Öğretici: Microsoft Entra Id ve SharePoint şirket içi arasında federasyon kimlik doğrulaması uygulama

  • Makale

Senaryo açıklaması

Bu öğreticide, Microsoft Entra Id ve SharePoint şirket içi arasında federasyon kimlik doğrulaması yapılandıracaksınız. Amaç, kullanıcıların Microsoft Entra Id'de oturum açmasına ve SharePoint şirket içi sitelerine erişmek için kimliklerini kullanmasına izin vermektir.

Önkoşullar

Yapılandırmayı gerçekleştirmek için aşağıdaki kaynaklara ihtiyacınız vardır:

  • Microsoft Entra kiracısı. Hesabınız yoksa ücretsiz bir hesap oluşturabilirsiniz.
  • SharePoint 2013 grubu veya daha yenisi.

Bu makalede aşağıdaki değerler kullanılır:

  • Kurumsal uygulama adı (Microsoft Entra Id'de): SharePoint corporate farm
  • Güven tanımlayıcısı (Microsoft Entra ID'de) / bölge (SharePoint'te): urn:sharepoint:federation
  • loginUrl (Microsoft Entra Id'ye): https://login.microsoftonline.com/dc38a67a-f981-4e24-ba16-4443ada44484/wsfed
  • SharePoint sitesi URL'si: https://spsites.contoso.local/
  • SharePoint sitesi yanıt URL'si: https://spsites.contoso.local/_trust/
  • SharePoint güven yapılandırma adı: MicrosoftEntraTrust
  • Microsoft Entra test kullanıcısının UserPrincipalName değeri: AzureUser1@demo1984.onmicrosoft.com

Microsoft Entra Id'de kurumsal uygulama yapılandırma

Microsoft Entra Id'de federasyonu yapılandırmak için ayrılmış bir Kurumsal uygulama oluşturmanız gerekir. Yapılandırma, uygulama galerisinde bulunabilecek önceden yapılandırılmış şablon SharePoint on-premises kullanılarak basitleştirilmiştir.

Kurumsal uygulamayı oluşturma

  1. Microsoft Entra yönetim merkezinde en az Bulut Uygulaması Yönetici istrator olarak oturum açın.
  2. Kimlik>Uygulamaları>Kurumsal uygulamaları>Yeni uygulama'ya göz atın.
  3. Arama kutusuna SharePoint şirket içi yazın. Sonuç bölmesinden Şirket içi SharePoint'i seçin.
  4. Uygulamanız için bir ad belirtin (bu öğreticide bu addırSharePoint corporate farm) ve uygulamayı eklemek için Oluştur'a tıklayın.
  5. Yeni kurumsal uygulamada Özellikler'i seçin ve Kullanıcı ataması gerekiyor mu? değerini denetleyin. Bu senaryo için değerini Hayır olarak ayarlayın ve Kaydet'e tıklayın.

Kurumsal uygulamayı yapılandırma

Bu bölümde SAML kimlik doğrulamasını yapılandıracak ve başarılı kimlik doğrulamasından sonra SharePoint'e gönderilecek talepleri tanımlayacaksınız.

  1. Kurumsal uygulamaya SharePoint corporate farmgenel bakış bölümünde 2'yi seçin. Çoklu oturum açmayı ayarlayın ve sonraki iletişim kutusunda SAML'yi seçin.

