Configure um ambiente de pesquisa bidirecional híbrido com o SharePoint Server 2013 e o Office 365

Configure um ambiente de pesquisa bidirecional híbrido com o SharePoint Server 2013 e o Office 365 Este documento é fornecido "no estado em que se encontra". As informações e exibições expressas neste documento, incluindo URLs e outras referências a sites da Internet, podem ser alteradas sem aviso prévio. As informações e exibições expressas neste documento, incluindo URLs e outras referências a sites da Internet, podem ser alteradas sem aviso prévio. Alguns exemplos apresentados aqui são fornecidos exclusivamente para fins ilustrativos e são fictícios. Não há qualquer intenção de associação ou conexão real, nem assim deve ser inferido. Este documento não oferece a você quaisquer direitos legais sobre propriedade intelectual em qualquer produto da Microsoft. Este documento pode ser copiado e usado para fins internos e de referência. Este documento pode ser modificado para fins internos e de referência. 2012 Microsoft Corporation. Todos os direitos reservados.

Configure um ambiente de pesquisa bidirecional híbrido com o SharePoint Server 2013 e o Office 365 Kelley Vice Joseph Davies Aldon Schwimmer Tracy Paddock Microsoft Corporation Dezembro de 2012 Aplica-se a: SharePoint Server 2013, Office 365 Enterprise Resumo: Este documento descreve como configurar um ambiente híbrido que integra o SharePoint Server 2013 e a versão mais recente do Microsoft Office 365 Enterprise, que inclui o novo SharePoint Online, com logon único, gerenciamento de identidade e pesquisa federada bidirecional. Para obter documentos do ambiente híbrido adicionais, consulte Híbrido para SharePoint Server 2013. 2012 Microsoft Corporation. Todos os direitos reservados. Página 2

Sumário Sumário Sumário... 3 Introdução... 4 Antes de começar... 5 Fase 1: Configurar seu ambiente local... 6 Criar e instalar certificados... 6 Configurar o DNS... 7 Configurar mapeamento alternativo de acesso... 7 Configurar os serviços do SharePoint... 8 Configurar seu domínio do AD DS... 8 Instalar e configurar o AD FS 2.0... 8 Configure um dispositivo de proxy reverso... 9 Fase 2: Configurar a infraestrutura de gerenciamento de identidade... 9 Parte A: Configurar o SSO do Office 365... 10 Parte B: Configurar autenticação de servidor para servidor entre servidores locais e do SharePoint Online... 10 Fase 3: Configurar pesquisa... 17 Crie um aplicativo de destino para o repositório do certificado SSL... 17 Visualize os resultados híbridos de pesquisa no SharePoint Server 2013... 19 Validar sua configuração de pesquisa do SharePoint Server... 22 Visualizar resultados híbridos de pesquisa no SharePoint Online... 22 Validar sua configuração de pesquisa do SharePoint Online... 27 2012 Microsoft Corporation. Todos os direitos reservados. Página 3

Introdução Um ambiente híbrido do SharePoint é composto por um SharePoint Server, normalmente implantado no local e pela versão mais recente do Microsoft Office 365 Enterprise, que inclui o novo SharePoint Online. Um ambiente híbrido pode ser configurado para fornecer um dos vários níveis de integração, dependendo do propósito da integração. Este white paper descreve como configurar uma integração bidirecional na qual um farm do SharePoint Server 2013 local e o SharePoint Online podem acessar as informações dos resultados de pesquisa de cada um. Após concluir o procedimento deste white paper, você terá um ambiente bidirecional híbrido do ambiente do SharePoint que fornecerá as seguintes funcionalidades: Logon único (SSO): Os usuários que estiverem conectados à rede corporativa ou ao Office 365 somente terão que fazer a autenticação uma vez em uma determinada sessão para acessar os recursos no farm do SharePoint local e no SharePoint Online. Sincronização de diretórios: As contas de usuário no domínio do Windows AD DS (Serviços de Domínio Active Directory) local são sincronizadas automaticamente com o Office 365. Confiança bidirecional de servidor para servidor: Uma relação de confiança bidirecional com base em certificado é estabelecida entre o farm do SharePoint local e o SharePoint Online. Pesquisa federada bidirecional: Os usuários no Office 365 e no seu ambiente de domínio local serão capazes de obter os resultados da pesquisa do SharePoint que englobam o conteúdo de ambos os locais. O processo de configuração de um ambiente bidirecional híbrido do SharePoint pode ser dividido nas seguintes três etapas principais: 2012 Microsoft Corporation. Todos os direitos reservados. Página 4

1. Preparar seu ambiente. Esta etapa garante que as tecnologias necessárias estão instaladas e configuradas corretamente, Esta etapa inclui as seguintes tarefas: a. Configure um Office 365 Enterprise, que inclua o novo SharePoint Online, plano de assinatura b. Adquirir e instalar os certificados necessários c. Configure um dispositivo de proxy reverso d. Instalar e configurar o AD FS 2.0 2. Configurar o SSO, a sincronização de diretórios e o gerenciamento de identidades. Esta etapa cria conexões básicas que são necessárias para os usuários se conectarem com facilidade aos seus ambientes locais e do Office 365. 3. Configurar a pesquisa. Esta etapa configura a pesquisa para retornar os resultados do farm do SharePoint Server 2013 local e do Office 365 quando você estiver pesquisando a partir de um dos ambientes. Observação: Como o SharePoint Server 2013 é executado como site nos Serviços de Informações da Internet (IIS), os administradores e usuários dependem dos recursos de acessibilidade que o navegador oferece. O SharePoint Server 2013 suporta os recursos de acessibilidade dos navegadores compatíveis. Para obter mais informações, consulte os seguintes recursos: Planejar o suporte a navegadores Acessibilidade do SharePoint 2013 Recursos de acessibilidade nos Produtos do SharePoint 2013 Atalhos do teclado Toque Observação: Há procedimentos do Windows PowerShell neste documento que devem ser executados no Shell de Gerenciamento do SharePoint 2013 ou no Módulo do Microsoft Online Services para Windows PowerShell. Para efeitos de esclarecimento, os procedimentos que contêm comandos do PowerShell utilizam as seguintes convenções: SP Os procedimentos do Shell de Gerenciamento do SharePoint 2013 são identificados com este ícone. MSOL Os procedimentos do Módulo do Microsoft Online Services para Windows PowerShell são identificados com este ícone. Antes de começar Antes de começar os procedimentos deste documento, você vai precisar do seguinte: 1. Um domínio AD DS local operacional em uma floresta que possua um nível funcional da floresta do Windows Server 2008, do Windows Server 2008 R2 ou do Windows Server 2012 2. Um servidor local para o AD FS 2.0 3. Um servidor local para a ferramenta de Sincronização de Diretórios do Microsoft Online Services 4. Um farm do SharePoint Server 2013 local operacional que tenha o seguinte: a. Um conjunto se sites do Enterprise Search configurado com uma URL externa pública (por exemplo, http://sharepoint.adventureworks.com) utilizando mapeamento alternativo de acesso b. Um certificados SSL emitido por uma autoridade raiz pública c. Um proxy de serviço do gerenciamento de aplicativos instalado e publicado no farm do SharePoint 2012 Microsoft Corporation. Todos os direitos reservados. Página 5

