Delen via

Serververificatie configureren met SharePoint on-premises

  • Artikel

Servergebaseerde SharePoint-integratie voor documentbeheer kan worden gebruikt om apps voor klantbetrokkenheid (Dynamics 365 Sales, Dynamics 365 Customer Service, Dynamics 365 Field Service, Dynamics 365 Marketing en Dynamics 365 Project Service Automation) te verbinden met SharePoint on-premises. Als u op een server gebaseerde verificatie gebruikt, worden Microsoft Entra-domeinservices gebruikt als de vertrouwensbroker en hoeven gebruikers zich niet aan te melden bij SharePoint.

Vereiste machtigingen

De volgende lidmaatschappen en machtigingen zijn vereist om SharePoint-documentbeheer in te schakelen.

  • Microsoft 365 Algemene beheerder-lidmaatschap - dit is vereist voor:

    • Toegang op beheerderniveau tot het Microsoft 365-abonnement.
    • Uitvoeren van de op Enable Server gebaseerde verificatiewizard.
    • De AzurePowerShell-cmdlets uitvoeren.

  • Power Apps machtiging SharePoint-integratiewizard uitvoeren. Dit is vereist om de wizard Op server gebaseerde verificatie inschakelen uit te voeren.

    Standaard heeft de beveiligingsrol Systeembeheerder deze bevoegdheid.

  • Voor SharePoint on-premises integratie SharePoint lidmaatschap van groep Farmbeheerders. Dit is vereist voor het uitvoeren van de meeste PowerShell-opdrachten op de SharePoint-server.

Server-naar-server-verificatie instellen met SharePoint on-premises

Voer de stappen uit in de opgegeven volgorde om apps voor klantbetrokkenheid in te stellen met SharePoint 2013 on-premises.

Belangrijk

De hier beschreven stappen moeten in de opgegeven volgorde worden voltooid. Als een taak niet is voltooid, zoals een PowerShell-opdracht die een foutbericht retourneert, moet het probleem worden opgelost voordat u naar de volgende opdracht, taak of stap gaat.

Vereisten controleren

Voordat u apps voor klantbetrokkenheid en SharePoint on-premises configureert voor op een server gebaseerde verificatie, moet aan de volgende vereisten zijn voldaan:

SharePoint-vereisten

  • SharePoint 2013 (on-premises) met Servicepack 1 (SP1) of een latere versie

    Belangrijk

    SharePoint Foundation 2013-versies worden niet ondersteund voor gebruik met documentbeheer van apps voor klantbetrokkenheid.

  • Installeer de cumulatieve update (CU) van april 2019 voor SharePoint 2013-productfamilie. Deze CU van april 2019 omvat alle opgeloste fouten van SharePoint 2013 (inclusief alle opgeloste beveiligingsfouten van SharePoint 2013) die sinds SP1 zijn uitgebracht. In de CU van april 2019 is SP1 niet opgenomen. U moet SP1 installeren voordat u de CU van april 2019 installeert. Meer informatie: KB4464514 SharePoint CU van april 2019 voor Server 2013

  • Configuratie van SharePoint

    • Als u SharePoint 2013 gebruikt, kan voor elke SharePoint-farm slechts één app voor klantbetrokkenheid worden geconfigureerd voor servergebaseerde integratie.

    • SharePoint-website moet toegankelijk zijn via internet. Een reverse proxy kan ook vereist zijn voor SharePoint-verificatie. Meer informatie: Een reverse proxy-apparaat configureren voor SharePoint Server 2013 hybride

    • De SharePoint-website moet worden geconfigureerd voor gebruik van TSL/SSL (HTTPS) via TCP-poort 443 (aangepaste poorten worden niet ondersteund) en het certificaat moet zijn uitgegeven door een openbare basiscertificeringsinstantie. Meer informatie: SharePoint: Over Secure Channel SSL-certificaten

    • Een betrouwbare gebruikerseigenschap om te gebruiken voor op claims gebaseerde verificatietoewijzing tussen SharePoint en apps voor klantbetrokkenheid. Meer informatie: Een claimtoewijzingstype selecteren

    • Voor het delen van documenten moet de SharePoint-zoekservice zijn ingeschakeld. Meer informatie: Een zoekservicetoepassing maken en configureren in SharePoint Server

    • Wanneer u de mobiele apps voor Dynamics 365 gebruikt, moet voor documentbeheerfunctionaliteit de on-premises SharePoint-server beschikbaar zijn via internet.

