Ativar o acesso remoto ao SharePoint com o proxy da aplicação Microsoft Entra

Este guia passo a passo explica como integrar um farm do SharePoint local ao proxy de aplicativo Microsoft Entra.

Pré-requisitos

Para executar a configuração, você precisa dos seguintes recursos:

• Um farm do SharePoint 2013 ou mais recente. O farm do SharePoint deve ser integrado ao Microsoft Entra ID.
• Um locatário do Microsoft Entra com um plano que inclui proxy de aplicativo. Saiba mais sobre os planos e preços do Microsoft Entra ID.
• Um farm do Servidor do Microsoft Office Web Apps para iniciar corretamente os arquivos do Office a partir do farm do SharePoint local.
• Um domínio personalizado e verificado no locatário do Microsoft Entra.
• Ative Directory local sincronizado com o Microsoft Entra Connect, através do qual os utilizadores podem iniciar sessão no Azure.
• Um conector de rede privada instalado e em execução em uma máquina dentro do domínio corporativo.

Configurar o SharePoint com proxy de aplicativo requer duas URLs:

• Um URL externo, visível para os utilizadores finais e determinado no Microsoft Entra ID. Este URL pode utilizar um domínio personalizado. Saiba mais sobre como trabalhar com domínios personalizados no proxy de aplicativo Microsoft Entra.
• Um URL interno, conhecido apenas dentro do domínio corporativo e nunca usado diretamente.

Importante

Para certificar-se de que os links estão mapeados corretamente, siga estas recomendações para a URL interna:

• Use HTTPS.
• Não use portas personalizadas.
• No DNS (Sistema de Nomes de Domínio) corporativo, crie um host (A) para apontar para o WFE do SharePoint (ou balanceador de carga) e não um alias (CName).

Este artigo usa os seguintes valores:

• URL interna: https://sharepoint.
• URL externa: https://spsites-demo1984.msappproxy.net/.
• Conta do pool de aplicativos para o aplicativo Web do SharePoint: Contoso\spapppool.

Etapa 1: Configurar um aplicativo no Microsoft Entra ID que usa proxy de aplicativo

Nesta etapa, você cria um aplicativo em seu locatário do Microsoft Entra que usa proxy de aplicativo. Você define a URL externa e especifica a URL interna, ambas usadas posteriormente no SharePoint.

1. Crie o aplicativo conforme descrito nas configurações a seguir. Para obter instruções passo a passo, consulte Publicando aplicativos usando o proxy de aplicativo do Microsoft Entra.

   • URL interna: URL interna do SharePoint definida posteriormente no SharePoint, como https://sharepoint.
   • Pré-autenticação: Microsoft Entra ID.
   • Traduzir URLs em cabeçalhos: No.
   • Traduzir URLs no corpo do aplicativo: No.

   

2. Depois que seu aplicativo for publicado, siga estas etapas para definir as configurações de logon único.

   1. Na página do aplicativo no portal, selecione Logon único.
   2. Para Modo de Logon Único, selecione Autenticação Integrada do Windows.
   3. Defina o SPN (Nome Principal do Serviço de Aplicativo Interno) com o valor definido anteriormente. Neste exemplo, o valor é HTTP/sharepoint.
   4. Em Identidade de Login Delegado, selecione a opção mais adequada para sua configuração de floresta do Ative Directory. Por exemplo, se você tiver um único domínio do Ative Directory em sua floresta, selecione Nome da conta SAM local (conforme mostrado na captura de tela a seguir). Mas se os usuários não estiverem no mesmo domínio que o SharePoint e os servidores do conector de rede privada, selecione Nome principal do usuário local (não mostrado na captura de tela).

   

3. Conclua a configuração do seu aplicativo, vá para a seção Usuários e grupos e atribua usuários para acessar este aplicativo.

Etapa 2: Configurar o aplicativo Web do SharePoint

O aplicativo Web do SharePoint deve ser configurado com Kerberos e os mapeamentos de acesso alternativo apropriados para funcionar corretamente com o proxy de aplicativo Microsoft Entra. Existem duas opções possíveis:

• Crie um novo aplicativo Web e use apenas a zona padrão . Usar a zona padrão é a opção preferida, oferece a melhor experiência com o SharePoint. Por exemplo, os links em alertas de email que o SharePoint gera apontam para a zona padrão .
• Estenda um aplicativo Web existente para configurar o Kerberos em uma zona não padrão.

