Palvelinpohjaisen todennuksen määrittäminen paikallisen SharePointin kanssa

Palvelinpohjainen SharePoint -integrointia tiedostojenhallinnalle voidaan käyttää asiakkaan aktivointisovellusten (Dynamics 365 Sales, Dynamics 365 Customer Service, Dynamics 365 Field Service, Dynamics 365 Marketing ja Dynamics 365 Project Service Automation) yhdistämiseen SharePointiin paikallisesti. Kun käytät palvelinpohjaista todennusta, Microsoft Entra Domain Services -palvelua käytetään luottamuksen välittäjänä eikä käyttäjien tarvitse kirjautua SharePointiin.

Tarvittavat oikeudet

SharePoint-tiedostojenhallinnan käyttöönotto edellyttää seuraavia jäsenyyksiä ja oikeuksia.

• Microsoft 365 Yleisen järjestelmänvalvojan jäsenyys – tämä on pakollinen seuraaville:

  • Microsoft 365 -tilauksen hallintatason käyttöoikeudet.
  • Palvelinperusteisen ohjatun todennustoiminnon käyttöönoton suoritus.
  • AzurePowerShell-cmdlet-komentojen suorittaminen.

• Power Appsin Suorita ohjattu SharePoint-integrointitoiminto -oikeus. Tämä vaaditaan ohjatun Ota käyttöön palvelinpohjainen todennus -toiminnon suorittamiseksi.

  Järjestelmänvalvojan käyttöoikeusroolilla on oletusarvoisesti tämä oikeus.

• SharePointin paikallisen version integrointia varten SharePoint-klusterin järjestelmänvalvojat -ryhmän jäsenyys. Tätä jäsenyyttä tarvitaan useimpien PowerShell-komentojen suorittamiseen SharePoint Serverissä.

Palvelimesta palvelimeen -todennuksen määrittäminen paikallisen SharePointin kanssa

Noudattamalla ohjeita annetussa järjestyksessä voit määrittää asiakkaan aktivointisovellukset paikallisen SharePoint 2013 kanssa.

Tärkeä

Tässä kuvatut vaiheet täytyy suorittaa annetussa järjestyksessä. Jos ei ole suoritettu tehtävää, kuten PowerShell-komentoa, joka palauttaa virhesanoman, ongelma on ratkaistava, ennen kuin jatketaan seuraavaan komentoon, tehtävään tai työvaiheeseen.

Edellytysten vahvistus

Seuraavien edellytysten on täytyttävä, ennen kuin palvelinpohjainen todennus määritetään asiakkaan aktivointisovelluksissa ja paikallisessa SharePointissa:

SharePoint-edellytykset

• SharePoint 2013 (paikallinen) Service Pack 1 (SP1) tai uudempi versio

  Tärkeä

  SharePoint Foundation 2013 -versioita ei tueta asiakkaan aktivointisovellusten tiedostojen hallinnassa.

• Asenna huhtikuun 2019 kumulatiivinen päivitys (CU) SharePoint 2013 -tuoteperheeseen. Tämä huhtikuun 2019 CU sisältää kaikki SharePoint 2013 -korjaukset (mukaan lukien kaikki SharePoint 2013 -tietoturvakorjaukset), jotka on julkaistu SP1:n jälkeen. Huhtikuussa 2019 CU ei sisällä SP1-päivitystä. SP1 on asennettava ennen huhtikuun 2019 CU:n asentamista. Lisätietoja: KB4464514 SharePoint Server 2013 huhtikuun 2019 CU

• SharePoint -määritykset

  • Jos käytät SharePoint 2013:a, kullekin SharePoint-palvelinklusterille voidaan määrittää vain yksi asiakkaan aktivointisovellus palvelinpohjaista integrointia varten.

  • SharePoint-verkkosivuston on oltava käytettävissä Internetin kautta. SharePoint saattaa vaatia myös käänteisen välityspalvelimen. Lisätietoja: Käänteisen välityspalvelimen määrittäminen SharePoint Server 2013 -hybridille

  • SharePoint-sivusto on oltava määritetty käyttämään SSL (HTTPS) -yhteyttä TCP-portissa 443 (mukautettuja portteja ei tueta) ja varmenteen myöntäjän on oltava julkisen pääsertifikaatin myöntäjä. Lisätietoja: SharePoint: Tietoja Secure Channel SSL -varmenteista

  • Luotettava käyttäjäominaisuus väitepohjaiseen todentamiseen SharePointin ja asiakkaan aktivointisovellusten välillä. Lisätietoja: Väitteiden yhdistämistyypin valitseminen

  • SharePointin hakupalvelun on oltava käytössä, jotta asiakirjoja voi jakaa. Lisätietoja: Hakupalvelusovelluksen luonti ja määrittäminen SharePoint Serverissa

  • Jotta tiedostojen hallintatoimintoja voisi käyttää Dynamics 365 -mobiilisovelluksissa, paikallisen SharePoint-palvelimen on oltava käytettävissä Internetin kautta.

