Del via

Konfigurere serverbasert godkjenning med SharePoint lokalt

  • Artikkel

Serverbasert SharePoint-integrasjon for dokumentbehandling kan brukes til å koble kundeengasjementsapper (Dynamics 365 Sales, Dynamics 365 Customer Service, Dynamics 365 Field Service, Dynamics 365 Marketing og Dynamics 365 Project Service Automation) med SharePoint lokalt. Når du bruker serverbasert godkjenning, brukes Microsoft Entra Domain Services som klareringsmegler, og brukere trenger ikke å logge seg på SharePoint.

Tillatelser som kreves

Følgende medlemskap og rettigheter kreves for å aktivere SharePoint-dokumentbehandling.

  • Microsoft 365 Globalt administratormedlemskap – dette kreves for følgende:

    • Tilgang på administrativt nivå til Microsoft 365-abonnementet.
    • Kjøring av veiviseren for aktivering av serverbasert godkjenning.
    • Kjøre AzurePowerShell-cmdletene.

  • Power Apps Kjør SharePoint-integreringsveiviser-rettigheten. Dette er nødvendig for å kjøre veiviseren Aktiver serverbasert godkjenning.

    Sikkerhetsrollen Systemansvarlig har denne rettigheten som standard.

  • For SharePoint lokal integrasjon SharePoint Medlemskap i gruppen for farmadministratorer. Dette er nødvendig for å kjøre de fleste av PowerShell-kommandoene på SharePoint-serveren.

Konfigurere server-til-server-godkjenning med SharePoint lokalt

Følg fremgangsmåten i angitt rekkefølge for å konfigurere kundeengasjementsapper med lokal versjon av SharePoint 2013 on-premises.

Viktig

Fremgangsmåten som er beskrevet her, må fullføres i den angitte rekkefølgen. Hvis en aktivitet ikke fullføres, for eksempel en PowerShell-kommando som returnerer en feilmelding, må problemet løses før du fortsetter til neste kommando, oppgave eller trinn.

Kontrollere forhåndskrav

Før du konfigurerer kundeengasjementsapper og lokal versjon av SharePoint for serverbasert godkjenning, må følgende forhåndskrav være oppfylt:

SharePoint-forutsetninger

  • SharePoint 2013 (on-premises) med Service Pack 1 (SP1) eller nyere versjon

    Viktig

    SharePoint Foundation 2013-versjoner støttes ikke for bruk med dokumentbehandling for kundeengasjementsapper.

  • Installer den akkumulert oppdateringen for april 2019 for SharePoint 2013-produktfamilien. Denne akkumulerte oppdateringen for april 2019 inkluderer alle SharePoint 2013-rettelser (inkludert alle SharePoint 2013-sikkerhetsoppdateringer) utgitt etter SP1. Den akkumulerte oppdateringen for april 2019 inkluderer ikke SP1. Du må installere SP1 før du installerer den akkumulerte oppdateringen for april 2019. Mer informasjon: KB4464514 akkumulert oppdatering fra april 2019 til SharePoint Server 2013

  • SharePoint-konfigurasjon

    • Hvis du bruker SharePoint 2013 for hver SharePoint-farm, kan bare én kundeengasjementsapp konfigureres for serverbasert integrering.

    • SharePoint-nettstedet må være tilgjengelig via Internett. En omvendt proxy kan også være nødvendig for SharePoint-godkjenning. Mer informasjon: Konfigurere en omvendt proxy-enhet for SharePoint Server 2013 (hybrid)

    • SharePoint-nettstedet må være konfigurert til å bruke SSL (HTTPS) på TCP-port 443 (ingen egendefinerte porter støttes), og sertifikatet må være utstedt av en offentlig rotsertifiseringsinstans. Mer informasjon: SharePoint: Om SSL-sertifikater for sikker kanal

    • En pålitelig brukeregenskap å bruke for tilordning av kravbasert autentisering mellom SharePoint og kundeengasjementsapper. Mer informasjon: Velge tilordningstype for krav

    • SharePoint-søketjenesten må være aktivert for deling av dokumenter. Mer informasjon: Opprette og konfigurere et søketjenesteprogram i SharePoint Server

    • For å få dokumentbehandlingsfunksjonalitet når du bruker Dynamics 365-mobilappene, må den lokale SharePoint-serveren være tilgjengelig via Internett.

