Habilitar acesso remoto ao SharePoint com o proxy de aplicativo do Microsoft Entra

Este guia passo a passo explica como integrar um farm do SharePoint local ao proxy de aplicativo do Microsoft Entra.

Pré-requisitos

Para executar a configuração, você precisará dos seguintes recursos:

Um farm do SharePoint 2016 ou mais recente.
Um locatário do Microsoft Entra com um plano que inclui um proxy de aplicativo. Saiba mais sobre os planos e os preços do Microsoft Entra ID.
Um farm de servidores de Aplicativos Web do Microsoft Office para iniciar corretamente os arquivos do farm do SharePoint local.
Um domínio personalizado e verificado no locatário do Microsoft Entra.
Implantações locais do Active Directory sincronizadas com o Microsoft Entra Connect, por meio das quais os usuários podem entrar no Azure.
Um conector de rede privado instalado e em execução em um computador dentro do domínio corporativo.

Configurar o SharePoint com o proxy de aplicativo requer duas URLs:

Uma URL externa, visível para os usuários finais e determinada no Microsoft Entra ID. Essa URL pode usar um domínio personalizado. Saiba mais sobre como trabalhar com domínios personalizados no proxy de aplicativo do Microsoft Entra ID.
Uma URL interna, conhecida apenas dentro do domínio corporativo e nunca usada diretamente.

Importante

Para verificar se os links estão mapeados corretamente, siga estas recomendações para a URL interna:

Use o HTTPS.
Não use portas personalizadas.
Crie um host (A registro) no DNS (Sistema de Nomes de Domínio corporativo) que aponte para o WFE (SharePoint Web Front End) (ou balanceador de carga) e não um alias (CName registro).

Este artigo usa os seguintes valores:

URL interna: https://sharepoint.
URL externa: https://spsites-demo1984.msappproxy.net/.
Conta do pool de aplicativos para o aplicativo Web do SharePoint: Contoso\spapppool.

Etapa 1: Configurar um aplicativo no Microsoft Entra ID que utiliza o proxy de aplicações.

Nesta etapa, crie um aplicativo em seu locatário do Microsoft Entra que use o proxy de aplicativo. Você definirá a URL externa e especificará a URL interna, ambas usadas posteriormente no SharePoint.

Crie o aplicativo com as seguintes configurações. Para obter instruções passo a passo, consulte Publicar aplicativos usando o proxy de aplicativo do Microsoft Entra.
- URL interna: URL interna do SharePoint definida posteriormente no SharePoint, como https://sharepoint.
- Pré-autenticação: Microsoft Entra ID.
- Converter URLs em cabeçalhos: No.
- Converter URLs em corpo de aplicativo: No.
Depois de publicar seu aplicativo, siga estas etapas para definir as configurações de logon único.
1. Na página do aplicativo no portal, selecione Autenticação única.
2. Para o Modo de Logon Único, selecione Autenticação Integrada do Windows.
3. Defina o SPN (Nome da Entidade de Serviço) do Aplicativo Interno para o valor que você definiu anteriormente. Neste exemplo, o valor é HTTP/sharepoint.
4. Em Identidade de Logon Delegada, selecione a opção mais adequada para a configuração da floresta do Active Directory. Por exemplo, se você tiver um único domínio do Active Directory em sua floresta, selecione o nome da conta SAM local (conforme mostrado na captura de tela a seguir). Mas se os usuários não estiverem no mesmo domínio que o SharePoint e os servidores do conector rede privada, selecione Nome UPN local (não mostrado na captura de tela).
Conclua a configuração do aplicativo, vá para a seção Usuários e grupos e atribua usuários para acessar este aplicativo.

Etapa 2: configurar o aplicativo Web do SharePoint

Você deve configurar o aplicativo Web do SharePoint com Kerberos e os mapeamentos de acesso alternativos apropriados para funcionar corretamente com o proxy de aplicativo do Microsoft Entra. Você tem duas opções:

Crie um novo aplicativo Web e use apenas a zona padrão . Use a zona padrão para obter a melhor experiência com o SharePoint. Por exemplo, os links em alertas de email gerados pelo SharePoint apontam para a zona padrão .
Estenda um aplicativo Web existente para configurar Kerberos em uma zona não padrão.