  2. SAML ile Çoklu Oturum Açmayı Ayarla sayfasında, Temel SAML Yapılandırması bölmesinde Düzenlesimgesini seçin.

  3. Temel SAML Yapılandırması bölümünde şu adımları izleyin:

    1. Tanımlayıcı kutusunda, şu değerin mevcut olduğundan emin olun: urn:sharepoint:federation.

    2. Yanıt URL'si kutusuna şu deseni kullanarak bir URL girin: https://spsites.contoso.local/_trust/.

    3. Oturum açma URL'si kutusuna şu deseni kullanarak bir URL girin: https://spsites.contoso.local/.

    4. Kaydet'i seçin.

  4. Kullanıcı Öznitelikleri ve Talepler bölümünde, SharePoint tarafından izin vermek için kullanılmayacağından işe yaramaz olan aşağıdaki talep türlerini silin:

    • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
    • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname
    • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname

  5. Ayarlar şimdi şöyle görünmelidir:

    Basic SAML settings

  6. Daha sonra SharePoint'te ihtiyacınız olacak bilgileri kopyalayın:

    • SAML İmzalama Sertifikası bölümünde Sertifikayı İndir (Base64). Bu, Microsoft Entra Id tarafından SAML belirtecini imzalamak için kullanılan imzalama sertifikasının ortak anahtarıdır. SharePoint,gelen SAML belirteçlerinin bütünlüğünü doğrulamak için buna ihtiyaç duyar.

    • SharePoint kurumsal grubu ayarlama bölümünde, not defterindeki Oturum Açma URL'sini kopyalayın ve sondaki /saml2 dizesini /wsfed ile değiştirin.

    Önemli

    Microsoft Entra ID'nin SharePoint'in gerektirdiği şekilde bir SAML 1.1 belirteci çıkardığından emin olmak için /saml2 değerini /wsfed ile değiştirdiğinden emin olun.

    • SharePoint kurumsal grubu ayarlama bölümünde Oturum Kapatma URL'sini kopyalayın

SharePoint'i Microsoft Entra Id'ye güvenecek şekilde yapılandırma

SharePoint'te güven oluşturma

Bu adımda, SharePoint'in Microsoft Entra Id'ye güvenmesi için gereken yapılandırmayı depolamak için bir SPTrustedLoginProvider oluşturursunuz. Bunun için, yukarıda kopyaladığınız Microsoft Entra Id'den alınan bilgilere ihtiyacınız vardır. SharePoint Yönetim Kabuğu'nı başlatın ve oluşturmak için aşağıdaki betiği çalıştırın:

# Path to the public key of the Microsoft Entra SAML signing certificate (self-signed), downloaded from the Enterprise application in the Azure portal
$signingCert = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2("C:\Microsoft Entra app\SharePoint corporate farm.cer")
# Unique realm (corresponds to the "Identifier (Entity ID)" in the Microsoft Entra enterprise application)
$realm = "urn:sharepoint:federation"
# Login URL copied from the Microsoft Entra enterprise application. Make sure to replace "saml2" with "wsfed" at the end of the URL:
$loginUrl = "https://login.microsoftonline.com/dc38a67a-f981-4e24-ba16-4443ada44484/wsfed"

# Define the claim types used for the authorization
$userIdentifier = New-SPClaimTypeMapping -IncomingClaimType "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name" -IncomingClaimTypeDisplayName "name" -LocalClaimType "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn"
$role = New-SPClaimTypeMapping "http://schemas.microsoft.com/ws/2008/06/identity/claims/role" -IncomingClaimTypeDisplayName "Role" -SameAsIncoming

# Let SharePoint trust the Microsoft Entra signing certificate
New-SPTrustedRootAuthority -Name "Microsoft Entra signing certificate" -Certificate $signingCert

# Create a new SPTrustedIdentityTokenIssuer in SharePoint
$trust = New-SPTrustedIdentityTokenIssuer -Name "MicrosoftEntraTrust" -Description "Microsoft Entra ID" -Realm $realm -ImportTrustCertificate $signingCert -ClaimsMappings $userIdentifier, $role -SignInUrl $loginUrl -IdentifierClaim $userIdentifier.InputClaimType

SharePoint web uygulamasını yapılandırma

Bu adımda, SharePoint'te bir web uygulamasını yukarıda oluşturulan Microsoft Entra Enterprise uygulamasına güvenecek şekilde yapılandıracaksınız. Aklınızda bulundurmanız gereken önemli kurallar vardır:

  • SharePoint web uygulamasının varsayılan bölgesinde Windows kimlik doğrulaması etkinleştirilmelidir. Bu, Arama gezgini için gereklidir.
  • Microsoft Entra kimlik doğrulamasını kullanacak SharePoint URL'si HTTPS ile ayarlanmalıdır.