Muut edellytykset

• SharePoint Online -käyttöoikeus. Customer engagement -sovellusten ja paikallisen SharePointin välisellä palvelinpohjaisella todennuksella on oltava SharePoint-palvelun päänimi (SPN), joka on rekisteröity Microsoft Entra ID:hen. Tätä varten tarvitaan vähintään yksi SharePoint Online -käyttöoikeus. SharePoint Online -käyttöoikeus voi olla peräisin yhden käyttäjän käyttöoikeudesta, ja se tulee tavallisesti jostakin seuraavista lähteistä:

  • SharePoint Online -tilaus. Mikä tahansa SharePoint Online -palvelupaketti on riittävä, vaikkei käyttöoikeutta olisikaan määritetty käyttäjälle.

  • SharePoint Onlinen sisältävä Microsoft 365 -tilaus. Jos sinulla on esimerkiksi Microsoft 365 E3, käyttöoikeus on riittävä, vaikkei käyttöoikeutta olisikaan määritetty käyttäjälle.

    Lisätietoja näistä palvelupaketeista: Sinulle sopivan ratkaisun löytäminen ja SharePoint-vaihtoehtojen vertailu

• Seuraavat ohjelmisto-ominaisuudet vaaditaan tässä ohjeaiheessa kuvattujen PowerShell-cmdlet-komentojen suorittamiseen.

  • Microsoft Online-palveluiden kirjautumisen Avustaja IT-asiantuntijoille beeta

  • MSOnlineExt

  • Asentaaksesi MSOnlineExt-moduuleja, kirjoita seuraava komento järjestelmänvalvojan PowerShell-istunnosta. PS> Install-Module -Name "MSOnlineExt"

  Tärkeä

  Tätä kirjoitettaessa IT-ammattilaisille tarkoitetun Online Services -kirjautumisen Microsoft Avustaja RTW-versiossa on ongelma. Kunnes ongelma on ratkennut, suosittelemme, että käytät Beta-versiota. Lisätietoja: Microsoft Azure -keskustelupalstat: Microsoft Entra -moduulin asentaminen Windows PowerShelliin ei onnistu. MOSSIA ei ole asennettu.

• Sopiva väitepohjaisen todentamisen yhdistämistyyppi yhdistettäville osapuolille asiakkaan aktivointisovellusten ja paikallisen SharePointin välille. Sähköpostiosoitetta käytetään oletusarvoisesti. Lisätietoja: Asiakkaan aktivointisovelluksille oikeuden antaminen SharePointin käyttöön ja väitepohjaisen todentamisen yhdistämismääritysten määrittäminen

SharePoint-toimialuepalveluiden Microsoft Entra -palvelimen päänimen päivittäminen

Suorita PowerShell-komennot määritetyssä järjestyksessä paikallisen SharePointin SharePoint 2013 -hallintaliittymässä.

1. Valmistele PowerShell-istunto.

   Seuraavat cmdlet-komennot antavat tietokoneelle mahdollisuuden vastaanottaa etäkomentoja ja lisätä Microsoft 365 -moduulit PowerShell-istuntoon. Lisätietoja näistä cmdlet-komennoista on ohjeaiheessa Windows PowerShellin Core-cmdlet-komennot.

   Enable-PSRemoting -force  
   New-PSSession  
   Import-Module MSOnline -force  
   Import-Module MSOnlineExtended -force  
   

2. Muodosta yhteys Microsoft 365-järjestelmään.

   Kun suoritat Connect-MsolService-komennon, sinun on annettava kelvollinen Microsoft tili, jolla on yleisen järjestelmänvalvojan jäsenyys tarvittavaa Online-käyttöoikeutta varten SharePoint .

   Lisätietoja kustakin tässä mainitusta Microsoft Entra ID PowerShell -komennosta on artikkelissa Microsoft Entra:n hallinta Windows PowerShellin avulla

   $msolcred = get-credential  
   connect-msolservice -credential $msolcred  
   

3. Määritä SharePoint-isäntänimi.

   Arvo, jonka määrität muuttujalle HostName on oltava täydellinen SharePoint-sivustokokoelman isäntänimi. Isäntänimi tulee johtaa sivustokokoelman URL-osoitteesta, ja sen kirjainkoko on merkitsevä. Tässä esimerkissä sivustokokoelman URL-osoite on <https://SharePoint.constoso.com/sites/salesteam>, joten isäntänimi on SharePoint.contoso.com.

