Externe toegang tot SharePoint inschakelen met Microsoft Entra-toepassingsproxy

In deze stapsgewijze handleiding wordt uitgelegd hoe u een on-premises SharePoint-farm integreert met de Microsoft Entra-toepassingsproxy.

Voorwaarden

Voor het uitvoeren van de configuratie hebt u de volgende resources nodig:

• Een SharePoint 2013-farm of nieuwer. De SharePoint-omgeving moet geïntegreerd worden met Microsoft Entra ID.
• Een Microsoft Entra-tenant met een plan dat toepassingsproxy bevat. Meer informatie over Microsoft Entra ID-abonnementen en prijzen.
• Een Microsoft Office Web Apps Server-farm om Office-bestanden correct te starten vanuit de on-premises SharePoint-farm.
• Een aangepast, geverifieerd domein binnen de Microsoft Entra-tenant.
• On-premises Active Directory gesynchroniseerd met Microsoft Entra Connect, waarmee gebruikers zich kunnen aanmelden bij Azure.
• een privénetwerkconnector geïnstalleerd en werkend op een machine binnen het bedrijfsdomein.

Voor het configureren van SharePoint met toepassingsproxy zijn twee URL's vereist:

• Een externe URL, zichtbaar voor eindgebruikers en bepaald in Microsoft Entra-id. Deze URL kan een aangepast domein gebruiken. Meer informatie over werken met aangepaste domeinen in de Microsoft Entra-toepassingsproxy.
• Een interne URL, alleen bekend binnen het bedrijfsdomein en nooit rechtstreeks gebruikt.

Belangrijk

Volg deze aanbevelingen voor de interne URL om ervoor te zorgen dat de links correct zijn gemapt:

• Gebruik HTTPS.
• Gebruik geen aangepaste poorten.
• Maak in het DNS (Corporate Domain Name System) een host (A) om te verwijzen naar de SharePoint WFE (of load balancer) en geen alias (CName).

In dit artikel worden de volgende waarden gebruikt:

• Interne URL: https://sharepoint.
• Externe URL: https://spsites-demo1984.msappproxy.net/.
• Toepassingspoolaccount voor de SharePoint-webtoepassing: Contoso\spapppool.

Stap 1: Een toepassing configureren in Microsoft Entra-id die gebruikmaakt van de toepassingsproxy

In deze stap maakt u een toepassing in uw Microsoft Entra-tenant die gebruikmaakt van de toepassingsproxy. U stelt de externe URL in en geeft de interne URL op, die beide later in SharePoint worden gebruikt.

1. Maak de app zoals beschreven met de volgende instellingen. Zie Toepassingen publiceren met microsoft Entra-toepassingsproxyvoor stapsgewijze instructies.

   • interne URL: interne SharePoint-URL die later wordt ingesteld in SharePoint, zoals https://sharepoint.
   • verificatie vooraf: Microsoft Entra ID.
   • URL's vertalen in headers: No.
   • URL’s vertalen inde hoofdtekst van de toepassing: No.

   

2. Nadat uw app is gepubliceerd, volgt u deze stappen om de instellingen voor eenmalige aanmelding te configureren.

   1. Selecteer op de toepassingspagina in de portal Eenmalige aanmelding.
   2. Selecteer voor modus voor eenmalige aanmeldingGeïntegreerde Windows-verificatie.
   3. Stel SPN (Internal Application Service Principal Name) in op de waarde die u eerder hebt ingesteld. In dit voorbeeld is de waarde HTTP/sharepoint.
   4. Selecteer onder Gedelegeerde aanmeldingsidentiteitde meest geschikte optie voor de configuratie van uw Active Directory-forest. Als u bijvoorbeeld één Active Directory-domein in uw forest hebt, selecteert u on-premises SAM-accountnaam (zoals wordt weergegeven in de volgende schermopname). Als uw gebruikers zich echter niet in hetzelfde domein bevinden als SharePoint en de servers van de privénetwerkconnector, selecteert u on-premises user principal name (niet weergegeven in de schermafbeelding).

   

3. Voltooi het instellen van uw toepassing, ga naar de sectie Gebruikers en groepen en wijs gebruikers toe om toegang te krijgen tot deze toepassing.

Stap 2: De SharePoint-webtoepassing configureren

De SharePoint-webtoepassing moet worden geconfigureerd met Kerberos en de juiste alternatieve toegangstoewijzingen om correct te kunnen werken met de Microsoft Entra-toepassingsproxy. Er zijn twee mogelijke opties:

• Maak een nieuwe webtoepassing en gebruik alleen de standaardzone. Het gebruik van de standaardzone is de voorkeursoptie en biedt de beste ervaring met SharePoint. Bijvoorbeeld, de koppelingen in e-mailwaarschuwingen die SharePoint genereert, verwijzen naar de standaardzone.
• Breid een bestaande webtoepassing uit om Kerberos in een niet-standaardzone te configureren.

