Freigeben über

Konfigurieren der serverbasierten Authentifizierung mit SharePoint lokal

Die serverbasierte SharePoint-Integration für die Dokumentenverwaltung wird verwendet, um Apps zur Kundeninteraktion (Dynamics 365 Sales, Dynamics 365 Customer Service, Dynamics 365 Field Service, Dynamics 365 Marketing und Dynamics 365 Project Service Automation) mit SharePoint vor Ort zu verbinden. Wenn Sie serverbasierte Authentifizierung verwenden, werden Microsoft Entra-Domänendienste als Vertrauensstellungsbroker verwendet und Benutzer müssen sich nicht bei SharePoint anmelden.

Berechtigungen sind erforderlich

Zur Aktivierung sind die folgenden Mitgliedschaften und Berechtigungen erforderlich, um die SharePoint Dokumentenverwaltung zu aktivieren.

  • Microsoft 365 Globale Administratormitgliedschaft ist erforderlich für:

    • Zugriff auf Administratorebene auf das Microsoft 365-Abonnement.
    • Ausführung der Aktivierung des serverbasierten Authentifizierungsassistenten.
    • Ausführen der AzurePowerShell-Cmdlets.

  • Die Power Apps SharePoint Integrationsassistent-Rechte ermöglichen den Assistenten zum Aktivieren der serverbasierten Authentifizierung.

    Die Systemadministrator-Sicherheitsrolle besitzt standardmäßig dieses Recht.

  • Für die SharePoint loklae Integration ist die SharePoint Farm Administrator-Gruppenmitgliedschaft erforderlich, um die meisten Windows PowerShell-Befehle auf dem SharePoint Server auszuführen.

Einrichten der Server-zu-Server-Authentifizierung mit SharePoint lokal

Folgen Sie den Schritten in der angegebenen Reihenfolge, um Apps zur Kundeninteraktion mit SharePoint 2016 lokal einzurichten.

Wichtig

Die hier beschriebenen Schritte müssen in der vorgesehenen Reihenfolge ausgeführt werden. Wenn eine Aufgabe nicht abgeschlossen wird, z. B. ein Windows PowerShell-Befehl, der eine Fehlermeldung zurückgibt, muss das Problem behoben werden, bevor Sie zum folgenden Befehl, Aufgabe oder Schritt übergehen.

Überprüfen der Voraussetzungen

Bevor Sie Apps zur Kundeninteraktion und SharePoint lokal für die serverbasierte Authentifizierung konfigurieren, müssen die folgenden Voraussetzungen erfüllt sein:

SharePoint-Voraussetzungen

Andere Voraussetzungen

  • SharePoint Online-Lizenz. Customer Engagement-Apps zur lokalen serverbasierten SharePoint-Authentifizierung müssen den SharePoint Service Principal Name (SPN) in Microsoft Entra ID registriert haben. Um den Zugriff sicherzustellen, ist mindestens eine SharePoint Online Benutzerlizenz erforderlich. Die SharePoint Online Lizenz kann von einer Einzelbenutzerlizenz stammen und beruht in der Regel auf einem der folgenden Elemente:

    • Ein SharePoint-Online Abonnement. Jeder SharePoint-Online-Plan ist genügend, auch wenn die Lizenz keinem Benutzer zugewiesen ist.

    • Ein Microsoft 365-Abonnement, das SharePoint-Online enthält. Wenn Sie z. B. Microsoft 365 E3 besitzen, verfügen Sie über die entsprechende Lizenzierung, auch wenn die Lizenz keinem Benutzer zugewiesen ist.

      Weitere Informationen zu diesen Plänen finden Sie unter Finden Sie die richtige Lösung für Sie und Vergleichen Sie SharePoint Optionen.

  • Die folgenden Softwarefunktionen sind erforderlich, um die Windows PowerShell-Cmdlets ausführen, die in diesem Artikel beschrieben werden:

    Microsoft Graph

    Um das Microsoft Graph Modul zu installieren, geben Sie den folgenden Befehl in einer PowerShell-Sitzung als Administrator ein.

