Compartir a través de

Configuración de la conectividad de Microsoft 365 a SharePoint Server

  • Artículo

SE APLICA A:yes-img-132013 yes-img-162016 yes-img-192019 yes-img-seSubscription Edition yes-img-sopSharePoint in Microsoft 365

**Este artículo forma parte de una guía básica de procedimientos para configurar soluciones híbridas de SharePoint. Asegúrese de seguir una guía básica al realizar los procedimientos descritos en este artículo. **

Este artículo contiene instrucciones sobre el proceso de implementación del entorno híbrido de SharePoint, que integra SharePoint Server y SharePoint en Microsoft 365.

Importante

Microsoft recomienda utilizar roles con la menor cantidad de permisos. El uso de cuentas con permisos inferiores ayuda a mejorar la seguridad de su organización. Administrador global es un rol con muchos privilegios que debe limitarse a escenarios de emergencia cuando no se puede usar un rol existente.

Antes de empezar

Nota de accesibilidad: SharePoint Server admite las características de accesibilidad de exploradores comunes para ayudarle a administrar implementaciones y acceder a sitios. Para obtener más información, vea Accesibilidad para SharePoint 2013.

Si aún no lo ha hecho, lea Planear la conectividad de Microsoft 365 a SharePoint Server antes de empezar a configurar cualquier cosa. Esto es importante porque el artículo de planeación le ayuda a tomar decisiones importantes y registrarlas en la hoja de cálculo de implementación híbrida de SharePoint, a la que se hace referencia en el resto de este artículo como la hoja de cálculo. A su vez, informa qué procedimientos de este artículo se deben usar y cuáles puede pasar por alto.

Si ha leído el artículo de planeamiento, ya debería haber hecho lo siguiente:

  • Decida qué estrategia de colección de sitios configurará para la híbrida.

  • Decidir si se va a utilizar una aplicación web existente o a crear una para el entorno híbrido.

Icono Descripción
Icono Editar Estas decisiones están registradas en la tabla 2 de la hoja de cálculo. Si no es así, vuelva atrás y lea Planear la conectividad de Microsoft 365 a SharePoint Server y tome estas decisiones antes de continuar.

Sugerencias sobre la hoja de cálculo

Las cosas serán mucho más fáciles si toda la información aplicable se escribe en la hoja de cálculo híbrida de SharePoint antes de empezar a configurar cualquier cosa. Como mínimo, necesitará saber lo siguiente para usar este artículo.

Tabla: Decisiones que ya deben estar registradas en la hoja de cálculo SharePoint Hybrid

Decisión Ubicación en la hoja de cálculo
¿Se usará una aplicación web existente para el entorno híbrido o se creará una?
Fila Aplicación web nueva o existente de la tabla 2
¿Qué estrategia de colección de sitios usará?
Fila Estrategia de la colección de sitios de la tabla 2
¿Cuál es la dirección URL externa?
Fila Dirección URL externa de la tabla 3
¿Cuál es la dirección IP del punto de conexión accesible desde Internet en el dispositivo proxy inverso al que está asociada la dirección URL externa?
Fila Dirección IP del extremo externo de la tabla 3

Compruebe que estas decisiones están registradas en la hoja de cálculo antes de continuar.

Fases de configuración

Para configurar la infraestructura de entorno, necesitará interfaces de SharePoint Server, como el sitio web de Administración central de SharePoint, y las páginas Administración de SharePoint en Microsoft 365. Para evitar tener que cambiar entre estas interfaces más de lo necesario, los pasos de configuración se organizaron en las fases que se indican a continuación:

Complete cada paso de la configuración en el orden que se muestra en este artículo.

Importante

Es recomendable documentar detalladamente la estrategia de implementación y mantener registros de trabajo exhaustivos durante todo el proceso de configuración del entorno híbrido. En un proyecto de implementación complejo, un registro detallado de todas las decisiones de diseño, las configuraciones de los servidores, los pasos y las salidas es una referencia muy importante en la solución de problemas, el soporte y la detección.

Preparar el dominio público

Para que Microsoft 365 envíe solicitudes al punto de conexión externo del dispositivo proxy inverso, debe tener lo siguiente:

  • Un dominio público registrado con un registrador de dominios, como GoDaddy.com, al que esté asociada la dirección URL del extremo externo del dispositivo de proxy inverso.

  • Un registro A en la zona DNS del dominio público asociado al sitio publicado de SharePoint en Microsoft 365 (que es la dirección URL externa, como spexternal.adventureworks.com). Esto permite a Microsoft 365 enviar solicitudes al punto de conexión externo en el dispositivo proxy inverso configurado para híbrido. Este registro A asigna la dirección URL externa a la dirección IP del extremo accesible desde Internet del dispositivo de proxy inverso. Para obtener más información, vea Planear la conectividad de Microsoft 365 a SharePoint Server.

