Существует три основных сценария, в которых может потребоваться настроить сайт экстрасети в SharePoint Microsoft 365:
-
Вы получили учетные записи пользователей в локальном каталоге и хотите создать для них пространство для совместной работы, которое будет изолировано от оставшейся части интрасети. Вот и все, что мы рассмотрим в этой статье.
-
Вы хотите создать пространство для совместной работы для внешних пользователей, у которых есть учетная запись Майкрософт.
В этой статье мы рассмотрим, как создать сайт экстрасети в SharePoint для пользователей, которые уже находятся в локальном каталоге. Рекомендуемый подход состоит в том, чтобы помещать пользователей из вашего партнера в поддомен вашего обычного домена. (Например, если ваш обычный домен — contoso.com, поставьте своих партнеров в partners.contoso.com.) Это позволяет управлять пользователями в Microsoft 365 отдельно от обычных пользователей.
Ниже приведены основные действия, которые необходимо выполнить в этой статье.
-
Зарегистрируйте свой поддомен в Microsoft 365.
-
Настройте для пользователей-партнеров использование суффикса UPN, соответствующего поддоменом, который вы используете.
-
Разместите пользователей-партнеров в группе безопасности.
-
Синхронизируйте пользователей и группу безопасности с Microsoft 365.
-
Настройте пользователей партнера в службе Azure Active Directory как гости.
-
Создание сайта экстрасети в SharePoint.
-
Предоставьте доступ к сайту экстрасети группе безопасности, содержащей пользователей партнера.
Прежде чем начать, убедитесь, что вы настроили синхронизацию учетной записи между локальной службой каталогов и Office 365.
Подготовка пользователей и поддомена для партнеров
Первый этап — зарегистрировать поддомен в Microsoft 365.
Регистрация поддомена в Office 365
-
В центре администрирования Microsoft 365 выберите Параметры, а затем — домены.
-
В разделе "Домены" нажмите кнопку Добавить домен для запуска мастера.
-
Введите имя поддомена, который вы хотите использовать, и следуйте указаниям мастера.
Более подробную информацию о добавлении домена в Microsoft 365 можно найти в разделе Добавление дополнительных доменов в Office 365.
Следующим шагом является создание суффикса UPN, соответствующего поддомену, который вы зарегистрировали. Для этого вы должны быть администратором домена в доменных службах Active Directory.
Создание суффикса имени участника-пользователя
-
На сервере доменных служб Active Directory откройте оснастку "Active Directory — домены и доверие".
-
В левой области щелкните правой кнопкой мыши узел верхнего уровня и выберите пункт Свойства.
-
В диалоговом окне суффиксы UPN введите суффикс домена в поле альтернативные суффиксы UPN , которое вы хотите использовать для пользователей партнера.
-
Нажмите кнопку Добавить, а затем — кнопку ОК.
Следующим шагом является назначение этого имени участника-пользователя каждому из ваших партнеров. Для каждой учетной записи пользователя, которую вы хотите использовать в экстрасети, выполните указанные ниже действия.
Назначение пользователю суффикса домена UPN вручную
-
В левой области окна "пользователи и компьютеры Active Directory" выберите раздел " Пользователи ".
-
В столбце имя щелкните правой кнопкой мыши учетную запись пользователя, которой вы хотите присвоить Федерацию, и выберите пункт свойства.
-
В диалоговом окне Свойства откройте вкладку учетная запись .
-
В раскрывающемся списке выберите суффикс домена UPN, который вы добавили в описанной выше процедуре.
-
Нажмите кнопку ОК.
После того как вы обновите всех ваших партнеров, мы настоятельно рекомендуем вам поместить их в группу безопасности для более простой администрации.
На этом этапе ваши пользователи-партнеры готовы к синхронизации с Microsoft 365. Включите их вместе с группой безопасности, созданной при следующей синхронизации пользователя с Azure Active Directory Connect.
