規劃從 Microsoft 365 與 SharePoint Server 的連線
適用於:Subscription Edition SharePoint in Microsoft 365
本文旨在協助您規劃及準備設定企業透過反向 Proxy 裝置從 Microsoft 365 到 SharePoint Server 的輸入連線。 這是下列混合式環境所需的:
輸入混合式搜尋 (在 Microsoft 365 中顯示 SharePoint Server 的搜尋結果)
混合式 Business Connectivity Services
在本文中,我們為您提供需要知道的資訊,例如先決條件和,以及在開始設定程序之前用來收集必要資訊的工作表。
本主題將會協助您執行下列工作:
了解輸入連線的先決條件與需求
規劃您的 Web 應用程式架構
規劃 SSL 憑證
記錄重要的決策和資訊
收集和記錄工作表和組建記錄資訊
工作表。 在規劃程序期間,您需要收集資訊和檔案。 請務必使用 SharePoint 混合式工作表,以追蹤規劃和部署資訊,以便參考及與部署小組中的其他成員共用。 在您開始設定程序之前,使用此工作表來組織資訊的重要性,已非言語能夠表達。
建立組建記錄。 在任何複雜的實作專案中,每項設計決策、伺服器設定、程序、命令輸出和錯誤對疑難排解、支援和察覺都是極重要的參考。 我們強烈建議您完整記錄您的部署程序。
注意
基於安全性理由,請將工作表和組建記錄檔儲存在安全性增強的位置,例如安全的檔案共用或 Microsoft 365 文件庫中的 SharePoint,並且只將許可權授與參與部署程式的系統管理員,而且必須知道這項資訊。
收集及記錄 URL 和主機名稱資訊
在本節中,您會記錄有關您環境中 URL 和主機名稱的資訊。 您會在部署程序期間使用這項資訊。
記錄貴公司的公用 DNS 網域名稱 (例如 adventureworks.com)。
記錄反向 Proxy 裝置 (您用於 SharePoint 混合式) 的公眾對應端點 URL。 這是外部 URL。 如果此端點尚未存在,則您必須決定此 URL 是什麼。
記錄反向 Proxy 裝置外部端點的 IP 位址。
請確定 A 記錄 (也稱為主機記錄) 存在於您公用網域的公用 DNS 正向對應區域,會將外部 URL 對應至反向 Proxy 裝置上網際網路對應端點的 IP 位址。 如果您還沒有此 A 記錄,請立即建立。
請確定 A 記錄存在於內部網路 DNS 正向對應區域,會將您的 SharePoint Server 伺服器陣列主機名稱對應至其 IP 位址。 如果您還沒有此 A 記錄,請立即建立。
重要事項
如果您設定內部 URL 以在部署程序期間存取 Web 應用程式,請確定您同時為內部網路 DNS 正向對應區域中的這些 URL 建立 A 記錄,並且將它們記錄在工作表上。
在 SharePoint 混合式工作表表格 3 中記錄下列資訊: 在 [公用網際網路網域名稱] 資料列記錄公眾對應公司 DNS 網域的網域名稱。 在 [外部 URL] 資料列記錄反向 Proxy 裝置的公眾對應端點 URL。 在 [外部端點的 IP 位址] 資料列記錄反向 Proxy 裝置外部端點的 IP 位址。 |
規劃您的 Web 應用程式架構
本節會協助您規劃 SharePoint Server Web 應用程式的架構,您會在混合式環境中使用。
輸入連線需要內部部署 SharePoint Server 伺服器陣列與 Microsoft 365 中 SharePoint 之間的安全通道。 數據會在 Microsoft 365 中的 SharePoint 網站集合與透過此通道的內部部署 Web 應用程式之間交換。
Microsoft 365 中的 SharePoint 會將要求傳送至反向 Proxy 伺服器,該伺服器會將要求轉送至內部部署 SharePoint Server 伺服器陣列中針對 SharePoint 混合式設定的特定 Web 應用程式。 我們將它稱為主要 Web 應用程式。
提示
無論您規劃設定多少混合式解決方案,通常只會使用一個主要 Web 應用程式。 您不需要為每個額外的混合式解決方案建立額外的主要 Web 應用程式。
