Freigeben über


Konfigurieren der Server-zu-Server-Authentifizierung von SharePoint Server zu SharePoint in Microsoft 365

GILT FÜR:yes-img-132013 yes-img-162016 yes-img-192019 yes-img-seSubscription Edition yes-img-sopSharePoint in Microsoft 365

Dieser Artikel ist Teil einer Roadmap der Verfahren zum Konfigurieren von SharePoint-Hybridlösungen. Stellen Sie sicher, dass Sie einer Roadmap folgen, wenn Sie die Verfahren in diesem Artikel durcharbeiten.

Hinweis

Es wird empfohlen, den SharePoint-Hybridkonfigurations-Assistenten zu verwenden, um die Server-zu-Server-Authentifizierung zwischen SharePoint Server und SharePoint in Microsoft 365 einzurichten. Wenn Sie den Hybridkonfigurations-Assistenten aus irgendeinem Grund nicht verwenden können, führen Sie die Schritte in diesem Artikel aus, um die Server-zu-Server-Authentifizierung zu aktivieren.

Microsoft empfiehlt die Verwendung von Rollen mit den wenigsten Berechtigungen. Die Verwendung von Konten mit niedrigeren Berechtigungen trägt zur Verbesserung der Sicherheit für Ihre Organisation bei. Globaler Administrator ist eine hoch privilegierte Rolle, die auf Notfallszenarien beschränkt werden sollte, wenn Sie keine vorhandene Rolle verwenden können.

Konfigurieren der Server-zu-Server-Authentifizierung

Dieser Artikel bietet Hilfestellung für den Prozess der Bereitstellung einer SharePoint-Hybridumgebung, der SharePoint Server und SharePoint in Microsoft 365 integriert.

Tipp

Um ein möglichst genaues Ergebnis zu erzielen, führen Sie die Prozeduren in der Reihenfolge aus, in der sie in diesem Artikel aufgeführt sind.

Überprüfen der Webanwendungseinstellungen

Bei einer SharePoint-Hybridbereitstellung können unidirektionale Benutzer Anforderungen an SharePoint in Microsoft 365 von jeder SharePoint Server-Webanwendung senden, die zur Verwendung der integrierten Windows-Authentifizierung mit NTLM konfiguriert ist.

Sie müssen beispielsweise sicherstellen, dass lokale Suchcenterwebsites, die Sie in Ihrer Lösung einsetzen möchten, für die mit NTML integrierte Windows-Authentifizierung konfiguriert sind. Ist das nicht der Fall, müssen Sie die Webanwendung entweder für die Verwendung der Windows-Authentifizierung mit NTLM konfigurieren oder eine Suchcenterwebsite für eine Webanwendung verwenden, die diese Anforderung erfüllt. Sie müssen auch sicherstellen, dass die Benutzer, die erwarten, dass Suchergebnisse von SharePoint in Microsoft 365 zurückgegeben werden, Verbundbenutzer sind.

So prüfen Sie, ob eine Webanwendung die Anforderung erfüllt.

  1. Vergewissern Sie sich, dass das Benutzerkonto, unter dem dieses Verfahren ausgeführt wird, Mitglied der SharePoint-Gruppe "Farmadministratoren" ist.

  2. Wählen Sie in der Zentraladministration Anwendungsverwaltung und dann Webanwendungen verwalten aus.

  3. Wählen Sie in der Spalte Name die Webanwendung, die Sie überprüfen möchten, und dann auf dem Menüband die Option Authentifizierungsanbieter aus.

  4. Wählen Sie im Dialogfeld Authentifizierungsanbieter in der Spalte Zone die Zone aus, der die Suchcenterwebsite zugeordnet ist.

  5. Vergewissern Sie sich, dass im Dialogfeld Authentifizierung bearbeiten die integrierte Windows-Authentifizierung und NTML (wie in der folgenden Abbildung gezeigt) aktiviert sind.

    Einstellung des Authentifizierungstyps für eine Webanwendung.

