Tutorial: Erfahren Sie, wie Sie Verbundauthentifizierung zwischen Microsoft Entra ID und SharePoint lokal implementieren

Beschreibung des Szenarios

In diesem Tutorial konfigurieren Sie eine Verbundauthentifizierung zwischen Microsoft Entra ID und SharePoint lokal. Ziel ist, Benutzern die Anmeldung bei Microsoft Entra ID zu ermöglichen und ihre Identität für den Zugriff auf die lokalen SharePoint-Websites zu verwenden.

Voraussetzungen

Um die Konfiguration vornehmen zu können, benötigen Sie die folgenden Ressourcen:

  • Ein Microsoft Entra-Mandant. Falls Sie über keins verfügen, können Sie ein kostenloses Konto erstellen.
  • Eine SharePoint 2013-Farm (oder neuer).

In diesem Artikel werden folgende Werte verwendet:

  • Name der Unternehmensanwendung (in Microsoft Entra ID): SharePoint corporate farm
  • Vertrauensbezeichner (in Microsoft Entra ID) / Bereich (in SharePoint):urn:sharepoint:federation
  • loginUrl (zu Microsoft Entra ID): https://login.microsoftonline.com/dc38a67a-f981-4e24-ba16-4443ada44484/wsfed
  • SharePoint Website-URL: https://spsites.contoso.local/
  • Antwort-URL der SharePoint-Website: https://spsites.contoso.local/_trust/
  • Konfigurationsname der SharePoint-Vertrauensstellung: MicrosoftEntraTrust
  • UserPrincipalName des Microsoft Entra Testbenutzers: AzureUser1@demo1984.onmicrosoft.com

Konfigurieren einer Unternehmensanwendung in Microsoft Entra ID

Zum Konfigurieren des Verbunds in Microsoft Entra ID müssen Sie eine dedizierte Unternehmensanwendung erstellen. Die Konfiguration wird mithilfe der vorkonfigurierten Vorlage SharePoint on-premises vereinfacht, die sich im Anwendungskatalog befindet.

Erstellen einer Unternehmensanwendung

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Cloudanwendungsadministrator an.
  2. Navigieren Sie zu Identität>Anwendungen>Unternehmensanwendungen>Neue Anwendung.
  3. Geben Sie in das Suchfeld SharePoint lokal ein. Wählen Sie im Ergebnisbereich SharePoint (lokal) aus.
  4. Geben Sie einen Namen für Ihre Anwendung an (in diesem Tutorial lautet er SharePoint corporate farm) und klicken Sie auf Erstellen, um die Anwendung hinzuzufügen.
  5. Wählen Sie in der neuen Unternehmensanwendung Eigenschaften aus, und überprüfen Sie den Wert für Benutzerzuweisung erforderlich? . Legen Sie für dieses Szenario den Wert auf Nein fest und klicken Sie auf Speichern.

Konfigurieren der Unternehmensanwendung

In diesem Abschnitt konfigurieren Sie die SAML-Authentifizierung und definieren die Ansprüche, die bei erfolgreicher Authentifizierung an SharePoint gesendet werden.

  1. Wählen Sie in der Übersicht der Unternehmensanwendung SharePoint corporate farm die Option 2. Single Sign-On einrichten und im nächsten Dialogfeld SAML aus.

  2. Wählen Sie auf der Seite Single Sign-On mit SAML einrichten im Bereich Grundlegende SAML-Konfiguration das Symbol Bearbeiten aus.

  3. Führen Sie im Abschnitt Grundlegende SAML-Konfiguration die folgenden Schritte aus:

    1. Stellen Sie im Feld Bezeichner sicher, dass der folgende Wert angegeben wird: urn:sharepoint:federation.

    2. Geben Sie im Feld Antwort-URL eine URL im folgenden Format ein: https://spsites.contoso.local/_trust/.

    3. Geben Sie im Feld Anmelde-URL eine URL im folgenden Format ein: https://spsites.contoso.local/.

    4. Wählen Sie Speichern.

  4. Löschen Sie im Abschnitt Benutzerattribute und -ansprüche die folgenden nutzlosen Anspruchstypen (werden von SharePoint nicht zum Gewähren von Berechtigungen verwendet):

    • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
    • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname
    • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname
  5. Die Einstellungen sollten nun wie folgt aussehen:

    Grundlegende SAML-Einstellungen

  6. Kopieren Sie die Informationen, die Sie später in SharePoint benötigen:

    • Laden Sie im Abschnitt SAML-Signaturzertifikat das Zertifikat (Base64)herunter. Dies ist der öffentliche Schlüssel des Signaturzertifikats, welcher von Microsoft Entra ID zum Signieren des SAML-Tokens verwendet wird. SharePoint benötigt ihn, um die Integrität der eingehenden SAML-Token zu überprüfen.

