Delen via

Externe toegang tot SharePoint inschakelen met Microsoft Entra-toepassingsproxy

In deze stapsgewijze handleiding wordt uitgelegd hoe u een on-premises SharePoint-farm integreert met de Microsoft Entra-toepassingsproxy.

Voorwaarden

Voor het uitvoeren van de configuratie hebt u de volgende resources nodig:

  • Een SharePoint 2016-farm of nieuwer.
  • Een Microsoft Entra-tenant met een plan dat toepassingsproxy bevat. Meer informatie over Microsoft Entra ID-abonnementen en prijzen.
  • Een Microsoft Office Web Apps Server-farm om Office-bestanden correct te starten vanuit de on-premises SharePoint-farm.
  • Een aangepast, geverifieerd domein binnen de Microsoft Entra-tenant.
  • On-premises Active Directory-implementaties die zijn gesynchroniseerd met Microsoft Entra Connect, waarmee gebruikers zich kunnen aanmelden bij Azure.
  • Er is een privénetwerkconnector geïnstalleerd en uitgevoerd op een computer binnen het bedrijfsdomein.

Voor het configureren van SharePoint met toepassingsproxy zijn twee URL's vereist:

Belangrijk

Volg deze aanbevelingen voor de interne URL om ervoor te zorgen dat de links correct zijn gemapt:

  • Gebruik HTTPS.
  • Gebruik geen aangepaste poorten.
  • Maak een host (A record) in het Corporate Domain Name System (DNS), die verwijst naar de SharePoint Web Front End (of load balancer) en niet een alias (CName record).

In dit artikel worden de volgende waarden gebruikt:

  • Interne URL: https://sharepoint.
  • Externe URL: https://spsites-demo1984.msappproxy.net/.
  • Toepassingspoolaccount voor de SharePoint-webtoepassing: Contoso\spapppool.

Stap 1: Een toepassing configureren in Microsoft Entra-id die gebruikmaakt van de toepassingsproxy

In deze stap maakt u een toepassing in uw Microsoft Entra-tenant die gebruikmaakt van de toepassingsproxy. U stelt de externe URL in en geeft de interne URL op, die beide later in SharePoint worden gebruikt.

  1. Maak de app met de volgende instellingen. Zie Toepassingen publiceren met microsoft Entra-toepassingsproxyvoor stapsgewijze instructies.

    • Interne URL: interne SharePoint-URL die u later in SharePoint instelt, zoals https://sharepoint.
    • verificatie vooraf: Microsoft Entra ID.
    • URL's vertalen in headers: No.
    • URL’s vertalen inde hoofdtekst van de toepassing: No.

    Schermopname van proxy-instellingen voor Microsoft Entra-toepassingen met velden voor naam, interne URL, externe URL en pre-verificatie ingesteld op Microsoft Entra-id.

  2. Nadat u uw app hebt gepubliceerd, volgt u deze stappen om de instellingen voor eenmalige aanmelding te configureren.

    1. Selecteer op de toepassingspagina in de portal Eenmalige aanmelding.
    2. Selecteer voor modus voor eenmalige aanmeldingGeïntegreerde Windows-verificatie.
    3. Stel SPN (Internal Application Service Principal Name) in op de waarde die u eerder hebt ingesteld. In dit voorbeeld is de waarde HTTP/sharepoint.
    4. Selecteer onder Gedelegeerde aanmeldingsidentiteitde meest geschikte optie voor de configuratie van uw Active Directory-forest. Als u bijvoorbeeld één Active Directory-domein in uw forest hebt, selecteert u de naam van het on-premises SAM-account (zoals wordt weergegeven in de volgende schermopname). Als uw gebruikers zich echter niet in hetzelfde domein bevinden als SharePoint en de servers van de privénetwerkconnector, selecteert u on-premises user principal name (niet weergegeven in de schermafbeelding).

    Schermopname van het dialoogvenster Geïntegreerde Windows-verificatie configureren waarin SPN is ingesteld op HTTP/SharePoint en gedelegeerde aanmeldingsidentiteit ingesteld op on-premises SAM-accountnaam.

  3. Voltooi het instellen van uw toepassing, ga naar de sectie Gebruikers en groepen en wijs gebruikers toe voor toegang tot deze toepassing.

Stap 2: De SharePoint-webtoepassing configureren

U moet de SharePoint-webtoepassing configureren met Kerberos en de juiste alternatieve toegangstoewijzingen om correct te kunnen werken met de Microsoft Entra-toepassingsproxy. U hebt twee opties:

  • Maak een nieuwe webtoepassing en gebruik alleen de standaardzone. Gebruik de standaardzone voor de beste ervaring met SharePoint. Bijvoorbeeld, de koppelingen in e-mailwaarschuwingen die SharePoint genereert, verwijzen naar de standaardzone.
  • Breid een bestaande webtoepassing uit om Kerberos in een niet-standaardzone te configureren.