Andere vereisten

  • SharePoint Online-licentie. Voor apps voor klantbetrokkenheid naar SharePoint on-premises op server gebaseerde verificatie moet de SharePoint SPN (Service Principal Name) geregistreerd zijn in Microsoft Entra-id. Om dit te bereiken is ten minste één SharePoint Online-gebruikerslicentie vereist. De SharePoint Online-licentie kan uit één gebruikerslicentie voortkomen en komt meestal uit een van de volgende:

    • Een abonnement op SharePoint Online. Elk SharePoint Online-abonnement volstaat zelfs als de licentie niet aan een gebruiker is toegewezen.

    • Een Microsoft 365-abonnement dat SharePoint Online omvat. Als u bijvoorbeeld Microsoft 365 E3 hebt, hebt u de benodigde licentie nodig, zelfs als de licentie niet aan een gebruiker is toegewezen.

      Zie De juiste oplossing voor u vinden en SharePoint-opties vergelijken voor meer informatie over deze abonnementen

  • De volgende softwarefuncties zijn vereist om de PowerShell-cmdlets uit te voeren die in dit onderwerp worden beschreven.

    • Aanmeldhulp voor Microsoft Online Services voor IT-professionals bêta

    • MSOnlineExt

    • Als u de MSOnlineExt-module wilt installeren, voert u de volgende opdracht in vanuit een PowerShell-sessie als beheerder. PS> Install-Module -Name "MSOnlineExt"

    Belangrijk

    Op het moment van schrijven is er een probleem met de RTW-versie van Aanmeldhulp voor Microsoft Online Services voor IT-professionals. Totdat het probleem is opgelost, wordt u aangeraden de bêta-versie te gebruiken. Meer informatie: Microsoft Azure Forums: kan Microsoft Entra-module voor Windows PowerShell niet installeren. MOSSIA is niet geïnstalleerd.

  • Een geschikt type van op claims gebaseerde verificatietoewijzing om te gebruiken voor het toewijzen van identiteiten tussen apps voor klantbetrokkenheid en SharePoint on-premises. Standaard wordt e-mailadres gebruikt. Meer informatie: Apps voor klantbetrokkenheid machtiging verlenen voor toegang tot SharePoint en de op claims gebaseerde verificatietoewijzing configureren

SharePoint Server SPN bijwerken in Microsoft Entra Domein Services

Voer op de SharePoint on-premises server, in de SharePoint 2013 Management Shell, deze PowerShell-opdrachten uit in de vermelde volgorde.

  1. Bereid de PowerShell-sessie voor.

    Met de volgende cmdlets kan de computer externe opdrachten ontvangen en Microsoft 365-modules toevoegen aan de PowerShell-sessie. Zie voor meer informatie over deze cmdlets Windows PowerShell Core-cmdlets.

    Enable-PSRemoting -force  
New-PSSession  
Import-Module MSOnline -force  
Import-Module MSOnlineExtended -force

  2. Verbinding maken met Microsoft 365.

    Als u de opdracht Connect-MsolService uitvoert, moet u een geldig Microsoft-account opgeven dat lidmaatschap voor algemene beheerders heeft voor de SharePoint Online-licentie die vereist is.

    Raadpleeg voor meer informatie over elk van de hier genoemde PowerShell-opdrachten van Microsoft Entra-id MSDN: Microsoft Entra beheren met Windows PowerShell.

    $msolcred = get-credential  
connect-msolservice -credential $msolcred

  3. Stel de SharePoint-hostnaam in.

    De waarde die u voor de variabele Hostnaam instelt, moet de volledige hostnaam van de SharePoint-siteverzameling zijn. De hostnaam moet worden afgeleid van de siteverzamelings-URL en is hoofdlettergevoelig. In dit voorbeeld is de URL van de siteverzameling <https://SharePoint.constoso.com/sites/salesteam>, zodat de hostnaam SharePoint.contoso.com is.

