Configurer la connectivité de Microsoft 365 à SharePoint Server
S’APPLIQUE À :
2013 2016 2019 Édition d’abonnement SharePoint dans Microsoft 365
**Cet article fait partie d'une feuille de route de procédures de configuration pour les solutions hybrides SharePoint. Veillez à respecter une feuille de route lorsque vous effectuez les procédures décrites dans cet article. **
Cet article contient des conseils sur le processus de déploiement de l’environnement hybride SharePoint, qui intègre SharePoint Server et SharePoint dans Microsoft 365.
Avant de commencer
**Remarque sur l’accessibilité :**SharePoint Server prend en charge les fonctionnalités d’accessibilité des navigateurs courants pour vous aider à administrer les déploiements et à accéder aux sites. Pour plus d'informations, consultez la rubrique Accessibilité pour SharePoint 2013.
Si vous ne l’avez pas déjà fait, lisez Planifier la connectivité de Microsoft 365 à SharePoint Server avant de commencer à configurer quoi que ce soit. Cela est important, car l’article de planification vous aide à prendre des décisions importantes et à les enregistrer dans la feuille de calcul de déploiement hybride SharePoint, appelée feuille de calcul dans le reste de cet article. Cela indique à son tour les procédures de cet article à utiliser et celles que vous pouvez ignorer.
Si vous avez lu l’article de planification, vous devez avoir déjà effectué les opérations suivantes :
Vous avez choisi la stratégie de collection de sites que vous allez configurer pour hybride.
Vous avez décidé d’utiliser une application web existante ou d’en créer une pour hybride.
| Icône | Description |
|---|---|
 |
Ces décisions sont consignées dans le tableau 2 de la feuille de calcul. Si ce n’est pas le cas, revenez en arrière et lisez Planifier la connectivité de Microsoft 365 à SharePoint Server et prenez ces décisions avant d’aller plus loin. |
Conseils de feuille de calcul
Les choses seront beaucoup plus faciles si toutes les informations applicables sont entrées dans la feuille de calcul hybride SharePoint avant de commencer à configurer quoi que ce soit. Au minimum, vous devez connaître les éléments suivants pour utiliser cet article.
Tableau : décisions qui doivent déjà être enregistrées dans la feuille de calcul hybride SharePoint
| Décision | Emplacement dans la feuille de calcul |
|---|---|
| Allez-vous utiliser une application web existante pour hybride ou en créer une ? |
Ligne d’application web nouvelle ou existante du tableau 2 |
| Quelle stratégie de collection de sites utiliserez-vous ? |
Ligne de stratégie de collection de sites du tableau 2 |
| Qu’est-ce que l’URL externe ? |
Ligne d’URL externe du tableau 3 |
| Quelle est l’adresse IP du point de terminaison accessible sur Internet sur l’appareil de proxy inverse auquel l’URL externe est associée ? |
Adresse IP de la ligne de point de terminaison externe du tableau 3 |
Vérifiez que ces décisions sont entrées dans la feuille de calcul avant de continuer.
Phases de configuration
Pour configurer l’infrastructure de l’environnement, vous aurez besoin des interfaces SharePoint Server, telles que le site web Administration centrale de SharePoint, et des pages d’administration dans SharePoint dans Microsoft 365. Pour vous éviter d’avoir à basculer entre ces interfaces plus que nécessaire, nous avons organisé les étapes de configuration dans les phases suivantes :
Effectuez chaque étape de configuration dans l’ordre indiqué dans cet article.
Importante
Il est recommandé de documenter minutieusement votre stratégie de déploiement et de tenir à jour des journaux de travail détaillés pendant le processus de configuration de l’environnement hybride. Dans tout projet d’implémentation complexe, un enregistrement détaillé de chaque décision de conception, configuration du serveur, procédure et sortie est une référence très importante pour la résolution des problèmes, le support et la sensibilisation.
Préparer votre domaine public
Pour que Microsoft 365 envoie des demandes au point de terminaison externe de votre appareil de proxy inverse, vous devez disposer des éléments suivants :
Domaine public inscrit auprès d’un bureau d’enregistrement de domaines, tel que GoDaddy.com, auquel l’URL du point de terminaison externe du périphérique proxy inverse est associée.
Un enregistrement A dans la zone DNS de votre domaine public associé au site SharePoint publié dans Microsoft 365 (qui est l’URL externe, telle que spexternal.adventureworks.com). Cela permet à Microsoft 365 d’envoyer des demandes au point de terminaison externe sur l’appareil proxy inverse configuré pour hybride. Cet enregistrement A mappe l’URL externe à l’adresse IP du point de terminaison accessible sur Internet du périphérique proxy inverse. Pour plus d’informations, voir Planifier la connectivité de Microsoft 365 à SharePoint Server.