d. Um aplicativo de serviço das configurações de assinatura habilitado e configurado e. Um aplicativo de serviço de pesquisa, configurado conforme apropriado. Para obter mais informações, consulte Criar e configurar um aplicativo de serviço de Pesquisa no SharePoint Server 2013 (http://technet.microsoft.com/pt-br/library/gg502597(v=office.15)). 5. Um Office 365 Enterprise, que inclui a nova assinatura do SharePoint Online com 15.0.0.4420 como o número da versão mínimo e fornecido com o SharePoint Online utilizando um dos seguintes planos de assinatura: a. E1 b. E3 Para obter mais informações sobre os planos suportados, consulte a página Planos e preços no site do Office 365. Observação: Para encontrar a versão do seu locatário do Office 365, navegue até o seu conjunto de sites em https://<your Office 365 domain>/_vti_pvt/service.cnf e encontre a entrada vti_extenderversion:sr. O valor que vem depois dessa entrada deve ser no mínimo 15.0.0.4420. 6. Um dispositivo de proxy reverso com uma conexão de Internet que permite tráfego de entrada não solicitado 7. Um domínio da Internet (como http://yourcompany.com) e acesso aos registros DNS deste domínio Fase 1: Configurar seu ambiente local Você deve concluir várias tarefas para configurar seu ambiente local: Criar e instalar certificados Configurar um DNS no AD DS e o serviço de registro de domínios. Configurar os mapeamentos alternativos de acesso para o seu conjunto de sites do SharePoint Habilitar e configurar o serviço do gerenciamento de aplicativos e o serviço de assinatura e site no seu farm do SharePoint Server 2013 Configurar o seu domínio do AD DS local Instalar e configurar o AD FS 2.0 Implantar e configurar um dispositivo de proxy reverso Criar e instalar certificados Os certificados estabelecem relações de confiança entre vários serviços e conexões diferentes em um ambiente híbrido do SharePoint. Esses certificados incluem o seguinte: Certificado SSL: Este certificado estabelece confiança para o canal de comunicação entre o dispositivo de proxy reverso e o Office 365. Ele também verifica a relação de confiança entre o aplicativo de destino do Office 365 e o serviço de pesquisa local. Certificado STS: Este certificado, que substitui o certificado STS do SharePoint padrão, estabelece confiança entre o conjunto de sites do SharePoint local e o SharePoint Online. Observe que os certificados expirarão, geralmente em intervalos de 1 ano, então é importante planejar com antecedência a renovação do certificado para evitar interrupções de serviço. Criar e instalar o certificado SSL 1. Adquira um certificado SSL ou SAN (nomes alternativos de entidade) curinga para o seu domínio (por exemplo, *.sharepoint.adventureworks.com) a partir de uma autoridade de certificação reconhecida, como a VeriSign. Este certificado deve suportar vários nomes. 2012 Microsoft Corporation. Todos os direitos reservados. Página 6

2. Atribua o certificado ao ponto de extremidade publicado do seu conjunto de sites do SharePoint no proxy reverso. 3. No Gerenciador do IIS, em cada servidor Web do SharePoint que estiver executando o serviço de pesquisa, instale o certificado SSL que foi criado anteriormente e o associe ao site do SharePoint. Criar e instalar o certificado STS Para saber como substituir o certificado STS padrão, consulte Etapa 1 na seção Parte B: Configurar autenticação de servidor para servidor entre servidores locais e do SharePoint Online deste documento. Para obter mais informações sobre a substituição do certificado STS em um farm do SharePoint Server, consulte Configurar o serviço de token de segurança (http://technet.microsoft.com/pt-br/library/ee806864.aspx). Configurar o DNS 1. No seu DNS local, crie um registro A para a conexão externa (por exemplo, external.sharepoint.adventureworks.com). 2. No seu DNS do serviço de registro de domínios na Internet, crie um registro A idêntico para a conexão externa. Configurar mapeamento alternativo de acesso Na Administração Central do SharePoint, crie um mapeamento alternativo de acesso para o conjunto de sites do SharePoint utilizando o registro DNS A criado (por exemplo, https://external.sharepoint.adventureworks.com). 1. Crie um novo site do IIS com todas as configurações padrão, com atenção no seguinte: Nomear o site com algo significativo, como SharePoint Atribuir a porta 80 Deixar o cabeçalho de host em branco Escolher a autenticação NTLM Não habilitar SSL Não fornecer uma URL pública Aplicar zona padrão 2. Estender e mapear um novo aplicativo Web para o original. Nomear o aplicativo Web com algo significativo, como híbrido do SharePoint Atribuir a porta 80 Fornecer a URL interna (a URL de entrada do proxy reverso) no cabeçalho de host Não alterar a configuração do SSL Fornecer a URL externa (como https://external.sharepoint.adventureworks.com) para a URL pública Selecionar a área da Internet 3. Adicionar a URL interna ao site para o mapeamento alternativo de acesso. a. Na Administração Central, na seção Gerenciamento de aplicativo, clique em Configurar mapeamentos alternativos de acesso. b. Clique em Adicionar URLs internas. c. No campo Adicionar URL interna, adicione a URL do site do SharePoint (como http://sharepoint.adventureworks.com). d. Aplicar a área da Internet 4. Em um prompt de comando, execute iisreset /noforce. 2012 Microsoft Corporation. Todos os direitos reservados. Página 7