  1. Web uygulamasını oluşturun veya genişletin. Bu makalede iki olası yapılandırma açıklanmaktadır:

    • Varsayılan bölgede hem Windows hem de Microsoft Entra kimlik doğrulamasını kullanan yeni bir web uygulaması oluşturursanız:

      1. SharePoint Yönetim Kabuğu'nı başlatın ve aşağıdaki betiği çalıştırın:

        # This script creates a new web application and sets Windows and Microsoft Entra authentication on the Default zone
# URL of the SharePoint site federated with Microsoft Entra
$trustedSharePointSiteUrl = "https://spsites.contoso.local/"
$applicationPoolManagedAccount = "Contoso\spapppool"

$winAp = New-SPAuthenticationProvider -UseWindowsIntegratedAuthentication -DisableKerberos:$true
$sptrust = Get-SPTrustedIdentityTokenIssuer "MicrosoftEntraTrust"
$trustedAp = New-SPAuthenticationProvider -TrustedIdentityTokenIssuer $sptrust    

New-SPWebApplication -Name "SharePoint - Microsoft Entra" -Port 443 -SecureSocketsLayer -URL $trustedSharePointSiteUrl -ApplicationPool "SharePoint - Microsoft Entra" -ApplicationPoolAccount (Get-SPManagedAccount $applicationPoolManagedAccount) -AuthenticationProvider $winAp, $trustedAp

      2. SharePoint Central Yönetici istration sitesini açın.

      3. Sistem Ayarlar altında Alternatif Erişim Eşlemelerini Yapılandır'ı seçin. Alternatif Erişim Eşleme Koleksiyonu kutusu açılır.

      4. Yeni web uygulamasıyla ekranı filtreleyin ve aşağıdakine benzer bir şey gördüğünüzden emin olursunuz:

        Alternate Access Mappings of web application

    • Mevcut bir web uygulamasını yeni bir bölgede Microsoft Entra kimlik doğrulamasını kullanacak şekilde genişletirseniz:

      1. SharePoint Yönetim Kabuğu'nı başlatın ve aşağıdaki betiği çalıştırın:

        # This script extends an existing web application to set Microsoft Entra authentication on a new zone
# URL of the default zone of the web application
$webAppDefaultZoneUrl = "http://spsites/"
# URL of the SharePoint site federated with ADFS
$trustedSharePointSiteUrl = "https://spsites.contoso.local/"
$sptrust = Get-SPTrustedIdentityTokenIssuer "MicrosoftEntraTrust"
$ap = New-SPAuthenticationProvider -TrustedIdentityTokenIssuer $sptrust
$wa = Get-SPWebApplication $webAppDefaultZoneUrl

New-SPWebApplicationExtension -Name "SharePoint - Microsoft Entra" -Identity $wa -SecureSocketsLayer -Zone Internet -Url $trustedSharePointSiteUrl -AuthenticationProvider $ap

      2. SharePoint Central Yönetici istration sitesini açın.

      3. Sistem Ayarlar altında Alternatif Erişim Eşlemelerini Yapılandır'ı seçin. Alternatif Erişim Eşleme Koleksiyonu kutusu açılır.

      4. Ekranı genişletilmiş web uygulamasıyla filtreleyin ve aşağıdakine benzer bir şey gördüğünüzden emin olursunuz:

        Alternate Access Mappings of extended web application

Web uygulaması oluşturulduktan sonra bir kök site koleksiyonu oluşturabilir ve Windows hesabınızı birincil site koleksiyonu yöneticisi olarak ekleyebilirsiniz.

