設定從 Microsoft 365 到 SharePoint Server 的連線
適用於:
Subscription Edition SharePoint in Microsoft 365
**This article is part of a roadmap of procedures for configuring SharePoint hybrid solutions. Be sure you're following a roadmap when you do the procedures in this article. **
本文包含 SharePoint 混合式環境部署程式的指引,其會在 Microsoft 365 中整合 SharePoint Server 和 SharePoint。
重要事項
Microsoft 建議您使用權限最少的角色。 使用較低許可權的帳戶有助於改善組織的安全性。 全域系統管理員是高度特殊權限角色,應僅在無法使用現有角色的緊急案例下使用。
開始之前
輔助功能注意事項: SharePoint Server 支援一般瀏覽器的輔助功能功能,可協助您管理部署和存取網站。 如需詳細資訊,請參閱 SharePoint 2013 的協助工具。
如果您尚未這麼做,請先閱讀 規劃從 Microsoft 365 到 SharePoint Server 的連線 ,再開始設定任何專案。這很重要,因為規劃文章可協助您做出重要決策,並將其記錄在 SharePoint混合式部署工作表上,本文其餘部分稱為工作表。 該工作表可讓人知道要使用本文中的哪些程序以及要略過哪些程序。
如果您已閱讀規劃文章,則應該已執行下列動作:
決定針對混合式設定的網站集合策略。
決定針對混合式使用現有 Web 應用程式或建立新的應用程式。
| 圖示 | 描述 |
|---|---|
|
這些決策記錄在工作表的表格 2 中。 如果沒有,請返回並閱讀 規劃從 Microsoft 365 到 SharePoint Server 的連線 ,然後再進一步進行這些決策。 |
工作表秘訣
如果您在開始進行設定之前,已在 SharePoint 混合式工作表 上輸入所有適用資訊,則事情會簡單很多。 您至少必須知道下列事項,才能使用本文章。
表格:決策應該已記錄在 SharePoint 混合式工作表上
| 決策 | 工作表上的位置 |
|---|---|
| 您要針對混合式使用現有 Web 應用程式還是建立新的應用程式? |
表格 2 的 [新的或現有的 Web 應用程式] |
| 您要使用哪個網站集合策略? |
表格 2 的 [網站集合策略] 資料列 |
| 什麼是外部 URL? |
表格 3 的 [外部 URL] 資料列 |
| 什麼是外部 URL 與之相關聯的反向 Proxy 裝置上網際網路對向端點的 IP 位址? |
表格 3 的 [外部端點的 IP 位址] 資料列 |
請確認已在工作表上輸入這些決策,再繼續。
設定階段
若要設定環境基礎結構,您需要 SharePoint Server 介面,例如 SharePoint 管理中心網站,以及 sharePoint 中的 [管理] 頁面,Microsoft 365。 為了防止您不必要地切換這些介面,我們已將設定步驟組織為下列階段:
請依本文中顯示的順序,完成每個設定步驟。
重要事項
建議您完整記錄您的部署策略,並在混合式環境設定程序期間維護詳細的工作記錄。 在任何複雜的實作專案中,每項設計決策、伺服器設定、程序和輸出對疑難排解、支援和察覺都是極重要的參考。
準備公用網域
若要Microsoft 365 將要求傳送至反向 Proxy 裝置的外部端點,您必須具備下列專案:
公用網域是向反向 Proxy 裝置的外部端點 URL 與之相關聯的網域註冊機構 (例如 GoDaddy.com) 登錄。
公用網域 DNS 區域中的 A 記錄,與 Microsoft 365 網站中已發佈的 SharePoint 相關聯 (這是外部 URL,例如 spexternal.adventureworks.com) 。 這可讓 Microsoft 365 將要求傳送至針對混合式設定的反向 Proxy 裝置上的外部端點。 這個 A 記錄會將外部 URL 對應至反向 Proxy 裝置上網際網路對向端點的 IP 位址。 如需詳細資訊,請參閱 規劃從 Microsoft 365 到 SharePoint Server 的連線。