    $HostName = "SharePoint.contoso.com"

  4. Verkrijg de Microsoft 365-object-id (tenant) en de SPN (Service Principal Name) van SharePoint Server.

    $SPOAppId = "00000003-0000-0ff1-ce00-000000000000"  
$SPOContextId = (Get-MsolCompanyInformation).ObjectID  
$SharePoint = Get-MsolServicePrincipal -AppPrincipalId $SPOAppId  
$ServicePrincipalName = $SharePoint.ServicePrincipalNames

  5. Stel de SPN (Service Principal Name) voor SharePoint Server in Microsoft Entra-id in.

    $ServicePrincipalName.Add("$SPOAppId/$HostName")   
Set-MsolServicePrincipal -AppPrincipalId $SPOAppId -ServicePrincipalNames $ServicePrincipalName

    Als deze opdrachten zijn voltooid, sluit u de SharePoint 2013 Management Shell niet en gaat u verder naar de volgende stap.

Het SharePoint-domein gelijk maken aan dat van SharePoint Online

Voer op de SharePoint on-premises server, in de SharePoint 2013 Management Shell, deze Windows PowerShell-opdracht uit.

De volgende opdracht vereist lidmaatschap van SharePoint-farmbeheerder en stelt het verificatierealm van de SharePoint on-premises farm in.

Let op

Door het uitvoeren van deze opdracht verandert het verificatierealm van de SharePoint on-premises farm. Voor toepassingen die een bestaande STS (Security Token Service) gebruiken, kan dit leiden tot onverwacht gedrag met andere toepassingen die toegangstokens gebruiken. Meer informatie: Set-SPAuthenticationRealm.

Set-SPAuthenticationRealm -Realm $SPOContextId

Een vertrouwde beveiligingstokenuitgever maken voor Microsoft Entra ID op SharePoint

Voer op de SharePoint on-premises server, in de SharePoint 2013 Management Shell, deze PowerShell-opdrachten uit in de vermelde volgorde.

De volgende opdrachten vereisen lidmaatschap van SharePoint-farmbeheerder.

Zie voor meer informatie over deze PowerShell-opdrachten Windows PowerShell-cmdlets gebruiken om beveiliging te beheren in SharePoint 2013.

  1. Schakel de PowerShell-sessie in om wijzigingen aan te brengen in de STS voor de SharePoint-farm.

    $c = Get-SPSecurityTokenServiceConfig  
$c.AllowMetadataOverHttp = $true  
$c.AllowOAuthOverHttp= $true  
$c.Update()

  2. Stel het meta-eindpunt in.

    $metadataEndpoint = "https://accounts.accesscontrol.windows.net/" + $SPOContextId + "/metadata/json/1"  
$acsissuer = "00000001-0000-0000-c000-000000000000@" + $SPOContextId  
$issuer = "00000007-0000-0000-c000-000000000000@" + $SPOContextId

  3. Maak de nieuwe toepassingsproxy voor de tokencontroleservice in Microsoft Entra-id

    New-SPAzureAccessControlServiceApplicationProxy -Name "Internal" -MetadataServiceEndpointUri $metadataEndpoint -DefaultProxyGroup

    Notitie

    De opdracht New- SPAzureAccessControlServiceApplicationProxy kan een foutbericht retourneren dat aangeeft dat een toepassingsproxy met dezelfde naam al bestaat. Als de benoemde toepassingsproxy al bestaat, kunt u de fout negeren.

  4. Maak de nieuwe uitgever van de tokencontroleservice in SharePoint on-premises voor Microsoft Entra-id.

    $acs = New-SPTrustedSecurityTokenIssuer –Name "ACSInternal" –IsTrustBroker:$true –MetadataEndpoint $metadataEndpoint -RegisteredIssuerName $acsissuer

Apps voor klantbetrokkenheid machtigen toegang tot SharePoint te verkrijgen en de op claims gebaseerde verificatietoewijzing te configureren

Voer op de SharePoint on-premises server, in de SharePoint 2013 Management Shell, deze PowerShell-opdrachten uit in de vermelde volgorde.