主要 Web 應用程式和主要 Web 應用程式內的單一網站集合都必須設定為接受來自 Microsoft 365 中 SharePoint 的輸入連線。
SharePoint 系統管理員會將支援與主要 Web 應用程式一起部署之混合式解決方案所需的服務和連線物件建立關聯。 輸出連線可以藉由使用功能特定組態,從任何內部部署 SharePoint Server Web 應用程式執行。
SharePoint Server Web 應用程式包含一個 Internet Information Services (IIS) 網站,作為所建立網站集合的邏輯單位。 每個 Web 應用程式是由不同的 IIS 網站代表,網站具有唯一或共用的應用程式集區,集區具有唯一的公用 URL,也可以使用備用存取對應 (AAM),設定為使用最多五個內部 URL。 指定 Web 應用程式與單一內容資料庫相關聯,且設定為使用特定驗證方法來與資料庫連線。 多個 Web 應用程式可以設定為使用不同的驗證方法,以及選擇性地使用 AAM,以提供對單一內容資料庫的存取權。
Web 應用程式的公用 URL 一律會用來作為與所有網站連結中的根 URL,以及透過 Web 應用程式存取的內容。 請考量具有公用 URL https://spexternal.adventureworks.com
的 Web 應用程式,它具有在 AAM 中設定的內部 URL https://sharepoint。 當您瀏覽至內部 URL https://sharepoint 時,SharePoint Server 會傳回具有 URL https://spexternal.adventureworks.com
的網站,網站內所有連結都具有根據該路徑的 URL。
備用存取對應 (AAM) 只在您使用路徑型網站集合與異於外部 URL 的公用 URL 來設定輸入連線時才需要。 AAM 可讓您將外部 URL 與組織內Microsoft 365 網站中 SharePoint 的內部 URL 產生關聯。 這樣可讓 SharePoint Server 將在 AAM 中設定的內部 URL 要求,路由傳送到對應的主要 Web 應用程式。
如需宣告型 Web 應用程式的詳細資訊,請參閱在 SharePoint Server 中建立宣告型 Web 應用程式。
如需如何擴充 Web 應用程式的詳細資訊,請參閱在 SharePoint 中擴充宣告型 Web 應用程式。
如需有關網站集合的詳細資訊,請參閱 SharePoint Server 中的網站與網站集合概觀。
選擇網站集合策略
在您決定要使用現有 Web 應用程式或建立新的應用程式之前,必須了解 Web 應用程式和網站集合必須符合,才能支援混合式功能的設定需求。 使用本節中的資訊,決定建立新 Web 應用程式和網站集合的策略,或判斷現有 Web 應用程式中的網站集合是否能用於您的混合式環境。
下圖顯示決定您的網站集合策略的決策流程。
混合式 Web 應用程式的需求
用於混合式功能的 Web 應用程式必須符合以下所有需求:
Web 應用程式的公用 URL 必須與外部 URL 相同。
OAuth 通訊協定提供 SharePoint 混合式解決方案中的使用者授權。 與 SharePoint 內部部署Microsoft 365 通訊中所有 SharePoint 中的 主機 要求標頭,包含原先傳送要求的 URL。 若要在 Microsoft 365 中驗證來自 SharePoint 的輸入要求,內部部署 SharePoint 驗證服務必須能夠在從 Microsoft 365 中的 SharePoint 到主要 Web 應用程式的公用 URL 的所有流量中符合此 URL。 這是外部 URL。 針對 SharePoint 混合式環境使用已指定主機網站集合的其中一個優點,是您可以設定已指定主機網站集合,使用相同的 URL 作為外部 URL。 這樣可以消除設定備用存取對應的必要。
Web 應用程式必須設定為使用「使用 NTLM 的整合式 Windows 驗證」。
