Dela via

Aktivera fjärråtkomst till SharePoint med Microsoft Entra-programproxy

  • Artikel

Den här stegvisa guiden förklarar hur du integrerar en lokal SharePoint-servergrupp med Microsoft Entra-programproxy.

Förutsättningar

För att utföra konfigurationen behöver du följande resurser:

  • En SharePoint 2013-servergrupp eller senare. SharePoint-servergruppen måste vara integrerad med Microsoft Entra ID.
  • En klientorganisation för Microsoft Entra med en plan som innehåller programproxy. Läs mer om Microsoft Entra ID-planer och deras prissättning.
  • En Microsoft Office Web Apps Server-servergrupp för korrekt start av Office-filer från den lokala SharePoint-servergruppen.
  • En anpassad, verifierad domän i Microsoft Entra-klienten.
  • Lokal Active Directory synkroniserad med Microsoft Entra Connect, genom vilken användare kan logga in på Azure.
  • en privat nätverksanslutning som installeras och körs på en dator i företagsdomänen.

För att konfigurera SharePoint med programproxy krävs två URL:er:

  • En extern URL som är synlig för slutanvändare och som fastställs i Microsoft Entra-ID. Den här URL:en kan använda en anpassad domän. Läs mer om arbeta med anpassade domäner i Microsoft Entra-programproxy.
  • En intern URL som endast är känd inom företagsdomänen och som aldrig används direkt.

Viktig

Följ dessa rekommendationer för den interna URL:en för att se till att länkarna är korrekt mappade:

  • Använd HTTPS.
  • Använd inte anpassade portar.
  • I företagets DNS (Domain Name System) skapar du en värd (A) som pekar på SharePoint WFE (eller lastbalanseraren) och inte ett alias (CName).

Den här artikeln använder följande värden:

  • Internlänk: https://sharepoint.
  • Extern länk: https://spsites-demo1984.msappproxy.net/.
  • Programpoolskonto för SharePoint-webbprogrammet: Contoso\spapppool.

Steg 1: Konfigurera ett program i Microsoft Entra-ID som använder programproxy

I det här steget skapar du ett program i din Microsoft Entra-klientorganisation som använder programproxy. Du anger den externa URL:en och anger den interna URL:en, som båda används senare i SharePoint.

  1. Skapa appen enligt beskrivningen med följande inställningar. Stegvisa instruktioner finns i Publicera program med hjälp av Microsoft Entra-programproxy.

    • intern URL-: Intern SharePoint-URL som anges senare i SharePoint, till exempel https://sharepoint.
    • förautentisering: Microsoft Entra ID.
    • Översätt URL:er i rubriker: No.
    • Översätt URL:er i programtexten: No.

    Publicera SharePoint som program

  2. När appen har publicerats följer du de här stegen för att konfigurera inställningarna för enkel inloggning.

    1. På programsidan i portalen väljer du Enkel inloggning.
    2. För läge för enkel inloggningväljer du Integrerad Windows-autentisering.
    3. Ange SPN (Internal Application Service Principal Name) till det värde som du angav tidigare. I det här exemplet är värdet HTTP/sharepoint.
    4. Under Delegerad inloggningsidentitetväljer du det lämpligaste alternativet för din Active Directory-skogskonfiguration. Om du till exempel har en enda Active Directory-domän i skogen väljer du lokalt SAM-kontonamn (som visas på följande skärmbild). Men om användarna inte finns i samma domän som SharePoint och servrarna för privata nätverksanslutningar väljer du lokalt användarens huvudnamn (visas inte på skärmbilden).

    Konfigurera integrerad Windows-autentisering för SSO-

  3. Slutför konfigurationen av programmet, gå till avsnittet Användare och grupper och tilldela användare åtkomst till det här programmet.

Steg 2: Konfigurera SharePoint-webbprogrammet

SharePoint-webbprogrammet måste konfigureras med Kerberos och lämpliga alternativa åtkomstmappningar för att fungera korrekt med Microsoft Entra-programproxy. Det finns två möjliga alternativ:

  • Skapa ett nytt webbprogram och använd endast standardzon. Att använda standardzonen är det föredragna alternativet, det ger den bästa upplevelsen med SharePoint. Till exempel länkarna i e-postaviseringar som SharePoint genererar pekar på standard zon.
  • Utöka ett befintligt webbprogram för att konfigurera Kerberos i en icke-standardzon.

