fbpx

Como podemos te ajudar hoje?

Guia de configuração do modo de serviço de edição do SharePoint Office Online

Você está aqui:
< Voltar

Guia de configuração do modo de serviço de edição do SharePoint Office Online

Servidor MyWorkDrive 6.1.1 ou superior Necessário:

A opção Modo de Serviço de Edição do SharePoint Office Online funciona copiando temporariamente o arquivo a ser editado usando a API do Azure Graph em execução como um Serviço de Aplicativo AAD com permissões para um site dedicado do SharePoint Online. Um bloqueio de arquivo é colocado no arquivo local, monitorado para edições e coedições e, finalmente, removido quando a edição é concluída no Site do SharePoint. Ao contrário da nossa opção OneDrive, a opção de edição do SharePoint centraliza os arquivos temporários em um único site em vez de colocá-los na pasta OneDrive de cada usuário e não requer permissões de usuário no site do SharePoint.

Com a opção de edição do SharePoint Office, os clientes precisarão especificar um site do SharePoint para armazenar documentos temporários e protegê-los com permissões apenas para os proprietários do site do SharePoint e o aplicativo do Azure AD dedicado. Ao bloqueá-lo apenas para proprietários de sites do SharePoint e seu próprio registro de aplicativo do Azure AD, os administradores estão garantindo o mais alto nível de segurança.

O modo de serviço de aplicativo utiliza a nova função de permissão do aplicativo Azure Graph API Site.Selected. O gráfico da Microsoft agora oferece a opção de conceder permissões granulares usando os novos sites de API de gráfico.Permissão de aplicativo selecionada para cada registro de aplicativo do AAD em vez de conceder permissão para todos os sites no locatário. A permissão da API do Azure Graph – Sites.Selected – não fornece acesso a nenhum conjunto de sites do SharePoint para o aplicativo, a menos que o aplicativo AAD tenha recebido as funções de permissão: (leitura/gravação) por um administrador do SharePoint. Nenhuma permissão ou delegação de usuário será necessária no Site do SharePoint Online. O novo Site da API do Azure Graph. O modo de serviço do Aplicativo do Azure AD MyWorkDrive selecionado oferece os seguintes benefícios de segurança:

  • Nenhum acesso do usuário ao site do SharePoint ou arquivos temporários
  • O registro de aplicativo do Azure AD concedeu direitos apenas a um site dedicado controlado por proprietários do SharePoint (sem acesso a outros sites, arquivos ou logins do SharePoint).
  • Os usuários editam online usando um link de compartilhamento temporário bloqueado organizacionalmente sem permissões para o site do SharePoint Online.
  • Os proprietários de sites do SharePoint podem restaurar arquivos temporários ou esvaziar a lixeira automaticamente usando o Power Automate.

Etapa 1: configuração do site do SharePoint

Crie um site de equipe no SharePoint Online – observe a URL: por exemplo, https://wanpath.sharepoint.com/sites/MyWorkDriveEdit

Forneça o nome do site, configurações de privacidade (privado – somente membros podem acessar este site).

Especifique quaisquer proprietários adicionais:

Remova permissões, componentes e visualizações conforme necessário:

Início rápido das configurações do site Desabilitar ou Editar:

  • Remover Notebook, Conversas, Páginas, Conteúdo do Site
  • Remover recursos: /sites/MyWorkDriveEdit/_layouts/15/ManageFeatures.aspx
  • Conteúdo a seguir
  • Recomendações do SharePoint
  • Páginas do site
  • Tipo de conteúdo da tarefa de fluxo de trabalho
  • Bibliotecas e listas de sites: /sites/MyWorkDriveEdit/_layouts/15/mcontent.aspx

Personalizar documentos: Configurações avançadas: Abrir documentos no navegador, Tornar novo comando de pasta disponível: Não, Pesquisar: Não, Disponibilidade offline: Não

Configurações de compartilhamento de sites:

  • Somente os proprietários do site podem compartilhar arquivos, pastas e o site
  • Permitir solicitações de acesso: desativado

Observe a URL do site: isso será necessário posteriormente durante a configuração do registro do aplicativo do Azure AD e no servidor MyWorkDrive – por exemplo, https://company.sharepoint.com/sites/MyWorkDriveEdit

Etapa 2: registro de aplicativo personalizado do Azure AD

Cada organização precisará de seu administrador global do Azure AD para criar um registro de aplicativo do Azure AD apenas com acesso à API do Microsoft Graph aos sites.Selected.

Observação de segurança: Observe que este registro de aplicativo em si não fornece nenhuma permissão de site do SharePoint – ele é usado apenas em etapas posteriores para permitir que os proprietários do site do SharePoint concedam permissões a um site específico do SharePoint.

Crie um novo registro de aplicativo do Azure AD no mesmo Azure AD que a assinatura do Office 365 do seu usuário. Isso será usado para permitir que os administradores do SharePoint forneçam permissões de site de aplicativo de API de gráfico.

Em portal.azure.com, faça login usando a conta de administrador global. Abra o Azure Active Directory: https://portal.azure.com/#blade/Microsoft_AAD_IAM/ActiveDirectoryMenuBlade

Clique em Registros de aplicativos: Criar novo registro

Forneça um nome, tipos de conta selecionados e insira sua URL pública do MyWorkDrive com o subsite adicionado de /OfOnShPo/Home/SignInRedirect

Clique em Cadastrar

Opcional:

Em vez de usar seu próprio URL de redirecionamento de servidor público, você pode usar nosso nome de host atribuído pela Cloudflare em nosso domínio MyWorkDrive.net. Nesse caso, a Cloudflare deve ser permitida do Servidor MyWorkDrive para a Cloudflare. Quando o Cloudflare for usado, você precisará inserir https://*.online.myworkdrive.net como um host permitido para seu Aplicativo do Cliente Azure AD em vez de usar seus próprios valores de nome de host.