    $currentMaxFunctionCount =
    $ExecutionContext.SessionState.PSVariable.Get("MaximumFunctionCount").Value

# Set execution policy to RemoteSigned for this session
if ((Get-ExecutionPolicy -Scope Process) -ne "RemoteSigned") {
    Set-ExecutionPolicy -Scope Process -ExecutionPolicy RemoteSigned -Force
}

# Update MaximumFunctionCount if needed
if ($currentMaxFunctionCount -lt 32768) {
    $ExecutionContext.SessionState.PSVariable.Set("MaximumFunctionCount", 32768)
}

# Install and import required modules
if (-not (Get-Module -ListAvailable -Name "Microsoft.Graph")) {
    $Params = @{
        Name = "Microsoft.Graph"
        Scope = CurrentUser
    }
    Install-Module @Params -Force
}

$Params = @{
    Name = "Microsoft.Graph"
    Function = @("Connect-MgGraph", "Get-MgOrganization")
}
Import-Module @Params

if (-not (Get-Module -ListAvailable -Name "Microsoft.Graph.Identity.DirectoryManagement")) {
    $Params = @{
        Name = "Microsoft.Graph.Identity.DirectoryManagement"
        Scope = CurrentUser
    }
    Install-Module @Params -Force
}

$Params = @{
    Name = "Microsoft.Graph.Identity.DirectoryManagement"
    Function = @("Get-MgServicePrincipal", "Update-MgServicePrincipal")
}
Import-Module @Params

  • Ein geeigneter, auf Ansprüchen basierender Authentifizierungs-Zuordnungstyp, der für die Zuordnung von Identitäten zwischen Apps zur Kundeninteraktion und SharePoint lokal verwendet werden kann. Standardmäßig wird die E-Mail-Adresse verwendet. Weitere Informationen untr Kundenbindungs-Apps-Berechtigung gewähren, um auf SharePoint zuzugreifen und die anspruchsbasierte Authentifizierung zu konfigurieren.

Aktualisieren des SharePoint Server SPN in Microsoft Entra Domain Services

Auf dem lokalen SharePoint-Server, in der SharePoint 2016 Verwaltungsshell, führen Sie diese PowerShell-Befehle in der genannten Reihenfolge aus.

  1. Stellen Sie mit Microsoft 365 eine Verbindung her.

    Wenn Sie den Connect-MgGraph-Befehl ausführen, müssen Sie ein gültiges Microsoft-Konto bereitstellen, das die Mitgliedschaft der globalen Administratoren für die erforderliche SharePoint Online-Lizenz umfasst.

    Ausführliche Informationen zu jedem der hier aufgeführten Microsoft Entra ID PowerShell-Befehle finden Sie unter Verwalten von Microsoft Entra mithilfe von Windows PowerShell.

    Connect-MgGraph -Scopes "Directory.ReadWrite.All", "Application.ReadWrite.All"

  2. Legen Sie den SharePoint-Host URL fest.

    Der Wert, den Sie für die variable HostNameUrl festlegen, muss eine vollständige Hostname URL der SharePoint-Websitesammlung sein. Der Hostname muss von der Websitesammlungs-URL abgeleitet sein und die Groß-/Kleinschreibung muss beachtet werden. In diesem Beispiel ist die URL der Websitesammlung https://SharePoint.constoso.com/sites/salesteam, deshalb lautet die Hostname URL https://SharePoint.contoso.com.

    Wichtig

    Wenn mehrere Websites vorhanden sind, führen Sie den folgenden Befehl für jede Website aus.

    # Generate Service Principal Name
# Note: If there are multiple sites, and the host is the same, no action is needed.
#       If the host is different, each site needs to be configured to add the 
#       host to the service principal.
$uri = [System.Uri]"https://SharePoint.constoso.com/sites/salesteam"
$hostName = $uri.Host
$baseUrl = "$($uri.Scheme)://$hostName"
$servicePrincipalName = $baseUrl

  3. Rufen Sie die Microsoft 365-Objekt (Mandant)-ID ab und den SharePoint Server Dienstprinzipalnamen (SPN).

    # SharePoint Online App ID
$SPOAppId = "00000003-0000-0ff1-ce00-000000000000"

# Retrieve SharePoint Online Service Principal
$SharePoint = Get-MgServicePrincipal -Filter "AppId eq '$SPOAppId'"

$UpdatedServicePrincipalNames = $SharePoint.ServicePrincipalNames |
    Where-Object { $_ -ne $servicePrincipalName }
$UpdatedServicePrincipalNames += $servicePrincipalName