Viktig

Oavsett vilken zon som används måste programpoolskontot för SharePoint-webbprogrammet vara ett domänkonto för att Kerberos ska fungera korrekt.

Skapa SharePoint-webbappen

  • Skriptet visar ett exempel på hur du skapar ett nytt webbprogram med standard zon. att använda standardzonen är det föredragna alternativet.

    1. Starta SharePoint Management Shell- och kör skriptet.

      # This script creates a web application and configures the Default zone with the internal/external URL needed to work with Azure AD application proxy
# Edit variables below to fit your environment. Note that the managed account must exist and it must be a domain account
$internalUrl = "https://sharepoint"
$externalUrl = "https://spsites-demo1984.msappproxy.net/"
$applicationPoolManagedAccount = "Contoso\spapppool"

$winAp = New-SPAuthenticationProvider -UseWindowsIntegratedAuthentication -DisableKerberos:$false
$wa = New-SPWebApplication -Name "SharePoint - AAD Proxy" -Port 443 -SecureSocketsLayer -URL $externalUrl -ApplicationPool "SharePoint - AAD Proxy" -ApplicationPoolAccount (Get-SPManagedAccount $applicationPoolManagedAccount) -AuthenticationProvider $winAp
New-SPAlternateURL -Url $internalUrl -WebApplication $wa -Zone Default -Internal

    2. Öppna SharePoint Central Administration-webbplatsen .

    3. Under Systeminställningarväljer du Konfigurera alternativa åtkomstmappningar. Rutan för Alternativ Åtkomstmappningssamling öppnas.

    4. Filtrera visningen med det nya webbprogrammet.

      alternativa åtkomstmappningar för webbprogram

  • Om du utökar ett befintligt webbprogram till en ny zon.

    1. Starta SharePoint Management Shell och kör följande skript.

      # This script extends an existing web application to Internet zone with the internal/external URL needed to work with Azure AD application proxy
# Edit variables below to fit your environment
$webAppUrl = "http://spsites/"
$internalUrl = "https://sharepoint"
$externalUrl = "https://spsites-demo1984.msappproxy.net/"

$winAp = New-SPAuthenticationProvider -UseWindowsIntegratedAuthentication -DisableKerberos:$false
$wa = Get-SPWebApplication $webAppUrl
New-SPWebApplicationExtension -Name "SharePoint - AAD Proxy" -Identity $wa -SecureSocketsLayer -Zone Extranet -Url $externalUrl -AuthenticationProvider $winAp
New-SPAlternateURL -Url $internalUrl -WebApplication $wa -Zone Extranet -Internal

    `. Öppna SharePoint Centraladministration-webbplatsen.

    1. Under Systeminställningarväljer du Konfigurera alternativa åtkomstmappningar. Rutan Alternativ samling för åtkomstmappning öppnas.

    2. Filtrera visningen med det webbprogram som har utökats.

      alternativa åtkomstmappningar för utökade program

Kontrollera att SharePoint-webbprogrammet körs under ett domänkonto

Följ dessa steg för att identifiera det konto som kör programpoolen för SharePoint-webbprogrammet och kontrollera att det är ett domänkonto:

  1. Öppna SharePoint Central Administration-webbplatsen.

  2. Gå till Security och välj Konfigurera tjänstkonton.

  3. Välj webbapplikationspool - YourWebApplicationName.

    Alternativ för att konfigurera ett tjänstkonto

  4. Bekräfta att Välj ett konto för den här komponenten returnerar ett domänkonto och kom ihåg det, eftersom du använder det i nästa steg.

Kontrollera att ett HTTPS-certifikat har konfigurerats för IIS-platsen i extranätszonen

Eftersom den interna URL:en använder HTTPS-protokollet (https://SharePoint/) måste ett certifikat anges på IIS-webbplatsen (Internet Information Services).

  1. Öppna Windows PowerShell-konsolen.

