Freigeben über

Konfigurieren der serverbasierten Authentifizierung mit SharePoint lokal

  • Artikel

Die serverbasierte SharePoint-Integration für die Dokumentenverwaltung kann verwendet werden, um Apps zur Kundeninteraktion (Dynamics 365 Sales, Dynamics 365 Customer Service, Dynamics 365 Field Service, Dynamics 365 Marketing und Dynamics 365 Project Service Automation) mit SharePoint vor Ort zu verbinden. Wenn Sie serverbasierte Authentifizierung verwenden, werden Microsoft Entra-Domänendienste als Vertrauensstellungsbroker verwendet und Benutzer müssen sich nicht bei SharePoint anmelden.

Berechtigungen sind erforderlich

Zur Aktivierung sind die folgenden Mitgliedschaften und Berechtigungen erforderlich, um die SharePoint Dokumentenverwaltung zu aktivieren.

  • Microsoft 365 Globale Administratormitgliedschaft – dies ist erforderlich für:

    • Zugriff auf Administratorebene auf das Microsoft 365-Abonnement.
    • Ausführung der Aktivierung des serverbasierten Authentifizierungsassistenten.
    • Ausführen der AzurePowerShell-Cmdlets.

  • Power Apps-Berechtigung zum Ausführen des Assistenten für SharePoint-Integration. Dies ist erforderlich, um den Assistenten zum Aktivieren der serverbasierten Authentifizierung auszuführen.

    Die Systemadministrator-Sicherheitsrolle besitzt standardmäßig dieses Recht.

  • Zur SharePoint lokalen Integration der SharePoint Farm-Administrator-Gruppenmitgliedschaft. Dies ist erforderlich, um die meisten PowerShell-Befehle auf dem SharePoint Server auszuführen.

Einrichten der Server-zu-Server-Authentifizierung mit SharePoint lokal

Folgen Sie den Schritten in der angegebenen Reihenfolge, um Apps zur Kundenbindung mit SharePoint 2013 lokal einzurichten.

Wichtig

Die hier beschriebenen Schritte müssen in der vorgesehenen Reihenfolge ausgeführt werden. Wenn eine Aufgabe nicht abgeschlossen wird, z. B. ein Windows PowerShell-Befehl, der eine Fehlermeldung zurückgibt, muss das Problem behoben werden, bevor Sie zum folgenden Befehl, Aufgabe oder Schritt übergehen.

Überprüfen der Voraussetzungen

Bevor Sie Apps zur Kundeninteraktion und SharePoint lokal für die serverbasierte Authentifizierung konfigurieren, müssen die folgenden Voraussetzungen erfüllt sein:

SharePoint-Voraussetzungen

  • SharePoint 2013 (lokal) mit Service Pack 1 (SP1) oder höher

    Wichtig

    SharePoint Foundation 2013-Versionen werden nicht für die Verwendung mit Apps zur Kundeninteraktion Dokumentenmanagement unterstützt.

  • Installieren Sie das kumulierte Update (CU) vom April 2019 für die SharePoint 2013-Produktfamilie. Diese CU vom April 2019 umfasst alle SharePoint 2013-Korrekturen (einschließlich aller SharePoint 2013-Sicherheitsupdates), die seit SP1 veröffentlicht wurden. Das CU vom April 2019 enthält kein SP1. Sie müssen SP1 installieren, bevor Sie das CU vom April 2019 installieren können. Mehr Informationen: April 2019, CU für SharePoint Server 2013 (KB4464514)

  • SharePoint-Konfiguration

    • Wenn Sie SharePoint 2013 verwenden, kann für jede SharePoint-Farm nur eine App zur Kundenbindung für die serverbasierte Integration konfiguriert werden.

    • Die SharePoint-Website muss über das Internet verfügbar sein. Ein Reverseproxy kann auch für SharePoint-Authentifizierung erforderlich sein. Weitere Informationen: Konfigurieren eines Reverseproxy-Geräts für SharePoint Server 2013 (hybrid)

    • Die SharePoint-Website muss für SSL (HTTPS) auf TPC Port 443 konfiguriert werden (keine benutzerdefinierte Ports werden unterstützt) und das Zertifikat muss von einer öffentlichen Stammzertifizierungsstelle ausgegeben werden. Mehr Informationen: SharePoint: Über Secure Channel SSL-Zertifikate

    • Eine zuverlässige Benutzereigenschaft, die für eine auf Ansprüchen basierende Zuordnung der Authentifizierung zwischen SharePoint und Apps zur Kundeninteraktion verwendet werden kann. Mehr Informationen: Mappingtyp auswählen

    • Für Dokumentenfreigabe muss der SharePoint-Suchdienst aktiviert werden. Weitere Informationen: Erstellen und Konfigurieren einer Suchdienstanwendung in SharePoint Server

    • Für Dokumentenverwaltungsfunktionen, wenn mobile Apps in Dynamics 365 verwendet werden, muss der lokale SharePoint-Server über das Internet verfügbar sein.

