Configurar a autenticação baseada no servidor com o SharePoint no local

A integração do SharePoint baseada em servidor para a gestão de documentos pode ser utilizada para ligar as aplicações de interação com os clientes (Dynamics 365 Sales, Dynamics 365 Customer Service, Dynamics 365 Field Service, Dynamics 365 Marketing, and Dynamics 365 Project Service Automation), com o SharePoint no local. Quando utiliza a autenticação baseada no servidor, os Serviços de Domínio do Microsoft Entra são utilizados como intermediário de fidedignidade e os utilizadores não necessitam de iniciar sessão no SharePoint.

Permissões necessárias

As seguintes associações e privilégios são necessários para permitir a ativação da gestão de documentos do SharePoint.

  • Associação global de admin do Microsoft 365 – isto é necessário para:

    • Acesso de nível administrativo à subscrição do Microsoft 365.
    • Executar o assistente de Ativar Autenticação Baseada no Servidor.
    • Executar os cmdlets AzurePowerShell.
  • O privilégio Executar Assistente de Integração do SharePoint do Power Apps. Isto é necessário para executar o assistente para Ativar a Autenticação baseada no Servidor.

    Por predefinição, o direito de acesso de Administrador de Sistema tem este privilégio.

  • Para a integração do SharePoint no local, associação ao grupo Administradores de Farm do SharePoint. Isto é necessário para executar a maioria dos comandos do PowerShell no servidor do SharePoint.

Configurar a autenticação server-to-server com o SharePoint no local

Siga os passos pela ordem indicada para configurar as aplicações de cativação de clientes com o SharePoint 2013 no local.

Importante

Os passos descritos aqui têm de ser concluídos pela ordem indicada. Se uma tarefa for estiver concluída (por exemplo: se um comando do PowerShell devolver uma mensagem de erro), o problema tem de ser resolvido antes de continuar para o comando, tarefa ou passo seguinte.

Verificar os pré-requisitos

Antes de configurar aplicações de interação com os clientes e o SharePoint no local para autenticação baseada no servidor, têm de ser cumpridos os seguintes pré-requisitos:

Pré-requisitos do SharePoint

  • SharePoint 2013 (no local) with Service Pack 1 (SP1) ou versão posterior

    Importante

    As versões do SharePoint Foundation 2013 não são suportadas para utilização com a gestão de documentos das aplicações de interação com os clientes.

  • Instalar a Atualização Cumulativa (CU) de abril de 2019 para a família de produtos SharePoint 2013. Esta CU de abril de 2019 inclui todas as correções do SharePoint 2013 (incluindo todas as correções de segurança do SharePoint 2013) lançadas desde o SP1. A CU de abril de 2019 não inclui o SP1. Tem de instalar o SP1 antes de instalar a CU de abril de 2019. Mais informações: KB4464514 SharePoint Server 2013 abril 2019 CU

  • Configuração do SharePoint

    • Se utilizar o SharePoint 2013 para cada farm do SharePoint, só pode ser configurada uma aplicação de interação com os clientes para a integração baseada no servidor.

    • O site SharePoint tem de ser acessível através da Internet. Também poderá ser necessária uma proxy inversa para autenticação do SharePoint. Mais informações: Configurar um dispositivo de proxy inversa para o SharePoint Server 2013 híbrido

    • O website do SharePoint tem de ser configurado para utilizar SSL (HTTPS) na Porta TCP 443 (não são suportadas portas personalizadas) e o certificado tem de ser emitido por uma Autoridade de Certificação pública de raiz. Mais informações: SharePoint: acerca de certificados SSL de Canal Seguro

    • Uma propriedade de utilizador fiável para o mapeamento da autenticação baseada em afirmações entre o SharePoint e as aplicações de interação com os clientes. Mais informações: Selecionar um tipo de mapeamento de afirmações

    • Para a partilha de documentos , o serviço de pesquisa do SharePoint tem de estar ativado. Mais informações: Criar e configurar uma aplicação de serviço de Pesquisa no SharePoint Server

    • Para a funcionalidade de gestão de documentos quando utiliza as aplicações móveis do Dynamics 365, o servidor SharePoint no local tem de estar disponível através da Internet.

