Partager via

Configurer l’authentification basée sur un serveur avec SharePoint on-premises

  • Article

L’intégration de SharePoint basée sur un serveur pour la gestion de documents peut être utilisée pour connecter des applications d’engagement client (Dynamics 365 Sales, Dynamics 365 Customer Service, Dynamics 365 Field Service, Dynamics 365 Marketing et Dynamics 365 Project Service Automation), avec SharePoint local. Lorsque vous utilisez l’authentification basée sur serveur, les services de domaine Microsoft Entra jouent le rôle de courtier et les utilisateurs n’ont pas besoin de se connecter à SharePoint.

Autorisations requises

Les adhésions et privilèges suivants sont requis pour activer la gestion de documents SharePoint.

  • Adhésion d’administrateur général Microsoft 365 – ceci est obligatoire pour :

    • Accès de niveau administratif à l’abonnement Microsoft 365.
    • Exécution de l’Assistant Activer l’authentification basée sur un serveur.
    • Exécution des applets de commande AzurePowerShell.

  • Privilège Exécuter l’Assistant Intégration SharePoint Power Apps. Il est requis pour exécuter l’Assistant d’activation de l’authentification basée sur serveur.

    Par défaut, l’administrateur système possède ce privilège.

  • Pour l’intégration locale de SharePoint, l’appartenance au groupe Administrateurs de batterie SharePoint. Ceci est obligatoire pour exécuter la plupart des commandes PowerShell sur le serveur SharePoint.

Configurer l’authentification entre serveurs avec SharePoint on-premises

Suivez les étapes dans l’ordre indiqué pour configurer les applications d’engagement client avec SharePoint 2013 en local.

Important

La procédure décrite ici doit être exécutée dans l’ordre indiqué. Si une tâche n’est pas terminée, comme une commande PowerShell qui renvoie un message d’erreur, le problème doit être résolu avant de passer à la commande, à la tâche ou à l’étape suivante.

Vérification des conditions préalables requises

Avant de configurer les applications d’engagement client et SharePoint en local pour l’authentification basée sur serveur, la configuration requise suivante doit être satisfaite :

Conditions préalables SharePoint

  • SharePoint 2013 (local) avec le Service Pack 1 (SP1) ou une version ultérieure

    Important

    Les versions SharePoint Foundation 2013 ne sont pas prises en charge pour une utilisation avec la gestion de documents des applications d’engagement client.

  • Installez la mise à jour cumulative (CU) d’avril 2019 pour la Famille de produits SharePoint 2013. Cette CU d’avril 2019 comprend tous les Correctifs SharePoint 2013 (y compris tous les correctifs de sécurité de SharePoint 2013) publiés depuis le SP1. La CU d’avril 2019 n’inclut pas SP1. Vous devez installer SP1 avant d’installer la CU d’avril 2019. Plus d’information : KB4464514 SharePoint Server 2013 Avril 2019 CU

  • Configuration de SharePoint

    • Si vous utilisez SharePoint 2013, pour chaque batterie SharePoint, une seule application d’engagement client peut être configurée pour l’intégration basée sur serveur.

    • Le site Web de SharePoint doit être accessible par Internet. Un proxy inverse peut également être nécessaire pour l’authentification SharePoint . Informations complémentaires : Configuration d’un proxy inverse pour serveur SharePoint 2013 hybride

    • Le site Web de SharePoint doit être configuré pour utiliser SSL/TCP (HTTPS) sur le port 443 (aucun port personnalisé n’est pris en charge) et le certificat doit être émis par une autorité de certification racine publique. Informations complémentaires : SharePoint : À propos des certificats SSL de canal sécurisé

    • Une propriété utilisateur fiable à utiliser pour le mappage de l’authentification basée sur les revendications entre SharePoint et les applications d’engagement client. Plus d’informations : Sélection d’un type de mappage de revendications

    • Le service de recherche SharePoint doit être activé pour le partage de documents. Informations complémentaires : Créer et configurer une application de service de recherche dans SharePoint Server

    • Pour la fonctionnalité de gestion des documents lors de l’utilisation des applications mobiles Dynamics 365, le serveur SharePoint local doit être disponible via Internet.