Configurar os serviços do SharePoint Para configurar os serviços de Gerenciamento de aplicativos e Configurações de assinatura, consulte a seção de "Como configurar os aplicativos de serviços das Configurações de Assinatura e do Gerenciamento de Aplicativo" em Configurar um ambiente para aplicativos do SharePoint (SharePoint 2013) (http://technet.microsoft.com/ptbr/library/fp161236(v=office.15).aspx). Configurar seu domínio do AD DS Para sincronizar as contas de domínio com o Office 365, você deve definir o sufixo de nome UPN para que as contas de usuário correspondam ao namespace de domínio público se o seu nome do domínio local não corresponder ao seu namespace de domínio público. Importante: Você somente deve concluir essa etapa se seu nome de domínio local não corresponder ao seu namespace de domínio público. 1. Em um controlador de domínio do AD DS, abra o aplicativo de gerenciamento Domínios e relações de confiança do Active Directory. 2. Clique com o botão direito no nó superior na janela de navegação, em seguida, clique em Propriedades. 3. Adicione o sufixo UPN para o seu domínio. Ele deve ser o Nome de Domínio Totalmente Qualificado do domínio. 4. Defina o novo sufixo UPN para cada conta de usuário no domínio para o qual você deseja habilitar o SSO. As contas de usuário com os sufixos UPN que não correspondem ao namespace de domínio público serão substituídas por um diretório do SharePoint Online durante a sincronização de diretórios, mas será solicitado que você forneça suas credenciais online quando o usuário fizer logon no aluguel do SharePoint Online. Ele deve ser o Nome de Domínio Totalmente Qualificado do domínio. Para obter mais informações, consulte COMO: Adicionar sufixos UPN para uma floresta (http://support.microsoft.com/kb/243629/pt-br). Instalar e configurar o AD FS 2.0 Instalação e configuração do ADFS 2.0 para uso com o Office 365 são abordadas em Parte A: Configurar o SSO do Office 365 a seguir neste documento. Para obter mais informações sobre como instalar e configurar o AD FS 2.0, consulte Planejar e implantar os Serviços de Federação do Active Directory 2.0 para uso com logon único. 2012 Microsoft Corporation. Todos os direitos reservados. Página 8

Configure um dispositivo de proxy reverso Como um ambiente bidirecional híbrido do SharePoint requer o SharePoint Online para poder se conectar ao farm do SharePoint local, você deve configurar um dispositivo de proxy reverso que aceite tráfego de entrada não solicitado a partir da Internet. O dispositivo de proxy reverso deve atender aos seguintes requisitos: Estar configurado com duas placas de rede, uma conectada à Internet com um endereço IP público e a outra conectada à rede empresarial interna Ser capaz de aceitar tráfego de entrada não solicitado na porta 443 (HTTPS) e rotear este tráfego para o farm do SharePoint local Ser capaz de associar um certificado SSL ao ponto de extremidade publicado Ser capaz de encaminhar o tráfego para o farm do SharePoint local sem reconfigurar cabeçalhos de pacotes (sem encaminhamento de porta) Os dispositivos de proxy reverso atualmente suportados para um ambiente híbrido do SharePoint incluem: Microsoft Forefront Threat Management Gateway (TMG) F5 Big IP Roteadores de classe executiva da Cisco Os dispositivos de proxy reverso adicionais serão suportados conforme eles forem testados para compatibilidade. Fase 2: Configurar a infraestrutura de gerenciamento de identidade Esta seção descreve como configurar os seguintes elementos do gerenciamento de identidade para um ambiente híbrido: SSO (logon único) para farm local e assinatura do Office 365 Autenticação de servidor para servidor entre o farm local e o SharePoint Online Quando uma organização assina o Microsoft Office 365 Enterprise, que inclui o novo SharePoint Online, ela recebe os seguintes recursos: Um aluguel do diretório online no Microsoft Online Directory Service. Fornece armazenamento de conta de usuário no Office 365. Um aluguel do Windows Azure Access Control Service (ACS). Fornece serviços de autenticação para as contas de usuário do Office 365 e contas federadas a partir de um domínio AD DS local conectado. Uma assinatura do SharePoint Online. Fornece sites do SharePoint e serviços relacionados, dependendo da assinatura do Office 365. Esses alugueis permitem que os usuários que pertencem a grupos apropriados configurem a assinatura do SharePoint Online. 2012 Microsoft Corporation. Todos os direitos reservados. Página 9

Parte A: Configurar o SSO do Office 365 O SSO permite que os usuários utilizem suas credenciais de domínio do AD DS para acessar os servidores no farm local e no Office 365. Sem o SSO, os administradores de rede deverão manter um conjunto de contas e credenciais online separado. Será solicitado que os usuários forneçam suas credenciais online toda vez que acessarem um recurso do SharePoint no Office 365. O SSO requer que você configure o seguinte: O AD FS 2.0 fornece autenticação federada entre ambientes locais e online. A sincronização do diretório para garantir que ambos os ambientes utilizem o mesmo conjunto de contas do AD DS local. A configuração do SSO para o Microsoft Office 365 consiste nas seguintes etapas: 1. Implante a sincronização de diretório 2. Implantar logon único Antes de prosseguir com a configuração da autenticação de servidor para servidor, verifique o seguinte: Os usuários podem acessar o farm do SharePoint local sem que as credenciais sejam solicitadas. Os usuários podem acessar o SharePoint Online sem que as credenciais sejam solicitadas. A interface do usuário do People Picker para o farm do SharePoint local exibe os usuários e grupos no AD DS. A interface do usuário do People Picker para o SharePoint Online exibe os usuários e grupos no AD DS. Parte B: Configurar autenticação de servidor para servidor entre servidores locais e do SharePoint Online Para configurar a autenticação de servidor para servidor dos ambientes híbridos, você deve estabelecer a confiança com o ACS, o agente de confiança para os SharePoint Servers locais e online. Após estabelecer essa relação, cada servidor confia nos tokens de segurança que o ACS emite para acessar os recursos em nome de um usuário identificado. Etapa 1. Substitua o certificado STS padrão do seu farm local por um certificado de uma autoridade de certificação reconhecida ou um certificado autoassinado O ACS não pode utilizar o certificado padrão que o Serviço de Token de Segurança (STS) do farm do SharePoint local criou para validar tokens de entrada que o STS emite. Isso ocorre porque o STS emitiu tokens com base nos seus próprios certificados autoassinados. Portanto, você deve substituir o certificado STS padrão por um certificado que uma autoridade de certificação pública na qual o ACS confie (recomendado) emita ou um certificado autoassinado. Recomendamos o anterior, pois os certificados autoassinados podem ter problemas de integração com outros aplicativos e serviços. Se você já tiver substituído o certificado STS padrão, pule para a Etapa 2. Observação: O seguinte procedimento cria um novo certificado em dois tipos, um arquivo Personal Information Exchange (.pfx) e um arquivo Security Certificate (.cer). Cada um desses tipos de certificados diferentes é necessário nas próximas etapas. Execute esse procedimento em uma janela de manutenção, pois o procedimento substitui o certificado STS do farm local e será necessário reiniciar o IIS e o serviço de timer do SharePoint. 2012 Microsoft Corporation. Todos os direitos reservados. Página 10