Si aún no tiene un dominio público que quiera usar para este propósito (por ejemplo, adventureworks.com), obtenga uno ahora y, a continuación, cree este registro A. Si ya se encargó de esto durante la fase de planeación, el nombre del dominio público y la dirección IP que necesita para crear este registro A se registran en la tabla 3 de la hoja de cálculo.

Debe completar los pasos del artículo Conexión de su dominio a Microsoft 365 para agregar el nombre de host del dominio público a Microsoft 365.

Configurar SharePoint Server

En esta sección se explica cómo configurar la granja de servidores de SharePoint Server para su uso en una solución híbrida de entrada. Hemos organizado los pasos de esta sección en las fases siguientes. Para obtener resultados más confiables, complete los procedimientos en el orden mostrado.

  • Configurar una estrategia de colección de sitios

  • Asignar un sufijo de dominio UPN

  • Sincronizar los perfiles de usuario

  • Configurar OAuth sobre HTTP (si es necesario)

Nota:

En los procedimientos de esta sección se supone que tiene una granja de servidores de SharePoint Server existente que pretende usar para la funcionalidad híbrida.

Configurar una estrategia de colección de sitios

En un entorno híbrido, los datos se intercambian entre la colección de sitios raíz de SharePoint en Microsoft 365 y una aplicación web específica en la granja de servidores de SharePoint local que está configurada para híbrido. Esta se denomina aplicación web principal. Esta aplicación web es el punto central sobre el que se configura la estrategia de colección de sitios.

Durante la fase de planeación, debe haber decidido si usará una aplicación web existente o creará una, y qué estrategia de colección de sitios configurará. Si ya lo ha hecho, sus decisiones se mostrarán en la fila Estrategia de colección de sitios de la tabla 2 de la hoja de cálculo. Si aún no lo ha decidido, revise el artículo Planear la conectividad de Microsoft 365 a SharePoint Server y tome estas decisiones antes de continuar.

Elija una de las siguientes estrategias de colección de sitios para configurar:

Configurar una estrategia de colección de sitios usando una colección de sitios con hombre de host

Si quiere configurar una estrategia de colección de sitios usando una colección de sitios con nombre de host para el entorno híbrido de SharePoint, siga estos pasos en el orden mostrado:

  1. Asegúrese de que la aplicación web y la colección de sitios raíz existan.

  2. Asegúrese de que existe un enlace SSL en la aplicación web principal.

  3. Cree la colección de sitios denominados host.

  4. Configure un DNS dividido.

  5. Cree un registro A en el DNS local.

Para obtener más información sobre las decisiones de estrategia de recopilación de sitios, vea la sección Elegir una estrategia de colección de sitios de Planear la conectividad de Microsoft 365 a SharePoint Server.

Asegurarse de que la aplicación web principal y la colección de sitios raíz existen

La colección de sitios con nombre de host que creará un poco más adelante debe crearse en una aplicación web configurada para usar lo siguiente:

  • Autenticación de Windows integrada con NTLM

  • Protocolo https (Capa de sockets seguros)

También necesita una colección de sitios basada en la ruta de acceso para utilizar como colección de sitios raíz en esta aplicación web.

Icono Descripción
Icono Editar Si ha identificado la aplicación web que quiere usar durante la planeación, debe aparecer en la fila Primary web application URL de la tabla 5a de la hoja de cálculo.

Si la aplicación web y la colección de sitios raíz no existen, tendrá que crearlas. Puede hacerlo mediante Administración central o el Shell de administración de SharePoint 2016. Si ya existen, vaya a Asegurarse de que existe un enlace SSL en la aplicación web principal.

Este es un ejemplo de cómo crear una aplicación web mediante el Shell de administración de SharePoint 2016.

New-SPWebApplication -Name 'Adventureworks Web app' -SecureSocketsLayer -port 443 -ApplicationPool AdventureworksAppPool -ApplicationPoolAccount (Get-SPManagedAccount 'adventureworks\abarr') -AuthenticationProvider (New-SPAuthenticationProvider -UseWindowsIntegratedAuthentication)

Donde:

  • El nombre de la aplicación web es Adventureworks Web app.

  • El número de puerto de la aplicación web es 443.

Icono Descripción
Icono Editar Registre el número de puerto que eligió en la fila Port number of the web application de la tabla 5a de la hoja de cálculo.

  • La nueva aplicación web usa un grupo de aplicaciones web denominado AdventureworksAppPool.

  • La aplicación web se ejecuta como la cuenta administrada adventureworks\abarr.

  • La aplicación web se crea usando autenticación de Windows integrada con NTLM.

Este es un ejemplo de cómo crear la colección de sitios raíz mediante el Shell de administración de SharePoint 2016.