   $HostName = "SharePoint.contoso.com"  
   

4. Nouda Microsoft 365-objektitunnus (vuokraaja) ja SharePoint-palvelimen palvelun ensisijainen nimi (SPN).

   $SPOAppId = "00000003-0000-0ff1-ce00-000000000000"  
   $SPOContextId = (Get-MsolCompanyInformation).ObjectID  
   $SharePoint = Get-MsolServicePrincipal -AppPrincipalId $SPOAppId  
   $ServicePrincipalName = $SharePoint.ServicePrincipalNames  
   

5. Määritä SharePoint-palvelimen palvelun ensisijainen nimi (SPN) Microsoft Entra ID:ssä.

   $ServicePrincipalName.Add("$SPOAppId/$HostName")   
   Set-MsolServicePrincipal -AppPrincipalId $SPOAppId -ServicePrincipalNames $ServicePrincipalName  
   

   Kun nämä komennot on suoritettu, älä sulje SharePoint 2013 -hallintaliittymää ja jatka seuraavaan vaiheeseen.

Päivitä SharePoint-alue vastaamaan SharePoint Onlinea

Suorita paikallisen SharePoint-palvelimen SharePoint 2013 -hallintaliittymässä tämä Windows PowerShell -komento.

Seuraava komento vaatii SharePoint-klusterin järjestelmänvalvojien jäsenyyden ja asettaa paikallisen SharePoint-klusterin todennusalueen.

Varoitus

Tämän komennon suorittaminen muuttaa paikallisen SharePoint-klusterin todennusaluetta. Olemassa olevaa suojaustunnuspalvelua (STS) käyttävissä sovelluksissa tämä voi aiheuttaa odottamattomia tuloksia muiden sovellusten kanssa, jotka käyttävät tunnuksia. Lisätietoja: SPAuthenticationRealmin asettaminen.

Set-SPAuthenticationRealm -Realm $SPOContextId  

Luo luotettu suojaustunnuksen myöntäjä Microsoft Entra ID SharePointissa

Suorita PowerShell-komennot määritetyssä järjestyksessä paikallisen SharePointin SharePoint 2013 -hallintaliittymässä.

Seuraavat komennot vaativat SharePoint-klusterin järjestelmänvalvoja-jäsenyyden.

Lisätietoja näistä PowerShell-komennoista on kohdassa Windows PowerShellin cmdlet-komentojen käyttäminen SharePoint 2013:n suojauksen hallintaan.

1. Ottamalla PowerShell-istunnon käyttöön voit muuttaa SharePoint-palvelinklusterin suojaustunnuspalvelua.

   $c = Get-SPSecurityTokenServiceConfig  
   $c.AllowMetadataOverHttp = $true  
   $c.AllowOAuthOverHttp= $true  
   $c.Update()  
   

2. Aseta metatietojen päätepiste.

   $metadataEndpoint = "https://accounts.accesscontrol.windows.net/" + $SPOContextId + "/metadata/json/1"  
   $acsissuer = "00000001-0000-0000-c000-000000000000@" + $SPOContextId  
   $issuer = "00000007-0000-0000-c000-000000000000@" + $SPOContextId  
   

3. Luo uusi tunnuksen ohjauspalvelun sovelluksen välityspalvelin Microsoft Entra ID -järjestelmässä.

   New-SPAzureAccessControlServiceApplicationProxy -Name "Internal" -MetadataServiceEndpointUri $metadataEndpoint -DefaultProxyGroup  
   

   Muistiinpano

   New- SPAzureAccessControlServiceApplicationProxy-komento saattaa palauttaa virhesanoman, joka osoittaa, että sovelluksen välityspalvelin, jolla on sama nimi, on jo määritetty. Jos saman niminen sovelluksen välityspalvelin on jo määritetty, voit ohittaa virheen.

4. Luo uusi tunnuksen ohjauspalvelun myöntäjä paikallisessa SharePoint-järjestelmässä Microsoft Entra ID -järjestelmälle.

   $acs = New-SPTrustedSecurityTokenIssuer –Name "ACSInternal" –IsTrustBroker:$true –MetadataEndpoint $metadataEndpoint -RegisteredIssuerName $acsissuer  
   

Asiakkaan aktivointisovelluksille oikeuden antaminen SharePointin käyttöön ja väitepohjaisen todentamisen yhdistämismääritysten määrittäminen

Suorita PowerShell-komennot määritetyssä järjestyksessä paikallisen SharePointin SharePoint 2013 -hallintaliittymässä.

