Compartilhar via

Planejar a conectividade do Microsoft 365 para o SharePoint Server

  • Artigo

APLICA-SE A:yes-img-132013 yes-img-16 2016yes-img-192019 yes-img-seSubscription Edition yes-img-sopSharePoint no Microsoft 365

Este artigo foi projetado para ajudar você a planejar e se preparar para configurar a conectividade de entrada do Microsoft 365 para empresas no SharePoint Server por meio de um dispositivo proxy reverso. Isso é necessário para os seguintes ambientes híbridos:

  • Pesquisa híbrida de entrada (exibindo resultados da pesquisa do SharePoint Server no Microsoft 365)

  • Serviços Corporativos de Conectividade híbrido

Neste artigo, fornecemos as informações que você precisa saber, como pré-requisitos, e uma planilha para coletar as informações necessárias antes de iniciar o processo de configuração.

Este tópico vai ajudá-lo a fazer o seguinte:

  • Entender os pré-requisitos e os requisitos para conectividade de entrada

  • Planejar sua arquitetura de aplicativos Web

  • Planejar Certificados SSL

  • Registrar decisões-chave e informações

Reunir e registrar informações de log de compilação

Planilha. durante o processo de planejamento, será preciso coletar informações e arquivos. É importante usar a planilha híbrida do SharePoint para acompanhar as informações de planejamento e implantação para referência e compartilhar com outros membros da sua equipe de implantação. Não podemos enfatizar o suficiente a importância de usar essa planilha para organizar suas informações antes de iniciar o processo de configuração.

Criar um log de compilação. Como em qualquer projeto de implementação complexa, um registro detalhado de todas as decisões de design, configuração do servidor, procedimento, saída de comandos e erros é uma referência muito importante para a solução de problemas, o suporte e o reconhecimento. É altamente recomendável que você documente completamente seu processo de implantação.

Cuidado

Por motivos de segurança, armazene a planilha e o log de build em um local com segurança aprimorada, como um compartilhamento de arquivos protegido ou SharePoint na biblioteca de documentos do Microsoft 365 e conceda permissões apenas aos administradores que estão envolvidos no processo de implantação e devem saber essas informações.

Coletar e registrar informações de URL e nome de host

Nesta seção, você registrará informações sobre as URLs e os nomes de hosts do seu ambiente. Essas informações serão usadas durante o processo de implantação.

  • Registre o nome de domínio DNS público da sua empresa (como adventureworks.com).

  • Registre a URL do ponto de extremidade voltado para o público do dispositivo proxy reverso que você usará para o SharePoint híbrido. Essa é a URL externa. Se esse ponto de extremidade ainda não existir, você terá que decidir qual será essa URL.

  • Registre o endereço IP do ponto de extremidade externo do dispositivo de proxy reverso.

  • Verifique se um registro A (também conhecido como um registro de host) existe na zona de pesquisa direta de DNS pública para seu domínio público que mapeia a URL Externa para o endereço IP do ponto de extremidade voltado para a Internet no dispositivo de proxy reverso. Se você ainda não tiver este registro A, crie-o agora.

  • Verifique se existe um registro A na zona de pesquisa de encaminhamento DNS da intranet que mapeia o nome do host do farm do SharePoint Server para seu endereço IP. Se você ainda não tiver este registro A, crie-o agora.

    Importante

    Se você configurar URLs internas para acessar um aplicativo Web durante o processo de implantação, crie também registros A para essas URLs na zona de pesquisa direta de DNS da intranet e registre-os na planilha.

   
Ícone de edição Anote as seguintes informações na Tabela 3 da planilha do SharePoint híbrido:
O nome de domínio do domínio DNS da empresa voltado ao público no nome Internet Public Domain linha.
A URL do terminal voltado ao público do dispositivo de proxy reverso no URL externa linha.
O endereço IP do ponto de extremidade externo do dispositivo de proxy reverso na linha Endereço IP do ponto de extremidade externo.

Planejar sua arquitetura de aplicativos Web

Esta seção ajuda você a planejar a arquitetura dos aplicativos Web do SharePoint Server que você usará em seu ambiente híbrido.

A conectividade de entrada requer um canal de comunicação seguro entre o farm do SharePoint Server local e o SharePoint no Microsoft 365. Os dados são trocados entre uma coleção de sites no SharePoint no Microsoft 365 e um aplicativo Web local por meio deste canal de comunicação.

O SharePoint no Microsoft 365 envia solicitações para um servidor proxy reverso que retransmite as solicitações para um aplicativo Web específico no farm do SharePoint Server local que está configurado para o SharePoint híbrido. Nós o chamaremos de aplicativo Web principal.

