שתף באמצעות

קביעת התצורה של אימות מבוסס-שרת עם SharePoint המקומי

  • מאמר

ניתן להשתמש בשילוב SharePoint מבוסס שרת עבור ניהול מסמכים כדי לחבר יישומי Customer Engagement ‏(Dynamics 365 Sales, ‏Dynamics 365 Customer Service,‏ Dynamics 365 Field Service, ‏Dynamics 365 Marketing, ו- Dynamics 365 Project Service Automation), עם SharePoint מקומי. בעת שימוש באימות המבוסס על שרת, Microsoft Entra Domain Services משמש כמתווך יחסי האמון, והמשתמשים לא צריכים להיכנס ל- SharePoint.

ההרשאות הנדרשות

החברות וההרשאות הבאות נדרשות כדי לאפשר ניהול מסמכים של SharePoint.

  • Microsoft 365 ‏‫חברות בקבוצת המנהלים הכלליים - נדרשת לצורך:

    • גישה ברמת הניהול למנוי ל- Microsoft 365.
    • הפעלת האשף 'הפעלת אימות מבוסס-שרת'.
    • הפעלת cmdlets של AzurePowerShell.

  • ההרשאה הפעלת אשף שילוב SharePoint של Power Apps. הדבר נדרש כדי להפעיל את אשף 'אימות מבוסס-שרת'.

    כברירת מחדל, לתפקיד האבטחה מנהל מערכת יש הרשאה זו.

  • לשילוב מקומי של SharePoint, חברות בקבוצה 'מנהלי חוה' של SharePoint. נדרש כדי להפעיל את רוב פקודות PowerShell בשרת SharePoint.

הגדרת אימות בין שרתים עם SharePoint מקומי

בצע את הפעולות בסדר הבא כדי להגדיר את יישומי Customer Engagement עם SharePoint 2013 מקומי.

חשוב

יש להשלים את השלבים המתוארים כאן בסדר שצוין. אם פעילות מסוימת לא הושלמה, כגון פקודת PowerShell מחזירה הודעת שגיאה, יש לפתור את הבעיה לפני שתמשיך לפקודה הבאה, לפעילות או לשלב הבא.

אימות דרישות מוקדמות

לפני שתגדיר את יישומי Customer Engagement ו- SharePoint מקומי עבור אימות מבוסס-שרת, יש לעמוד בתנאים המוקדמים הבאים:

דרישות מוקדמות של SharePoint

  • SharePoint 2013 (מקומי) עם Service Pack 1‏ (SP1) או גירסה מתקדמת יותר

    חשוב

    גירסאות SharePoint Foundation 2013 אינן נתמכות לשימוש עם ניהול מסמכים של יישומי Customer Engagement.

  • התקן את העדכון המצטבר (CU) של אפריל 2019 עבור משפחת מוצרי SharePoint 2013. העדכון המצטבר של אפריל 2019 כולל את כל תיקוני SharePoint 2013 (לרבות כל תיקוני האבטחה של SharePoint 2013) שפורסמו מאז SP1. העדכון המצטבר של אפריל 2019 אינו כולל את SP1. עליך להתקין את SP1 לפני התקנת העדכון המצטבר של אפריל 2019. מידע נוסף: מאמר KB4464514 על עדכון מצטבר של אפריל 2019 עבור SharePoint Server 2013

  • תצורת SharePoint

דרישות מוקדמות אחרות

  • רישיון SharePoint Online. אימות מבוסס-שרת של יישומי Customer Engagement ל- SharePoint מקומי חייב שהשם הראשי של השירות (SPN) של SharePoint יהיה רשום ב- Microsoft Entra ID. כדי להשיג זאת, נדרש לפחות רישיון משתמש אחד של SharePoint Online. ניתן לגזור רישיון SharePoint Online מתוך רישיון משתמש יחיד והוא מגיע בדרך כלל באחת מהפעולות הבאות:

    • מינוי SharePoint Online. כל תוכנית SharePoint Online מספיקה, גם אם הרישיון אינו מוקצה למשתמש.