New-SPSite 'https://sharepoint' -Name 'Portal' -Description 'Adventureworks Root site collection' -OwnerAlias 'adventureworks\abarr' -language 1033 -Template 'STS#0'

Donde:

  • El nombre de host de la granja de servidores de SharePoint es "sharepoint".

  • El administrador principal es adventureworks\abarr.

  • La plantilla de sitio usa el idioma inglés (1033).

  • La plantilla (STS#0) es Sitio de grupo.

Para obtener más información sobre cómo crear una aplicación web y una colección de sitios raíz para una colección de sitios con nombre de host, vea Creación de aplicaciones web basadas en notificaciones en SharePoint Server y arquitectura e implementación de colecciones de sitios con nombre de host en SharePoint Server.

Asegurarse de que existe un enlace SSL en la aplicación web principal

Como esta aplicación web está configurada para usar SSL, debe asegurarse de que haya un certificado SSL enlazado a la aplicación web principal. Para entornos de producción, este certificado debe ser emitido por una entidad de certificación (CA) pública. Para entornos de prueba y desarrollo, puede ser un certificado autofirmado. Esto se denomina certificado SSL de SharePoint local.

Sugerencia

Este suele ser un certificado diferente del que más tarde instalará en el dispositivo de proxy inverso. Para obtener más información sobre estos certificados, vea la sección Planear certificados SSL de Planear la conectividad de Microsoft 365 a SharePoint Server.

Una vez enlazado el certificado a la aplicación web, podrá ver este nombre de host en el campo Emitido a en el cuadro de diálogo Certificados de servidor de Internet Information Services (IIS). Para obtener más información, consulte Configuración de SSL en IIS 7.0.

Crear la colección de sitios con nombre de host

Cuando la aplicación web y la colección de sitios raíz están en su sitio, el siguiente paso es crear una colección de sitios con nombre de host dentro de la aplicación web principal. La dirección URL pública de esta colección de sitios debe ser idéntica a la dirección URL de extremo externo.

Nota:

Las colecciones de sitios con nombre de host deben crearse mediante el Shell de administración de SharePoint 2016. No puede usar Administración central para crear este tipo de colección de sitios.

Este es un ejemplo de cómo crear una colección de sitios con nombre de host mediante el Shell de administración de SharePoint 2016.

New-SPSite 'https://spexternal.adventureworks.com' -HostHeaderWebApplication 'https://sharepoint' -Name 'https://spexternal.adventureworks.com' -Description 'Site collection for hybrid' -OwnerAlias 'adventureworks\abarr' -language 1033 -Template 'STS#0'

Donde:

  • https://spexternal.adventureworks.com es la dirección URL de la colección de sitios con nombre de host. Esta dirección URL debe ser idéntica a la dirección URL externa.

  • https://sharepoint es la aplicación web en la que se crea la colección de sitios.

Para obtener más información, vea Arquitectura e implementación de colecciones de sitios con nombre de host en SharePoint Server.

Configurar un DNS dividido

Tiene que configurar un DNS dividido. Esta es una configuración habitual que se usa para ayudar a garantizar que los equipos cliente locales resuelvan los nombres de servidor en direcciones IP internas, aunque los DNS públicos resuelvan el mismo nombre de servicio en una dirección IP pública completamente diferente. Esto permite redirigir a los usuarios a un punto de conexión que usa mecanismos estándar de SharePoint en Microsoft 365 mejorados de seguridad para la autenticación, pero las consultas de Microsoft 365 se pueden dirigir a través de un proxy inverso configurado para usar la autenticación de certificados.

Para obtener más información sobre cómo usar DNS dividido en una topología híbrida, vea Recomendación de diseño de arquitectura para características de búsqueda híbrida de SharePoint 2013. Para obtener información sobre cómo configurar un DNS dividido, consulte Una configuración de DNS de cerebro dividido defectuosa puede evitar una experiencia de inicio de sesión único sin problemas.

Crear un registro A en el DNS local

El dispositivo proxy inverso debe ser capaz de resolver la dirección URL interna de la colección de sitios con nombre de host. Para ello, puede crear un registro A en el espacio de nombres de DNS local. Esto no tiene que estar en el mismo espacio de nombres que el dispositivo proxy inverso. Sin embargo, el dispositivo de proxy inverso debe ser capaz de resolver este espacio de nombres. Este registro A asigna el nombre de host de la dirección URL externa a la dirección IP de la granja de servidores local de SharePoint. Este es un ejemplo de un registro A donde la dirección URL externa es https://spexternal.adventureworks.comy la dirección IP del equilibrador de carga de red para la granja de servidores de SharePoint es 10.0.0.13.

En esta ilustración se muestra un ejemplo de un registro A

Icono Descripción
Icono Editar La dirección URL externa está registrada en la fila External URL de la tabla 3 de la hoja de cálculo.

