigt ein Beispiel für das Erstellen einer neuen Webanwendung mithilfe der Standardzone . Die Verwendung der Standardzone ist die bevorzugte Option.

  1. Starten Sie die SharePoint-Verwaltungsshell , und führen Sie das Skript aus.

     # This script creates a web application and configures the Default zone with the internal/external URL needed to work with Azure AD application proxy
     # Edit variables below to fit your environment. Note that the managed account must exist and it must be a domain account
     $internalUrl = "https://sharepoint"
     $externalUrl = "https://spsites-demo1984.msappproxy.net/"
     $applicationPoolManagedAccount = "Contoso\spapppool"
     
     $winAp = New-SPAuthenticationProvider -UseWindowsIntegratedAuthentication -DisableKerberos:$false
     $wa = New-SPWebApplication -Name "SharePoint - AAD Proxy" -Port 443 -SecureSocketsLayer -URL $externalUrl -ApplicationPool "SharePoint - AAD Proxy" -ApplicationPoolAccount (Get-SPManagedAccount $applicationPoolManagedAccount) -AuthenticationProvider $winAp
     New-SPAlternateURL -Url $internalUrl -WebApplication $wa -Zone Default -Internal
     

  2. Öffnen Sie die Website der SharePoint-Zentraladministration.

  3. Wählen Sie unter Systemeinstellungen die Option Alternative Zugriffszuordnungen konfigurieren. Das Feld Alternative Zugriffszuordnungssammlung wird geöffnet.

  4. Filtern Sie die Anzeige mit der neuen Webanwendung.

     

• Wenn Sie eine vorhandene Webanwendung auf eine neue Zone erweitern.

  1. Starten Sie die SharePoint-Verwaltungsshell, und führen Sie das folgende Skript aus.

     # This script extends an existing web application to Internet zone with the internal/external URL needed to work with Azure AD application proxy
     # Edit variables below to fit your environment
     $webAppUrl = "http://spsites/"
     $internalUrl = "https://sharepoint"
     $externalUrl = "https://spsites-demo1984.msappproxy.net/"
     
     $winAp = New-SPAuthenticationProvider -UseWindowsIntegratedAuthentication -DisableKerberos:$false
     $wa = Get-SPWebApplication $webAppUrl
     New-SPWebApplicationExtension -Name "SharePoint - AAD Proxy" -Identity $wa -SecureSocketsLayer -Zone Extranet -Url $externalUrl -AuthenticationProvider $winAp
     New-SPAlternateURL -Url $internalUrl -WebApplication $wa -Zone Extranet -Internal
     

  `. Öffnen Sie die Website der SharePoint-Zentraladministration.

  1. Wählen Sie unter Systemeinstellungen die Option Alternative Zugriffszuordnungen konfigurieren. Das Feld Alternative Zugriffszuordnungssammlung wird geöffnet.

  2. Filtern Sie die Anzeige mit der Webanwendung, die erweitert wurde.

     

Sicherstellen, dass die SharePoint-Webanwendung unter einem Domänenkonto ausgeführt wird

Identifizieren Sie das Konto, unter dem der Anwendungspool der SharePoint-Webanwendung ausgeführt wird, und vergewissern Sie sich, dass es sich dabei um ein Domänenkonto handelt:

1. Öffnen Sie die Website der SharePoint-Zentraladministration.

2. Navigieren Sie zu Sicherheit, und wählen Sie die Option Dienstkonten konfigurieren.

3. Wählen Sie Webanwendungspool – YourWebApplicationName aus.

   

4. Bestätigen Sie, dass Wählen Sie ein Konto für diese Komponente aus ein Domänenkonto zurückgibt, und merken Sie sich dieses, da Sie es im nächsten Schritt verwenden.

Stellen Sie sicher, dass ein HTTPS-Zertifikat für die IIS-Website der Extranetzone konfiguriert ist.

Da die interne URL das HTTPS-Protokoll (https://SharePoint/) verwendet, muss auf der IIS-Website (Internet Information Services, Internetinformationsdienste) ein Zertifikat festgelegt werden.

1. Öffnen Sie die Windows PowerShell-Konsole.

2. Führen Sie das folgende Skript aus, um ein selbstsigniertes Zertifikat zu generieren und es dem Computer MY storehinzuzufügen.

   # Replace "SharePoint" with the actual hostname of the Internal URL of your Azure AD proxy application
   New-SelfSignedCertificate -DnsName "SharePoint" -CertStoreLocation "cert:\LocalMachine\My"
   

   Von Bedeutung

   Selbstsignierte Zertifikate sind nur für Testzwecke geeignet. In Produktionsumgebungen wird dringend empfohlen, stattdessen Zertifikate einer Zertifizierungsstelle zu verwenden.

3. Öffnen Sie die Konsole „Internetinformationsdienste-Manager“.

4. Erweitern Sie den Server in der Strukturansicht, erweitern Sie Websites, und wählen Sie die Website SharePoint: Microsoft Entra ID-Proxy und anschließend Bindungen aus.