Observação: Você deve fazer logon em um servidor Web front-end do farm como membro do grupo de administradores no computador local para concluir essas etapas. Para usar o snap-in do IIS para gerar um certificado autoassinado, conclua as seguintes etapas: 1. A partir da área de trabalho do Windows Server em SharePoint Server local, clique em Iniciar, aponte para Ferramentas Administrativas e clique em Gerenciador do Serviços de Informações da Internet (IIS). 2. Na árvore do console, clique no nome do servidor. 3. No painel de detalhes, clique duas vezes em Certificados de Servidor no grupo do IIS. 4. No painel Ações, clique em Criar certificado autoassinado. 5. Na página Especificar Nome Amigável, digite um nome para o certificado e clique em OK. 6. No painel de detalhes, clique com o botão direito do mouse no novo certificado e clique em Exportar. 7. Em Exportar certificado, especifique um caminho e um nome para armazenar o arquivo.pfx do certificado em Exportar para e a senha do arquivo de certificado em Senha e Confirmar senha. Isso cria um arquivo.pfx contendo a chave privada que será necessária no procedimento seguinte. 8. No painel de detalhes, clique com o botão direito do mouse no novo certificado e clique em Exibir. 9. Clique na guia Detalhes e em Copiar para Arquivo. 10. Na página Bem-vindo ao Assistente para Exportação de Certificados, clique em Avançar. 11. Na página Exportar Chave Privada, clique em Avançar. 12. Na página Exportar Formato de Arquivo, clique em X.509 codificado na base 64 (*.cer) e em Avançar. 13. Na página Arquivo para Exportação, digite um caminho e nome de arquivo para o arquivo.cer e clique em Avançar. 14. Na página Concluindo o Assistente para Exportação de Certificados, clique em Concluir e clique em OK duas vezes O arquivo.cer resultante será necessário na Etapa 3. Observação: Você deve fazer logon em um servidor Web front-end do farm com uma conta que seja membro dos seguintes grupos para concluir as etapas abaixo: Administradores de computador local Administradores do farm do SharePoint Para substituir o certificado STS padrão pelo seu novo certificado autoassinado ou por um certificado obtido a partir de uma CA na qual o ACS confie, em um servidor Web do SharePoint no seu farm, execute os seguintes comandos s partir de um prompt do Shell de Gerenciamento do SharePoint 2013: SP $certprkpath="<path to replacement certificate (.pfx file)>" $stscertificate=new-object System.Security.Cryptography.X509Certificates.X509Certificate2 $certprkpath, "<replacement certificate password>", 20 Set-SPSecurityTokenServiceConfig -ImportSigningCertificate $stscertificate iisreset net stop SPTimerV4 net start SPTimerV4 2012 Microsoft Corporation. Todos os direitos reservados. Página 11

Observação: Nenhum desses comandos exibirão qualquer saída se eles forem bem sucedidos. Para validar essa etapa, digite o seguinte comando no prompt do Shell de Gerenciamento do SharePoint 2013: SP $stscertificate fl Na saída, confirme se o certificado possui o nome amigável. Para obter mais informações sobre a substituição do certificado STS em um farm do SharePoint Server, consulte Configurar o serviço de token de segurança (http://technet.microsoft.com/pt-br/library/ee806864.aspx). Etapa 2. Instale o Assistente de Conexão do Office 365 e conecte-se ao aluguel online Nesta etapa, você instalará o Assistente de Conexão do Microsoft Online Services e o Módulo do Microsoft Online Services para Windows PowerShell em um único servidor Web do SharePoint no seu farm local e o autenticará com o seu locatário do Office 365. Para obter mais informações sobre essas ferramentas, consulte Usar o Windows PowerShell para gerenciar o Office 365 (http://onlinehelp.microsoft.com/pt-br/office365-enterprises/hh124998.aspx). 1. Configure uma comunicação remota no Windows PowerShell. Em um servidor Web do SharePoint no seu farm local, execute os seguintes comandos a partir do prompt do Windows PowerShell como administrador de computador local: SP enable-psremoting new-pssession Para obter mais informações, consulte about_remote_requirements. 2. Instale o Assistente de Conexão do Microsoft Online Services para profissionais de TI: Microsoft Online Services Sign-In Assistant (IDCRL7) (32 bit version) (http://go.microsoft.com/fwlink/?linkid=236299&clcid=0x416) Microsoft Online Services Sign-In Assistant (IDCRL7) (64 bit version) (http://go.microsoft.com/fwlink/?linkid=236300&clcid=0x416) 3. Instale o Módulo do Microsoft Online Services para Windows PowerShell: Microsoft Online Services Module for Windows PowerShell (32 bit version) (http://go.microsoft.com/fwlink/?linkid=236298&clcid=0x416) Microsoft Online Services Module for Windows PowerShell (64 bit version) (http://go.microsoft.com/fwlink/?linkid=236297&clcid=0x416) 4. Abra a janela do Módulo do Microsoft Online Services para Windows PowerShell (como administrador de computador local) e execute os seguintes comandos: 2012 Microsoft Corporation. Todos os direitos reservados. Página 12