  4. Rufen Sie die Microsoft 365-Objekt (Mandant)-ID ab und den SharePoint Server Dienstprinzipalnamen (SPN).

    $maxRetries = 5
$retryDelay = 5 # seconds 

for ($retry = 1; $retry -le $maxRetries; $retry++) {
    try {
        $Params = @{
 	         ServicePrincipalId = $SharePoint.Id
 			     ServicePrincipalNames = $UpdatedServicePrincipalNames
 		   }
 		   Update-MgServicePrincipal @Params
 		   Write-Host "Service Principal Names updated successfully."
 		   break
 	 }
 	 catch {
 		   if ($_.Exception.Message -match "Directory_ConcurrencyViolation" -and
            $retry -lt $maxRetries) {
 			     Write-Host "Concurrency violation detected. (Attempt $retry of $maxRetries)"
 			     Start-Sleep -Seconds $retryDelay
   		 }
   		 else {
     			 Write-Host "Failed to update Service Principal Names. Error: $_"
 		    	 exit 1
        }
    }
}

Wenn diese Befehle ausgeführt wurden, schließen Sie die SharePoint 2016-Verwaltungsshell nicht. Wechseln Sie zum nächsten Schritt.

Aktualisieren des SharePoint-Bereichs zur Übereinstimmung mit SharePoint Online

Auf dem lokalen SharePoint Server, in der SharePoint 2016-Verwaltungsshell, führen Sie diesen Windows PowerShell-Befehl aus.

Der folgende Befehl erfordert SharePoint-Farmadministratormitgliedschaft und legt den Authentifizierungsbereich der lokalen SharePoint-Farm fest.

Achtung

Das Ausführen dieses Befehls ändert den Authentifizierungsbereich der lokalen SharePoint-Farm. Bei Anwendungen, die einen vorhandenen Sicherheitstokendienst (STS) verwenden, kann dieser Befehl unerwartetes Verhalten bei anderen Anwendungen, die Zugriffstoken verwenden, auslösen. Weitere Informationen unter Set-SPAuthenticationRealm.

# SPOContextId is the tenant ID for the dynamics 365 tenant. It is used to identify the tenant in Azure AD and SharePoint Online.
$SPOContextId = "<tenantId>"
Set-SPAuthenticationRealm -Realm $SPOContextId

Erstellen Sie einen vertrauenswürdigen Sicherheitstokenaussteller für Microsoft Entra ID in SharePoint

Auf dem lokalen SharePoint-Server, in der SharePoint 2016 Verwaltungsshell, führen Sie diese PowerShell-Befehle in der genannten Reihenfolge aus.

Die folgenden Befehle erfordern SharePoint-Farmadministratormitgliedschaft.

Ausführliche Informationen zu diesen PowerShell-Befehlen finden Sie unter SharePoint 2016: Liste der PowerShell-Cmdlets.

  1. Aktivieren Sie die PowerShell-Sitzung, um Änderungen am Sicherheitstokendienst für die SharePoint-Farm vorzunehmen.

    $c = Get-SPSecurityTokenServiceConfig  
$c.AllowMetadataOverHttp = $true  
$c.AllowOAuthOverHttp= $true  
$c.Update()

  2. Legen Sie den Metadatenendpunkt fest.

    $metadataEndpoint = 
    "https://login.microsoftonline.com/common/.well-known/openid-configuration"  
$oboissuer = "https://sts.windows.net/*/" 
$issuer = "00000007-0000-0000-c000-000000000000@" + $SPOContextId

  3. Erstellen Sie den neuen Tokenkontrolldienst-Anwendungsproxy in Microsoft Entra ID.

    $existingIssuer = Get-SPTrustedSecurityTokenIssuer "D365Obo"
if ($existingIssuer) {
    $Params = @{
        Identity = $existingIssuer
        IsTrustBroker = $true
        MetadataEndpoint = $metadataEndpoint
        RegisteredIssuerName = $oboissuer
    }
    Set-SPTrustedSecurityTokenIssuer @Params
} else {
    $Params = @{
        Name = "D365Obo"
        IsTrustBroker = $true
        MetadataEndpoint = $metadataEndpoint
        RegisteredIssuerName = $oboissuer
    }
    $obo = New-SPTrustedSecurityTokenIssuer @Params
}

Erteilen Sie Apps für Apps zur Kundeninteraktion die Berechtigung zum Zugriff auf SharePoint und konfigurieren Sie die Zuordnung der auf Ansprüchen basierenden Authentifizierung

Auf dem lokalen SharePoint-Server, in der SharePoint 2016 Verwaltungsshell, führen Sie diese PowerShell-Befehle in der genannten Reihenfolge aus.