Outros pré-requisitos

  • Licença do SharePoint Online. A autenticação baseada no servidor das aplicações de customer engagement para o SharePoint local tem de ter o nome do principal do serviço (SPN) do SharePoint registado no Microsoft Entra ID. Para tal, necessita de, pelo menos, uma licença de utilizador do SharePoint Online. A licença do SharePoint Online pode derivar de uma só licença de utilizador e, normalmente, tem a seguinte origem:

    • Uma subscrição do SharePoint Online. Qualquer plano do SharePoint Online é suficiente, mesmo que a licença não esteja atribuída a um utilizador.

    • Uma subscrição do Microsoft 365 que inclua o SharePoint Online. Por exemplo, se tiver o Microsoft 365 E3, tem o licenciamento adequado mesmo que a licença não esteja atribuída a um utilizador.

      Para obter mais informações sobre estes planos, consulte Localizar a solução certa para si e Comparar as opções do SharePoint

  • As seguintes funcionalidades de software são necessárias para executar os cmdlets do PowerShell mencionados neste tópico.

    • Microsoft Assistente de início de sessão de serviços online para profissionais de TI Beta

    • MSOnlineExt

    • Para instalar o módulo MSOnlineExt, introduza o comando seguinte de uma sessão de PowerShell de administrador. PS> Install-Module -Name "MSOnlineExt"

    Importante

    No momento em que este artigo foi escrito, há um problema com a versão RTW do Assistente de Microsoft entrada de serviços online para profissionais de TI. Até que o problema seja resolvido, recomendamos que utilize a versão Beta. Mais informações: Fóruns do Microsoft Azure: Não é possível instalar o Módulo do Microsoft Entra para Windows PowerShell. O MOSSIA não está instalado.

  • Um tipo de mapeamento de autenticação baseada em afirmações adequado para utilizar no mapeamento de identidades entre aplicações de interação com os clientes e o SharePoint no local. Por predefinição, é utilizado o endereço de correio eletrónico. Mais informações: Conceder às aplicações de cativação de clientes permissão para aceder ao SharePoint e configurar o mapeamento de autenticação baseada em afirmações

Atualizar o SharePoint Server SPN nos Serviços de Domínio do Microsoft Entra

No servidor do SharePoint no local, na Shell de Gestão do SharePoint 2013, execute estes comandos do PowerShell pela ordem indicada.

  1. Prepare a sessão do PowerShell.

    Os cmdlets seguintes permitem que o computador receba comandos remotos e adicione módulos do Microsoft 365 à sessão do PowerShell. Para mais informações sobre estes cmdlets, consulte Cmdlets Principais do Windows PowerShell.

    Enable-PSRemoting -force  
    New-PSSession  
    Import-Module MSOnline -force  
    Import-Module MSOnlineExtended -force  
    
  2. Ligue ao Microsoft 365.

    Ao executar o comando Connect-MsolService, você deve fornecer uma conta válida Microsoft que tenha associação de administrador global para a SharePoint licença Online necessária.

    Para obter informações detalhadas sobre cada um dos comandos PowerShell do Microsoft Entra ID aqui listados, consulte Gerir o Microsoft Entra utilizando o Windows PowerShell

    $msolcred = get-credential  
    connect-msolservice -credential $msolcred  
    
  3. Defina o nome de anfitrião do SharePoint.

    O valor que definir para a variável HostName tem de ser o nome de anfitrião completo da coleção de sites SharePoint. O nome de anfitrião tem de ser derivado do URL da coleção de sites e é sensível às maiúsculas e minúsculas. Neste exemplo, o URL da coleção de sites é <https://SharePoint.constoso.com/sites/salesteam>, pelo que o nome do anfitrião é SharePoint.contoso.com.