Andre forhåndskrav

  • SharePoint Online-lisens. Kundeengasjementsapper til SharePoint lokal serverbasert godkjenning må ha SharePoint-SPN (server principal name) som er registrert i Microsoft Entra ID. For å oppnå dette kreves minst én SharePoint Online-brukerlisens. SharePoint Online-lisensen kan være avledet fra en enkelt lisens og kommer vanligvis fra ett av følgende:

    • Et SharePoint Online-abonnement. Alle SharePoint Online-planer er brukbare selv om lisensen ikke er tilordnet til en bruker.

    • Et Microsoft 365-abonnement som inkluderer SharePoint Online. Hvis du har for eksempel Microsoft 365 E3, har du rett lisensiering selv om lisensen ikke er tilordnet til en bruker.

      Hvis du vil ha mer informasjon om disse planene, kan du se Finne riktig løsning for deg og Sammenligne SharePoint-alternativer

  • Følgende programvarefunksjoner er nødvendige for å kjøre PowerShell-cmdletene som er beskrevet i dette emnet.

    • Microsoft Online Services Assistent for pålogging for IT-eksperter i betaversjon

    • MSOnlineExt

    • Hvis du vil installere modulen MSOnlineExt, kan du angi følgende kommando fra en PowerShell-administratorøkt. PS> Install-Module -Name "MSOnlineExt"

    Viktig

    I skrivende stund er Der et problem med RTW-versjonen av Microsoft Online Services Sign-In Assistent for IT-fagfolk. Inntil problemet er løst, anbefaler vi at du bruker betaversjonen. Mer informasjon: Microsoft Azure-fora: Kan ikke installere Microsoft Entra-modul for Windows PowerShell. MOSSIA er ikke installert.

  • En passende tilordningstype for kravbasert godkjenning for å bruke for tilordning av identiteter mellom kundeengasjementsapper og lokal versjon av SharePoint. E-postadresse brukes som standard. Mer informasjon: Gi tillatelse til kundeengasjementsapper for å få tilgang til SharePoint, og konfigurere tilordningen for kravbasert autentisering

Oppdatere SharePoint Server SPN i Microsoft Entra Domain Services

Kjør disse PowerShell-kommandoene i angitt rekkefølge i SharePoint 2013 Management-grensesnitt på den lokale versjonen av SharePoint-serveren.

  1. Klargjør PowerShell-økten.

    Følgende cmdleter aktivere datamaskinen for mottak av eksterne kommandoer og legger til Microsoft 365-moduler i PowerShell-økten. Hvis du vil ha mer informasjon om disse cmdletene, kan du se Core-cmdleter for Windows PowerShell.

    Enable-PSRemoting -force  
New-PSSession  
Import-Module MSOnline -force  
Import-Module MSOnlineExtended -force

  2. Koble til Microsoft 365.

    Når du kjører Connect-MsolService-kommandoen, må du oppgi en gyldig Microsoft konto som har globalt administratormedlemskap for den elektroniske lisensen SharePoint som kreves.

    Hvis du vil ha mer informasjon om alle Microsoft Entra IDPowerShell-kommandoene som vises her, kan du se Administrere Microsoft Entra ved hjelp av Windows PowerShell

    $msolcred = get-credential  
connect-msolservice -credential $msolcred

  3. Angi vertsnavn for SharePoint.

    Verdien du angir for variabelen HostName må være det fullstendige vertsnavnet til SharePoint-områdesamlingen. Vertsnavnet må være avledet fra URL-adressen for områdesamlingen, og det skilles mellom små og store bokstaver. I dette eksemplet er URL-adressen for områdesamling <https://SharePoint.constoso.com/sites/salesteam>, så vertsnavnet er SharePoint.contoso.com.