如果您還沒有想要用於此用途的公用網域 (例如 adventureworks.com),請立即取得一個,然後建立這個 A 記錄。 如果您已在規劃階段期間完成這項作業,則需要建立此 A 記錄的公用網域名稱和 IP 位址會記錄在工作表的表 3 中。
您必須完成將 網域連線至 Microsoft 365 一文中的步驟,才能將公用網域的主機名新增至 Microsoft 365。
設定 SharePoint Server
本節會告訴您如何設定 SharePoint Server 伺服器陣列,以便在輸入混合式解決方案中使用。 我們已將本節的步驟組織為下列階段。 請依顯示的順序完成程序,以獲得最可靠的結果。
設定網站集合策略
指派 UPN 網域尾碼
同步處理使用者設定檔
設定 HTTP 上的 OAuth (如有必要)
注意事項
本節的程序假設您已有想要用於混合式功能的現有 SharePoint Server 伺服器陣列。
設定網站集合策略
在混合式環境中,數據會在 Microsoft 365 中的 SharePoint 根網站集合與內部部署 SharePoint 伺服器數位中針對混合式設定的特定 Web 應用程式之間交換。 我們將它稱為主要 Web 應用程式。 此 Web 應用程式是設定您網站集合策略的焦點。
在規劃階段期間,您應該已決定使用現有 Web 應用程式還是建立一個 Web 應用程式,以及要設定的網站集合策略。 若是如此,您的決策會列在工作表表格 2 的 [網站集合策略] 資料列中。 如果您尚未決定,請檢閱 規劃從 Microsoft 365 到 SharePoint Server 的連線 一文,然後再進一步進行這些決策。
選擇下列其中一個網站集合策略進行設定:
使用已指定主機網站集合設定網站集合策略
如果您想要使用 SharePoint 混合式環境的主機命名型網站集合來設定網站集合策略,請依顯示的順序完成這些步驟:
確定 Web 應用程式和根網站集合存在。
確定 SSL 繫結存在於主要 Web 應用程式上。
建立主機命名型網站集合。
設定分割 DNS。
在內部部署 DNS 中建立 A 記錄。
如需網站集合策略決策的詳細資訊,請參閱規劃從 Microsoft 365 連線到 SharePoint Server 的網站集合策略一節。
請確定主要 Web 應用程式和根網站集合存在。
在設定成使用下列項目的 Web 應用程式中,必須建立稍後將建立的已指定主機網站集合:
整合式 Windows 驗證 (含 NTLM)
https 通訊協定 (安全通訊端層)
您也需要路徑型網站集合作為此 Web 應用程式中的根網站集合。
| 圖示 | 描述 |
|---|---|
|
|
如果您已識別想要在規劃期間使用的 Web 應用程式,則它應該列在工作表之表 5a 的 [主要 Web 應用程式 URL] 列中。 |
如果 Web 應用程式和根網站集合不存在,您需要建立它們。 您可以藉由使用管理中心或 SharePoint 2016 管理命令介面,來完成這個操作。 如果它們已存在,請移至確定 SSL 繫結存在於主要 Web 應用程式。
以下是如何使用 SharePoint 2016 管理命令介面來建立 Web 應用程式的範例。
New-SPWebApplication -Name 'Adventureworks Web app' -SecureSocketsLayer -port 443 -ApplicationPool AdventureworksAppPool -ApplicationPoolAccount (Get-SPManagedAccount 'adventureworks\abarr') -AuthenticationProvider (New-SPAuthenticationProvider -UseWindowsIntegratedAuthentication)
其中:
Web 應用程式的名稱是 Adventureworks Web 應用程式。
Web 應用程式的連接埠號碼是 443。
| 圖示 | 描述 |
|---|---|
|
|
在工作表表格 5a 的 [Web 應用程式的連接埠號碼] 資料列中,記錄您選擇的連接埠號碼。 |
新的 Web 應用程式會使用名稱為 AdventureworksAppPool 的 Web 應用程式集區。
Web 應用程式會以受管理帳戶 adventureworks\abarr 的身分執行。
Web 應用程式是透過使用 NTLM 的 Windows 整合式驗證來建立的。