Konfigurieren von OAuth über HTTP (falls erforderlich)

OAuth in SharePoint Server erfordert standardmäßig HTTPS. Wenn Sie Ihre primäre Webanwendung so konfiguriert haben, dass sie HTTP anstatt SSL verwendet, , müssen Sie OAuth über HTTP auf jedem Webserver in Ihrer SharePoint Server-Farm aktivieren.

Hinweis

Wenn Sie Ihre primäre Webanwendung für die Verwendung von SSL konfiguriert haben, ist dieser Schritt nicht erforderlich.

Um OAuth über HTTP zu aktivieren, führen Sie die folgenden Befehle als Farmadministratorkonto an der SharePoint 2016-Verwaltungsshell-Eingabeaufforderung auf jedem Webserver in Ihrer SharePoint Server-Farm aus:

$serviceConfig = Get-SPSecurityTokenServiceConfig
$serviceConfig.AllowOAuthOverHttp = $true
$serviceConfig.Update()

Wenn Sie OAuth über HTTP für einen Test aktiviert haben, Ihre Umgebung aber für die Verwendung von SSL konfigurieren möchten, können Sie OAuth über HTTP deaktivieren, indem Sie die folgenden Befehle als Farmadministratorkonto an der SharePoint 2016-Verwaltungsshell-Eingabeaufforderung auf jedem Webserver in Ihrer SharePoint Server-Farm ausführen:

$serviceConfig = Get-SPSecurityTokenServiceConfig
$serviceConfig.AllowOAuthOverHttp = $false
$serviceConfig.Update()

Konfigurieren der Server-zu-Server-Authentifizierung zwischen lokalem SharePoint-Server und SharePoint in Microsoft 365

Dieser Abschnitt hilft Ihnen beim Einrichten der Server-zu-Server-Authentifizierung unter:

  • SharePoint Server

  • SharePoint in Microsoft 365

  • Microsoft Entra-ID

Wenn Sie die Server-zu-Server-Authentifizierung für Hybridumgebungen einrichten, erstellen Sie eine Vertrauensstellung zwischen Ihrer lokalen SharePoint-Farm und Ihrem SharePoint in Microsoft 365-Mandanten, der Microsoft Entra ID als vertrauenswürdigen Tokensignaturdienst verwendet. Durch das Hinzufügen der erforderlichen PowerShell-Module und -Snap-Ins kann dieses Verfahren in einem einzigen PowerShell-Fenster auf einem lokalen SharePoint-Webserver erfolgen.

Tipp

[!TIPP] Es ist empfehlenswert, die Schritte, die Sie durchführen, die PowerShell-Cmdlets, die Sie ausführen und die Fehler, die möglicherweise auftreten, zu protokollieren. Sie sollten den gesamten Inhalt des PowerShell-Puffers erfassen, wenn Sie fertig sind und bevor Sie das Fenster schließen. Damit erhalten Sie einen Verlauf der Schritte, die Sie vorgenommen haben, und dies kann hilfreich sein, wenn Sie Fehler im Prozess beheben oder den Prozess anderen erklären müssen. Außerdem dient dies als Gedächtnisstütze, wenn die Einrichtung schrittweise erfolgt.

Hier eine allgemeine Ansicht der Verfahren, die Sie in diesem Abschnitt durchführen müssen:

  1. Installieren von Onlinedienstverwaltungstools auf einem Webserver in Ihrer SharePoint Server-Farm.

  2. Konfigurieren der Server-zu-Server-Authentifizierung:

    • Festlegen von Variablen für nachfolgende Schritte.

    • Laden Sie das integrierte SharePoint Server STS-Zertifikat in SharePoint in Microsoft 365 hoch.

    • Hinzufügen eines Dienstprinzipalnamens (Service Principal Name bzw. SPN) zu Azure.

    • Registrieren der Prinzipalobjekt-ID der SharePoint in Microsoft 365-Anwendung mit lokalem SharePoint Server.

