Hoe kunnen we u vandaag helpen?
Installatiehandleiding voor SharePoint Office Online-bewerkingsservicemodus
Installatiehandleiding voor SharePoint Office Online-bewerkingsservicemodus
MyWorkDrive 6.1.1 Server of hoger Vereist:
De optie SharePoint Office Online-bewerkingsservicemodus werkt door het te bewerken bestand tijdelijk te kopiëren met behulp van de Azure Graph API die wordt uitgevoerd als een AAD-toepassingsservice met machtigingen voor een speciale SharePoint Online-site. Er wordt ter plaatse een bestandsvergrendeling op het bestand geplaatst, gecontroleerd op bewerkingen en medebewerkingen en uiteindelijk verwijderd zodra de bewerking is voltooid vanaf de SharePoint-site. In tegenstelling tot onze OneDrive-optie centraliseert de SharePoint-bewerkingsoptie tijdelijke bestanden op een enkele site in plaats van ze in de OneDrive-map van elke gebruiker te plaatsen en vereist geen gebruikersmachtigingen op de SharePoint-site.
Met de SharePoint Office Editing-optie moeten klanten een SharePoint-site specificeren om tijdelijke documenten op te slaan en deze te beveiligen met machtigingen voor alleen de SharePoint-site-eigenaren en de speciale Azure AD-toepassing. Door het te vergrendelen voor alleen SharePoint-site-eigenaren en hun eigen Azure AD-app-registratie, zorgen beheerders voor het hoogste beveiligingsniveau.
De Application Service-modus maakt gebruik van de nieuwe Azure Graph API Site.Selected-toepassingsmachtigingsrol. Microsoft Graph biedt nu de mogelijkheid om gedetailleerde machtigingen te verlenen met behulp van de nieuwe Graph API Sites. Geselecteerde toepassingsmachtiging voor elke AAD-toepassingsregistratie in plaats van toestemming te verlenen voor alle sites in de tenant. De Azure Graph API-machtiging – Sites.Selected – biedt geen toegang tot SharePoint-siteverzamelingen voor de toepassing, tenzij aan de AAD-toepassing ook de machtigingsrollen zijn toegewezen: (lezen/schrijven) door een SharePoint-beheerder. Er zijn geen gebruikersmachtigingen of delegatie nodig op de SharePoint Online-site. De nieuwe servicemodus Azure Graph API Site.Selected MyWorkDrive Azure AD Application biedt de volgende beveiligingsvoordelen:
- Geen gebruikerstoegang tot de SharePoint-site of tijdelijke bestanden
- Azure AD-appregistratie verleende alleen rechten aan een speciale site die wordt beheerd door SharePoint-eigenaren (geen toegang tot andere SharePoint-sites, bestanden of aanmeldingen).
- Gebruikers bewerken online met behulp van een tijdelijke, organisatorisch vergrendelde koppeling voor delen zonder machtigingen voor de SharePoint Online-site.
- Eigenaars van SharePoint-sites kunnen tijdelijke bestanden herstellen of de prullenbak automatisch legen met Power Automate.
Inhoud
Site een teamsite maken in SharePoint Online – noteer de URL: bijv. https://wanpath.sharepoint.com/sites/MyWorkDriveEdit
Geef sitenaam, privacy-instellingen op (privé - alleen leden hebben toegang tot deze site).
Geef eventuele extra eigenaren op:
Verwijder indien nodig machtigingen, componenten en weergaven:
Site-instellingen Snel starten ofwel uitschakelen of bewerken:
- Notebook, Gesprekken, Pagina's, Site-inhoud verwijderen
- Functies verwijderen: /sites/MyWorkDriveEdit/_layouts/15/ManageFeatures.aspx
- Inhoud volgen
- SharePoint-aanbevelingen
- Sitepagina's
- Inhoudstype werkstroomtaak
- Sitebibliotheken en lijsten: /sites/MyWorkDriveEdit/_layouts/15/mcontent.aspx
Documenten aanpassen: Geavanceerde instellingen: Documenten openen in de browser, Nieuwe map maken Commando beschikbaar: Nee, Zoeken: Nee, Offline Beschikbaarheid: Nee
Instellingen voor het delen van sites:
- Alleen site-eigenaren kunnen bestanden, mappen en de site delen
- Toegangsverzoeken toestaan: Uit
Let op de site-URL: dit is later nodig tijdens het instellen van de Azure AD-app-registratie en op de MyWorkDrive-server, bijvoorbeeld https://company.sharepoint.com/sites/MyWorkDriveEdit
Stap 2: Aangepaste Azure AD-app-registratie
Elke organisatie heeft zijn Azure AD Global Admin nodig om een Azure AD App-registratie te maken met alleen Microsoft Graph API Access to Sites.Selected.