以下是如何使用 SharePoint 2016 管理命令介面建立根網站集合的範例。
New-SPSite 'https://sharepoint' -Name 'Portal' -Description 'Adventureworks Root site collection' -OwnerAlias 'adventureworks\abarr' -language 1033 -Template 'STS#0'
其中:
SharePoint 伺服器陣列的主機名稱是 "sharepoint"。
主要系統管理員是 adventureworks\abarr。
網站範本使用英文 (1033)。
範本 (STS#0) 是「小組網站」範本。
如需如何建立已指定主機網站集合的 Web 應用程式和根網站集合的詳細資訊,請參閱在 SharePoint Server 中建立宣告型 Web 應用程式和 SharePoint Server 中的已指定主機網站集合架構和部署。
確定 SSL 繫結存在於主要 Web 應用程式
因為此 Web 應用程式設定成使用 SSL,所以您必須確定 SSL 憑證繫結至主要 Web 應用程式。 針對生產環境,此憑證應由公開憑證授權單位 (CA) 所發行。 在測試和開發環境中,這可以是自我簽署憑證。 我們將它稱為「內部部署 SharePoint SSL 憑證」。
提示
這通常是與您稍後在反向 Proxy 裝置上所安裝的憑證不同的憑證。 如需這些憑證的詳細資訊,請參閱規劃從 Microsoft 365 連線到 SharePoint Server 的規劃SSL 憑證一節。
憑證系結至 Web 應用程式之後,您將能夠在 Internet Information Services 中 [伺服器證書] 對話框的 [發行至] 欄位中看到此主機名 (IIS) 。 如需詳細資訊,請參閱如何在 IIS 7.0 上設定 SSL。
建立已指定主機網站集合
Web 應用程式和根網站集合就緒之後,下一步是在主要 Web 應用程式內建立主機命名型網站集合。 此網站集合的公用 URL 必須與外部端點 URL 相同。
注意事項
已指定主機網站集合必須藉由使用 SharePoint 2016 管理命令介面來建立。 您無法使用管理中心來建立這類型的網站集合。
以下是如何使用 SharePoint 2016 管理命令介面建立已指定主機網站集合的範例。
New-SPSite 'https://spexternal.adventureworks.com' -HostHeaderWebApplication 'https://sharepoint' -Name 'https://spexternal.adventureworks.com' -Description 'Site collection for hybrid' -OwnerAlias 'adventureworks\abarr' -language 1033 -Template 'STS#0'
其中:
https://spexternal.adventureworks.com是已指定主機網站集合的 URL。 此 URL 必須與外部 URL 相同。https://sharepoint 是在其中建立網站集合的 Web 應用程式。
如需詳細資訊,請參閱SharePoint Server 中已指定主機網站集合架構和部署。
設定分割 DNS
您必須設定分割 DNS。 這是用來協助確定內部部署用戶端電腦將伺服器名稱解析為內部 IP 位址的一般設定,即使公用 DNS 解決方案將相同的服務名稱解析為完全不同的公用 IP 位址也是一樣。 這可讓使用者重新導向至在 Microsoft 365 安全性增強的驗證機制中使用標準 SharePoint 的端點,但來自 Microsoft 365 的查詢可以透過設定為使用憑證驗證的反向 Proxy 來導向。
如需如何在混合式拓撲中使用分割 DNS 的詳細資訊,請參閱 SharePoint 2013 混合式 Search 功能的架構設計建議。 如需如何設定分割 DNS 的詳細資訊,請參閱錯誤裂腦 DNS 設定可能會防止順暢的 SSO 登入體驗。
在內部部署 DNS 中建立 A 記錄