Die folgenden Befehle erfordern SharePoint-Websitesammlung-Administrationsmitgliedschaft.

  1. Registrieren Sie Apps zur Kundenbindung mit der SharePoint-Sitesammlung.

    Geben Sie die lokale SharePoint-Websitesammlungs-URL ein. In diesem Beispiel wird <https://sharepoint.contoso.com/sites/crm/> verwendet.

    $site = Get-SPSite "https://sharepoint.contoso.com/sites/crm/"
$Params = @{
    site = $site.RootWeb
    NameIdentifier = $issuer
    DisplayName = "crmobo"
}
Register-SPAppPrincipal @Params

  2. Gewähren Sie Apps für Apps zur Kundeninteraktion Zugriff auf die Site SharePoint. Ersetzen Sie <https://sharepoint.contoso.com/sites/crm/> durch die SharePoint-Website-URL.

    Anmerkung

    Im folgenden Beispiel erhält die App zur Kundeninteraktion die Berechtigung für die angegebene Websitesammlung SharePoint, indem der Parameter -Scope für die Websitesammlung verwendet wird. Der Scope-parameter akzeptiert die folgenden Optionen. Wählen Sie den Umfang aus, der für die SharePoint-Konfiguration am besten geeignet ist.

    • site Gewährt Apps die Berechtigung für Apps zur Kundeninteraktion nur für die angegebene SharePoint-Website. Gewährt für Unterwebsites unter der benannten Website keine Berechtigungen.
      • sitecollection Erteilt den Apps zur Kundeninteraktion die Berechtigung für alle Websites und Unterwebsites innerhalb der angegebenen SharePoint-Site-Sammlung.
      • sitesubscription Erteilt Apps für Apps zur Kundeninteraktion die Berechtigung für alle Websites in der SharePoint-Farm, einschließlich aller Websitesammlungen, Websites und Unterwebsites.

    Wichtig

    Wenn mehrere Websites vorhanden sind, führen Sie das Skript für jede Website aus.

    $Params = @{
    NameIdentifier = $issuer
    Site = "https://sharepoint.contoso.com/sites/crm/"
}
$app = Get-SPAppPrincipal @Params

$Params = @{
    AppPrincipal = $app
    Site = $site.Rootweb
    Scope = "sitecollection"
    Right = "FullControl"
}
Set-SPAppPrincipalPermission @Params

  3. Legen Sie den Zuordnungstypen für die anspruchsbasierte Authentifizierung fest.

    Wichtig

    Standardmäßig verwendet die anspruchsbasierte Authentifizierungszuordnung die E-Mail-Adresse des Microsoft-Kontos des Benutzers und die geschäftliche E-Mail-Adresse des Benutzers des lokalen SharePoint für die Zuordnung. Wenn Sie die anspruchsbasierte Authentifizierungszuordnung verwenden, müssen die E-Mail-Adressen der Benutzer in den beiden Systemen übereinstimmen. Weitere Informationen unter Auswählen eines Zuordnungstyps für die anspruchsbasierte Authentifizierung.

    $Params = @{
    IncomingClaimType = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress"
    IncomingClaimTypeDisplayName = "EmailAddress"
}
$map1 = New-SPClaimTypeMapping @Params -SameAsIncoming

Führen Sie „Aktivieren des Assistenten für serverbasierten SharePoint-Integration“ aus

Führen Sie diese Schritte aus:

  1. Bestätigen Sie, dass Sie über die erforderlichen Berechtigungen zum Ausführen des Assistenten verfügen. Weitere Informationen finden Sie unter Erforderliche Berechtigungen.

  2. Gehen Sie zu Einstellungen>Dokumentenverwaltung.

  3. Klicken Sie im Bereich Dokumentenverwaltung auf die Option Serverbasierte SharePoint-Integration aktivieren.

  4. Prüfen Sie die Informationen, und klicken Sie dann auf Weiter.

  5. Klicken Sie für die SharePoint-Websites auf Lokal und dann auf Weiter.

  6. Geben Sie die lokale SharePoint-Websitesammlungs-URL, wie https://sharepoint.contoso.com/sites/crm, ein. Die Website muss für SSL konfiguriert sein.