Belangrijk

Ongeacht de zone die u gebruikt, moet het account van de groep van toepassingen van de SharePoint-webtoepassing een domeinaccount zijn om Kerberos correct te laten werken.

De SharePoint-webtoepassing maken

  • In het script ziet u een voorbeeld van het maken van een nieuwe webtoepassing met behulp van de standaardzone. U wordt aangeraden de standaardzone te gebruiken.

    1. Start de SharePoint Management Shell en voer het script uit.

      # This script creates a web application and configures the Default zone with the internal/external URL needed to work with Azure AD application proxy
# Edit variables below to fit your environment. Note that the managed account must exist and it must be a domain account
$internalUrl = "https://sharepoint"
$externalUrl = "https://spsites-demo1984.msappproxy.net/"
$applicationPoolManagedAccount = "Contoso\spapppool"

$winAp = New-SPAuthenticationProvider -UseWindowsIntegratedAuthentication -DisableKerberos:$false
$wa = New-SPWebApplication -Name "SharePoint - AAD Proxy" -Port 443 -SecureSocketsLayer -URL $externalUrl -ApplicationPool "SharePoint - AAD Proxy" -ApplicationPoolAccount (Get-SPManagedAccount $applicationPoolManagedAccount) -AuthenticationProvider $winAp
New-SPAlternateURL -Url $internalUrl -WebApplication $wa -Zone Default -Internal

    2. Open de -site Centraal beheer van SharePoint.

    3. Selecteer onder SysteeminstellingenAlternatieve toegangstoewijzingen configureren. Het Alternatieve Toegangstoewijzingsverzameling vak wordt geopend.

    4. Filter de weergave met de nieuwe webtoepassing.

      Schermopname van de pagina Alternatieve toegangstoewijzingen met interne en openbare URL's voor de SharePoint-webtoepassing in de standaardzone.

  • Als u een bestaande webtoepassing uitbreidt naar een nieuwe zone.

    1. Start de SharePoint Management Shell en voer het volgende script uit.

      # This script extends an existing web application to Internet zone with the internal/external URL needed to work with Azure AD application proxy
# Edit variables below to fit your environment
$webAppUrl = "http://spsites/"
$internalUrl = "https://sharepoint"
$externalUrl = "https://spsites-demo1984.msappproxy.net/"

$winAp = New-SPAuthenticationProvider -UseWindowsIntegratedAuthentication -DisableKerberos:$false
$wa = Get-SPWebApplication $webAppUrl
New-SPWebApplicationExtension -Name "SharePoint - AAD Proxy" -Identity $wa -SecureSocketsLayer -Zone Extranet -Url $externalUrl -AuthenticationProvider $winAp
New-SPAlternateURL -Url $internalUrl -WebApplication $wa -Zone Extranet -Internal

    Open de -site Centraal beheer van SharePoint.

    1. Selecteer onder SysteeminstellingenAlternatieve toegangstoewijzingen configureren. Het Alternatieve Toegangstoewijzingsverzameling vak wordt geopend.

    2. Filter de weergave met de webtoepassing die u hebt uitgebreid.

      Schermopname van de pagina Alternatieve toegangstoewijzingen met interne en openbare URL's voor standaard- en extranetzones met SharePoint-webtoepassing geselecteerd.

Zorg ervoor dat de SharePoint-webtoepassing wordt uitgevoerd onder een domeinaccount

Voer de volgende stappen uit om het account te identificeren waarop de groep van toepassingen van de SharePoint-webtoepassing wordt uitgevoerd en om ervoor te zorgen dat het een domeinaccount is:

  1. Open de -site Centraal beheer van SharePoint.

  2. Ga naar Security en selecteer Het configureren van serviceaccounts.

  3. Selecteer webtoepassingsgroep - YourWebApplicationName.

    Schermopname van het dialoogvenster voor het selecteren van serviceaccounts met Web Application Pool - SharePoint 80 en de vervolgkeuzelijst voor domeinaccounts.

  4. Controleer of Selecteer een account voor dit onderdeel een domeinaccount retourneert en onthoud dit, omdat u dit in de volgende stap gebruikt.

Zorg ervoor dat een HTTPS-certificaat is geconfigureerd voor de IIS-site van de extranetzone

Omdat de interne URL gebruikmaakt van het HTTPS-protocol (https://SharePoint/), moet u een certificaat instellen op de IIS-site (Internet Information Services).

  1. Open de Windows PowerShell-console.

  2. Voer het volgende script uit om een zelfondertekend certificaat te genereren en toe te voegen aan de MY storevan de computer.

    # Replace "SharePoint" with the actual hostname of the Internal URL of your Azure AD proxy application
New-SelfSignedCertificate -DnsName "SharePoint" -CertStoreLocation "cert:\LocalMachine\My"

    Belangrijk

    Zelfondertekende certificaten zijn alleen geschikt voor testdoeleinden. Gebruik in productieomgevingen in plaats daarvan certificaten die zijn uitgegeven door een certificeringsinstantie.

