Oktatóanyag: Összevont hitelesítés implementálása a Microsoft Entra ID és a helyszíni SharePoint között

Forgatókönyv leírása

Ebben az oktatóanyagban összevont hitelesítést konfigurál a Microsoft Entra ID és a helyszíni SharePoint között. A cél az, hogy a felhasználók bejelentkezhessenek a Microsoft Entra-azonosítóra, és identitásukkal elérhessék a helyszíni SharePoint-webhelyeket.

Előfeltételek

A konfiguráció végrehajtásához a következő erőforrásokra van szüksége:

• Egy Microsoft Entra-bérlő. Ha még nincs fiókja, hozzon létre egy ingyenes fiókot.
• SharePoint 2013-farm vagy újabb.

Ez a cikk a következő értékeket használja:

• Nagyvállalati alkalmazás neve (a Microsoft Entra-azonosítóban): SharePoint corporate farm
• Megbízhatósági azonosító (a Microsoft Entra-azonosítóban) / tartomány (a SharePointban): urn:sharepoint:federation
• loginUrl (a Microsoft Entra-azonosítóhoz): https://login.microsoftonline.com/dc38a67a-f981-4e24-ba16-4443ada44484/wsfed
• SharePoint-webhely URL-címe: https://spsites.contoso.local/
• SharePoint-webhely válasz URL-címe: https://spsites.contoso.local/_trust/
• SharePoint megbízhatósági konfiguráció neve: MicrosoftEntraTrust
• A Microsoft Entra-tesztfelhasználó UserPrincipalName neve: AzureUser1@demo1984.onmicrosoft.com

Vállalati alkalmazás konfigurálása a Microsoft Entra-azonosítóban

Az összevonás Microsoft Entra-azonosítóban való konfigurálásához létre kell hoznia egy dedikált Nagyvállalati alkalmazást. A konfiguráció egyszerűbb az alkalmazáskatalógusban található előre konfigurált sablon SharePoint on-premises használatával.

A vállalati alkalmazás létrehozása

1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább felhőalkalmazásként Rendszergazda istratorként.
2. Keresse meg az Identity>Applications>Enterprise-alkalmazásokat>Új alkalmazás.
3. A keresőmezőbe írja be a helyszíni SharePointot. Válassza ki a helyszíni SharePointot az eredménypanelen.
4. Adja meg az alkalmazás nevét (ebben az oktatóanyagban ez az SharePoint corporate farm), majd kattintson a Létrehozás gombra az alkalmazás hozzáadásához.
5. Az új vállalati alkalmazásban válassza a Tulajdonságok lehetőséget, és ellenőrizze a szükséges felhasználói hozzárendelés értékét? Ebben a forgatókönyvben állítsa az értékét Nem értékre, és kattintson a Mentés gombra.

A vállalati alkalmazás konfigurálása

Ebben a szakaszban konfigurálja az SAML-hitelesítést, és meghatározza azokat a jogcímeket, amelyeket a sikeres hitelesítés után a Rendszer elküld a SharePointnak.

1. A Vállalati alkalmazás SharePoint corporate farmáttekintésében válassza a 2 lehetőséget. Állítson be egyszeri bejelentkezést , és válassza ki az SAML-t a következő párbeszédpanelen.

2. Az egyszeri bejelentkezés beállítása SAML-lel lapon válassza a Szerkesztés ikont az Egyszerű SAML-konfiguráció panelen.

3. Az Egyszerű SAML-konfiguráció szakaszban kövesse az alábbi lépéseket:

   1. Az Azonosító mezőben győződjön meg arról, hogy ez az érték jelen van: urn:sharepoint:federation.

   2. A Válasz URL-cím mezőjébe írjon be egy URL-címet a következő mintával: https://spsites.contoso.local/_trust/.

   3. A Bejelentkezés URL-cím mezőjébe írjon be egy URL-címet a következő mintával: https://spsites.contoso.local/.

   4. Válassza a Mentés lehetőséget.

4. A Felhasználói attribútumok > Jogcímek szakaszban törölje a következő jogcímtípusokat, amelyek haszontalanok, mivel a SharePoint nem használja őket engedélyek megadására:

   • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
   • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname
   • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname

5. A beállításoknak így kell kinéznie:

   

6. Másolja ki azokat az információkat, amelyekre később szüksége lesz a SharePointban:

   • Az SAML aláíró tanúsítvány szakaszában töltse le a tanúsítványt (Base64). Ez a Microsoft Entra ID által az SAML-jogkivonat aláírásához használt aláíró tanúsítvány nyilvános kulcsa. A SharePointnak szüksége lesz rá a bejövő SAML-jogkivonatok integritásának ellenőrzéséhez.