Si vous n’avez pas encore de domaine public que vous souhaitez utiliser à cet effet (par exemple, adventureworks.com), obtenez-en un maintenant, puis créez cet enregistrement A. Si vous avez déjà pris en charge cette opération pendant la phase de planification, le nom de votre domaine public et l’adresse IP dont vous avez besoin pour créer cet enregistrement A sont enregistrés dans le tableau 3 de la feuille de calcul.
Vous devez suivre les étapes décrites dans l’article Connecter votre domaine à Microsoft 365 pour ajouter le nom d’hôte de votre domaine public à Microsoft 365.
Configurer SharePoint Server
Cette section vous explique comment configurer la batterie de serveurs SharePoint Server pour une utilisation dans une solution hybride entrante. Nous avons organisé les étapes de cette section dans les phases suivantes. Pour obtenir le résultat le plus fiable, effectuez les procédures dans l’ordre indiqué.
Configurer une stratégie de collection de sites
Attribuer un suffixe de domaine UPN
Synchroniser les profils utilisateur
Configurer OAuth sur HTTP (si nécessaire)
Remarque
Les procédures décrites dans cette section supposent que vous disposez d’une batterie de serveurs SharePoint Server existante que vous avez l’intention d’utiliser pour les fonctionnalités hybrides.
Configurer une stratégie de collection de sites
Dans un environnement hybride, les données sont échangées entre la collection de sites racine dans SharePoint dans Microsoft 365 et une application web spécifique dans la batterie de serveurs SharePoint locale configurée pour hybride. Nous appelons cela l’application web principale. Cette application web est le point central sur lequel votre stratégie de collection de sites est configurée.
Pendant la phase de planification, vous devez avoir décidé si vous allez utiliser une application web existante ou en créer une et quelle stratégie de collection de sites vous allez configurer. Si c’est le cas, vos décisions sont répertoriées dans la ligne Stratégie de collection de sites du tableau 2 de la feuille de calcul. Si vous n’avez pas encore décidé, consultez l’article Planifier la connectivité de Microsoft 365 à SharePoint Server et prenez ces décisions avant d’aller plus loin.
Choisissez l’une des stratégies de collection de sites suivantes à configurer :
Configurer une stratégie de collection de sites à l’aide d’une collection de sites nommée par l’hôte
Configurer une stratégie de collection de sites à l’aide d’une collection de sites nommée par l’hôte
Si vous souhaitez configurer une stratégie de collection de sites à l’aide d’une collection de sites nommée hôte pour l’environnement hybride SharePoint, procédez comme suit dans l’ordre indiqué :
Vérifiez que l’application web et la collection de sites racine existent.
Vérifiez qu’une liaison SSL existe sur l’application web principale.
Créez la collection de sites nommée par l’hôte.
Configurez le DNS fractionné.
Créez un enregistrement A dans le DNS local.
Pour plus d’informations sur les décisions de stratégie de collection de sites, voir la section Choisir une stratégie de collection de sites de Planifier la connectivité de Microsoft 365 à SharePoint Server.
Vérifier que l’application web principale et la collection de sites racine existent
La collection de sites nommée par l’hôte que vous allez créer un peu plus tard doit être créée dans une application web configurée pour utiliser les éléments suivants :
Authentification Windows intégrée avec NTLM
protocole https (Secure Sockets Layer)
Vous avez également besoin d’une collection de sites basée sur le chemin d’accès à utiliser comme collection de sites racine dans cette application web.
| Icône | Description |
|---|---|
|
Si vous avez identifié une application web que vous souhaitez utiliser pendant la planification, elle doit être répertoriée dans la ligne URL de l’application web principale du tableau 5a de la feuille de calcul. |
Si l’application web et la collection de sites racine n’existent pas, vous devez les créer. Pour ce faire, utilisez l’Administration centrale ou SharePoint 2016 Management Shell. S’ils existent déjà, accédez à Vérifier qu’une liaison SSL existe sur l’application web principale.
Voici un exemple de création d’une application web à l’aide de SharePoint 2016 Management Shell.
New-SPWebApplication -Name 'Adventureworks Web app' -SecureSocketsLayer -port 443 -ApplicationPool AdventureworksAppPool -ApplicationPoolAccount (Get-SPManagedAccount 'adventureworks\abarr') -AuthenticationProvider (New-SPAuthenticationProvider -UseWindowsIntegratedAuthentication)
Où :
Le nom de l’application web est Application web Adventureworks.
Le numéro de port de l’application web est 443.
| Icône | Description |
|---|---|
|
Enregistrez le numéro de port que vous avez choisi dans le numéro de port de la ligne de l’application web du tableau 5a de la feuille de calcul. |
La nouvelle application web utilise un pool d’applications web nommé AdventureworksAppPool.
L’application web s’exécute en tant que compte managé adventureworks\abarr.
L’application web est créée à l’aide de l’authentification intégrée Windows avec NTLM.
Voici un exemple de création de la collection de sites racine à l’aide de SharePoint 2016 Management Shell.
New-SPSite 'https://sharepoint' -Name 'Portal' -Description 'Adventureworks Root site collection' -OwnerAlias 'adventureworks\abarr' -language 1033 -Template 'STS#0'
Où :
Le nom d’hôte de la batterie de serveurs SharePoint est « sharepoint ».
