Włączanie dostępu zdalnego do programu SharePoint przy użyciu serwera proxy aplikacji usługi Microsoft Entra

W tym przewodniku krok po kroku wyjaśniono, jak zintegrować lokalną farmę programu SharePoint z serwerem proxy aplikacji Firmy Microsoft Entra.

Wymagania wstępne

Do wykonania konfiguracji potrzebne są następujące zasoby:

• Farma programu SharePoint 2013 lub nowsza. Farma programu SharePoint musi być zintegrowana z identyfikatorem Entra firmy Microsoft.
• Dzierżawa firmy Microsoft Entra z planem obejmującym serwer proxy aplikacji. Dowiedz się więcej o planach i cenach usługi Microsoft Entra ID.
• Farma programu Microsoft Office Web Apps Server do prawidłowego uruchamiania plików pakietu Office z lokalnej farmy programu SharePoint.
• Niestandardowa, zweryfikowana domena w dzierżawie firmy Microsoft Entra.
• Lokalna usługa Active Directory zsynchronizowana z firmą Microsoft Entra Połączenie, za pośrednictwem której użytkownicy mogą logować się na platformie Azure.
• łącznik sieci prywatnej zainstalowany i uruchomiony na maszynie w domenie firmowej.

Konfigurowanie programu SharePoint z serwerem proxy aplikacji wymaga dwóch adresów URL:

• Zewnętrzny adres URL widoczny dla użytkowników końcowych i określony w identyfikatorze Entra firmy Microsoft. Ten adres URL może używać domeny niestandardowej. Dowiedz się więcej na temat pracy z domenami niestandardowymi na serwerze proxy aplikacji Firmy Microsoft Entra.
• Wewnętrzny adres URL, znany tylko w domenie firmowej i nigdy nie był używany bezpośrednio.

Ważne

Aby upewnić się, że linki są poprawnie mapowane, postępuj zgodnie z poniższymi zaleceniami dotyczącymi wewnętrznego adresu URL:

• Użyj protokołu HTTPS.
• Nie używaj portów niestandardowych.
• W firmowym systemie nazw domen (DNS) utwórz hosta (A), aby wskazać program SharePoint WFE (lub moduł równoważenia obciążenia), a nie alias (CName).

W tym artykule są używane następujące wartości:

• Wewnętrzny adres URL: https://sharepoint.
• Zewnętrzny adres URL: https://spsites-demo1984.msappproxy.net/.
• Konto puli aplikacji dla aplikacji internetowej programu SharePoint: Contoso\spapppool.

Krok 1. Konfigurowanie aplikacji w identyfikatorze Entra firmy Microsoft używającym serwera proxy aplikacji

W tym kroku utworzysz aplikację w dzierżawie firmy Microsoft Entra, która używa serwera proxy aplikacji. Ustawiasz zewnętrzny adres URL i określasz wewnętrzny adres URL, który jest używany w dalszej części programu SharePoint.

1. Utwórz aplikację zgodnie z opisem przy użyciu następujących ustawień. Aby uzyskać instrukcje krok po kroku, zobacz Publikowanie aplikacji przy użyciu serwera proxy aplikacji Firmy Microsoft Entra.

   • Wewnętrzny adres URL: wewnętrzny adres URL programu SharePoint ustawiony później w programie SharePoint, taki jak https://sharepoint.
   • Wstępne uwierzytelnianie: Microsoft Entra ID.
   • Przetłumacz adresy URL w nagłówkach: No.
   • Tłumaczenie adresów URL w treści aplikacji: No.

   

2. Po opublikowaniu aplikacji wykonaj następujące kroki, aby skonfigurować ustawienia logowania jednokrotnego.

   1. Na stronie aplikacji w portalu wybierz pozycję Logowanie jednokrotne.
   2. W obszarze Tryb logowania jednokrotnego wybierz pozycję Zintegrowane uwierzytelnianie systemu Windows.
   3. Ustaw nazwę główną usługi aplikacji wewnętrznej (SPN) na wartość ustawioną wcześniej. W tym przykładzie wartość to HTTP/sharepoint.
   4. W obszarze Tożsamość logowania delegowanego wybierz najbardziej odpowiednią opcję konfiguracji lasu usługi Active Directory. Jeśli na przykład masz pojedynczą domenę usługi Active Directory w lesie, wybierz pozycję Lokalna nazwa konta SAM (jak pokazano na poniższym zrzucie ekranu). Jeśli jednak użytkownicy nie znajdują się w tej samej domenie co program SharePoint i serwery łącznika sieci prywatnej, wybierz pozycję Główna nazwa użytkownika lokalnego (nie jest wyświetlana na zrzucie ekranu).

   

3. Zakończ konfigurowanie aplikacji, przejdź do sekcji Użytkownicy i grupy i przypisz użytkowników, aby uzyskać dostęp do tej aplikacji.