反向 Proxy 裝置必須可以解析主機命名型網站集合的內部 URL。 在想要的內部部署 DNS 命名空間中建立 A 記錄,即可執行此作業。 這不需要與反向 Proxy 裝置位於相同的命名空間中。 不過,反向 Proxy 裝置必須可以解析此命名空間。 此 A 記錄會將外部 URL 的主機名稱對應至內部部署 SharePoint 伺服器陣列的 IP 位址。 以下是 A 記錄範例,其中外部 URL 為 https://spexternal.adventureworks.com 且 SharePoint 伺服器陣列的網路負載平衡器 IP 位址為 10.0.0.13。
| 圖示 | 描述 |
|---|---|
|
|
外部 URL 記錄在工作表表格 3 的 [外部 URL] 資料列中。 |
您已針對混合式使用主機命名型網站集合,來完成設定網站集合策略。 現在,請跳到指派 UPN 網域尾碼。
使用路徑型 Web 應用程式 (沒有 AAM) 設定網站集合策略
如果您想要使用 SharePoint 混合式環境的路徑型 Web 應用程式來設定網站集合策略,而不需要建立備用存取對應 (AAM),請依顯示的順序完成這些步驟:
確定 Web 應用程式存在。
確定 SSL 繫結存在於主要 Web 應用程式上。
設定分割 DNS。
在內部部署 DNS 中建立 A 記錄。
注意事項
在沒有 AAM 的情況下設定網站集合策略時,主要 Web 應用程式的公用 URL 必須與外部 URL 相同。
如需詳細資訊,請參閱規劃從 Microsoft 365 連線到 SharePoint Server 的網站集合策略一節。
確定主要 Web 應用程式存在
您可以使用現有 Web 應用程式作為主要 Web 應用程式,也可以建立主要 Web 應用程式。 您應該已在規劃期間進行此決策,並將其記錄在工作表之表 2 的 [新或現有 Web 應用程式] 列中。 如果您尚未做出此決定,請參閱 規劃從 Microsoft 365 到 SharePoint Server 的連線 ,然後再進一步決定。 請記住,如果在沒有 AAM 的情況下設定網站集合策略,則主要 Web 應用程式的公用 URL 必須與外部 URL 相同。
在規劃期間,如果您已決定將現有 Web 應用程式用作主要 Web 應用程式,則其 URL 應該記錄在工作表之表 5b 的 [主要 Web 應用程式 URL] 列中。 若是如此,請跳至確定 SSL 繫結存在於主要 Web 應用程式。 否則,若要建立 Web 應用程式作為主要 Web 應用程式,請使用在 SharePoint Server 中建立宣告型 Web 應用程式中的程序。
您一般應該使用預設設定。 不過,下列是必要的組態設定。
必要組態設定
| 位置 | 描述 |
|---|---|
| 在 [IIS 網站] 區段的 [連接埠] 方塊中 |
輸入您想要讓此 Web 應用程式使用的連接埠號碼,例如 443。 |
| 在 [安全性設定] 區段中 |
確定 [允許匿名] 設定為 [否]。 |
| 在 [安全性設定] 區段中 |
確定 [使用安全通訊端層 (SSL)] 設定為 [是]。 您必須將 SSL 憑證繫結至 Web 應用程式 (我們會在下一節深入討論)。 |
| 在 [宣告驗證類型] 區段中 |
選取 [啟用 Windows 驗證] 核取方塊,並選取 [整合式 Windows 驗證] 核取方塊,然後在下拉式功能表中選取 [NTLM]。 |
| 在 [公用 URL] 區段的 [URL] 方塊中。 |
輸入外部 URL,例如 https://spexternal.adventureworks.com。 根據預設,Microsoft 365 中的 SharePoint 會將埠號碼附加到它為此字段建議的預設 URL。 將 URL 取代為外部 URL 時,請不要附加連接埠號碼。 |
為了讓後續程序對您而言更加容易,我們建議您執行下列作業。
| 圖示 | 描述 |
|---|---|
|
|
從管理中心 [建立新的 Web 應用程式] 頁面的 [公用 URL] 區段中取得 URL,並將其記錄在工作表表格 5b 的 [主要 Web 應用程式 URL] 資料列中。 |
確定 SSL 繫結存在於主要 Web 應用程式
您必須確定 SSL 憑證繫結至主要 Web 應用程式。 在實際執行環境中,此憑證應該由公用憑證授權單位 (CA) 所發出。 在測試和開發環境中,這可以是自我簽署憑證。 我們將此稱為 Microsoft 365 SSL 憑證中的內部部署 SharePoint。
提示