  1. SharePoint sitesi için sertifika oluşturma

    SharePoint URL'si HTTPS protokolü ()https://spsites.contoso.local/ kullandığından, ilgili Internet Information Services (IIS) sitesinde bir sertifika ayarlanmalıdır. Otomatik olarak imzalanan bir sertifika oluşturmak için şu adımları izleyin:

    Önemli

    Otomatik olarak imzalanan sertifikalar yalnızca test amacıyla uygundur. Üretim ortamlarında, bunun yerine bir sertifika yetkilisi tarafından verilen sertifikaları kullanmanızı kesinlikle öneririz.

    1. Windows PowerShell konsolunu açın.

    2. Otomatik olarak imzalanan bir sertifika oluşturmak ve bilgisayarın MY deposuna eklemek için aşağıdaki betiği çalıştırın:

      New-SelfSignedCertificate -DnsName "spsites.contoso.local" -CertStoreLocation "cert:\LocalMachine\My"

  2. IIS sitesinde sertifikayı ayarlama

    1. Internet Information Services Manager konsolunu açın.
    2. Ağaç görünümünde sunucuyu genişletin, Siteler'i genişletin, SharePoint - Microsoft Entra Id sitesini seçin ve Bağlamalar'ı seçin.
    3. https bağlama'ya ve ardından Düzenle'ye tıklayın.
    4. TLS/SSL sertifikası alanında, kullanılacak sertifikayı seçin (örneğin, yukarıda oluşturulan spsites.contoso.local) ve Tamam'ı seçin.

    Not

    Birden çok Web Ön Uç sunucunuz varsa, bu işlemi her birinde yinelemeniz gerekir.

SharePoint ile Microsoft Entra Id arasındaki temel güven yapılandırması artık tamamlandı. SharePoint sitesinde Microsoft Entra kullanıcısı olarak oturum açmayı görelim.

Üye kullanıcı olarak oturum açma

Microsoft Entra Id'de iki tür kullanıcı vardır: Konuk kullanıcılar ve Üye kullanıcılar. Yalnızca kuruluşunuzda bulunan bir kullanıcı olan üye kullanıcıyla başlayalım.

Microsoft Entra Id'de üye kullanıcı oluşturma

  1. Microsoft Entra yönetim merkezinde en az Kullanıcı Yönetici istrator olarak oturum açın.
  2. Kimlik>Kullanıcıları Tüm kullanıcılar'a> göz atın.
  3. Ekranın üst kısmındaki Yeni kullanıcı>Yeni kullanıcı oluştur'u seçin.
  4. Kullanıcı özellikleri bölümünde şu adımları izleyin:
    1. Görünen ad alanına girinB.Simon.
    2. Kullanıcı asıl adı alanına girinusername@companydomain.extension. Örneğin, B.Simon@contoso.com.
    3. Parolayı göster onay kutusunu seçin ve ardından Parola kutusunda görüntülenen değeri not edin.
    4. Gözden geçir ve oluştur’u seçin.
  5. Oluştur'u belirleyin.
  6. Siteyi bu kullanıcıyla paylaşabilir ve erişime izin vekleyebilirsiniz.

SharePoint'te Microsoft Entra kullanıcısına izin verme

SharePoint kök site koleksiyonunda Windows hesabınız (site koleksiyonu yöneticisi) olarak oturum açın ve Paylaş'a tıklayın.
İletişim kutusunda, userprincipalname değerinin tam değerini (örneğinAzureUser1@demo1984.onmicrosoft.com, ) yazmanız ve ad talebi sonucunu seçmeye dikkat etmeniz gerekir (talep türünü görmek için farenizi bir sonucun üzerine getirin)

Önemli

Davet etmek istediğiniz kullanıcının tam değerini yazarken dikkatli olun ve listeden uygun talep türünü seçin; aksi takdirde paylaşım çalışmaz.

Screenshot of people picker results without EntraCP.