    $HostName = "SharePoint.contoso.com"  
    
  4. Obtenha o ID do objeto do Microsoft 365 (inquilino) e o Nome do Principal de Serviço (SPN) do Servidor do SharePoint.

    $SPOAppId = "00000003-0000-0ff1-ce00-000000000000"  
    $SPOContextId = (Get-MsolCompanyInformation).ObjectID  
    $SharePoint = Get-MsolServicePrincipal -AppPrincipalId $SPOAppId  
    $ServicePrincipalName = $SharePoint.ServicePrincipalNames  
    
  5. Defina o Nome do Principal de Serviço (SPN) do Servidor do SharePoint no Microsoft Entra ID.

    $ServicePrincipalName.Add("$SPOAppId/$HostName")   
    Set-MsolServicePrincipal -AppPrincipalId $SPOAppId -ServicePrincipalNames $ServicePrincipalName  
    

    Quando estes comandos estiverem concluídos, não feche a Shell de Gestão do SharePoint 2013 e avance para o passo seguinte.

Atualize o realm do SharePoint para corresponder ao do SharePoint Online

No servidor do SharePoint no local, na Shell de Gestão do SharePoint 2013, execute este comando do Windows PowerShell.

O comando seguinte necessita que o utilizador seja administrador de farm do SharePoint e define o realm de autenticação do farm do SharePoint no local.

Atenção

Executar este comando altera o realm de autenticação do farm do SharePoint no local. Para aplicações que utilizem um serviço de tokens de segurança (STS) existente, isto poderá causar um comportamento inesperado com outras aplicações que utilizem tokens de acesso. Mais informações: Set-SPAuthenticationRealm.

Set-SPAuthenticationRealm -Realm $SPOContextId  

Criar um emissor de tokens de segurança fidedigno para o ID do Microsoft Entra no SharePoint

No servidor do SharePoint no local, na Shell de Gestão do SharePoint 2013, execute estes comandos do PowerShell pela ordem indicada.

Os comandos seguintes necessitam que o utilizador seja administrador de farm do SharePoint.

Para obter informações detalhadas sobre estes comandos do PowerShell, consulte Utilizar cmdlets do Windows PowerShell para administrar a segurança no SharePoint 2013.

  1. Ative a sessão do PowerShell para efetuar alterações ao serviço de tokens de segurança para o farm do SharePoint.

    $c = Get-SPSecurityTokenServiceConfig  
    $c.AllowMetadataOverHttp = $true  
    $c.AllowOAuthOverHttp= $true  
    $c.Update()  
    
  2. Defina o ponto final dos metadados.

    $metadataEndpoint = "https://accounts.accesscontrol.windows.net/" + $SPOContextId + "/metadata/json/1"  
    $acsissuer = "00000001-0000-0000-c000-000000000000@" + $SPOContextId  
    $issuer = "00000007-0000-0000-c000-000000000000@" + $SPOContextId  
    
  3. Crie o novo proxy de aplicação de serviço de controlo de tokens no Microsoft Entra ID.

    New-SPAzureAccessControlServiceApplicationProxy -Name "Internal" -MetadataServiceEndpointUri $metadataEndpoint -DefaultProxyGroup  
    

    Nota

    O comando New- SPAzureAccessControlServiceApplicationProxy pode devolver uma mensagem de erro que indica que já existe um proxy da aplicação com o mesmo nome. Se o proxy da aplicação indicado já existir, pode ignorar o erro.

  4. Crie o novo emissor do serviço de controlo de tokens no SharePoint local para o Microsoft Entra ID.

    $acs = New-SPTrustedSecurityTokenIssuer –Name "ACSInternal" –IsTrustBroker:$true –MetadataEndpoint $metadataEndpoint -RegisteredIssuerName $acsissuer  
    

Conceder às aplicações de interação com os clientes permissão para aceder ao SharePoint e configurar o mapeamento da autenticação baseada em afirmações

No servidor do SharePoint no local, na Shell de Gestão do SharePoint 2013, execute estes comandos do PowerShell pela ordem indicada.