Andere Voraussetzungen

  • SharePoint Online-Lizenz. Customer Engagement-Apps zur lokalen serverbasierten SharePoint-Authentifizierung müssen den SharePoint Service Principal Name (SPN) in Microsoft Entra ID registriert haben. Um dies sicherzustellen, ist mindestens eine SharePoint Online Benutzerlizenz erforderlich. Die SharePoint Online Lizenz kann von einer Einzelbenutzerlizenz stammen und beruht in der Regel auf einem der folgenden Elemente:

    • Ein SharePoint-Online Abonnement. Jeder SharePoint-Online-Plan ist genügend, auch wenn die Lizenz keinem Benutzer zugewiesen ist.

    • Ein Microsoft 365-Abonnement, das SharePoint-Online enthält. Wenn Sie z. B. Microsoft 365 E3 besitzen, verfügen Sie über die entsprechende Lizenzierung, auch wenn die Lizenz keinem Benutzer zugewiesen ist.

      Weitere Informationen zu diesen Plänen finden Sie unter Finden Sie die richtige Lösung für Sie und Vergleichen Sie SharePoint Optionen

  • Die folgenden Softwarefunktionen sind erforderlich, um die PowerShell-Cmdlets ausführen, die in diesem Thema beschrieben werden:

    • Microsoft Online Services-Anmeldung Assistent für IT-Experten (Beta)

    • MSOnlineExt

    • Geben Sie den folgenden Befehl in einer PowerShell-Sitzung als Administrator ein, um das MSOnlineExt-Modul zu installieren. PS> Install-Module -Name "MSOnlineExt"

    Wichtig

    Zum Zeitpunkt des Schreibens dieses Artikels besteht ein Problem mit der RTW-Version der Microsoft Online Services-Anmeldung Assistent für IT-Experten. Bis das Problem behoben ist, ist es empfehlenswert, die Betaversion zu verwenden. Mehr Informationen: Microsoft Azure Foren: Das Microsoft Entra-Modul kann nicht für Windows PowerShell installiert werden. MOSSIA ist nicht installiert.

  • Ein geeigneter, auf Ansprüchen basierender Authentifizierungs-Zuordnungstyp, der für die Zuordnung von Identitäten zwischen Apps zur Kundeninteraktion und SharePoint lokal verwendet werden kann. Standardmäßig wird die E-Mail-Adresse verwendet. Mehr Informationen: Apps zur Kundenbindung die Berechtigung für den Zugriff auf SharePoint erteilen und die Zuordnung der auf Ansprüchen basierenden Authentifizierung konfigurieren

Aktualisieren des SharePoint Server SPN in Microsoft Entra Domain Services

Auf dem lokalen SharePoint-Server, in der SharePoint 2013 Verwaltungsshell, führen Sie diese PowerShell-Befehle in der genannten Reihenfolge aus.

  1. Bereiten Sie die PowerShell Sitzung vor.

    Die folgenden Cmdlets ermöglichen dem Computer, Remote-Befehle zu empfangen und Microsoft 365-Module zur PowerShell-Sitzung hinzuzufügen. Weitere Informationen zu diesen Cmdlets finden Sie unter Windows PowerShell-Kern-Cmdlets.

    Enable-PSRemoting -force  
New-PSSession  
Import-Module MSOnline -force  
Import-Module MSOnlineExtended -force

  2. Stellen Sie mit Microsoft 365 eine Verbindung her.

    Wenn Sie den Befehl Connect-MsolService ausführen, müssen Sie ein gültiges Microsoft Konto angeben, das über eine globale Administratormitgliedschaft für die erforderliche SharePoint Online-Lizenz verfügt.

    Ausführliche Informationen zu jedem der hier aufgeführten Microsoft Entra ID PowerShell-Befehle finden Sie unter Verwalten von Microsoft Entra mithilfe von Windows PowerShell

    $msolcred = get-credential  
connect-msolservice -credential $msolcred

  3. Legen Sie den SharePoint-Hostnamen fest.

    Der Wert, den Sie für den variablen Hostnamen festlegen, muss ein vollständiger Hostname der SharePoint-Websitesammlung sein. Der Hostname muss von der Websitesammlungs-URL abgeleitet sein und die Groß-/Kleinschreibung muss beachtet werden. In diesem Beispiel ist die URL der Websitesammlung <https://SharePoint.constoso.com/sites/salesteam>, deshalb lautet der Hostname SharePoint.contoso.com.