  7. Klicken Sie auf Weiter.

  8. Der Websites überprüfen-Abschnitt wird angezeigt. Wenn alle Websites als gültig deklariert werden, klicken Sie auf Aktivieren. Wenn mindestens eine oder mehrere Websites ungültig sind, gehen Sie zu Problembehebung der Server-basierten der Authentifizierung.

Auswählen der Entitäten, die in die Dokumentenverwaltung integriert werden sollen

Standardmäßig sind Firmen-, Artikel- Lead-, Produkt-, Angebots-, und Vertriebsdokumentationsentitäten enthalten. Sie können die Entitäten hinzufügen oder entfernen, die für die Dokumentenverwaltung mit SharePoint in Dokumentverwaltungseinstellungen verwendet werden. Gehen Sie zu Einstellungen>Dokumentenverwaltung. Weitere Informationen unter Aktivieren der Dokumentenverwaltung für Entitäten.

Fügen Sie OneDrive for Business Integration hinzu.

Nachdem Sie Apps zur Kundenbindung und SharePoint lokale serverbasierte Authentifizierungskonfiguration abgeschlossen haben, können Sie auch OneDrive for Business integrieren. Mit Apps zur Kundenbindung und der Integration von OneDrive for Business können Benutzer mit OneDrive for Business private Dokumente erstellen und verwalten. Auf diese Dokumente kann zugegriffen werden, sobald der Systemadministrator OneDrive for Business aktiviert hat.

OneDrive for Business aktivieren

Öffnen Sie auf dem Windows Server, auf dem SharePoint Server lokal läuft, die Management Shell SharePoint und führen Sie die folgenden Befehle aus:

Add-Pssnapin *  

# Access WellKnown App principal  
[Microsoft.SharePoint.Administration.SPWebService]::ContentService.WellKnownAppPrincipals  
  
# Create WellKnown App principal  
$ClientId = "00000007-0000-0000-c000-000000000000"  
$PermissionXml = @"
<AppPermissionRequests AllowAppOnlyPolicy="true">
    <AppPermissionRequest Scope="http://sharepoint/content/tenant" Right="FullControl" />
    <AppPermissionRequest Scope="http://sharepoint/social/tenant" Right="Read" />
    <AppPermissionRequest Scope="http://sharepoint/search" Right="QueryAsUserIgnoreAppPrincipal" />
</AppPermissionRequests>
"@

$wellKnownApp = New-Object `
    -TypeName "Microsoft.SharePoint.Administration.SPWellKnownAppPrincipal" `
    -ArgumentList ($ClientId, $PermissionXml)  
  
$wellKnownApp.Update()

Auswählen eines Zuordnungstyps für die anspruchsbasierte Authentifizierung

Standardmäßig verwendet die anspruchsbasierte Authentifizierungszuordnung die E-Mail-Adresse des Microsoft-Kontos des Benutzers und die geschäftliche E-Mail-Adresse des Benutzers des lokalen SharePoint für die Zuordnung. Beachten Sie, dass unabhängig von der von Ihnen verwendeten anspruchsbasierte Authentifizierung, die Werte, wie z. B. E-Mail-Adressen, zwischen Kundenbindungs-Apps und SharePoint übereinstimmenmüssen. Die Verzeichnissynchronisierung Microsoft 365 hilft bei der Übereinstimmung von E-Mail-Adressen. Erfahren Sie mehr unter Microsoft 365 Verzeichnissynchronisierung in Microsoft Azure bereitstellen. Weitere Information zum Verwenden eines anderen Typs der anspuchsbasierten Authentifizierungszuordnung finden Sie unter Benutzerdefinierte Anspruchszuordnung für auf dem SharePoint-Server basierte Integration definieren.

Wichtig

Um die Eigenschaft für die geschäftliche E-Mail-Adresse zu aktivieren, muss bei SharePoint (lokal) eine Benutzerprofil-Dienstanwendung konfiguriert und gestartet worden sein. Um eine Benutzerprofil-Dienstanwendung in SharePoint zu aktivieren, gehen Sie zu Erstellen, Bearbeiten oder Löschen von Benutzerprofil-Dienstanwendungen in SharePoint Server 2016. Für Änderungen an einer Benutzereigenschaft, z. B. geschäftliche E-Mail-Adresse, gehen Sie zu Bearbeiten einer Benutzerprofileigenschaft. Weitere Informationen zur Benutzerprofil-Dienstanwendung finden Sie unter Übersicht über die Benutzerprofildienstanwendung in SharePoint Server 2016.

Zugehöriger Inhalt

  • Last updated on