Hoe kunnen we u vandaag helpen?

Installatiehandleiding voor SharePoint Office Online-bewerkingsservicemodus

U bent hier:
< Terug

Installatiehandleiding voor SharePoint Office Online-bewerkingsservicemodus

MyWorkDrive 6.1.1 Server of hoger Vereist:

De optie SharePoint Office Online-bewerkingsservicemodus werkt door het te bewerken bestand tijdelijk te kopiëren met behulp van de Azure Graph API die wordt uitgevoerd als een AAD-toepassingsservice met machtigingen voor een speciale SharePoint Online-site. Er wordt ter plaatse een bestandsvergrendeling op het bestand geplaatst, gecontroleerd op bewerkingen en medebewerkingen en uiteindelijk verwijderd zodra de bewerking is voltooid vanaf de SharePoint-site. In tegenstelling tot onze OneDrive-optie centraliseert de SharePoint-bewerkingsoptie tijdelijke bestanden op een enkele site in plaats van ze in de OneDrive-map van elke gebruiker te plaatsen en vereist geen gebruikersmachtigingen op de SharePoint-site.

Met de SharePoint Office Editing-optie moeten klanten een SharePoint-site specificeren om tijdelijke documenten op te slaan en deze te beveiligen met machtigingen voor alleen de SharePoint-site-eigenaren en de speciale Azure AD-toepassing. Door het te vergrendelen voor alleen SharePoint-site-eigenaren en hun eigen Azure AD-app-registratie, zorgen beheerders voor het hoogste beveiligingsniveau.

De Application Service-modus maakt gebruik van de nieuwe Azure Graph API Site.Selected-toepassingsmachtigingsrol. Microsoft Graph biedt nu de mogelijkheid om gedetailleerde machtigingen te verlenen met behulp van de nieuwe Graph API Sites. Geselecteerde toepassingsmachtiging voor elke AAD-toepassingsregistratie in plaats van toestemming te verlenen voor alle sites in de tenant. De Azure Graph API-machtiging – Sites.Selected – biedt geen toegang tot SharePoint-siteverzamelingen voor de toepassing, tenzij aan de AAD-toepassing ook de machtigingsrollen zijn toegewezen: (lezen/schrijven) door een SharePoint-beheerder. Er zijn geen gebruikersmachtigingen of delegatie nodig op de SharePoint Online-site. De nieuwe servicemodus Azure Graph API Site.Selected MyWorkDrive Azure AD Application biedt de volgende beveiligingsvoordelen:

  • Geen gebruikerstoegang tot de SharePoint-site of tijdelijke bestanden
  • Azure AD-appregistratie verleende alleen rechten aan een speciale site die wordt beheerd door SharePoint-eigenaren (geen toegang tot andere SharePoint-sites, bestanden of aanmeldingen).
  • Gebruikers bewerken online met behulp van een tijdelijke, organisatorisch vergrendelde koppeling voor delen zonder machtigingen voor de SharePoint Online-site.
  • Eigenaars van SharePoint-sites kunnen tijdelijke bestanden herstellen of de prullenbak automatisch legen met Power Automate.

Stap 1: SharePoint-site instellen

Site een teamsite maken in SharePoint Online – noteer de URL: bijv. https://wanpath.sharepoint.com/sites/MyWorkDriveEdit

Geef sitenaam, privacy-instellingen op (privé - alleen leden hebben toegang tot deze site).

Geef eventuele extra eigenaren op:

Verwijder indien nodig machtigingen, componenten en weergaven:

Site-instellingen Snel starten ofwel uitschakelen of bewerken:

  • Notebook, Gesprekken, Pagina's, Site-inhoud verwijderen
  • Functies verwijderen: /sites/MyWorkDriveEdit/_layouts/15/ManageFeatures.aspx
  • Inhoud volgen
  • SharePoint-aanbevelingen
  • Sitepagina's
  • Inhoudstype werkstroomtaak
  • Sitebibliotheken en lijsten: /sites/MyWorkDriveEdit/_layouts/15/mcontent.aspx

Documenten aanpassen: Geavanceerde instellingen: Documenten openen in de browser, Nieuwe map maken Commando beschikbaar: Nee, Zoeken: Nee, Offline Beschikbaarheid: Nee

Instellingen voor het delen van sites:

  • Alleen site-eigenaren kunnen bestanden, mappen en de site delen
  • Toegangsverzoeken toestaan: Uit

Let op de site-URL: dit is later nodig tijdens het instellen van de Azure AD-app-registratie en op de MyWorkDrive-server, bijvoorbeeld https://company.sharepoint.com/sites/MyWorkDriveEdit

Stap 2: Aangepaste Azure AD-app-registratie

Elke organisatie heeft zijn Azure AD Global Admin nodig om een Azure AD App-registratie te maken met alleen Microsoft Graph API Access to Sites.Selected.

