Partager via

Activer l’accès à distance à SharePoint avec le proxy d’application Microsoft Entra

Ce guide détaillé explique comment intégrer une batterie de serveurs SharePoint locale au proxy d’application Microsoft Entra.

Conditions préalables

Pour effectuer la configuration, vous avez besoin des ressources suivantes :

  • Batterie de serveurs SharePoint 2016 ou ultérieure.
  • Un client Microsoft Entra possédant un plan incluant le proxy d'application. En savoir plus sur les plans et la tarification Microsoft Entra ID.
  • Ferme de serveurs Microsoft Office Web Apps Server pour lancer correctement les fichiers Office à partir de la ferme de serveurs SharePoint sur site.
  • Un domaine vérifié personnalisé dans le locataire Microsoft Entra.
  • Les déploiements Active Directory locaux synchronisés avec Microsoft Entra Connect, via lesquels les utilisateurs peuvent se connecter à Azure.
  • Connecteur de réseau privé installé et en cours d’exécution sur un ordinateur au sein du domaine d’entreprise.

La configuration de SharePoint avec le proxy d’application nécessite deux URL :

Importante

Pour vous assurer que les liens sont correctement mappés, suivez ces recommandations pour l’URL interne :

  • utiliser le protocole HTTPS ;
  • n’utilisez pas de ports personnalisés.
  • Créez un hôte (A enregistrement) dans le système DNS d'entreprise (Domain Name System) qui pointe vers le serveur frontal web SharePoint (WFE) (ou l’équilibreur de charge) plutôt qu'un alias (CName enregistrement).

Cet article utilise les valeurs suivantes :

  • URL interne : https://sharepoint.
  • URL externe : https://spsites-demo1984.msappproxy.net/.
  • Compte de pool d’applications pour l’application web SharePoint : Contoso\spapppool.

Étape 1 : Configurer une application dans Microsoft Entra ID qui utilise le proxy d’application

Dans cette étape, vous créez une application dans votre tenant Microsoft Entra qui utilise le proxy d'applications. Vous définissez l’URL externe et spécifiez l’URL interne, les deux étant utilisées ultérieurement dans SharePoint.

  1. Créez l’application avec les paramètres suivants. Pour obtenir des instructions pas à pas, consultez Publication d’applications à l’aide du proxy d’application Microsoft Entra.

    • URL interne : URL interne SharePoint que vous définissez ultérieurement dans SharePoint, par https://sharepointexemple .
    • Pré-authentification : Microsoft Entra ID.
    • Traduire des URL dans les en-têtes : No.
    • Traduire des URL dans le corps de l’application : No.

    Capture d’écran des paramètres de proxy d’application Microsoft Entra montrant les champs nom, URL interne, URL externe et Pré-authentification définies sur Microsoft Entra ID.

  2. Après avoir publié votre application, procédez comme suit pour configurer les paramètres de l’authentification unique.

    1. Dans la page de l’application du portail, sélectionnez Authentification unique.
    2. Pour le mode d’authentification unique, sélectionnez Authentification Windows intégrée.
    3. Définissez le nom du principal du service d’application interne (SPN) sur la valeur que vous avez définie précédemment. Pour cet exemple, la valeur est HTTP/sharepoint.
    4. Sous Identité de connexion déléguée, sélectionnez l’option la plus appropriée pour la configuration de votre forêt Active Directory. Par exemple, si vous avez un seul domaine Active Directory dans votre forêt, sélectionnez le nom du compte SAM local (comme illustré dans la capture d’écran suivante). Toutefois, si vos utilisateurs ne se trouvent pas dans le même domaine que SharePoint et les serveurs de connecteur de réseau privé, sélectionnez le nom d’utilisateur principal local (non affiché dans la capture d’écran).

    Capture d’écran de la boîte de dialogue Configurer l’authentification Windows intégrée montrant le nom du spN défini sur HTTP/SharePoint et l’identité de connexion déléguée définie sur le nom du compte SAM local.

  3. Terminez la configuration de votre application, accédez à la section Utilisateurs et groupes , puis affectez des utilisateurs pour accéder à cette application.

Étape 2 : Configurer l’application web SharePoint

Vous devez configurer l’application web SharePoint avec Kerberos et les mappages d’accès alternatif appropriés pour fonctionner correctement avec le proxy d’application Microsoft Entra. Deux options s'offrent à vous :

  • Créez une application web et utilisez uniquement la zone par défaut . Utilisez la zone par défaut pour une expérience optimale avec SharePoint. Par exemple, les liens dans les alertes par e-mail générées par SharePoint pointent vers la zone par défaut .
  • Étendez une application web existante pour configurer Kerberos dans une zone non définie.

Importante

Quelle que soit la zone que vous utilisez, le compte de pool d’applications de l’application web SharePoint doit être un compte de domaine pour que Kerberos fonctionne correctement.