De volgende opdrachten vereisen lidmaatschap van SharePoint-siteverzamelingsbeheer.

  1. Registreer apps voor klantbetrokkenheid bij de SharePoint-siteverzameling.

    Typ de siteverzamelings-URL van SharePoint on-premises. In dit voorbeeld wordt https://sharepoint.contoso.com/sites/crm/ gebruikt.

    Belangrijk

    Om deze opdracht te voltooien moet de servicetoepassingsproxy van het SharePoint-appbeheer bestaan en actief zijn. Voor meer informatie over hoe u de service start en configureert, raadpleegt u het subonderwerp De abonnementsinstellingen en de servicetoepassing voor appbeheer configureren in Een omgeving configureren voor apps voor SharePoint (SharePoint 2013).

    $site = Get-SPSite "https://sharepoint.contoso.com/sites/crm/"  
Register-SPAppPrincipal -site $site.RootWeb -NameIdentifier $issuer -DisplayName "crm"

  2. Verleen apps voor klantbetrokkenheid toegang tot de SharePoint-site. Vervang https://sharepoint.contoso.com/sites/crm/ door uw SharePoint-site-URL.

    Notitie

    In het onderstaande voorbeeld, is aan de app voor klantbetrokkenheid machtiging verleend voor de opgegeven SharePoint-siteverzameling met de parameter via de parameter –Scope sitecollection. De parameter Scope accepteert de volgende opties. Kies het bereik dat het meest geschikt is voor uw SharePoint-configuratie.

    • site. Verleent de app voor klantbetrokkenheid alleen machtiging voor de opgegeven SharePoint-website. Er wordt geen machtiging verleend voor subsites onder de benoemde site.
      • sitecollection. Verleent de apps voor klantbetrokkenheid machtiging voor alle websites en subsites binnen de opgegeven SharePoint-siteverzameling.
      • sitesubscription. Verleent de apps voor klantbetrokkenheid machtiging voro alle websites in de SharePoint-farm, met inbegrip van alle siteverzamelingen, websites en subsites.
    $app = Get-SPAppPrincipal -NameIdentifier $issuer -Site "https://sharepoint.contoso.com/sites/crm/"  
Set-SPAppPrincipalPermission -AppPrincipal $app -Site $site.Rootweb -Scope "sitecollection" -Right "FullControl"

  3. Stel het toewijzingstype van op claims gebaseerde verificatie in.

    Belangrijk

    Standaard gebruikt de toewijzing van op claims gebaseerde verificatie het e-mailadres van het Microsoft-account van de gebruiker en het werke-mailadres van SharePoint on-premises voor de toewijzing. Als u dit gebruikt, moeten de e-mailadressen van de gebruiker overeenkomen tussen de twee systemen. Voor meer informatie raadpleegt u Een op claims gebaseerd type verificatietoewijzing selecteren.

    $map1 = New-SPClaimTypeMapping -IncomingClaimType "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress" -IncomingClaimTypeDisplayName "EmailAddress" -SameAsIncoming

Wizard Op server gebaseerde SharePoint-integratie uitvoeren

Volg deze stappen:

  1. Controleer of u de juiste bevoegdheid hebt om de wizard uit te voeren. Meer informatie: Vereiste machtigingen

  2. Ga naar Instellingen>Documentbeheer.

  3. Klik in het gebied Documentbeheer op Op server gebaseerde SharePoint-integratie inschakelen.

  4. Bekijk de informatie en klik op Volgende.

  5. Klik voor de SharePoint-sites op On-Premises en vervolgens op Volgende.

  6. Voer de SharePoint on-premises siteverzamelings-URL, zoals https://sharepoint.contoso.com/sites/crm. De site moet voor SSL zijn geconfigureerd.