Beveiligingsopmerking: houd er rekening mee dat deze toepassingsregistratie zelf geen machtigingen voor een SharePoint-site biedt. Het wordt alleen gebruikt in latere stappen om de eigenaars van de SharePoint-site toestemming te geven voor een specifieke SharePoint-site.
Maak een nieuwe Azure AD-appregistratie in dezelfde Azure AD als het Office 365-abonnement van uw gebruiker. Dit wordt gebruikt om SharePoint-beheerders in staat te stellen om API-machtigingen voor de toepassingssite te geven.
Meld u op portal.azure.com aan met een Global Admin Account. Open Azure Active Directory: https://portal.azure.com/#blade/Microsoft_AAD_IAM/ActiveDirectoryMenuBlade
Klik op App-registraties: nieuwe registratie maken
Geef een naam, geselecteerde accounttypen op en voeg uw openbare MyWorkDrive-URL in met als subsite /OfOnShPo/Home/SignInRedirect
Klik op Registreren
Optioneel:
In plaats van je eigen Public Server Redirect URL te gebruiken, kun je onze aan Cloudflare toegewezen hostnaam gebruiken onder ons MyWorkDrive.net-domein. In dit geval moet Cloudflare worden toegestaan van de MyWorkDrive Server naar Cloudflare. Wanneer Cloudflare wordt gebruikt, moet u invoeren https://*.online.myworkdrive.net als toegestane host voor uw Azure AD-klanttoepassing in plaats van uw eigen hostnaamwaarden te gebruiken.
Bij registraties van Azure AD-apps is het niet toegestaan om rechtstreeks een jokerteken in te voeren. Om een jokerteken in te voeren, voert u een tijdelijk adres in, zoals https://temp.online.myworkdrive.net/OfOnShPo/Home/SignInRedirect
Om de URL bij te werken, klikt u op Manifest om het Manifest te bewerken en de tijdelijke URL bij te werken naar: https://*.online.myworkdrive.net/OfOnShPo/Home/SignInRedirect.
API-machtigingen
Klik op API-machtigingen, Graph API-toepassingsmachtigingen toevoegen: Microsoft Graph – Sites.Selected
Clientgeheim maken: certificaten en geheimen: nieuw clientgeheim
Noteer de geheime vervaldatum van de kalender, aangezien deze op dat moment opnieuw moet worden gegenereerd en op alle MyWorkDrive-servers moet worden bijgewerkt.
Klik op Verificatie: Toegangstokens en ID-tokens inschakelen.
Kopieer de geheime waarde van de cliënt (niet de geheime ID): maak hiervan een back-up en beveilig het omdat het slechts kort wordt weergegeven.
Klik op Overzicht: Kopieer de toepassings-ID (client): bewaar deze waarde voor gebruik in het MyWorkDrive-beheerderspaneel.
Kopieer de Directory (tenant) ID: Bewaar deze waarde voor gebruik in het MyWorkDrive Admin Panel.
*Let op de Client Secret Expiration – deze moet worden vernieuwd voordat deze verloopt en in de toekomst op elke MyWorkDrive-server worden bijgewerkt.
Werk de branding op uw aangepaste Azure AD-app-registratie bij om de app te verifiëren of voeg desgewenst het bedrijfslogo toe.
