Configurar a autenticação baseada em servidor com o SharePoint local
A integração baseada em servidor do SharePoint para gerenciamento de documentos pode ser usada para conectar aplicativos do Customer Engagement (Dynamics 365 Sales, Dynamics 365 Customer Service, Dynamics 365 Field Service, Dynamics 365 Marketing e Dynamics 365 Project Service Automation), com o SharePoint local. Ao usar a autenticação baseada no servidor, os Serviços de Domínio do Microsoft Entra são usados como agente confiável e os usuários não precisam entrar no SharePoint.
Permissões necessárias
As seguintes associações e privilégios são necessários para habilitar o gerenciamento de documento do SharePoint.
Microsoft 365 Associação de administrador global - isso é necessário para:
- Acesso de nível administrativo à subscrição Microsoft 365.
- Executando Habilitação do assistente para Autenticação baseada no Servidor.
- Executando os cmdlets do AzurePowerShell.
Privilégio do Power Apps Executar Assistente de Integração do SharePoint. Isso é necessário para executar o assistente de Habilitar a Autenticação Baseada em Servidor.
Por padrão, o direito de acesso Administrador do Sistema tem esse privilégio.
Para integração local do SharePoint, associação ao grupo de Administradores do grupo do SharePoint. É necessário para executar a maioria dos comandos do PowerShell no servidor do SharePoint.
Configurar a autenticação de servidor para servidor com o SharePoint local
Siga as etapas na ordem apresentada para configurar os aplicativos de engajamento do cliente com o SharePoint 2013 local.
Importante
As etapas descritas a seguir devem ser realizadas na ordem apresentada. Se uma tarefa não for concluída, como um comando do PowerShell que retorne uma mensagem de erro, o problema deverá ser solucionado antes de você prosseguir para o próximo comando, tarefa ou etapa.
Verificar os pré-requisitos
Para configurar os aplicativos do Customer Engagement e SharePoint local para a autenticação baseada em servidor, os pré-requisitos a seguir devem ser atendidos:
Pré-requisitos do SharePoint
SharePoint 2013 (local) com Service Pack 1 (SP1) ou versão posterior
Importante
As versões do SharePoint Foundation 2013 não têm suporte para uso com o gerenciamento de documentos dos aplicativos do Customer Engagement.
Instale a atualização cumulativa (CU) de abril de 2019 para a família de produtos SharePoint 2013. Essa CU de abril de 2019 inclui todas as correções do SharePoint 2013 (incluindo todas as correções de segurança do SharePoint 2013) lançadas desde o SP1. A CU de abril de 2019 não inclui o SP1. Você precisará instalar o SP1 antes de instalar a CU de abril de 2019. Mais informações: KB4464514 SharePoint Server 2013 abril 2019 CU
Configuração do SharePoint
Se você usar o SharePoint 2013 para cada unidade do SharePoint, apenas uma organização do aplicativo de engajamento do cliente poderá ser configurada para integração baseada em servidor.
O site do SharePoint deve estar acessível pela Internet. Um proxy reverso também pode ser necessário para a autenticação do SharePoint. Mais informações: Configurar um dispositivo de proxy reverso para um híbrido do SharePoint Server 2013
O site do SharePoint deve ser configurado para usar SSL (HTTPS) na porta TCP 443 (não há suporte para portas personalizadas) e o certificado deve ser emitido por uma Autoridade de Certificação de raiz pública. Mais informações: SharePoint: sobre certificados do SSL de Canal Seguro
Uma propriedade de usuário confiável para uso para mapeamento da autenticação baseada em declarações entre o SharePoint e os aplicativos do Customer Engagement. Mais informações: Selecionando um tipo de mapeamento de declarações
Para o compartilhamento de documentos, o serviço de pesquisa do SharePoint deve estar habilitado. Mais informações: Criar e configurar um aplicativo de serviço de Pesquisa no SharePoint Server
Para a funcionalidade de gerenciamento de documentos ao usar os aplicativos móveis do Dynamics 365, o servidor do SharePoint local deve estar disponível na Internet.
Outros pré-requisitos
SharePoint, licença online. A autenticação local baseada em servidor dos aplicativos do Customer Engagement para SharePoint deve ter o SPN (nome da entidade de serviço) do SharePoint registrado no Microsoft Entra ID. Para conseguir isso, pelo menos uma licença de usuário online do SharePoint é necessária. A licença do SharePoint online pode derivar de uma única licença de usuário e costuma ser obtida da seguinte forma:
Uma assinatura do SharePoint Online. Qualquer plano do SharePoint online é suficiente, mesmo que a licença não seja atribuída a um usuário.