這一般是與稍後安裝於反向 Proxy 裝置的憑證不同的憑證,但是您也可以使用安全通道 SSL 憑證 (如果想要)。 如需這些憑證的詳細資訊,請參閱規劃從 Microsoft 365 連線到 SharePoint Server 的規劃SSL 憑證一節。
Web 應用程式的主機名稱必須在 SSL 憑證的 [主體] 欄位中。 憑證系結至 Web 應用程式之後,您可以在 Internet Information Services 中 [伺服器證書] 對話方塊的 [發行至] 欄位中看到此主機名 (IIS) 。 如需詳細資訊,請參閱如何在 IIS 7.0 上設定 SSL。
設定分割 DNS
您必須設定分割 DNS。 這是用來協助確定內部部署用戶端電腦將伺服器名稱解析為內部 IP 位址的一般設定,即使公用 DNS 解決方案將相同的服務名稱解析為完全不同的公用 IP 位址也是一樣。 這可讓使用者重新導向至在 Microsoft 365 安全性增強的驗證機制中使用標準 SharePoint 的端點,但來自 Microsoft 365 的查詢可以透過設定為使用憑證驗證的反向 Proxy 來導向。
如需如何在混合式拓撲中使用分割 DNS 的詳細資訊,請參閱 SharePoint 2013 混合式搜尋功能的架構設計建議。 如需如何設定分割 DNS 的詳細資訊,請參閱錯誤裂腦 DNS 設定可能會防止順暢的 SSO 登入體驗。
在內部部署 DNS 中建立 A 記錄
反向 Proxy 裝置必須可以解析主機命名型網站集合的內部 URL。 在想要的內部部署 DNS 命名空間中建立 A 記錄,即可執行此作業。 這不需要與反向 Proxy 裝置位於相同的命名空間中。 不過,反向 Proxy 裝置必須可以解析此命名空間。 此 A 記錄會將外部 URL 的主機名稱對應至內部部署 SharePoint 伺服器陣列的 IP 位址。 以下是 A 記錄範例,其中外部 URL 為 https://spexternal.adventureworks.com 且 SharePoint 伺服器陣列的網路負載平衡器 IP 位址為 10.0.0.13。
| 圖示 | 描述 |
|---|---|
|
|
外部 URL 記錄在工作表表格 3 的 [外部 URL] 資料列中。 |
您已針對混合式使用路徑型網站集合 (沒有 AAM),完成設定網站集合策略。 現在,請跳到指派 UPN 網域尾碼。
使用路徑型 Web 應用程式 (具有 AAM) 設定網站集合策略
如果您想要針對網站集合策略搭配使用路徑型 Web 應用程式與備用存取對應 (AAM),請依顯示的順序完成這些步驟:
確定主要 Web 應用程式確實存在。
擴充主要 Web 應用程式以及設定 AAM。
確定 SSL 繫結存在於主要 Web 應用程式上 (如果需要)。
設定 AAM。
建立 CNAME 記錄。
如果您已設定不同名稱對應類型,請移至指派 UPN 網域尾碼。
以下影片示範網站集合策略如何與具有 AAM 的路徑型 Web 應用程式搭配運作。
影片:了解 URL 和主機名稱
確定主要 Web 應用程式存在
您可以使用現有 Web 應用程式作為主要 Web 應用程式,也可以建立主要 Web 應用程式。 如果您尚未做出此決定,請參閱 規劃從 Microsoft 365 到 SharePoint Server 的連線 ,然後再進一步決定。
在規劃期間,如果您已決定將現有 Web 應用程式用作主要 Web 應用程式,則其 URL 應該記錄在工作表之表 5c 的 [主要 Web 應用程式 URL] 列中。 若是如此,請跳至擴充主要 Web 應用程式。 否則,若要建立 Web 應用程式作為主要 Web 應用程式,請使用在 SharePoint Server 中建立宣告型 Web 應用程式中的程序。 您設定此網站集合策略之後,SharePoint 混合式設定就不會受到此 Web 應用程式的初始設定影響。 原因是稍後擴充 Web 應用程式時,會套用混合式所需的設定。 因此,當您建立 Web 應用程式時,可以使用想要的任何設定。
| 圖示 | 描述 |
|---|---|
|
|
為了讓後續程序對您而言更加容易,我們建議您在建立 Web 應用程式時,記錄這項資訊: 從管理中心 [建立新的 Web 應用程式] 頁面的 [公用 URL] 區段中取得 URL,並將其記錄在工作表表格 5c 的 [主要 Web 應用程式 URL] 資料列中。 |
擴充主要 Web 應用程式
本節說明如何擴充 Web 應用程式。 擴充 Web 應用程式時,會建立已指派外部 URL 的新 IIS 網站,以作為公用 URL。