Autres conditions préalables

  • Licence SharePoint Online. L’authentification basée sur serveur des applications d’engagement client à SharePoint local doit avoir le nom de principal du service (SPN) SharePoint enregistré dans Microsoft Entra ID. Pour ce faire, au moins une licence utilisateur SharePoint Online est requise. La licence SharePoint Online peut dériver d’une seule licence utilisateur et provient généralement de l’un des éléments suivants :

    • Un abonnement SharePoint Online. Tout plan SharePoint Online est suffisant même si la licence n’est pas affectée à un utilisateur.

    • Un abonnement Microsoft 365 incluant SharePoint Online. Par exemple, si Microsoft 365 E3 est installé, vous disposez de la licence appropriée même si elle n’est pas affectée à un utilisateur.

      Pour plus d’informations sur ces plans, voir Trouvez la bonne solution pour vous et Comparer les options SharePoint

  • Les fonctionnalités logicielles suivantes sont nécessaires pour exécuter les applets de commande PowerShell décrites dans cette rubrique.

    • Microsoft Connexion aux services en ligne Assistant pour les professionnels de l’informatique bêta

    • MSOnlineExt

    • Pour installer le module MSOnlineExt, entrez la commande suivante à partir d’une session PowerShell administrateur. PS> Install-Module -Name "MSOnlineExt"

    Important

    Au moment de la rédaction de cet article, il existe un problème avec la version RTW de Microsoft Online Services Sign-In Assistant pour les professionnels de l’informatique. Jusqu’à ce que ce problème soit résolu, il est recommandé d’utiliser la version Bêta. Pour plus d’informations : Forums Microsoft Azure : Impossible d’installer le module Microsoft Entra pour Windows PowerShell. MOSSIA n’est pas installé.

  • Type approprié de mappage de l’authentification basée sur les revendications à utiliser pour mapper les identités entre les applications d’engagement client et SharePoint local. Par défaut, l’adresse de messagerie est utilisée. Plus d’informations : Autoriser les applications d’engagement client à accéder à SharePoint et à configurer le mappage de l’authentification basée sur les revendications

Mettre à jour SharePoint Server SPN dans les services du domaine Microsoft Entra

Sur le serveur SharePoint local, dans le SharePoint 2013 Management Shell, exécutez les commandes PowerShell dans l’ordre indiqué.

  1. Préparez la session de PowerShell.

    Les applets de commande suivantes permettent à l’ordinateur de recevoir des commandes à distance et d’ajouter des modules Microsoft 365 à la session PowerShell. Pour plus d’informations sur ces applets de commande, voir Applets de commande principales de Windows PowerShell.

    Enable-PSRemoting -force  
New-PSSession  
Import-Module MSOnline -force  
Import-Module MSOnlineExtended -force

  2. Connectez-vous à Microsoft 365.

    Lorsque vous exécutez la commande Connect-MsolService, vous devez fournir un compte valide disposant d’un abonnement d’administrateur global pour la licence en ligne requise. Microsoft SharePoint

    Pour plus d’informations sur chacune des commandes Microsoft Entra ID PowerShell répertoriées ici, voir Gérer Microsoft Entra à l’aide de Windows PowerShell

    $msolcred = get-credential  
connect-msolservice -credential $msolcred

  3. Définissez le nom de l’hôte SharePoint.

    La valeur que vous définissez pour la variable HostName doit être le nom d’hôte complet de la collection de sites SharePoint . Le nom d’hôte doit être dérivé de l’URL de la collection de sites et est sensible à la casse. Dans cet exemple, l’URL de la collection de sites est <https://SharePoint.constoso.com/sites/salesteam>, donc le nom d’hôte est le suivant : SharePoint.contoso.com.

