Включение удаленного доступа к SharePoint с помощью прокси приложения Microsoft Entra

Статья
2025-03-11

В этом пошаговом руководстве объясняется, как интегрировать локальную ферму SharePoint с прокси приложения Microsoft Entra.

Необходимые условия

Чтобы выполнить настройку, вам потребуются следующие ресурсы:

Ферма SharePoint 2013 или более новая версия. Ферма SharePoint должна быть интегрирована с Microsoft Entra ID.
Клиент Microsoft Entra с планом, который включает прокси приложения. Узнайте больше о планах Microsoft Entra ID и ценах.
Ферма Microsoft Office Web Apps Server для правильного запуска файлов Office из локальной фермы SharePoint.
настраиваемый проверенный домен в клиенте Microsoft Entra.
Локальная служба Active Directory синхронизирована с Microsoft Entra Connect, с помощью которой пользователи могут войти в Azure.
Соединитель частной сети установлен и запущен на компьютере в корпоративном домене.

Для настройки SharePoint с прокси приложения требуется два URL-адреса:

Внешний URL-адрес, видимый конечным пользователям и определенный в идентификаторе Microsoft Entra. Этот URL-адрес может использовать личный домен. Узнайте больше о работе с пользовательскими доменами в прокси-сервере приложений Microsoft Entra.
Внутренний URL-адрес, известный только в корпоративном домене и никогда не используемый напрямую.

Важный

Чтобы убедиться, что ссылки сопоставлены правильно, выполните следующие рекомендации по внутреннему URL-адресу:

Используйте ПРОТОКОЛ HTTPS.
Не используйте пользовательские порты.
В корпоративной системе доменных имен (DNS) создайте хост (A-запись), чтобы указать на SharePoint WFE (или балансировщик нагрузки), а не псевдоним (CNAME-запись).

В этой статье используются следующие значения:

Внутренний URL-адрес: https://sharepoint.
Внешний URL-адрес: https://spsites-demo1984.msappproxy.net/.
Учетная запись пула приложений для веб-приложения SharePoint: Contoso\spapppool.

Шаг 1. Настройка приложения в идентификаторе Microsoft Entra, использующего прокси приложения

На этом шаге вы создадите приложение в тенанте Microsoft Entra, использующее прокси приложения. Вы задаете внешний URL-адрес и задаете внутренний URL-адрес, оба из которых используются позже в SharePoint.

Создайте приложение, как описано со следующими параметрами. Пошаговые инструкции см. в разделе Публикации приложений с помощью прокси приложения Microsoft Entra.
- внутренний URL-адрес: внутренний URL-адрес SharePoint, заданный далее в SharePoint, например https://sharepoint.
- предварительной проверки подлинности: Microsoft Entra ID.
- перевод URL-адресов в заголовках: No.
- перевод URL-адресов в тексте приложения: No.
После публикации приложения выполните следующие действия, чтобы настроить параметры единого входа.
1. На странице приложения на портале выберите Единый вход.
2. Для режим единого входавыберите встроенную проверку подлинности Windows.
3. Задайте Имя принципала службы внутренних приложений (SPN) на ранее заданное значение. В этом примере значение равно HTTP/sharepoint.
4. В разделе Делегированное удостоверение входавыберите наиболее подходящий вариант для конфигурации леса Active Directory. Например, если у вас есть один домен Active Directory в лесу, выберите имя локальной учетной записи SAM (как показано на следующем снимке экрана). Но если пользователи не находятся в том же домене, что и SharePoint и серверы соединителей частной сети, выберите локальное имя основного пользователя (не показано на снимке экрана).
Завершите настройку приложения, перейдите в раздел Пользователи и группы и назначьте пользователям доступ к этому приложению.

Шаг 2. Настройка веб-приложения SharePoint

Веб-приложение SharePoint должно быть настроено с помощью Kerberos и соответствующих альтернативных сопоставлений доступа для правильной работы с прокси-сервером приложения Microsoft Entra. Существует два возможных варианта:

Создайте веб-приложение и используйте только зону по умолчанию. Использование зоны по умолчанию является предпочтительным вариантом, он предлагает лучший опыт работы с SharePoint. Например, ссылки в уведомлениях электронной почты, которые создаёт SharePoint, указывают на зону по умолчанию .
Расширение существующего веб-приложения для настройки Kerberos в зоне, отличной от зоны по умолчанию.