Importante

Independentemente da zona usada, a conta do pool de aplicativos do aplicativo Web do SharePoint deve ser uma conta de domínio para o Kerberos funcionar corretamente.

Criar o aplicativo Web do SharePoint

O script mostra um exemplo de criação de um novo aplicativo Web usando a zona padrão . Recomendamos que você use a zona padrão.

Inicie o Shell de Gerenciamento do SharePoint e execute o script.

# This script creates a web application and configures the Default zone with the internal/external URL needed to work with Azure AD application proxy
# Edit variables below to fit your environment. Note that the managed account must exist and it must be a domain account
$internalUrl = "https://sharepoint"
$externalUrl = "https://spsites-demo1984.msappproxy.net/"
$applicationPoolManagedAccount = "Contoso\spapppool"

$winAp = New-SPAuthenticationProvider -UseWindowsIntegratedAuthentication -DisableKerberos:$false
$wa = New-SPWebApplication -Name "SharePoint - AAD Proxy" -Port 443 -SecureSocketsLayer -URL $externalUrl -ApplicationPool "SharePoint - AAD Proxy" -ApplicationPoolAccount (Get-SPManagedAccount $applicationPoolManagedAccount) -AuthenticationProvider $winAp
New-SPAlternateURL -Url $internalUrl -WebApplication $wa -Zone Default -Internal

Abra o site da Administração Central do SharePoint.
Em Configurações do Sistema, selecione Configurar Mapeamentos Alternativos de Acesso. A caixa Coleção de Mapeamentos Alternativos de Acesso será aberta.
Filtre a exibição com o novo aplicativo Web.

Se você estender um aplicativo Web existente para uma nova zona.

Inicie o Shell de Gerenciamento do SharePoint e execute o script a seguir.

# This script extends an existing web application to Internet zone with the internal/external URL needed to work with Azure AD application proxy
# Edit variables below to fit your environment
$webAppUrl = "http://spsites/"
$internalUrl = "https://sharepoint"
$externalUrl = "https://spsites-demo1984.msappproxy.net/"

$winAp = New-SPAuthenticationProvider -UseWindowsIntegratedAuthentication -DisableKerberos:$false
$wa = Get-SPWebApplication $webAppUrl
New-SPWebApplicationExtension -Name "SharePoint - AAD Proxy" -Identity $wa -SecureSocketsLayer -Zone Extranet -Url $externalUrl -AuthenticationProvider $winAp
New-SPAlternateURL -Url $internalUrl -WebApplication $wa -Zone Extranet -Internal

Abra o site da Administração Central do SharePoint.

Em Configurações do Sistema, selecione Configurar Mapeamentos Alternativos de Acesso. A caixa Coleção de Mapeamentos Alternativos de Acesso será aberta.
Filtre a exibição com o aplicativo Web que você estendeu.

Verificar se o aplicativo Web do SharePoint está em execução em uma conta de domínio

Para identificar a conta que executa o pool de aplicativos do aplicativo Web do SharePoint e verificar se ela é uma conta de domínio, siga estas etapas:

Abra o site da Administração Central do SharePoint.
Vá para Segurança e selecione Configurar contas de serviço.
Selecione Pool de aplicativos Web – YourWebApplicationName.
Confirme se Selecionar uma conta para esse componente retorna uma conta de domínio e lembre-se dela, já que você a usará na próxima etapa.

Verifique se um certificado HTTPS está configurado para o site do IIS da zona de extranet

Como a URL interna usa o protocolo HTTPS (https://SharePoint/), você deve definir um certificado no site do IIS (Serviços de Informações da Internet).

Abra o console do Windows PowerShell.
Execute o script a seguir para gerar um certificado autoassinado e adicioná-lo ao computador MY store.
```
# Replace "SharePoint" with the actual hostname of the Internal URL of your Azure AD proxy application
New-SelfSignedCertificate -DnsName "SharePoint" -CertStoreLocation "cert:\LocalMachine\My"
```
Importante

Os certificados autoassinados são adequados somente para fins de teste. Em ambientes de produção, use certificados emitidos por uma autoridade de certificação.
Abra o console do Gerenciador dos Serviços de Informações da Internet.
Expanda o servidor no modo de exibição de árvore, expanda Sites, selecione o site SharePoint – Proxy do Microsoft Entra ID e selecione Associações.
Selecione Associação HTTPS e depois Editar.
No campo de certificado TLS (Transport Layer Security), escolha o certificado do SharePoint e selecione OK.