Dica

Independentemente de quantas soluções híbridas planeja configurar, você normalmente usará apenas um aplicativo Web principal. Você não precisa criar aplicativos Web primários extras para cada solução híbrida adicional.

O aplicativo Web primário e uma única coleção de sites no aplicativo Web primário devem ser configurados para aceitar conexões de entrada do SharePoint no Microsoft 365.

O administrador do SharePoint associa os serviços e objetos de conexão necessários para dar suporte às soluções híbridas que estão sendo implantadas com o aplicativo Web primário. As conexões de saída podem ser feitas de qualquer aplicativo Web do SharePoint Server local usando as configurações específicas do recurso.

Um aplicativo Web do SharePoint Server é composto por um site do IIS (Serviços de Informações da Internet) que atua como uma unidade lógica para as coleções de sites que você cria. Cada aplicativo Web é representado por um site diferente do IIS, com um pool exclusivo ou compartilhado de aplicativos, uma URL pública exclusiva, e pode também ser configurado para usar até cinco URLs internas por meio do AAM (Mapeamento Alternativo de Acesso). Um determinado aplicativo Web é associado a um único banco de dados de conteúdo e é configurado para usar um método de autenticação específico para se conectar ao banco de dados. Vários aplicativos Web podem ser configurados para usar diferentes métodos de autenticação e, opcionalmente, AAMs para fornecer um único banco de dados de conteúdo.

A URL pública de um aplicativo Web é sempre usada como a URL raiz em todos os links para sites e conteúdo acessados por meio do aplicativo Web. Considere um aplicativo Web com a URL https://spexternal.adventureworks.com pública que tem uma URL https://sharepoint interna configurada no AAM. Quando você navega até a URL https://sharepointinterna, o SharePoint Server retorna o site com a URL https://spexternal.adventureworks.come todos os links dentro do site terão URLs com base nesse caminho.

O AAM (mapeamento de acesso alternativo) é necessário quando você está configurando a conectividade de entrada usando uma coleção de sites baseada em caminho com uma URL pública diferente da URL externa. O AAM permite associar a URL externa à URL interna de um SharePoint no site do Microsoft 365 dentro de sua organização. Isso permite que o SharePoint Server rote solicitações de URLs internas configuradas no AAM para o aplicativo Web primário correspondente.

Para obter mais informações sobre aplicativos Web baseados em declarações, consulte Criar aplicativos Web baseados em declarações no SharePoint Server.

Para obter mais informações sobre como estender um aplicativo Web, consulte Estender aplicativos Web baseados em declarações no SharePoint.

Para obter mais informações sobre coleções de sites, consulte Visão geral de sites e coleções de sites no SharePoint Server.

Escolher uma estratégia de conjunto de sites

Antes de decidir pelo uso de um aplicativo Web existente ou pela criação de um novo, você precisa entender os requisitos de configuração que o aplicativo Web e o conjunto de sites devem cumprir para dar suporte à funcionalidade híbrida. Use as informações desta seção para determinar sua estratégia de criação de um aplicativo Web e de um conjunto de sites ou para determinar se um conjunto de sites em um aplicativo Web existente pode ser usado no ambiente híbrido.

A figura a seguir mostra o fluxo de decisão para determinar sua estratégia de conjunto de sites.

As três possíveis estratégias de coleção de sites para uma topologia de autenticação híbrida de entrada ou bidirecional do SharePoint.

Requisitos para aplicativos Web híbridos

Aplicativos Web usados para a funcionalidade híbrida devem atender a todos estes requisitos:

  • A URL pública do aplicativo Web deve ser idêntica à URL externa.

    O protocolo OAuth fornece a autorização do usuário em soluções híbridas do SharePoint. O cabeçalho da solicitação de host em todas as comunicações do SharePoint no Microsoft 365 para o SharePoint local contém a URL à qual a solicitação foi enviada originalmente. Para autenticar solicitações de entrada do SharePoint no Microsoft 365, o serviço local de Autenticação do SharePoint deve ser capaz de corresponder essa URL em todo o tráfego do SharePoint no Microsoft 365 à URL pública do aplicativo Web primário. Essa é a URL externa. Uma vantagem de usar um conjunto de sites nomeado por host para ambientes do SharePoint híbridos é que você pode configurar um conjunto de sites nomeado por host para usar a mesma URL como a URL externa. Isso elimina a necessidade de configurar o Mapeamento de Acesso Alternativo.

  • O aplicativo Web deve ser configurado para usar a autenticação integrada do Windows usando NTLM.

    A autenticação integrada do Windows com NTLM é necessária para aplicativos Web que são implantados em cenários que dão suporte à autenticação de servidor para servidor e à autenticação de aplicativos. Para saber mais, veja Plano de autenticação servidor-para-servidor no SharePoint Server.