L’administrateur principal est adventureworks\abarr.
Le modèle de site utilise la langue anglaise (1033).
Le modèle (STS#0) est le modèle Site d’équipe.
Pour plus d’informations sur la création d’une application web et d’une collection de sites racine pour une collection de sites nommée par l’hôte, voir Créer des applications web basées sur des revendications dans SharePoint Server et Architecture et déploiement de collection de sites sous nom d’hôte dans SharePoint Server.
Vérifier qu’une liaison SSL existe sur l’application web principale
Étant donné que cette application web est configurée pour utiliser SSL, vous devez vous assurer qu’un certificat SSL est lié à l’application web principale. Pour les environnements de production, ce certificat doit être émis par une autorité de certification publique. Pour les environnements de test et de développement, il peut s’agir d’un certificat auto-signé. Nous appelons cela le certificat SSL SharePoint local.
Conseil
Il s’agit généralement d’un certificat distinct de celui que vous installerez ultérieurement sur l’appareil de proxy inverse. Pour plus d’informations sur ces certificats, voir la section Planifier des certificats SSL de Planifier la connectivité de Microsoft 365 à SharePoint Server.
Une fois que le certificat est lié à l’application web, vous pouvez voir ce nom d’hôte dans le champ Émis à de la boîte de dialogue Certificats de serveur dans IIS (Internet Information Services). Pour plus d’informations, consultez Guide pratique pour configurer SSL sur IIS 7.0.
Créer la collection de sites nommée par l’hôte
Une fois l’application web et la collection de sites racine en place, l’étape suivante consiste à créer une collection de sites nommée hôte dans l’application web principale. L’URL publique de cette collection de sites doit être identique à l’URL du point de terminaison externe.
Remarque
Les collections de sites nommées par l’hôte doivent être créées à l’aide de SharePoint 2016 Management Shell. Vous ne pouvez pas utiliser l’Administration centrale pour créer ce type de collection de sites.
Voici un exemple de création d’une collection de sites nommée par l’hôte à l’aide de SharePoint 2016 Management Shell.
New-SPSite 'https://spexternal.adventureworks.com' -HostHeaderWebApplication 'https://sharepoint' -Name 'https://spexternal.adventureworks.com' -Description 'Site collection for hybrid' -OwnerAlias 'adventureworks\abarr' -language 1033 -Template 'STS#0'
Où :
https://spexternal.adventureworks.comest l’URL de la collection de sites nommée par l’hôte. Cette URL doit être identique à l’URL externe.https://sharepoint est l’application web dans laquelle la collection de sites est créée.
Pour plus d’informations, voir Architecture de collection de sites nommée par l’hôte et déploiement dans SharePoint Server.
Configurer le DNS fractionné
Vous devez configurer le DNS fractionné. Il s’agit d’une configuration courante utilisée pour garantir que les ordinateurs clients locaux résolvent un nom de serveur en adresses IP internes, même si la résolution DNS publique résout le même nom de service en une adresse IP publique complètement différente. Cela permet aux utilisateurs d’être redirigés vers un point de terminaison qui utilise des mécanismes sharePoint standard dans Microsoft 365 à sécurité renforcée pour l’authentification, mais les requêtes de Microsoft 365 peuvent être dirigées via un proxy inverse configuré pour utiliser l’authentification par certificat.
Pour plus d’informations sur l’utilisation du DNS fractionné dans une topologie hybride, voir Architecture Design Recommendation for SharePoint 2013 Hybrid Search Features. Pour plus d’informations sur la configuration d’un DNS fractionné, consultez Une configuration DNS de split-brain défectueuse peut empêcher une expérience de connexion SSO transparente.
Créer un enregistrement A dans le DNS local
L’appareil de proxy inverse doit être en mesure de résoudre l’URL interne de la collection de sites nommée par l’hôte. Pour ce faire, vous pouvez créer un enregistrement A dans l’espace de noms DNS local souhaité. Il n’est pas obligé d’être dans le même espace de noms que l’appareil proxy inverse. Toutefois, l’appareil de proxy inverse doit être en mesure de résoudre cet espace de noms. Cet enregistrement A mappe le nom d’hôte de l’URL externe à l’adresse IP de la batterie de serveurs SharePoint locale. Voici un exemple d’enregistrement A où l’URL externe est https://spexternal.adventureworks.comet l’adresse IP de l’équilibreur de charge réseau pour la batterie de serveurs SharePoint est 10.0.0.13.
| Icône | Description |
|---|---|
|
L’URL externe est enregistrée dans la ligne URL externe du tableau 3 de la feuille de calcul. |
Vous avez terminé la configuration de la stratégie de collection de sites à l’aide d’une collection de sites nommée par l’hôte pour hybride. À présent, passez directement à Attribuer un suffixe de domaine UPN.