    • מינוי Microsoft 365 הכולל את SharePoint Online. לדוגמה, אם יש לך את Microsoft 365 E3, יש לך את הרישוי המתאים גם אם הרשיון לא מוקצה למשתמש.

      לקבלת מידע נוסף אודות תוכניות אלה, ראה מציאת הפתרון המתאים עבורך וכן השוואת אפשרויות של SharePoint

  • התכונות הבאות של התוכנה נדרשות כדי להפעיל את cmdlets של PowerShell המתוארים בנושא זה.

    • מסייע הכניסה של Microsoft Online Services עבור IT Professionals Beta

    • MSOnlineExt

    • כדי להתקין את המודול MSOnlineExt, הזן את הפקודה הבאה מתוך הפעלת PowerShell של מנהל מערכת. PS> Install-Module -Name "MSOnlineExt"

    חשוב

    במועד כתיבת מסמך זה, קיימת בעיה בגירסת RTW של מסייע הכניסה של Microsoft Online Services עבור מומחי IT. עד שהבעיה תיפתר, אנו ממליצים שתשתמש בגירסת הביתא. מידע נוסף: Microsoft Azure פורומים: לא ניתן להתקין את מודול Microsoft Entra ל- Windows PowerShell‏. MOSSIA לא הותקן.

  • סוג מיפוי של אימות מבוסס-טענות שמתאים לשימוש עבור מיפוי זהויות בין יישומי Customer Engagement ו- SharePoint מקומי. כברירת מחדל, נעשה שימוש בכתובת דואר אלקטרוני. מידע נוסף: הענק ליישומי Customer Engagement הרשאה לגשת אל SharePoint והגדר מיפוי אימות מבוסס-טענות

עדכן את SharePoint Server SPN ב- Microsoft Entra Domain Services

בשרת SharePoint מקומי, במעטפת ניהול של SharePoint 2013, הרץ את פקודות PowerShell אלה בסדר הנתון.

  1. הכן את הפעלת PowerShell.

    ה- Cmdlets הבאים מאפשרים למחשב לקבל פקודות מרוחקות ולהוסיף מודולים של Microsoft 365 להפעלה של PowerShell. לקבלת מידע נוסף אודות כלי cmdlet אלה ראה Windows PowerShell Core Cmdlets.

    Enable-PSRemoting -force  
New-PSSession  
Import-Module MSOnline -force  
Import-Module MSOnlineExtended -force

  2. התחבר אל Microsoft 365.

    כאשר אתה מפעיל את הפקודה Connect-MsolService, עליך לספק חשבון Microsoft תקף עם חברות Global Admin עבור רישיון SharePoint Onlineשנדרש.

    לקבלת מידע מפורט אודות כל אחת מפקודות Microsoft Entra IDPowerShell המפורטות כאן, ראה ניהול Microsoft Entra באמצעות Windows PowerShell

    $msolcred = get-credential  
connect-msolservice -credential $msolcred

  3. הגדר את שם מארח SharePoint.

    הערך שאתה מגדיר עבור המשתנה HostName‎ חייב להיות שם מלא של מחשב מארח באוסף אתרים של SharePoint. שם המארח חייב להיגזר מכתובת ה-URL של אוסף האתרים והוא תלוי רישיות. בדוגמה זו, כתובת ה-URL של אוסף האתרים היא <https://SharePoint.constoso.com/sites/salesteam>, כך ששם המארח הוא SharePoint.contoso.com.

    $HostName = "SharePoint.contoso.com"

  4. קבל את מזהה האובייקט (דייר) של Microsoft 365 ושם השירות הראשי (SPN) של שרת SharePoint.

    $SPOAppId = "00000003-0000-0ff1-ce00-000000000000"  
$SPOContextId = (Get-MsolCompanyInformation).ObjectID  
$SharePoint = Get-MsolServicePrincipal -AppPrincipalId $SPOAppId  
$ServicePrincipalName = $SharePoint.ServicePrincipalNames

  5. הגדר את השם הראשי של שירות (SPN) של SharePoint ב- Microsoft Entra ID.