Ha terminado de configurar la estrategia de colección de sitios usando una colección de sitios con nombre de host para entornos híbridos. Ahora, vaya a Asignar un sufijo de dominio UPN.

Configurar una estrategia de colección de sitios usando una aplicación web basada en la ruta de acceso sin AAM

Si quiere configurar una estrategia de colección de sitios usando una aplicación web basada en la ruta de acceso sin necesidad de crear una asignación alternativa de acceso (AAM) para el entorno híbrido de SharePoint, complete estos pasos en el orden que se muestra:

  1. Asegúrese de que existe la aplicación web.

  2. Asegúrese de que existe un enlace SSL en la aplicación web principal.

  3. Configure un DNS dividido.

  4. Cree un registro A en el DNS local.

Nota:

Al configurar una estrategia de colección de sitios sin AAM, la dirección URL pública de la aplicación web principal debe ser idéntica a la dirección URL externa.

Para obtener más información, vea la sección Elegir una estrategia de colección de sitios de Planear la conectividad de Microsoft 365 a SharePoint Server.

Asegurarse de que existe la aplicación web principal

Puede usar una aplicación web existente como la aplicación web principal o puede crear una. Debe haber tomado esta decisión durante la planeación y haberla registrado en la fila Aplicación web nueva o existente de la tabla 2 de la hoja de cálculo. Si aún no ha tomado esta decisión, consulte Plan connectivity from Microsoft 365 to SharePoint Server (Planear la conectividad de Microsoft 365 a SharePoint Server ) y decida antes de continuar. Recuerde que cuando se configura una estrategia de colección de sitios sin AAM, la dirección URL pública de la aplicación web principal debe ser idéntica a la dirección URL externa.

Si durante la planeación decide qué aplicación web existente usará como aplicación web principal, su dirección URL se registrará en la fila Dirección URL de aplicación web principal de la tabla 5b de la hoja de cálculo. Si este es su caso, pase a Asegúrese de que existe un enlace SSL en la aplicación web principal. De lo contrario, para crear una aplicación web que se usará como aplicación web principal, use los procedimientos de Creación de aplicaciones web basadas en notificaciones en SharePoint Server.

En general, debe usar la configuración predeterminada. Sin embargo, las siguientes opciones de configuración son necesarias.

Opciones de configuración necesarias

Ubicación Descripción
En la sección Sitio web de IIS, en el cuadro Puerto
 Escriba el número de puerto que quiere que use esta aplicación web, por ejemplo, 443.
En la sección Configuración de seguridad
Asegúrese de que el valor de Permitir anónimo es No.
En la sección Configuración de seguridad
Asegúrese de que el valor de Usar Capa de sockets seguros (SSL) sea . Tendrá que enlazar un certificado SSL a la aplicación web, que se describe más en la sección siguiente.
En la sección Tipos de autenticación de notificaciones
 Active la casilla Habilitar la autenticación de Windows, active la casilla Autenticación de Windows integrada y, en el menú desplegable, seleccione NTLM.
En la sección Dirección URL pública, en el cuadro URL
 Escriba la dirección URL externa, por ejemplo, https://spexternal.adventureworks.com.
De forma predeterminada, SharePoint en Microsoft 365 anexa el número de puerto a la dirección URL predeterminada que recomienda para este campo. Cuando reemplace esa dirección URL por la dirección URL externa, no anexe el número de puerto.

Para facilitarle las cosas en los procedimientos posteriores, es recomendable que haga lo siguiente.

Icono Descripción
Icono Editar Obtenga la dirección URL de la sección Dirección URL pública de la página Crear nueva aplicación web en Administración central y anote la dirección URL de la aplicación web principal de la tabla 5b de la hoja de cálculo.

Asegurarse de que existe un enlace SSL en la aplicación web principal

Debe asegurarse de que haya un certificado SSL enlazado a la aplicación web principal. Para entornos de producción, este certificado debe ser emitido por una entidad de certificación (CA) pública. Para entornos de prueba y desarrollo, puede ser un certificado autofirmado. Esto se denomina certificado SSL de SharePoint local en Microsoft 365.

Sugerencia

Este suele ser un certificado diferente del que más tarde instalará en el dispositivo de proxy inverso pero, si quiere, podría usar el certificado SSL de canal seguro con este fin. Para obtener más información sobre estos certificados, vea la sección Planear certificados SSL de Planear la conectividad de Microsoft 365 a SharePoint Server.

El nombre de host de la aplicación web debe estar en el campo Subject del certificado SSL. Una vez enlazado el certificado a la aplicación web, puede ver este nombre de host en el campo Emitido a en el cuadro de diálogo Certificados de servidor de Internet Information Services (IIS). Para obtener más información, consulte Configuración de SSL en IIS 7.0.