    $HostName = "SharePoint.contoso.com"

  4. Hent Microsoft 365-objekt-ID (leier) og hovednavn for tjeneste (SPN=Service Principal Name) for SharePoint Server.

    $SPOAppId = "00000003-0000-0ff1-ce00-000000000000"  
$SPOContextId = (Get-MsolCompanyInformation).ObjectID  
$SharePoint = Get-MsolServicePrincipal -AppPrincipalId $SPOAppId  
$ServicePrincipalName = $SharePoint.ServicePrincipalNames

  5. Angi hovednavn for tjeneste (SPN) for SharePoint Server i Microsoft Entra ID.

    $ServicePrincipalName.Add("$SPOAppId/$HostName")   
Set-MsolServicePrincipal -AppPrincipalId $SPOAppId -ServicePrincipalNames $ServicePrincipalName

    Ikke lukk administrasjonskonsollen for SharePoint 2013 når du har fullført disse kommandoene, og fortsett til neste trinn.

Oppdatere SharePoint-område slik at samsvarer med det for SharePoint Online

Gå til SharePoint 2013 Management Shell på SharePoint on-premises-serveren, og kjør denne Windows PowerShell-kommandoen.

Kommandoen nedenfor krever medlemskap i gruppen for farmadministrator for SharePoint, og den angir godkjenningsområdet for farmen for den lokale versjonen av SharePoint.

Forsiktig!

Kjøring av denne kommandoen endrer godkjenningsområdet for farmen for den lokale versjonen av SharePoint. For programmer som bruker en eksisterende sikkerhetstokentjeneste (STS), kan dette føre til uventet virkemåte med andre programmer som bruker tilgangstokener. Mer informasjon: Set-SPAuthenticationRealm.

Set-SPAuthenticationRealm -Realm $SPOContextId

Opprett en klarert utsteder for sikkerhetstoken for Microsoft Entra ID på SharePoint

Kjør disse PowerShell-kommandoene i angitt rekkefølge i SharePoint 2013 Management-grensesnitt på den lokale versjonen av SharePoint-serveren.

Kommandoen nedenfor krever medlemskap i gruppen for farmadministrator for SharePoint.

Hvis du vil ha mer informasjon om disse PowerShell-kommandoene, kan du se Bruke Windows PowerShell-cmdlet-er til å administrere sikkerheten i SharePoint 2013.

  1. Aktiver PowerShell-økten for å gjøre endringer i sikkerhetstokentjenesten for SharePoint-farmen.

    $c = Get-SPSecurityTokenServiceConfig  
$c.AllowMetadataOverHttp = $true  
$c.AllowOAuthOverHttp= $true  
$c.Update()

  2. Angi sluttpunkt for metadata.

    $metadataEndpoint = "https://accounts.accesscontrol.windows.net/" + $SPOContextId + "/metadata/json/1"  
$acsissuer = "00000001-0000-0000-c000-000000000000@" + $SPOContextId  
$issuer = "00000007-0000-0000-c000-000000000000@" + $SPOContextId

  3. Opprett ny tjenesteprogramproxy for tokenkontroll i Microsoft Entra ID.

    New-SPAzureAccessControlServiceApplicationProxy -Name "Internal" -MetadataServiceEndpointUri $metadataEndpoint -DefaultProxyGroup

    Obs!

    New- SPAzureAccessControlServiceApplicationProxy-kommandoen kan returnere en feilmelding som angir at det allerede finnes en programproxy med samme navn. Hvis den navngitte program-proxyen allerede finnes, kan du ignorere feilen.