Seuraavat komennot vaativat SharePoint-sivustokokoelman järjestelmänvalvoja-jäsenyyden.

1. Rekisteröi asiakkaan aktivointisovellukset SharePoint-sivustokokoelman kanssa.

   Kirjoita paikallisen SharePoint-sivustokokoelman url-osoite. Tässä esimerkissä käytetään https://sharepoint.contoso.com/sites/crm/.

   Tärkeä

   Tämän komennon suorittamiseen SharePoint hallinta App palvelusovelluksen välityspalvelin on olemassa ja käytössä. Lisätietoja palvelun käynnistämisestä ja määrittämisestä on artikkelin SharePointin (SharePoint 2013) sovellusten ympäristön määrittäminen alakohdassa Määritä ympäristö sovelluksille SharePointissa (SharePoint 2013).

   $site = Get-SPSite "https://sharepoint.contoso.com/sites/crm/"  
   Register-SPAppPrincipal -site $site.RootWeb -NameIdentifier $issuer -DisplayName "crm"  
   

2. SharePoint-sivuston käyttöoikeuden myöntäminen asiakkaan aktivointisovelluksille. Korvaa https://sharepoint.contoso.com/sites/crm/ SharePointsivuston URL-osoitteellasi.

   Muistiinpano

   Alla olevassa esimerkissä asiakkaan aktivointisovellukselle annetaan tietyn SharePoint-sivustokokoelman käyttöoikeus vaikutusalueen sitecollection-parametrin avulla. Vaikutusalueen parametri hyväksyy seuraavat vaihtoehdot. Valitse SharePoint-määritykselle sopivin vaikutusalue.

   • site. Antaa asiakkaan aktivointisovelluksille vain määritetyn SharePoint-sivuston oikeudet. Mainitun sivuston alisivustoille ei anneta käyttöoikeuksia.
     • sitecollection. Antaa asiakkaan aktivointisovelluksille kaikkien määritetyn SharePoint-sivustokokoelman sivustojen ja alisivustojen oikeudet.
     • sitesubscription. Antaa asiakkaan aktivointisovelluksille kaikkien SharePoint-palvelinklusterin sivustojen oikeudet, joihin kuuluvat myös sivustokokoelmien, sivustojen ja alisivustojen oikeudet.

   $app = Get-SPAppPrincipal -NameIdentifier $issuer -Site "https://sharepoint.contoso.com/sites/crm/"  
   Set-SPAppPrincipalPermission -AppPrincipal $app -Site $site.Rootweb -Scope "sitecollection" -Right "FullControl"  
   

3. Määritä väitepohjaisen todentamisen yhdistämisen tyyppi.

   Tärkeä

   Oletusarvoisesti väitepohjainen todennus yhdistämismääritys käyttää yhdistämismääritys käyttäjän Microsoft tilin sähköpostiosoitetta ja paikallinen SharePoint käyttäjän työsähköpostiosoitetta . Kun käytät tätä, käyttäjien sähköpostiosoitteiden on oltava vastaavat järjestelmien välillä. Lisätietoja on ohjeaiheessa Väitepohjaisen todentamisen yhdistämistyypin valitsemisesta.

   $map1 = New-SPClaimTypeMapping -IncomingClaimType "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress" -IncomingClaimTypeDisplayName "EmailAddress" -SameAsIncoming  
   

Suorita palvelinpohjaisen SharePoint-integroinnin ohjattu toiminto

Toimi seuraavasti:

1. Varmista, että sinulla on tarvittavat oikeudet ohjatun toiminnon suorittamiseen. Lisätietoja: Tarvittavat oikeudet

2. Siirry kohtaan Asetukset>Tiedostojen hallinta.

3. Valitse Tiedostojen hallinta -alueella Ota käyttöön palvelinpohjainen SharePoint-integrointi.

4. Tarkista tiedot ja valitse sitten Seuraava.

5. Valitse SharePoint-sivustoissa Paikallinen ja valitse sitten Seuraava.

6. Kirjoita SharePoint paikallisen sivustokokoelman URL-osoite, kuten https://sharepoint.contoso.com/sites/crm. Sivusto on määritettävä käyttämään SSL-yhteyttä.