Importante

Independentemente da zona usada, a conta do pool de aplicativos do aplicativo Web do SharePoint deve ser uma conta de domínio para que o Kerberos funcione corretamente.

Criar o aplicativo Web do SharePoint

• O script mostra um exemplo de criação de um novo aplicativo Web usando a zona padrão . Usar a zona padrão é a opção preferida.

  1. Inicie o Shell de Gerenciamento do SharePoint e execute o script.

     # This script creates a web application and configures the Default zone with the internal/external URL needed to work with Azure AD application proxy
     # Edit variables below to fit your environment. Note that the managed account must exist and it must be a domain account
     $internalUrl = "https://sharepoint"
     $externalUrl = "https://spsites-demo1984.msappproxy.net/"
     $applicationPoolManagedAccount = "Contoso\spapppool"
     
     $winAp = New-SPAuthenticationProvider -UseWindowsIntegratedAuthentication -DisableKerberos:$false
     $wa = New-SPWebApplication -Name "SharePoint - AAD Proxy" -Port 443 -SecureSocketsLayer -URL $externalUrl -ApplicationPool "SharePoint - AAD Proxy" -ApplicationPoolAccount (Get-SPManagedAccount $applicationPoolManagedAccount) -AuthenticationProvider $winAp
     New-SPAlternateURL -Url $internalUrl -WebApplication $wa -Zone Default -Internal
     

  2. Abra o site da Administração Central do SharePoint.

  3. Em Configurações do Sistema, selecione Configurar Mapeamentos de Acesso Alternativo. A caixa Coleção de Mapeamentos Alternativos de Acesso é aberta.

  4. Filtre a exibição com o novo aplicativo Web.

     

• Se você estender um aplicativo Web existente para uma nova zona.

  1. Inicie o Shell de Gerenciamento do SharePoint e execute o script a seguir.

     # This script extends an existing web application to Internet zone with the internal/external URL needed to work with Azure AD application proxy
     # Edit variables below to fit your environment
     $webAppUrl = "http://spsites/"
     $internalUrl = "https://sharepoint"
     $externalUrl = "https://spsites-demo1984.msappproxy.net/"
     
     $winAp = New-SPAuthenticationProvider -UseWindowsIntegratedAuthentication -DisableKerberos:$false
     $wa = Get-SPWebApplication $webAppUrl
     New-SPWebApplicationExtension -Name "SharePoint - AAD Proxy" -Identity $wa -SecureSocketsLayer -Zone Extranet -Url $externalUrl -AuthenticationProvider $winAp
     New-SPAlternateURL -Url $internalUrl -WebApplication $wa -Zone Extranet -Internal
     

  '. Abra o site da Administração Central do SharePoint.

  1. Em Configurações do Sistema, selecione Configurar Mapeamentos de Acesso Alternativo. A caixa Coleção de Mapeamentos Alternativos de Acesso é aberta.

  2. Filtre a exibição com o aplicativo Web que foi estendido.

     

Verifique se o aplicativo Web do SharePoint está sendo executado em uma conta de domínio

Para identificar a conta que executa o pool de aplicativos do aplicativo Web do SharePoint e certificar-se de que é uma conta de domínio, siga estas etapas:

1. Abra o site da Administração Central do SharePoint.

2. Vá para Segurança e selecione Configurar contas de serviço.

3. Selecione Pool de aplicativos Web - YourWebApplicationName.

   

4. Confirme se Selecione uma conta para este componente retorna uma conta de domínio e lembre-se, pois você a usa na próxima etapa.

Verifique se um certificado HTTPS está configurado para o site do IIS da zona da extranet

Como a URL interna usa o protocolo HTTPS (https://SharePoint/), um certificado deve ser definido no site do IIS (Serviços de Informações da Internet).

