Condividi tramite

Abilitare l'accesso remoto a SharePoint con il proxy dell'applicazione Microsoft Entra

  • Articolo

Questa guida dettagliata illustra come integrare una farm di SharePoint locale con il proxy dell'applicazione Microsoft Entra.

Prerequisiti

Per eseguire la configurazione, sono necessarie le risorse seguenti:

  • Una farm di SharePoint 2013 o versione successiva. La farm di SharePoint deve essere integrata con Microsoft Entra ID.
  • Un tenant di Microsoft Entra con un piano che include un proxy dell'applicazione. Ulteriori informazioni su piani e prezzi di Microsoft Entra ID.
  • Una farm di server di Microsoft Office Web Apps per avviare correttamente i file di Office dalla farm di SharePoint locale.
  • Un dominio personalizzato e verificato nel tenant di Microsoft Entra.
  • Active Directory in locale sincronizzata con Microsoft Entra Connect, tramite cui gli utenti possono accedere ad Azure.
  • un connettore di rete privato installato e in esecuzione in un computer all'interno del dominio aziendale.

La configurazione di SharePoint con il proxy dell'applicazione richiede due URL:

Importante

Per assicurarsi che i collegamenti siano mappati correttamente, seguire queste indicazioni per l'URL interno:

  • Usare HTTPS.
  • Non usare porte personalizzate.
  • Nel DNS (Domain Name System) aziendale creare un host (A) in modo che punti a SharePoint WFE (o bilanciamento del carico) e non a un alias (CName).

Questo articolo usa i valori seguenti:

  • URL interno: https://sharepoint.
  • URL esterno: https://spsites-demo1984.msappproxy.net/.
  • Account del pool di applicazioni per l'applicazione Web SharePoint: Contoso\spapppool.

Passaggio 1: Configurare un'applicazione in Microsoft Entra ID che usa il proxy di applicazione

In questo passaggio si crea un'applicazione nel tenant di Microsoft Entra che usa il proxy di applicazione. Impostare l'URL esterno e specificare l'URL interno, entrambi usati più avanti in SharePoint.

  1. Creare l'app come descritto con le impostazioni seguenti. Per istruzioni dettagliate, vedere Pubblicazione di applicazioni con il proxy dell'applicazione Microsoft Entra.

    • URL interno: URL interno di SharePoint impostato in un secondo momento in SharePoint, ad esempio https://sharepoint.
    • Pre-autenticazione: Microsoft Entra ID.
    • Traduzione degli URL nelle intestazioni: No.
    • tradurre gli URL nel corpo dell'applicazione: No.

    Pubblica SharePoint come applicazione

  2. Dopo la pubblicazione dell'app, seguire questa procedura per configurare le impostazioni di Single Sign-On.

    1. Nella pagina dell'applicazione del portale selezionare Single Sign-On.
    2. Per Modalità Single Sign-On, selezionare l'autenticazione integrata Windows.
    3. Impostare Nome Principale del Servizio (SPN) dell'applicazione interna al valore che è stato impostato in precedenza. Per questo esempio, il valore è HTTP/sharepoint.
    4. In identità di accesso delegataselezionare l'opzione più adatta per la configurazione della foresta Active Directory. Ad esempio, se si dispone di un singolo dominio di Active Directory nella foresta, selezionare nome dell'account SAM locale (come illustrato nello screenshot seguente). Tuttavia, se gli utenti non si trovano nello stesso dominio di SharePoint e dei server del connettore di rete privata, selezionare nome principale dell'utente interno (non visualizzato nello screenshot).

    Configurazione dell'autenticazione integrata di Windows per il Single Sign-On

  3. Completare la configurazione dell'applicazione, passare alla sezione Utenti e gruppi e assegnare gli utenti per accedere a questa applicazione.

Passaggio 2: Configurare l'applicazione Web di SharePoint

L'applicazione Web di SharePoint deve essere configurata con Kerberos e i mapping di accesso alternativo appropriati per funzionare correttamente con il proxy dell'applicazione Microsoft Entra. Esistono due opzioni possibili:

  • Creare una nuova applicazione web e usare solo la zona predefinita . L'uso della zona predefinita è l'opzione preferita, che offre la migliore esperienza con SharePoint. Ad esempio, i collegamenti negli avvisi di posta elettronica generati da SharePoint puntano all'area di predefinita.
  • Estendere un'applicazione Web esistente per configurare Kerberos in un'area non predefinita.

