Włączanie dostępu zdalnego do programu SharePoint przy użyciu serwera proxy aplikacji firmy Microsoft Entra

W tym przewodniku krok po kroku wyjaśniono, jak zintegrować lokalną farmę programu SharePoint z serwerem proxy aplikacji Firmy Microsoft Entra.

Warunki wstępne

Do wykonania konfiguracji potrzebne są następujące zasoby:

• Farma programu SharePoint 2016 lub nowsza.
• Klient Microsoft Entra z planem obejmującym proxy aplikacji. Dowiedz się więcej o planach Microsoft Entra ID i cenniku.
• Farma programu Microsoft Office Web Apps Server do prawidłowego uruchamiania plików pakietu Office z lokalnej farmy programu SharePoint.
• W dzierżawie Microsoft Entra znajduje się niestandardowa, zweryfikowana domena .
• Lokalne wdrożenia usługi Active Directory synchronizowane z programem Microsoft Entra Connect, za pośrednictwem których użytkownicy mogą logować się na platformie Azure.
• Łącznik sieci prywatnej został zainstalowany i uruchomiony na maszynie w domenie firmowej.

Konfigurowanie programu SharePoint z serwerem proxy aplikacji wymaga dwóch adresów URL:

• Zewnętrzny adres URL widoczny dla użytkowników końcowych i określony w identyfikatorze Entra firmy Microsoft. Ten adres URL może używać domeny niestandardowej. Dowiedz się więcej o pracy z domenami niestandardowymi w usłudze Microsoft Entra application proxy.
• Wewnętrzny adres URL, znany tylko w domenie firmowej i nigdy nie był używany bezpośrednio.

Ważny

Aby upewnić się, że linki są poprawnie mapowane, postępuj zgodnie z poniższymi zaleceniami dotyczącymi wewnętrznego adresu URL:

• Użyj protokołu HTTPS.
• Nie używaj portów niestandardowych.
• Utwórz rekord hosta (A) w firmowym systemie nazw domen (DNS), który wskazuje na frontową część serwisu SharePoint (WFE) lub moduł równoważenia obciążenia, zamiast aliasu (CName rekord).

W tym artykule są używane następujące wartości:

• Wewnętrzny adres URL: https://sharepoint.
• Zewnętrzny adres URL: https://spsites-demo1984.msappproxy.net/.
• Konto puli aplikacji dla aplikacji internetowej programu SharePoint: Contoso\spapppool.

Krok 1. Skonfiguruj aplikację w Microsoft Entra ID, która używa proxy aplikacji

W tym kroku utworzysz aplikację w dzierżawie Microsoft Entra, która używa proxy aplikacji. Ustawiasz zewnętrzny adres URL i określasz wewnętrzny adres URL, który jest używany w dalszej części programu SharePoint.

1. Utwórz aplikację zgodnie z opisem przy użyciu następujących ustawień. Aby uzyskać instrukcje krok po kroku, zobacz publikowanie aplikacji przy użyciu serwera proxy aplikacji Microsoft Entra.

   • wewnętrzny adres URL: wewnętrzny adres URL programu SharePoint, który jest później konfigurowany w SharePoint, taki jak https://sharepoint.
   • uwierzytelnianie wstępne: Microsoft Entra ID.
   • Tłumaczenie Adresów URL w Nagłówkach: No.
   • Tłumaczenie adresów URL w treści aplikacji: No.

   aplikacji

2. Po opublikowaniu aplikacji wykonaj następujące kroki, aby skonfigurować ustawienia logowania jednokrotnego.

   1. Na stronie aplikacji w portalu wybierz pozycję logowanie jednokrotne.
   2. W przypadku trybu logowania jednokrotnego wybierz pozycję Zintegrowane uwierzytelnianie systemu Windows.
   3. Ustaw wewnętrzną nazwę główną usługi aplikacji (SPN) na ustawioną wcześniej wartość. W tym przykładzie wartość to HTTP/sharepoint.
   4. W obszarze delegowanej tożsamości logowaniawybierz najbardziej odpowiednią opcję konfiguracji lasu usługi Active Directory. Jeśli na przykład masz jedną domenę usługi Active Directory w lesie, wybierz nazwę lokalnego konta SAM (jak pokazano na poniższym zrzucie ekranu). Jeśli jednak użytkownicy nie znajdują się w tej samej domenie co program SharePoint i serwery łącznika sieci prywatnej, wybierz nazwę główną użytkownika lokalnego (nie pokazano na zrzucie ekranu).

   

3. Zakończ konfigurację aplikacji, przejdź do sekcji Użytkownicy i grupy i przypisz użytkownikom dostęp do tej aplikacji.