    $HostName = "SharePoint.contoso.com"

  4. Rufen Sie die Microsoft 365-Objekt (Mandant)-ID ab und den SharePoint Server Dienstprinzipalnamen (SPN).

    $SPOAppId = "00000003-0000-0ff1-ce00-000000000000"  
$SPOContextId = (Get-MsolCompanyInformation).ObjectID  
$SharePoint = Get-MsolServicePrincipal -AppPrincipalId $SPOAppId  
$ServicePrincipalName = $SharePoint.ServicePrincipalNames

  5. Legen Sie den SharePoint-Server-Dienstprinzipalnamen (Service Principal Name, SPN) in Microsoft Entra ID fest.

    $ServicePrincipalName.Add("$SPOAppId/$HostName")   
Set-MsolServicePrincipal -AppPrincipalId $SPOAppId -ServicePrincipalNames $ServicePrincipalName

    Wenn diese Befehle ausgeführt wurden, sollten Sie nicht die SharePoint 2013-Verwaltungsshell schließen und mit dem nächsten Schritt fortfahren.

Aktualisieren des SharePoint-Bereichs zur Übereinstimmung mit SharePoint Online

Auf dem lokalen SharePoint Server, in der SharePoint 2013-Verwaltungsshell, führen Sie diesen Windows PowerShell-Befehl aus.

Der folgende Befehl erfordert SharePoint-Farmadministratormitgliedschaft und legt den Authentifizierungsbereich der lokalen SharePoint-Farm fest.

Achtung

Das Ausführen dieses Befehls ändert den Authentifizierungsbereich der lokalen SharePoint-Farm. Bei Anwendungen, die einen vorhandenen Sicherheitstokendienst (STS) verwenden, kann dies unerwartetes Verhalten bei anderen Anwendungen, die Zugriffstoken verwenden, auslösen. Weitere Informationen: Set-SPAuthenticationRealm.

Set-SPAuthenticationRealm -Realm $SPOContextId

Erstellen Sie einen vertrauenswürdigen Sicherheitstokenaussteller für Microsoft Entra ID in SharePoint

Auf dem lokalen SharePoint-Server, in der SharePoint 2013 Verwaltungsshell, führen Sie diese PowerShell-Befehle in der genannten Reihenfolge aus.

Die folgenden Befehle erfordern SharePoint-Farmadministratormitgliedschaft.

Detaillierte Informationen zu diesen PowerShell-Befehlen finden Sie unter Verwalten der Sicherheit in SharePoint 2013 mit Windows PowerShell-Cmdlets.

  1. Aktivieren Sie die PowerShell-Sitzung, um Änderungen am Sicherheitstokendienst für die SharePoint-Farm vorzunehmen.

    $c = Get-SPSecurityTokenServiceConfig  
$c.AllowMetadataOverHttp = $true  
$c.AllowOAuthOverHttp= $true  
$c.Update()

  2. Legen Sie den Metadatenendpunkt fest.

    $metadataEndpoint = "https://accounts.accesscontrol.windows.net/" + $SPOContextId + "/metadata/json/1"  
$acsissuer = "00000001-0000-0000-c000-000000000000@" + $SPOContextId  
$issuer = "00000007-0000-0000-c000-000000000000@" + $SPOContextId

  3. Erstellen Sie den neuen Tokenkontrolldienst-Anwendungsproxy in Microsoft Entra ID.

    New-SPAzureAccessControlServiceApplicationProxy -Name "Internal" -MetadataServiceEndpointUri $metadataEndpoint -DefaultProxyGroup

    Anmerkung

    Der New- SPAzureAccessControlServiceApplicationProxy-Befehl gibt möglicherweise eine Fehlermeldung zurück, die aussagt das ein Anwendungsproxy mit demselben Namen bereits vorhanden ist. Wenn der benannte Anwendungsproxy bereits vorhanden ist, können Sie den Fehler ignorieren.

  4. Erstellen Sie den neuen Tokensteuerelementdienst-Aussteller in SharePoint (lokal) für Microsoft Entra ID.

    $acs = New-SPTrustedSecurityTokenIssuer –Name "ACSInternal" –IsTrustBroker:$true –MetadataEndpoint $metadataEndpoint -RegisteredIssuerName $acsissuer

Erteilen Sie Apps für Apps zur Kundeninteraktion die Berechtigung zum Zugriff auf SharePoint und konfigurieren Sie die Zuordnung der auf Ansprüchen basierenden Authentifizierung

Auf dem lokalen SharePoint-Server, in der SharePoint 2013 Verwaltungsshell, führen Sie diese PowerShell-Befehle in der genannten Reihenfolge aus.