   • A SharePoint vállalati farm beállítása szakaszban másolja ki a bejelentkezési URL-címet egy jegyzettömbbe, és cserélje le a /saml2 záró sztringet a /wsfed értékre.

   Fontos

   A /saml2-tcserélje le a /wsfedre, hogy a Microsoft Entra ID a SharePoint által megkövetelt SAML 1.1-jogkivonatot állítson ki.

   • A SharePoint vállalati farm beállítása szakaszban másolja ki a kijelentkezés URL-címét

A SharePoint konfigurálása a Microsoft Entra-azonosító megbízhatóságához

A megbízhatóság létrehozása a SharePointban

Ebben a lépésben létrehoz egy SPTrustedLoginProvidert, amely tárolja azt a konfigurációt, amelyet a SharePointnak meg kell bíznia a Microsoft Entra-azonosítóban. Ehhez szüksége van a Fent másolt Microsoft Entra-azonosító adataira. Indítsa el a SharePoint Management Shellt, és futtassa a következő szkriptet a létrehozásához:

# Path to the public key of the Microsoft Entra SAML signing certificate (self-signed), downloaded from the Enterprise application in the Azure portal
$signingCert = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2("C:\Microsoft Entra app\SharePoint corporate farm.cer")
# Unique realm (corresponds to the "Identifier (Entity ID)" in the Microsoft Entra enterprise application)
$realm = "urn:sharepoint:federation"
# Login URL copied from the Microsoft Entra enterprise application. Make sure to replace "saml2" with "wsfed" at the end of the URL:
$loginUrl = "https://login.microsoftonline.com/dc38a67a-f981-4e24-ba16-4443ada44484/wsfed"

# Define the claim types used for the authorization
$userIdentifier = New-SPClaimTypeMapping -IncomingClaimType "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name" -IncomingClaimTypeDisplayName "name" -LocalClaimType "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn"
$role = New-SPClaimTypeMapping "http://schemas.microsoft.com/ws/2008/06/identity/claims/role" -IncomingClaimTypeDisplayName "Role" -SameAsIncoming

# Let SharePoint trust the Microsoft Entra signing certificate
New-SPTrustedRootAuthority -Name "Microsoft Entra signing certificate" -Certificate $signingCert

# Create a new SPTrustedIdentityTokenIssuer in SharePoint
$trust = New-SPTrustedIdentityTokenIssuer -Name "MicrosoftEntraTrust" -Description "Microsoft Entra ID" -Realm $realm -ImportTrustCertificate $signingCert -ClaimsMappings $userIdentifier, $role -SignInUrl $loginUrl -IdentifierClaim $userIdentifier.InputClaimType

A SharePoint-webalkalmazás konfigurálása

Ebben a lépésben konfigurál egy webalkalmazást a SharePointban, hogy megbízzon a fent létrehozott Microsoft Entra Enterprise-alkalmazásban. Fontos szabályokat kell szem előtt tartani:

• A SharePoint-webalkalmazás alapértelmezett zónájának engedélyeznie kell a Windows-hitelesítést. Erre a keresőrobothoz van szükség.
• A Microsoft Entra-hitelesítést használó SharePoint URL-címet HTTPS-vel kell beállítani.

1. Hozza létre vagy bővítse ki a webalkalmazást. Ez a cikk két lehetséges konfigurációt ismertet:

   • Ha létrehoz egy új webalkalmazást, amely windowsos és Microsoft Entra-hitelesítést is használ az alapértelmezett zónában:

     1. Indítsa el a SharePoint Management Shellt , és futtassa a következő szkriptet:

        # This script creates a new web application and sets Windows and Microsoft Entra authentication on the Default zone
        # URL of the SharePoint site federated with Microsoft Entra
        $trustedSharePointSiteUrl = "https://spsites.contoso.local/"
        $applicationPoolManagedAccount = "Contoso\spapppool"
        
        $winAp = New-SPAuthenticationProvider -UseWindowsIntegratedAuthentication -DisableKerberos:$true
        $sptrust = Get-SPTrustedIdentityTokenIssuer "MicrosoftEntraTrust"
        $trustedAp = New-SPAuthenticationProvider -TrustedIdentityTokenIssuer $sptrust    
        
