本分步指南介绍如何使用 Microsoft Entra 应用程序代理保护对 Microsoft Entra 集成本地 SharePoint(SAML) 的访问,其中组织中的用户(Microsoft Entra ID,B2B)通过 Internet 连接到 SharePoint。
注释
如果不熟悉 Microsoft Entra 应用程序代理并想要了解详细信息,请参阅 通过 Microsoft Entra 应用程序代理远程访问本地应用程序。
此设置具有以下三个主要优势:
- Microsoft Entra 应用程序代理确保经过身份验证的流量可以访问你的内部网络和 Sharepoint。
- 你的用户可以照常访问 SharePoint 站点,而无需使用 VPN。
- 可以通过用户分配Microsoft Entra 应用程序代理级别来控制访问权限,并且可以通过条件访问和多重身份验证(MFA)等Microsoft Entra 功能提高安全性。
此过程需要两个企业应用程序。 一个是从库发布到托管 SaaS 应用程序列表的本地 SharePoint 实例。 用于发布第一个企业库应用程序的第二个是一个内部部署的应用程序(非展示库应用程序)。
先决条件
- 一个 SharePoint 2013 场或更高版本的场。 SharePoint 场必须与 Microsoft Entra ID 集成。
- Microsoft Entra 租户及包含应用程序代理的计划。 详细了解 Microsoft Entra ID 计划和定价。
- Microsoft Office Web Apps Server 场,用于从本地 SharePoint 场正确启动 Office 文件。
- Microsoft Entra 租户中的自定义已验证域。 已验证的域必须与 SharePoint URL 后缀相匹配。
- 需要传输层安全性(TLS)证书。 请参阅自定义域发布中的详细信息。
- 在企业域中的计算机上安装并运行专用网络连接器。
该列表包含更多先决条件。
- 本地 Active Directory 用户必须与 Microsoft Entra Connect 同步,并且必须配置为 登录到 Azure。
- 纯云和 B2B 来宾用户必须在 Microsoft Entra 管理中心获得向来宾帐户授予的对本地 SharePoint 的访问权限。
步骤 1:将本地 SharePoint 与 Microsoft Entra ID 集成
- 配置 SharePoint 本地应用程序。 有关详细信息,请参阅教程:Microsoft Entra 单一登录与本地 SharePoint 的集成。
- 从内部网络访问本地 SharePoint,并确认可在内部访问。
步骤 2:使用应用程序代理发布 SharePoint 本地应用程序
在此步骤中,将在使用应用程序代理的 Microsoft Entra 租户中创建应用程序。 用户可设置外部 URL,并指定内部 URL,以便稍后用于 SharePoint。
注释
内部和外部 URL 必须与步骤 1 中基于 SAML 的应用程序配置中的登录 URL 相匹配。
使用自定义域创建新的 Microsoft Entra 应用程序代理应用程序。 有关分步说明,请参阅 Microsoft Entra 应用程序代理中的自定义域。
内部 URL: https://portal.contoso.com/
外部 URL: https://portal.contoso.com/
预身份验证:Microsoft Entra ID
转换标头中的 URL:否
转换应用程序主体中的 URL:否
分配与内部部署 SharePoint 图库应用程序相同的 组。
最后,转到“属性”部分,并将“对用户可见?”设置为“否”。 此选项可确保只有第一个应用程序的图标显示在“我的应用”门户上 (https://myapplications.microsoft.com)。
第 3 步:测试应用程序
从外部网络上的计算机使用浏览器,导航到在发布步骤中配置的链接。 请确保可以用设置的测试帐户进行登录。