Uma assinatura do Microsoft 365 que inclua o SharePoint online. Por exemplo, se tiver o Microsoft 365 E3, você terá o licenciamento adequado, mesmo que a licença não seja atribuída a um usuário.
Para obter mais informações sobre esses planos, consulte Encontrar a solução certa para você e Comparar opções do SharePoint
Os seguintes recursos de software são necessários para a execução dos cmdlets do PowerShell descritos neste tópico.
Microsoft Serviços Online Sign-In #glsr_cfighiebz para profissionais de TI Beta
Para instalar o módulo do MSOnlineExt, insira o seguinte comando em uma sessão PowerShell de administrador.
PS> Install-Module -Name "MSOnlineExt"
Importante
No momento em que este artigo foi escrito, There era um problema com a versão RTW do Microsoft Login de serviços online There para profissionais de TI. Quando o problema for resolvido, será recomendável usar a versão Beta. Mais informações: Fóruns do Microsoft Azure: Não é Possível instalar o Módulo do Microsoft Entra para Windows PowerShell. O MOSSIA não está instalado.
Um tipo de mapeamento da autenticação baseada em declarações adequado ao uso de identidades de mapeamento entre os aplicativos do Customer Engagement e o SharePoint local. Por padrão, o endereço de email é usado. Mais informações: Conceder permissão aos aplicativos do Customer Engagement para acessar o SharePoint e configurar o mapeamento da autenticação baseada em declarações
Atualizar o SPN do Servidor do SharePoint nos Serviços de Domínio do Microsoft Entra
No servidor do SharePoint local, no Shell de Gerenciamento do SharePoint 2013, execute estes comandos do PowerShell na ordem determinada.
Prepare a sessão do PowerShell.
Os cmdlets a seguir permitem que o computador receba comandos remotos e adicionam módulos do Microsoft 365 à sessão do PowerShell. Para obter mais informações sobre esses cmdlets, consulte Cmdlets fundamentais do Windows PowerShell.
Enable-PSRemoting -force New-PSSession Import-Module MSOnline -force Import-Module MSOnlineExtended -force
Conecte-se ao Microsoft 365.
Ao executar o comando Connect-MsolService, você deve fornecer uma conta válida Microsoft que tenha associação de administrador global para a SharePoint licença online necessária.
Para obter informações detalhadas sobre cada um dos comandos do PowerShell Microsoft Entra ID listados aqui, consulte Gerenciar Microsoft Entra usando Windows PowerShell
$msolcred = get-credential connect-msolservice -credential $msolcred
Defina o nome de host do SharePoint.
O valor a ser definido para a variável HostName deve ser o nome de host completo do conjunto de sites do SharePoint. O nome de host deve derivar do URL do conjunto de sites e fazer distinção entre maiúsculas e minúsculas. Neste exemplo, a URL do conjunto de sites é
<https://SharePoint.constoso.com/sites/salesteam>
, então o nome do host é SharePoint.contoso.com.$HostName = "SharePoint.contoso.com"
Obtenha a id (locatário) do objeto do Microsoft 365 e o SPN (Nome da Entidade de Serviço) do servidor do SharePoint.
$SPOAppId = "00000003-0000-0ff1-ce00-000000000000" $SPOContextId = (Get-MsolCompanyInformation).ObjectID $SharePoint = Get-MsolServicePrincipal -AppPrincipalId $SPOAppId $ServicePrincipalName = $SharePoint.ServicePrincipalNames
Defina o Nome da Entidade de Serviço do Servidor do SharePoint no Microsoft Entra ID.
$ServicePrincipalName.Add("$SPOAppId/$HostName") Set-MsolServicePrincipal -AppPrincipalId $SPOAppId -ServicePrincipalNames $ServicePrincipalName
Após a conclusão desses comandos, não feche o Shell de Gerenciamento do SharePoint 2013 e continue na próxima etapa.
Atualize o realm do SharePoint para corresponder àquele do SharePoint On-line
No servidor local do SharePoint, no Shell de Gerenciamento do SharePoint 2013, execute este comando do Windows PowerShell.
O comando a seguir exige a associação de administrador de farm do SharePoint e define o realm de autenticação do farm do SharePoint local.
Cuidado
A execução deste comando altera o realm de autenticação do farm do SharePoint local. Para aplicativos que usam um STS (serviço de token de segurança) existente, isso poderá causar um comportamento inesperado com outros aplicativos que usem tokens de acesso. Mais informações: Set-SPAuthenticationRealm.
Set-SPAuthenticationRealm -Realm $SPOContextId
Criar um emissor de token de segurança confiável para o Microsoft Entra ID no SharePoint
No servidor do SharePoint local, no Shell de Gerenciamento do SharePoint 2013, execute estes comandos do PowerShell na ordem determinada.