Agora você pode acessar o site do SharePoint externamente por meio do proxy de aplicativo do Microsoft Entra.

Etapa 3: configurar a delegação restrita de Kerberos

Os usuários inicialmente se autenticam na ID do Microsoft Entra e, em seguida, no SharePoint usando Kerberos por meio do conector de rede privada do Microsoft Entra. Para permitir que o conector obtenha um token Kerberos em nome do usuário do Microsoft Entra, você deve configurar a KCD (Delegação Restrita do Kerberos) com a transição de protocolo. Para obter mais informações sobre o KCD, consulte Kerberos Constrained Delegation overview.

Definir o SPN (Nome da Entidade de Serviço) para a conta de serviço do SharePoint

Neste artigo, a URL interna é https://sharepoint e, portanto, o SPN (nome da entidade de serviço) é HTTP/sharepoint. Substitua esses valores pelos valores que correspondem ao seu ambiente. Para registrar o SPN HTTP/sharepoint para a conta do pool de aplicativos do SharePoint Contoso\spapppool, execute o seguinte comando em um prompt de comando, como administrador do domínio:

setspn -S HTTP/sharepoint Contoso\spapppool

O comando Setspn pesquisa pelo SPN antes de adicioná-lo. Se o SPN já existir, você verá um erro de Valor de SPN duplicado. Remover o SPN existente. Verifique se o SPN foi adicionado com êxito executando o Setspn comando com a opção -L . Para obter mais informações sobre o comando, consulte Setspn.

Verifique se o conector é confiável para delegação ao SPN que você adicionou à conta do pool de aplicativos do SharePoint

Configure a KCD para que o serviço proxy de aplicativo do Microsoft Entra seja capaz de delegar identidades do usuário à conta do pool de aplicativos do SharePoint. Configure o KCD habilitando o conector de rede privada para recuperar tíquetes Kerberos para os usuários autenticados no Microsoft Entra ID. Em seguida, esse servidor passa o contexto ao aplicativo de destino (SharePoint nesse caso).

Para configurar o KCD, siga estas etapas para cada computador do conector:

Entre como administrador de domínio em um controlador de domínio e abra Usuários e Computadores do Active Directory.
Localize o computador que executa o conector de rede privada do Microsoft Entra. Neste exemplo, é o computador que está executando o SharePoint Server.
Clique duas vezes no computador e selecione a guia Delegação.
Verifique se as opções de delegação estão definidas como Confiar neste computador para delegação somente para os serviços especificados. Em seguida, selecione Usar qualquer protocolo de autenticação.
Selecione o botão Adicionar, selecione Usuários ou Computadores e localize a conta do pool de aplicativos do SharePoint. Por exemplo: Contoso\spapppool.
Na lista de SPNs, selecione aquele que você criou anteriormente para a conta de serviço.
Selecione OK e, em seguida, selecione OK novamente para salvar suas alterações.

Agora você está pronto para entrar no SharePoint usando a URL externa e autenticar com o Azure.

Se a entrada no site não estiver funcionando, você poderá obter mais informações sobre o problema nos logs do Conector. No computador que executa o conector, abra o visualizador de eventos, vá para Aplicativos e Logs de Serviços>Microsoft>Microsoft Entra rede privada>Conector e inspecione o log de Admin.

Solucionar problemas de erro do BadGateway Kerberos

Se você vir o erro BadGateway Incorrect Kerberos, execute os seguintes comandos no Windows PowerShell no controlador de domínio, como administrador. Substitua [servername] e [serviceaccount] pelos valores reais do seu ambiente.

$connector = Get-ADComputer -Identity "[servername]$"
Set-ADUser -Identity "[serviceaccount]" -PrincipalsAllowedToDelegateToAccount $connector

Próximas etapas

Comentários

Esta página foi útil?

Last updated on 2025-12-12