Wie können wir Ihnen heute helfen?

Einrichtungshandbuch für den SharePoint Office Online-Bearbeitungsdienstmodus

Du bist da:
< Zurück

Einrichtungshandbuch für den SharePoint Office Online-Bearbeitungsdienstmodus

MyWorkDrive 6.1.1 Server oder höher Erforderlich:

Die Option SharePoint Office Online-Bearbeitungsdienstmodus funktioniert, indem die zu bearbeitende Datei mithilfe der Azure Graph-API, die als AAD-Anwendungsdienst mit Berechtigungen ausgeführt wird, vorübergehend auf eine dedizierte SharePoint Online-Website kopiert wird. Die Datei wird lokal mit einer Dateisperre versehen, auf Bearbeitungen und Mitbearbeitungen überwacht und schließlich entfernt, sobald die Bearbeitung von der SharePoint-Website abgeschlossen ist. Im Gegensatz zu unserer OneDrive-Option zentralisiert die SharePoint-Bearbeitungsoption temporäre Dateien auf einer einzelnen Website, anstatt sie im OneDrive-Ordner jedes Benutzers zu platzieren, und erfordert keine Benutzerberechtigungen auf der SharePoint-Website.

Mit der SharePoint Office-Bearbeitungsoption müssen Kunden eine SharePoint-Site angeben, um temporäre Dokumente zu speichern und sie mit Berechtigungen nur für die SharePoint-Site-Besitzer und die dedizierte Azure AD-Anwendung zu sichern. Indem sie nur für Eigentümer von SharePoint-Websites und ihre eigene Azure AD-App-Registrierung gesperrt werden, gewährleisten Administratoren ein Höchstmaß an Sicherheit.

Der Anwendungsdienstmodus verwendet die neue Anwendungsberechtigungsrolle „Site.Selected“ der Azure Graph-API. Microsoft Graph bietet jetzt die Möglichkeit, mithilfe der neuen Graph-API-Sites detaillierte Berechtigungen zu erteilen. Ausgewählte Anwendungsberechtigung für jede AAD-Anwendungsregistrierung anstatt die Erlaubnis für alle Websites im Mandanten zu erteilen. Die Azure Graph-API-Berechtigung – Sites.Selected – bietet keinen Zugriff auf SharePoint-Websitesammlungen für die Anwendung, es sei denn, der AAD-Anwendung wurden von einem SharePoint-Administrator zusätzlich die Berechtigungsrollen (Lesen/Schreiben) zugewiesen. Auf der SharePoint Online-Site sind keine Benutzerberechtigungen oder Delegierungen erforderlich. Der neue Azure Graph API Site.Selected MyWorkDrive Azure AD-Anwendungsdienstmodus bietet die folgenden Sicherheitsvorteile:

  • Kein Benutzerzugriff auf die SharePoint-Website oder temporäre Dateien
  • Die Azure AD-App-Registrierung gewährte nur Rechte für eine dedizierte Website, die von SharePoint-Besitzern kontrolliert wird (kein Zugriff auf andere SharePoint-Websites, -Dateien oder -Anmeldungen).
  • Benutzer bearbeiten online unter Verwendung eines temporären, organisatorisch gesperrten Freigabelinks ohne Berechtigungen für die SharePoint Online-Site.
  • Besitzer von SharePoint-Websites können mithilfe von Power Automate temporäre Dateien wiederherstellen oder den Papierkorb automatisch leeren.

Schritt 1: Einrichtung der SharePoint-Site

Erstellen Sie eine Team-Site in SharePoint Online – notieren Sie sich die URL: z. B. https://wanpath.sharepoint.com/sites/MyWorkDriveEdit

Geben Sie den Site-Namen und die Datenschutzeinstellungen an (Privat – nur Mitglieder können auf diese Site zugreifen).

Geben Sie alle zusätzlichen Eigentümer an:

Entfernen Sie nach Bedarf Berechtigungen, Komponenten und Ansichten:

Site-Einstellungen Schnellstart entweder deaktivieren oder bearbeiten:

  • Entfernen Sie Notizbuch, Gespräche, Seiten, Website-Inhalte
  • Funktionen entfernen: /sites/MyWorkDriveEdit/_layouts/15/ManageFeatures.aspx
  • Folgender Inhalt
  • SharePoint-Empfehlungen
  • Website-Seiten
  • Workflow-Aufgaben-Inhaltstyp
  • Website-Bibliotheken und -Listen: /sites/MyWorkDriveEdit/_layouts/15/mcontent.aspx

Dokumente anpassen: Erweiterte Einstellungen: Dokumente im Browser öffnen, Befehl „Neuen Ordner erstellen“ verfügbar: Nein, Suche: Nein, Offline-Verfügbarkeit: Nein

Site-Sharing-Einstellungen:

  • Nur Websitebesitzer können Dateien, Ordner und die Website freigeben
  • Zugriffsanfragen zulassen: Aus

Notieren Sie sich die Site-URL: Diese wird später bei der Einrichtung der Azure AD-App-Registrierung und auf dem MyWorkDrive-Server benötigt – z. B. https://company.sharepoint.com/sites/MyWorkDriveEdit

Schritt 2: Benutzerdefinierte Azure AD-App-Registrierung

Jede Organisation benötigt ihren globalen Azure AD-Administrator, um eine Azure AD-App-Registrierung mit nur Microsoft Graph-API-Zugriff auf Sites zu erstellen. Ausgewählt.