        New-SPWebApplication -Name "SharePoint - Microsoft Entra" -Port 443 -SecureSocketsLayer -URL $trustedSharePointSiteUrl -ApplicationPool "SharePoint - Microsoft Entra" -ApplicationPoolAccount (Get-SPManagedAccount $applicationPoolManagedAccount) -AuthenticationProvider $winAp, $trustedAp
        

     2. Nyissa meg a SharePoint Central Rendszergazda istration webhelyet.

     3. A Rendszer Gépház területen válassza az Alternatív hozzáférés-leképezések konfigurálása lehetőséget. Megnyílik az Alternatív hozzáférés-leképezési gyűjtemény mező.

     4. Szűrje a megjelenítést az új webalkalmazással, és győződjön meg arról, hogy az alábbihoz hasonlót lát:

        

   • Ha kiterjeszt egy meglévő webalkalmazást a Microsoft Entra-hitelesítés használatára egy új zónában:

     1. Indítsa el a SharePoint Management Shellt, és futtassa a következő szkriptet:

        # This script extends an existing web application to set Microsoft Entra authentication on a new zone
        # URL of the default zone of the web application
        $webAppDefaultZoneUrl = "http://spsites/"
        # URL of the SharePoint site federated with ADFS
        $trustedSharePointSiteUrl = "https://spsites.contoso.local/"
        $sptrust = Get-SPTrustedIdentityTokenIssuer "MicrosoftEntraTrust"
        $ap = New-SPAuthenticationProvider -TrustedIdentityTokenIssuer $sptrust
        $wa = Get-SPWebApplication $webAppDefaultZoneUrl
        
        New-SPWebApplicationExtension -Name "SharePoint - Microsoft Entra" -Identity $wa -SecureSocketsLayer -Zone Internet -Url $trustedSharePointSiteUrl -AuthenticationProvider $ap
        

     2. Nyissa meg a SharePoint Central Rendszergazda istration webhelyet.

     3. A Rendszer Gépház területen válassza az Alternatív hozzáférés-leképezések konfigurálása lehetőséget. Megnyílik az Alternatív hozzáférés-leképezési gyűjtemény mező.

     4. Szűrje a kijelzőt a kiterjesztett webalkalmazással, és győződjön meg arról, hogy az alábbihoz hasonlót lát:

        

A webalkalmazás létrehozása után létrehozhat egy gyökérwebhelycsoportot, és felveheti a Windows-fiókját elsődleges webhelycsoport-rendszergazdaként.

1. Tanúsítvány létrehozása a SharePoint-webhelyhez

   Mivel a SharePoint URL-címe HTTPS protokollt használ (https://spsites.contoso.local/), a tanúsítványt a megfelelő Internet Information Services-webhelyen (IIS) kell beállítani. Kövesse az alábbi lépéseket egy önaláírt tanúsítvány létrehozásához:

   Fontos

   Az önaláírt tanúsítványok csak tesztelési célokra alkalmasak. Éles környezetekben javasoljuk, hogy inkább egy hitelesítésszolgáltató által kiadott tanúsítványokat használjon.

   1. Nyissa meg a Windows PowerShell-konzolt.

   2. Futtassa a következő szkriptet egy önaláírt tanúsítvány létrehozásához és a számítógép SAJÁT tárolójához való hozzáadásához:

      New-SelfSignedCertificate -DnsName "spsites.contoso.local" -CertStoreLocation "cert:\LocalMachine\My"
      

2. A tanúsítvány beállítása az IIS-webhelyen

   1. Nyissa meg az Internet Information Services Manager konzolt.
   2. Bontsa ki a kiszolgálót fanézetben, bontsa ki a Webhelyek elemet, válassza ki a SharePoint – Microsoft Entra azonosító webhelyet, és válassza a Kötések lehetőséget.
   3. Válassza a https-kötést, majd a Szerkesztés lehetőséget.
   4. A TLS/SSL tanúsítványmezőben válassza ki a használni kívánt tanúsítványt (például a fent létrehozott spsites.contoso.local ), majd kattintson az OK gombra.

   Feljegyzés

   Ha több webes előtérbeli kiszolgálóval rendelkezik, mindegyiken meg kell ismételnie ezt a műveletet.

A SharePoint és a Microsoft Entra-azonosító közötti megbízhatóság alapkonfigurációja befejeződött. Lássuk, hogyan jelentkezhet be a SharePoint-webhelyre Microsoft Entra-felhasználóként.