Configurar un DNS dividido

Tiene que configurar un DNS dividido. Esta es una configuración habitual que se usa para ayudar a garantizar que los equipos cliente locales resuelvan los nombres de servidor en direcciones IP internas, aunque los DNS públicos resuelvan el mismo nombre de servicio en una dirección IP pública completamente diferente. Esto permite redirigir a los usuarios a un punto de conexión que usa mecanismos estándar de SharePoint en Microsoft 365 mejorados de seguridad para la autenticación, pero las consultas de Microsoft 365 se pueden dirigir a través de un proxy inverso configurado para usar la autenticación de certificados.

Para obtener más información sobre cómo usar DNS dividido en una topología híbrida, vea Architecture Design Recommendation for SharePoint 2013 Hybrid Search Features(Recomendación de diseño de arquitectura para características de búsqueda híbrida de SharePoint 2013). Para obtener información sobre cómo configurar un DNS dividido, consulte Una configuración de DNS de cerebro dividido defectuosa puede evitar una experiencia de inicio de sesión único sin problemas.

Crear un registro A en el DNS local

El dispositivo proxy inverso debe ser capaz de resolver la dirección URL interna de la colección de sitios con nombre de host. Para ello, puede crear un registro A en el espacio de nombres de DNS local. Esto no tiene que estar en el mismo espacio de nombres que el dispositivo proxy inverso. Sin embargo, el dispositivo de proxy inverso debe ser capaz de resolver este espacio de nombres. Este registro A asigna el nombre de host de la dirección URL externa a la dirección IP de la granja de servidores local de SharePoint. Este es un ejemplo de un registro A donde está https://spexternal.adventureworks.com la dirección URL externa y la dirección IP del equilibrador de carga de red para la granja de servidores de SharePoint es 10.0.0.13.

En esta ilustración se muestra un ejemplo de un registro A

Icono Descripción
Icono Editar La dirección URL externa está registrada en la fila External URL de la tabla 3 de la hoja de cálculo.

Ha terminado de configurar la estrategia de colección de sitios usando una colección de sitios basada en la ruta de acceso sin AAM para entornos híbridos. Ahora, vaya a Asignar un sufijo de dominio UPN.

Configurar una estrategia de colección de sitios usando una aplicación web basada en la ruta de acceso con AAM

Si quiere usar una aplicación web basada en la ruta de acceso con asignación alternativa de acceso (AAM) para su estrategia de colección de sitios, siga estos pasos en el orden mostrado:

  1. Asegúrese de que existe la aplicación web principal.

  2. Amplíe la aplicación web principal y configure AAM.

  3. Asegúrese de que existe un enlace SSL en la aplicación web principal (si es necesario).

  4. Configure AAM

  5. Cree un registro CNAME.

Si ya ha configurado un tipo de asignación de nombres diferente, vaya a Asignar un sufijo de dominio UPN.

En el siguiente vídeo se muestra cómo funciona una estrategia de colección de sitios con una aplicación web basada en la ruta de acceso con AAM.

Vídeo: Descripción de las direcciones URL y los nombres de host

Asegurarse de que existe la aplicación web principal

Puede usar una aplicación web existente como la aplicación web principal o puede crear una. Si aún no ha tomado esta decisión, consulte Plan connectivity from Microsoft 365 to SharePoint Server (Planear la conectividad de Microsoft 365 a SharePoint Server ) y decida antes de continuar.

Si durante la planeación decide qué aplicación web existente usará como aplicación web principal, su dirección URL se registrará en la fila Dirección URL de aplicación web principal de la tabla 5c de la hoja de cálculo. Si este es su caso, pase a Ampliar la aplicación web principal. De lo contrario, para crear una aplicación web que se usará como aplicación web principal, use los procedimientos de Creación de aplicaciones web basadas en notificaciones en SharePoint Server. La configuración híbrida de SharePoint no se ve afectada por la configuración inicial de esta aplicación web cuando configure esta estrategia de colección de sitios. Esto se debe a que aplicará la configuración que necesita para la versión híbrida al extender la aplicación web un poco más tarde. Por eso puede usar la configuración que quiera al crear la aplicación web.

Icono Descripción
Icono Editar Para facilitarle las cosas en los procedimientos posteriores, es recomendable que registre esta información cuando cree la aplicación web:
Obtenga la dirección URL de la sección Dirección URL pública de la página Crear nueva aplicación web en Administración central y anote la dirección URL de la aplicación web principal de la tabla 5c de la hoja de cálculo.

Ampliar la aplicación web principal

En esta sección se explica cómo ampliar la aplicación web. Al ampliar la aplicación web, se crea un nuevo sitio web de IIS al que se asignará la dirección URL externa como dirección URL pública.

Cuando haya completado los procedimientos de esta sección, tendrá dos sitios web de IIS. Ambos están conectados a la misma base de datos. El sitio web de IIS original no cambiará y los usuarios internos podrán seguir accediendo a ellos. La aplicación web ampliada usará una zona diferente, como la zona de Internet, y se configurará para usar la dirección URL externa como dirección URL pública. Esta aplicación web ampliada se usa solo para atender las solicitudes híbridas de SharePoint.