MSOL Import-Module MSOnlineExtended force -verbose Connect-MsolService 5. Digite as suas credenciais de administrador do SharePoint Online. Deixe a janela do Módulo do Microsoft Online Services para Windows PowerShell (execute como administrador de computador local) aberta e execute as etapas seguintes. Etapa 3. Carregue o certificado de autenticação do servidor local para o objeto principal do SharePoint do aluguel do Office 365 Os seguintes comandos adicionam a chave pública do certificado de autenticação do STS no SharePoint Server local ao objeto principal do SharePoint no aluguel do Office 365. Observação: A conta de usuário que executar esta etapa deve ser uma conta de administrador do SharePoint Online. Execute os seguintes comandos a partir da janela do Módulo do Microsoft Online Services para Windows PowerShell: MSOL $spoappid="00000003-0000-0ff1-ce00-000000000000" $certpath="<path to.pfx>" $certpass="<certificate password>" $cer = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2 -ArgumentList $certpath, $certpass $cer=new-object system.security.cryptography.x509certificates.x509certificate2 $cer.import("<path to replacement certificate (.cer file) from step 1>") $bincert = $cer.getrawcertdata()$credvalue = [System.Convert]::ToBase64String($binCert); New-MsolServicePrincipalCredential -AppPrincipalId $spoappid -Type asymmetric - Usage Verify -Value $credvalue -StartDate $cer.geteffectivedatestring() -EndDate $cer.getexpirationdatestring() Etapa 4. Adicione o nome do host do SharePoint Server local ao objeto principal do SharePoint do aluguel do Office 365 Estes comandos adicionam o nome do host do SharePoint Server local ao objeto principal do SharePoint do aluguel do Office 365. 2012 Microsoft Corporation. Todos os direitos reservados. Página 13

Observação: A conta de usuário que executar esta etapa deve ser uma conta de administrador do SharePoint Online. Execute os seguintes comandos a partir da janela do Módulo do Microsoft Online Services para Windows PowerShell: MSOL $SharePoint = Get-MsolServicePrincipal -AppPrincipalId $spoappid $spns = $SharePoint.ServicePrincipalNames $spns.add("$spoappid/<fqdn of the external SharePoint site URL>") Set-MsolServicePrincipal -AppPrincipalId $spoappid -ServicePrincipalNames $spns Estes comandos adicionam a URL externa do SharePoint Server local (<FQDN of the SharePoint site URL>) ao objeto principal do SharePoint (identificado por 00000003-0000-0ff1-ce00-000000000000) do aluguel do diretório online da Microsoft. Por exemplo, se a URL pública do SharePoint Server local for sharepoint.adventureworks.com, então o comando $spns.add se tornará: $spns.add("$spoappid/sharepoint.adventureworks.com") Etapa 5. Obtenha a ID de entidade e a ID de contexto do aplicativo do aluguel da organização Observação: A conta de usuário que executar esta etapa deve ser uma conta de administrador do SharePoint Online. 1. Execute o seguinte comando do Windows PowerShell a partir da janela do Módulo do Microsoft Online Services para Windows PowerShell: MSOL (Get-MsolCompanyInformation).ObjectID Esse comando exibe o GUID da ID de contexto do aluguel do diretório online da Microsoft. Esse valor é conhecido como valor <ContextID property of the Microsoft online directory tenancy> na Etapa 6 e 2. Execute o seguinte comando do Windows PowerShell a partir da janela do Módulo do Microsoft Online Services para Windows PowerShell: MSOL 2012 Microsoft Corporation. Todos os direitos reservados. Página 14

Get-MsolServicePrincipal -ServicePrincipalName $spoappid Esse comando exibe o GUID da propriedade da AppPrincipalID do STS principal do SharePoint Online. Esse valor é conhecido como valor <AppPrincipalID property of the SharePoint Online STS principal object> na Etapa 6. Etapa 6. Registre o objeto principal de servidor para servidor do SharePoint Online 2013 com o STS do SharePoint local Observação: A conta de usuário que executar esta etapa deve ser membro do grupo de administradores de farm no seu farm do SharePoint local. Essa conta não precisa ser de um administrador do SharePoint Online. Execute os seguintes comandos do Windows PowerShell a partir do Shell de Gerenciamento do SharePoint 2013: SP $site=get-spsite <root URL of your site> $appprincipal = Register-SPAppPrincipal -site $site.rootweb -nameidentifier "<nameid>" -displayname "SharePoint Online" O <nameid> do aluguel do SharePoint Online da organização possui o seguinte formato: <AppPrincipalID property of the SharePoint Online S2S principal object>@<contextid property of the Microsoft online directory tenancy> <AppPrincipalID property of the SharePoint Online 2013 S2S principal object> é o GUID do comando Get- Get-MsolServicePrincipal do Windows PowerShell na Etapa 5. Você pode copiar e colar esse GUID a partir da janela do Módulo do Microsoft Online Services para Windows PowerShell aberta. <ContextID property of the Microsoft Online directory tenancy> é o GUID do comando Get-MsolCompanyInformation do Windows PowerShell na Etapa 5. Você pode copiar e colar esse GUID a partir da janela do Módulo do Microsoft Online Services para Windows PowerShell aberta. Esse comando registra o aplicativo principal do SharePoint Online para o serviço compartilhado do Gerenciamento de Aplicativos do servidor local, se já não existir um. Etapa 7. Defina o território de autenticação do SharePoint para a ID de contexto do aluguel do Office 365 da organização Observação: A conta de usuário que executar esta etapa deve ser membro do grupo de administradores de farm no seu farm do SharePoint local. Essa conta não precisa ser de um administrador do SharePoint Online. Execute o seguinte comando do Windows PowerShell a partir do Shell de Gerenciamento do SharePoint 2013: 2012 Microsoft Corporation. Todos os direitos reservados. Página 15