Beveiligingsopmerking: houd er rekening mee dat deze toepassingsregistratie zelf geen machtigingen voor een SharePoint-site biedt. Het wordt alleen gebruikt in latere stappen om de eigenaars van de SharePoint-site toestemming te geven voor een specifieke SharePoint-site.

Maak een nieuwe Azure AD-appregistratie in dezelfde Azure AD als het Office 365-abonnement van uw gebruiker. Dit wordt gebruikt om SharePoint-beheerders in staat te stellen om API-machtigingen voor de toepassingssite te geven.

Meld u op portal.azure.com aan met een Global Admin Account. Open Azure Active Directory: https://portal.azure.com/#blade/Microsoft_AAD_IAM/ActiveDirectoryMenuBlade

Klik op App-registraties: nieuwe registratie maken

Geef een naam, geselecteerde accounttypen op en voeg uw openbare MyWorkDrive-URL in met als subsite /OfOnShPo/Home/SignInRedirect

Klik op Registreren

Optioneel:

In plaats van je eigen Public Server Redirect URL te gebruiken, kun je onze aan Cloudflare toegewezen hostnaam gebruiken onder ons MyWorkDrive.net-domein. In dit geval moet Cloudflare worden toegestaan van de MyWorkDrive Server naar Cloudflare. Wanneer Cloudflare wordt gebruikt, moet u invoeren https://*.online.myworkdrive.net als toegestane host voor uw Azure AD-klanttoepassing in plaats van uw eigen hostnaamwaarden te gebruiken.

Bij registraties van Azure AD-apps is het niet toegestaan om rechtstreeks een jokerteken in te voeren. Om een jokerteken in te voeren, voert u een tijdelijk adres in, zoals https://temp.online.myworkdrive.net/OfOnShPo/Home/SignInRedirect

Om de URL bij te werken, klikt u op Manifest om het Manifest te bewerken en de tijdelijke URL bij te werken naar: https://*.online.myworkdrive.net/OfOnShPo/Home/SignInRedirect.

 

API-machtigingen

Klik op API-machtigingen, Graph API-toepassingsmachtigingen toevoegen: Microsoft Graph – Sites.Selected

Clientgeheim maken: certificaten en geheimen: nieuw clientgeheim

Noteer de geheime vervaldatum van de kalender, aangezien deze op dat moment opnieuw moet worden gegenereerd en op alle MyWorkDrive-servers moet worden bijgewerkt.

Klik op Verificatie: Toegangstokens en ID-tokens inschakelen.

Kopieer de geheime waarde van de cliënt (niet de geheime ID): maak hiervan een back-up en beveilig het omdat het slechts kort wordt weergegeven.

Klik op Overzicht: Kopieer de toepassings-ID (client): bewaar deze waarde voor gebruik in het MyWorkDrive-beheerderspaneel.

Kopieer de Directory (tenant) ID: Bewaar deze waarde voor gebruik in het MyWorkDrive Admin Panel.

*Let op de Client Secret Expiration – deze moet worden vernieuwd voordat deze verloopt en in de toekomst op elke MyWorkDrive-server worden bijgewerkt.

Werk de branding op uw aangepaste Azure AD-app-registratie bij om de app te verifiëren of voeg desgewenst het bedrijfslogo toe.

Stap 3: Machtigingen voor SharePoint-sitetoepassing verlenen

De eigenaar van de SharePoint Online-site moet schrijfmachtigingen verlenen aan de Azure AD-toepassing. Er zijn meerdere methoden om SharePoint Site-machtigingen te verlenen aan de Azure AD-toepassing. Het gemakkelijkst is om PnP PowerShell te gebruiken om de toestemming te verlenen. Om de machtiging te verlenen, heeft de SharePoint-eigenaar de Azure Application Registration App-ID en site-URL nodig.

Let op, de hier beschreven PnP-methode vereist Powershell versie v7 (ze zijn specifiek gemaakt met 7.4.5). Deze instructies zijn mogelijk niet achterwaarts compatibel met eerdere versies van Powershell.

Naast het gebruik van PnP PowerShell hebben we een SharePoint-webonderdeel beschikbaar die een app toevoegt aan een SharePoint-site die kan worden gebruikt om machtigingen te verlenen.

Om de PnP PowerShell-cmdlets uit te voeren, moet u PnP PowerShell installeren en de volgende opdrachten uitvoeren (met uw eigen SharePoint-site-URL):

  1. Download en installeer de PnP PowerShell-module door het volgende uit te voeren:Install-Module PnP.PowerShell
  1. Maak een Azure-app om PNP PowerShell uit te voeren met een interactieve aanmelding:Register-PnPEntraIDAppForInteractiveLogin -ApplicationName “MWDPnP ” -Tenant [yourtenant].onmicrosoft.com -Interactive
    (De ApplicationName is een label. U kunt deze naar wens wijzigen in uw omgeving.)
    U kunt ervoor kiezen om deze applicatie te verwijderen nadat dit proces is voltooid.