Importante

Asegúrese de realizar estos procedimientos en las aplicaciones web específicas que quiera usar como aplicación web principal para las soluciones híbridas de SharePoint. La dirección URL de la aplicación web que tiene que ampliar se registra en la fila Primary web application URL de la tabla 5c de la hoja de cálculo.

Para ampliar la aplicación web, use los procedimientos de Extensión de aplicaciones web basadas en notificaciones en SharePoint en Microsoft 365. En general, debe usar la configuración predeterminada. Sin embargo, se requieren las siguientes opciones de configuración.

Opciones de configuración necesarias

Ubicación Descripción
En la sección Sitio web de IIS, en el cuadro Puerto
 Asegúrese de que el valor está establecido en el número de puerto apropiado para uno de los siguientes:
Si decide ampliar la aplicación web principal para conexiones HTTP sin cifrar, use el puerto 80 o el puerto HTTP que especifique el administrador de red que configura el dispositivo de proxy inverso. Todas las conexiones de servicio salientes que llegan desde el dispositivo de proxy inverso a la colección de sitios de la aplicación web tienen que usar el protocolo HTTP.
Si decide configurar la aplicación web principal para conexiones HTTPS cifradas, use el puerto 443 o el puerto SSL que especifique el administrador de red que configura el dispositivo de proxy inverso. Todas las conexiones de servicio entrantes que llegan desde el dispositivo de proxy inverso a la colección de sitios de la aplicación web tienen que usar el protocolo HTTPS.
En la sección Configuración de seguridad
Asegúrese de que el valor de Permitir anónimo es No.
En la sección Configuración de seguridad
Elija el valor apropiado para Usar Capa de sockets seguros (SSL). Si elige No, la aplicación web usará HTTP sin cifrar. Si elige , la aplicación web usará HTTPS cifrado y debe enlazar un certificado SSL a la aplicación web ampliada. Analizaremos este certificado en la sección siguiente.
En la sección Tipos de autenticación de notificaciones
 Active la casilla Habilitar la autenticación de Windows, active la casilla Autenticación de Windows integrada y, en el menú desplegable, seleccione NTLM.
En la sección Dirección URL pública, en el cuadro URL
 Escriba la dirección URL externa, por ejemplo, https://spexternal.adventureworks.com.
Tenga en cuenta que, de forma predeterminada, SharePoint anexa el número de puerto a la dirección URL predeterminada que recomienda para este campo. Cuando reemplace esa dirección URL por la dirección URL externa, no anexe el número de puerto.
En la sección Dirección URL pública, en la lista Zona
 Seleccione la zona que quiere asignar a esta aplicación web ampliada. Se recomienda establecer el valor de Zona en Internet si está disponible.

Asegurarse de que existe un enlace SSL en la aplicación web principal (si es necesario)

Si configuró la aplicación web extendida para usar SSL, tendrá que asegurarse de que un certificado SSL está enlazado a la aplicación web que extendió en la sección anterior. En cambio, si configuró la aplicación web ampliada para HTTP (sin cifrar), continúe en Configurar AAM.

Para entornos de producción, este certificado debe ser emitido por una entidad de certificación (CA) pública o de empresa. Para entornos de prueba y desarrollo, puede ser un certificado autofirmado. Esto se denomina certificado SSL de SharePoint local en Microsoft 365.

Importante

Este certificado debe tener el nombre del host puente de la dirección URL en el campo Sujeto. Por ejemplo, si la dirección URL de puente es https://bridge, el campo Asunto del certificado debe contener bridge. Por lo tanto, este certificado no se puede crear mediante IIS. Sin embargo, puede usar una herramienta de creación de certificados como MakeCert.exe. Una vez enlazado el certificado a la aplicación web, puede ver este nombre de host en el campo Emitido a en el cuadro de diálogo Certificados de servidor de Internet Information Services (IIS).

Sugerencia

Este suele ser un certificado diferente del que más tarde instalará en el dispositivo de proxy inverso. Para obtener más información sobre estos certificados, vea la sección Planear certificados SSL de Planear la conectividad de Microsoft 365 a SharePoint Server.

Para obtener más información sobre cómo configurar SSL, vea Una guía para https y Capa de sockets seguros en SharePoint 2013.

Configurar AAM

Para permitir que SharePoint Server convierta dinámicamente vínculos en solicitudes mediante la dirección URL externa, siga estos pasos.