Configurer une stratégie de collection de sites à l’aide d’une application web basée sur un chemin d’accès sans AAM
Si vous souhaitez configurer une stratégie de collection de sites à l’aide d’une application web basée sur un chemin d’accès sans avoir à créer un mappage d’accès alternatif (AAM) pour l’environnement hybride SharePoint, effectuez ces étapes dans l’ordre indiqué :
Vérifiez que l’application web existe.
Vérifiez qu’une liaison SSL existe sur l’application web principale.
Configurez le DNS fractionné.
Créez un enregistrement A dans le DNS local.
Remarque
Lorsque vous configurez une stratégie de collection de sites sans AAM, l’URL publique de l’application web principale doit être identique à l’URL externe.
Pour plus d’informations, voir la section Choisir une stratégie de collection de sites de Planifier la connectivité de Microsoft 365 à SharePoint Server.
Vérifier que l’application web principale existe
Vous pouvez utiliser une application web existante comme application web principale, ou vous pouvez en créer une. Vous devez avoir pris cette décision lors de la planification et l’avoir enregistrée dans la ligne Application web nouvelle ou existante du tableau 2 de la feuille de calcul. Si vous n’avez pas encore pris cette décision, reportez-vous à Planifier la connectivité de Microsoft 365 à SharePoint Server et décidez avant d’aller plus loin. N’oubliez pas que lorsque vous configurez une stratégie de collection de sites sans AAM, l’URL publique de l’application web principale doit être identique à l’URL externe.
Si, pendant la planification, vous avez choisi l’application web existante à utiliser comme application web principale, son URL doit être enregistrée dans la ligne URL de l’application web principale du tableau 5b de la feuille de calcul. Si c’est le cas, passez directement à Vérifier qu’une liaison SSL existe sur l’application web principale. Sinon, pour créer une application web à utiliser comme application web principale, utilisez les procédures décrites dans Créer des applications web basées sur des revendications dans SharePoint Server.
En général, vous devez utiliser les paramètres par défaut. Toutefois, les paramètres de configuration suivants sont requis.
Paramètres de configuration requis
| Emplacement | Description |
|---|---|
| Dans la section Site web IIS, dans la zone Port |
Tapez le numéro de port que vous souhaitez que cette application web utilise, par exemple, 443. |
| Dans la section Configuration de la sécurité |
Vérifiez que l’option Autoriser anonyme est définie sur Non. |
| Dans la section Configuration de la sécurité |
Vérifiez que l’option Utiliser SSL (Secure Sockets Layer) est définie sur Oui. Vous devrez lier un certificat SSL à l’application web, ce que nous aborderons plus en détail dans la section suivante. |
| Dans la section Types d’authentification par revendications |
Sélectionnez la zone Activer l’case activée d’authentification Windows, sélectionnez la zone Authentification Windows intégrée case activée et, dans le menu déroulant, sélectionnez NTLM. |
| Dans la section URL publique, dans la zone URL |
Tapez l’URL externe, par exemple . https://spexternal.adventureworks.com Par défaut, SharePoint dans Microsoft 365 ajoute le numéro de port à l’URL par défaut recommandée pour ce champ. Lorsque vous remplacez cette URL par l’URL externe, n’ajoutez pas le numéro de port. |
Pour faciliter les choses dans les procédures ultérieures, nous vous recommandons d’effectuer les opérations suivantes.
| Icône | Description |
|---|---|
|
Obtenez l’URL à partir de la section URL publique de la page Créer une application web dans l’Administration centrale et enregistrez-la dans la ligne URL de l’application web principale du tableau 5b de la feuille de calcul. |
Vérifier qu’une liaison SSL existe sur l’application web principale
Vous devez vous assurer qu’un certificat SSL est lié à l’application web principale. Pour les environnements de production, ce certificat doit être émis par une autorité de certification publique. Pour les environnements de test et de développement, il peut s’agir d’un certificat auto-signé. Nous appelons cela le certificat SharePoint local dans Microsoft 365 SSL.
Conseil
Il s’agit généralement d’un certificat distinct de celui que vous installerez ultérieurement sur l’appareil de proxy inverse, mais vous pouvez utiliser le certificat SSL du canal sécurisé pour cela si vous le souhaitez. Pour plus d’informations sur ces certificats, consultez la section Planifier les certificats SSL de Planifier la connectivité de Microsoft 365 à SharePoint Server.
Le nom d’hôte de l’application web doit se trouver dans le champ Objet du certificat SSL. Une fois que le certificat est lié à l’application web, vous pouvez voir ce nom d’hôte dans le champ Émis à dans la boîte de dialogue Certificats de serveur dans Internet Information Services (IIS). Pour plus d’informations, consultez Guide pratique pour configurer SSL sur IIS 7.0.