在支援伺服器對伺服器驗證及應用程式驗證中部署 Web 應用程式的案例中,使用 NTLM 的整合式 Windows 驗證是必要項目。 如需詳細資訊,請參閱在 SharePoint Server 中規劃伺服器對伺服器的驗證。
特定網站集合設定的需求
用於混合式功能的網站集合必須符合以下所有需求,且必須已存在於符合 Web 應用程式需求的 Web 應用程式中,或在其中建立:
已指定主機網站集合
Web 應用程式必須支援已指定主機網站集合。
若要建立已指定主機網站集合,必須建立 Web 應用程式以便啟用它們。 您無法在已建立 Web 應用程式之後,才啟用此功能。
如需如何建立已指定主機網站集合的詳細資訊,請參閱 SharePoint Server 中已指定主機的網站集合架構與部署。
注意事項
雖然這是 Web 應用程式需求,但是列在這裡是因為它僅適用於具有已指定主機網站集合的環境。
您的內部部署 DNS 伺服器必須以分割 DNS 進行設定。 您必須為公用 URL 所使用的公用因特網網域建立正向對應區域,並在具有 SharePoint Server IP 位址和外部 URL 主機名的正向對應區域中建立 A (主機) 記錄 。
重要事項
反向 Proxy 裝置必須能夠解析此正向對應區域中的主機名稱,以將輸入要求轉送至 SharePoint Server 伺服器陣列。
路徑型網站集合
如果公用 URL 與外部 URL 相同:
您的內部部署 DNS 伺服器必須以分割 DNS 進行設定。 您必須為公用 URL 所使用的公用因特網網域建立正向對應區域,並在具有 SharePoint Server IP 位址和外部 URL 主機名的正向對應區域中建立 A 記錄 。
重要事項
反向 Proxy 裝置必須能夠解析此正向對應區域中的主機名稱,以將輸入要求轉送至 SharePoint Server 伺服器陣列。
這是針對 SharePoint 混合式設定 Web 應用程式的簡易方法。 目標是將新 Web 應用程式的 [公用 URL] 欄位與反向 Proxy 上公眾對應端點的 URL (也稱為外部 URL) 進行比對。
如果公用 URL 與外部 URL 不同:
您必須 (AAM) 設定替代存取對應,以在 Microsoft 365 中轉送來自 SharePoint 的輸入要求。
擴充主要 Web 應用程式,並且使用外部 URL 作為公用 URL。 然後在相同的安全性區域中建立內部 URL (透過新增內部 URL) 作為擴充 Web 應用程式,用來作為橋接 URL。 您也會設定反向 Proxy 裝置,以將來自 SharePoint 的輸入要求轉送Microsoft 365 到此橋接 URL。
請記住,備用存取對應 (AAM) 只在您使用路徑型網站集合與異於外部 URL 的公用 URL 來設定輸入連線時才需要。
注意事項
請記住,外部 URL 是反向 Proxy 裝置的網際網路對應端點 URL。
在表格 2 的 [網站集合策略] 資料列中,記錄工作表上的網站集合策略選擇。 |
選擇現有的 Web 應用程式或建立新的應用程式
您可以使用現有 Web 應用程式或建立一個應用程式,作為主要 Web 應用程式。
如果您偏好單獨管理用於混合式功能的 Web 應用程式,或者如果您現有的 Web 應用程式不符合選擇網站集合策略一節中所列的需求,您應該建立新的 Web 應用程式。
在表格 2 的 [新的或現有的 Web 應用程式] 資料列中記錄您的決策。 |
規劃使用現有的 Web 應用程式
如果您決定使用現有的 Web 應用程式作為主要 Web 應用程式,請收集主要 Web 應用程式的 URL 以及最上層網站集合的 URL,然後將其列在工作表上。
記錄工作表上的下列資訊: 依據您的網站集合策略,在表格 5a、5b 或 5c 的 [主要 Web 應用程式 URL] 資料列中,記錄主要 Web 應用程式的 URL。 如果您使用現有的已指定主機網站集合,請在表格 5a 的 [已指定主機網站集合 URL] 資料列中,記錄最上層網站集合的 URL。 |
規劃建立新的 Web 應用程式
如果您決定建立新的 Web 應用程式,我們會在您設定混合式拓撲時引導您進行作業。
規劃 SSL 憑證