Importante

Indipendentemente dall'area usata, l'account del pool di applicazioni dell'applicazione Web SharePoint deve essere un account di dominio per il corretto funzionamento di Kerberos.

Creare l'applicazione Web di SharePoint

  • Lo script mostra un esempio di creazione di una nuova applicazione Web usando l'area di predefinita. l'uso della zona predefinita è l'opzione preferita.

    1. Avviare SharePoint Management Shell ed eseguire lo script.

      # This script creates a web application and configures the Default zone with the internal/external URL needed to work with Azure AD application proxy
# Edit variables below to fit your environment. Note that the managed account must exist and it must be a domain account
$internalUrl = "https://sharepoint"
$externalUrl = "https://spsites-demo1984.msappproxy.net/"
$applicationPoolManagedAccount = "Contoso\spapppool"

$winAp = New-SPAuthenticationProvider -UseWindowsIntegratedAuthentication -DisableKerberos:$false
$wa = New-SPWebApplication -Name "SharePoint - AAD Proxy" -Port 443 -SecureSocketsLayer -URL $externalUrl -ApplicationPool "SharePoint - AAD Proxy" -ApplicationPoolAccount (Get-SPManagedAccount $applicationPoolManagedAccount) -AuthenticationProvider $winAp
New-SPAlternateURL -Url $internalUrl -WebApplication $wa -Zone Default -Internal

    2. Aprire il sito di amministrazione centrale di SharePoint .

    3. In Impostazioni di sistema, seleziona Configura mapping di accesso alternativo. Viene visualizzata la casella raccolta di mapping di accesso alternativo.

    4. Filtrare la visualizzazione con la nuova applicazione Web.

      Mappe di accesso alternativo dell'applicazione web

  • Se si estende un'applicazione Web esistente a una nuova zona.

    1. Avviare SharePoint Management Shell ed eseguire lo script seguente.

      # This script extends an existing web application to Internet zone with the internal/external URL needed to work with Azure AD application proxy
# Edit variables below to fit your environment
$webAppUrl = "http://spsites/"
$internalUrl = "https://sharepoint"
$externalUrl = "https://spsites-demo1984.msappproxy.net/"

$winAp = New-SPAuthenticationProvider -UseWindowsIntegratedAuthentication -DisableKerberos:$false
$wa = Get-SPWebApplication $webAppUrl
New-SPWebApplicationExtension -Name "SharePoint - AAD Proxy" -Identity $wa -SecureSocketsLayer -Zone Extranet -Url $externalUrl -AuthenticationProvider $winAp
New-SPAlternateURL -Url $internalUrl -WebApplication $wa -Zone Extranet -Internal

    `. Aprire il sito di Amministrazione Centrale di SharePoint .

    1. In Impostazioni di sistema, selezionare Configurare mapping di accesso alternativo. Viene visualizzata la casella raccolta di mapping di accesso alternativo.

    2. Filtrare la visualizzazione con l'applicazione web che è stata estesa.

      Mappature di accesso alternativo delle applicazioni ampliate

Assicurarsi che l'applicazione Web di SharePoint sia in esecuzione con un account di dominio

Per identificare l'account che esegue il pool di applicazioni dell'applicazione Web di SharePoint e assicurarsi che si tratti di un account di dominio, seguire questa procedura:

  1. Aprire il sito Amministrazione Centrale di SharePoint.

  2. Passare a Sicurezza e selezionare Configura gli account del servizio.

  3. Selezionare il Pool di Applicazioni Web - NomeApplicazioneWeb.

    Scelte per la configurazione di un account del servizio

  4. Verificare che Selezionare un account per questo componente restituisce un account di dominio e ricordarlo perché viene usato nel passaggio successivo.

Assicurarsi che un certificato HTTPS sia configurato per il sito IIS della zona Extranet

Poiché l'URL interno usa il protocollo HTTPS (https://SharePoint/), è necessario impostare un certificato nel sito Internet Information Services (IIS).