Configurer le DNS fractionné
Vous devez configurer le DNS fractionné. Il s’agit d’une configuration courante utilisée pour garantir que les ordinateurs clients locaux résolvent un nom de serveur en adresses IP internes, même si la résolution DNS publique résout le même nom de service en une adresse IP publique complètement différente. Cela permet aux utilisateurs d’être redirigés vers un point de terminaison qui utilise les mécanismes de sécurité sharePoint standard dans Microsoft 365 pour l’authentification, mais les requêtes de Microsoft 365 peuvent être dirigées via un proxy inverse configuré pour utiliser l’authentification par certificat.
Pour plus d’informations sur l’utilisation du DNS fractionné dans une topologie hybride, voir Architecture Design Recommendation for SharePoint 2013 Hybrid Search Features. Pour plus d’informations sur la configuration d’un DNS fractionné, consultez Une configuration DNS de split-brain défectueuse peut empêcher une expérience de connexion SSO transparente.
Créer un enregistrement A dans le DNS local
L’appareil de proxy inverse doit être en mesure de résoudre l’URL interne de la collection de sites nommée par l’hôte. Pour ce faire, vous pouvez créer un enregistrement A dans l’espace de noms DNS local souhaité. Il n’est pas obligé d’être dans le même espace de noms que l’appareil proxy inverse. Toutefois, l’appareil de proxy inverse doit être en mesure de résoudre cet espace de noms. Cet enregistrement A mappe le nom d’hôte de l’URL externe à l’adresse IP de la batterie de serveurs SharePoint locale. Voici un exemple d’enregistrement A où l’URL externe est https://spexternal.adventureworks.com et l’adresse IP de l’équilibreur de charge réseau pour la batterie de serveurs SharePoint est 10.0.0.13.
| Icône | Description |
|---|---|
|
L’URL externe est enregistrée dans la ligne URL externe du tableau 3 de la feuille de calcul. |
Vous avez terminé la configuration de la stratégie de collection de sites à l’aide d’une collection de sites basée sur un chemin d’accès sans AAM pour hybride. À présent, passez directement à Attribuer un suffixe de domaine UPN.
Configurer une stratégie de collection de sites à l’aide d’une application web basée sur un chemin d’accès avec AAM
Si vous souhaitez utiliser une application web basée sur un chemin d’accès avec le mappage d’accès alternatif (AAM) pour votre stratégie de collection de sites, effectuez ces étapes dans l’ordre indiqué :
Vérifiez que l’application web principale existe.
Étendez l’application web principale et configurez AAM.
Vérifiez qu’une liaison SSL existe sur l’application web principale (si nécessaire).
Configurez AAM.
Créez un enregistrement CNAME.
Si vous avez déjà configuré un autre type de mappage de noms, accédez à Attribuer un suffixe de domaine UPN.
La vidéo suivante montre comment une stratégie de collection de sites fonctionne avec une application web basée sur un chemin d’accès avec AAM.
Vidéo : Présentation des URL et des noms d’hôtes
Vérifier que l’application web principale existe
Vous pouvez utiliser une application web existante comme application web principale, ou vous pouvez en créer une. Si vous n’avez pas encore pris cette décision, reportez-vous à Planifier la connectivité de Microsoft 365 à SharePoint Server et décidez avant d’aller plus loin.
Si, pendant la planification, vous avez choisi l’application web existante à utiliser comme application web principale, son URL doit être enregistrée dans la ligne URL de l’application web principale du tableau 5c de la feuille de calcul. Si c’est le cas, passez directement à Étendre l’application web principale. Sinon, pour créer une application web à utiliser comme application web principale, utilisez les procédures décrites dans Créer des applications web basées sur des revendications dans SharePoint Server. La configuration hybride SharePoint n’est pas affectée par la configuration initiale de cette application web lorsque vous configurez cette stratégie de collection de sites. Cela est dû au fait que vous appliquerez les paramètres dont vous avez besoin pour l’hybride lorsque vous étendez l’application web un peu plus tard. Vous pouvez donc utiliser tous les paramètres de votre choix lorsque vous créez une application web.
| Icône | Description |
|---|---|
|
Pour faciliter les choses dans les procédures ultérieures, nous vous recommandons d’enregistrer ces informations lorsque vous créez l’application web : Obtenez l’URL à partir de la section URL publique de la page Créer une application web dans l’Administration centrale et enregistrez-la dans la ligne URL de l’application web principale du tableau 5c de la feuille de calcul. |
Étendre l’application web principale
Cette section explique comment étendre votre application web. L’extension de l’application web crée un site web IIS auquel vous allez affecter l’URL externe en tant qu’URL publique.
Une fois les procédures de cette section terminées, vous disposez de deux sites web IIS. Les deux sont connectés à la même base de données de contenu. Le site web IIS d’origine reste inchangé et reste accessible aux utilisateurs internes. L’application web étendue utilise une autre zone, telle que la zone Internet, et est configurée pour utiliser l’URL externe comme URL publique. Cette application web étendue est utilisée uniquement pour la maintenance des requêtes hybrides SharePoint.