SSL 憑證會建立伺服器身分識別,並且為 SharePoint 混合式環境中數個不同的服務和連線,提供憑證驗證。 您必須有兩個 SSL 憑證:安全通道 SSL 憑證和 STS 憑證。
如需 SSL 憑證如何用於 SharePoint 混合式環境的詳細資訊,請參閱 SharePoint 2013 混合式拓撲:憑證和驗證模型。
注意事項
如果您選擇使用 SSL 協助保護內部部署 SharePoint 伺服器陣列的安全,也需要適用於主要 Web 應用程式的 SSL 憑證。 此憑證沒有混合式特定考量,因此您可以遵循一般最佳做法來使用 SSL 設定 SharePoint Server。
注意事項
「安全通道」不是憑證的類別;我們使用這個詞彙作為區分這個特定憑證與環境中所使用其他 SSL 憑證的方法。
關於安全通道 SSL 憑證
安全通道 SSL 憑證可為反向 Proxy 裝置與 Microsoft 365 之間的安全通道提供驗證和加密,同時作為伺服器和客戶端憑證。 它也會驗證反向 Proxy 端點 (用來發佈內部部署 SharePoint Server 網站集合) 的身分識別。
這個憑證必須是萬用字元或 SAN 憑證,且由公開根憑證授權單位所發行。 這個憑證的主體欄位必須包含反向 Proxy 伺服器的外部端點主機名稱,或萬用字元 URL,涵蓋命名空間中的所有主機名稱。 它必須使用至少 2048 位元加密。
重要事項
萬用字元憑證只能保護一個單一層級 DNS 命名空間。 例如,如果您的外部 URL 是 https://spexternal.public.adventureworks.com
,萬用字元憑證的主體欄位必須是 *.public.adventureworks.com,而不是 *.adventureworks.com。
在將 Microsoft 365 中的 SharePoint 設定為向 SharePoint Server 要求信息的情況下,需要 SSL 憑證才能執行下列動作:
透過安全通道針對流量進行加密。
讓反向 Proxy 裝置使用「憑證驗證」來驗證輸入連線。
允許 Microsoft 365 中的 SharePoint 識別和信任外部端點。
在部署期間,您會在反向 Proxy 裝置和 Microsoft 365 Secure Store 目標應用程式的 SharePoint 中安裝 SSL 憑證。 您會在設定混合式環境基礎結構時,進行此設定。
取得安全通道 SSL 憑證
從知名證書頒發機構單位取得內部部署公用網域的安全通道 SSL 通配符或 SAN (主體別名) 憑證,例如 DigiCert、VeriSign、Thawte 或 GeoTrust。
注意事項
此憑證必須支援多個名稱,而且必須至少是 2048 位元。 憑證通常會以一年間隔到期。 因此,請務必事先規劃憑證更新,以免服務中斷。 SharePoint 系統管理員應該排程憑證取代的提醒,讓您有足夠的前置時間來防止工作停止。
關於 STS 憑證
內部部署 SharePoint 伺服器陣列的 STS 憑證需要預設憑證,以驗證傳入權杖。 在 SharePoint 混合式環境中,Microsoft Entra ID 會作為受信任的令牌簽署服務,並使用 STS 憑證作為簽署憑證。 如果您選擇使用預設 STS 憑證以外的憑證 (例如,來自公用憑證授權單位的憑證),請在開始混合式設定程序之前,取代預設憑證。
記錄設定和測試所需的帳戶
SharePoint 混合式環境設定需要內部部署 Active Directory 和 Microsoft 365 目錄中的數個使用者帳戶, (Microsoft Microsoft 365 目錄) 中顯示的 Entra ID。 這些帳戶有不同的權限及群組或角色成員資格。 其中有些帳戶是用來部署和設定軟體,而有些帳戶是測試特定功能的必要帳戶,以協助保證安全性和驗證系統的運作符合預期。
移至混合式設定和測試所需的帳戶,以取得必要使用者帳戶的完整說明,包括角色和識別提供者的相關附註。
如 有指示,在工作表中記錄必要的帳戶資訊。
完成這個步驟之後,返回此規劃文章。
後續步驟
此時,您應該已完整填寫輸入連線的必要工作表,並且已經準備好開始設定程序。 您的下一個步驟是選擇設定藍圖。