    • Konfigurieren eines allgemeinen Authentifizierungsbereichs zwischen Ihrer lokalen SharePoint Server-Farm und SharePoint in Microsoft 365.

    • Konfigurieren Sie einen lokalen Microsoft Entra-Anwendungsproxy.

Installieren von Online-Dienstverwaltungstools und konfigurieren des Windows PowerShell-Fensters

Für die weiteren Schritte müssen Sie diese Tools auf einem lokalen SharePoint Server-Webserver installieren:

  • Microsoft Graph PowerShell

  • SharePoint in Microsoft 365-Verwaltungsshell

Dies ist am einfachsten auf einem Webserver in Ihrer SharePoint-Farm möglich, da es einfacher ist , das Microsoft.SharePoint.PowerShell-Snap-In auf den Webservern zu laden als auf Servern, auf denen SharePoint Server nicht installiert ist.

Für die Authentifizierung bei SharePoint Server, SharePoint in Microsoft 365 und Microsoft Entra ID sind unterschiedliche Benutzerkonten erforderlich. Informationen zur Bestimmung des richtigen Kontos finden Sie unter Erforderliche Konten für die Konfiguration und das Testen der Hybridlösung.

Hinweis

Um die Schritte in diesem Abschnitt zu vereinfachen, öffnen wir ein PowerShell-Eingabeaufforderungsfenster auf einem SharePoint Server-Webserver und fügen die Module und Snap-Ins hinzu, mit denen Sie eine Verbindung mit SharePoint Server, SharePoint in Microsoft 365 und Microsoft Entra ID herstellen können. (Detaillierte Schritte dazu finden Sie weiter unten in diesem Artikel.) Wir lassen dieses Fenster dann geöffnet für die verbleibenden PowerShell-Schritte in diesem Artikel.

So installieren Sie die Online-Dienstverwaltungstools und konfigurieren das PowerShell-Fenster:

  1. Installieren der neuesten Version von Microsoft Graph PowerShell

  2. Installieren der SharePoint in Microsoft 365-Verwaltungsshell:

    SharePoint in Microsoft 365-Verwaltungsshell (64-Bit-Version)

    Weitere Informationen zur finden Sie unter Einführung in die SharePoint in Microsoft 365-Verwaltungsshell.

  3. Öffnen Sie ein PowerShell-Fenster.

  4. Um sicherzustellen, dass Sie den Puffer nicht vollständig füllen und keinen Teil Ihres Befehlsverlaufs verlieren, erhöhen Sie die Puffergröße des PowerShell-Fensters:

  5. Wählen Sie die obere linke Ecke des PowerShell-Fensters und anschließend Eigenschaften aus.

  6. Wählen Sie im PowerShell-Eigenschaftenfenster die Registerkarte Layout aus.

  7. Legen Sie den Wert im Feld Höhe unterhalb von Bildschirmpuffergröße auf 9999 fest, und wählen Sie anschließend OK aus.

  8. Mit diesem Schritt werden die Module, die Sie heruntergeladen haben, geladen, sodass Sie sie in Ihrer PowerShell-Sitzung verwenden können. Kopieren Sie die folgenden Befehle in Ihre PowerShell-Sitzung, und drücken Sie anschließend die Eingabetaste.

    Add-PSSnapin Microsoft.SharePoint.PowerShell
    Import-Module Microsoft.PowerShell.Utility
    Import-Module Microsoft.Graph
    

    Falls Sie später einen der Konfigurationsschritte erneut ausführen müssen, verwenden Sie diese Befehle erneut, um die erforderlichen Module und Snap-Ins in PowerShell zu laden.

  9. Geben Sie die folgenden Befehle ein, um sich über die PowerShell-Eingabeaufforderung bei SharePoint in Microsoft 365 anzumelden:

       Connect-MgGraph -Scopes "Group.ReadWrite.All","RoleManagement.ReadWrite.Directory","Organization.ReadWrite.All"
    

    Sie werden aufgefordert, sich anzumelden. Sie müssen sich mit einem globalen Microsoft 365-Administratorkonto anmelden. Sie können andere Möglichkeiten zum Herstellen einer Verbindung mit Microsoft Graph erkunden.