完成本節中的程序時,您會有兩個 IIS 網站。 兩者都已連線到相同的內容資料庫。 原始 IIS 網站不會變更,而且內部使用者可以繼續存取。 擴充的 Web 應用程式會使用不同的區域 (例如網際網路區域),並設定成使用外部 URL 作為公用 URL。 這個擴充的 Web 應用程式僅用於服務 SharePoint 混合式要求。
重要事項
確定在想要用作 SharePoint 混合式解決方案之主要 Web 應用程式的特定 Web 應用程式上執行這些程序。 必須擴充的這個 Web 應用程式 URL 會記錄在工作表之表 5c 的 [主要 Web 應用程式 URL] 列中。
若要擴充 Web 應用程式,請使用在 Microsoft 365 中在 SharePoint 中擴充宣告型 Web 應用程式中的程式。 一般而言,您應該使用預設設定。 但是需要下列組態設定。
必要組態設定
| 位置 | 描述 |
|---|---|
| 在 [IIS 網站] 區段的 [連接埠] 方塊中。 |
確定值設定為下列其中一項的適當連接埠號碼: 如果您決定擴充未加密 HTTP 連線的主要 Web 應用程式,請使用連接埠 80,或設定反向 Proxy 裝置之網路管理員所指定的 HTTP 連接埠。 從反向 Proxy 裝置到 Web 應用程式網站集合的所有輸入服務連線都必須使用 HTTP。 如果您決定設定加密 HTTPS 連線的主要 Web 應用程式,請使用連接埠 443,或設定反向 Proxy 裝置之網路管理員所指定的 SSL 連接埠。 從反向 Proxy 裝置到 Web 應用程式網站集合的所有輸入服務連線都必須使用 HTTPS。 |
| 在 [安全性設定] 區段中 |
確定 [允許匿名] 設定為 [否]。 |
| 在 [安全性設定] 區段中 |
為 [使用安全通訊端階層 (SSL)] 選擇適當值。 如果您選擇 [否],Web 應用程式會使用未加密的 HTTP。 如果您選擇 [是],Web 應用程式會使用加密的 HTTPS,您必須將 SSL 憑證繫結至擴充 Web 應用程式。 我們會在下一節詳細討論此憑證。 |
| 在 [宣告驗證類型] 區段中 |
選取 [啟用 Windows 驗證] 核取方塊,並選取 [整合式 Windows 驗證] 核取方塊,然後在下拉式功能表中選取 [NTLM]。 |
| 在 [公用 URL] 區段的 [URL] 方塊中。 |
輸入外部 URL,例如 https://spexternal.adventureworks.com。 請注意,SharePoint 預設會將連接埠號碼附加至它為此欄位建議的預設 URL。 將 URL 取代為外部 URL 時,請不要附加連接埠號碼。 |
| 在 [公用 URL] 區段的 [區域] 清單中 |
選取想要指派給這個已擴充 Web 應用程式的區域。 建議您將 [區域] 值設定為 [網際網路] (如果有的話)。 |
確定 SSL 繫結存在於主要 Web 應用程式 (如果需要的話)
如果您將已擴充 Web 應用程式設定成使用 SSL,則必須確定 SSL 憑證繫結至上一節所擴充的 Web 應用程式。 或者,如果您針對 HTTP (未加密) 設定擴充 Web 應用程式,請跳至設定 AAM。
在實際執行環境中,此憑證應該由公用或企業憑證授權單位 (CA) 所發出。 在測試和開發環境中,這可以是自我簽署憑證。 我們將此稱為 Microsoft 365 SSL 憑證中的內部部署 SharePoint。
重要事項
此憑證在 [主體] 欄位中必須具有 URL 的橋接主機名稱。 例如,如果橋接 URL 是 https://bridge,則憑證的 [主體] 欄位必須包含 bridge。 因此,無法使用 IIS 來建立此憑證。 但是您可以使用例如 MakeCert.exe 的憑證建立工具來建立它。 憑證系結至 Web 應用程式之後,您可以在 Internet Information Services 中 [伺服器證書] 對話方塊的 [發行至] 欄位中看到此主機名 (IIS) 。
提示
這通常是與您稍後在反向 Proxy 裝置上所安裝的憑證不同的憑證。 如需這些憑證的詳細資訊,請參閱規劃從 Microsoft 365 連線到 SharePoint Server 的規劃SSL 憑證一節。
如需如何設定 SSL 的詳細資訊,請參閱 SharePoint 2013 中的 https 和安全套接字層指南。