7. Valitse Seuraava.

8. Näkyviin avautuu tarkista sivustot. Jos kaikki sivustot määritetään kelvollisiksi, valitse Ota käyttöön. Jos vähintään yksi sivusto katsotaan virheelliseksi, lisätietoja on ohjeaiheessa Palvelinpohjaisen todennuksen vianmääritys.

Valitse entiteetit, joille haluat sisällyttää tiedostojen hallintaan

Oletusarvon mukaan tili-, artikkeli-, liidi-, tuote-, tarjous- ja myyntimateriaali-entiteetit ovat mukana. Voit lisätä tai poistaa entiteettejä, joita käytetään tiedostojen hallinnassa SharePointin kanssa Tiedostojen hallinnan asetukset -kohdassa. Siirry kohtaan Asetukset>Tiedostojen hallinta. Lisätietoja: Tiedostojen hallinnan ottaminen käyttöön entiteettejä varten

Lisää OneDrive for Business -integrointi

Kun olet määrittänyt asiakkaan aktivointisovellukset ja paikallisen SharePointin palvelinpohjaisen todennuksen, voit integroida myös OneDrive for Businessin. Asiakkaan aktivointisovellusten ja OneDrive for Businessin integroinnilla käyttäjät voivat luoda ja hallita henkilökohtaisia asiakirjoja OneDrive for Businessin avulla. Näitä asiakirjoja voi käyttää, kun järjestelmänvalvoja on ottanut käyttöön OneDrive for Businessin.

Ota OneDrive for Business käyttöön

Avaa paikallinen SharePoint-hallintaliittymä Windows Serverissä, jossa on käytössä paikallinen SharePoint-palvelin, ja suorita seuraavat komennot:

Add-Pssnapin *  
# Access WellKnown App principal  
[Microsoft.SharePoint.Administration.SPWebService]::ContentService.WellKnownAppPrincipals  
  
# Create WellKnown App principal  
$ClientId = "00000007-0000-0000-c000-000000000000"  
$PermissionXml = "<AppPermissionRequests AllowAppOnlyPolicy=""true""><AppPermissionRequest Scope=""http://sharepoint/content/tenant"" Right=""FullControl"" /><AppPermissionRequest Scope=""http://sharepoint/social/tenant"" Right=""Read"" /><AppPermissionRequest Scope=""http://sharepoint/search"" Right=""QueryAsUserIgnoreAppPrincipal"" /></AppPermissionRequests>"  
  
$wellKnownApp= New-Object -TypeName "Microsoft.SharePoint.Administration.SPWellKnownAppPrincipal" -ArgumentList ($ClientId, $PermissionXml)  
  
$wellKnownApp.Update()  
  

Väitepohjaisen todentamisen yhdistämistyypin valitseminen

Oletusarvoisesti väitepohjainen todennus käyttää Microsoft yhdistämismääritys käyttäjän tilin sähköpostiosoitetta ja käyttäjän SharePoint paikallinen työsähköpostiosoitetta yhdistämismääritys. Huomaa, että riippumatta käyttämästäsi väitepohjaisen todentamisen tyypistä, arvojen, kuten sähköpostiosoitteiden, on vastattava toisiaan asiakkaan aktivointisovelluksissa ja SharePointissa. Microsoft 365:n hakemiston synkronointi voi auttaa tässä. Lisätietoja: Microsoft 365.n hakemiston synkronoinnin ottaminen käyttöön Microsoft Azuressa. Lisätietoja erityyppisen väitepohjaisen todentamisen yhdistämisestä on kohdassa Mukautetun väitepohjaisen yhdistämisen määrittäminen SharePointin palvelinpohjaiseen integrointiin.

Tärkeä

Jotta voit asettaa työsähköposti-ominaisuuden, paikallisessa SharePoint-järjestelmässä tulee olla määritettynä ja käynnissä Käyttäjäprofiilin palvelusovellus. Lisätietoja käyttäjäprofiilin palvelusovelluksen käyttöönottamisesta SharePointissa, on ohjeaiheessa Käyttäjäprofiilipalvelun sovellusten luominen, muokkaaminen tai poistaminen SharePoint Server 2013:ssa. Lisätietoja käyttäjäominaisuuden, kuten työsähköpostin, vaihtamisesta on ohjeaiheessa Käyttäjäprofiiliominaisuuden muokkaaminen. Lisätietoja käyttäjäprofiilin palvelusovelluksesta on ohjeaiheessa Käyttäjäprofiilin palvelusovelluksen yleiskuvaus SharePoint Server 2013:ssa.

Katso myös

Palvelinpohjaisen todennuksen vianmääritys
Integroinnin määrittäminen SharePoint asiakkaan osallistamissovellusten kanssa