Создание сайта экстрасети для пользователей в локальном каталоге

Существует три основных сценария, в которых может потребоваться настроить сайт экстрасети в SharePoint в Microsoft 365:

• У вас есть пользователи-партнеры в локальном каталоге, и вы хотите создать для них пространство для совместной работы, изолированное от остальной части интрасети. Это то, что мы рассмотрим в этой статье.
• Вы хотите создать пространство для совместной работы для пользователей, находящихся в другом Azure AD клиенте.
• Вы хотите создать пространство для совместной работы для внешних пользователей с учетной записью Майкрософт.

В этой статье мы рассмотрим, как создать сайт экстрасети в SharePoint для пользователей, которые уже находятся в локальном каталоге. Рекомендуемый подход — поместить пользователей-партнеров в поддомен обычного домена. (Например, если ваш обычный домен является contoso.com, поместите пользователей партнеров в partners.contoso.com.) Это позволяет управлять этими пользователями в Microsoft 365 отдельно от обычных пользователей.

Ниже приведены основные действия, которые мы будем выполнять в этой статье.

1. Зарегистрируйте поддомен в Microsoft 365.
2. Настройте для пользователей-партнеров использование суффикса имени участника-пользователя, соответствующего используемому поддомену.
3. Поместите пользователей-партнеров в группу безопасности.
4. Синхронизация пользователей и группы безопасности с Microsoft 365.
5. Настройте пользователей партнеров в качестве гостей в Azure Active Directory.
6. Создайте сайт экстрасети в SharePoint.
7. Предоставление общего доступа к сайту экстрасети группе безопасности, содержащей пользователей-партнеров.

Перед началом работы убедитесь, что вы настроили синхронизацию учетных записей между локальной службой каталогов и Office 365.

Подготовка пользователей партнеров и поддомена

Первым шагом является регистрация поддомена в Microsoft 365.

Регистрация поддомена в Office 365

1. В Центр администрирования Microsoft 365 выберите Параметры, а затем — Домены.
2. В разделе "Домены" нажмите кнопку Добавить домен для запуска мастера.
3. Введите имя поддомена, который вы хотите использовать, а затем следуйте инструкциям мастера.

Дополнительные сведения о добавлении домена в Microsoft 365 см. в статье Добавление дополнительных доменов в Office 365.

Следующим шагом является создание суффикса имени участника-пользователя, соответствующего зарегистрированным поддомену. Для этого необходимо быть администратором домена в доменные службы Active Directory.

Создание суффикса имени участника-пользователя

1. На сервере доменные службы Active Directory откройте домены и отношения доверия Active Directory.
2. В левой области щелкните правой кнопкой мыши узел верхнего уровня и выберите пункт Свойства.
3. В диалоговом окне Суффиксы имени участника-пользователя введите суффикс домена в поле Альтернативные суффиксы имени участника-пользователя , который требуется для пользователей-партнеров.
4. Нажмите кнопку Добавить, а затем — кнопку ОК.

Следующий шаг — назначить это имя участника-пользователя каждому из ваших пользователей-партнеров. Используйте следующую процедуру для каждой учетной записи пользователя, которую вы хотите использовать с экстрасетью.

Назначение суффикса домена имени участника-пользователя вручную

1. В Пользователи и компьютеры Active Directory в левой области щелкните узел Пользователи.
2. В столбце Имя щелкните правой кнопкой мыши учетную запись пользователя, которую требуется включить в федерацию, и выберите пункт Свойства.
3. В диалоговом окне Свойства откройте вкладку Учетная запись .
4. Выберите суффикс домена имени участника-пользователя, добавленный в предыдущей процедуре, в раскрывающемся списке.
5. Нажмите кнопку ОК.

После обновления всех пользователей партнеров мы настоятельно рекомендуем поместить их в группу безопасности для простого администрирования.

На этом этапе пользователи-партнеры готовы к синхронизации с Microsoft 365. Включите их вместе с группой безопасности, созданной при синхронизации следующего пользователя с Azure Active Directory Connect.