    Lassen Sie das PowerShell-Fenster geöffnet, bis sie alle in diesem Artikel beschriebenen Schritte durchgeführt haben. Sie benötigen es für eine Reihe von Prozeduren in den folgenden Abschnitten.

Konfigurieren der Server-zu-Server-Authentifizierung (S2S-Authentifizierung)

Nachdem Sie nun die Tools installiert haben, mit denen Sie Microsoft Entra ID und SharePoint in Microsoft 365 remote verwalten können, können Sie die Server-zu-Server-Authentifizierung einrichten.

Zu erstellende Variablen

In diesem Abschnitt werden die Variablen beschrieben, die Sie in der folgenden Prozedur festlegen. Diese Variablen enthalten wichtige Informationen, die noch in einer Reihe der verbleibenden Konfigurationsschritte verwendet werden.

Variable Kommentare
$spcn Der Stammdomänenname Ihrer öffentlichen Domäne. Dieser Wert sollte nicht in Form einer URL vorliegen. Es sollte nur der Domänennameohne Protokoll sein.
Ein Beispiel ist "adventureworks.com".
$spsite Die interne URL Ihrer lokalen primären Webanwendung, http://sharepoint oder https://sharepoint.adventureworks.com. Dies ist eine vollständige URL, die das richtige Protokoll (entweder http: oder https:// ) verwendet.
Dies ist die interne URL der Webanwendung, die Sie für hybride Funktionen verwenden.
Ein Beispiel ist "http://sharepoint" oder "https://sharepoint.adventureworks.com".
$site Das Objekt Ihrer lokalen primären Webanwendung. Der Befehl, mit dem diese Variable gefüllt wird, ruft das Objekt der Website, die Sie in der $spsite-Variablen angegeben haben, ab.
Diese Variable wird automatisch gefüllt.
$spoappid Die Anwendungsprinzipal-ID für SharePoint in Microsoft 365 lautet immer 00000003-0000-0ff1-ce00-0000000000000. Dieser generische Wert identifiziert SharePoint in Microsoft 365-Objekten in einer Microsoft 365-Organisation.
$spocontextID Die Kontext-ID (ObjectID) Ihres SharePoint in Microsoft 365-Mandanten. Dieser Wert ist eine eindeutige GUID, die Ihren SharePoint in Microsoft 365-Mandanten identifiziert.
Dieser Wert wird automatisch erfasst, sobald Sie den Befehl zum Festlegen der Variablen ausführen.
$metadataEndpoint Die URL, die von Ihrem Microsoft Entra ID-Proxy verwendet wird, um eine Verbindung mit Ihrem Microsoft Entra-Mandanten herzustellen.
Für diese Variable müssen Sie keinen Wert eingeben.

Schritt 1: Festlegen von Variablen

Nachdem Sie die Variablen identifiziert haben, die Sie festlegen müssen, legen Sie die Werte anhand der folgenden Anweisungen fest. Indem Sie die am häufigsten verwendeten Variablen vorab festlegen, sollten Sie die nachfolgenden Schritte schneller ausführen können. Diese Variablen behalten ihren Wert so lange, wie Sie die PowerShell-Sitzung nicht schließen. Achten Sie darauf, dass Sie genaue Informationen überall dort bereitstellen, wo spitzen Klammern (<>) angezeigt werden, und entfernen Sie die spitzen Klammern immer, bevor Sie den Befehl ausführen. Ändern Sie den Code nicht außerhalb der spitzen Klammern.

Hinweis

Wenn Sie einen oder mehrere dieser Konfigurationsschritte später wiederholen müssen, sollten Sie zunächst die folgenden PowerShell-Befehle in diesem Schritt ausführen, um die wichtigen Variablenwerte erneut einzugeben.