Belangrijk

Ongeacht de zone die wordt gebruikt, moet het account van de groep van toepassingen van de SharePoint-webtoepassing een domeinaccount zijn om Kerberos correct te laten werken.

De SharePoint-webtoepassing maken

• In het script ziet u een voorbeeld van het maken van een nieuwe webtoepassing met behulp van de standaardzone. het gebruik van de standaardzone is de voorkeursoptie.

  1. Start de SharePoint Management Shell en voer het script uit.

     # This script creates a web application and configures the Default zone with the internal/external URL needed to work with Azure AD application proxy
     # Edit variables below to fit your environment. Note that the managed account must exist and it must be a domain account
     $internalUrl = "https://sharepoint"
     $externalUrl = "https://spsites-demo1984.msappproxy.net/"
     $applicationPoolManagedAccount = "Contoso\spapppool"
     
     $winAp = New-SPAuthenticationProvider -UseWindowsIntegratedAuthentication -DisableKerberos:$false
     $wa = New-SPWebApplication -Name "SharePoint - AAD Proxy" -Port 443 -SecureSocketsLayer -URL $externalUrl -ApplicationPool "SharePoint - AAD Proxy" -ApplicationPoolAccount (Get-SPManagedAccount $applicationPoolManagedAccount) -AuthenticationProvider $winAp
     New-SPAlternateURL -Url $internalUrl -WebApplication $wa -Zone Default -Internal
     

  2. Open de -site Centraal beheer van SharePoint.

  3. Selecteer onder SysteeminstellingenAlternatieve toegangstoewijzingen configureren. Het Alternatieve Toegangstoewijzingsverzameling vak wordt geopend.

  4. Filter de weergave met de nieuwe webtoepassing.

     

• Als u een bestaande webtoepassing uitbreidt naar een nieuwe zone.

  1. Start de SharePoint Management Shell en voer het volgende script uit.

     # This script extends an existing web application to Internet zone with the internal/external URL needed to work with Azure AD application proxy
     # Edit variables below to fit your environment
     $webAppUrl = "http://spsites/"
     $internalUrl = "https://sharepoint"
     $externalUrl = "https://spsites-demo1984.msappproxy.net/"
     
     $winAp = New-SPAuthenticationProvider -UseWindowsIntegratedAuthentication -DisableKerberos:$false
     $wa = Get-SPWebApplication $webAppUrl
     New-SPWebApplicationExtension -Name "SharePoint - AAD Proxy" -Identity $wa -SecureSocketsLayer -Zone Extranet -Url $externalUrl -AuthenticationProvider $winAp
     New-SPAlternateURL -Url $internalUrl -WebApplication $wa -Zone Extranet -Internal
     

  `. Open de -site Centraal beheer van SharePoint.

  1. Onder Systeeminstellingenselecteer je Alternatieve toegangstoewijzingen configureren. De doos voor alternatieve toegangstoewijzingsverzameling wordt geopend.

  2. Filter de weergave met de webtoepassing die is uitgebreid.

     

Zorg ervoor dat de SharePoint-webtoepassing wordt uitgevoerd onder een domeinaccount

Voer de volgende stappen uit om het account te identificeren waarop de groep van toepassingen van de SharePoint-webtoepassing wordt uitgevoerd en om ervoor te zorgen dat het een domeinaccount is:

1. Open de -site Centraal beheer van SharePoint.

2. Ga naar Security en selecteer Het configureren van serviceaccounts.

3. Selecteer webtoepassingsgroep - YourWebApplicationName.

   

4. Controleer of Selecteer een account voor dit onderdeel een domeinaccount retourneert en onthoud dit, omdat u dit in de volgende stap gebruikt.

Zorg ervoor dat een HTTPS-certificaat is geconfigureerd voor de IIS-site van de extranetzone

Omdat de interne URL gebruikmaakt van het HTTPS-protocol (https://SharePoint/), moet een certificaat worden ingesteld op de IIS-site (Internet Information Services).

1. Open de Windows PowerShell-console.

2. Voer het volgende script uit om een zelfondertekend certificaat te genereren en toe te voegen aan de MY storevan de computer.