    $HostName = "SharePoint.contoso.com"

  4. Procurez-vous l’ID d’objet Microsoft 365 (client) et le nom de principal de service (SPN) du serveur SharePoint.

    $SPOAppId = "00000003-0000-0ff1-ce00-000000000000"  
$SPOContextId = (Get-MsolCompanyInformation).ObjectID  
$SharePoint = Get-MsolServicePrincipal -AppPrincipalId $SPOAppId  
$ServicePrincipalName = $SharePoint.ServicePrincipalNames

  5. Définissez le nom de principal du service (SPN) du serveur SharePoint dans Microsoft Entra ID.

    $ServicePrincipalName.Add("$SPOAppId/$HostName")   
Set-MsolServicePrincipal -AppPrincipalId $SPOAppId -ServicePrincipalNames $ServicePrincipalName

    Une fois ces commandes achevées, ne fermez pas SharePoint 2013 Management Shell, et procédez à l’étape suivante.

Mise à jour du domaine SharePoint pour qu’il corresponde à celui de SharePoint Online

Sur le serveur SharePoint local, dans le SharePoint 2013 Management Shell, exécutez cette commande Windows PowerShell.

La commande suivante nécessite l’appartenance administrateur de batterie SharePoint et définit le domaine d’authentification de SharePoint sur la batterie locale.

Avertissement

L’exécution de cette commande modifie le domaine d’authentification de la batterie SharePoint locale. Pour les applications qui utilisent un service d’émission de jeton de sécurité (STS) existant, cela peut entraîner un comportement inattendu avec d’autres applications qui utilisent les jetons d’accès. Pour plus d’informations, voir Set-SPAuthenticationRealm.

Set-SPAuthenticationRealm -Realm $SPOContextId

Créer un émetteur de jeton de sécurité de confiance pour Microsoft Entra ID sur SharePoint

Sur le serveur SharePoint local, dans le SharePoint 2013 Management Shell, exécutez les commandes PowerShell dans l’ordre indiqué.

Les commandes suivantes requièrent l’appartenance administrateur de batterie SharePoint .

Pour plus d’informations sur ces commandes PowerShell, voir Utiliser les applets de commande Windows PowerShell pour administrer la sécurité dans SharePoint 2013.

  1. Activez la session PowerShell pour modifier le service d’émission de jeton de sécurité pour la batterie SharePoint.

    $c = Get-SPSecurityTokenServiceConfig  
$c.AllowMetadataOverHttp = $true  
$c.AllowOAuthOverHttp= $true  
$c.Update()

  2. Définissez le point de terminaison des métadonnées.

    $metadataEndpoint = "https://accounts.accesscontrol.windows.net/" + $SPOContextId + "/metadata/json/1"  
$acsissuer = "00000001-0000-0000-c000-000000000000@" + $SPOContextId  
$issuer = "00000007-0000-0000-c000-000000000000@" + $SPOContextId

  3. Créez le nouveau proxy d’application du service de contrôle de jeton dans Microsoft Entra ID.

    New-SPAzureAccessControlServiceApplicationProxy -Name "Internal" -MetadataServiceEndpointUri $metadataEndpoint -DefaultProxyGroup

    Note

    La commande New- SPAzureAccessControlServiceApplicationProxy peut retourner un message d’erreur pour indiquer qu’un proxy d’application du même nom existe déjà. Si le proxy d’application nommé existe déjà, vous pouvez ignorer l’erreur.

  4. Créez le nouvel émetteur du service de contrôle de jeton dans SharePoint local pour Microsoft Entra ID.

    $acs = New-SPTrustedSecurityTokenIssuer –Name "ACSInternal" –IsTrustBroker:$true –MetadataEndpoint $metadataEndpoint -RegisteredIssuerName $acsissuer

Autoriser les applications d’engagement client à accéder à SharePoint et à configurer le mappage de l’authentification basée sur les revendications

Sur le serveur SharePoint local, dans le SharePoint 2013 Management Shell, exécutez les commandes PowerShell dans l’ordre indiqué.