Para configurar AAM

  1. En Administración central, en Inicio rápido, seleccione Administración de aplicaciones.

  2. En la sección Aplicaciones web , seleccione Configurar asignaciones de acceso alternativas.

  3. En la página Asignaciones de acceso alternativas , seleccione Agregar direcciones URL internas.

  4. En la sección Colección de asignaciones de acceso alternativa , seleccione la flecha abajo y, a continuación, seleccione Cambiar colección de asignaciones de acceso alternativa. En el cuadro de diálogo que aparece, seleccione la aplicación web principal que va a configurar para la híbrida.

Icono Descripción
Icono Editar La dirección URL de esta aplicación web está registrada en la fila Primary web application URL de la tabla 5c de la hoja de cálculo.
  1. En la sección Agregar dirección URL interna , en el cuadro Protocolo de dirección URL, host y puerto , escriba la dirección URL que desea usar como dirección URL de puente. Esta dirección URL debe tener el mismo protocolo que la aplicación web ampliada, http o https. Por ejemplo, si configuró la aplicación web extendida mediante https, la dirección URL será similar a https://bridge.
Icono Descripción
Icono Editar
El protocolo que usó está registrado en la fila Protocol of the extended web application de la tabla 5c de la hoja de cálculo. Registre esta dirección URL se registra en la fila Bridging URL de la tabla 5c de la hoja de cálculo.
  1. En la lista desplegable Zona , seleccione la misma zona que usó al ampliar la aplicación web.
Icono Descripción
Icono Editar Esta zona se registra en la fila Zone of the extended web application de la tabla 5c de la hoja de cálculo

  1. Haga clic en Guardar.

    La dirección URL que especificó en el paso 5 aparece en la columna Dirección URL interna de la página Asignaciones de acceso alternativas .

Crear un registro CNAME

Debe crear un registro CNAME en el DNS local. Este registro asigna el nombre de host de la dirección URL puente al nombre de dominio completo de la granja de servidores local de SharePoint. La dirección URL puente es la que asignó a la AAM en la sección anterior. El dispositivo de proxy inverso debe ser capaz de consultar el DNS para resolver los alias en la dirección IP de la granja de servidores local de SharePoint.

Este es un registro CNAME de ejemplo donde el nombre de host es Bridge, basado en la dirección URL de puente, https://bridge.

En esta ilustración se muestra un registro CName en un entorno híbrido en SharePoint Server 2013

Para comprobar que el nombre de alias que eligió para el registro CNAME se resuelve en la granja de servidores de SharePoint Server, realice el siguiente paso de comprobación.

Paso de comprobación

  1. Inicie sesión en el dispositivo de proxy inverso como administrador y abra un símbolo del sistema de Windows.

  2. Haga ping al nombre de alias en el registro de CNAME. Por ejemplo, si el nombre del alias es Bridge, escriba lo siguiente y presione <Entrar>.

ping bridge

El símbolo del sistema debe devolver la dirección IP de la granja de servidores de SharePoint especificada en el registro CNAME. En caso contrario compruebe que el nombre de dominio completo de la granja de servidores de SharePoint se ha especificado correctamente en el registro CNAME y repita estos pasos de comprobación.

Nota:

Si el ping comando está bloqueado en la red, intente usar el tracert -4 comando o pathping -4 en su lugar.

Creación y configuración de una aplicación de destino para el certificado SSL en SharePoint en Microsoft 365

En esta sección, creará y configurará una aplicación de destino del Almacén seguro en SharePoint en Microsoft 365. Esta aplicación de destino se usa para almacenar el certificado SSL de canal seguro y habilitarlo para que SharePoint pueda usarlo en los servicios de Microsoft 365 cuando los usuarios soliciten datos de la granja de sharePoint local. Nos referimos a esta aplicación de destino como aplicación de destino de canal seguro.

Icono Descripción
Icono Editar Para seguir estos pasos, necesita la información registrada en la tabla 4a de la hoja de cálculo.

Nota:

Puede usar un certificado que contenga una clave privada, como el archivo de intercambio de información personal (.pfx), o puede usar un archivo de Certificado de seguridad de Internet (.cer). Si usa un archivo .pfx, tiene que indicar una contraseña para la clave privada más adelante.

Al configurar soluciones híbridas de SharePoint en Fase 4: Configurar una solución híbrida, proporcionará el nombre de la aplicación de destino que creó para que SharePoint en Servicios de búsqueda y conectividad empresarial de Microsoft 365 pueda obtener el certificado SSL de canal seguro que se necesita para autenticarse con el dispositivo proxy inverso.

Para crear una aplicación de destino para almacenar el certificado SSL de canal seguro

  1. Vaya a Más características en el Centro de administración de SharePoint e inicie sesión con una cuenta que tenga permisos de administrador en Microsoft 365.

  2. En Almacenamiento seguro, seleccione Abrir.

  3. En la pestaña Editar , seleccione Nuevo.

  4. En la sección Configuración de la aplicación de destino, haga lo siguiente:

  5. En el cuadro Id. de aplicación de destino , escriba el nombre (que será el identificador) que desea usar para la aplicación de destino; por ejemplo, se recomienda asignarle el nombre SecureChannelTargetApplication. No use espacios en este nombre.

