A kiszolgálóalapú hitelesítés konfigurálása a SharePoint helyszíni szolgáltatással

A dokumentumkezeléshez használt kiszolgálóalapú SharePoint-integráció felhasználható az ügyfélkapcsolati alkalmazások (Dynamics 365 Sales, Dynamics 365 Customer Service, Dynamics 365 Field Service, Dynamics 365 Marketing és Dynamics 365 Project Service Automation) SharePoint helyszíni szolgáltatásokhoz való összekapcsolásához. Kiszolgálóalapú hitelesítés használata esetén a rendszer a tartományi szolgáltatásokat Microsoft Entra használja megbízhatóságközvetítőként, és a felhasználóknak nem kell bejelentkezniük SharePoint.

Szükséges engedélyek

A SharePoint-dokumentumkezelés engedélyezéséhez a következő tagságok és jogosultságok szükségesek.

• Microsoft 365 Globális rendszergazdai tagság – ez a következőhöz szükséges:

  • Rendszergazdai szintű hozzáférés a Microsoft 365-előfizetéshez.
  • A Kiszolgálóalapú hitelesítés engedélyezése varázsló futtatása.
  • Az AzurePowerShell-parancsmagok futtatása.

• Power Apps SharePoint-integráció varázsló futtatása jogosultság. Ez szükséges a Kiszolgáló alapú hitelesítés engedélyezése varázsló futtatásához.

  Alapértelmezés szerint a Rendszergazda biztonsági szerepkör rendelkezik ilyen jogosultsággal.

• SharePoint helyszíni integráció, SharePoint Farmrendszergazdák csoporttagság. Ez a legtöbb PowerShell-parancs futtatásához szükséges a SharePoint-kiszolgálón.

A kiszolgálók közti hitelesítés konfigurálása a SharePoint helyszíni szolgáltatással

Az ügyfélkapcsolati alkalmazások és a helyszíni SharePoint 2013 együttes beállításához kövesse az alábbi lépéseket.

Fontos

Az itt leírt lépéseket a megadott sorrendben kell elvégezni. Ha egy feladat nem fejeződik be, például egy PowerShell parancs hibaüzenetet jelenít meg, a problémát meg kell oldani, mielőtt továbblépne a következő parancsra, feladatra vagy lépésre.

Előfeltételek ellenőrzése

Az ügyfélkapcsolati alkalmazások és a helyszíni SharePoint kiszolgáló alapú hitelesítési konfigurálása előtt a következő előfeltételnek kell teljesülnie:

SharePoint előfeltételek

• SharePoint 2013 (helyszíni) 1-es szervizcsomag (SP1) vagy annál újabb verzió

  Fontos

  Az ügyfélkapcsolati alkalmazások dokumentumkezelése nem támogatja a SharePoint Foundation 2013 verziók használatát.

• Telepítse a 2019. áprilisi kumulatív frissítést (CU) a SharePoint 2013 termékcsaládhoz. Ez a 2019 áprilisi CU tartalmazza az összes SharePoint 2013 javítást (beleértve az összes SharePoint 2013 biztonsági javítást) az SP1 kiadás óta. A 2019. áprilisi CU nem tartalmazza az SP1 szervizcsomagot. A 2019. április i CU telepítése előtt telepítenie kell az SP1 szervizcsomagot. További információ: kb 4464514 SharePoint Server 2013 2019. áprilisi CU

• SharePoint konfiguráció

  • Ha a SharePoint 2013 csoportokat használja, minden egyes SharePoint farmhoz csak egy ügyfélkapcsolati alkalmazás konfigurálható a kiszolgáló alapú integráláshoz.

  • A SharePoint webhely elérhető az interneten keresztül. A SharePoint hitelesítéséhez szükség lehet fordított proxy-ra is. További információ: Fordított proxy-eszköz konfigurálása a SharePoint Server 2013 hibridhez

  • A SharePoint webhelyet konfigurálni kell az SSL (HTTPS) használatára a 443-as TCP-porton (az egyéni portok nem támogatottak), és a tanúsítványt nyilvános, legfelső szintű hitelesítésszolgáltatónak kell kiállítania. További információk: SharePoint: A biztonságos csatornák SSL-tanúsítványairól

  • Egy megbízható felhasználói tulajdonság, amelyet a jogcímalapú hitelesítési leképezéshez lehet alkalmazni a SharePoint és az ügyfélkapcsolati alkalmazások között. További információk: Igényleképezési típus kiválasztása

  • A dokumentum-megosztáshoz, engedélyezni kell a SharePoint keresési szolgáltatást. További információ: Keresési szolgáltatás alkalmazás létrehozása és konfigurálása a SharePoint kiszolgálón

  • A dokumentumkezelési funkciói használata esetén a Dynamics 365 Mobile alkalmazásokban, a helyszíni SharePoint kiszolgáló az interneten keresztül elérhető kell, hogy legyen.