Importante
Veillez à effectuer ces procédures sur les applications web spécifiques que vous envisagez d’utiliser comme application web principale pour les solutions hybrides SharePoint. L’URL de cette application web que vous devez étendre est enregistrée dans la ligne URL de l’application web principale du tableau 5c de la feuille de calcul.
Pour étendre l’application web, utilisez les procédures décrites dans Étendre des applications web basées sur des revendications dans SharePoint dans Microsoft 365. En général, vous devez utiliser les paramètres par défaut. Toutefois, les paramètres de configuration suivants sont requis.
Paramètres de configuration requis
| Emplacement | Description |
|---|---|
| Dans la section Site web IIS, dans la zone Port |
Vérifiez que la valeur est définie sur le numéro de port approprié pour l’un des éléments suivants : Si vous décidez d’étendre l’application web principale pour les connexions HTTP non chiffrées, utilisez le port 80 ou le port HTTP spécifié par l’administrateur réseau qui configure l’appareil de proxy inverse. Toutes les connexions de service entrantes de l’appareil proxy inverse à la collection de sites de l’application web doivent utiliser HTTP. Si vous décidez de configurer l’application web principale pour les connexions HTTPS chiffrées, utilisez le port 443 ou le port SSL spécifié par l’administrateur réseau qui configure l’appareil proxy inverse. Toutes les connexions de service entrantes de l’appareil proxy inverse à la collection de sites de l’application web doivent utiliser HTTPS. |
| Dans la section Configuration de la sécurité |
Vérifiez que l’option Autoriser anonyme est définie sur Non. |
| Dans la section Configuration de la sécurité |
Choisissez la valeur appropriée pour Utiliser SSL (Secure Sockets Layer). Si vous choisissez Non, l’application web utilise http non chiffré. Si vous choisissez Oui, l’application web utilise le protocole HTTPS chiffré et vous devez lier un certificat SSL à l’application web étendue. Nous abordons ce certificat plus en détail dans la section suivante. |
| Dans la section Types d’authentification par revendications |
Sélectionnez la zone Activer l’case activée d’authentification Windows, sélectionnez la zone Authentification Windows intégrée case activée et, dans le menu déroulant, sélectionnez NTLM. |
| Dans la section URL publique, dans la zone URL |
Tapez l’URL externe, par exemple . https://spexternal.adventureworks.com Notez que par défaut, SharePoint ajoute le numéro de port à l’URL par défaut recommandée pour ce champ. Lorsque vous remplacez cette URL par l’URL externe, n’ajoutez pas le numéro de port. |
| Dans la section URL publique, dans la liste Zone |
Sélectionnez la zone que vous souhaitez affecter à cette application web étendue. Nous vous recommandons de définir la valeur Zone sur Internet si elle est disponible. |
Vérifiez qu’une liaison SSL existe sur l’application web principale (si nécessaire)
Si vous avez configuré l’application web étendue pour utiliser SSL, vous devez vous assurer qu’un certificat SSL est lié à l’application web que vous avez étendue dans la section précédente. Sinon, si vous avez configuré l’application web étendue pour HTTP (non chiffré), passez directement à Configurer AAM.
Pour les environnements de production, ce certificat doit être émis par une autorité de certification publique ou d’entreprise. Pour les environnements de test et de développement, il peut s’agir d’un certificat auto-signé. Nous appelons cela le certificat SharePoint local dans Microsoft 365 SSL.
Importante
Ce certificat doit avoir le nom d’hôte de pontage de l’URL dans le champ Objet . Par exemple, si l’URL de pontage est https://bridge, le champ Objet du certificat doit contenir bridge. Par conséquent, ce certificat ne peut pas être créé à l’aide d’IIS. Toutefois, vous pouvez utiliser un outil de création de certificat tel que MakeCert.exe pour le créer. Une fois que le certificat est lié à l’application web, vous pouvez voir ce nom d’hôte dans le champ Émis à dans la boîte de dialogue Certificats de serveur dans Internet Information Services (IIS).
Conseil
Il s’agit généralement d’un certificat distinct de celui que vous installerez ultérieurement sur l’appareil de proxy inverse. Pour plus d’informations sur ces certificats, voir la section Planifier des certificats SSL de Planifier la connectivité de Microsoft 365 à SharePoint Server.
Pour plus d’informations sur la configuration du protocole SSL, voir A guide to https and Secure Sockets Layer in SharePoint 2013.
Configurer AAM
Pour permettre à SharePoint Server de traduire dynamiquement des liens dans les requêtes à l’aide de l’URL externe, procédez comme suit.
Pour configurer AAM
Dans l’Administration centrale, dans le lancement rapide, sélectionnez Gestion des applications.
Dans la section Applications web , sélectionnez Configurer les mappages d’accès alternatifs.
Dans la page Mappages d’accès de substitution , sélectionnez Ajouter des URL internes.