De eigenaar van de SharePoint Online-site moet schrijfmachtigingen verlenen aan de Azure AD-toepassing. Er zijn meerdere methoden om SharePoint Site-machtigingen te verlenen aan de Azure AD-toepassing. Het gemakkelijkst is om PnP PowerShell te gebruiken om de toestemming te verlenen. Om de machtiging te verlenen, heeft de SharePoint-eigenaar de Azure Application Registration App-ID en site-URL nodig.
Naast het gebruik van PnP PowerShell hebben we een SharePoint-webonderdeel beschikbaar die een app toevoegt aan een SharePoint-site die kan worden gebruikt om machtigingen te verlenen.
Om de PnP PowerShell-cmdlets uit te voeren, moet u PnP PowerShell installeren en de volgende opdrachten uitvoeren (met uw eigen SharePoint-site-URL):
- Download en installeer de PnP PowerShell-module door het volgende uit te voeren:
Installatiemodule PnP.PowerShell
- Maak verbinding met het SharePoint Online-beheercentrum van uw tenant en log in met een account met eigenaarsmachtigingen op de SharePoint-site:
Connect-PnPOnline -Url https://wanpathdev.sharepoint.com/site/MyWorkDriveEdit -Interactief
- Verleen de schrijfmachtigingen voor de Azure AD-toepassing aan de site:
Grant-PnPAzureADAppSitePermission -AppId 'xxxxxxx-xxxxxxx-xxxx-xxxx-xxxxxxxx' -DisplayName 'mwd-service' -Site 'https://wanpathdev.sharepoint.com/sites/MyWorkDriveEdit' -Machtigingen Schrijven
Stap 4: MyWorkDrive-serverconfiguratie
Plak de waarden van de Azure AD Application ID, Secret, Single Tenant Domain ID, Your Server URL en tenslotte uw SharePoint Site URL:
Office Online bewerken met SharePoint-site zou nu klaar moeten zijn om te testen met uw aangepaste Azure AD-app-registratie.
Bestandsvergrendeling en bewakingsproces
Wanneer bestanden worden geopend met de SharePoint Editing-optie, worden ze vergrendeld op de MyWorkDrive-server en ingesteld om co-editing toe te staan. Als andere gebruikers dat willen, kunnen ze het bestand in Office Online via de browser mede bewerken. Traditionele Mapped Drive- of lokale kantoorgebruikers ontvangen een bericht dat het bestand is vergrendeld terwijl de gebruiker het bestand open heeft staan voor bewerking in Office Online SharePoint Edit.
De MyWorkDrive-server controleert bestanden elke minuut op wijzigingen. Als er wijzigingen worden gevonden, worden deze gekopieerd naar de Windows File Share. Als er geen wijzigingen worden gevonden, probeert MyWorkDrive vast te stellen of de gebruiker klaar is met bewerken. Als de gebruiker het browsertabblad sluit, wordt het bestand onmiddellijk na het terugkopiëren van de wijzigingen naar de Windows File Share via MyWorkDrive uit SharePoint verwijderd. Als de communicatie is verbroken, probeert MyWorkDrive het bestand te verwijderen totdat het is ontgrendeld op SharePoint.
MyWorkDrive zal proberen het browsertabblad van de gebruiker te sluiten als er geen wijzigingen in het document worden aangebracht die de algemene time-outinstelling voor inactiviteit overschrijden.
Instellingen voor sessietime-out
Om te voorkomen dat gebruikers inactieve bestanden open houden voor co-edit, kunnen klanten de time-outinstellingen voor inactiviteit instellen https://docs.microsoft.com/en-us/sharepoint/sign-out-inactive-users.
- Het beleid is van toepassing op de gehele tenant en kan niet worden toegepast op gebruikers/gebruikers of SharePoint-sites.
- Gebruikers die zich op beheerde apparaten bevinden, worden niet uitgelogd of Keep Me Signed In Tijdens het inloggen geselecteerd (Er worden geen gebruikers uitgelogd die zich op beheerde apparaten bevinden of Keep Me Signed In Tijdens het inloggen worden geselecteerd).
Beleid voor voorwaardelijke toegang kan ook worden gebruikt https://docs.microsoft.com/en-us/azure/active-directory/active-directory-conditional-access-technical-reference#cloud-apps-assignments.