Kopieren Sie die folgenden Variablendeklarationen, und geben Sie sie in einen Texteditor wie Notepad ein. Legen Sie die für Ihr Unternehmen spezifischen Eingabewerte fest. Führen Sie über die PowerShell-Eingabeaufforderung, die Sie mit den Online-Dienstverwaltungstools erstellt haben, die Befehle aus.

$spcn="*.<public_root_domain_name>.com"
$spsite=Get-Spsite <principal_web_application_URL>
$site=Get-Spsite $spsite
$spoappid="00000003-0000-0ff1-ce00-000000000000"
$spocontextID = (Get-MgOrganization).Id
$metadataEndpoint = "https://accounts.accesscontrol.windows.net/" + $spocontextID + "/metadata/json/1"

Nachdem Sie die Werte dieser Variablen eingegeben haben, können Sie diese Werte anzeigen, indem Sie den Namen der entsprechenden Variablen in das PowerShell-Fenster eingeben. Wenn Sie beispielsweise eingeben $metadataEndpoint , wird ein Wert ähnlich dem folgenden zurückgegeben:

https://accounts.accesscontrol.windows.net/00fceb75-246c-4ac4-a0ad-7124xxxxxxxx/metadata/json/1

Schritt 2: Hochladen von STS-Zertifikaten auf SharePoint in Microsoft 365

In diesem Schritt laden Sie das STS-Zertifikat für Ihre SharePoint Server-Farm an Ihren SharePoint in Microsoft 365-Mandanten hoch, sodass SharePoint Server und SharePoint in Microsoft 365 sich gegenseitig mit ihren Serviceanwendungen verbinden und diese verwenden können.

Die Architektur, wenn ein STS-Zertifikat in SharePoint in Microsoft 365 hochgeladen wird

Die Befehle in diesem Schritt fügen das lokale STS-Zertifikat (nur öffentlicher Schlüssel) dem SharePoint in Microsoft 365-Prinzipalobjekt Ihrer Microsoft 365-Organisation hinzu.

Geben Sie an der PowerShell-Eingabeaufforderung die folgenden Befehle ein:

$Cert = (Get-SPSecurityTokenServiceConfig).LocalLoginProvider.SigningCertificate

$principal = Get-MgServicePrincipal -Filter "AppId eq '$spoappid’” -Property "Id,DisplayName,KeyCredentials,AppId"

$existingCerts = $principal.KeyCredentials

$keyCredentials = @(@{ Type = "AsymmetricX509Cert"; Usage = "Verify"; Key = $Cert.RawData; KeyId = New-Guid; StartDateTime = $Cert.NotBefore; EndDateTime = $Cert.NotAfter; })

$noUpdate = $false

foreach($existingCert in $existingCerts) {

    if ([string]$existingCert.Key -eq [string]$Cert.RawData) {

        $noUpdate = $true

        break

    }

    else {

        $existingCert.Key = $null

        $keyCredentials += $existingCert

    }
}

if (-Not $noUpdate) {

     Update-MgServicePrincipal -ServicePrincipalId $principal.Id -KeyCredentials $keyCredentials

}

Schritt 3: Hinzufügen eines SPN für Ihren öffentlichen Domänennamen zur Microsoft Entra-ID

In diesem Schritt fügen Sie Ihrem Microsoft Entra-Mandanten einen Dienstprinzipalnamen (Service Principal Name, SPN) hinzu. Das Prinzipalobjekt SharePoint in Microsoft 365 und der öffentliche DNS-Namespace Ihres Unternehmens bilden den SPN.

Genau wie SPNs in Active Directory registriert das Erstellen dieses SPNs ein Objekt in Microsoft Entra ID, das zur Unterstützung der gegenseitigen Authentifizierung zwischen SharePoint Server und SharePoint in Microsoft 365 verwendet wird. Die grundlegende Syntax für den SPN lautet:

<Diensttyp>/<Instanzname>

Dabei gilt:

  • <der Diensttyp> ist das SharePoint in Microsoft 365-Prinzipalobjekt, das für alle SharePoint-Mandanten in Microsoft 365-Mandanten identisch ist.