SP Set-SPAuthenticationRealm -realm <ContextID property of the Microsoft Online directory tenancy> Em que: <ContextID property of the Microsoft Online directory tenancy> é o GUID do comando MsolCompanyInformation do Windows PowerShell na Etapa 5. Você pode copiar e colar esse GUID a partir da janela do Módulo do Microsoft Online Services para Windows PowerShell aberta. Ele define o território no servidor local como o território do aluguel do SharePoint Online. Importante Você deve agora atualizar os scripts de configuração do farm nos quais você configurou o valor do território de autenticação do farm para esse novo valor. Para obter mais informações sobre os requisitos para os valores de território nos scripts de configuração do farm, consulte Plano de autenticação servidor para servidor. Agora, como você configurou esse farm do SharePoint para participar da configuração híbrida, o valor do território de autenticação do farm do SharePoint deve sempre corresponder ao identificador de contexto do locatário. Se você alterar esse valor, o farm não mais participará da funcionalidade híbrida. Etapa 8. Configure um proxy ACS local e defina uma relação de confiança com o aluguel do ACS Observação: A conta de usuário que executar esta etapa deve ser membro do grupo de administradores de farm no seu farm do SharePoint local. Essa conta não precisa ser de um administrador do SharePoint Online. Execute os seguintes comandos do Windows PowerShell a partir do Shell de Gerenciamento do SharePoint 2013: SP New-SPAzureAccessControlServiceApplicationProxy -Name "ACS" - MetadataServiceEndpointUri "<Metadata endpoint URL of ACS>" - DefaultProxyGroup New-SPTrustedSecurityTokenIssuer -MetadataEndpoint "<Metadata endpoint URL of ACS>" -IsTrustBroker -Name "ACS" Onde o <Metadata endpoint URL of ACS> para o SharePoint Online 2013 é "https://accounts.accesscontrol.windows.net/<contextid property of the Microsoft online directory tenancy>/metadata/json/1" Por exemplo, se a ID de contexto de um locatário do Office 365 for 3bdbdd27-2373-4baf-9469-4b10e76564f7, a URL será "https://accounts.accesscontrol.windows.net/3bdbdd27-2373-4baf-9469-4b10e76564f7/metadata/json/1". O cmdlet New-SPAzureAccessControlServiceApplicationProxy configura um proxy ACS local. O cmdlet New- SPTrustedSecurityTokenIssuer define uma relação de confiança com o aluguel do ACS. 2012 Microsoft Corporation. Todos os direitos reservados. Página 16

Fase 3: Configurar pesquisa Em um ambiente híbrido do SharePoint, deve haver algum conteúdo no farm do SharePoint Server 2013 (local) e outro conteúdo no SharePoint Online. Nesta seção: Crie um aplicativo de destino para o repositório do certificado SSL Crie um aplicativo de destino no SharePoint Online para um certificado SSL. Visualize os resultados de pesquisa no SharePoint Server 2013 Configure o ambiente híbrido para que as pessoas que estiverem trabalhando no farm do SharePoint Server 2013 possam visualizar os resultados de pesquisa do conteúdo que estiver em ambos os ambientes. Obtenha e exiba os resultados híbridos de pesquisa usando o SharePoint Online Configure o ambiente híbrido para que as pessoas que estiverem trabalhando no SharePoint Online possam visualizar os resultados de pesquisa do conteúdo que estiver em ambos os ambientes. Crie um aplicativo de destino para o repositório do certificado SSL Esta seção descreve como criar um aplicativo de destino no SharePoint Online para um certificado SSL. Quando você configura o SharePoint Online para um ambiente híbrido que fornece pesquisa ou funcionalidade Serviços Corporativos de Conectividade, recomendamos que você crie um certificado SSL que a pesquisa do O365 ou os Serviços Corporativos de Conectividade utilizarão para autenticar com o servidor de proxy reverso. Isso é necessário para permitir que os resultados de pesquisa do farm do SharePoint local sejam retornados aos usuários no SharePoint Online. Se você utilizar essa abordagem, será necessário criar e nomear um aplicativo de destino no aplicativo de serviço do Repositório Seguro no SharePoint Online para armazenar o certificado SSL. No seguinte procedimento, você deve fornecer o nome do certificado SSL. Esse é o nome de um certificado SSL exportado que está no computador que hospeda o proxy reverso. Para obter mais informações sobre esse certificado, consulte "Configure um dispositivo de proxy reverso" descrito anteriormente neste white paper. No procedimento a seguir, você precisará de um certificado que contenha uma chave privada. Use o seguinte procedimento no SharePoint Online para criar um aplicativo de destino para o certificado SSL. Para criar um aplicativo de destino para armazenar o certificado de proxy reverso 1. Verifique se a conta de usuário que está executando esse procedimento é um administrador global ou um administrador do SharePoint Online para o serviço do Office 365 que você deseja configurar. 2. No Centro de Administração do SharePoint Online, no painel esquerdo, clique em Repositório Seguro. 3. Na guia Editar, clique em Novo para criar um aplicativo de destino do Repositório Seguro no aplicativo de serviço do Repositório Seguro. Isso cria o aplicativo de destino do Repositório Seguro no qual você colocará o certificado do proxy reverso. 4. Na seção Configurações de Aplicativo de Destino, faça o seguinte: 2012 Microsoft Corporation. Todos os direitos reservados. Página 17

a) Na caixa de texto ID do Aplicativo de Destino, digite o nome (que será a ID) que você deseja usar para o aplicativo de destino por exemplo, TargetAppIDforSearchOrBCS. Não utilize espaços no nome. Observação: Você cria a ID nesta etapa a ID não é obtida de nenhum outro local. Essa ID é um nome de aplicativo de destino exclusivo que não pode ser alterado. b) Na caixa de texto Nome para exibição, digite o nome que você quer usar como o nome para exibição do novo aplicativo de destino, por exemplo, ID do aplicativo de destino para pesquisa ou BCS. c) Na caixa de texto Email do contato, digite o nome do contato principal para este aplicativo de destino. d) Na seção Campos de Credencial, nomeie dois campos fazendo o seguinte: i. Em Nome do campo, na primeira linha, exclua qualquer texto existente que estiver na caixa de texto e digite Certificado na caixa de texto. ii. iii. Em Tipo de campo, na primeira linha, na lista suspensa, selecione Certificado. Em Nome do campo, na segunda linha, exclua qualquer texto existente que estiver na caixa de texto e digite Senha do certificado na caixa de texto. iv. Em Tipo de campo, na segunda linha, na lista suspensa, selecione Senha do certificado. e) Na seção Administradores de Aplicativo de Destino, na caixa de texto, digite os nomes dos usuários que terão acesso ao gerenciamento das configurações deste aplicativo de destino. Certifique-se de adicionar quaisquer usuários que testarão a configuração híbrida. f) Na seção Membros, na caixa de texto, digite os nomes dos usuários e dos grupos do Microsoft Online Directory Service (MSODS) mapeados para as credenciais que foram identificados para este aplicativo de destino. O administrador global do Office 365 pode criar grupos do MSODS. Eles são grupos de domínio, não grupos do SharePoint. g) Clique em OK. h) Na guia Editar, em ID do Aplicativo de Destino, faça o seguinte: i. Marque a caixa de seleção ao lado da ID do aplicativo de destino que foi criado por exemplo, TargetAppIDforSearchOrBCS. ii. Na guia Editar, no grupo Credenciais, clique em Definir. i) Na caixa de diálogo definir credenciais para o aplicativo de destino de repositório seguro, fala o seguinte: i. Ao lado do campo Nome do certificado, clique em Navegar. ii. iii. iv. Navegue até o local do certificado que foi exportado no computador que hospeda o proxy reverso, clique no certificado exportado e clique em OK. No campo Senha do certificado, digite o nome da senha do certificado exportado. No campo Confirmar senha do certificado, digite o nome da senha do certificado exportado. v. Clique em OK. Para obter mais informações, consulte Configurar o Serviço de Repositório Seguro no SharePoint 2013. 2012 Microsoft Corporation. Todos os direitos reservados. Página 18