Bejelentkezés tagfelhasználóként

A Microsoft Entra-azonosító két típusú felhasználóval rendelkezik: vendégfelhasználók és tagfelhasználók. Kezdjük egy tagfelhasználóval, amely csupán egy olyan felhasználó, aki a szervezetében található.

Tagfelhasználó létrehozása a Microsoft Entra-azonosítóban

1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább felhasználói Rendszergazda istratorként.
2. Tallózással keresse meg az Identitásfelhasználók>>minden felhasználót.
3. Válassza az Új felhasználó>létrehozása lehetőséget a képernyő tetején.
4. A Felhasználói tulajdonságok területen kövesse az alábbi lépéseket:
   1. A Megjelenítendő név mezőbe írja be a következőtB.Simon:
   2. A Felhasználónév mezőbe írja be a következőtusername@companydomain.extension: . Például: B.Simon@contoso.com.
   3. Jelölje be a Jelszó megjelenítése jelölőnégyzetet, majd írja be a Jelszó mezőben megjelenő értéket.
   4. Válassza az Áttekintés + létrehozás lehetőséget.
5. Válassza a Létrehozás lehetőséget.
6. Megoszthatja a webhelyet ezzel a felhasználóval, és engedélyezheti a hozzáférést.

Engedélyek megadása a Microsoft Entra-felhasználónak a SharePointban

Jelentkezzen be a SharePoint gyökérwebhelycsoportba Windows-fiókként (webhelycsoport-rendszergazdaként), és kattintson a Megosztás gombra.
A párbeszédpanelen be kell gépelnie például AzureUser1@demo1984.onmicrosoft.coma userprincipalname pontos értékét, és körültekintően kell kiválasztania a névigénylés eredményét (az egérrel az eredményre mozgatva megtekintheti a jogcím típusát)

Fontos

Ügyeljen arra, hogy írja be a meghívni kívánt felhasználó pontos értékét, és válassza ki a megfelelő jogcímtípust a listában, különben a megosztás nem fog működni.

Ennek a korlátozásnak az az oka, hogy a SharePoint nem ellenőrzi a személyválasztó bemenetét, ami zavaró lehet, és hibás elírásokhoz vezethet, vagy a felhasználók véletlenül rossz jogcímtípust választanak.
A forgatókönyv megoldásához egy EntraCP nevű nyílt forráskódú megoldás használható a SharePoint 2019/2016/2013 microsoft entra id azonosítójával való összekapcsolására, és a Bemenet feloldása a Microsoft Entra-bérlőn. További információ: EntraCP.

Az alábbiakban ugyanaz a keresés látható, amelyen az EntraCP konfigurálva van: A SharePoint a tényleges felhasználókat adja vissza a bemenet alapján:

Fontos

Az EntraCP nem Microsoft-termék, és Microsoft ügyfélszolgálata nem támogatja. Az EntraCP a helyszíni SharePoint-farmon való letöltéséhez, telepítéséhez és konfigurálásához tekintse meg az EntraCP webhelyét.

A Microsoft Entra-felhasználó AzureUser1@demo1984.onmicrosoft.com mostantól az identitásával bejelentkezhet a SharePoint-webhelyre https://spsites.contoso.local/.

Engedélyek megadása biztonsági csoportnak

Csoport jogcímtípusának hozzáadása a vállalati alkalmazáshoz

1. A Vállalati alkalmazás SharePoint corporate farmáttekintésében válassza a 2 lehetőséget. Egyszeri bejelentkezés beállítása.

2. A Felhasználói attribútumok > Jogcímek szakaszban kövesse az alábbi lépéseket, ha nincs csoportjogcím:

   1. Válassza a Csoportjogcím hozzáadása lehetőséget, válassza a Biztonsági csoportok lehetőséget, és győződjön meg arról, hogy a Forrásattribútum csoportazonosítóra van állítva
   2. Jelölje be a csoportjogcím nevének testreszabása jelölőnégyzetet, majd jelölje be a Csoportok kibocsátása szerepkör jogcímként jelölőnégyzetet, majd kattintson a Mentés gombra.
   3. A Felhasználói attribútumok > jogcímeknek így kell kinéznie:

   

Biztonsági csoport létrehozása a Microsoft Entra-azonosítóban

Hozzunk létre egy biztonsági csoportot.