További előfeltételek

• SharePoint Online licenc. A kiszolgálóalapú hitelesítéshez SharePoint helyszíni ügyfélkapcsolati alkalmazásoknak rendelkezniük kell az SharePoint azonosítóban Microsoft Entra regisztrált egyszerű szolgáltatásnévvel (SPN). Ehhez legalább egy SharePoint Online felhasználói licenc szükséges. A SharePoint Online licenc egyetlen felhasználói licencből is származhat, és általában a következők egyikéből származik:

  • Egy SharePoint Online előfizetés. Bármely SharePoint Online terv elegendő, akkor is, ha a licenc nincs hozzárendelve felhasználóhoz.

  • Egy Microsoft 365 előfizetés, amely tartalmazza a SharePoint Online szolgáltatást. Például, ha Ön rendelkezik a Microsoft 365 E3 szolgáltatással, akkor rendelkezik a megfelelő licenccel is, még abban az esetben is, ha a licenc nincs hozzárendelve egy felhasználóhoz sem.

    Ezekről a tervekről A megfelelő megoldás megkeresése és a SharePoint lehetőségek összehasonlítása című rész tartalmaz további tudnivalókat

• Az alábbi szoftveres szolgáltatások szükségesek a fejezetben tárgyalt PowerShell parancsmagok futtatásához.

  • Microsoft Online szolgáltatások bejelentkezési Segéd informatikai szakemberek számára bétaverzió

  • MSOnlineExt

  • A MSOnlineExt modul telepítéséhez, adja meg a következő parancsot egy rendszergazdától PowerShell munkamenet. PS> Install-Module -Name "MSOnlineExt"

  Fontos

  Az írás idején probléma van az Online Services Sign-In Segéd for IT Professionals RTW verziójával Microsoft . A probléma megoldásáig javasoljuk a béta verzió használatát. További információ: Microsoft Azure Fórumok: A Windows PowerShell modul nem telepíthető Microsoft Entra . A MOSSIA nincs telepítve.

• A jogcímalapú hitelesítés megfelelő leképezési típusa, amely az ügyfélkapcsolati alkalmazások és a helyszíni SharePoint közötti azonosítók leképezéséhez használhatók. Alapértelmezés szerint a rendszer az e-mail címet használja. További információ: Engedély megadása az ügyfélkapcsolati alkalmazásoknak a SharePoint alkalmazáshoz való hozzáféréshez és a jogcímalapú hitelesítési leképezés beállításához

A kiszolgáló egyszerű szolgáltatásnevének frissítése a SharePoint tartományi szolgáltatásokban Microsoft Entra

A helyszíni SharePoint kiszolgálón, a SharePoint 2013 felügyeleti rendszerhéjon belül futtassa ezeket a PowerShell parancsokat a megadott sorrendben.

1. Készítse elő a PowerShell munkamenetet.

   A következő parancsmag lehetővé teszi a számítógép számára a távoli parancsok fogadását, és hozzáadja a Microsoft 365 modulokat a PowerShell munkamenetéhez. Parancsmagok használatával kapcsolatos további tudnivalókért lásd: Windows PowerShell parancsmagok.

   Enable-PSRemoting -force  
   New-PSSession  
   Import-Module MSOnline -force  
   Import-Module MSOnlineExtended -force  
   

2. Csatlakozás az Microsoft 365 szolgálatatáshoz.

   A Connect-MsolService parancs futtatásakor meg kell adnia egy érvényes Microsoft fiókot, amely globális rendszergazdai tagsággal rendelkezik a SharePoint szükséges online licenchez.

   Az itt felsorolt IDPowerShell-parancsokkal Microsoft Entra kapcsolatos részletes információkért lásd: Kezelés Microsoft Entra a Windows PowerShell használatával

   $msolcred = get-credential  
   connect-msolservice -credential $msolcred  
   

3. Állítsa be a SharePoint állomás nevét.

   Az Állomásnév változó értékének meg kell egyeznie a SharePoint webhelygyűjtemény teljes nevével. Az állomásnévnek a webhelycsoport URL-címéből kell származnia, és figyelembe kell venni a nagybetűket. Ebben a példában a webhelycsoport URL-címe: <https://SharePoint.constoso.com/sites/salesteam>, ezért az állomásnév: SharePoint.contoso.com.