  4. Opprett ny tjenesteutsteder for tokenkontroll i lokal versjon av SharePoint for Microsoft Entra ID.

    $acs = New-SPTrustedSecurityTokenIssuer –Name "ACSInternal" –IsTrustBroker:$true –MetadataEndpoint $metadataEndpoint -RegisteredIssuerName $acsissuer

Gi tillatelse til kundeengasjementsapper for å få tilgang til SharePoint, og konfigurere tilordningen for kravbasert autentisering

Kjør disse PowerShell-kommandoene i angitt rekkefølge i SharePoint 2013 Management-grensesnitt på den lokale versjonen av SharePoint-serveren.

Kommandoen nedenfor krever medlemskap for administrasjon av SharePoint-områdesamling.

  1. Registrer kundeengasjementsapper med SharePoint-områdesamlingen.

    Angi URL-adressen for områdesamlingen for den lokale versjonen av SharePoint. I dette eksemplet brukes https://sharepoint.contoso.com/sites/crm/.

    Viktig

    Tjenesteprogramproxy for appbehandling for SharePoint må finnes og kjøres for å fullføre denne kommandoen. Hvis du vil ha mer informasjon om hvordan du starter og konfigurere tjenesten, kan du se delemnet Konfigurere abonnementsinnstillinger og tjenesteprogrammer for appbehandling i Konfigurerer et miljø for apper for SharePoint (SharePoint 2013).

    $site = Get-SPSite "https://sharepoint.contoso.com/sites/crm/"  
Register-SPAppPrincipal -site $site.RootWeb -NameIdentifier $issuer -DisplayName "crm"

  2. Gi kundeengasjementsapper tilgang til SharePoint-området. Bytt ut https://sharepoint.contoso.com/sites/crm/ med din SharePoint-URL-adresse.

    Obs!

    I eksemplet nedenfor får kundeengasjementsappen tilgang til den angitte SharePoint-områdesamlingen ved hjelp av parameteren –Omfang områdesamling. Omfangsparameteren godtar følgende alternativer. Velg omfanget som passer best for SharePoint-konfigurasjonen.

    • site. Gir bare kundeengasjementsapper tilgang til det angitte SharePoint-webområdet. Det gir ikke tilgang til eventuelle sekundære områder under det navngitte området.
      • sitecollection. Gir kundeengasjementsapper tilgang til alle webområder og sekundære områder innenfor den angitte SharePoint-områdesamlingen.
      • sitesubscription. Gir kundeengasjementsapper tilgang til alle webområder i SharePoint-farmen, inkludert alle områdesamlinger, webområder og sekundære områder.
    $app = Get-SPAppPrincipal -NameIdentifier $issuer -Site "https://sharepoint.contoso.com/sites/crm/"  
Set-SPAppPrincipalPermission -AppPrincipal $app -Site $site.Rootweb -Scope "sitecollection" -Right "FullControl"

  3. Angi tilordningstype for kravbasert autentisering.

    Viktig

    Som standard bruker tildeling av kravbasert godkjenning brukerens Microsoft e-postadresse for kontoen og brukerens SharePoint lokale e-postadresse for arbeid for tildeling. Når du bruker dette, må brukerens e-postadresser samsvare mellom de to systemene. Hvis du vil ha mer informasjon, kan du se Velge tilordningstype for kravbasert autentisering.

    $map1 = New-SPClaimTypeMapping -IncomingClaimType "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress" -IncomingClaimTypeDisplayName "EmailAddress" -SameAsIncoming

Kjøre Aktiver serverbasert SharePoint-integrasjonsveiviser

Gjør følgende:

  1. Kontroller at du har nødvendig tillatelse til å kjøre veiviseren. Mer informasjon: Tillatelser som kreves

  2. Gå til Innstillinger>Dokumentbehandling.

  3. Gå til Dokumentbehandling-området, klikk på Aktiver serverbasert SharePoint-integrasjon.

  4. Se gjennom informasjonen, og klikk deretter Neste.

  5. Klikk Lokal for SharePoint-områdene, og klikk deretter Neste.

  6. Angi URL-adressen for områdesamlingen SharePoint, for eksempel https://sharepoint.contoso.com/sites/crm. Området må være konfigurert for SSL.