1. Tallózással keresse meg az identitáscsoportokat>.

2. Válassza az Új csoportot.

3. Adja meg a csoporttípust (Biztonság), a csoport nevét (például AzureGroup1), és a tagság típusát. Adja hozzá a fent létrehozott felhasználót tagként, és kattintson a Létrehozás gombra:

   

Engedélyek megadása a SharePoint biztonsági csoportjához

A Microsoft Entra biztonsági csoportok az attribútumukkal Idvannak azonosítva, amely egy GUID (például E89EF0A3-46CC-45BF-93A4-E078FCEBFC45).
Egyéni jogcímszolgáltató nélkül a felhasználóknak be kell gépelni a csoport pontos értékét (Id) a személyválasztóban, és ki kell választaniuk a megfelelő jogcímtípust. Ez nem felhasználóbarát és nem megbízható.
Ennek elkerülése érdekében ez a cikk külső jogcímszolgáltatót , az EntraCP-t használja a csoport barátságos megkereséséhez a SharePointban:

Vendégfelhasználók hozzáférésének kezelése

A vendégfiókok kétféleképpen használhatók:

• B2B vendégfiókok: Ezek a felhasználók egy külső Microsoft Entra-bérlőben találhatók
• MSA-vendégfiókok: Ezek a felhasználók microsoftos azonosító szolgáltatóban (Hotmail, Outlook) vagy közösségi fiókszolgáltatóban (Google vagy hasonló) találhatók

A Microsoft Entra ID alapértelmezés szerint az "Egyedi felhasználóazonosító" és a "név" jogcímet is beállítja az attribútumra user.userprincipalname.
Ez az attribútum sajnos nem egyértelmű a vendégfiókok esetében, ahogy az alábbi táblázat is mutatja:

Forrásattribútumkészlet a Microsoft Entra-azonosítóban	A Microsoft Entra ID által a B2B-vendégek számára használt tényleges tulajdonság	A Microsoft Entra ID által az MSA-vendégek számára használt tényleges tulajdonság	Olyan tulajdonság, amelyre a SharePoint támaszkodhat az identitás ellenőrzéséhez
user.userprincipalname	mailpéldául: guest@PARTNERTENANT	userprincipalnamepéldául: guest_outlook.com#EXT#@TENANT.onmicrosoft.com	nem egyértelmű
user.localuserprincipalname	userprincipalnamepéldául: guest_PARTNERTENANT#EXT#@TENANT.onmicrosoft.com	userprincipalnamepéldául: guest_outlook.com#EXT#@TENANT.onmicrosoft.com	userprincipalname

Összefoglalva, annak érdekében, hogy a vendégfiókok azonos attribútummal legyenek azonosítva, a vállalati alkalmazás azonosító jogcímeit frissíteni kell az attribútum user.localuserprincipalnameuser.userprincipalnamehelyett.

Az alkalmazás frissítése az összes vendégfelhasználó konzisztens attribútumának használatára

1. A Vállalati alkalmazás SharePoint corporate farmáttekintésében válassza a 2 lehetőséget. Egyszeri bejelentkezés beállítása.

2. Az egyszeri bejelentkezés beállítása SAML-lel lapon válassza a Szerkesztés ikont a Felhasználói attribútumok > Jogcímek panelen.

3. A Felhasználói attribútumok > Jogcímek szakaszban kövesse az alábbi lépéseket:

   1. Válassza az Egyedi felhasználóazonosító (Névazonosító) lehetőséget, módosítsa a forrásattribútum tulajdonságát user.localuserprincipalname névre, majd kattintson a Mentés gombra.

   2. Válassza kihttp://schemas.xmlsoap.org/ws/2005/05/identity/claims/name, módosítsa a Forrásattribútum tulajdonságát user.localuserprincipalname névre, majd kattintson a Mentés gombra.

   3. A Felhasználói attribútumok > jogcímeknek így kell kinéznie:

   

Vendégfelhasználók meghívása a SharePointban

Feljegyzés

Ez a szakasz feltételezi, hogy az EntraCP jogcímszolgáltatót használja

A fenti szakaszban frissítette a vállalati alkalmazást, hogy konzisztens attribútumot használjon az összes vendégfiókhoz.
Most frissíteni kell az EntraCP konfigurációját, hogy tükrözze a módosítást, és használja a vendégfiókok attribútumát userprincipalname :

1. Nyissa meg a SharePoint Central Rendszergazda istration webhelyet.
2. A Biztonság területen válassza az EntraCP globális konfigurációját.
3. A Felhasználóazonosító tulajdonság szakaszban állítsa be a "Vendég" felhasználók felhasználói azonosítóját a UserPrincipalName értékre.
4. Kattintson az OK gombra

Mostantól meghívhat minden vendégfelhasználót a SharePoint-webhelyeken.