   $HostName = "SharePoint.contoso.com"  
   

4. Szerezze be az Microsoft 365 objektumazonosítót (bérlőt) és a SharePoint kiszolgáló egyszerű szolgáltatásnév (SPN) nevét.

   $SPOAppId = "00000003-0000-0ff1-ce00-000000000000"  
   $SPOContextId = (Get-MsolCompanyInformation).ObjectID  
   $SharePoint = Get-MsolServicePrincipal -AppPrincipalId $SPOAppId  
   $ServicePrincipalName = $SharePoint.ServicePrincipalNames  
   

5. Állítsa be a SharePoint kiszolgáló egyszerű szolgáltatásnevét (SPN) az azonosítóban Microsoft Entra .

   $ServicePrincipalName.Add("$SPOAppId/$HostName")   
   Set-MsolServicePrincipal -AppPrincipalId $SPOAppId -ServicePrincipalNames $ServicePrincipalName  
   

   Ezen parancsok végrehajtása után nem zárja be a SharePoint 2013 felügyeleti rendszerhéját, majd folytassa a következő lépéssel.

Frissítse a SharePoint tartományát, hogy az megegyezzen a SharePoint Online tartományával

A helyszíni SharePoint kiszolgálón, a SharePoint 2013 felügyeleti rendszerhéjon belül futtassa ezt a Windows PowerShell parancsot.

Az alábbi parancshoz szükség van a SharePoint farmadminisztrátori tagságára, de beállítja a helyszíni SharePoint farm azonosítási tartományát.

Figyelmeztetés

A parancs futtatásával módosul a helyszíni SharePoint farm hitelesítési tartománya. Egy meglévő biztonsági jegykiadó szolgáltatást (STS) használó alkalmazások esetén ez nem várt viselkedéshez vezethet, hozzáférési jogkivonatokat használó egyéb alkalmazásokkal való használatkor. További információ: SPAuthenticationRealm beállítása.

Set-SPAuthenticationRealm -Realm $SPOContextId  

Megbízható biztonságijogkivonat-kiállító létrehozása az azonosítóhoz Microsoft Entra SharePoint

A helyszíni SharePoint kiszolgálón, a SharePoint 2013 felügyeleti rendszerhéjon belül futtassa ezeket a PowerShell parancsokat a megadott sorrendben.

A következő parancsokhoz szükség van SharePoint farmrendszergazdai tagságra.

A PowerShell-parancsokkal kapcsolatos részletes információkért lásd: Windows PowerShell parancsmagok használata a SharePoint 2013 biztonsági felügyeletéhez.

1. Engedélyezze a PowerShell munkamenetet a SharePoint farmhoz tartozó biztonsági jogkivonatokkal kapcsolatos szolgáltatások módosításához.

   $c = Get-SPSecurityTokenServiceConfig  
   $c.AllowMetadataOverHttp = $true  
   $c.AllowOAuthOverHttp= $true  
   $c.Update()  
   

2. A metaadat-végpont beállítása.

   $metadataEndpoint = "https://accounts.accesscontrol.windows.net/" + $SPOContextId + "/metadata/json/1"  
   $acsissuer = "00000001-0000-0000-c000-000000000000@" + $SPOContextId  
   $issuer = "00000007-0000-0000-c000-000000000000@" + $SPOContextId  
   

3. Hozza létre az új jogkivonat-vezérlő szolgáltatás alkalmazásproxyját az azonosítóban Microsoft Entra .

   New-SPAzureAccessControlServiceApplicationProxy -Name "Internal" -MetadataServiceEndpointUri $metadataEndpoint -DefaultProxyGroup  
   

   Feljegyzés

   A New- SPAzureAccessControlServiceApplicationProxy paranccsal egy hibaüzenetet kapunk, mely azt jelzi, hogy az alkalmazási proxy ugyanazon a néven már létezik. Ha az elnevezett alkalmazási proxy már létezik, figyelmen kívül hagyhatja a hibát.

4. Hozza létre az új jogkivonat-vezérlési szolgáltatás kiállítóját az azonosítóban SharePoint helyszíni az azonosítóhoz Microsoft Entra .

   $acs = New-SPTrustedSecurityTokenIssuer –Name "ACSInternal" –IsTrustBroker:$true –MetadataEndpoint $metadataEndpoint -RegisteredIssuerName $acsissuer  
   

Engedély megadása az ügyfélkapcsolati alkalmazásoknak a SharePoint alkalmazáshoz való hozzáféréshez és a jogcímalapú hitelesítési leképezés beállításához

A helyszíni SharePoint kiszolgálón, a SharePoint 2013 felügyeleti rendszerhéjon belül futtassa ezeket a PowerShell parancsokat a megadott sorrendben.