    $ServicePrincipalName.Add("$SPOAppId/$HostName")   
Set-MsolServicePrincipal -AppPrincipalId $SPOAppId -ServicePrincipalNames $ServicePrincipalName

    לאחר השלמת פקודות אלה אל תסגור את SharePoint 2013 Management Shell, והמשך לשלב הבא.

עדכן את תחום SharePoint כך שיתאים לזה של SharePoint Online

בשרת SharePoint מקומי, ב- SharePoint 2013 Management Shell, הפעל את פקודת Windows PowerShell הזו.

הפקודה הבאה דורשת חברות מנהל חוות של SharePoint ומגדירה את תחום האימות של חוות SharePoint המקומי.

שים לב

הפעלת פקודה זו משנה את תחום האימות של חוות SharePoint המקומי. עבור יישומים המשתמשים בשירות אסימון אבטחה (STS) קיים, הדבר עלול לגרום לאופן פעולה בלתי צפוי עם יישומים אחרים המשתמשים באסימוני גישה. מידע נוסף: Set-SPAuthenticationRealm.

Set-SPAuthenticationRealm -Realm $SPOContextId

יצירה של מנפיק אסימוני אבטחה אמין עבור Microsoft Entra ID ב- SharePoint

בשרת SharePoint מקומי, במעטפת ניהול של SharePoint 2013, הרץ את פקודות PowerShell אלה בסדר הנתון.

הפקודות הבאות דורשות חברות מנהל חוות SharePoint.

לקבלת מידע מפורט אודות פקודות PowerShell אלו, ראה שימוש ב- cmdlets של Windows PowerShell כדי לנהל אבטחה ב- SharePoint 2013.

  1. הפעל את הפעלת PowerShell כדי לבצע שינויים בשירות אסימוני האבטחה עבור חוות SharePoint.

    $c = Get-SPSecurityTokenServiceConfig  
$c.AllowMetadataOverHttp = $true  
$c.AllowOAuthOverHttp= $true  
$c.Update()

  2. הגדר את נקודת הקצה של המטה-נתונים.

    $metadataEndpoint = "https://accounts.accesscontrol.windows.net/" + $SPOContextId + "/metadata/json/1"  
$acsissuer = "00000001-0000-0000-c000-000000000000@" + $SPOContextId  
$issuer = "00000007-0000-0000-c000-000000000000@" + $SPOContextId

  3. צור את האסימון החדש של פקד האסימון של פרוקסי אפליקציית שירות ב- Microsoft Entra ID.

    New-SPAzureAccessControlServiceApplicationProxy -Name "Internal" -MetadataServiceEndpointUri $metadataEndpoint -DefaultProxyGroup

    הערה

    הפקודה New- SPAzureAccessControlServiceApplicationProxy עלולה להחזיר הודעת שגיאה המציינת כי proxy של יישום בשם זה כבר קיים. אם ה- Proxy של יישום ששמו צוין כבר קיים, באפשרותך להתעלם מהשגיאה.

  4. צור את המנפיק החדש של שירות פקד האסימונים ב- SharePoint המקומי עבור Microsoft Entra ID.

    $acs = New-SPTrustedSecurityTokenIssuer –Name "ACSInternal" –IsTrustBroker:$true –MetadataEndpoint $metadataEndpoint -RegisteredIssuerName $acsissuer

הענק ליישומי Customer Engagement הרשאה לגשת אל SharePoint והגדר מיפוי אימות מבוסס-טענות

בשרת SharePoint מקומי, במעטפת ניהול של SharePoint 2013, הרץ את פקודות PowerShell אלה בסדר הנתון.

הפקודות הבאות דורשות חברות מנהל אתרים של SharePoint.

  1. רשום את יישומי Customer Engagement עם אוסף אתרים של SharePoint.

    הזן את כתובת ה-URL של אוסף האתרים של SharePoint המקומי. בדוגמה זו נעשה שימוש ב- https://sharepoint.contoso.com/sites/crm/.