Összevonás konfigurálása több webalkalmazáshoz

A konfiguráció egyetlen webalkalmazáshoz működik, de további konfigurációra van szükség, ha ugyanazt a megbízható identitásszolgáltatót több webalkalmazáshoz szeretné használni. Tegyük fel például, hogy van egy külön webalkalmazása https://otherwebapp.contoso.local/ , és most engedélyezni szeretné a Microsoft Entra-hitelesítést rajta. Ehhez konfigurálja a SharePointot az SAML WReply paraméter átadására, és adja hozzá az URL-címeket a vállalati alkalmazásban.

A SharePoint konfigurálása az SAML WReply paraméter átadásához

1. A SharePoint-kiszolgálón nyissa meg a SharePoint 201x Felügyeleti rendszerhéjat, és futtassa a következő parancsokat. Használja ugyanazt a nevet a megbízható identitásjogkivonat-kiállítóhoz, mint korábban.

$t = Get-SPTrustedIdentityTokenIssuer "MicrosoftEntraTrust"
$t.UseWReplyParameter = $true
$t.Update()

Az URL-címek hozzáadása a vállalati alkalmazásban

1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább felhőalkalmazásként Rendszergazda istratorként.

2. Keresse meg az Identity>Applications>Enterprise-alkalmazásokat>: Válassza ki a korábban létrehozott vállalati alkalmazást, és válassza az Egyszeri bejelentkezés lehetőséget.

3. Az egyszeri bejelentkezés beállítása SAML-lel lapon szerkessze az egyszerű SAML-konfigurációt.

4. A Válasz URL-cím (Assertion Consumer Service URL) szakaszban adja hozzá az összes további webalkalmazás URL-címét (például) a Microsoft Entra-azonosítóval bejelentkezni kívánt felhasználókhoz, https://otherwebapp.contoso.local/majd kattintson a Mentés gombra.

A biztonsági jogkivonat élettartamának konfigurálása

A Microsoft Entra ID alapértelmezés szerint létrehoz egy 1 órán át érvényes SAML-jogkivonatot, amely nem szabható testre az Azure Portalon vagy feltételes hozzáférési szabályzat használatával.
Létrehozhat azonban egy egyéni jogkivonat élettartam-szabályzatot, és hozzárendelheti azt a SharePoint Serverhez létrehozott vállalati alkalmazáshoz.
Ehhez futtassa az alábbi szkriptet:

Install-Module Microsoft.Graph
Connect-MgGraph -Scopes "Policy.ReadWrite.ApplicationConfiguration","Policy.Read.All","Application.ReadWrite.All"

$appDisplayName = "SharePoint corporate farm"
$sp = Get-MgServicePrincipal -Search DisplayName:"$appDisplayName" -ConsistencyLevel eventual

$oldPolicy = Get-MgServicePrincipalTokenLifetimePolicy -ServicePrincipalId $sp.Id
if ($null -ne $oldPolicy) {
	# There can be only 1 TokenLifetimePolicy associated to the service principal (or 0, as by default)
    Remove-MgServicePrincipalAppManagementPolicy -AppManagementPolicyId $oldPolicy.Id -ServicePrincipalId $sp.Id
}

# Get / create a custom token lifetime policy
$policyDisplayName = "WebPolicyScenario"
$policy = Get-MgPolicyTokenLifetimePolicy -Filter "DisplayName eq '$policyDisplayName'"
if ($null -eq $policy) {
	$params = @{
		Definition = @('{"TokenLifetimePolicy":{"Version":1,"AccessTokenLifetime":"4:00:00"}}') 
		DisplayName = $policyDisplayName
		IsOrganizationDefault = $false
	}
	$policy = New-MgPolicyTokenLifetimePolicy -BodyParameter $params
}

# Assign the token lifetime policy to an app
$body = @{
	"@odata.id" = "https://graph.microsoft.com/v1.0/policies/tokenLifetimePolicies/$($policy.Id)"
}
Invoke-GraphRequest -Uri ('https://graph.microsoft.com/v1.0/servicePrincipals/{0}/tokenLifetimePolicies/$ref' -f $sp.Id) -Method POST -Body $body