Die folgenden Befehle erfordern SharePoint-Websitesammlung-Administrationsmitgliedschaft.

  1. Registrieren Sie Apps zur Kundenbindung mit der SharePoint-Sitesammlung.

    Geben Sie die lokale SharePoint-Websitesammlungs-URL ein. In diesem Beispiel wird https://sharepoint.contoso.com/sites/crm/ verwendet.

    Wichtig

    Um diesen Befehl auszuführen, muss der SharePoint-App-Verwaltungsservice-Anwendungsproxy vorhanden sein und ausgeführt werden. Weitere Informationen zum Starten und Konfigurieren des Dienstes finden Sie im Dienstanwendungen-Unterthema „Konfigurieren der Abonnementeinstellungen und App-Verwaltung” in Konfigurieren einer Umgebung für Apps für SharePoint (SharePoint 2013).

    $site = Get-SPSite "https://sharepoint.contoso.com/sites/crm/"  
Register-SPAppPrincipal -site $site.RootWeb -NameIdentifier $issuer -DisplayName "crm"

  2. Gewähren Sie Apps für Apps zur Kundeninteraktion Zugriff auf die Site SharePoint. Ersetzen Sie https://sharepoint.contoso.com/sites/crm/ durch die SharePoint-Website-URL.

    Notiz

    Im folgenden Beispiel erhält die App zur Kundeninteraktion die Berechtigung für die angegebene Websitesammlung SharePoint, indem der Parameter -Scope für die Websitesammlung verwendet wird. Der Scope-parameter akzeptiert die folgenden Optionen. Wählen Sie den Umfang aus, der für die SharePoint-Konfiguration am besten geeignet ist.

    • site. Gewährt Apps die Berechtigung für Apps zur Kundeninteraktion nur für die angegebene SharePoint-Website. Gewährt für Unterwebsites unter der benannten Website keine Berechtigungen.
      • sitecollection. Erteilt den Apps zur Kundeninteraktion die Berechtigung für alle Websites und Unterwebsites innerhalb der angegebenen SharePoint-Site-Sammlung.
      • sitesubscription. Erteilt Apps für Apps zur Kundeninteraktion die Berechtigung für alle Websites in der SharePoint-Farm, einschließlich aller Websitesammlungen, Websites und Unterwebsites.
    $app = Get-SPAppPrincipal -NameIdentifier $issuer -Site "https://sharepoint.contoso.com/sites/crm/"  
Set-SPAppPrincipalPermission -AppPrincipal $app -Site $site.Rootweb -Scope "sitecollection" -Right "FullControl"

  3. Legen Sie den Zuordnungstypen für die anspruchsbasierte Authentifizierung fest.

    Wichtig

    Standardmäßig verwendet die anspruchsbasierte Authentifizierung Zuordnung die Microsoft Konto-E-Mail-Adresse des Benutzers und die SharePoint lokal geschäftliche E-Mail-Adresse des Benutzers für Zuordnung. Hierzu müssen die E-Mail-Adressen des Benutzers zwischen den beiden Systemen übereinstimmen. Weitere Informationen zum Ändern der anspruchsbasierten Authentifizierungszuordnung finden Sie unter Auswählen eines Zuordnungstyps für die anspruchsbasierte Authentifizierung.

    $map1 = New-SPClaimTypeMapping -IncomingClaimType "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress" -IncomingClaimTypeDisplayName "EmailAddress" -SameAsIncoming

Führen Sie „Aktivieren des Assistenten für serverbasierten SharePoint-Integration“ aus

Führen Sie diese Schritte aus:

  1. Bestätigen Sie, dass Sie über die erforderlichen Berechtigungen zum Ausführen des Assistenten verfügen. Weitere Informationen: Erforderliche Berechtigungen

  2. Gehen Sie zu Einstellungen>Dokumentenverwaltung.

  3. Klicken Sie im Bereich Dokumentenverwaltung auf die Option Serverbasierte SharePoint-Integration aktivieren.

  4. Prüfen Sie die Informationen, und klicken Sie dann auf Weiter.

  5. Klicken Sie für die SharePoint-Websites auf Lokal und dann auf Weiter.

  6. Geben Sie die lokale SharePoint-Websitesammlungs-URL, wie https://sharepoint.contoso.com/sites/crm, ein. Die Website muss für SSL konfiguriert sein.