Os comandos seguintes necessitam que o utilizador seja membro da administração da coleção de sites SharePoint.

  1. Registe as aplicações de interação com os clientes com a coleção de sites do SharePoint.

    Introduza o URL da coleção de sites SharePoint no local. Neste exemplo, é utilizado https://sharepoint.contoso.com/sites/crm/.

    Importante

    Para concluir este comando, o Proxy da Aplicação de Serviço de Gestão de Aplicações do SharePoint tem de existir e estar em execução. Para mais informações sobre como configurar e iniciar o serviço, consulte o subtópico Configurar as Definições de Subscrição e as aplicações de serviço de Gestão de Aplicações em Configurar um ambiente para aplicações para o SharePoint (SharePoint 2013).

    $site = Get-SPSite "https://sharepoint.contoso.com/sites/crm/"  
    Register-SPAppPrincipal -site $site.RootWeb -NameIdentifier $issuer -DisplayName "crm"  
    
  2. Conceda às aplicações de interação com os clientes acesso ao site do SharePoint. Substitua https://sharepoint.contoso.com/sites/crm/ com o SharePoint URL do seu site.

    Nota

    No exemplo seguinte, é concedida permissão à aplicação de interação com os clientes para a coleção de sites do SharePoint especificada através do parâmetro de coleção de sites –Scope. O parâmetro Scope aceita as seguintes opções. Selecione o âmbito mais apropriado para a configuração do SharePoint.

    • site. Concede às aplicações de interação com os clientes permissão apenas para o website do SharePoint especificado. Não concede permissão para nenhum subsite do site indicado.
      • sitecollection. Concede às aplicações de interação com os clientes permissão para todos os sites e subsites na coleção de sites SharePoint especificada.
      • sitesubscription. Concede às aplicações de interação com os clientes permissão para todos os sites no farm do SharePoint, incluindo todas as coleções de sites, sites e subsites.
    $app = Get-SPAppPrincipal -NameIdentifier $issuer -Site "https://sharepoint.contoso.com/sites/crm/"  
    Set-SPAppPrincipalPermission -AppPrincipal $app -Site $site.Rootweb -Scope "sitecollection" -Right "FullControl"  
    
  3. Defina o tipo de mapeamento de autenticação baseada em afirmações.

    Importante

    Por padrão, o mapeamento de autenticação baseada em declarações usará o endereço de email da conta do Microsoft utente e o endereço de email SharePoint no local trabalho do utente para mapeamento. Quando utilizar este método, os endereços de e-mail do utilizador têm de ser iguais nos dois sistemas. Para mais informações, consulte Selecionar um tipo de mapeamento de autenticações baseadas em afirmações.

    $map1 = New-SPClaimTypeMapping -IncomingClaimType "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress" -IncomingClaimTypeDisplayName "EmailAddress" -SameAsIncoming  
    

Executar o Assistente para Ativar a Integração com o SharePoint Baseada no Servidor

Siga estes passos:

  1. Verifique se tem a permissão adequada para executar o assistente. Mais informações: Permissões necessárias

  2. Aceda a Definições>Gestão de Documentos.

  3. Na área Gestão de Documentos, clique em Ativar a integração com o SharePoint baseada no servidor.

  4. Reveja as informações e clique em Seguinte.

  5. Para os sites SharePoint, clique em No Local e clique em Seguinte.

  6. Introduza o URL da coleção de sites no local SharePoint, tal como https://sharepoint.contoso.com/sites/crm. O site tem de estar configurado para SSL.