Sicherheitshinweis: Beachten Sie, dass diese Anwendungsregistrierung selbst keine SharePoint-Site-Berechtigungen bereitstellt – sie wird nur in späteren Schritten verwendet, um den Besitzern der SharePoint-Site zu ermöglichen, ihr Berechtigungen für eine bestimmte SharePoint-Site zu erteilen.

Erstellen Sie eine neue Azure AD-App-Registrierung im selben Azure AD wie das Office 365-Abonnement Ihres Benutzers. Dies wird verwendet, um SharePoint-Administratoren die Bereitstellung von Site-Berechtigungen für die Graph-API-Anwendung zu ermöglichen.

Melden Sie sich auf portal.azure.com mit dem globalen Administratorkonto an. Rufen Sie Azure Active Directory auf: https://portal.azure.com/#blade/Microsoft_AAD_IAM/ActiveDirectoryMenuBlade

Klicken Sie auf App-Registrierungen: Neue Registrierung erstellen

Geben Sie einen Namen und ausgewählte Kontotypen an und fügen Sie Ihre öffentliche MyWorkDrive-URL mit der hinzugefügten Unterwebsite /OfOnShPo/Home/SignInRedirect ein

Klicken Sie auf Registrieren

Optional:

Anstatt Ihre eigene öffentliche Server-Umleitungs-URL zu verwenden, können Sie unseren von Cloudflare zugewiesenen Hostnamen unter unserer MyWorkDrive.net-Domäne verwenden. In diesem Fall muss Cloudflare vom MyWorkDrive-Server zu Cloudflare zugelassen werden. Wenn Cloudflare verwendet wird, müssen Sie sich anmelden https://*.online.myworkdrive.net als zulässiger Host für Ihre Azure AD-Kundenanwendung, anstatt Ihre eigenen Hostnamenswerte zu verwenden.

Bei Azure AD-App-Registrierungen ist die direkte Eingabe eines Platzhalters nicht möglich. Um einen Platzhalter einzugeben, geben Sie eine temporäre Adresse ein, z https://temp.online.myworkdrive.net/OfOnShPo/Home/SignInRedirect

Um die URL zu aktualisieren, klicken Sie auf Manifest, um das Manifest zu bearbeiten und die temporäre URL zu aktualisieren https://*.online.myworkdrive.net/OfOnShPo/Home/SignInRedirect.

 

API-Berechtigungen

Klicken Sie auf API-Berechtigungen, Graph-API-Anwendungsberechtigungen hinzufügen: Microsoft Graph – Sites.Ausgewählt

Client-Geheimnis erstellen: Zertifikate & Geheimnisse: Neues Client-Geheimnis

Notieren Sie sich das geheime Ablaufdatum des Kalenders, da es zu diesem Zeitpunkt neu generiert und auf allen MyWorkDrive-Servern aktualisiert werden muss.

Klicken Sie auf Authentifizierung: Zugriffstoken und ID-Token aktivieren.

Kopieren Sie den geheimen Clientwert (nicht die geheime ID): Bewahren Sie dies auf und sichern Sie es, da es nur kurz angezeigt wird.

Klicken Sie auf Übersicht: Kopieren Sie die Anwendungs-(Client-)ID: Behalten Sie diesen Wert für die Verwendung im MyWorkDrive-Adminbereich bei.

Kopieren Sie die Verzeichnis-(Mandanten-)ID: Behalten Sie diesen Wert für die Verwendung im MyWorkDrive-Admin-Panel bei.

*Beachten Sie den geheimen Client-Ablauf – dieser muss vor Ablauf erneuert und in Zukunft auf jedem MyWorkDrive-Server aktualisiert werden.

Aktualisieren Sie das Branding in Ihrer benutzerdefinierten Azure AD-App-Registrierung, um die App zu verifizieren, oder fügen Sie das Firmenlogo nach Bedarf hinzu.

Schritt 3: Erteilen Sie Berechtigungen für SharePoint-Websiteanwendungen

Der Eigentümer der SharePoint Online-Website muss der Azure AD-Anwendung Schreibberechtigungen erteilen. Es gibt mehrere Methoden, um der Azure AD-Anwendung SharePoint-Site-Berechtigungen zu erteilen. Am einfachsten ist es, die Berechtigung mit PnP PowerShell zu erteilen. Um die Berechtigung zu erteilen, benötigt der SharePoint-Besitzer die App-ID für die Azure-Anwendungsregistrierung und die Website-URL.