  3. Open de Internet Information Services Manager-beheerconsole.

  4. Vouw de server uit in de structuurweergave, vouw Sitesuit, selecteer de SharePoint - Microsoft Entra ID Proxy site en selecteer Bindingen.

  5. Selecteer https-binding en selecteer vervolgens bewerken.

  6. Kies in het certificaatveld Transport Layer Security (TLS) het SharePoint-certificaat en selecteer vervolgens OK.

U kunt nu extern toegang krijgen tot de SharePoint-site via de Microsoft Entra-toepassingsproxy.

Stap 3: Beperkte Kerberos-delegering configureren

Gebruikers verifiëren zich in eerste instantie in Microsoft Entra-id en vervolgens bij SharePoint met behulp van Kerberos via de privénetwerkconnector van Microsoft Entra. Als u wilt dat de connector namens de Microsoft Entra-gebruiker een Kerberos-token kan verkrijgen, moet u KCD (Beperkte Kerberos-delegering) configureren met protocolovergang. Zie het overzicht van beperkte Kerberos-delegering voor meer informatie over KCD.

De SPN (Service Principal Name) instellen voor het SharePoint-serviceaccount

In dit artikel wordt de interne URL https://sharepointen is de SPN (Service Principal Name) dus HTTP/sharepoint. Vervang deze waarden door de waarden die overeenkomen met uw omgeving. Als u SPN-HTTP/sharepoint wilt registreren voor het account van de SharePoint-toepassingsgroep Contoso\spapppool, voert u de volgende opdracht uit vanaf een opdrachtprompt, als beheerder van het domein:

setspn -S HTTP/sharepoint Contoso\spapppool

De opdracht Setspn zoekt naar de SPN voordat deze wordt toegevoegd. Als de SPN al bestaat, ziet u een dubbele SPN-waarde fout. Verwijder de bestaande SPN. Controleer of de SPN is toegevoegd door de opdracht Setspn uit te voeren met de optie -L. Zie Setspn voor meer informatie over de opdracht.

Zorg ervoor dat de connector wordt vertrouwd voor delegatie naar de SPN die u hebt toegevoegd aan het SharePoint-applicatiepoolaccount.

Configureer de KCD zodat de Microsoft Entra-toepassingsproxy-service gebruikersidentiteiten kan delegeren aan het account van de SharePoint-applicatiepool. Configureer KCD door de connector voor het privénetwerk in te schakelen om Kerberos-tickets op te halen voor uw gebruikers die zijn geverifieerd in Microsoft Entra-id. Vervolgens geeft die server de context door aan de doeltoepassing (in dit geval SharePoint).

Volg deze stappen voor elke connectorcomputer om de KCD te configureren:

  1. Meld u als domeinbeheerder aan bij een domeincontroller en open vervolgens Active Directory: gebruikers en computers.

  2. Zoek de computer waarop de Microsoft Entra-connector voor het privénetwerk draait. In dit voorbeeld is het de computer waarop SharePoint Server wordt uitgevoerd.

  3. Dubbelklik op de computer en selecteer vervolgens het tabblad Delegering.

  4. Zorg ervoor dat de delegeringsopties zijn ingesteld op Vertrouw deze computer alleen voor delegering aan de opgegeven services. Selecteer vervolgens Gebruik elk verificatieprotocol.

  5. Selecteer de knop Toevoegen, selecteer Gebruikers of Computersen zoek het SharePoint applicatiepoolaccount. Bijvoorbeeld: Contoso\spapppool.

  6. Selecteer in de SPN-lijst het account dat u eerder hebt gemaakt voor het serviceaccount.

  7. Selecteer OK- en selecteer vervolgens OK opnieuw om uw wijzigingen op te slaan.

    Schermopname van het tabblad Delegatie met 'Deze computer vertrouwen voor delegering aan alleen opgegeven services' en 'Elk verificatieprotocol gebruiken' geselecteerd.

U bent nu klaar om u aan te melden bij SharePoint met behulp van de externe URL en om te verifiëren met Azure.

Aanmeldingsfouten oplossen

Als aanmelden bij de site niet werkt, kunt u meer informatie krijgen over het probleem in de connectorlogboeken. Open de logboeken op de computer waarop de connector wordt uitgevoerd, ga naar Toepassingen en Services-logboeken>Microsoft>Entra Private Network>Connector en inspecteer het Beheerlogboek.

Probleemoplossing voor BadGateway Kerberos-fout

Als u de fout BadGateway Incorrect Kerberos ziet, voert u de volgende opdrachten uit in Windows PowerShell op de domeincontroller als beheerder. Vervang en [servername] door [serviceaccount] de werkelijke waarden uit uw omgeving.

  1. $connector = Get-ADComputer -Identity "[servername]$"
  2. Set-ADUser -Identity "[serviceaccount]" -PrincipalsAllowedToDelegateToAccount $connector

Schermopname van het foutbericht met de melding 'BadGateway: De bedrijfs-app kan niet worden geopend' vanwege een onjuiste kerberos-configuratie van beperkte delegatie.

Volgende stappen

  • Last updated on