Krok 2. Konfigurowanie aplikacji internetowej programu SharePoint

Aplikacja sieci Web programu SharePoint musi być skonfigurowana przy użyciu protokołu Kerberos i odpowiedniego mapowania dostępu alternatywnego, aby działała prawidłowo z serwerem proxy aplikacji Microsoft Entra. Dostępne są dwie możliwe opcje:

• Utwórz nową aplikację internetową i użyj tylko domyślnej strefy . Użycie strefy domyślnej jest preferowaną opcją, oferuje najlepsze środowisko pracy z programem SharePoint. Na przykład linki w alertach e-mail, które generuje SharePoint, wskazują na domyślną strefę .
• Rozszerz istniejącą aplikację internetową, aby skonfigurować protokół Kerberos w strefie niezdefaultowej.

Ważny

Niezależnie od używanej strefy konto puli aplikacji internetowej programu SharePoint musi być kontem domeny, aby protokół Kerberos działał poprawnie.

Tworzenie aplikacji internetowej programu SharePoint

• Skrypt przedstawia przykład tworzenia nowej aplikacji internetowej przy użyciu domyślnej strefy . użycie strefy domyślnej jest preferowaną opcją.

  1. Uruchom Powłokę zarządzania SharePoint i uruchom skrypt.

     # This script creates a web application and configures the Default zone with the internal/external URL needed to work with Azure AD application proxy
     # Edit variables below to fit your environment. Note that the managed account must exist and it must be a domain account
     $internalUrl = "https://sharepoint"
     $externalUrl = "https://spsites-demo1984.msappproxy.net/"
     $applicationPoolManagedAccount = "Contoso\spapppool"
     
     $winAp = New-SPAuthenticationProvider -UseWindowsIntegratedAuthentication -DisableKerberos:$false
     $wa = New-SPWebApplication -Name "SharePoint - AAD Proxy" -Port 443 -SecureSocketsLayer -URL $externalUrl -ApplicationPool "SharePoint - AAD Proxy" -ApplicationPoolAccount (Get-SPManagedAccount $applicationPoolManagedAccount) -AuthenticationProvider $winAp
     New-SPAlternateURL -Url $internalUrl -WebApplication $wa -Zone Default -Internal
     

  2. Otwórz witrynę administracji centralnej programu SharePoint.

  3. W obszarze Ustawienia systemuwybierz opcję Konfiguracja alternatywnych mapowań dostępu. Okno mapowania alternatywnego dostępu zostanie otwarte.

  4. Filtruj ekran przy użyciu nowej aplikacji internetowej.

     

• Jeśli rozszerzysz istniejącą aplikację internetową na nową strefę.

  1. Uruchom powłokę zarządzania SharePoint i wykonaj następujący skrypt.

     # This script extends an existing web application to Internet zone with the internal/external URL needed to work with Azure AD application proxy
     # Edit variables below to fit your environment
     $webAppUrl = "http://spsites/"
     $internalUrl = "https://sharepoint"
     $externalUrl = "https://spsites-demo1984.msappproxy.net/"
     
     $winAp = New-SPAuthenticationProvider -UseWindowsIntegratedAuthentication -DisableKerberos:$false
     $wa = Get-SPWebApplication $webAppUrl
     New-SPWebApplicationExtension -Name "SharePoint - AAD Proxy" -Identity $wa -SecureSocketsLayer -Zone Extranet -Url $externalUrl -AuthenticationProvider $winAp
     New-SPAlternateURL -Url $internalUrl -WebApplication $wa -Zone Extranet -Internal
     

  `. Otwórz witrynę administracji centralnej programu SharePoint.

  1. W obszarze Ustawienia systemuwybierz opcję Konfiguracja alternatywnych mapowań dostępu. Okno mapowania alternatywnego dostępu zostanie otwarte.

  2. Filtruj ekran przy użyciu rozszerzonej aplikacji internetowej.

     

Upewnij się, że aplikacja internetowa programu SharePoint jest uruchomiona na koncie domeny

Aby zidentyfikować konto z uruchomioną pulą aplikacji internetowej programu SharePoint i upewnić się, że jest to konto domeny, wykonaj następujące kroki:

1. Otwórz witrynę administracji centralnej programu SharePoint.

2. Przejdź do zabezpieczeń i wybierz pozycję Konfiguruj konta usług.

3. Wybierz pulę aplikacji internetowej - YourWebApplicationName.

   

4. Upewnij się, że Wybierz konto dla tego składnika, zwraca konto domeny i pamiętaj, że jest ono używane w następnym kroku.

Upewnij się, że certyfikat HTTPS jest skonfigurowany dla witryny usług IIS strefy ekstranetu

Ponieważ wewnętrzny adres URL używa protokołu HTTPS (https://SharePoint/), należy ustawić certyfikat w witrynie internetowych usług informacyjnych (IIS).

1. Otwórz konsolę programu Windows PowerShell.

2. Uruchom następujący skrypt, aby wygenerować certyfikat z podpisem własnym i dodać go do MY storekomputera.

   # Replace "SharePoint" with the actual hostname of the Internal URL of your Azure AD proxy application
   New-SelfSignedCertificate -DnsName "SharePoint" -CertStoreLocation "cert:\LocalMachine\My"
   

   Ważny

   Certyfikaty z podpisem własnym są odpowiednie tylko do celów testowych. W środowiskach produkcyjnych zdecydowanie zalecamy użycie certyfikatów wystawionych przez urząd certyfikacji.