    חשוב

    לשם השלמת הפקודה, ה- Proxy של יישום שירות הניהול של SharePoint חייב להתקיים ולפעול. לקבלת מידע נוסף אודות אופן ההפעלה וההגדרה של השירות, ראה את נושא המשנה 'הגדרות מנוי ויישומי שירות של ניהול יישום' ב- הגדרת סביבה ליישומים עבור SharePoint (SharePoint 2013).

    $site = Get-SPSite "https://sharepoint.contoso.com/sites/crm/"  
Register-SPAppPrincipal -site $site.RootWeb -NameIdentifier $issuer -DisplayName "crm"

  2. הענק ליישומי Customer Engagement גישה לאתר SharePoint. החלף את https://sharepoint.contoso.com/sites/crm/ בכתובת URL של אתר SharePoint שלך.

    הערה

    בדוגמה שלהלן, ליישום Customer Engagement מוענקת הרשאה לאוסף אתרי SharePoint שצוין באמצעות פרמטר האוסף –Scope site. הפרמטר Scope מקבל את האפשרויות הבאות. בחר את הטווח המתאים ביותר עבור תצורת SharePoint שלך.

    • site. מעניק הרשאה של יישומי Customer Engagement לאתר SharePoint שצוין בלבד. לא מעניק הרשאה לאתרי משנה כלשהם תחת האתר ששמו צוין.
      • sitecollection. מעניק הרשאה של יישומי Customer Engagement לכל אתרי האינטרנט ואתרי המשנה באוסף אתרי SharePoint שצוין.
      • sitesubscription. מעניק את ההרשאה של יישומי Customer Engagement לכל אתרי האינטרנט בחוות SharePoint, כולל כל אוספי האתרים, אתרי האינטרנט ואתרי המשנה.
    $app = Get-SPAppPrincipal -NameIdentifier $issuer -Site "https://sharepoint.contoso.com/sites/crm/"  
Set-SPAppPrincipalPermission -AppPrincipal $app -Site $site.Rootweb -Scope "sitecollection" -Right "FullControl"

  3. הגדר את סוג המיפוי של אימות מבוסס-טענות.

    חשוב

    כברירת מחדל, המיפוי של אימות מבוסס-טענות ישתמש בכתובת הדואר האלקטרוני של חשבון Microsoft של המשתמש ובכתובת מקומית של דואר אלקטרוני בעבודה של SharePoint לצורך מיפוי. בעת שימוש זה, כתובות הדואר האלקטרוני של המשתמש חייבות להתאים בין שתי המערכות. לקבלת מידע נוסף, ראה בחירת סוג המיפוי של אימות מבוסס-טענות.

    $map1 = New-SPClaimTypeMapping -IncomingClaimType "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress" -IncomingClaimTypeDisplayName "EmailAddress" -SameAsIncoming

הפעל את אשף השילוב להפעלת SharePoint המבוסס על שרת

פעל בהתאם לשלבים אלה:

  1. ודא שיש לך את ההרשאה המתאימה להפעלת האשף. מידע נוסף: ההרשאות הנדרשות

  2. עבור אל הגדרות>ניהול מסמכים.

  3. באזור ניהול מסמכים, לחץ על אפשר שילוב SharePoint מבוסס-שרת.

  4. בדוק את הנתונים ולאחר מכן לחץ על הבא.

  5. עבור אתרי SharePoint, לחץ על מקומי, ולאחר מכן לחץ על הבא.

  6. הזן את כתובת ה-URL של אוסף האתרים של SharePoint המקומי, כגון https://sharepoint.contoso.com/sites/crm. יש לקבוע את תצורת האתר עבור SSL.

  7. לחץ על Next.

  8. המקטע אמת אתרים מופיע. אם נקבע שכל האתרים חוקיים, לחץ על אפשר. אם אתר אחד או יותר נקבעים כלא חוקיים, ראה ‏‫פתרון בעיות בנושא אימות מבוסס-שרת‬.