  2. Kör följande skript för att generera ett självsignerat certifikat och lägg till det i datorns MY store.

    # Replace "SharePoint" with the actual hostname of the Internal URL of your Azure AD proxy application
New-SelfSignedCertificate -DnsName "SharePoint" -CertStoreLocation "cert:\LocalMachine\My"

    Viktig

    Självsignerade certifikat är endast lämpliga för teständamål. I produktionsmiljöer rekommenderar vi starkt att du använder certifikat som utfärdats av en certifikatutfärdare i stället.

  3. Öppna Internet Information Services Manager-konsolen.

  4. Utöka servern i trädvyn, utöka Webbplatser, välj webbplatsen SharePoint – Microsoft Entra ID Proxy och välj sedan Bindningar.

  5. Välj https-bindning och välj sedan Redigera.

  6. I fältet TLS/SSL-certifikat väljer du SharePoint- certifikat och väljer sedan OK.

Nu kan du komma åt SharePoint-webbplatsen externt via Microsoft Entra-programproxy.

Steg 3: Konfigurera Kerberos-begränsad delegering

Användarna autentiserar först i Microsoft Entra-ID och sedan till SharePoint med hjälp av Kerberos via den privata Nätverksanslutningen för Microsoft Entra. Om du vill tillåta att anslutningsappen hämtar en Kerberos-token för Microsoft Entra-användarens räkning måste du konfigurera Kerberos-begränsad delegering (KCD) med protokollövergång. Mer information om KCD finns i översikten över Kerberos-begränsad delegering.

Ange tjänstens huvudnamn (SPN) för SharePoint-tjänstkontot

I den här artikeln är den interna URL:en https://sharepointoch därför är tjänstens huvudnamn (SPN) HTTP/sharepoint. Du måste ersätta dessa värden med de värden som motsvarar din miljö. Om du vill registrera SPN-HTTP/sharepoint för SharePoint-programpoolkontot Contoso\spapppoolkör du följande kommando från en kommandotolk som administratör för domänen:

setspn -S HTTP/sharepoint Contoso\spapppool

Kommandot Setspn söker efter SPN innan det läggs till. Om SPN redan finns visas ett duplicerat SPN-värde fel. Ta bort det befintliga SPN:t. Kontrollera att SPN har lagts till genom att köra kommandot Setspn med alternativet -L. Mer information om kommandot finns i Setspn.

Kontrollera att anslutningen är betrodd för delegering till det SPN som har lagts till i SharePoint-programpoolskontot

Konfigurera KCD så att Microsoft Entra-programproxytjänsten kan delegera användaridentiteter till SharePoint-programpoolskontot. Konfigurera KCD genom att aktivera anslutningsappen för privata nätverk för att hämta Kerberos-biljetter för dina användare som autentiseras i Microsoft Entra-ID. Sedan skickar servern kontexten till målprogrammet (SharePoint i det här fallet).

Följ dessa steg för varje anslutningsdator för att konfigurera KCD:

  1. Logga in på en domänkontrollant som domänadministratör och öppna sedan Användare och datorer i Active Directory.

  2. Hitta den dator som kör den privata Nätverksanslutningen för Microsoft Entra. I det här exemplet är det datorn som kör SharePoint Server.

  3. Dubbelklicka på datorn och välj sedan fliken Delegering.

  4. Kontrollera att delegeringsalternativen är inställda på Lita på den här datorn för delegering till de angivna tjänsterna endast. Välj sedan Använd valfritt autentiseringsprotokoll.

  5. Välj knappen Lägg till, välj Användare eller datoreroch leta upp kontot för SharePoint-programpoolen. Till exempel: Contoso\spapppool.

  6. I SPN-listan väljer du den som du skapade tidigare för tjänstkontot.

  7. Välj OK och välj sedan OK igen för att spara ändringarna.

    delegeringsinställningar

Nu är du redo att logga in på SharePoint med hjälp av den externa URL:en och autentisera med Azure.

Felsöka inloggningsfel

Om inloggningen till webbplatsen inte fungerar kan du få mer information om problemet i anslutningsloggarna: Från datorn som kör anslutningsappen öppnar du loggboken, går till Program- och tjänstloggar>Microsoft>privata Microsoft Entra-nätverk>Connectoroch inspekterar loggen Admin.

Nästa steg