設定 AAM
若要讓 SharePoint Server 使用外部 URL 動態翻譯要求中的連結,請遵循下列步驟。
若要設定 AAM
在 [管理中心] 的 [快速啟動] 中,選取 [ 應用程式管理]。
在 [ Web 應用程式] 區段中,選取 [ 設定替代存取對應]。
在 [ 替代存取對應] 頁面上,選取 [ 新增內部 URL]。
在 [ 替代存取對應集合] 區段中,選取向下箭號,然後選取 [ 變更替代存取對應集合]。 在出現的對話框中,選取您要設定混合式的主要 Web 應用程式。
| 圖示 | 描述 |
|---|---|
|
|
此 Web 應用程式的 URL 會記錄在工作表表格 5c 的 [主要 Web 應用程式 URL] 資料列中。 |
- 在 [ 新增內部 URL] 區 段的 [ URL 通訊協定、主機和埠 ] 方塊中,輸入您要用來作為橋接 URL 的 URL。 此 URL 必須具有與延伸 Web 應用程式相同的通訊協定,不論是http 或是 https。 例如,如果您已使用 https 設定已擴充 Web 應用程式,則 URL 與 https://bridge 類似。
| 圖示 | 描述 |
|---|---|
|
|
|
| 您使用的通訊協議會記錄在工作表表 5c 之擴充 Web 應用程式資料列的通訊協定中。 在工作表 5c 的 [橋接 URL] 列中記錄此 URL。 |
- 在 [ 區域 ] 下拉式清單中,選取您擴充 Web 應用程式時所使用的相同區域。
| 圖示 | 描述 |
|---|---|
|
|
此區域會記錄在工作表表格 5c 的 [已擴充 Web 應用程式的區域] 資料列中。 |
選取 [儲存]。
您在步驟 5 中指定的 URL 會出現在 [替代存取對應] 頁面的 [內部 URL] 資料行中。
建立 CNAME 記錄
您需要在內部部署 DNS 中建立 CNAME 記錄。 此記錄會將「橋接 URL」的主機名稱對應至內部部署 SharePoint 伺服器陣列的完整網域名稱。 「橋接 URL」是上一節中指派給 AAM 的 URL。 反向 Proxy 裝置必須可以查詢 DNS,以將別名解析為內部部署 SharePoint 伺服器陣列的 IP 位址。
以下是範例 CNAME 記錄,其中主機名稱是根據橋接 URL (https://bridge) 的 Bridge。
若要驗證針對 CNAME 記錄選擇的別名解析為 SharePoint Server 伺服器陣列,請執行下列驗證步驟。
驗證步驟
以系統管理員身分登入反向 Proxy 裝置,然後開啟 Windows 命令提示字元。
Ping CNAME 記錄中的別名。 例如,如果別名名名稱為 Bridge,請輸入下列內容,然後按 <Enter>。
ping bridge
命令提示字元應該會傳回 CNAME 記錄中指定的 SharePoint 伺服器陣列 IP 位址。 如果沒有的話,請確認 CNAME 記錄中已正確指定 SharePoint 伺服器陣列的完整網域名稱,然後重複這些驗證步驟。
注意事項
ping如果命令在網路上遭到封鎖,請嘗試改用 tracert -4 或 pathping -4 命令。
在 Microsoft 365 的 SharePoint 中建立及設定 SSL 憑證的目標應用程式
在本節中,您會在 Microsoft 365 中的 SharePoint 中建立及設定 Secure Store 目標應用程式。 此目標應用程式用來儲存安全通道 SSL 憑證並加以啟用,以便在使用者從內部部署 SharePoint 伺服器陣列要求數據時,SharePoint 可以在 Microsoft 365 服務中使用它。 我們將這個目標應用程式稱為「安全通道目標應用程式」。
| 圖示 | 描述 |
|---|---|
|
|
若要遵循這些步驟,您需要工作表的表 4a 中所記錄的資訊。 |
注意事項
您可以使用含有私密金鑰 (例如私人資訊交換 (.pfx) 檔案) 的憑證,也可以使用網際網路安全性憑證檔案 (.cer)。 如果您使用 .pfx file,則必須在本程序稍後提供私密金鑰的密碼。
當您在階段 4:設定混合式解決方案中設定 SharePoint 混合式解決方案時,您將提供您建立的目標應用程式名稱,讓 Microsoft 365 搜尋和商務連線服務中的 SharePoint 能夠取得向反向 Proxy 裝置驗證所需的安全通道 SSL 憑證。