Bu sınırlama, SharePoint'in kişi seçiciden gelen girişi doğrulamamasıdır; bu da kafa karıştırıcı olabilir ve yanlış yazımlara veya kullanıcıların yanlışlıkla yanlış talep türünü seçmesine neden olabilir.
Bu senaryoyu düzeltmek için, SharePoint 2019 / 2016 / 2013'i Microsoft Entra Id ile bağlamak ve Girişi Microsoft Entra kiracınıza karşı çözümlemek için EntraCP adlı açık kaynak bir çözüm kullanılabilir. Daha fazla bilgi için bkz . EntraCP.

Aşağıda EntraCP'nin yapılandırıldığı aramanın aynısı yer alır: SharePoint, girişe göre gerçek kullanıcıları döndürür:

Screenshot of people picker results with EntraCP.

Önemli

EntraCP bir Microsoft ürünü değildir ve Microsoft Desteği tarafından desteklenmez. Şirket içi SharePoint grubunda EntraCP'yi indirmek, yüklemek ve yapılandırmak için EntraCP web sitesine bakın.

Microsoft Entra kullanıcısı AzureUser1@demo1984.onmicrosoft.com artık SharePoint sitesinde https://spsites.contoso.local/oturum açmak için kimliğini kullanabilir.

Güvenlik grubuna izin verme

Grup talep türünü kurumsal uygulamaya ekleme

  1. Kurumsal uygulamaya SharePoint corporate farmgenel bakış bölümünde 2'yi seçin . Çoklu oturum açmayı ayarlayın.

  2. Kullanıcı Öznitelikleri ve Talepleri bölümünde, grup talebi yoksa şu adımları izleyin:

    1. Grup talebi ekle'yi seçin, Güvenlik grupları'na tıklayın, Kaynak Özniteliğin Grup Kimliği olarak ayarlandığından emin olun
    2. Grup talebi adını özelleştir'i işaretleyin, ardından Grupları rol talebi olarak yay'ı işaretleyin ve Kaydet'e tıklayın.
    3. Kullanıcı Öznitelikleri ve Talepleri şöyle görünmelidir:

    Claims for users and group

Microsoft Entra Id'de güvenlik grubu oluşturma

Şimdi bir güvenlik grubu oluşturalım.

  1. Kimlik>Grupları'na göz atın.

  2. Yeni Grup seçeneğini belirleyin.

  3. Grup türünü (Güvenlik), Grup adını (örneğin, AzureGroup1) ve Üyelik türünü doldurun. Yukarıda oluşturduğunuz kullanıcıyı üye olarak ekleyin ve Oluştur'u seçin:

    Create a Microsoft Entra security group

SharePoint'te güvenlik grubuna izin verme

Microsoft Entra güvenlik grupları, GUID (örneğin, E89EF0A3-46CC-45BF-93A4-E078FCEBFC45) olan özniteliğiyle Idtanımlanır.
Özel talep sağlayıcısı olmadan, kullanıcıların kişi seçicide grubun tam değerini (Id) yazması ve ilgili talep türünü seçmesi gerekir. Bu kullanıcı dostu veya güvenilir değildir.
Bu makalede, bu makalede, sharepoint'te grubu kolay bir şekilde bulmak için üçüncü taraf talep sağlayıcısı EntraCP kullanılır:

People picker search Microsoft Entra group

Konuk kullanıcı erişimini yönetme

İki tür konuk hesabı vardır:

  • B2B konuk hesapları: Bu kullanıcılar bir dış Microsoft Entra kiracısında barındırılır
  • MSA konuk hesapları: Bu kullanıcılar bir Microsoft tanımlama sağlayıcısında (Hotmail, Outlook) veya bir sosyal hesap sağlayıcısında (Google veya benzeri) barındırılır

Varsayılan olarak, Microsoft Entra Id özniteliğine hem "Benzersiz Kullanıcı Tanımlayıcısı" hem de "ad" user.userprincipalnametalebi ayarlar.
Ne yazık ki, aşağıdaki tabloda gösterildiği gibi bu öznitelik konuk hesapları için belirsizdir:

Microsoft Entra Id'de ayarlanan kaynak öznitelik B2B konukları için Microsoft Entra ID tarafından kullanılan gerçek tesis MSA konukları için Microsoft Entra ID tarafından kullanılan gerçek özellik SharePoint'in kimliği doğrulamak için kullanabileceği özellik
user.userprincipalname mail, örneğin: guest@PARTNERTENANT userprincipalname, örneğin: guest_outlook.com#EXT#@TENANT.onmicrosoft.com belirsiz
user.localuserprincipalname userprincipalname, örneğin: guest_PARTNERTENANT#EXT#@TENANT.onmicrosoft.com userprincipalname, örneğin: guest_outlook.com#EXT#@TENANT.onmicrosoft.com userprincipalname

Sonuç olarak, konuk hesaplarının tümünün aynı öznitelikle tanımlandığından emin olmak için, kurumsal uygulamanın tanımlayıcı talepleri yerine özniteliğini user.localuserprincipalnameuser.userprincipalnamekullanacak şekilde güncelleştirilmelidir.

Uygulamayı tüm konuk kullanıcılar için tutarlı bir öznitelik kullanacak şekilde güncelleştirme

  1. Kurumsal uygulamaya SharePoint corporate farmgenel bakış bölümünde 2'yi seçin . Çoklu oturum açmayı ayarlayın.

  2. SAML ile Çoklu Oturum Açmayı Ayarla sayfasında, Kullanıcı Öznitelikleri ve Talepler bölmesinde Düzenle simgesini seçin.

  3. Kullanıcı Öznitelikleri ve Talepler bölümünde şu adımları izleyin:

    1. Benzersiz Kullanıcı Tanımlayıcısı (Ad Kimliği) öğesini seçin, Kaynak Özniteliği özelliğini user.localuserprincipalname olarak değiştirin ve Kaydet'e tıklayın.

    2. öğesini seçinhttp://schemas.xmlsoap.org/ws/2005/05/identity/claims/name, Kaynak Özniteliği özelliğini user.localuserprincipalname olarak değiştirin ve Kaydet'e tıklayın.

    3. Kullanıcı Öznitelikleri ve Talepleri şöyle görünmelidir:

    User Attributes & Claims for Guests

SharePoint'te konuk kullanıcıları davet etme

Not

Bu bölümde talep sağlayıcısı EntraCP'nin kullanıldığı varsayılır

Yukarıdaki bölümde, kurumsal uygulamayı tüm konuk hesapları için tutarlı bir öznitelik kullanacak şekilde güncelleştirmişsiniz.
Artık EntraCP yapılandırmasının bu değişikliği yansıtacak şekilde güncelleştirilmesi ve konuk hesapları için özniteliğinin userprincipalname kullanılması gerekir:

  1. SharePoint Central Yönetici istration sitesini açın.
  2. Güvenlik'in altında EntraCP genel yapılandırması'nı seçin.
  3. Kullanıcı tanımlayıcısı özelliği: Bölümünde 'Konuk' kullanıcılar için Kullanıcı tanımlayıcısını UserPrincipalName olarak ayarlayın.
  4. Tamam'a tıklayın

Screenshot of EntraCP guests accounts configuration.

Artık SharePoint sitelerinde herhangi bir konuk kullanıcıyı davet edebilirsiniz.

Federasyonu birden çok web uygulaması için yapılandırma

Yapılandırma tek bir web uygulamasında çalışır, ancak birden çok web uygulaması için aynı güvenilen kimlik sağlayıcısını kullanmayı planlıyorsanız ek yapılandırma gerekir. Örneğin, ayrı bir web uygulamanız https://otherwebapp.contoso.local/ olduğunu ve artık üzerinde Microsoft Entra kimlik doğrulamasını etkinleştirmek istediğinizi varsayalım. Bunu yapmak için SharePoint'i SAML WReply parametresini geçirecek şekilde yapılandırın ve URL'leri kurumsal uygulamaya ekleyin.