5. Wählen Sie HTTPS-Bindung und anschließend Bearbeiten aus.

6. Wählen Sie im Zertifikatfeld Transport Layer Security (TLS) sharePoint-Zertifikat und dann OK aus.

Nun können Sie extern über den Microsoft Entra-Anwendungsproxy auf die SharePoint-Website zugreifen.

Schritt 3: Konfigurieren der eingeschränkten Kerberos-Delegierung (Kerberos Constrained Delegation)

Benutzer authentifizieren sich zunächst in der Microsoft Entra-ID und dann mithilfe von Kerberos über den privaten Microsoft Entra-Netzwerkconnector bei SharePoint. Damit der Connector ein Kerberos-Token im Namen des Microsoft Entra-Benutzers oder der Microsoft Entra-Benutzerin abrufen kann, muss die eingeschränkte Kerberos-Delegierung (Kerberos Constrained Delegation, KCD) mit Protokollübergang konfiguriert werden. Weitere Informationen zu KCD finden Sie in der Übersicht über die eingeschränkte Kerberos-Delegierung.

Festlegen des Dienstprinzipalnamens (SERVICE Principal Name, SPN) für das SharePoint-Dienstkonto

Da in diesem Artikel die interne URL https://sharepoint verwendet wird, lautet der Dienstprinzipalname (Service Principal Name, SPN) HTTP/sharepoint. Diese Werte müssen durch Werte für Ihre Umgebung ersetzt werden. Um den SPN HTTP/sharepoint für das SharePoint-Anwendungspoolkonto Contoso\spapppool zu registrieren, führen Sie den folgenden Befehl als Administrator der Domäne an einer Eingabeaufforderung aus:

setspn -S HTTP/sharepoint Contoso\spapppool

Der Befehl Setspn sucht vor dem Hinzufügen nach dem SPN. Ist der SPN bereits vorhanden, wird der Fehler Doppelter SPN-Wert angezeigt. Entfernen Sie den bestehenden SPN. Stellen Sie sicher, dass der SPN erfolgreich hinzugefügt wurde, indem Sie den Setspn Befehl mit der -L Option ausführen. Weitere Informationen zum Befehl finden Sie unter Setspn.

Sicherstellen, dass dem Connector bei Delegierungen an den SPN, der dem SharePoint-Anwendungspoolkonto hinzugefügt wurde, vertraut wird

Konfigurieren Sie KCD so, dass der Microsoft Entra-Anwendungsproxydienst Benutzeridentitäten an das SharePoint-Anwendungspoolkonto delegieren kann. Konfigurieren Sie KCD, indem Sie den privaten Netzwerkconnector zum Abrufen von Kerberos-Tickets für Ihre Benutzer aktivieren, die in der Microsoft Entra-ID authentifiziert sind. Anschließend übergibt dieser Server den Kontext an die Zielanwendung (in diesem Fall an SharePoint).

Führen Sie zum Konfigurieren von KCD für jeden Connectorcomputer die folgenden Schritte aus:

1. Melden Sie sich bei einem Domänencontroller als Domänenadministrator an, und öffnen Sie dann „Active Directory-Benutzer und -Computer“.

2. Suchen Sie den Computer, auf dem der private Microsoft Entra-Netzwerkconnector ausgeführt wird. In diesem Beispiel ist es der Computer, auf dem die SharePoint Server-Instanz ausgeführt wird.

3. Doppelklicken Sie auf den Computer, und wählen Sie anschließend die Registerkarte Delegierung aus.

4. Stellen Sie sicher, dass die Delegierungsoptionen auf Computer bei Delegierungen angegebener Dienste vertrauen festgelegt sind. Wählen Sie dann "Authentifizierungsprotokoll verwenden" aus.

5. Wählen Sie die Schaltfläche Hinzufügen und anschließend Benutzer oder Computer aus, und suchen Sie nach dem SharePoint-Anwendungspoolkonto. Beispiel: Contoso\spapppool.

6. Wählen Sie in der SPN-Liste den zuvor für das Dienstkonto erstellten Eintrag aus.

7. Wählen Sie OK und anschließend erneut OK aus, um Ihre Änderungen zu speichern.

   

Nun können Sie sich unter Verwendung der externen URL bei SharePoint anmelden und bei Azure authentifizieren.

Beheben von Anmeldefehlern

Wenn die Anmeldung auf der Website nicht funktioniert, erhalten Sie weitere Informationen zum Problem in den Connector-Protokollen: Öffnen Sie auf dem Computer, auf dem der Connector ausgeführt wird, die Ereignisanzeige, wechseln Sie zu Anwendungen und Dienstprotokollen>Microsoft>Microsoft Entra privates Netzwerk>Connector, und prüfen Sie das Admin-Protokoll.

Nächste Schritte

• Verwenden benutzerdefinierter Domänen im Microsoft Entra-Anwendungsproxy
• Grundlegendes zu privaten Microsoft Entra-Netzwerkconnectors