  7. Klik op Volgende.

  8. De sectie voor het valideren van sites wordt weergegeven. Als is bepaald dat alle sites geldig zijn, klikt u op Inschakelen. Als een of meer locaties ongeldig blijken te zijn, raadpleegt u Problemen oplossen met op server gebaseerde verificatie.

De entiteiten selecteren die u in documentbeheer wilt opnemen

Standaard worden de entiteiten Account, Artikel, Potentiële klant, Product, Prijsopgave en Verkoopdocumentatie opgenomen. U kunt de entiteiten toevoegen of verwijderen die voor documentbeheer worden gebruikt, met SharePoint in Instellingen voor documentbeheer. Ga naar Instellingen>Documentbeheer. Meer informatie: Documentbeheer voor entiteiten inschakelen

Integratie van OneDrive voor Bedrijven toevoegen

Nadat u een op een server gebaseerd verificatieconfiguratie van apps voor klantbetrokkenheid en SharePoint on-premises hebt voltooid, kunt u ook OneDrive voor Bedrijven integreren. Met apps voor klantbetrokkenheid en OneDrive voor Bedrijven geïntegreerd, kunnen gebruikers persoonlijke documenten maken en beheren met OneDrive voor Bedrijven. Deze documenten kunnen worden geopend zodra de systeembeheerder OneDrive voor Bedrijven heeft ingeschakeld.

OneDrive voor Bedrijven inschakelen

Open op de Windows Server waar SharePoint Server on-premises wordt uitgevoerd, de SharePoint Management Shell en voer de volgende opdrachten uit:

Add-Pssnapin *  
# Access WellKnown App principal  
[Microsoft.SharePoint.Administration.SPWebService]::ContentService.WellKnownAppPrincipals  
  
# Create WellKnown App principal  
$ClientId = "00000007-0000-0000-c000-000000000000"  
$PermissionXml = "<AppPermissionRequests AllowAppOnlyPolicy=""true""><AppPermissionRequest Scope=""http://sharepoint/content/tenant"" Right=""FullControl"" /><AppPermissionRequest Scope=""http://sharepoint/social/tenant"" Right=""Read"" /><AppPermissionRequest Scope=""http://sharepoint/search"" Right=""QueryAsUserIgnoreAppPrincipal"" /></AppPermissionRequests>"  
  
$wellKnownApp= New-Object -TypeName "Microsoft.SharePoint.Administration.SPWellKnownAppPrincipal" -ArgumentList ($ClientId, $PermissionXml)  
  
$wellKnownApp.Update()

Een toewijzingstype voor op claims gebaseerde verificatie selecteren

Standaard gebruikt de toewijzing van op claims gebaseerde verificatie het e-mailadres van het Microsoft-account van de gebruiker en het werke-mailadres van SharePoint on-premises voor de toewijzing. Denk eraan dat wat voor op claims gebaseerde verificatie u ook gebruikt, de waarden, zoals e-mailadressen, moeten overeenkomen tussen apps voor klantbetrokkenheid en SharePoint. Microsoft 365-directorysynchronisatie kan hierbij helpen. Meer informatie: Microsoft 365-directorysynchronisatie implementeren in Microsoft Azure. Als u een ander type van op claims gebaseerde verificatietoewijzing wilt gebruiken, raadpleegt u Aangepaste claimtoewijzing voor op SharePoint-server gebaseerde integratie definiëren.

Belangrijk

Om de eigenschap Werke-mail in te schakelen moet SharePoint on-premises een gebruikersprofielservicetoepassing hebben geconfigureerd en gestart. Als u een gebruikersprofielservicetoepassing wilt inschakelen in SharePoint, raadpleegt u Gebruikersprofielservicetoepassingen maken, bewerken of verwijderen in SharePoint Server 2013. Als u wijzigingen wilt aanbrengen in een gebruikerseigenschap, zoals Werke-mail, raadpleegt u Een gebruikersprofieleigenschap bewerken Voor meer informatie over de gebruikersprofielservicetoepassing raadpleegt u Overzicht van de gebruikersprofielservicetoepassing in SharePoint Server 2013.

Zie ook

Problemen oplossen met serververificatie
SharePoint-integratie instellen met apps voor klantbetrokkenheid