    Tipos de autenticação de declaração para híbridos do SharePoint

Requisitos para configurações de conjuntos de sites específicos

Os conjuntos de sites usados para a funcionalidade híbrida devem atender a todos esses requisitos e também devem existir ou ser criados em um aplicativo Web que atenda aos requisitos de aplicativos Web:

  • Conjuntos de site nomeados por host

    • O aplicativo Web deve dar suporte a conjuntos de sites nomeados por host.

      Para criar um conjunto de sites nomeado por host, o aplicativo Web deve ser criado para habilitá-los. Você não pode habilitar essa funcionalidade após o aplicativo Web foi criado.

      Para obter mais informações sobre como criar uma coleção de sites nomeada pelo host, confira Arquitetura e implantação de coleção de sites nomeada pelo host no SharePoint Server.

      Observação

      Embora esta seja uma exigência de aplicativo Web, ela é listada aqui por se aplicar somente a ambientes que possuem conjuntos de sites nomeados por host.

    • Seu servidor DNS local deve ser configurado com DNS de divisão. Você precisa criar uma zona de pesquisa avançada para o domínio da Internet Pública que você usou para sua URL pública e um registro A (host) na zona de pesquisa avançada que tem o endereço IP do SharePoint Server e o nome do host da URL Externa.

      Importante

      O dispositivo proxy reverso deve ser capaz de resolve nomes de host nesta zona de pesquisa avançada para retransmitir solicitações de entrada para o farm do SharePoint Server.

  • Conjuntos de sites baseados em caminho

    • Se a URL pública for idêntica à URL externa:

      Seu servidor DNS local deve ser configurado com DNS de divisão. Você precisa criar uma zona de pesquisa avançada para o domínio da Internet Pública que você usou para sua URL pública e um registro A na zona de pesquisa para a frente que tenha o endereço IP do SharePoint Server e o nome do host da URL Externa.

      Importante

      O dispositivo proxy reverso deve ser capaz de resolve nomes de host nesta zona de pesquisa avançada para retransmitir solicitações de entrada para o farm do SharePoint Server.

      Esse é um modo fácil de configurar um aplicativo Web para um híbrido do SharePoint. O objetivo é fazer a correspondência do campo URL Pública do novo aplicativo Web com a URL do ponto de extremidade público no proxy reverso, que também é conhecido como a URL externa.

    • Se a URL pública for diferente da URL externa:

      Você precisa configurar um AAM (mapeamento de acesso alternativo) para retransmitir solicitações de entrada do SharePoint no Microsoft 365.

      Estenda o aplicativo Web principal e use a URL externa como a URL Pública. Em seguida, crie uma URL interna (via Adicionar URLs internas) na mesma zona de segurança que o aplicativo Web estendido para usar como um URL de ponte. Você também configurará o dispositivo proxy reverso para retransmitir solicitações de entrada do SharePoint no Microsoft 365 para essa URL de ponte.

      Lembre-se de que o mapeamento de acesso alternativo (AAM) é necessário somente quando você está configurando a conectividade de entrada usando uma coleção de sites baseada em caminho com uma URL pública diferente da URL externa.

Observação

Lembre-se de que a URL externa é a URL do ponto de extremidade voltado para a Internet do dispositivo de proxy reverso.

   
Ícone de edição Registre sua escolha de estratégia de conjunto de sites na planilha, na linha Estratégia de conjunto de sites da tabela 2.

Selecionar um aplicativo Web existente ou criar um novo

Você pode usar um aplicativo Web existente ou criar um para usar como o aplicativo Web principal.

Se preferir gerenciar o aplicativo Web usado para a funcionalidade híbrida de forma independente ou se o aplicativo Web existente não atender aos requisitos listados na seção Escolher uma estratégia de conjunto de sites, você deverá criar um novo aplicativo Web.

   
Ícone de edição Registre sua decisão na linha Aplicativo Web novo ou existente da tabela 2.

Planejar o uso de um aplicativo Web existente

Se decidir usar um aplicativo Web existente como o aplicativo Web principal, obtenha a URL do aplicativo Web principal e a URL do conjunto de sites de nível superior e liste-as na planilha.

   
Ícone de edição Registre as seguintes informações na planilha:
Dependendo de sua estratégia de conjunto de sites, registre a URL do aplicativo Web principal na linha URL do aplicativo Web principal da Tabela 5a, 5b ou 5c.
Se usar um conjunto de sites nomeado por host, registre a URL do conjunto de sites de nível superior na linha URL do conjunto de sites nomeado por host da tabela 5a.

Planejar a criação de um novo aplicativo Web

Se você decidir criar um novo aplicativo Web, vamos orientá-lo sobre como fazer isso quando você estiver configurando a topologia híbrida.