Os comandos a seguir exigem a associação de administrador de farm do SharePoint.
Para obter informações detalhadas sobre esses comandos do PowerShell, consulte Usar cmdlets do Windows PowerShell para administrar segurança no SharePoint 2013.
Habilite a sessão do PowerShell para fazer alterações no serviço de token de segurança para o farm do SharePoint.
$c = Get-SPSecurityTokenServiceConfig $c.AllowMetadataOverHttp = $true $c.AllowOAuthOverHttp= $true $c.Update()
Defina o ponto de extremidade dos metadados.
$metadataEndpoint = "https://accounts.accesscontrol.windows.net/" + $SPOContextId + "/metadata/json/1" $acsissuer = "00000001-0000-0000-c000-000000000000@" + $SPOContextId $issuer = "00000007-0000-0000-c000-000000000000@" + $SPOContextId
Criar o novo proxy de aplicativo do serviço de controle de token no Microsoft Entra ID.
New-SPAzureAccessControlServiceApplicationProxy -Name "Internal" -MetadataServiceEndpointUri $metadataEndpoint -DefaultProxyGroup
Observação
O comando
New- SPAzureAccessControlServiceApplicationProxy
pode retornar uma mensagem de erro informando que um proxy de aplicativo com o mesmo nome já existe. Se o proxy de aplicativos chamado já existir, você poderá ignorar o erro.Crie o novo emissor do serviço de controle de token no SharePoint local para o Microsoft Entra ID.
$acs = New-SPTrustedSecurityTokenIssuer –Name "ACSInternal" –IsTrustBroker:$true –MetadataEndpoint $metadataEndpoint -RegisteredIssuerName $acsissuer
Conceder permissão aos aplicativos do Customer Engagement para acessar o SharePoint e configurar o mapeamento da autenticação baseada em declarações
No servidor do SharePoint local, no Shell de Gerenciamento do SharePoint 2013, execute estes comandos do PowerShell na ordem determinada.
Os comandos a seguir exigem a associação de administração de conjunto de sites do SharePoint.
Registre os aplicativos do Customer Engagement no conjunto de sites do SharePoint.
Insira a URL do conjunto de sites do SharePoint local. Neste exemplo, https://sharepoint.contoso.com/sites/crm/ é usado.
Importante
Para concluir esse comando, o Proxy de Aplicativo de Serviço de Gerenciamento de Aplicativos do SharePoint deverá existir e estar em execução. Para obter mais informações sobre como iniciar e configurar o serviço, consulte o subtópico Definir as Configurações de Assinatura e os Aplicativos de Serviço de Gerenciamento de Aplicativos em Configurar um ambiente para aplicativos do SharePoint (SharePoint 2013).
$site = Get-SPSite "https://sharepoint.contoso.com/sites/crm/" Register-SPAppPrincipal -site $site.RootWeb -NameIdentifier $issuer -DisplayName "crm"
Conceda aos aplicativos do Customer Engagement acesso ao SharePoint local. Substitua https://sharepoint.contoso.com/sites/crm/ por seu URL do site do SharePoint.
Nota
No exemplo a seguir, é concedida permissão ao aplicativo do Customer Engagement para o conjunto de sites do especificado SharePoint usando o parâmetro de conjunto de sites –Scope. O parâmetro de escopo aceita as seguintes opções. Escolha o escopo que seja mais apropriado para sua configuração do SharePoint.
site
. Concede aos aplicativos do Customer Engagement permissão somente ao site especificado do SharePoint. Não concede permissão a nenhum subsite no site nomeado.sitecollection
. Concede permissão aos aplicativos do Customer Engagement para todos os sites e subsites dentro do conjunto de sites especificado do SharePoint.sitesubscription
. Concede a permissão dos aplicativos do Customer Engagement para todos os sites na farm do SharePoint, incluindo todos os conjuntos de sites, os sites e os subsites.
$app = Get-SPAppPrincipal -NameIdentifier $issuer -Site "https://sharepoint.contoso.com/sites/crm/" Set-SPAppPrincipalPermission -AppPrincipal $app -Site $site.Rootweb -Scope "sitecollection" -Right "FullControl"
Defina o tipo de mapeamento de autenticação baseada em declarações.
Importante
Por padrão, a autenticação baseada em declarações mapeamento usará o Microsoft endereço de e-mail da conta do usuário e o SharePoint local endereço de e-mail de trabalho do usuário para mapeamento. Quando você usar isso, os endereços de email do usuário deverão corresponder entre os dois sistemas. Para obter mais informações, consulte Selecionar um tipo de mapeamento de autenticação baseado em declarações.