Важный

Независимо от используемой зоны, учетная запись пула приложений веб-приложения SharePoint должна быть доменной учетной записью. Это необходимо для корректной работы Kerberos.

Создание веб-приложения SharePoint

В скрипте показан пример создания веб-приложения с помощью зоны по умолчанию. использование зоны по умолчанию — предпочтительный вариант.

Запустите оболочку управления SharePoint и запустите скрипт.

# This script creates a web application and configures the Default zone with the internal/external URL needed to work with Azure AD application proxy
# Edit variables below to fit your environment. Note that the managed account must exist and it must be a domain account
$internalUrl = "https://sharepoint"
$externalUrl = "https://spsites-demo1984.msappproxy.net/"
$applicationPoolManagedAccount = "Contoso\spapppool"

$winAp = New-SPAuthenticationProvider -UseWindowsIntegratedAuthentication -DisableKerberos:$false
$wa = New-SPWebApplication -Name "SharePoint - AAD Proxy" -Port 443 -SecureSocketsLayer -URL $externalUrl -ApplicationPool "SharePoint - AAD Proxy" -ApplicationPoolAccount (Get-SPManagedAccount $applicationPoolManagedAccount) -AuthenticationProvider $winAp
New-SPAlternateURL -Url $internalUrl -WebApplication $wa -Zone Default -Internal

Откройте сайт центра администрирования SharePoint.
В разделе Системные параметрывыберите Конфигурировать альтернативные сопоставления доступа. Откроется окно Сборник альтернативных сопоставлений доступа.
Отфильтруйте отображение с помощью нового веб-приложения.

Если вы расширяете существующее веб-приложение в новую зону.
1. Запустите оболочку управления SharePoint и запустите следующий скрипт.
```
# This script extends an existing web application to Internet zone with the internal/external URL needed to work with Azure AD application proxy
# Edit variables below to fit your environment
$webAppUrl = "http://spsites/"
$internalUrl = "https://sharepoint"
$externalUrl = "https://spsites-demo1984.msappproxy.net/"

$winAp = New-SPAuthenticationProvider -UseWindowsIntegratedAuthentication -DisableKerberos:$false
$wa = Get-SPWebApplication $webAppUrl
New-SPWebApplicationExtension -Name "SharePoint - AAD Proxy" -Identity $wa -SecureSocketsLayer -Zone Extranet -Url $externalUrl -AuthenticationProvider $winAp
New-SPAlternateURL -Url $internalUrl -WebApplication $wa -Zone Extranet -Internal
```
`. Откройте сайт центра администрирования SharePoint.
1. В разделе Системные параметрывыберите Настроить сопоставления альтернативного доступа. Откроется окно коллекции альтернативных отображений доступа.
2. Отфильтруйте отображение с помощью расширенного веб-приложения.

Убедитесь, что веб-приложение SharePoint запущено под учетной записью домена

Чтобы определить учетную запись под управлением пула приложений веб-приложения SharePoint и убедиться, что это учетная запись домена, выполните следующие действия.

Откройте сайт центра администрирования SharePoint.
Перейдите в раздел Безопасность и выберите Настройка учетных записей служб.
Выберите пул веб-приложений — YourWebApplicationName.
Убедитесь, что Выбрать учетную запись для этого компонента возвращает учетную запись домена, и запомните её, так как вы используете её на следующем шаге.

Убедитесь, что сертификат HTTPS настроен для сайта IIS зоны экстрасети.

Так как внутренний URL-адрес использует протокол HTTPS(https://SharePoint/), сертификат должен быть установлен на сайте IIS.