SharePoint'i SAML WReply parametresini geçirecek şekilde yapılandırma

  1. SharePoint sunucusunda, SharePoint 201x Yönetim Kabuğu'nu açın ve aşağıdaki komutları çalıştırın. Güvenilen kimlik belirteci veren için daha önce kullandığınızla aynı adı kullanın.
$t = Get-SPTrustedIdentityTokenIssuer "MicrosoftEntraTrust"
$t.UseWReplyParameter = $true
$t.Update()

Kurumsal uygulamaya URL'leri ekleme

  1. Microsoft Entra yönetim merkezinde en az Bulut Uygulaması Yönetici istrator olarak oturum açın.

  2. Kimlik>Uygulamaları>Kurumsal uygulamaları'na>göz atın Daha önce oluşturulmuş kurumsal uygulamayı seçin ve Çoklu oturum açma'yı seçin.

  3. SAML ile Çoklu Oturum Açmayı Ayarla sayfasında Temel SAML Yapılandırması'nı düzenleyin.

  4. Yanıt URL'si (Onay Tüketici Hizmeti URL'si) bölümünde, Kullanıcıları Microsoft Entra Id ile oturum açması gereken tüm ek web uygulamalarının URL'sini (örneğin, https://otherwebapp.contoso.local/) ekleyin ve Kaydet'e tıklayın.

Specify additional web applications

Güvenlik belirtecinin ömrünü yapılandırma

Varsayılan olarak, Microsoft Entra Id 1 saat boyunca geçerli olan, Azure portalında özelleştirilemeyen veya Koşullu Erişim ilkesi kullanılarak özelleştirilemeyen bir SAML belirteci oluşturur.
Ancak, özel bir belirteç yaşam süresi ilkesi oluşturmak ve bunu SharePoint Server için oluşturduğunuz kurumsal uygulamaya atamak mümkündür.
Bunu başarmak için aşağıdaki betiği çalıştırabilirsiniz:

Install-Module Microsoft.Graph
Connect-MgGraph -Scopes "Policy.ReadWrite.ApplicationConfiguration","Policy.Read.All","Application.ReadWrite.All"

$appDisplayName = "SharePoint corporate farm"
$sp = Get-MgServicePrincipal -Search DisplayName:"$appDisplayName" -ConsistencyLevel eventual

$oldPolicy = Get-MgServicePrincipalTokenLifetimePolicy -ServicePrincipalId $sp.Id
if ($null -ne $oldPolicy) {
	# There can be only 1 TokenLifetimePolicy associated to the service principal (or 0, as by default)
    Remove-MgServicePrincipalAppManagementPolicy -AppManagementPolicyId $oldPolicy.Id -ServicePrincipalId $sp.Id
}

# Get / create a custom token lifetime policy
$policyDisplayName = "WebPolicyScenario"
$policy = Get-MgPolicyTokenLifetimePolicy -Filter "DisplayName eq '$policyDisplayName'"
if ($null -eq $policy) {
	$params = @{
		Definition = @('{"TokenLifetimePolicy":{"Version":1,"AccessTokenLifetime":"4:00:00"}}') 
		DisplayName = $policyDisplayName
		IsOrganizationDefault = $false
	}
	$policy = New-MgPolicyTokenLifetimePolicy -BodyParameter $params
}

# Assign the token lifetime policy to an app
$body = @{
	"@odata.id" = "https://graph.microsoft.com/v1.0/policies/tokenLifetimePolicies/$($policy.Id)"
}
Invoke-GraphRequest -Uri ('https://graph.microsoft.com/v1.0/servicePrincipals/{0}/tokenLifetimePolicies/$ref' -f $sp.Id) -Method POST -Body $body