בחר בישויות שברצונך לכלול בניהול המסמכים

כברירת מחדל, הישויות הנכללות הן תיק לקוח, מאמר, הפניה, מוצר, הצעת מחיר ומסמכי מכירות. באפשרותך להוסיף או להסיר את הישויות אשר ישמשו לניהול מסמכים עם SharePoint ב- הגדרות ניהול מסמכים. עבור אל הגדרות>ניהול מסמכים. מידע נוסף: הפעלת ניהול מסמכים בישויות

הוספת OneDrive לשילוב Business

לאחר השלמת הגדרת התצורה של אימות מבוסס-שרת ביישומי Customer Engagement ו- SharePoint מקומי, תוכל גם לשלב את OneDrive for Business. עם שילוב של יישומי Customer Engagement ו- OneDrive for Business, משתמשים יכולים ליצור ולנהל מסמכים פרטיים באמצעות OneDrive for Business. ניתן לגשת למסמכים האלה לאחר שמנהל המערכת מפעיל את OneDrive for Business.

הפוך את OneDrive for Business לזמין

בשרת Windows Server שבו פועל SharePoint Server המקומי, פתח את מעטפת הניהול של SharePoint והרץ את הפקודות הבאות:

Add-Pssnapin *  
# Access WellKnown App principal  
[Microsoft.SharePoint.Administration.SPWebService]::ContentService.WellKnownAppPrincipals  
  
# Create WellKnown App principal  
$ClientId = "00000007-0000-0000-c000-000000000000"  
$PermissionXml = "<AppPermissionRequests AllowAppOnlyPolicy=""true""><AppPermissionRequest Scope=""http://sharepoint/content/tenant"" Right=""FullControl"" /><AppPermissionRequest Scope=""http://sharepoint/social/tenant"" Right=""Read"" /><AppPermissionRequest Scope=""http://sharepoint/search"" Right=""QueryAsUserIgnoreAppPrincipal"" /></AppPermissionRequests>"  
  
$wellKnownApp= New-Object -TypeName "Microsoft.SharePoint.Administration.SPWellKnownAppPrincipal" -ArgumentList ($ClientId, $PermissionXml)  
  
$wellKnownApp.Update()

בחירת סוג המיפוי של אימות מבוסס-טענות.

כברירת מחדל, המיפוי של אימות מבוסס-טענות ישתמש בכתובת הדואר האלקטרוני של חשבון Microsoft של המשתמש ובכתובת דואר אלקטרוני מקומית בעבודה של SharePoint לצורך מיפוי. שים לב שבכל סוג של אימות מבוסס-טענות שתשתמש בו, הערכים, כגון כתובות דואר אלקטרוני, חייבים להתאים בין יישומי מעורבות לקוחות ו- SharePoint. סינכרון ספריות Microsoft 365 יכול לעזור בכך. מידע נוסף: פריסת Directory Synchronization של Microsoft 365 ב- Microsoft Azure. כדי להשתמש בסוג אחר של מיפוי אימות מבוסס-טענות, ראה הגדרת מיפוי טענות מותאם אישית לשילוב SharePoint מבוסס-שרת‬‏‫.

חשוב

כדי להפעיל את המאפיין דואר אלקטרוני בעבודה, ל- SharePoint המקומי חייב להיות יישום שירות של פרופיל משתמש מוגדר ומופעל. כדי להפעיל יישום שירות פרופיל משתמש ב- SharePoint, ראה יצירה, עריכה או מחיקה של יישומי שירות פרופיל משתמש ב- SharePoint Server 2013. כדי לבצע שינויים במאפיין משתמש בדרך הנכונה, כגון דואר אלקטרוני של העבודה, ראה ערוך מאפיין של פרופיל משתמש. לקבלת מידע נוסף אודות יישום שירות של פרופיל משתמש, ראה סקירה של יישום שירות של פרופיל משתמש ב- SharePoint Server 2013.

למידע נוסף

פתרון בעיות בנושא אימות מבוסס-שרת
הגדרת שילוב SharePoint עם יישומי Customer Engagement