   # Replace "SharePoint" with the actual hostname of the Internal URL of your Azure AD proxy application
   New-SelfSignedCertificate -DnsName "SharePoint" -CertStoreLocation "cert:\LocalMachine\My"
   

   Belangrijk

   Zelfondertekende certificaten zijn alleen geschikt voor testdoeleinden. In productieomgevingen raden we u ten zeerste aan certificaten te gebruiken die zijn uitgegeven door een certificeringsinstantie.

3. Open de Internet Information Services Manager-beheerconsole.

4. Vouw de server uit in de structuurweergave, vouw Sitesuit, selecteer de SharePoint - Microsoft Entra ID Proxy site en selecteer Bindingen.

5. Selecteer https-binding en selecteer vervolgens bewerken.

6. Kies in het veld TLS/SSL-certificaat SharePoint-certificaat en selecteer vervolgens OK-.

U kunt nu extern toegang krijgen tot de SharePoint-site via de Microsoft Entra-toepassingsproxy.

Stap 3: Beperkte Kerberos-delegering configureren

Gebruikers verifiëren zich in eerste instantie in Microsoft Entra-id en vervolgens bij SharePoint met behulp van Kerberos via de privénetwerkconnector van Microsoft Entra. Als u wilt dat de connector namens de Microsoft Entra-gebruiker een Kerberos-token kan verkrijgen, moet u KCD (Beperkte Kerberos-delegering) configureren met protocolovergang. Raadpleeg Overzicht van beperkte Kerberos-delegeringals u meer wilt weten over KCD.

De SPN (Service Principal Name) instellen voor het SharePoint-serviceaccount

In dit artikel wordt de interne URL https://sharepointen is de SPN (Service Principal Name) dus HTTP/sharepoint. U moet deze waarden vervangen door de waarden die overeenkomen met uw omgeving. Als u SPN-HTTP/sharepoint wilt registreren voor het account van de SharePoint-toepassingsgroep Contoso\spapppool, voert u de volgende opdracht uit vanaf een opdrachtprompt, als beheerder van het domein:

setspn -S HTTP/sharepoint Contoso\spapppool

De opdracht Setspn zoekt naar de SPN voordat deze wordt toegevoegd. Als de SPN al bestaat, ziet u een dubbele SPN-waarde fout. Verwijder de bestaande SPN. Controleer of de SPN is toegevoegd door de opdracht Setspn uit te voeren met de optie -L. Zie Setspn-voor meer informatie over de opdracht.

Zorg ervoor dat de connector wordt vertrouwd voor overdracht naar de SPN die is toegevoegd aan het account van de SharePoint-toepassingsgroep

Configureer de KCD zodat de Microsoft Entra-toepassingsproxy-service gebruikersidentiteiten kan delegeren aan het account van de SharePoint-applicatiepool. Configureer KCD door de connector voor het privénetwerk in te schakelen om Kerberos-tickets op te halen voor uw gebruikers die zijn geverifieerd in Microsoft Entra-id. Vervolgens geeft die server de context door aan de doeltoepassing (in dit geval SharePoint).

Volg deze stappen voor elke connectorcomputer om de KCD te configureren:

1. Meld u als domeinbeheerder aan bij een domeincontroller en open vervolgens Active Directory: gebruikers en computers.

2. Zoek de computer waarop de Microsoft Entra-connector voor het privénetwerk draait. In dit voorbeeld is het de computer waarop SharePoint Server wordt uitgevoerd.

3. Dubbelklik op de computer en selecteer vervolgens het tabblad Delegering.

4. Zorg ervoor dat de delegeringsopties zijn ingesteld op Vertrouw deze computer alleen voor delegering aan de opgegeven services. Selecteer vervolgens Gebruik elk verificatieprotocol.

5. Selecteer de knop Toevoegen, selecteer Gebruikers of Computersen zoek het SharePoint applicatiepoolaccount. Bijvoorbeeld: Contoso\spapppool.

6. Selecteer in de SPN-lijst het account dat u eerder hebt gemaakt voor het serviceaccount.

7. Selecteer OK- en selecteer vervolgens OK opnieuw om uw wijzigingen op te slaan.

   

U bent nu klaar om u aan te melden bij SharePoint met behulp van de externe URL en om te verifiëren met Azure.

Aanmeldingsfouten oplossen

Als aanmelden bij de site niet werkt, kunt u meer informatie krijgen over het probleem in de Connectorlogboeken: vanaf de machine waarop de connector wordt uitgevoerd, opent u de gebeurtenissenviewer, gaat u naar Toepassingen en Services Logboeken>Microsoft>Microsoft Entra privénetwerk>Connector, en inspecteer het Admin logboek.

Volgende stappen

• Werken met aangepaste domeinen in de Microsoft Entra-toepassingsproxy
• Microsoft Entra-connectors voor privénetwerken begrijpen