  7. Clique em Seguinte.

  8. A secção de validação de sites é apresentada. Se todos os sites forem determinados como válidos, clique em Ativar. Se um ou mais sites são determinados inválido, consulte Resolução de problemas da autenticação baseada no servidor.

Selecionar as entidades que pretende incluir na gestão de documentos

Por predefinição, as entidades Conta, Artigo, Oportunidade Potencial, Produto, Proposta e Especificações são incluídas. Pode adicionar ou remover as entidades que serão utilizadas para a gestão de documentos com o SharePoint em Definições de Gestão de Documentos. Aceda a Definições>Gestão de Documentos. Mais informações: Ativar a gestão de documentos em entidades

Adicionar a integração com o OneDrive para Empresas

Depois de concluir a configuração da autenticação baseada no servidor para as aplicações de cativação de clientes e o SharePoint no local, também pode integrar o OneDrive para Empresas. Com a integração das aplicações de cativação de clientes e do OneDrive para Empresas, os utilizadores podem criar e gerir documentos privados através do OneDrive para Empresas. Estes documentos podem ser acedidos após o administrador de sistema ativar o OneDrive para Empresas.

Ativar o OneDrive para Empresas

No Windows Server em que o SharePoint Server no local está em execução, abra a Shell de Gestão do SharePoint e execute os seguintes comandos:

Add-Pssnapin *  
# Access WellKnown App principal  
[Microsoft.SharePoint.Administration.SPWebService]::ContentService.WellKnownAppPrincipals  
  
# Create WellKnown App principal  
$ClientId = "00000007-0000-0000-c000-000000000000"  
$PermissionXml = "<AppPermissionRequests AllowAppOnlyPolicy=""true""><AppPermissionRequest Scope=""http://sharepoint/content/tenant"" Right=""FullControl"" /><AppPermissionRequest Scope=""http://sharepoint/social/tenant"" Right=""Read"" /><AppPermissionRequest Scope=""http://sharepoint/search"" Right=""QueryAsUserIgnoreAppPrincipal"" /></AppPermissionRequests>"  
  
$wellKnownApp= New-Object -TypeName "Microsoft.SharePoint.Administration.SPWellKnownAppPrincipal" -ArgumentList ($ClientId, $PermissionXml)  
  
$wellKnownApp.Update()  
  

Selecionar um tipo de mapeamento de autenticação baseada em afirmações

Por padrão, o mapeamento de autenticação baseada em declarações usará o endereço de e-mail da conta do Microsoft utente e o endereço de SharePoint email no local trabalho do utente para mapeamento. Note que, independentemente do tipo de autenticação baseada em afirmações que utilizar, os valores, como os endereços de e-mail, têm de ser iguais entre as aplicações de interação com os clientes e o SharePoint. A sincronização de diretórios do Microsoft 365 poderá ajudar. Mais informações: Implementar a Sincronização de Diretórios do Microsoft 365 no Microsoft Azure. Para utilizar outro tipo de mapeamento de autenticação baseada em afirmações, consulte Definir o mapeamento de afirmações personalizado para integração baseada no servidor com o SharePoint.

Importante

Para ativar a propriedade Endereço de correio eletrónico de trabalho, o SharePoint no local tem de ter uma Aplicação de Serviço de Perfil de Utilizador configurada e iniciada. Para ativar uma Aplicação de Serviço de Perfil de Utilizador no SharePoint, consulte Criar, editar ou eliminar aplicações de serviço de Perfil de Utilizador no SharePoint Server 2013. Para efectuar alterações a uma propriedade de utilizador, como o Endereço de correio eletrónico de trabalho, consulte Editar uma propriedade de perfil de utilizador. Para mais informações sobre a Aplicação de Serviço de Perfil de Utilizador, consulte Descrição geral da aplicação de serviço de Perfil de Utilizador no SharePoint Server 2013.

Consultar também

Solução de problemas de autenticação baseada em servidor
Configurar a SharePoint integração com aplicativos de envolvimento do cliente