了解 SharePoint Embedded 的结构

  • 8 分钟

SharePoint Embedded 引入了存储容器的概念,自定义应用程序的开发人员可使用该容器来存储文件和文档。 此容器中的文件只能通过 SharePoint Embedded Container 访问。 开发人员使用已知的和已建立的 Microsoft Graph API 来访问这些容器中的文件和文档。 在本部分中,你将了解如何构建 SharePoint Embedded 以及如何在 Microsoft 365 租户中创建容器。

了解如何构建 SharePoint Embedded

创建 SharePoint Embedded 应用程序的开发人员和 ISV 通常称为 提供程序。 这些应用程序的客户通常称为 使用者

在生产环境中,提供程序和使用者租户通常是不同的。 例如,单个提供程序可以有多个使用者或客户。 但在开发中,提供程序和使用者租户可以相同来简化设置。

SharePoint Embedded 提供程序

创建 SharePoint Embedded 应用的提供商将在提供商的 Microsoft 365 租户的 SharePoint Embedded 实例和 Microsoft 365 关联的 Microsoft Entra ID 租户中创建一些不同的内容。

他们将创建应用程序代码库和 Microsoft Entra ID 应用程序。 Entra 应用程序是应用程序用于对 SharePoint Embedded 任务的 Microsoft Graph 和 SharePoint API 进行身份验证和调用,包括读取和写入 SharePoint Embedded 容器中的文件。

接下来,提供程序将使用 SharePoint Online PowerShell New-SPOContainerType cmdlet 在提供程序的 SharePoint 租户中创建容器类型。 当无法成功创建邮件的卷影副本时:

SharePoint Embedded 应用程序创建的容器都与单个不可变 ContainerType 的 ID 相关联。 容器包含 SharePoint Embedded 应用程序中的内容。

容器类型在 SharePoint Embedded 解决方案中具有两个重要角色:

  • 定义 Microsoft Entra ID 应用程序与链接到 ContainerType 的所有容器之间的关系。
  • 出于计费目的,将链接到它的所有容器关联到特定的 Azure 订阅。

重要

Microsoft Entra ID 应用程序最多可以有一 (1) 容器类型与之关联。

SharePoint Embedded 使用者

在提供程序的租户(包括 Microsoft Entra ID 应用程序)中创建必要的资源后,使用者租户管理员必须执行以下两项操作:

  • 同意提供商在其租户中的 Microsoft Entra ID 应用程序,并选择性地代表使用租户中的所有用户。
  • 将提供程序容器类型注册到使用租户。

容器类型与使用租户的注册必须从提供程序租户进行,并且是应用首次在使用租户中运行。

发生这种情况时,Microsoft 会查看 Microsoft Entra ID 应用程序的 ID,找到提供程序租户并验证应用程序是否拥有该容器类型。 这是因为只有拥有的应用程序才能调用使用租户中的注册设置。 这也意味着提供程序和使用租户位于同一个云中,但可以存在于不同的区域。 例如,提供商和使用者租户可以位于生产云或 GCC High 云中,但不能位于不同的云中,因为 Microsoft 无法在云之间访问。

如果验证,注册过程会将权限映射和配置设置放在使用租户中。

显示容器类型与提供程序和使用者租户的关系的屏幕截图。

了解 SharePoint Embedded 中的权限

SharePoint Embedded 容器中的权限与 SharePoint 权限相关,但处理方式与 SharePoint 实现方式略有不同。 与 SharePoint 一样,除非在更具体的级别被重写,否则权限会回退到父级。

例如,文档库的默认权限继承封闭网站的权限,网站的权限基于其网站集。

显示 SharePoint 租户和分区的屏幕截图。

但是,对文档库的权限可能更严格。 对于 SharePoint Embedded,此模型也相同。

显示 SharePoint 和 OneDrive 权限模型的屏幕截图。

SharePoint 和 SharePoint Embedded 之间的权限存在两个显著差异。

首先,与 SharePoint 不同,SharePoint Embedded 中的权限只是累加的。 SharePoint Embedded 不支持强制实施限制性更高的权限,例如从父容器中删除访问权限。

此外,SharePoint Embedded 还有一组可在容器级别应用的定义角色:

  • 所有者:授予对容器和容器中所有内容的完全控制权限。 创建容器时,会自动授予委派用户此角色。

  • 经理:“编写者 ”角色相同,但也可以维护对容器的权限。

    重要

    经理无法将用户添加到 所有者 角色

  • 编写器:添加、更新和删除容器内容。

  • 读取者:查看容器内容。

摘要

SharePoint Embedded 引入了存储容器的概念,自定义应用程序的开发人员可以使用该容器来存储文件和文档。 此容器中的文件只能通过 SharePoint Embedded Container 访问。 开发人员使用已知的和已建立的 Microsoft Graph API 来访问这些容器中的文件和文档。 在本部分中,你了解了 SharePoint Embedded 的结构以及如何在 Microsoft 365 租户中创建容器。