1. Abra o console do Windows PowerShell.

2. Execute o script a seguir para gerar um certificado autoassinado e adicioná-lo ao .MY store

   # Replace "SharePoint" with the actual hostname of the Internal URL of your Azure AD proxy application
   New-SelfSignedCertificate -DnsName "SharePoint" -CertStoreLocation "cert:\LocalMachine\My"
   

   Importante

   Os certificados autoassinados são adequados apenas para fins de teste. Em ambientes de produção, é altamente recomendável usar certificados emitidos por uma autoridade de certificação.

3. Abra o console do Gerenciador dos Serviços de Informações da Internet.

4. Expanda o servidor na vista em árvore, expanda Sites, selecione o site SharePoint - Microsoft Entra ID Proxy e selecione Ligações.

5. Selecione vinculação https e, em seguida, selecione Editar.

6. No campo Certificado TLS/SSL, escolha Certificado do SharePoint e, em seguida, selecione OK.

Agora você pode acessar o site do SharePoint externamente por meio do proxy de aplicativo Microsoft Entra.

Etapa 3: Configurar a delegação restrita de Kerberos

Os usuários inicialmente se autenticam na ID do Microsoft Entra e, em seguida, no SharePoint usando Kerberos por meio do conector de rede privada do Microsoft Entra. Para permitir que o conector obtenha um token Kerberos em nome do usuário do Microsoft Entra, você deve configurar a Delegação Restrita de Kerberos (KCD) com a transição de protocolo. Para saber mais sobre o KCD, consulte Visão geral da delegação restrita de Kerberos.

Definir o SPN (Nome da Entidade de Serviço) para a conta de serviço do SharePoint

Neste artigo, a URL interna é https://sharepoint, e, portanto, o SPN (nome da entidade de serviço) é HTTP/sharepoint. Você deve substituir esses valores pelos valores que correspondem ao seu ambiente. Para registrar o SPN HTTP/sharepoint para a conta Contoso\spapppooldo pool de aplicativos do SharePoint , execute o seguinte comando em um prompt de comando, como administrador do domínio:

setspn -S HTTP/sharepoint Contoso\spapppool

O Setspn comando procura o SPN antes de adicioná-lo. Se o SPN já existir, você verá um erro Valor de SPN duplicado. Remova o SPN existente. Verifique se o SPN foi adicionado com êxito executando o Setspn comando com a -L opção. Para saber mais sobre o comando, consulte Setspn.

Verifique se o conector é confiável para delegação ao SPN que foi adicionado à conta do pool de aplicativos do SharePoint

Configure o KCD para que o serviço de proxy de aplicativo Microsoft Entra possa delegar identidades de usuário à conta do pool de aplicativos do SharePoint. Configure o KCD habilitando o conector de rede privada para recuperar tíquetes Kerberos para seus usuários autenticados no Microsoft Entra ID. Em seguida, esse servidor passa o contexto para o aplicativo de destino (SharePoint neste caso).

Para configurar o KCD, siga estas etapas para cada máquina conectora:

1. Entre em um controlador de domínio como administrador de domínio e abra Usuários e Computadores do Ative Directory.

2. Localize o computador que executa o conector de rede privada Microsoft Entra. Neste exemplo, é o computador que está executando o SharePoint Server.

3. Clique duas vezes no computador e selecione a guia Delegação .

4. Verifique se as opções de delegação estão definidas como Confiar neste computador para delegação somente aos serviços especificados. Em seguida, selecione Usar qualquer protocolo de autenticação.

5. Selecione o botão Adicionar , selecione Usuários ou Computadores e localize a conta do pool de aplicativos do SharePoint. Por exemplo: Contoso\spapppool.

6. Na lista SPN, selecione o que você criou anteriormente para a conta de serviço.

7. Selecione OK e, em seguida, selecione OK novamente para salvar as alterações.

   

Agora você está pronto para entrar no SharePoint usando a URL externa e autenticar com o Azure.

Resolver erros de início de sessão

Se o início de sessão no site não estiver a funcionar, pode obter mais informações sobre o problema nos registos do Connector: A partir da máquina que executa o conector, abra o visualizador de eventos, aceda a Registos de Aplicações>e Serviços Microsoft>Microsoft Entra private network>Connector e inspecione o registo Admin.

Próximos passos

• Trabalhando com domínios personalizados no proxy de aplicativo Microsoft Entra
• Compreender os conectores de rede privada do Microsoft Entra