Comptes nécessaires pour la configuration et les tests d’un environnement hybride
S’APPLIQUE À :2013 2016 2019 Édition d’abonnement SharePoint dans Microsoft 365
Lorsque vous configurez un environnement hybride SharePoint Server, vous avez besoin de plusieurs comptes d’utilisateur dans votre annuaire Active Directory local et Microsoft 365. Ces comptes nécessitent également différentes autorisations et appartenances de groupe ou de rôle. Certains de ces comptes sont utilisés pour déployer et configurer le logiciel, et certains pour tester des fonctionnalités spécifiques afin de s'assurer que les systèmes d'authentification et de sécurité fonctionnent comme prévu.
Dans un environnement hybride, certains ou tous les comptes d’utilisateur dans Active Directory sont synchronisés avec les services d’annuaire Microsoft Entra. Ces comptes sont appelés utilisateurs fédérés. SharePoint Server et SharePoint dans Microsoft 365 sont configurés avec une relation d’approbation de serveur à serveur (S2S), et les applications de service peuvent être configurées pour permettre aux utilisateurs fédérés d’accéder au contenu et aux ressources des deux batteries de serveurs à l’aide d’une seule identité. Étant donné que les comptes d’utilisateur et les informations d’identification sont synchronisés entre SharePoint Server et SharePoint dans Microsoft 365, la sécurité du contenu de liste et de bibliothèque peut être appliquée dans les deux batteries de serveurs à l’aide du même ensemble d’utilisateurs et de groupes.
Remarque
[!REMARQUE] Ce tableau n'inclut pas les comptes de service, qui peuvent avoir des conditions requises spécifiques pour les fonctionnalités et applications de service dans certaines solutions hybrides SharePoint Server. Pour plus d'informations sur les conditions requises pour chaque solution prise en charge, voir les articles relatifs à la configuration de solutions sur Configuration d'une solution hybride pour SharePoint Server.
Microsoft vous recommande d’utiliser des rôles disposant du moins d’autorisations. L’utilisation de comptes avec autorisation inférieure permet d’améliorer la sécurité de votre organisation. Le rôle d’administrateur général dispose de privilèges élevés. Il doit être limité aux scénarios d’urgence lorsque vous ne pouvez pas utiliser un rôle existant.
Tableau : Comptes nécessaires pour la configuration et les tests d'un environnement hybride SharePoint
Account | Fournisseur d'identité | Rôle |
---|---|---|
Administrateur global |
Microsoft 365 et ID Microsoft Entra |
Utilisez un compte professionnel Microsoft 365 qui a été affecté au rôle Administrateur général pour les tâches de configuration Microsoft 365 telles que la configuration de SharePoint dans les fonctionnalités Microsoft 365, l’exécution de l’ID Microsoft Entra et SharePoint dans les commandes PowerShell Microsoft 365 et le test de SharePoint dans Microsoft 365. |
Administrateur de domaine AD |
AD sur site |
Utilisez un compte AD dans le groupe Administrateurs de domaine pour configurer et tester AD, AD FS, DNS et les certificats, ainsi que pour effectuer d’autres tâches qui nécessitent une élévation. |
SharePoint dans Microsoft 365 Farm Admin |
AD sur site |
Utilisez un compte AD dans le groupe Administrateurs de batterie de serveurs SharePoint dans Microsoft 365 pour les tâches de configuration SharePoint Server telles que l’exécution de commandes PowerShell dans SharePoint dans Microsoft 365 Management Shell pour configurer les approbations S2S, créer et configurer des applications web et des collections de sites, déployer et configurer des bases de données SQL Server et résoudre les problèmes de SharePoint Server. Ce compte doit également disposer de privilèges supplémentaires pour utiliser SharePoint dans Microsoft 365 Management Shell : Appartenance au rôle de serveur fixe securityadmin sur l'instance SQL Server. Appartenance au rôle de base de données fixe db_owner sur toutes les bases de données à mettre à jour. Appartenance au groupe Administrateurs sur le serveur sur lequel vous exécutez les applets de commande PowerShell. |
Utilisateurs fédérés |
AD sur site |
Utilisez des comptes AD qui ont été synchronisés avec Microsoft 365 pour tester l’accès à des ressources spécifiques dans SharePoint Server et SharePoint dans Microsoft 365. Ces comptes, ou groupes dont ils sont membres, doivent disposer d’autorisations sur les collections de sites et les ressources SharePoint Server dans les deux environnements et disposer des licences de produit appropriées attribuées dans l’abonnement Microsoft 365. Ils doivent également être définis de manière à utiliser l'autre suffixe UPN de domaine indiqué pour les utilisateurs fédérés au cours du processus de planification. Vous pouvez configurer plusieurs comptes fédérés avec des autorisations ou des appartenances de groupe différentes pour tester le filtrage de sécurité et l’accès aux ressources de site appropriés. |