Krok 2. Konfigurowanie aplikacji internetowej programu SharePoint

Aplikacja sieci Web programu SharePoint musi być skonfigurowana przy użyciu protokołu Kerberos i odpowiednie mapowania dostępu alternatywnego, aby działały prawidłowo z serwerem proxy aplikacji Firmy Microsoft Entra. Dostępne są dwie możliwe opcje:

• Utwórz nową aplikację internetową i użyj tylko strefy domyślnej. Użycie strefy domyślnej jest preferowaną opcją, oferuje najlepsze środowisko pracy z programem SharePoint. Na przykład linki w alertach e-mail generowanych przez program SharePoint wskazują strefę domyślną.
• Rozszerz istniejącą aplikację internetową, aby skonfigurować protokół Kerberos w strefie innej niż domyślna.

Ważne

Niezależnie od używanej strefy konto puli aplikacji internetowej programu SharePoint musi być kontem domeny, aby protokół Kerberos działał prawidłowo.

Tworzenie aplikacji internetowej programu SharePoint

• Skrypt przedstawia przykład tworzenia nowej aplikacji internetowej przy użyciu strefy domyślnej. użycie strefy domyślnej jest preferowaną opcją.

  1. Uruchom powłokę zarządzania programu SharePoint i uruchom skrypt.

     # This script creates a web application and configures the Default zone with the internal/external URL needed to work with Azure AD application proxy
     # Edit variables below to fit your environment. Note that the managed account must exist and it must be a domain account
     $internalUrl = "https://sharepoint"
     $externalUrl = "https://spsites-demo1984.msappproxy.net/"
     $applicationPoolManagedAccount = "Contoso\spapppool"
     
     $winAp = New-SPAuthenticationProvider -UseWindowsIntegratedAuthentication -DisableKerberos:$false
     $wa = New-SPWebApplication -Name "SharePoint - AAD Proxy" -Port 443 -SecureSocketsLayer -URL $externalUrl -ApplicationPool "SharePoint - AAD Proxy" -ApplicationPoolAccount (Get-SPManagedAccount $applicationPoolManagedAccount) -AuthenticationProvider $winAp
     New-SPAlternateURL -Url $internalUrl -WebApplication $wa -Zone Default -Internal
     

  2. Otwórz witrynę Administracja istration programu SharePoint Central.

  3. W obszarze System Ustawienia wybierz pozycję Konfiguruj mapowania dostępu alternatywnego. Zostanie otwarte pole Kolekcja mapowania dostępu alternatywnego.

  4. Filtruj ekran przy użyciu nowej aplikacji internetowej.

     

• Jeśli rozszerzysz istniejącą aplikację internetową na nową strefę.

  1. Uruchom powłokę zarządzania programu SharePoint i uruchom następujący skrypt.

     # This script extends an existing web application to Internet zone with the internal/external URL needed to work with Azure AD application proxy
     # Edit variables below to fit your environment
     $webAppUrl = "http://spsites/"
     $internalUrl = "https://sharepoint"
     $externalUrl = "https://spsites-demo1984.msappproxy.net/"
     
     $winAp = New-SPAuthenticationProvider -UseWindowsIntegratedAuthentication -DisableKerberos:$false
     $wa = Get-SPWebApplication $webAppUrl
     New-SPWebApplicationExtension -Name "SharePoint - AAD Proxy" -Identity $wa -SecureSocketsLayer -Zone Extranet -Url $externalUrl -AuthenticationProvider $winAp
     New-SPAlternateURL -Url $internalUrl -WebApplication $wa -Zone Extranet -Internal
     

  '. Otwórz witrynę Administracja istration programu SharePoint Central.

  1. W obszarze System Ustawienia wybierz pozycję Konfiguruj mapowania dostępu alternatywnego. Zostanie otwarte pole Kolekcja mapowania dostępu alternatywnego.

  2. Filtruj ekran przy użyciu rozszerzonej aplikacji internetowej.

     

Upewnij się, że aplikacja internetowa programu SharePoint jest uruchomiona na koncie domeny

Aby zidentyfikować konto z uruchomioną pulą aplikacji internetowej programu SharePoint i upewnić się, że jest to konto domeny, wykonaj następujące kroki:

1. Otwórz witrynę Administracja istration programu SharePoint Central.

2. Przejdź do pozycji Zabezpieczenia i wybierz pozycję Konfiguruj konta usług.

3. Wybierz pozycję Pula aplikacji internetowych — Nazwa_aplikacji internetowej.

   

4. Upewnij się, że wybranie konta dla tego składnika zwraca konto domeny i zapamiętaj je, ponieważ jest ono używane w następnym kroku.

Upewnij się, że certyfikat HTTPS jest skonfigurowany dla witryny usług IIS strefy ekstranetu

Ponieważ wewnętrzny adres URL używa protokołu HTTPS (https://SharePoint/), należy ustawić certyfikat w witrynie internetowych usług informacyjnych (IIS).

1. Otwórz konsolę programu Windows PowerShell.

2. Uruchom następujący skrypt, aby wygenerować certyfikat z podpisem własnym i dodać go do komputera MY store.

   # Replace "SharePoint" with the actual hostname of the Internal URL of your Azure AD proxy application
   New-SelfSignedCertificate -DnsName "SharePoint" -CertStoreLocation "cert:\LocalMachine\My"
   

   Ważne

   Certyfikaty z podpisem własnym są odpowiednie tylko do celów testowych. W środowiskach produkcyjnych zdecydowanie zalecamy użycie certyfikatów wystawionych przez urząd certyfikacji.