3. Otwórz konsolę Internet Information Services Manager.

4. Rozwiń serwer w widoku drzewa, rozwiń węzeł Witryny, wybierz witrynę SharePoint — Microsoft Entra ID Proxy, a następnie wybierz Powiązania.

5. Wybierz powiązania https, a następnie wybierz Edytuj.

6. W polu Certyfikat protokołu TLS (Transport Layer Security) wybierz pozycję Certyfikat programu SharePoint , a następnie wybierz przycisk OK.

Teraz możesz uzyskać dostęp do witryny programu SharePoint zewnętrznie za pośrednictwem serwera proxy aplikacji Firmy Microsoft Entra.

Krok 3: Konfiguracja ograniczonego delegowania Kerberos

Użytkownicy początkowo uwierzytelniają się w identyfikatorze Entra firmy Microsoft, a następnie w programie SharePoint przy użyciu protokołu Kerberos za pośrednictwem łącznika sieci prywatnej firmy Microsoft Entra. Aby umożliwić łącznikowi uzyskanie tokenu Kerberos w imieniu użytkownika Microsoft Entra, należy skonfigurować Delegowanie Ograniczone Kerberos (KCD) z przejściem protokołu. Aby dowiedzieć się więcej na temat KCD, zapoznaj się z ogólnym omówieniem Ograniczonego Delegowania Kerberos.

Ustawianie głównej nazwy usługi (SPN) dla konta usługi SharePoint

W tym artykule wewnętrzny adres URL jest https://sharepoint, a więc główna nazwa usługi (SPN) jest HTTP/sharepoint. Należy zastąpić te wartości tymi, które odpowiadają środowisku. Aby zarejestrować SPN HTTP/sharepoint dla konta puli aplikacji SharePoint Contoso\spapppool, otwórz konsolę poleceń i wykonaj następujące polecenie jako administrator domeny:

setspn -S HTTP/sharepoint Contoso\spapppool

Polecenie Setspn wyszukuje nazwę SPN przed jego dodaniem. Jeśli nazwa SPN już istnieje, wyświetli się błąd zduplikowana wartość SPN. Usuń istniejący SPN. Sprawdź, czy SPN została pomyślnie dodana, uruchamiając polecenie Setspn z opcją -L. Aby dowiedzieć się więcej o poleceniu, zobacz Setspn.

Upewnij się, że łącznik jest zaufany do delegowania do głównej nazwy usługi, która została dodana do konta puli aplikacji programu SharePoint

Skonfiguruj usługę KCD, aby usługa serwera proxy aplikacji Microsoft Entra mogła delegować tożsamości użytkowników do konta puli aplikacji SharePoint. Skonfiguruj KCD, włączając łącznik sieci prywatnej, aby pobrać bilety Kerberos dla użytkowników uwierzytelnionych w Microsoft Entra ID. Następnie serwer przekazuje kontekst do aplikacji docelowej (w tym przypadku programu SharePoint).

Aby skonfigurować KCD, wykonaj następujące kroki dla każdej maszyny łącznika:

1. Zaloguj się do kontrolera domeny jako administrator domeny, a następnie otwórz przystawkę Użytkownicy i komputery usługi Active Directory.

2. Znajdź komputer z uruchomionym łącznikiem sieci prywatnej firmy Microsoft Entra. W tym przykładzie jest to komputer z uruchomionym programem SharePoint Server.

3. Kliknij dwukrotnie na komputerze, a następnie wybierz zakładkę Delegowanie.

4. Upewnij się, że opcje delegowania są ustawione na Ufaj temu komputerowi w celu delegowania do określonych usług tylko. Następnie wybierz pozycję Użyj dowolnego protokołu uwierzytelniania.

5. Wybierz przycisk Dodaj, wybierz Użytkownicy lub Komputery , i znajdź konto puli aplikacji programu SharePoint. Na przykład: Contoso\spapppool.

6. Z listy SPN wybierz tę, którą utworzyłeś wcześniej dla konta usługi.

7. Wybierz pozycję OK, a następnie ponownie wybierz pozycję OK, aby zapisać zmiany.

   ustawienia delegowania

Teraz możesz zalogować się do programu SharePoint przy użyciu zewnętrznego adresu URL i uwierzytelnić się na platformie Azure.

Rozwiązywanie problemów z błędami logowania

Jeśli logowanie do witryny nie działa, możesz uzyskać więcej informacji na temat problemu w dziennikach łącznika: Na maszynie z uruchomionym łącznikiem otwórz podgląd zdarzeń, przejdź do obszaru Dzienniki aplikacji i usług>Microsoft>Microsoft Entra private network>Connector, i sprawdź dziennik Admin.

Następne kroki

• Praca z Domenami Niestandardowymi w Serwerze Proxy Microsoft Entra
• Zrozum łączniki sieci prywatnych Microsoft Entra