混合配置和测试所需的帐户
适用于:2013 2016 2019 Subscription Edition SharePoint in Microsoft 365
配置 SharePoint Server 混合环境时,本地 Active Directory 和 Microsoft 365 中都需要多个用户帐户。 这些帐户还需要不同的权限和组或角色成员身份。 某些帐户将用于部署和配置软件,有些则用于测试特定的功能,以帮助确保安全和身份验证系统按预期运行。
在混合环境中,Active Directory 中的部分或所有用户帐户与 Microsoft Entra 目录服务同步。 我们将这些帐户称为联合用户。 Microsoft 365 中的 SharePoint Server 和 SharePoint 配置了服务器到服务器 (S2S) 信任关系,服务应用程序可以配置为允许联合用户使用单个标识访问两个服务器场中的内容和资源。 由于用户帐户和凭据在 Microsoft 365 中的 SharePoint Server 和 SharePoint 之间同步,因此可以使用同一组用户和组在两个场中应用列表和库内容安全性。
注意
[!注意] 该表不包含对特定 SharePoint Server 混合解决方案中的服务应用程序和功能有特殊要求的服务帐户。 有关每种受支持的解决方案的要求的详细信息,请参阅解决方案配置文章配置 SharePoint Server 混合解决方案。
Microsoft 建议使用权限最少的角色。 使用权限较低的帐户有助于提高组织的安全性。 全局管理员是一个权限很高的角色,应仅限于在无法使用现有角色的紧急情况下使用。
表:SharePoint 混合配置和测试所需的帐户
帐户 | 身份提供程序 | 角色 |
---|---|---|
Global Admin |
Microsoft 365 和 Microsoft Entra ID |
使用已分配给全局管理员角色的 Microsoft 365 工作帐户执行Microsoft 365 配置任务,例如在 Microsoft 365 功能中配置 SharePoint、在 Microsoft 365 PowerShell 命令中运行 Microsoft Entra ID 和 SharePoint,以及在 Microsoft 365 中测试 SharePoint。 |
AD 域管理员 |
本地 AD |
使用域管理员组中的 AD 帐户来配置和测试 AD、ADFS、DNS 和证书,并执行其他需要提升的任务。 |
Microsoft 365 场管理员中的 SharePoint |
本地 AD |
使用 Microsoft 365 场管理员组中 SharePoint 中的 AD 帐户执行 SharePoint Server 配置任务,例如在 Microsoft 365 命令行管理程序中的 SharePoint 中运行 PowerShell 命令,以配置 S2S 信任、创建和配置 Web 应用程序和网站集、部署和配置 SQL Server 数据库以及排查 SharePoint Server 问题。 此帐户还必须具有其他权限才能在 Microsoft 365 命令行管理程序中使用 SharePoint: SQL Server 实例上 securityadmin 固定服务器角色中的成员身份。 要更新的所有数据库上 db_owner 固定数据库角色中的成员身份。 运行 PowerShell cmdlet 的服务器上 Administrators 组中的成员身份。 |
联合用户 |
本地 AD |
使用已与 Microsoft 365 同步的 AD 帐户测试对 Microsoft 365 中 SharePoint Server 和 SharePoint 中的特定资源的访问权限。 这些帐户或他们所属的组必须对这两个环境中的 SharePoint Server 网站集和资源具有权限,并且必须在 Microsoft 365 订阅中分配相应的产品许可证。 他们还必须设置为使用您在规划过程中为联合用户指定的替代域 UPN 后缀。 您可以配置具有不同权限或组成员身份的多个联合帐户,以测试网站资源的相应安全修整和访问。 |