Les commandes suivantes requièrent l’appartenance Administrateur de collection de sites SharePoint.

  1. Enregistrez les applications d’engagement client avec la collection de sites SharePoint.

    Entrez l’URL de la collection de sites SharePoint en local. Dans cet exemple, https://sharepoint.contoso.com/sites/crm/ est utilisé.

    Important

    Pour réaliser cette commande, le proxy d’applications de service de gestion des applications SharePoint doit exister et être en cours d’exécution. Pour savoir comment démarrer et configurer le service, voir la sous-rubrique Configuration des paramètres d’abonnement et des applications de service de gestion d’applications dans Configuration d’un environnement pour les applications pour SharePoint (SharePoint 2013).

    $site = Get-SPSite "https://sharepoint.contoso.com/sites/crm/"  
Register-SPAppPrincipal -site $site.RootWeb -NameIdentifier $issuer -DisplayName "crm"

  2. Accordez aux applications d’engagement client l’accès au site SharePoint. Remplacez https://sharepoint.contoso.com/sites/crm/ par votre URL de site SharePoint.

    Note

    Dans l’exemple ci-dessous, l’application d’engagement client est autorisée à accéder à la collection de sites SharePoint spécifiée à l’aide du paramètre de collection de sites Étendue. Le paramètre Étendue accepte les options suivantes. Choisissez l’étendue la plus appropriée pour votre configuration SharePoint.

    • site. Autorise les applications d’engagement client à accéder uniquement au site web SharePoint spécifié. Il n’autorise pas l’accès aux sous-sites du site nommé.
      • sitecollection. Autorise les applications d’engagement client à accéder à tous les sites web et sous-sites de la collection de sites SharePoint spécifiée.
      • sitesubscription. Autorise les applications d’engagement client à accéder à tous les sites web de la batterie SharePoint, notamment l’ensemble des collections de sites, sites web et sous-sites.
    $app = Get-SPAppPrincipal -NameIdentifier $issuer -Site "https://sharepoint.contoso.com/sites/crm/"  
Set-SPAppPrincipalPermission -AppPrincipal $app -Site $site.Rootweb -Scope "sitecollection" -Right "FullControl"

  3. Définissez le type de mappage de l’authentification basée sur les revendications

    Important

    Par défaut, l’authentification basée sur les revendications mappage utilisera l’adresse e-mail du compte de l’utilisateur et l’adresse e-mail professionnelle de l’utilisateur pour mappage. Microsoft SharePoint Lorsque vous utilisez ceci, les adresses de messagerie de l’utilisateur doivent être identiques dans les deux systèmes. Pour plus d’informations, voir Sélection d’un type de mappage de l’authentification basée sur les revendications.

    $map1 = New-SPClaimTypeMapping -IncomingClaimType "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress" -IncomingClaimTypeDisplayName "EmailAddress" -SameAsIncoming

Exécuter l’assistant Activer l’intégration SharePoint basée sur un serveur

Procédez comme suit :

  1. Vérifiez que vous disposez de l’autorisation appropriée pour exécuter l’Assistant. Plus d’informations : consultez Autorisations requises

  2. Accédez à Paramètres>Gestion des documents.

  3. Dans la zone Gestion des documents, cliquez sur Activer l’intégration SharePoint basée sur un serveur.

  4. Consultez les informations, puis cliquez sur Suivant.

  5. Pour les sites SharePoint, cliquez sur Local, puis sur Suivant.

  6. Entrez l’URL de la collection de sites SharePoint en local, sous la forme https://sharepoint.contoso.com/sites/crm, par exemple. Le site doit être configuré pour SSL.