  • <instance name> ist die URL des öffentlichen DNS-Namespace des Unternehmens, die stets als Platzhalter ausgedrückt wird, auch wenn das Secure-Channel-Zertifikat bzw. SSL-Zertifikat ein SAN-Zertifikat ist.

Hier ein Beispiel:

00000003-0000-0ff1-ce00-000000000000/*.<public domain name>.com

Wenn der allgemeine Name in Ihrem Zertifikat sharepoint.adventureworks.com ist, sieht die Syntax des SPN wie folgt aus:

00000003-0000-0ff1-ce00-000000000000/*.adventureworks.com

Mithilfe eines Wildcardwerts kann SharePoint in Microsoft 365 Verbindungen mit jedem Host in dieser Domäne überprüfen. Dies ist nützlich, falls Sie den Hostnamen des externen Endpunkts (sofern Ihre Topologie über einen solchen verfügt) oder Ihre SharePoint Server-Webanwendung einmal ändern müssen.

Um den SPN zur Microsoft Entra-ID hinzuzufügen, geben Sie die folgenden Befehle in die Microsoft Graph PowerShell-Eingabeaufforderung ein.

$msp = Get-MgServicePrincipal -Filter "AppId eq '$spoappid'"
$params =@{
  "servicePrincipalNames"="$spoappid/$spcn"
}
Update-MgServicePrincipal -ServicePrincipalId $msp.Id -BodyParameter $params

Um zu überprüfen, ob der SPN festgelegt wurde, geben Sie die folgenden Befehle in der Microsoft Graph PowerShell-Eingabeaufforderung ein.

$msp = Get-MgServicePrincipal -Filter "AppId eq '$spoappid'"
$spns = $msp.ServicePrincipalNames
$spns

Ihnen sollte nun eine aktuelle Liste der SPNs für SharePoint in Microsoft 365 in Ihrer Microsoft 365-Organisation angezeigt werden, und einer der SPNs sollte den Namen Ihrer öffentlichen Stammdomäne enthalten (angeführt von der Prinzipal-ID der SharePoint in Microsoft 365-Anwendung). Diese Registrierung ist eine Platzhalterregistrierung und sollte dem folgenden Beispiel ähneln:

00000003-0000-0ff1-ce00-000000000000/*.<public domain name>.com

Dies sollte der einzige SPN in der Liste sein, der Ihren öffentlichen Stammdomänennamen enthält.

Schritt 4: Registrieren der Prinzipalobjekt-ID der SharePoint in Microsoft 365-Anwendung mit SharePoint Server.

In diesem Schritt wird die ID des SharePoint in Microsoft 365-Anwendungsprinzipalobjekts im lokalen SharePoint in Microsoft 365-Anwendungsverwaltungsdienst gespeichert, wodurch SharePoint Server mittels OAuth SharePoint in Microsoft 365 authentifizieren kann.

Geben Sie an der PowerShell-Eingabeaufforderung die folgenden Befehle ein:

$spoappprincipalID  = (Get-MgServicePrincipal -Filter "AppId eq '$spoappid'").Id
$sponameidentifier = "$spoappprincipalID@$spocontextID"
$appPrincipal = Register-SPAppPrincipal -site $site.rootweb -nameIdentifier $sponameidentifier -displayName "SharePoint"

Um diesen Schritt zu überprüfen, geben Sie an der PowerShell-Eingabeaufforderung die Variable „$appPrincipal ein:

$appPrincipal | fl

Die erwartete Ausgabe ist eine Beschreibung des registrierten Anwendungsprinzipals namens SharePoint Online und sollten diesem Beispiel ähneln.

Registrierter Anwendungsprinzipal für SharePoint in Microsoft 365

Schritt 5: Festlegen des SharePoint in Microsoft 365-Authentifizierungsbereichs

In diesem Schritt wird der Authentifizierungsbereich Ihrer SharePoint Server-Farm auf die Kontext-ID der Microsoft 365-Organisation der Organisation festgelegt.