3. Otwórz konsolę Internet Information Services Manager.

4. Rozwiń serwer w widoku drzewa, rozwiń węzeł Witryny, wybierz witrynę serwera proxy programu SharePoint — Microsoft Entra ID i wybierz pozycję Powiązania.

5. Wybierz pozycję Powiązanie https, a następnie wybierz pozycję Edytuj.

6. W polu Certyfikat TLS/SSL wybierz pozycję Certyfikat programu SharePoint , a następnie wybierz przycisk OK.

Teraz możesz uzyskać dostęp do witryny programu SharePoint zewnętrznie za pośrednictwem serwera proxy aplikacji Firmy Microsoft Entra.

Krok 3. Konfigurowanie ograniczonego delegowania protokołu Kerberos

Użytkownicy początkowo uwierzytelniają się w identyfikatorze Entra firmy Microsoft, a następnie w programie SharePoint przy użyciu protokołu Kerberos za pośrednictwem łącznika sieci prywatnej firmy Microsoft Entra. Aby umożliwić łącznikowi uzyskanie tokenu Protokołu Kerberos w imieniu użytkownika microsoft Entra, należy skonfigurować delegowanie ograniczone protokołu Kerberos (KCD) z przejściem protokołu. Aby dowiedzieć się więcej na temat KCD, zobacz Omówienie ograniczonego delegowania protokołu Kerberos.

Ustawianie głównej nazwy usługi (SPN) dla konta usługi SharePoint

W tym artykule wewnętrzny adres URL to https://sharepoint, a więc główna nazwa usługi (SPN) to HTTP/sharepoint. Należy zastąpić te wartości wartości wartościami odpowiadającymi środowisku. Aby zarejestrować nazwę SPN HTTP/sharepoint dla konta Contoso\spapppoolpuli aplikacji programu SharePoint, uruchom następujące polecenie w wierszu polecenia jako administrator domeny:

setspn -S HTTP/sharepoint Contoso\spapppool

Polecenie Setspn wyszukuje nazwę SPN przed jego dodaniu. Jeśli nazwa SPN już istnieje, zostanie wyświetlony błąd zduplikowanej wartości SPN. Usuń istniejącą nazwę SPN. Sprawdź, czy nazwa SPN została pomyślnie dodana, uruchamiając Setspn polecenie z opcją -L . Aby dowiedzieć się więcej o poleceniu, zobacz Setspn.

Upewnij się, że łącznik jest zaufany do delegowania do głównej nazwy usługi, która została dodana do konta puli aplikacji programu SharePoint

Skonfiguruj klucz KCD, aby usługa serwera proxy aplikacji Entra firmy Microsoft mogła delegować tożsamości użytkowników do konta puli aplikacji programu SharePoint. Skonfiguruj usługę KCD, włączając łącznik sieci prywatnej w celu pobrania biletów Protokołu Kerberos dla użytkowników uwierzytelnionych w usłudze Microsoft Entra ID. Następnie serwer przekazuje kontekst do aplikacji docelowej (w tym przypadku programu SharePoint).

Aby skonfigurować KCD, wykonaj następujące kroki dla każdej maszyny łącznika:

1. Zaloguj się do kontrolera domeny jako administrator domeny, a następnie otwórz Użytkownicy i komputery usługi Active Directory.

2. Znajdź komputer z uruchomionym łącznikiem sieci prywatnej firmy Microsoft Entra. W tym przykładzie jest to komputer z uruchomionym programem SharePoint Server.

3. Kliknij dwukrotnie komputer, a następnie wybierz kartę Delegowanie .

4. Upewnij się, że opcje delegowania są ustawione na Ufaj temu komputerowi na potrzeby delegowania tylko do określonych usług. Następnie wybierz pozycję Użyj dowolnego protokołu uwierzytelniania.

5. Wybierz przycisk Dodaj, wybierz pozycję Użytkownicy lub komputery i znajdź konto puli aplikacji programu SharePoint. Na przykład: Contoso\spapppool.

6. Z listy SPN wybierz nazwę usługi utworzoną wcześniej dla konta usługi.

7. Wybierz przycisk OK , a następnie ponownie wybierz przycisk OK , aby zapisać zmiany.

   

Teraz możesz zalogować się do programu SharePoint przy użyciu zewnętrznego adresu URL i uwierzytelnić się na platformie Azure.

Rozwiązywanie problemów z błędami logowania

Jeśli logowanie do witryny nie działa, możesz uzyskać więcej informacji na temat problemu w dziennikach Połączenie or: Na maszynie z uruchomionym łącznikiem otwórz podgląd zdarzeń, przejdź do obszaru Dzienniki>aplikacji i usług Microsoft>Entra private network> Połączenie or i sprawdź dziennik Administracja.

Następne kroki

• Praca z domenami niestandardowymi na serwerze proxy aplikacji firmy Microsoft Entra
• Omówienie łączników sieci prywatnej firmy Microsoft Entra