Как только вы увидите своих партнеров в списке пользователей в Microsoft 365, следующим шагом будет пометить их как гостей в Azure Active Directory. Это не позволит им получить доступ к сайтам и документам, которые не были предоставлены им явным образом (например, к сайтам, к которым предоставлен общий доступ всем).

Установка пользователей в качестве гостей

1. Запустите модуль Windows Azure Active Directory для Windows PowerShell от имени администратора. Задайте для атрибута userTypeзначение Guest, следуя одному из приведенных ниже примеров.

   • Пример 1. В этом примере показано, как задать для атрибута userType значение Guest для joe@partners.contoso.com.

     • $user=Get-MsolUser –UserPrincipalName joe@partners.contoso.com
     • Set-MsolUser -ObjectID <AAD ID of the user object, $user.objectid> -userType Guest

   • Пример 2.В этом примере показано, как задать атрибуту userType значение Guest для всех пользователей с суффиксом upn "partners.contoso.com".

     • $users = Get-MsolUser | where {$_.UserPrincipalName –match “partner.contoso.com”} Foreach ($user in $users)
     • Foreach ($user in $users)
     • { Set-MsolUser -ObjectID $user.objectid -userType Guest }

На этом этапе все пользователи-партнеры настроены, и вы можете предоставлять им общий доступ к сайтам и документам. Далее мы настроим для них сайт экстрасети.

Подготовка сайта экстрасети партнера

Сайт экстрасети SharePoint — это просто семейство веб-сайтов, настроенное для внешнего общего доступа. В этом случае мы настроим семейство веб-сайтов для пользователей-партнеров, добавленных в Microsoft 365 в поддомене.

Первым шагом является создание семейства веб-сайтов.

Создание семейства веб-сайтов для экстрасети

1. В Центре администрирования SharePoint на странице семейств веб-сайтов щелкните Создать, а затем — Частное семейство веб-сайтов.
2. В поле Название введите название семейства веб-сайтов.
3. В поле Адрес веб-сайта введите ИМЯ URL-адреса семейства веб-сайтов.
4. Выберите шаблон, который вы хотите использовать.
5. В поле Администратор введите администратора этого семейства веб-сайтов.
6. Нажмите кнопку ОК.

Создание семейства веб-сайтов займет несколько минут. Когда он будет доступен в списке семейств веб-сайтов, следующим шагом является настройка внешнего общего доступа. Убедитесь, что внешний общий доступ включен на уровне клиента , иначе параметры общего доступа будут неактивными.

Настройка внешнего общего доступа для семейства веб-сайтов экстрасети

1. В Центре администрирования SharePoint на странице семейств веб-сайтов выберите поле проверка для семейства веб-сайтов, созданного для экстрасети.
2. Щелкните Общий доступ.
3. Выберите параметр Разрешить общий доступ только внешним пользователям, которые уже существуют в каталоге вашей организации .
4. Нажмите кнопку Сохранить.

Теперь ваш сайт экстрасети настроен так, чтобы разрешить общий доступ к пользователям партнеров, которые вы синхронизировали из доменные службы Active Directory.

Предоставление общего доступа к сайту экстрасети партнера

Используйте следующую процедуру, чтобы предоставить доступ к сайту экстрасети пользователям-партнерам.

Предоставление общего доступа к сайту экстрасети пользователям экстрасети

1. На созданном сайте экстрасети щелкните Поделиться.
2. Введите группу безопасности, созданную и синхронизированную с Microsoft 365, и нажмите кнопку Общий доступ.
3. Отправьте пользователям-партнерам ссылку на сайт.

Вы можете администрировать пользователей на этом сайте с помощью доменные службы Active Directory локальной среды, поддерживая самих пользователей и связанную группу безопасности. Обновления синхронизируются с Microsoft 365 с помощью Azure Active Directory Connect.

Убедитесь, что административные процедуры включают обновление имени участника-пользователя для новых пользователей-партнеров и преобразование их в гостей после синхронизации с Office 365.

См. также

Общий доступ к ограниченным доменам в SharePoint в Microsoft 365 и OneDrive для работы или учебы