  7. Cliquez sur Suivant.

  8. La section de validation des sites apparaît. Si tous les sites sont déterminés valides, cliquez sur Activer. Si un ou plusieurs sites sont déterminés non valides, voir Dépannage de l’authentification basée sur serveur.

Sélectionnez les entités à inclure dans la gestion des documents

Par défaut, les entités Compte, Article, Prospect, Produit, Devis Documentation commerciale sont incluses. Vous pouvez ajouter ou supprimer les entités qui seront utilisées pour la gestion de documents avec SharePoint dans Paramètres de gestion des documents. Accédez à Paramètres>Gestion des documents. Pour plus d’informations, voir Activer la gestion des documents sur des entités

Ajout de l’intégration de OneDrive Entreprise

Une fois que vous avez effectué la configuration de l’authentification basée sur serveur pour les applications d’engagement client et SharePoint local, vous pouvez également intégrer OneDrive Entreprise. Avec l’intégration des applications d’engagement client et de OneDrive Entreprise, les utilisateurs peuvent créer et gérer des documents privés avec OneDrive Entreprise. Ces documents sont accessibles dès que l’administrateur système a activé OneDrive Entreprise.

Activer OneDrive Entreprise

Sur Windows Server où SharePoint Server local s’exécute, ouvrez le SharePoint Management Shell et exécutez les commandes suivantes :

Add-Pssnapin *  
# Access WellKnown App principal  
[Microsoft.SharePoint.Administration.SPWebService]::ContentService.WellKnownAppPrincipals  
  
# Create WellKnown App principal  
$ClientId = "00000007-0000-0000-c000-000000000000"  
$PermissionXml = "<AppPermissionRequests AllowAppOnlyPolicy=""true""><AppPermissionRequest Scope=""http://sharepoint/content/tenant"" Right=""FullControl"" /><AppPermissionRequest Scope=""http://sharepoint/social/tenant"" Right=""Read"" /><AppPermissionRequest Scope=""http://sharepoint/search"" Right=""QueryAsUserIgnoreAppPrincipal"" /></AppPermissionRequests>"  
  
$wellKnownApp= New-Object -TypeName "Microsoft.SharePoint.Administration.SPWellKnownAppPrincipal" -ArgumentList ($ClientId, $PermissionXml)  
  
$wellKnownApp.Update()

Sélection d’un type de mappage de l’authentification basée sur les revendications

Par défaut, l’authentification basée sur les revendications mappage utilisera l’adresse e-mail du compte de l’utilisateur et l’adresse e-mail professionnelle de l’utilisateur pour mappage. Microsoft SharePoint Notez que, quel que soit le type d’authentification basée sur les revendications que vous utilisez, les valeurs telles que les adresses de messagerie, doivent être identiques entre les applications d’engagement client et SharePoint. La synchronisation du répertoire Microsoft 365 peut être utile. Plus d’informations : Déployer la synchronisation d’annuaires Microsoft 365 dans Microsoft Azure. Pour utiliser un autre type de mappage d’authentification basée sur les revendications, voir Définition d’un mappage de revendication personnalisé pour l’intégration basée sur SharePoint.

Important

Pour activer la propriété de messagerie de travail, le SharePoint local doit avoir une application de service Profil utilisateur configurée et démarrée. Pour activer une application de service Profil utilisateur dans SharePoint, voir Création, modification ou suppression d’applications de service Profil utilisateur dans SharePoint Server 2013. Pour apporter des modifications à une propriété d’utilisateur, comme la messagerie de travail, voir Modification d’une propriété de profil utilisateur. Pour plus d’informations sur l’application de service Profil utilisateur, voir Vue d’ensemble de l’application de service Profil utilisateur dans SharePoint Server 2013.

Voir aussi

Dépannage de l’authentification basée sur le serveur
Configurer l’intégration avec les applications d’engagement client SharePoint