  7. Klicken Sie auf Weiter.

  8. Der Websites überprüfen-Abschnitt wird angezeigt. Wenn alle Websites als gültig deklariert werden, klicken Sie auf Aktivieren. Wenn mindestens ein bestimmtes ungültiges Websites sind, siehe Beheben Server-basierten der Authentifizierung.

Auswählen der Entitäten, die in die Dokumentenverwaltung integriert werden sollen

Standardmäßig sind Firmen-, Artikel- Lead-, Produkt-, Angebots-, und Vertriebsdokumentationsentitäten enthalten. Sie können die Entitäten hinzufügen oder entfernen, die für die Dokumentenverwaltng mit SharePoint in Dokumentverwaltungseinstellungen verwendet werden. Gehen Sie zu Einstellungen>Dokumentenverwaltung. Weitere Informationen: Aktivieren der Dokumentenverwaltung für Entitäten

Fügen Sie OneDrive for Business Integration hinzu.

Nachdem Sie Apps zur Kundenbindung und SharePoint lokale serverbasierte Authentifizierungskonfiguration abgeschlossen haben, können Sie auch OneDrive for Business integrieren. Mit Apps zur Kundenbindung und der Integration von OneDrive for Business können Benutzer mit OneDrive for Business private Dokumente erstellen und verwalten. Auf diese Dokumente kann innerhalb von OneDrive for Business zugegriffen werden, sobald der Systemadministrator for Business aktiviert hat.

OneDrive for Business aktivieren

Öffnen Sie auf dem Windows Server, auf dem SharePoint Server lokal läuft, die Management Shell SharePoint und führen Sie die folgenden Befehle aus:

Add-Pssnapin *  
# Access WellKnown App principal  
[Microsoft.SharePoint.Administration.SPWebService]::ContentService.WellKnownAppPrincipals  
  
# Create WellKnown App principal  
$ClientId = "00000007-0000-0000-c000-000000000000"  
$PermissionXml = "<AppPermissionRequests AllowAppOnlyPolicy=""true""><AppPermissionRequest Scope=""http://sharepoint/content/tenant"" Right=""FullControl"" /><AppPermissionRequest Scope=""http://sharepoint/social/tenant"" Right=""Read"" /><AppPermissionRequest Scope=""http://sharepoint/search"" Right=""QueryAsUserIgnoreAppPrincipal"" /></AppPermissionRequests>"  
  
$wellKnownApp= New-Object -TypeName "Microsoft.SharePoint.Administration.SPWellKnownAppPrincipal" -ArgumentList ($ClientId, $PermissionXml)  
  
$wellKnownApp.Update()

Auswählen eines Zuordnungstyps für die anspruchsbasierte Authentifizierung

Standardmäßig verwendet die anspruchsbasierte Authentifizierung Zuordnung die Microsoft Konto-E-Mail-Adresse des Benutzers und die SharePoint lokal geschäftliche E-Mail-Adresse des Benutzers für Zuordnung. Beachten Sie, dass unabhängig von der Art der auf Ansprüchen basierenden Authentifizierung, die Sie verwenden, die Werte, wie z. B. E-Mail-Adressen, müssen zwischen Kundenbindungs-Apps und SharePoint übereinstimmen. Microsoft 365-Verzeichnissynchronisierung kann dabei behilflich sein. Mehr Informationen: Stellen Sie die Microsoft 365 Verzeichnissynchronisierung in Microsoft Azure bereit. Weitere Information zum Verwenden eines anderen Typs der anspuchsbasierten Authentifizierungszuordnung finden Sie unter Benutzerdefinierte Anspruchszuordnung für auf dem SharePoint-Server basierte Integration definieren.

Wichtig

Um die Eigenschaft für die geschäftliche E-Mail-Adresse zu aktivieren, muss bei SharePoint (lokal) eine Benutzerprofil-Dienstanwendung konfiguriert und gestartet worden sein. Um eine Benutzerprofil-Dienstanwendung in SharePoint zu aktivieren, siehe Erstellen, Bearbeiten oder Löschen von Benutzerprofil-Dienstanwendungen in SharePoint Server 2013. Für Änderungen an einer Benutzereigenschaft, z. B. geschäftliche E-Mail-Adresse, siehe Bearbeiten einer Benutzerprofileigenschaft. Weitere Informationen zur Benutzerprofil-Dienstanwendung finden Sie unter Übersicht über die Benutzerprofildienstanwendung in SharePoint Server 2013.

Siehe auch

Fehlerbehebung bei der serverbasierten Authentifizierung
Richten Sie die SharePoint Integration mit Apps zur Kundenbindung ein