  1. Aprire la console di Windows PowerShell.

  2. Eseguire lo script seguente per generare un certificato autofirmato e aggiungerlo al MY storedel computer .

    # Replace "SharePoint" with the actual hostname of the Internal URL of your Azure AD proxy application
New-SelfSignedCertificate -DnsName "SharePoint" -CertStoreLocation "cert:\LocalMachine\My"

    Importante

    I certificati autofirmati sono adatti solo a scopo di test. Negli ambienti di produzione è consigliabile usare invece i certificati emessi da un'autorità di certificazione.

  3. Aprire la console di Gestione Internet Information Services.

  4. Espandere il server nella visualizzazione ad albero, espandere Siti, selezionare il sito SharePoint - Microsoft Entra ID Proxy e selezionare Binding.

  5. Selezionare associazione https e quindi selezionare Modifica.

  6. Nel campo Certificato TLS/SSL scegliere certificato di SharePoint e quindi selezionare OK.

È ora possibile accedere al sito di SharePoint esternamente tramite il proxy dell'applicazione Microsoft Entra.

Passaggio 3: Configurare la delegazione vincolata Kerberos

Gli utenti eseguono inizialmente l'autenticazione in Microsoft Entra ID e quindi in SharePoint usando Kerberos tramite il connettore di rete privata Microsoft Entra. Per consentire al connettore di ottenere un token Kerberos per conto dell'utente di Microsoft Entra, è necessario configurare la delega vincolata Kerberos (KCD) con la transizione del protocollo. Per altre informazioni sulla delega vincolata Kerberos, vedere Panoramica della delega vincolata Kerberos.

Impostare il nome dell'entità servizio (SPN) per l'account del servizio SharePoint

In questo articolo l'URL interno è https://sharepointe quindi il nome principale del servizio (SPN) è HTTP/sharepoint. È necessario sostituire i valori con i valori corrispondenti all'ambiente. Per registrare lo SPN HTTP/sharepoint per l'account del pool di applicazioni di SharePoint Contoso\spapppool, eseguire il comando seguente da un prompt dei comandi, in qualità di amministratore del dominio:

setspn -S HTTP/sharepoint Contoso\spapppool

Il comando Setspn cerca il nome SPN prima di aggiungerlo. Se l'SPN esiste già, viene visualizzato un errore Valore SPN duplicato. Rimuovere l'SPN esistente. Verificare che l'SPN sia stato aggiunto correttamente eseguendo il comando Setspn utilizzando l'opzione -L. Per altre informazioni sul comando, vedere Setspn.

Assicurarsi che il connettore sia affidabile per la delega all'SPN aggiunto all'account del pool di applicazioni di SharePoint.

Configurare il KCD in modo che il servizio proxy dell'applicazione Microsoft Entra possa delegare le identità utente all'account del pool di applicazioni di SharePoint. Configurare KCD abilitando il connettore di rete privata per recuperare i ticket Kerberos per gli utenti autenticati in Microsoft Entra ID. Il server passa quindi il contesto all'applicazione di destinazione (in questo caso SharePoint).

Per configurare la KCD (delega vincolata di Kerberos), seguire questi passaggi per ogni computer connettore:

  1. Accedere a un controller di dominio come amministratore di dominio e quindi aprire Utenti e computer di Active Directory.

  2. Trova il computer che esegue il connettore di rete privata Microsoft Entra. In questo esempio si tratta del computer che esegue SharePoint Server.

  3. Fare doppio clic sul computer e quindi selezionare la scheda Delega.

  4. Assicurati che le opzioni di delega siano impostate su Considera attendibile questo computer solo per la delega ai servizi specificati. Selezionare quindi Usare qualsiasi protocollo di autenticazione.

  5. Selezionare il pulsante Aggiungi, selezionare Utenti o Computere individuare l'account del pool di applicazioni di SharePoint. Ad esempio: Contoso\spapppool.

  6. Nell'elenco SPN selezionare quello creato in precedenza per l'account del servizio.

  7. Selezionare OK e quindi selezionare di nuovo OK per salvare le modifiche.

    impostazioni di delega

A questo punto è possibile accedere a SharePoint usando l'URL esterno e per l'autenticazione con Azure.

Risolvere gli errori di accesso

Se l'accesso al sito non funziona, è possibile ottenere altre informazioni sul problema nei log del connettore: dal computer che esegue il connettore aprire il visualizzatore eventi, passare a Registri applicazioni e servizi>Microsoft>Microsoft Entra private network>Connectore controllare il log amministratore.

Passaggi successivi