$map1 = New-SPClaimTypeMapping -IncomingClaimType "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress" -IncomingClaimTypeDisplayName "EmailAddress" -SameAsIncoming
Executar o assistente Habilitar integração do SharePoint baseada em servidor
Siga as etapas a seguir:
Verifique se você tem a permissão apropriada para executar o assistente. Mais informações: Permissões necessárias
Vá para Configurações>Gerenciamento de Documentos.
Na área Gerenciamento de Documentos, clique em Habilitar integração do SharePoint baseada no servidor.
Analise as informações e clique em Avançar.
Para os locais do SharePoint, clique em Locais e, em seguida, em Avançar.
Insira a URL do conjunto de sites do SharePoint, por exemplo, https://sharepoint.contoso.com/sites/crm. O site já deverá estar configurado para SSL.
Clique em Avançar.
A seção para validar sites aparece. Se todos os sites forem determinados como válidos, clique em Habilitar. Se um ou mais locais são determinados válidos, consulte Solução de problemas da autenticação baseada no servidor.
Selecionar as entidades que você deseja incluir no gerenciamento de documentos
Por padrão, as entidades Conta, Artigo, Lead, Produto, Cotação e Especificações são incluídas. Você pode adicionar ou remover as entidades que serão usadas para gerenciamento de documentos com o SharePoint em Configurações de Gerenciamento de Documentos. Vá para Configurações>Gerenciamento de Documentos. Mais informações: Habilitar o gerenciamento de documentos em entidades
Adicionar a integração com o OneDrive for Business
Depois de concluir os aplicativos do Customer Engagement e a configuração de autenticação baseada em servidor local do SharePoint, você também pode integrar o OneDrive for Business. Com a integração do OneDrive de negócios e dos aplicativos do Customer Engagement, os usuários podem criar e gerenciar documentos privados usando o OneDrive for Business. Esses documentos podem ser acessados uma vez que o administrador do sistema tiver habilitado o OneDrive for Business.
Habilitar o OneDrive for Business
No Windows Server onde o SharePoint Server local está sendo executado, abra o Shell de Gerenciamento do SharePoint e execute os comandos a seguir:
Add-Pssnapin *
# Access WellKnown App principal
[Microsoft.SharePoint.Administration.SPWebService]::ContentService.WellKnownAppPrincipals
# Create WellKnown App principal
$ClientId = "00000007-0000-0000-c000-000000000000"
$PermissionXml = "<AppPermissionRequests AllowAppOnlyPolicy=""true""><AppPermissionRequest Scope=""http://sharepoint/content/tenant"" Right=""FullControl"" /><AppPermissionRequest Scope=""http://sharepoint/social/tenant"" Right=""Read"" /><AppPermissionRequest Scope=""http://sharepoint/search"" Right=""QueryAsUserIgnoreAppPrincipal"" /></AppPermissionRequests>"
$wellKnownApp= New-Object -TypeName "Microsoft.SharePoint.Administration.SPWellKnownAppPrincipal" -ArgumentList ($ClientId, $PermissionXml)
$wellKnownApp.Update()
Selecionando um tipo de mapeamento de autenticação baseada em declarações
Por padrão, a autenticação baseada em declarações mapeamento usará o endereço de e-mail da conta do usuário Microsoft e o endereço de e-mail de trabalho do usuário SharePoint local para mapeamento. Observe que, seja qual for o tipo de autenticação baseada em declarações usado, os valores, como endereços de email, devem ser iguais nos aplicativos de envolvimento de clientes e no SharePoint. A sincronização de diretório do Microsoft 365 pode ajudar. Mais informações: Implantar a Sincronização de Diretório do Microsoft 365 no Microsoft Azure. Para usar um tipo diferente de mapeamento da autenticação baseada em declarações, consulte Definir mapeamento de declarações personalizadas para integração baseada em servidor com o SharePoint.
Importante
Para habilitar a propriedade Email de trabalho, o SharePoint local deverá ter um Aplicativo de Serviço de Perfil de Usuário configurado e iniciado. Para habilitar um Aplicativo de Serviço de Perfil de Usuário no SharePoint, consulte Criar, editar ou excluir aplicativos de serviço de Perfil de Usuário no SharePoint Server 2013. Para fazer alterações em uma propriedade de usuário, como Email de trabalho, consulte Editar uma propriedade de perfil de usuário. Para obter mais informações sobre o Aplicativo de Serviço de Perfil de Usuário, consulte Visão geral do aplicativo de serviço Perfil de Usuário no SharePoint Server 2013.
Consulte também
Solução de problemas de autenticação baseada em servidor
Configurar SharePoint integração com aplicativos de engajamento do cliente