Geben Sie an der PowerShell-Eingabeaufforderung den folgenden Befehl ein:

Set-SPAuthenticationRealm -realm $spocontextID

Um diesen Schritt zu überprüfen, geben Sie an der PowerShell-Eingabeaufforderung due folgenden Befehle ein:

$spocontextID
Get-SPAuthenticationRealm

Die Ausgabe der einzelnen Befehle ist die GUID, die die Kontext-ID der SharePoint in Microsoft 365-Mandanten darstellt. Diese GUIDs müssen identisch sein.

Wichtig

[!WICHTIGER HINWEIS] Sollten Sie Farmsetupskripte konfiguriert haben, die den Wert des Farmauthentifizierungsbereichs angeben, sollten Sie die Setupskripte mit diesem neuen Wert aktualisieren, bevor Sie sie erneut ausführen. > Weitere Informationen zu den Anforderungen für Bereichswerte in Farmsetupskripts finden Sie unter Planen der Server-zu-Server-Authentifizierung in SharePoint Server. Da Sie diese SharePoint-Farm jetzt so konfiguriert haben, dass sie Teil der Hybridkonfiguration ist, muss der Wert des SharePoint-Farmauthentifizierungsbereichs immer mit der Instanzkontext-ID übereinstimmen. Falls Sie diesen Wert ändern, ist die Farm nicht länger Teil der Hybridfunktionalität.

Schritt 6: Konfigurieren eines lokalen Proxys für Microsoft Entra ID

In diesem Schritt erstellen Sie einen Microsoft Entra ID-Proxydienst in der SharePoint Server-Farm. Dadurch wird Microsoft Entra ID als vertrauenswürdiger Tokenaussteller aktiviert, den SharePoint Server zum Signieren und Authentifizieren von Anspruchstoken von SharePoint in Microsoft 365 verwendet.

Geben Sie an der PowerShell-Eingabeaufforderung die folgenden Befehle ein:

New-SPAzureAccessControlServiceApplicationProxy -Name "ACS" -MetadataServiceEndpointUri $metadataEndpoint -DefaultProxyGroup
New-SPTrustedSecurityTokenIssuer -MetadataEndpoint $metadataEndpoint -IsTrustBroker:$true -Name "ACS"

So überprüfen Sie den Befehl New-SPAzureAccessControlServiceApplicationProxy:

  1. Blättern Sie durch die SharePoint 2016-Zentraladministration-Website, und klicken Sie auf Sicherheit>Allgemeine Sicherheit>Vertrauensstellung verwalten.

  2. Stellen Sie sicher, dass ein Eintrag mit einem Namen vorhanden ist, der mit ACS beginnt und vom Typ Vertrauenswürdiger Dienstconsumer ist.

    Um diesen Schritt zu überprüfen, geben Sie an der PowerShell-Eingabeaufforderung den folgenden Befehl ein.

    Get-SPTrustedSecurityTokenIssuer
    

    Die Ausgabe, die erwartet wird, ist eine Beschreibung des vertrauenswürdigen Tokenherausgebers der Farm, dessen Wert der RegisteredIssuerName-Eigenschaft wie folgt lautet:

    00000001-0000-0000-c000-000000000000@<context ID>

    Dabei gilt:

    • <context ID> ist die Kontext-ID Ihres SharePoint-Mandanten in Microsoft 365, die der Wert in der $spocontextID Variablen ist.

Ab Oktober 2021 ist ein zusätzlicher Schritt erforderlich, um eine vorhandene SharePoint-Hybridkonfiguration anzupassen, um mit der neuen Microsoft 365-Suchmaschine zu arbeiten und sich zu authentifizieren.

Das Skript muss auf einem Server ausgeführt werden, auf dem SharePoint lokal installiert ist (2013, 2016 oder 2019). Das Skript versucht, die erforderlichen Modulabhängigkeiten (MSOnline, AzureAD) auf dem Server zu installieren, auf dem es ausgeführt wird.