Dans la section Collection de mappages d’accès de substitution , sélectionnez la flèche vers le bas, puis sélectionnez Modifier la collection de mappages d’accès de substitution. Dans la boîte de dialogue qui s’affiche, sélectionnez l’application web principale que vous configurez pour hybride.
| Icône | Description |
|---|---|
|
L’URL de cette application web est enregistrée dans la ligne URL de l’application web principale du tableau 5c de la feuille de calcul. |
- Dans la section Ajouter une URL interne , dans la zone Protocole d’URL, hôte et port , entrez l’URL que vous souhaitez utiliser comme URL de pontage. Cette URL doit avoir le même protocole que l’application web étendue, http ou https. Par exemple, si vous avez configuré l’application web étendue à l’aide de https, l’URL ressemblera à https://bridge.
| Icône | Description |
|---|---|
|
|
| Le protocole que vous avez utilisé est enregistré dans la ligne Protocole de l’application web étendue du tableau 5c de la feuille de calcul. Enregistrez cette URL dans la ligne URL de pontage du tableau 5c de la feuille de calcul. |
- Dans la liste déroulante Zone , sélectionnez la zone que vous avez utilisée lors de l’extension de l’application web.
| Icône | Description |
|---|---|
|
Cette zone est enregistrée dans la zone de la ligne d’application web étendue du tableau 5c de la feuille de calcul |
Sélectionnez Enregistrer.
L’URL que vous avez spécifiée à l’étape 5 apparaît dans la colonne URL interne de la page Mappages d’accès alternatif .
Créer un enregistrement CNAME
Vous devez créer un enregistrement CNAME dans le DNS local. Cet enregistrement mappe le nom d’hôte de l’URL de pontage au nom de domaine complet de la batterie de serveurs SharePoint locale. L’URL de pontage est celle que vous avez affectée à l’AAM dans la section précédente. L’appareil de proxy inverse doit être en mesure d’interroger DNS pour résoudre l’alias en adresse IP de la batterie de serveurs SharePoint locale.
Voici un exemple d’enregistrement CNAME où le nom d’hôte est Bridge, basé sur l’URL de pontage, https://bridge.
Pour vérifier que le nom d’alias que vous avez choisi pour votre enregistrement CNAME est résolu en batterie de serveurs SharePoint Server, effectuez l’étape de vérification suivante.
Étape de vérification
Connectez-vous à l’appareil de proxy inverse en tant qu’administrateur et ouvrez une invite de commandes Windows.
Effectuez un test ping sur le nom de l’alias dans l’enregistrement CNAME. Par exemple, si le nom de l’alias est Bridge, entrez ce qui suit, puis appuyez <sur Entrée>.
ping bridge
L’invite de commandes doit renvoyer l’adresse IP de la batterie de serveurs SharePoint spécifiée dans l’enregistrement CNAME. Si ce n’est pas le cas, vérifiez que le nom de domaine complet de la batterie de serveurs SharePoint est correctement spécifié dans l’enregistrement CNAME, puis répétez ces étapes de vérification.
Remarque
Si la ping commande est bloquée sur le réseau, essayez d’utiliser la tracert -4 commande ou la commande à la pathping -4 place.
Créer et configurer une application cible pour le certificat SSL dans SharePoint dans Microsoft 365
Dans cette section, vous allez créer et configurer une application cible banque d’informations sécurisée dans SharePoint dans Microsoft 365. Cette application cible est utilisée pour stocker le certificat SSL du canal sécurisé et l’activer afin qu’il puisse être utilisé par SharePoint dans les services Microsoft 365 lorsque les utilisateurs demandent des données à partir de la batterie de serveurs SharePoint locale. Nous faisons référence à cette application cible en tant qu’application cible de canal sécurisé.
| Icône | Description |
|---|---|
|
Pour effectuer ces étapes, vous avez besoin des informations enregistrées dans le tableau 4a de la feuille de calcul. |
Remarque
Vous pouvez utiliser un certificat qui contient une clé privée, par exemple un fichier Private Information Exchange (.pfx) ou un fichier de certificat de sécurité Internet (.cer). Si vous utilisez un fichier .pfx, vous devez fournir un mot de passe pour la clé privée plus loin dans cette procédure.
Lorsque vous configurez des solutions hybrides SharePoint dans Phase 4 : Configurer une solution hybride, vous fournissez le nom de l’application cible que vous avez créée afin que SharePoint dans Les services de recherche et de connectivité commerciale Microsoft 365 puisse obtenir le certificat SSL de canal sécurisé nécessaire pour l’authentification auprès du périphérique proxy inverse.
Pour créer une application cible pour stocker le certificat SSL du canal sécurisé
Accédez à Plus de fonctionnalités dans le Centre d’administration SharePoint et connectez-vous avec un compte disposant d’autorisations d’administrateur dans Microsoft 365.
Sous Magasin sécurisé, sélectionnez Ouvrir.
Sous l’onglet Modifier , sélectionnez Nouveau.
Dans la section Paramètres de l’application cible , procédez comme suit :
Dans la zone ID de l’application cible , entrez le nom (qui sera l’ID) que vous souhaitez utiliser pour l’application cible. Par exemple, nous vous recommandons de la nommer SecureChannelTargetApplication. N’utilisez pas d’espaces dans ce nom.
