Configuration matérielle et logicielle requise pour SharePoint hybride
S’APPLIQUE À :2013 2016 2019 Édition d’abonnement SharePoint dans Microsoft 365
Cet article décrit les conditions préalables requises pour déployer une solution hybride SharePoint entre SharePoint Server et SharePoint dans Microsoft 365 pour les entreprises.
Configuration matérielle et logicielle requise
Un domaine Active Directory Directory Services (AD DS) opérationnel en local.
Batterie de serveurs SharePoint Server opérationnelle. Les services doivent être en cours d’exécution sur la batterie de serveurs locale : les batteries de serveurs avec des services fédérés ne sont pas prises en charge. Pour plus d’informations sur la configuration d’une batterie de serveurs, voir Installer SharePoint Server.
Microsoft 365 correctement configuré organization approvisionné avec SharePoint dans Microsoft 365 avec l’un des plans d’abonnement suivants : E1 prend en charge l’affichage des résultats de recherche fédérée hybride dans SharePoint Server uniquement, E3 ou E4.
Spécifications des certificats
Le certificat STS par défaut dans la batterie de serveurs SharePoint est utilisé par l’Assistant Configuration hybride pour établir l’approbation de signature de jeton lors de la configuration des charges de travail hybrides. Nous vous recommandons d’utiliser le certificat STS intégré quand vous configurez les charges de travail hybrides. Cependant, si vous comptez utiliser un certificat signé publiquement au lieu du certificat STS intégré, remplacez le certificat intégré par votre propre certificat en suivant les instructions fournies.
Pour plus d’informations, voir Remplacer le certificat STS.
Conditions requises en matière de connectivité entrante
Les solutions hybrides suivantes nécessitent une connectivité entrante de Microsoft 365 à SharePoint Server :
Recherche hybride entrante (affichage des résultats de recherche à partir de SharePoint Server dans Microsoft 365)
Business Connectivity Services hybride
Duet Enterprise Online hybride pour Microsoft SharePoint dans Microsoft 365 et SAP
Pour chacune de ces solutions hybrides, les conditions requises dans les sections suivantes s’appliquent.
Configurations matérielles supplémentaires
La connexion entrante requiert les éléments suivants :
Un appareil proxy inverse. Le périphérique de proxy inverse fournit un point de terminaison sécurisé pour le trafic entrant en utilisant le cryptage SSL et l’authentification de certificat client.
Un domaine Internet (tel que https://adventureworks.com) et l’autorisation de créer ou de modifier des enregistrements DNS pour ce domaine.
Remarque
Ce domaine public doit être enregistré auprès d’un bureau d’enregistrement de domaines, tel que GoDaddy.com, et doit correspondre au même domaine que celui auquel l’URL du point de terminaison externe du périphérique de proxy inverse est associée.
Spécifications des certificats
Cette section décrit les certificats dont vous avez besoin pour configurer une connectivité entrante de Microsoft 365 à SharePoint Server.
À propos du certificat SSL de canal sécurisé
Ce certificat fournit l’authentification et le chiffrement entre l’appareil de proxy inverse et Microsoft 365. Il doit s’agir soit d’un certificat générique, soit d’un certificat SAN, et être délivré par une autorité de certification racine publique. Pour plus d’informations, consultez À propos des certificats SSL de canal sécurisé et Obtenir un certificat SSL de canal sécurisé.
À propos du certificat SSL SharePoint local
Si vous configurez votre application web principale pour utiliser SSL (qui est l’application web sur la batterie de serveurs SharePoint locale configurée pour hybride), vous devez lier un certificat SSL à l’application web principale.
Si cette application web existe déjà et est configurée pour SSL, vous êtes prêt à l’utiliser. Dans le cas contraire, vous devez en obtenir ou en créer une à cet effet. Pour les environnements de production, ce certificat doit être émis par une autorité de certification publique. Pour les environnements de test et de développement, vous pouvez choisir d’utiliser un certificat auto-signé.
Pour plus d’informations, consultez Planifier des certificats SSL.
Périphériques de proxy inverse pris en charge
Le tableau suivant répertorie les appareils de proxy inverse actuellement pris en charge pour les déploiements hybrides SharePoint Server. Cette liste sera mise à jour au gré des tests de fonctionnement de dispositifs en cours.
Périphériques de proxy inverse pris en charge | Article relatif à la configuration | Plus d’informations |
---|---|---|
Windows Server 2012 R2 avec le Proxy d'application web |
Configurer un proxy d'application web pour un environnement hybride |
Le Proxy d'application web est un service d'accès à distance dans Windows Server 2012 R2 qui publie des applications web avec lesquelles les utilisateurs peuvent interagir à partir de nombreux périphériques. >[! IMPORTANT]> Pour utiliser web Proxy d'application comme appareil proxy inverse dans un environnement SharePoint Server hybride, vous devez également déployer AD FS dans Windows Server 2012 R2. Les versions antérieures de Windows ne prennent pas en charge les Proxy d'application web |
Forefront Threat Management Gateway (TMG) 2010 |
Configurer Forefront TMG pour un environnement hybride |
Forefront TMG 2010 est une solution de passerelle web sécurisée et complète, qui fournit des fonctionnalités de proxy inverse sécurisées. Forefront TMG 2010 n’est plus commercialisé par Microsoft, mais le produit sera pris en charge jusqu’au 14/04/2020. Pour plus d’informations, consultez Support Microsoft informations sur le cycle de vie de Forefront TMG 2010. |
BIG-IP de F5 |
Activation de la recherche hybride SharePoint 2013 avec le BIG-IP |
Il s'agit de contenu externe géré par les réseaux F5. |
Exigences générales relatives au proxy inverse
Dans un scénario SharePoint Server hybride, le proxy inverse doit être en mesure de :
prendre en charge l’authentification de certificat client avec un certificat SSL générique ou SAN ;
prendre en charge l’authentification directe pour OAuth 2.0, notamment des transactions de jetons de support OAuth illimitées ;
accepter le trafic entrant non sollicité sur le TCP port 443 (HTTPS) ;
Conseil
Il n’est pas nécessaire d’ouvrir un port autre que le port TCP 443 sur le point de terminaison de proxy inverse externe pour prendre en charge la connectivité hybride.
lier un certificat SSL générique ou SAN à un point de terminaison publié ;
relayer le trafic vers un équilibreur de charge ou une batterie SharePoint Server local sans réécrire les en-têtes de paquet.
Pour une vue d'ensemble des périphériques de proxy inverse dans une topologie hybride SharePoint, voir Configurer un périphérique proxy inverse pour hybride de SharePoint Server.