Visualize os resultados híbridos de pesquisa no SharePoint Server 2013 Esta seção descreve como configurar a funcionalidade de pesquisa em um ambiente híbrido do SharePoint no qual os usuários finais visualizam os resultados de pesquisa no farm do SharePoint Server 2013 a partir do conteúdo que estiver em ambos os ambientes. Para configurar a funcionalidade de pesquisa em um ambiente híbrido do SharePoint dessa forma, você executa os dois procedimentos a seguir no farm do SharePoint Server 2013: Etapa 1: Criar uma fonte de resultados. Etapa 2: Criar uma regra de consulta que utilize a fonte de resultados. Antes de seguir, verifique se a conta de usuário que foi utilizada para executar essas etapas é uma de administrador do site ou do conjunto de sites do Enterprise Search que você deseja configurar. Etapa 1: Criar uma fonte de resultados Neste procedimento, você cria uma fonte de resultados no farm do SharePoint Server 2013. Essa fonte de resultados é uma definição que especifica o local do SharePoint Online a partir do qual obter resultados de pesquisa e o protocolo para obter esses resultados. Para criar a fonte de resultados 1. Vá até a página Configurações de site do site do Enterprise Search fazendo o seguinte: a) Em Configurações de site, na seção Administração do Conjunto de Sites, clique em Fontes de resultados de pesquisa. b) Na página Gerenciar fontes de resultados, clique em Nova fonte de resultados. Observação: As fontes de resultados podem ser criadas no nível de aplicativo de serviço de pesquisa, nível de conjunto de sites ou nível de site. Neste procedimento, você cria a fonte de resultados no nível de site. 2. Na página Fontes de resultados de pesquisa, faça o seguinte: a) Na caixa de texto Nome, digite um nome para a nova fonte de resultados por exemplo, "Fonte de resultados do SharePoint Online". b) Como opção, na caixa de texto Descrição, digite uma descrição da nova fonte de resultados. c) Para o Protocolo, selecione Remoto do SharePoint. d) Para a URL do serviço remoto, digite o endereço do conjunto de sites que deseja pesquisar no SharePoint Online, como http://sharepoint.adventureworks.com. e) Para o Tipo, selecione Resultados da pesquisa do SharePoint. Isso especifica se o sistema de pesquisa pesquisará todo o índice conteúdo do SharePoint Online quando um usuário enviar uma consulta. f) Para Transformação de consulta, digite, opcionalmente, uma nova transformação de consulta na caixa de texto (como autor:geoff ou caminho:http://myteamsite.adventureworks.com) ou clique em Iniciar o Construtor de Consultas para construir um modelo de consulta. O modelo padrão é {searchterms}, que é a consulta que o usuário digitou, conforme alterado pela transformação mais recente. g) Para Informações de Credenciais, selecione Autenticação padrão. h) Clique em OK para salvar a nova fonte de resultados. 2012 Microsoft Corporation. Todos os direitos reservados. Página 19

Etapa 2: Criar uma regra de consulta que utilize a fonte de resultados Neste procedimento, você cria uma regra de consulta que utiliza a fonte de resultados criada na Etapa 1. Quando essa regra de consulta é executada, ela exibe os resultados de pesquisa do farm do SharePoint Server 2013 e do SharePoint Online em uma página de resultados no farm do SharePoint Server 2013. Para obter mais informações sobre as regras de consulta, consulte Visão geral do processamento de consultas no SharePoint 2013 (http://technet.microsoft.com/ptbr/library/jj219620(v=office.15)). Para criar uma regra de consulta 1. Na página Gerenciar fontes de resultados, clique em Regras de consulta de pesquisa. 2. Na página Gerenciar regras de consulta, faça o seguinte: a) Na lista suspensa Selecionar uma fonte de resultados, selecione a fonte de resultados criada no procedimento anterior -- por exemplo, "Resultados do SharePoint local (sistema)". Isso exibirá todas as regras de consulta associadas a essa fonte de resultados. b) Clique em Nova regra de consulta. 3. Na página Adicionar regra de consulta, faça o seguinte: a) Na seção Informações gerais, na caixa Nome da regra, digite um nome para a nova regra de consulta. b) Na seção Contexto, faça o seguinte: i. Em Consulta está nessas fontes, selecione Todas as fontes ou Uma dessas fontes. Observação: Se você selecionar Uma dessas fontes, a regra somente disparará as fontes de resultados que estiverem listadas. Portanto, certifique-se de que o nome da fonte de resultados que foi criada no procedimento anterior por exemplo, "Fonte de resultados do SharePoint Online" é exibido na lista. ii. Em Consulta feita a partir dessas categorias, especifique, opcionalmente, as categorias de tópico (com base nos termos de categorias de tópicos em um repositório de termos em um Aplicativo de serviços de metadados gerenciados) a partir das quais a consulta será feita. iii. Em Consulta feita por esses segmentos do usuário, defina, opcionalmente, os segmentos do usuário (com base nos termos que descrevem os usuários no repositório de termos de um Aplicativo de serviços de metadados gerenciados) aos quais você deseja aplicar a regra de consulta. c) Na seção Condições de consulta, especifique as condições para controlar quando a regra será disparada ou clique em Remover condição. Observação: Se você quiser que uma regra seja disparada em toda consulta sempre que a regra estiver ativa, clique em Remover condição. (Consulte as informações sobre a configuração Está ativa a seguir neste procedimento.) d) Na seção Ações, em Blocos de resultados, clique em Adicionar bloco de resultados. e) Na caixa de diálogo Adicionar bloco de resultados, faça o seguinte: 2012 Microsoft Corporation. Todos os direitos reservados. Página 20