Remarque
Vous créez l’ID dans cette étape ; vous ne recevez pas l’ID d’ailleurs. Cet ID est un nom d’application cible unique qui ne peut pas être modifié.
| Icône | Description |
|---|---|
|
Enregistrez ce nom dans la ligne ID de l’application cible du tableau 6 de la feuille de calcul. |
- Dans la zone Nom d’affichage , entrez le nom que vous souhaitez utiliser comme nom d’affichage pour la nouvelle application cible. Par exemple, Application cible de canal sécurisé.
| Icône | Description |
|---|---|
|
Enregistrez ce nom dans la ligne Nom complet de l’application cible du tableau 6 de la feuille de calcul. |
Dans la zone Courrier électronique du contact , entrez le nom du contact principal pour cette application cible.
Dans la section Champs d’informations d’identification , procédez comme suit :
Dans la colonne Nom du champ , dans la première ligne, supprimez tout texte existant qui se trouve dans la zone, puis entrez Certificat.
Dans la colonne Type de champ , dans la première ligne, dans la liste déroulante, sélectionnez Certificat.
Dans la colonne Nom du champ , dans la deuxième ligne, supprimez tout texte existant qui se trouve dans la zone, puis entrez Mot de passe du certificat.
Remarque
Vous devez suivre cette étape uniquement si vous importez le certificat à partir d’un certificat qui contient une clé privée, comme un fichier Private Information Exchange (.pfx).
Dans la colonne Type de champ , dans la deuxième ligne, dans la liste déroulante, sélectionnez Mot de passe du certificat.
La section informations d’identification doit ressembler à l’illustration suivante.
Dans la section Administrateurs de l’application cible , dans la zone , entrez les noms des utilisateurs qui auront accès pour gérer les paramètres de cette application cible. Veillez à ajouter tous les utilisateurs qui vont tester la configuration hybride afin qu’ils puissent apporter des modifications, si nécessaire.
Dans la section Membres, dans la zone , entrez les noms des Microsoft Entra utilisateurs et groupes que vous souhaitez activer pour utiliser des solutions hybrides.
L’administrateur général Microsoft 365 peut créer des groupes Microsoft Entra. Il s’agit de groupes de domaines, et non de SharePoint dans les groupes Microsoft 365.
| Icône | Description |
|---|---|
|
Une liste de ces utilisateurs, ou du groupe auquel ils ont été ajoutés, est répertoriée dans la ligne Utilisateurs fédérés du tableau 1 de la feuille de calcul. |
Sélectionnez OK.
Cochez la case case activée en regard de l’ID de l’application cible que vous avez créée (par exemple, SecureChannelTargetApp).
| Icône | Description |
|---|---|
|
Ce nom est répertorié dans la ligne Nom complet de l’application cible du tableau 6 de la feuille de calcul. |
Sous l’onglet Modifier , dans le groupe Informations d’identification , sélectionnez Définir.
Dans la boîte de dialogue Définir les informations d’identification pour l’application cible du magasin sécurisé , procédez comme suit :
En regard du champ Certificat , sélectionnez Parcourir.
Accédez à l’emplacement du certificat SSL du canal sécurisé, sélectionnez le certificat, puis sélectionnez Ouvrir.
| Icône | Description |
|---|---|
|
Le nom et l’emplacement de ce certificat sont enregistrés dans la ligne Emplacement du certificat SSL du canal sécurisé et nom de fichier du tableau 4b de la feuille de calcul. |
- Si le certificat que vous utilisez contient une clé privée, telle qu’un fichier Private Information Exchange (.pfx), dans le champ Mot de passe du certificat , entrez le mot de passe du certificat. Sinon, passez à l’étape 12.
| Icône | Description |
|---|---|
|
Le mot de passe est enregistré dans la ligne Mot de passe du certificat SSL du canal sécurisé du tableau 4b de la feuille de calcul. |
Dans le champ Confirmer le mot de passe du certificat , entrez à nouveau le mot de passe du certificat.
Sélectionnez OK.
Pour plus d’informations, voir Configurer le service Banque d’informations sécurisé dans SharePoint Server.
Validation et étapes suivantes
Une fois les tâches de configuration effectuées dans cette rubrique, vous devez valider les éléments suivants :
Vérifiez que votre nom de domaine Internet public peut être résolu dans DNS.
Vérifiez que vous pouvez vous connecter à l’application web principale à l’aide des URL internes et externes.
Vérifiez que vous pouvez accéder à une collection de sites locale dans l’application web principale à partir d’Internet à l’aide de l’URL externe de votre point de terminaison de proxy inverse. Le certificat SSL du canal sécurisé doit être installé sur l’ordinateur que vous utilisez pour cette étape de validation dans le magasin de certificats personnel du compte d’ordinateur.
Une fois que vous avez terminé et validé les tâches de configuration de cette rubrique, revenez à votre feuille de route de configuration.