Planejar Certificados SSL

Os certificados SSL estabelecem a identidade do servidor e fornecem autenticação de certificado para vários serviços e conexões em um ambiente híbrido do SharePoint. Você precisa ter dois certificados SSL: um certificado SSL do Secure Channel e um certificado STS.

Para obter mais informações sobre como os certificados SSL são usados em ambientes híbridos do SharePoint, consulte Topologia Híbrida do SharePoint 2013: Modelo de Certificado e Autenticação.

Observação

Se optar por ajudar a proteger o farm do SharePoint local com SSL, você também precisará de um certificado SSL para o aplicativo Web principal. Não há considerações específicas híbridas para esse certificado, portanto, você pode seguir as práticas recomendadas gerais para configurar o SharePoint Server com o SSL.

Observação

"Canal Seguro" não é uma classe de certificado; usamos o termo como uma forma de diferenciar esse certificado específico de outros certificados SSL usados no ambiente.

Sobre certificados SSL de Canal Seguro

Um certificado SSL do Secure Channel fornece autenticação e criptografia para o canal de comunicação seguro entre o dispositivo proxy reverso e o Microsoft 365, atuando como um servidor e um certificado de cliente. Ele também verifica a identidade do ponto de extremidade de proxy reverso usado para publicar a coleção local do site do SharePoint Server.

Esse certificado deve ser um curinga ou certificado SAN e ser emitido por uma autoridade de certificação raiz pública. O campo de entidade do certificado deve conter o nome de host do ponto de extremidade externo do servidor de proxy reverso ou uma URL curinga que abranja todos os nomes de host no namespace. Ele deve usar pelo menos a criptografia de 2048 bits.

Importante

Certificados curinga só podem proteger um único nível de um namespace DNS. Por exemplo, se sua URL externa for https://spexternal.public.adventureworks.com, o assunto do certificado curinga deverá ser *.public.adventureworks.com, não *.adventureworks.com.

Em cenários em que o SharePoint no Microsoft 365 está configurado para solicitar informações do SharePoint Server, um certificado SSL é necessário para fazer o seguinte:

  • Criptografar o tráfego através do canal de segurança.

  • Habilite o dispositivo de proxy reverso para autenticar conexões de entrada usando Autenticação de Certificado.

  • Permitir que o SharePoint no Microsoft 365 identifique e confie no ponto de extremidade externo.

Durante a implantação, você instalará o certificado SSL no dispositivo proxy reverso e em um aplicativo de destino do SharePoint no Microsoft 365 Secure Store. Isso é configurado durante a configuração da infraestrutura de ambiente híbrido.

Obter um certificado SSL de Canal Seguro

Obtenha um certificado de SSL de Canal Seguro ou SAN (Nome Alternativo do Assunto) para seu domínio público local de uma autoridade de certificado conhecida, por exemplo, DigiCert, VeriSign, Thawte ou GeoTrust.

Observação

O certificado deve dar suporte a vários nomes e deve ter pelo menos 2048 bits. Certificados normalmente expiram em intervalos de um ano. Portanto, é importante planejar com antecedência para renovações de certificado para evitar interrupções de serviço. Os administradores do SharePoint devem agendar um lembrete para substituição de certificado que lhe dê tempo de entrada suficiente para evitar uma paralisação do trabalho.

Sobre certificados STS

O certificado STS do farm local do SharePoint requer um certificado padrão para validar tokens de entrada. Em um ambiente híbrido do SharePoint, Microsoft Entra ID atua como um serviço de assinatura de token confiável e usa o certificado STS como o certificado de assinatura. Se você optar por usar um certificado diferente do certificado STS padrão (por exemplo, um certificado de uma autoridade de certificado público), substitua o certificado padrão antes de iniciar o processo de configuração híbrida.

Registre as contas necessárias para configuração e testes

Uma configuração de ambiente híbrido do SharePoint requer várias contas de usuário no Active Directory local e no diretório do Microsoft 365 (Microsoft Entra ID que é exibida no diretório do Microsoft 365). Essas contas têm diversas permissões e associações de grupos ou funções. Algumas dessas contas serão usadas para implantar e configurar software e algumas serão necessárias para testar recursos específicos, para ajudar a garantir que os sistemas de segurança e autenticação estão funcionando conforme o esperado.

  • Vá para Accounts needed for hybrid configuration and testing para obter uma explicação completa das contas de usuário necessárias, incluindo observações sobre o provedor de funções e identidades.

  • Registre as informações da conta necessárias na planilha, conforme instruído.

  • Retorne a este artigo de planejamento após concluir esta etapa.

Próximas etapas

Neste ponto, você deve ter concluído o preenchimento da planilha necessária para conectividade de entrada e estar pronto para iniciar o processo de configuração. Sua próxima etapa é escolher um roteiro de configuração.