Os Registros de Aplicativo do Azure AD não permitem inserir um curinga diretamente. Para inserir um curinga, insira um endereço temporário, como https://temp.online.myworkdrive.net/OfOnShPo/Home/SignInRedirect

Para atualizar o URL, clique em Manifesto para editar o manifesto e atualize o URL temporário para https://*.online.myworkdrive.net/OfOnShPo/Home/SignInRedirect.

 

Permissões da API

Clique em permissões de API, Adicionar permissões de aplicativo Graph API: Microsoft Graph – Sites.Selected

Criar segredo do cliente: certificados e segredos: novo segredo do cliente

Nota e Data de Expiração Secreta do Calendário, pois ela precisará ser regenerada naquele momento e atualizada em todos os Servidores MyWorkDrive.

Clique em Autenticação: Habilitar Tokens de Acesso e Tokens de ID.

Copie o valor do segredo do cliente (não o ID do segredo): Mantenha isso em backup e protegido, pois ele será exibido apenas brevemente.

Clique em Visão geral: Copie a ID do aplicativo (cliente): retenha esse valor para uso no Painel de administração do MyWorkDrive.

Copie a ID do diretório (inquilino): retenha esse valor para uso no painel de administração do MyWorkDrive.

*Observe a expiração do segredo do cliente - ele precisará ser renovado antes de expirar e atualizado em cada servidor MyWorkDrive no futuro.

Atualize a identidade visual em seu registro de aplicativo do Azure AD personalizado para verificar o aplicativo ou adicionar o logotipo da empresa conforme desejado.

Etapa 3: conceder permissões de aplicativo de site do SharePoint

O proprietário do site do SharePoint Online precisará conceder permissões de gravação ao aplicativo do Azure AD. Existem vários métodos para conceder permissões de site do SharePoint ao aplicativo do Azure AD. O mais fácil é usar o PnP PowerShell para conceder a permissão. Para conceder a permissão, o Proprietário do SharePoint precisará da ID do Aplicativo de Registro de Aplicativo do Azure e da URL do site.

Além de usar o PnP PowerShell, fizemos um Web Part do SharePoint disponível que adiciona um aplicativo a um site do SharePoint que pode ser usado para conceder permissões.

Para executar os cmdlets do PnP PowerShell, você precisará executar a instalação do PnP PowerShell e executar os seguintes comandos (usando sua própria URL do site do SharePoint):

  1. Baixe e instale o módulo PnP PowerShell executando:

Módulo de instalação PnP.PowerShell

  1. Conecte-se ao Centro de Administração do SharePoint Online de seu locatário e faça login usando uma conta com Permissões de Proprietário no site do SharePoint:

Connect-PnPOnline -Url https://wanpathdev.sharepoint.com/site/MyWorkDriveEdit -Interactive

  1. Conceda as permissões de gravação do aplicativo do Azure AD ao site:

Grant-PnPAzureADAppSitePermission -AppId 'xxxxxxx-xxxxxxx-xxxx-xxxx-xxxxxxxx' -DisplayName 'mwd-service' -Site 'https://wanpathdev.sharepoint.com/sites/MyWorkDriveEdit' -Permissions Write

Etapa 4: Configuração do servidor MyWorkDrive

Cole os valores da ID do aplicativo do Azure AD, Segredo, ID de domínio de locatário único, URL do seu servidor e, finalmente, a URL do site do SharePoint:

A edição do Office Online usando o site do SharePoint agora deve estar pronta para teste usando seu registro de aplicativo personalizado do Azure AD.

Processo de bloqueio e monitoramento de arquivos

Quando os arquivos são abertos usando a opção de edição do SharePoint, eles são bloqueados no servidor MyWorkDrive e configurados para permitir a coedição. Se outros usuários desejarem, eles podem coeditar o arquivo no Office Online por meio do navegador. Os usuários tradicionais da unidade mapeada ou do escritório local receberão uma mensagem de arquivo bloqueado enquanto o usuário tiver o arquivo aberto para edição no Office Online SharePoint Edit.

O servidor MyWorkDrive monitorará os arquivos para alterações a cada 1 minuto. Se forem encontradas alterações, elas serão copiadas para o Compartilhamento de Arquivos do Windows. Se nenhuma alteração for encontrada, o MyWorkDrive tentará determinar se o usuário concluiu a edição. Se o usuário fechar a guia do navegador, o arquivo será removido do SharePoint imediatamente após copiar as alterações de volta para o Compartilhamento de Arquivos do Windows por meio do MyWorkDrive. Se a comunicação for perdida, o MyWorkDrive tentará remover o arquivo até que ele seja desbloqueado no SharePoint.

O MyWorkDrive tentará fechar a guia do navegador do usuário se nenhuma alteração for feita no documento que exceda a configuração geral de tempo limite ocioso.

 

Configurações de tempo limite da sessão

Para evitar que os usuários mantenham arquivos ociosos abertos para coedit, os clientes podem querer definir as configurações de tempo limite ocioso https://docs.microsoft.com/en-us/sharepoint/sign-out-inactive-users.

  • A política é aplicável a todo o locatário e não pode ter escopo para usuários/usuários ou sites do SharePoint.
  • Ele não desconectará usuários que estiverem em dispositivos gerenciados ou selecionará Manter-me conectado durante a entrada (não desconectará usuários que estiverem em dispositivos gerenciados ou selecionará Manter-me conectado durante a entrada).

 

Políticas de acesso condicional também podem ser usadas https://docs.microsoft.com/en-us/azure/active-directory/active-directory-conditional-access-technical-reference#cloud-apps-assignments.