A következő parancsokhoz szükség van SharePoint oldalgyűjteményi rendszergazdai tagságra.

1. Regisztrálja az ügyfélkapcsolati alkalmazásokat a SharePoint webhelycsoporttal.

   Adja meg a helyszíni SharePoint webhelygyűjtemény URL-címét. Ebben a példában a következőt használjuk: https://sharepoint.contoso.com/sites/crm/.

   Fontos

   Ezen parancs végrehajtásához léteznie és futnia kell a SharePoint alkalmazáskezelőhöz tartozó szolgáltatási alkalmazásproxy-nak. A szolgáltatás elindításával és beállításával kapcsolatos további inormációért lásd az Előfizetési beállítások és alkalmazáskezelő szolgáltatási alkalmazások konfigurálása című alfejezetet a Környezet konfigurálása alkalmazások számára a SharePoint alkalmazáson belül (SharePoint 2013) című kiadványban.

   $site = Get-SPSite "https://sharepoint.contoso.com/sites/crm/"  
   Register-SPAppPrincipal -site $site.RootWeb -NameIdentifier $issuer -DisplayName "crm"  
   

2. Engedély megadása az ügyfélkapcsolati alkalmazásoknak a SharePoint webhelyhez. Helyettesítse a https://sharepoint.contoso.com/sites/crm/ címet az Ön SharePoint webhelyének URL-címével.

   Feljegyzés

   Az alábbi példában az ügyfélkapcsolati alkalmazás engedélyt kap a megadott SharePoint-webhelycsoporthoz a –Hatókör webhelycsoport paraméter használatával. A Hatókör paraméter a következő beállításokat fogadja el. Válassza ki azt a hatókört, amely a legmegfelelőbb a saját SharePoint konfiguráció számára.

   • site. Engedélyt ad az ügyfélkapcsolati alkalmazások számára, de csak a megadott SharePoint webhelyhez. Ez nem ad engedélyt a megnevezett webhely alwebhelyeihez.
     • sitecollection. Engedélyt ad az ügyfélkapcsolati alkalmazások számára az összes webhelyhez és alwebhelyhez, a megadott SharePoint webhelycsoporton belül.
     • sitesubscription. Engedélyt ad az ügyfélkapcsolati alkalmazások számára az összes webhelyhez a SharePoint farmon belül, beleértve minden webhelycsoportot, weboldalt és aloldalt.

   $app = Get-SPAppPrincipal -NameIdentifier $issuer -Site "https://sharepoint.contoso.com/sites/crm/"  
   Set-SPAppPrincipalPermission -AppPrincipal $app -Site $site.Rootweb -Scope "sitecollection" -Right "FullControl"  
   

3. Állítsa be a jogcímalapú hitelesítési leképezés típusát.

   Fontos

   Alapértelmezés szerint a jogcímalapú hitelesítési leképezés a felhasználó fiókjának Microsoft e-mail helyszíni SharePoint címét és a felhasználó munkahelyi e-mailcímét használja a leképezés. Ha ezt a beállítást használja, a felhasználó e-mail címének meg kell egyeznie a két rendszerben. További tudnivalókért lásd: A jogcímalapú hitelesítés leképezés típusának kiválasztása.

   $map1 = New-SPClaimTypeMapping -IncomingClaimType "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress" -IncomingClaimTypeDisplayName "EmailAddress" -SameAsIncoming  
   

Kiszolgálóalapú SharePoint-integráció engedélyezése – varázsló futtatása

Tegye a következőket:

1. Ellenőrizze, hogy rendelkezik a varázsló futtatásához szükséges engedéllyel. További információ: Szükséges engedélyek

2. Válassza a Beállítások>Dokumentumkezelés lehetőséget.

3. A Dokumentumkezelés területen kattintson a Kiszolgáló alapú SharePoint-integráció engedélyezése lehetőségre.

4. Vizsgálja felül az adatokat, majd kattintson a Következő gombra.

5. A(z) SharePoint oldalak esetében kattintson a Helyszíni lehetőségre, majd kattintson a Tovább gombra.

6. Adja meg a SharePoint helyszíni webhelygyűjtemény URL-címét, pl.: https://sharepoint.contoso.com/sites/crm. A webhelyet SSL-re kell konfigurálni.

7. Kattintson a Tovább gombra.

8. Megjelenik a helyek ellenőrzése szakasz. Ha az összes webhely érvényesként lett megjelölve, kattintson az Engedélyezés lehetőségre. Ha egy vagy több hely érvénytelenként lett meghatározva, lásd: Hibaelhárítás kiszolgáló-alapú hitelesítés esetén.