Zusätzlich zur Verwendung von PnP PowerShell haben wir eine SharePoint-Webpart verfügbar die einer SharePoint-Website eine App hinzufügt, die zum Erteilen von Berechtigungen verwendet werden kann.

Um die PnP-PowerShell-Cmdlets auszuführen, müssen Sie PnP-PowerShell installieren und die folgenden Befehle ausführen (unter Verwendung Ihrer eigenen SharePoint-Website-URL):

  1. Laden Sie das PnP-PowerShell-Modul herunter und installieren Sie es, indem Sie Folgendes ausführen:

Install-Modul PnP.PowerShell

  1. Stellen Sie eine Verbindung zum SharePoint Online Admin Center Ihres Mandanten her und melden Sie sich mit einem Konto mit Eigentümerberechtigungen auf der SharePoint-Website an:

Connect-PnPOnline -URL https://wanpathdev.sharepoint.com/site/MyWorkDriveEdit -Interactive

  1. Erteilen Sie der Azure AD-Anwendung Schreibberechtigungen für die Site:

Grant-PnPAzureADAppSitePermission -AppId 'xxxxxxx-xxxxxxx-xxxx-xxxx-xxxxxxx' -DisplayName 'mwd-service' -Site 'https://wanpathdev.sharepoint.com/sites/MyWorkDriveEdit' -Permissions Write

Schritt 4: Konfiguration des MyWorkDrive-Servers

Fügen Sie die Werte der Azure AD-Anwendungs-ID, des Geheimnisses, der Einzelmandantendomänen-ID, Ihrer Server-URL und schließlich Ihrer SharePoint-Site-URL ein:

Die Office Online-Bearbeitung mithilfe der SharePoint-Website sollte jetzt zum Testen mit Ihrer benutzerdefinierten Azure AD-App-Registrierung bereit sein.

Prozess zum Sperren und Überwachen von Dateien

Wenn Dateien mit der SharePoint-Bearbeitungsoption geöffnet werden, werden sie auf dem MyWorkDrive-Server gesperrt und so eingestellt, dass sie die gemeinsame Bearbeitung ermöglichen. Wenn andere Benutzer dies wünschen, können sie die Datei in Office Online über den Browser mitbearbeiten. Benutzer herkömmlicher zugeordneter Laufwerke oder lokaler Büros erhalten eine Dateisperrmeldung, während der Benutzer die Datei zur Bearbeitung in Office Online SharePoint Edit geöffnet hat.

Der MyWorkDrive-Server überwacht Dateien jede Minute auf Änderungen. Wenn Änderungen gefunden werden, werden diese in die Windows-Dateifreigabe kopiert. Wenn keine Änderungen gefunden werden, versucht MyWorkDrive festzustellen, ob der Benutzer die Bearbeitung abgeschlossen hat. Wenn der Benutzer die Browser-Registerkarte schließt, wird die Datei sofort aus SharePoint entfernt, nachdem die Änderungen über MyWorkDrive zurück in die Windows-Dateifreigabe kopiert wurden. Wenn die Kommunikation verloren geht, versucht MyWorkDrive, die Datei zu entfernen, bis sie auf SharePoint entsperrt wird.

MyWorkDrive versucht, den Browser-Tab des Benutzers zu schließen, wenn keine Änderungen am Dokument vorgenommen werden, die die Gesamteinstellung für das Leerlaufzeitlimit überschreiten.

 

Sitzungs-Timeout-Einstellungen

Um zu verhindern, dass Benutzer Leerlaufdateien für die Co-Bearbeitung offen halten, möchten Kunden möglicherweise Zeitüberschreitungseinstellungen für den Leerlauf festlegen https://docs.microsoft.com/en-us/sharepoint/sign-out-inactive-users.

  • Die Richtlinie gilt für den gesamten Mandanten und kann nicht auf Benutzer/Benutzer oder SharePoint-Websites beschränkt werden.
  • Es werden keine Benutzer abgemeldet, die sich auf verwalteten Geräten befinden oder während der Anmeldung „Angemeldet bleiben“ auswählen (Es werden keine Benutzer abgemeldet, die sich auf verwalteten Geräten befinden oder während der Anmeldung „Angemeldet bleiben“ auswählen).

 

Es können auch Richtlinien für bedingten Zugriff verwendet werden https://docs.microsoft.com/en-us/azure/active-directory/active-directory-conditional-access-technical-reference#cloud-apps-assignments.

 

 

 

 

 

 

 

 

 

 

Einrichtungshandbuch für OneDrive Office Online-BearbeitungsserverTesten der Festplattenleistung mit diskspd