После того как вы видите своих партнеров в списке пользователей Microsoft 365, следующий шаг — пометить их как гости в Azure Active Directory. Это предотвращает получение доступа к сайтам и документам, которые не были явно предоставлены им (например, сайты, к которым предоставлен доступ всем пользователям).
Настройка пользователей в качестве гостей
-
Запустите модуль Windows Azure Active Directory для Windows PowerShell с правами администратора. Задайте для атрибута userType значение "гость", выполнив один из примеров ниже.
-
Пример 1: В этом примере показано, как установить для атрибута userType значение "гость" для Joe@partners.contoso.com.
-
$user = Get-MsolUser – UserPrincipalName joe@partners.contoso.com
-
Set-MsolUser-ObjectID <идентификатор AAD для объекта пользователя, $user. ObjectID> — userType гость
-
-
Пример 2:В этом примере показано, как установить для атрибута userType значение "гость" для всех пользователей с суффиксом upn "Partners.contoso.com".
-
$users = Get-MsolUser | where {$ _. UserPrincipalName — Match "partner.contoso.com"} foreach ($user в $users)
-
Foreach ($user в $users)
-
{Set-MsolUser-ObjectID $user. ObjectID — userType гость}
-
-
На этом этапе все пользователи вашего партнера установлены, и вы можете делиться ими с сайтами и документами. Затем мы настроили для них сайт экстрасети.
Подготовка сайта экстрасети для партнеров
SharePoint сайт экстрасети — это только семейство веб-сайтов, для которого настроен внешний общий доступ. В этом случае мы настроили семейство веб-сайтов для пользователей партнера, добавленных в Microsoft 365 в поддоме.
Первый этап — создать семейство веб-сайтов.
Создание семейства веб-сайтов для экстрасети
-
В центре администрирования SharePoint на странице семейства веб-сайтов нажмите кнопку создатьи выберите пункт Частное семейство веб-сайтов.
-
В поле Название введите название семейства веб-сайтов.
-
В поле адрес веб-сайта введите URL-имя семейства веб-сайтов.
-
Выберите шаблон, который вы хотите использовать.
-
В поле Администратор введите администратора для этого семейства веб-сайтов.
-
Нажмите кнопку ОК.
Создание семейства веб-сайтов может занять некоторое время. После того как оно будет доступно в списке семейств веб-сайтов, необходимо настроить внешний общий доступ. Убедитесь в том, что внешний общий доступ включен на уровне клиента , или параметры общего доступа недоступны.
Настройка внешнего общего доступа к семейству веб-сайтов в экстрасети
-
В центре администрирования SharePoint на странице семейства веб-сайтов установите флажок для семейства веб-сайтов, созданного для экстрасети.
-
Нажмите кнопку общий доступ.
-
Установите флажок Разрешить общий доступ только для внешних пользователей, которые уже есть в каталоге вашей организации .
-
Нажмите кнопку Сохранить.
Теперь сайт экстрасети настроен для предоставления общего доступ пользователям, которые были синхронизированы с доменных служб Active Directory.
Общий доступ к сайту экстрасети для партнеров
Выполните описанные ниже действия, чтобы предоставить доступ к сайту экстрасети пользователям-партнерам.
Предоставление общего доступа к сайту экстрасети для пользователей экстрасети
-
На веб-сайте экстрасети, который вы создали, нажмите кнопку поделиться.
-
Введите группу безопасности, которую вы создали и синхронизируйте с Microsoft 365, и нажмите кнопку поделиться.
-
Отправка пользователям партнера ссылки на сайт.
Вы можете администрировать пользователей на этом сайте с помощью доменных служб Active Directory в локальной среде, сохранив сами пользователи и связанную группу безопасности. Обновления синхронизируются с Microsoft 365 с помощью Azure Active Directory Connect.
Убедитесь в том, что административные процедуры включают обновление имени участника-пользователя для новых пользователей-партнеров и их преобразование в гости после их синхронизации с Office 365.