    Nota:

    En este paso se crea el identificador, no se obtiene de ningún sitio. Este identificador es un nombre de aplicación de destino único que no se puede cambiar.

Icono Descripción
Icono Editar Registre este nombre en la fila Target Application ID de la tabla 6 de la hoja de cálculo.
  1. En el cuadro Nombre para mostrar , escriba el nombre que desea usar como nombre para mostrar de la nueva aplicación de destino. Por ejemplo, Aplicación de destino de canal seguro.
Icono Descripción
Icono Editar Registre este nombre en la fila Target Application Display Name de la tabla 6 de la hoja de cálculo.

  1. En el cuadro Correo electrónico de contacto , escriba el nombre del contacto principal de esta aplicación de destino.

  2. En la sección Campos de credenciales, haga lo siguiente:

  3. En la columna Nombre de campo , en la primera fila, elimine todo el texto existente que se encuentra en el cuadro y, a continuación, escriba Certificado.

  4. En la columna Tipo de campo, en la primera fila, en la lista desplegable, seleccione Certificado.

  5. En la columna Nombre de campo , en la segunda fila, elimine todo el texto existente que se encuentra en el cuadro y, a continuación, escriba Contraseña del certificado.

    Nota:

    Solo debe seguir este paso si va a importar un certificado que contiene una clave privada, como un archivo de intercambio de información personal (.pfx).

  6. En la columna Tipo de campo , en la segunda fila, en la lista desplegable, seleccione Contraseña de certificado.

    La sección de credenciales será similar a la siguiente ilustración.

    En esta ilustración se muestra la configuración de credenciales de una aplicación de destino de servicio de almacenamiento seguro.

  7. En la sección Administradores de aplicaciones de destino , en el cuadro , escriba los nombres de los usuarios que tendrán acceso para administrar la configuración de esta aplicación de destino. No se olvide de agregar a los usuarios que probarán la configuración híbrida para que puedan realizar cambios, si es necesario

  8. En la sección Miembros , en el cuadro , escriba los nombres de los usuarios y grupos de Microsoft Entra que desea habilitar para usar soluciones híbridas.

    El administrador global de Microsoft 365 puede crear grupos de Microsoft Entra. Se trata de grupos de dominio, no de SharePoint en grupos de Microsoft 365.

Icono Descripción
Icono Editar La lista de estos usuarios, o el grupo al que se agregaron, se incluye en la fila Federated Users de la tabla 1 de la hoja de cálculo.

  1. Seleccione Aceptar.

  2. Active la casilla situada junto al identificador de la aplicación de destino que creó (por ejemplo, SecureChannelTargetApp).

Icono Descripción
Icono Editar Este nombre se incluye en la fila Target Application Display Name de la tabla 6 de la hoja de cálculo.

  1. En la pestaña Editar , en el grupo Credenciales , seleccione Establecer.

  2. En el cuadro de diálogo Set credentials for secure store target application (Establecer credenciales para la aplicación de destino de almacenamiento seguro ), haga lo siguiente:

  3. Junto al campo Certificado , seleccione Examinar.

  4. Vaya a la ubicación del certificado SSL de canal seguro, seleccione el certificado y, a continuación, seleccione Abrir.

Icono Descripción
Icono Editar El nombre y la ubicación de este certificado están registrados en la fila Secure Channel SSL Certificate location and filename de la tabla 4b de la hoja de cálculo.
  1. Si el certificado que usa contiene una clave privada, como un archivo de Intercambio de información privada (.pfx), en el campo Contraseña del certificado, escriba la contraseña del certificado. De lo contrario, vaya al paso 12.
Icono Descripción
Icono Editar La contraseña se registra en la fila Secure Channel SSL Certificate password de la tabla 4b de la hoja de cálculo.

  1. En el campo Confirmar contraseña de certificado , vuelva a escribir la contraseña del certificado.

  2. Seleccione Aceptar.

Para obtener más información, vea Configurar el servicio de almacenamiento seguro en SharePoint Server.

Validación y siguientes pasos

Tras completar las tareas de configuración descritas en este tema, debe validar los siguientes elementos:

  • Compruebe que el nombre de dominio de Internet público se pueda resolver en DNS.

  • Compruebe que puede conectarse a la aplicación web principal con las direcciones URL internas y externas.

  • Compruebe que puede acceder a una colección de sitios locales de la aplicación web principal desde Internet mediante la dirección URL externa del extremo del proxy inverso. El equipo que use para este paso de validación debe tener instalado el certificado SSL de canal seguro en el almacén de certificados Personal de la cuenta de equipo.

Después de completar y validar las tareas de configuración descritas en este tema, regrese al mapa de ruta de configuración.