  1. Laden Sie das Konfigurationsskript herunter.

  2. Führen Sie das Skript aus dem Verzeichnis aus, in das das Skript heruntergeladen wurde, mithilfe des Lokalen SharePoint-Farmadministratorkontos aus, und verwenden Sie dabei den folgenden Befehl:

    Update-FederatedHybridSearchForM365.ps1 -HybridWebApp YourHybridWebApplication -Force
    

    Führen Sie den folgenden Befehl aus, um weitere Informationen zu den Parameterwerten zu erfahren:

    Get-Help .\Update-FederatedHybridSearchForM365.ps1
    
  3. Melden Sie sich mit dem globalen Microsoft 365-Administratorkonto an, wenn Sie dazu aufgefordert werden.

  4. Warten Sie, bis die Skriptausführung abgeschlossen ist. Wenn Probleme auftreten, wenden Sie sich an den Microsoft-Support.

  5. Nach der Skriptausführung werden Benutzern keine Änderungen angezeigt, wenn diese Änderung implementiert ist.

Schritt 8 (nur für SharePoint Server 2013 erforderlich): Erteilen der Berechtigung "Neuer App-Prinzipal" "QueryAsUserIgnoreAppPrincipal"

SharePoint Server 2013 benötigt in jeder Verbundabfrage eine ausgeblendete Einschränkung. Der Reverseproxy gibt die Dokumente zurück, die am Reverseproxystandort selbst indiziert sind, nicht wie erwartet an der internen lokalen Suchwebsite. Um dies zu vermeiden, müssen Sie die folgenden Schritte auf Ihrer SharePoint Server 2013-Administratorwebsite ausführen:

  1. Navigieren Sie zu und suchen Sie nach <CentralAdminURL>/_layouts/appinv.aspxc3959f3a-5ad4-4d2b-b1f0-bc70f9a5d0a1. Dort sollten Sie den Bot skill für die Grönland-Verbundsuche finden.

  2. Wenn im Feld App-Domäne Elemente vorhanden sind, lassen Sie sie belassen. Wenn es leer ist, verwenden Sie localhost.

  3. Verwenden Sie in der Umleitungs-URL https://localhost.

  4. Fügen Sie im Feld Permission Request XML (Berechtigungsanforderungs-XML) den folgenden XML-Auszug ein:

    <AppPermissionRequests>
    <AppPermissionRequest Scope="http://sharepoint/search" Right="QueryAsUserIgnoreAppPrincipal" />
    </AppPermissionRequests>
    
  5. Die Konfigurationsseite sollte in etwa wie im folgenden Screenshot angezeigt werden. Wählen Sie abschließend Erstellen aus.

Erteilen der QueryAsUserIgnoreAppPrincipal-Berechtigung für app

Überprüfung und weitere Schritte

Prüfen Sie nach Abschluss der Aufgaben in diesem Thema und der entsprechenden Validierungsschritte die Einrichtung von SSO und Verzeichnissynchronisierung.

Sie sollten den gesamten Inhalt des PowerShell-Puffers in einer Datei speichern, damit Sie einen Überblick über den Verlauf der Schritte haben, die Sie durchgeführt haben. Dies ist insbesondere dann hilfreich, wenn Sie Ihren Konfigurationsverlauf für die Problembehandlung oder aus einem anderen Grund nachvollziehen müssen. Außerdem hilft es Ihnen, wieder genau da anzusetzen, wo Sie zuletzt aufgehört haben, wenn die Konfiguration mehrere Tage dauert oder von mehrere Personen durchgeführt wird.

Nachdem Sie die Konfigurationsaufgaben in diesem Artikel abgeschlossen und überprüft haben, fahren Sie mit Ihrer Konfigurationsroadmap fort.

Siehe auch

Hybridlösung für SharePoint Server

Installieren und Konfigurieren von SharePoint Server Hybrid