i. Na seção Título do bloco, na caixa de texto Título, aceite o título padrão (que é Resultados para "{subjectterms}") ou digite um título diferente. ii. Na seção Consulta, faça o seguinte: a. Na caixa de texto Configurar consulta, use a consulta padrão, que é {subjectterms} ou especifique uma configuração de consulta para transformar a consulta. Você pode clicar em Iniciar o Construtor de Consultas para ajudá-lo a configurar uma transformação de consulta. b. Na lista suspensa Pesquisar esta fonte, selecione o nome da fonte de resultados criada no procedimento anterior por exemplo, "Fonte de resultados do SharePoint Online". c. Na lista suspensa Itens, selecione o número de resultados de pesquisa do SharePoint Online que você quer exibir em um grupo na página de resultados de pesquisa. Por exemplo, selecione 3 para exibir três resultados em um grupo do SharePoint Online. iii. Na seção Configurações, faça o seguinte: a. Se quiser exibir um link Mostrar maisna parte inferior do bloco de resultados, selecione Mais links para a seguinte URL e digite a URL para o link de uma página que exiba mais resultados. Quando os usuários finais clicam em Mostrar mais, eles visualizarão mais resultados para o bloco de resultados. b. Para o posicionamento do bloco de resultados do SharePoint Online relativo aos resultados do SharePoint Server 2013, faça o seguinte: Observação: Neste caso, os principais resultados são os resultados do SharePoint Server 2013. Selecione Este bloco sempre é exibido acima dos resultados principais para exibir o bloco de resultados, dessa forma, ele estará visível na primeira página. Por padrão, o bloco de resultados será exibido na parte superior da página. Essa opção é útil quando a maioria do conteúdo relevante está localizado em um sistema remoto. Se você selecionar essa opção para obter mais de um bloco de resultados, é possível configurar a ordem na qual os blocos de resultados serão exibidos classificando as regras de consulta associadas. Selecione Este bloco é classificado dentro dos resultados principais (não deve ser exibido) para exibir o bloco de resultados na primeira página dos resultados de pesquisa a menos que o bloco não seja classificado suficientemente alto em comparação aos resultados principais ou resultados de pesquisa em outros blocos de resultados. Essa é a opção padrão e geralmente é a escolha mais apropriada. Como com resultados individuais, a classificação do bloco de resultados pode ser diferente quando os usuários fazem a mesma consulta posteriormente. Por exemplo, se os usuários clicarem nos resultados de pesquisa em um bloco de resultados, o bloco de resultados será classificado como mais alto nos resultados de pesquisa ao longo do tempo. Caso contrário, o bloco de resultados será classificado como mais baixo ao longo do tempo. c. Na lista suspensa Modelo de exibição de grupo, selecione um modelo de exibição de grupo. d. Na lista suspensa Modelo de exibição de item, selecione um modelo de exibição de item. 2012 Microsoft Corporation. Todos os direitos reservados. Página 21

iv. Pule a seção Roteamento. v. Clique em OK para adicionar o bloco de resultados. f) Na página Adicionar regra de consulta, na seção Publicação, faça o seguinte: i. Selecione Está ativa. Quando uma regra de consulta estiver ativa, ela será disparada sempre que as condições de consulta forem atendidas. ii. Opcionalmente, especifique uma Data inicial, uma Data final, uma Data de revisão e um Contato. Se você não especificar uma data inicial, a regra permanecerá ativa até uma data final que tiver sido especificada. Se você especificar uma data inicial sem uma data final, a regra sempre estará ativa após a data inicial. Se você especificar uma data final sem uma data inicial, a regra sempre estará ativa até a data final. Se você não especificar uma data inicial ou uma data final, a regra sempre estará ativa. g) Clique em Salvar. Após alguns momentos, quando os usuários enviarem consultas a partir do Centro de Pesquisa, eles visualizarão os resultados a partir de lá e do SharePoint Online em uma página de resultados de pesquisa no farm do SharePoint Server 2013. Além disso, o painel de refinamento na página de resultados de pesquisa automaticamente combinará as contagens de item e valores de ambos os ambientes e, então fornecerá filtros para os resultados em ambos. Validar sua configuração de pesquisa do SharePoint Server Você pode validar sua configuração de pesquisa e visualizar as informações de solução de problemas com o seguinte procedimento: 1. Em Configurações de site, Administração do Conjunto de Sites, clique em Fontes de resultados de pesquisa. 2. Na página Gerenciar fontes de resultados, clique na fonte de resultados criada no procedimento anterior por exemplo, "Fonte de resultados do SharePoint Online". 3. Na página Editar fonte de resultados, clique no botão Iniciar o Construtor de Consultas. 4. Na página Construir sua consulta, selecione a guia Testar. 5. Clique em Mostrar mais. 6. Digite um termo de pesquisa da sua escolha em {subject terms} e clique no botão Testar consulta. Os resultados de pesquisa relevantes serão exibidos na janela Visualização dos resultados de pesquisa se sua configuração for válida. Se houver problemas com sua configuração, informações sobre solução de problemas serão exibidas. Visualizar resultados híbridos de pesquisa no SharePoint Online Esta seção descreve como configurar a funcionalidade de pesquisa em um ambiente híbrido do SharePoint no qual os usuários finais podem visualizar os resultados de pesquisa no SharePoint Online a partir do conteúdo que estiver em ambos os ambientes. Para configurar a funcionalidade de pesquisa em um ambiente híbrido do SharePoint dessa forma, você executa os dois procedimentos a seguir no SharePoint Online: 2012 Microsoft Corporation. Todos os direitos reservados. Página 22