Откройте консоль Windows PowerShell.
Выполните следующий скрипт, чтобы создать самоподписанный сертификат и добавить его в MY storeкомпьютера.
```
# Replace "SharePoint" with the actual hostname of the Internal URL of your Azure AD proxy application
New-SelfSignedCertificate -DnsName "SharePoint" -CertStoreLocation "cert:\LocalMachine\My"
```
Важный

Самозаверяющий сертификат подходит только для тестовых целей. В рабочих средах настоятельно рекомендуется использовать сертификаты, выданные центром сертификации.
Откройте консоль диспетчера служб Internet Information Services.
Разверните сервер в дереве представления, разверните Сайты, выберите сайт SharePoint - Microsoft Entra ID Proxy и выберите пункт Привязки.
Выберите привязку https, а затем выберите Изменить.
В поле TLS/SSL-сертификата выберите сертификат SharePoint, а затем выберите ОК.

Теперь вы можете получить доступ к сайту SharePoint внешне через прокси-сервер приложения Microsoft Entra.

Шаг 3. Настройка ограниченного делегирования Kerberos

Пользователи изначально проходят проверку подлинности в идентификаторе Microsoft Entra, а затем в SharePoint с помощью Kerberos через соединитель частной сети Microsoft Entra. Чтобы разрешить соединителю получать токен Kerberos от имени пользователя Microsoft Entra, необходимо настроить ограниченное делегирование Kerberos (KCD) с переходом протокола. Дополнительные сведения о KCD см. в обзоре Kerberos-системы ограниченного делегирования.

Установите имя объекта службы (SPN) для учетной записи службы SharePoint

В этой статье внутренний URL-адрес https://sharepoint, поэтому имя субъекта-службы (SPN) HTTP/sharepoint. Эти значения необходимо заменить значениями, соответствующими вашей среде. Чтобы зарегистрировать SPN HTTP/sharepoint для учетной записи пула приложений SharePoint Contoso\spapppool, выполните следующую команду из командной строки в качестве администратора домена:

setspn -S HTTP/sharepoint Contoso\spapppool

Команда Setspn выполняет поиск SPN перед его добавлением. Если SPN уже существует, появится ошибка Duplicate SPN Value. Удалите существующий SPN. Убедитесь, что SPN было успешно добавлено, выполнив команду Setspn с параметром -L. Дополнительные сведения о команде см. в разделе Setpn.

Убедитесь, что коннектор является доверенным для делегирования SPN, добавленного в учетную запись пула приложений SharePoint.

Настройте KCD, чтобы служба прокси приложения Microsoft Entra может делегировать удостоверения пользователей учетной записи пула приложений SharePoint. Настройте KCD, включив соединитель частной сети для получения билетов Kerberos для пользователей, прошедших проверку подлинности в идентификаторе Microsoft Entra. Затем этот сервер передает контекст целевому приложению (SharePoint в этом случае).

Чтобы настроить KCD, выполните следующие действия для каждого компьютера соединителя:

Войдите в контроллер домена в качестве администратора домена, а затем откройте active Directory Users and Computers.
Найдите компьютер, на котором установлен соединитель Microsoft Entra для частной сети. В этом примере это компьютер под управлением SharePoint Server.
Дважды щелкните компьютер и затем выберите вкладку делегирования.
Убедитесь, что для параметра делегирования задано значение Доверять этому компьютеру для делегирования указанным службам только. Затем выберите Использовать любой протокол проверки подлинности.
Нажмите кнопку "Добавить", выберите "Пользователи или компьютеры" и найдите учетную запись пула приложений SharePoint. Например, Contoso\spapppool.
В списке SPN выберите тот, который вы создали ранее для учетной записи службы.
Нажмите кнопку ОК и снова нажмите кнопку ОК, чтобы сохранить изменения.

параметры делегирования

Теперь вы готовы войти в SharePoint с помощью внешнего URL-адреса и проверки подлинности в Azure.

Если вход на сайт не работает, вы можете получить дополнительные сведения о проблеме в журналах соединителя: на компьютере под управлением соединителя откройте средство просмотра событий, перейдите к журналам приложениям и службам>Microsoft>Частной сети Microsoft Entra>Connectorи проверьте журнал администратора.

Поделиться через