  7. Klikk Neste.

  8. Inndelingen for å validere områder vises. Hvis alle områder er gyldige, klikker du Aktiver. Hvis én eller flere områder er ugyldige, kan du se Feilsøke serverbasert godkjenning.

Velge enhetene du vil ta med i dokumentbehandlingen

Enhetene Forretningsforbindelse, Artikkel, Kundeemne, Produkt, Tilbud og Salgsmateriell er inkludert som standard. Du kan legge til eller fjerne enhetene som skal brukes for dokumentbehandling, med SharePoint i Innstillinger for dokumentbehandling. Gå til Innstillinger>Dokumentbehandling. Mer informasjon: Aktivere dokumentbehandling for enheter

Legge til OneDrive for Business-integrasjon

Når du har fullført konfigurasjon av kundeengasjementsapper og serverbasert godkjenning for lokal versjon av SharePoint, kan du også integrere OneDrive for Business. Med integrasjon av kundeengasjementsapper og OneDrive for Business kan brukere opprette og behandle private dokumenter ved hjelp av OneDrive for Business. Disse dokumentene kan brukes når en administrator har aktivert OneDrive for Business.

Aktiver OneDrive for Business

På Windows Server der SharePoint Server on-premises kjører, åpner du SharePoint Management Shell og kjører følgende kommandoer:

Add-Pssnapin *  
# Access WellKnown App principal  
[Microsoft.SharePoint.Administration.SPWebService]::ContentService.WellKnownAppPrincipals  
  
# Create WellKnown App principal  
$ClientId = "00000007-0000-0000-c000-000000000000"  
$PermissionXml = "<AppPermissionRequests AllowAppOnlyPolicy=""true""><AppPermissionRequest Scope=""http://sharepoint/content/tenant"" Right=""FullControl"" /><AppPermissionRequest Scope=""http://sharepoint/social/tenant"" Right=""Read"" /><AppPermissionRequest Scope=""http://sharepoint/search"" Right=""QueryAsUserIgnoreAppPrincipal"" /></AppPermissionRequests>"  
  
$wellKnownApp= New-Object -TypeName "Microsoft.SharePoint.Administration.SPWellKnownAppPrincipal" -ArgumentList ($ClientId, $PermissionXml)  
  
$wellKnownApp.Update()

Velge tilordningstype for kravbasert autentisering

Som standard bruker tildeling av kravbasert godkjenning brukerens Microsoft e-postadresse for kontoen og brukerens SharePoint lokale e-postadresse for arbeid for tildeling. Legg merke til at uansett hvilken type kravbasert autentisering du bruker, må verdiene, for eksempel e-postadresser, samsvare mellom kundeengasjementsapper og SharePoint. Microsoft 365-katalogsynkronisering kan hjelpe deg med dette. Mer informasjon: Distribuer Microsoft 365 Directory Synchronization i Microsoft Azure. Hvis du vil bruke en annen type kravbasert autentiseringstilordning, kan du se Definere egendefinert kravtilordning for serverbasert SharePoint-integrasjon.

Viktig

Hvis du vil aktivere egenskapen for e-postadresse for arbeid, må det være konfigurert og startet er tjenesteprogram for brukerprofil for den lokale versjonen av SharePoint. Hvis du vil aktivere en tjenesteapp for brukerprofil i SharePoint, kan du se Opprette, redigere eller slette tjenesteapper for brukerprofil i SharePoint Server 2013. Hvis du vil utfør endringer for en brukeregenskap, for eksempel e-postadresse for arbeid, kan du se Rediger en brukerprofilegenskap. Hvis du vil ha mer informasjon om tjenesteprogrammet for brukerprofil, kan du se Oversikt over tjenesteprogrammet for brukerprofil i SharePoint Server 2013.

Se også

Feilsøking av serverbasert godkjenning
Konfigurere SharePoint integrasjon med kundeengasjementsapper