Créer l’application web SharePoint

  • Le script montre un exemple de création d’une application web à l’aide de la zone par défaut . Nous vous recommandons d’utiliser la zone par défaut.

    1. Démarrez SharePoint Management Shell et exécutez le script.

      # This script creates a web application and configures the Default zone with the internal/external URL needed to work with Azure AD application proxy
# Edit variables below to fit your environment. Note that the managed account must exist and it must be a domain account
$internalUrl = "https://sharepoint"
$externalUrl = "https://spsites-demo1984.msappproxy.net/"
$applicationPoolManagedAccount = "Contoso\spapppool"

$winAp = New-SPAuthenticationProvider -UseWindowsIntegratedAuthentication -DisableKerberos:$false
$wa = New-SPWebApplication -Name "SharePoint - AAD Proxy" -Port 443 -SecureSocketsLayer -URL $externalUrl -ApplicationPool "SharePoint - AAD Proxy" -ApplicationPoolAccount (Get-SPManagedAccount $applicationPoolManagedAccount) -AuthenticationProvider $winAp
New-SPAlternateURL -Url $internalUrl -WebApplication $wa -Zone Default -Internal

    2. Ouvrez le site Administration centrale SharePoint .

    3. Sous Paramètres système, sélectionnez Configurer d’autres mappages d’accès. La zone Collection de mappages d’accès alternatif s’ouvre.

    4. Filtrez l’affichage avec la nouvelle application web.

      Capture d’écran de la page Mappages d’accès alternatifs montrant les URL internes et publiques de l’application web SharePoint dans la zone par défaut.

  • Si vous étendez une application web existante à une nouvelle zone.

    1. Démarrez SharePoint Management Shell et exécutez le script suivant.

      # This script extends an existing web application to Internet zone with the internal/external URL needed to work with Azure AD application proxy
# Edit variables below to fit your environment
$webAppUrl = "http://spsites/"
$internalUrl = "https://sharepoint"
$externalUrl = "https://spsites-demo1984.msappproxy.net/"

$winAp = New-SPAuthenticationProvider -UseWindowsIntegratedAuthentication -DisableKerberos:$false
$wa = Get-SPWebApplication $webAppUrl
New-SPWebApplicationExtension -Name "SharePoint - AAD Proxy" -Identity $wa -SecureSocketsLayer -Zone Extranet -Url $externalUrl -AuthenticationProvider $winAp
New-SPAlternateURL -Url $internalUrl -WebApplication $wa -Zone Extranet -Internal

    Ouvrez le site Administration centrale SharePoint .

    1. Sous Paramètres système, sélectionnez Configurer d’autres mappages d’accès. La zone Collection de mappages d’accès alternatif s’ouvre.

    2. Filtrez l’affichage avec l’application web que vous avez étendue.

      Capture d’écran de la page Mappages d’accès alternatifs montrant les URL internes et publiques pour la Zone par Défaut et la Zone Extranet avec l'application web SharePoint sélectionnée.

Vérifiez que l’application web SharePoint s’exécute sous un compte de domaine

Pour identifier le compte qui exécute le pool d’applications de l’application web SharePoint et vous assurer qu’il s’agit d’un compte de domaine, procédez comme suit :

  1. Ouvrez le site Administration centrale SharePoint .

  2. Accédez à Sécurité, puis sélectionnez Configurer les comptes de service.

  3. Sélectionnez Pool d’applications web - YourWebApplicationName.

    Capture d'écran de la boîte de dialogue de sélection de compte de service avec le pool d’applications Web - SharePoint 80 et la liste déroulante de comptes de domaine.

  4. Vérifiez que sélectionnez un compte pour ce composant retourne un compte de domaine et n’oubliez pas que vous l’utilisez à l’étape suivante.

Vérifiez qu’un certificat HTTPS est configuré pour le site IIS de la zone extranet

Étant donné que l’URL interne utilise le protocole HTTPS (https://SharePoint/), vous devez définir un certificat sur le site Iis (Internet Information Services).

  1. Ouvrez la console Windows PowerShell.

  2. Exécutez le script suivant pour générer un certificat auto-signé et l’ajouter à l’ordinateur MY store.

    # Replace "SharePoint" with the actual hostname of the Internal URL of your Azure AD proxy application
New-SelfSignedCertificate -DnsName "SharePoint" -CertStoreLocation "cert:\LocalMachine\My"

    Importante

    Les certificats auto-signés sont uniquement destinés à des fins de test. Dans les environnements de production, utilisez plutôt des certificats émis par une autorité de certification.

  3. Ouvrez la console du gestionnaire des services Internet Information Services.

  4. Développez le serveur dans l’arborescence, développez Sites, sélectionnez le site SharePoint – Microsoft Entra ID, puis Liaisons.