若要建立目標應用程式以儲存安全通道 SSL 憑證
移至 SharePoint 系統管理中心的 [更多功能],然後使用在 Microsoft 365 中具有系統管理員許可權的帳戶登入。
在 Secure Store 下,選取 [開啟]。
在 [ 編輯] 索引 標籤上,選取 [ 新增]。
在 [目標應用程式設定] 區段中執行下列步驟:
在 [ 目標應用程式標識 符] 方塊中,輸入 (名稱,這會是您要用於目標應用程式的標識碼) ,例如,建議您將它命名為 SecureChannelTargetApplication。 請勿在此名稱中使用空格。
注意事項
您將在此步驟建立識別碼,您不會從其他位置接收到識別碼。 此識別碼是無法變更的唯一目標應用程式名稱。
| 圖示 | 描述 |
|---|---|
|
|
在工作表表格 6 的 [目標應用程式識別碼] 資料列中記錄此名稱。 |
- 在 [ 顯示名稱] 方塊中,輸入您要作為新目標應用程式顯示名稱的名稱。 例如,Secure Channel Target App。
| 圖示 | 描述 |
|---|---|
|
|
在工作表表格 6 的 [目標應用程式顯示名稱] 資料列中記錄此名稱。 |
在 [ 聯繫人電子郵件] 方塊中 ,輸入此目標應用程式的主要聯繫人名稱。
在 [認證欄位] 區段中,執行下列動作:
在第一列的 [ 功能變數名稱] 資料行中,刪除方塊中的任何現有文字,然後輸入 [憑證]。
在 [欄位類型] 欄的第一列,從下拉式清單選取 [憑證]。
在第二列的 [ 功能變數名稱] 資料行中,刪除方塊中的任何現有文字,然後輸入 憑證密碼。
注意事項
只有從含有私密金鑰的憑證 (例如私人資訊交換 (.pfx) 檔案) 匯入憑證時,才必須遵循此步驟。
在第二列的 [ 字段類型] 資料行中,於下拉式清單中選取 [ 憑證密碼]。
認證區段應該與下圖類似。
在 [ 目標應用程式管理員] 區段的方塊中,輸入有權管理此目標應用程式設定的用戶名稱。 請一定要新增將測試混合式設定的任何使用者,讓他們可以進行變更 (如果需要)。
在 [ 成員] 區段的方塊中,輸入您想要啟用以使用混合式解決方案的 Microsoft Entra 使用者和群組名稱。
Microsoft 365 全域管理員可以建立 Microsoft Entra 群組。 這些是網域群組,而不是 Microsoft 365 群組中的 SharePoint。
| 圖示 | 描述 |
|---|---|
|
|
這些使用者清單或將他們新增至其中的群組會列在工作表之表 1 的 [同盟使用者] 列中。 |
選取 [確定]。
選取您建立的目標應用程式標識符旁邊的複選框,例如 SecureChannelTargetApp) (。
| 圖示 | 描述 |
|---|---|
|
|
此名稱會列在工作表表格 6 的 [目標應用程式顯示名稱] 資料列中。 |
在 [ 編輯] 索引 標籤的 [ 認證 ] 群組中,選取 [ 設定]。
在 [ 設定安全存放區目標應用程式的認證 ] 對話框中,執行下列動作:
在 [ 憑證 ] 欄位旁邊,選取 [ 流覽]。
流覽至安全通道 SSL 憑證的位置,選取憑證,然後選取 [ 開啟]。
| 圖示 | 描述 |
|---|---|
|
|
此憑證的名稱和位置會記錄在工作表之表 4b 的 [安全通道 SSL 憑證位置和檔案名稱] 列中。 |
- 如果您使用的憑證包含私鑰,例如 Private Information Exchange (.pfx) 檔案,請在 [ 憑證密碼] 欄位中輸入憑證的密碼。 否則請繼續進行步驟 12。
| 圖示 | 描述 |
|---|---|
|
|
密碼會記錄在工作表表格 4b 的 [安全通道 SSL 憑證密碼] 資料列中。 |
在 [ 確認憑證密碼] 字段中,重新輸入憑證的密碼。
選取 [確定]。
如需詳細資訊, 請參閱在 SharePoint Server 中設定 Secure Store Service。
驗證和後續步驟
完成此主題的設定工作之後,您應該驗證下列項目:
確認您的公用網際網路網域名稱可在 DNS 中解析。
確認您可以使用內部和外部 URL 來連線至主要 Web 應用程式。
確認您可以使用反向 Proxy 端點的外部 URL,從網際網路順利存取主要 Web 應用程式內的內部部署網站集合。 使用於此驗證步驟的電腦必須在電腦帳戶的個人憑證存放區中安裝安全通道 SSL 憑證。
完成且驗證本主題中的設定工作後,請返回您的設定藍圖。