    Nadat u deze opdracht hebt ingevoerd, verschijnt er een browservenster waarin u wordt gevraagd om u aan te melden bij Azure om een Azure-toepassing te maken. U wordt mogelijk gevraagd om u meer dan één keer aan te melden. Er kunnen vervolgens pop-ups worden weergegeven waarin u wordt gevraagd om toestemming te verlenen voor de toepassing.
    Deze applicatie faciliteert de communicatie tussen PowerShell en uw SharePoint-site. Meer informatie vindt u in dit document: https://pnp.github.io/powershell/articles/registerapplication.html

    Zodra de applicatie klaar is met maken, zal het een AppID van de nieuw gemaakte Azure Application weergeven. Let hierop, want we hebben dit nodig in de volgende opdracht.

  1. Maak verbinding met het SharePoint Online Admin Center van uw tenant en meld u aan met een account met eigenaarsmachtigingen op de SharePoint-site:Connect-PnPOnline -Url https://uwsubdomein.sharepoint.com/site/uwsitenaam -Interactief -Clientid xxxxxxxxxxxxxxxxxxxx
    (Vervang de URL https://uwsubdomein.sharepoint.com… met uw URL en site die u aan het begin van dit proces hebt aangemaakt)
    (Vervang Clientid xxxxxxxxxxxxxxxxxxxx met de GUID van de vorige opdracht waarmee de app MWDPNP werd gemaakt)
  2. Verleen de Azure AD-toepassing schrijfmachtigingen voor de site:Grant-PnPAzureADAppSitePermission -AppId [AppID van de toepassing die we eerder hebben geregistreerd/MWD-Service] -DisplayName 'mwd-service' -Site 'https://wanpathdev.sharepoint.com/sites/MyWorkDriveEdit'-Machtigingen Schrijven
    (Vervang de URL https://uwsubdomein.sharepoint.com… met uw URL en site die u aan het begin van dit proces hebt aangemaakt)

Stap 4: MyWorkDrive-serverconfiguratie

Plak de waarden van de Azure AD Application ID, Secret, Single Tenant Domain ID, Your Server URL en tenslotte uw SharePoint Site URL:

Office Online bewerken met SharePoint-site zou nu klaar moeten zijn om te testen met uw aangepaste Azure AD-app-registratie.

Bestandsvergrendeling en bewakingsproces

Wanneer bestanden worden geopend met de SharePoint Editing-optie, worden ze vergrendeld op de MyWorkDrive-server en ingesteld om co-editing toe te staan. Als andere gebruikers dat willen, kunnen ze het bestand in Office Online via de browser mede bewerken. Traditionele Mapped Drive- of lokale kantoorgebruikers ontvangen een bericht dat het bestand is vergrendeld terwijl de gebruiker het bestand open heeft staan voor bewerking in Office Online SharePoint Edit.

De MyWorkDrive-server controleert bestanden elke minuut op wijzigingen. Als er wijzigingen worden gevonden, worden deze gekopieerd naar de Windows File Share. Als er geen wijzigingen worden gevonden, probeert MyWorkDrive vast te stellen of de gebruiker klaar is met bewerken. Als de gebruiker het browsertabblad sluit, wordt het bestand onmiddellijk na het terugkopiëren van de wijzigingen naar de Windows File Share via MyWorkDrive uit SharePoint verwijderd. Als de communicatie is verbroken, probeert MyWorkDrive het bestand te verwijderen totdat het is ontgrendeld op SharePoint.

MyWorkDrive zal proberen het browsertabblad van de gebruiker te sluiten als er geen wijzigingen in het document worden aangebracht die de algemene time-outinstelling voor inactiviteit overschrijden.

 

Instellingen voor sessietime-out

Om te voorkomen dat gebruikers inactieve bestanden open houden voor co-edit, kunnen klanten de time-outinstellingen voor inactiviteit instellen https://docs.microsoft.com/en-us/sharepoint/sign-out-inactive-users.

  • Het beleid is van toepassing op de gehele tenant en kan niet worden toegepast op gebruikers/gebruikers of SharePoint-sites.
  • Gebruikers die zich op beheerde apparaten bevinden, worden niet uitgelogd of Keep Me Signed In Tijdens het inloggen geselecteerd (Er worden geen gebruikers uitgelogd die zich op beheerde apparaten bevinden of Keep Me Signed In Tijdens het inloggen worden geselecteerd).

 

Beleid voor voorwaardelijke toegang kan ook worden gebruikt https://docs.microsoft.com/en-us/azure/active-directory/active-directory-conditional-access-technical-reference#cloud-apps-assignments.