  5. Sélectionnez liaison https , puis sélectionnez Modifier.

  6. Dans le champ de certificat TLS (Transport Layer Security), choisissez certificat SharePoint , puis sélectionnez OK.

Vous pouvez maintenant accéder au site SharePoint en externe par l’intermédiaire du proxy d’application Microsoft Entra.

Étape 3 : Configurer une délégation Kerberos contrainte

Les utilisateurs s’authentifient initialement dans l’ID Microsoft Entra, puis vers SharePoint à l’aide de Kerberos via le connecteur de réseau privé Microsoft Entra. Pour permettre au connecteur d’obtenir un jeton Kerberos pour le compte de l’utilisateur Microsoft Entra, vous devez configurer la délégation Kerberos contrainte (KCD) avec la transition de protocole. Pour plus d’informations sur KCD, consultez l’aperçu de la délégation Kerberos restreinte.

Définir le nom du principal du service (SPN) pour le compte de service SharePoint

Dans cet article, l’URL interne est https://sharepoint, et le nom de principal du service (SPN) est donc HTTP/sharepoint. Remplacez ces valeurs par les valeurs qui correspondent à votre environnement. Pour inscrire le SPN HTTP/sharepoint pour le compte du pool d’applications SharePoint Contoso\spapppool, exécutez la commande suivante à partir d’une invite de commandes, en tant qu’administrateur du domaine :

setspn -S HTTP/sharepoint Contoso\spapppool

La commande Setspn recherche le SPN avant de l’ajouter. Si le SPN existe déjà, une erreur Valeur SPN en double apparaît. Supprimez le SPN existant. Vérifiez que le SPN a été ajouté correctement en exécutant la Setspn commande avec l’option -L . Pour plus d’informations sur la commande, consultez Setspn.

Vérifiez que le connecteur est approuvé pour la délégation au SPN que vous avez ajouté(e) au compte de pool d’applications SharePoint

Configurez la délégation KCD afin que le service de proxy d’application Microsoft Entra puisse déléguer des identités d’utilisateur au compte de pool d’applications SharePoint. Configurez KCD en activant le connecteur de réseau privé pour récupérer des tickets Kerberos pour vos utilisateurs authentifiés dans l’ID Microsoft Entra. Puis ce serveur transmet le contexte à l’application cible (ici SharePoint).

Pour configurer la délégation KCD, suivez les étapes suivantes pour chaque ordinateur connecteur :

  1. Connectez-vous à un contrôleur de domaine en tant qu’administrateur de domaine, puis ouvrez Utilisateurs et ordinateurs Active Directory.

  2. Recherchez l’ordinateur exécutant le connecteur de réseau privé Microsoft Entra. Dans cet exemple, il s’agit de l’ordinateur qui exécute SharePoint Server.

  3. Double-cliquez sur l’ordinateur, puis sélectionnez l’onglet Délégation.

  4. Vérifiez que les options de délégation sont définies sur N’approuver cet ordinateur que pour la délégation aux services spécifiés. Ensuite, sélectionnez Utiliser n’importe quel protocole d’authentification.

  5. Cliquez sur le bouton Ajouter, sélectionnez Utilisateurs ou ordinateurs, puis recherchez le compte de pool d’applications SharePoint. Par exemple : Contoso\spapppool.

  6. Dans la liste SPN, sélectionnez celui que vous avez créé précédemment pour le compte de service.

  7. Sélectionnez OK, puis de nouveau OK pour enregistrer vos modifications.

    Capture d’écran de l’onglet Délégation montrant « Approuver cet ordinateur pour la délégation aux services spécifiés uniquement » et « Utiliser n’importe quel protocole d’authentification » sélectionné.

Vous êtes maintenant prêt à vous connecter à SharePoint à l’aide de l’URL externe et à vous authentifier auprès d’Azure.

Résoudre les erreurs de connexion

Si la connexion au site ne fonctionne pas, vous pouvez obtenir plus d’informations sur le problème dans les journaux du connecteur. À partir de l’ordinateur exécutant le connecteur, ouvrez l’observateur d’événements, accédez auxjournaux >des applications et des servicesMicrosoft >Entra private network>Connector, puis inspectez le journal d’administration.

Résoudre les problèmes d’erreur Kerberos BadGateway

Si vous voyez l’erreur BadGateway Incorrect Kerberos, exécutez les commandes suivantes dans Windows PowerShell au niveau du contrôleur de domaine, en tant qu’administrateur. Remplacez [servername] et [serviceaccount] par les valeurs réelles de votre environnement.

  1. $connector = Get-ADComputer -Identity "[servername]$"
  2. Set-ADUser -Identity "[serviceaccount]" -PrincipalsAllowedToDelegateToAccount $connector

Capture d’écran du message d’erreur indiquant « BadGateway : L’application d’entreprise n’est pas accessible » en raison d’une configuration de délégation Kerberos contrainte incorrecte.

Étapes suivantes

  • Last updated on