Azon entitások kiválasztása, amelyeket be kell illeszteni a dokumentumkezelésbe

Alapértelmezés szerint a Számla, a Cikk, az Érdeklődő, a Termék, az Árajánlat és a Termékleírások entitásokhoz tartoznak bele. Hozzáadhat vagy eltávolíthat olyan entitásokat, melyek a SharePoint dokumentumkezelése során kerülnek alkalmazásra Dokumentumkezelési beállítások a lehetőségen belül. Válassza a Beállítások>Dokumentumkezelés lehetőséget. További információ: Dokumentumkezelés engedélyezése entitásokon

A OneDrive Vállalati verzió integrálása

Az ügyfélkapcsolati alkalmazások és a helyszíni SharePoint kiszolgálóalapú hitelesítés beállításának befejezése után integrálhatja a OneDrive Válallati verzió alkalmazást is. Az ügyfélkapcsolati alkalmazások és a OneDrive Vállalati verzió integrációjával, a felhasználók privát dokumentumokat hozhatnak létre és kezelhetnek a OneDrive Vállalati verzió alkalmazással. Ezek a dokumentumok elérhetők miután a rendszergazda engedélyezte a OneDrive Vállalati verziót.

OneDrive Vállalati verzió engedélyezése

A Windows Server, ahol a SharePoint kiszolgáló helyszíni változata fut, nyissa meg a SharePoint felügyeleti rendszerhéjat és futtassa az alábbi parancsokat:

Add-Pssnapin *  
# Access WellKnown App principal  
[Microsoft.SharePoint.Administration.SPWebService]::ContentService.WellKnownAppPrincipals  
  
# Create WellKnown App principal  
$ClientId = "00000007-0000-0000-c000-000000000000"  
$PermissionXml = "<AppPermissionRequests AllowAppOnlyPolicy=""true""><AppPermissionRequest Scope=""http://sharepoint/content/tenant"" Right=""FullControl"" /><AppPermissionRequest Scope=""http://sharepoint/social/tenant"" Right=""Read"" /><AppPermissionRequest Scope=""http://sharepoint/search"" Right=""QueryAsUserIgnoreAppPrincipal"" /></AppPermissionRequests>"  
  
$wellKnownApp= New-Object -TypeName "Microsoft.SharePoint.Administration.SPWellKnownAppPrincipal" -ArgumentList ($ClientId, $PermissionXml)  
  
$wellKnownApp.Update()  
  

A jogcímalapú hitelesítési leképezés típusának kiválasztása

Alapértelmezés szerint a jogcímalapú hitelesítési leképezés a felhasználó Microsoft fiókjának e-mail-címét és a felhasználó SharePoint helyszíni munkahelyi e-mail-címét használja a leképezés. Vegye figyelembe, hogy bármilyen jogcímalapú hitelesítés használata esetén az értékeknek, például az e-mail címeknek, meg kell egyezniük az ügyfélkapcsolati alkalmazások és a SharePoint esetében. Microsoft 365 a címtár szinkronizálás segíthet ezen. További információ: Telepítse a Microsoft 365 címtár-szinkronizálást a Microsoft Azure-ben. Más típusú jogcímalapú hitelesítés leképezés használatához lásd: Jogcímalapú leképezés meghatározása a kiszolgáló alapú SharePoint-integrációhoz.

Fontos

A munkahelyi e-mail tulajdonság engedélyezéséhez a helyszíni SharePoint alkalmazásnak rendelkeznie kell egy konfigurált és elindított felhasználói profilhoz tartozó szolgáltatási alkalmazással. A felhasználói profilok szolgáltatási alkalmazásának a SharePoint alkalmazáson belüli engedélyezéséhez lásd: Felhasználói profilok szolgáltatási alkalmazásának létrehozása, szerkesztése vagy törlése a SharePoint Server 2013 alkalmazásban. Ha módosítani szeretné a felhasználói tulajdonságot, például a munkahelyi e-mail címet, lásd: Felhasználói profil tulajdonságainak szerkesztése. A felhasználói profilok szolgáltatási alkalmazásával kapcsolatos további tudnivalókért lásd: A SharePoint Server 2013 felhasználói profiljaihoz tartozó szolgáltatási alkalmazás áttekintése.

Lásd még

Kiszolgálóalapú hitelesítéssel kapcsolatos hibák elhárítása
Integráció beállítása SharePoint az ügyfélkapcsolati alkalmazásokkal