    • Kopieren Sie im Abschnitt SharePoint-Unternehmensfarm einrichten die Anmelde-URL in einen Editor und ersetzen Sie die folgende Zeichenfolge /saml2 durch /wsfed.

    Wichtig

    Stellen Sie sicher, dass Sie /saml2 durch /wsfed ersetzen, damit Microsoft Entra ID ein für SharePoint erforderliches SAML 1.1-Token ausgibt.

    • Kopieren Sie im Abschnitt SharePoint-Unternehmensfarm einrichten die Abmelde-URL.

Konfigurieren von SharePoint zum Vertrauen von Microsoft Entra ID

Erstellen des Vertrauens in SharePoint

In diesem Schritt erstellen Sie einen SPTrustedLoginProvider, um die Konfiguration zu speichern, die SharePoint zum Vertrauen von Microsoft Entra ID benötigt. Dazu benötigen Sie die Informationen aus der Microsoft Entra-ID, die Sie oben kopiert haben. Beachten Sie, dass bei der Verwendung von Windows PowerShell möglicherweise einige Befehle fehlschlagen. Starten Sie die SharePoint-Verwaltungsshell und führen Sie das folgende Skript aus, um es zu erstellen:

# Path to the public key of the Microsoft Entra SAML signing certificate (self-signed), downloaded from the Enterprise application in the Azure portal
$signingCert = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2("C:\Microsoft Entra app\SharePoint corporate farm.cer")
# Unique realm (corresponds to the "Identifier (Entity ID)" in the Microsoft Entra enterprise application)
$realm = "urn:sharepoint:federation"
# Login URL copied from the Microsoft Entra enterprise application. Make sure to replace "saml2" with "wsfed" at the end of the URL:
$loginUrl = "https://login.microsoftonline.com/dc38a67a-f981-4e24-ba16-4443ada44484/wsfed"

# Define the claim types used for the authorization
$userIdentifier = New-SPClaimTypeMapping -IncomingClaimType "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name" -IncomingClaimTypeDisplayName "name" -LocalClaimType "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn"
$role = New-SPClaimTypeMapping "http://schemas.microsoft.com/ws/2008/06/identity/claims/role" -IncomingClaimTypeDisplayName "Role" -SameAsIncoming

# Let SharePoint trust the Microsoft Entra signing certificate
New-SPTrustedRootAuthority -Name "Microsoft Entra signing certificate" -Certificate $signingCert

# Create a new SPTrustedIdentityTokenIssuer in SharePoint
$trust = New-SPTrustedIdentityTokenIssuer -Name "MicrosoftEntraTrust" -Description "Microsoft Entra ID" -Realm $realm -ImportTrustCertificate $signingCert -ClaimsMappings $userIdentifier, $role -SignInUrl $loginUrl -IdentifierClaim $userIdentifier.InputClaimType

Konfigurieren der SharePoint-Webanwendung

In diesem Schritt konfigurieren Sie eine Webanwendung in SharePoint so, dass sie der oben erstellten Microsoft Entra Enterprise-Anwendung vertraut. Es gibt wichtige Regeln, die zu beachten sind:

  • Die Standardzone der SharePoint-Webanwendung muss über eine aktivierte Windows-Authentifizierung verfügen. Dies ist für den Search-Crawler erforderlich.
  • Die SharePoint-URL, welche die Microsoft Entra-Authentifizierung verwendet, muss mit HTTPS festgelegt werden.
  1. Erstellen oder erweitern Sie die Webanwendung. In diesem Artikel werden zwei mögliche Konfigurationen beschrieben:

    • Wenn Sie eine neue Webanwendung erstellen, die sowohl Windows- als auch Microsoft Entra-Authentifizierung in der Standardzone verwendet:

      1. Starten Sie die SharePoint-Verwaltungsshell, und führen Sie das folgende Skript aus:

        # This script creates a new web application and sets Windows and Microsoft Entra authentication on the Default zone
        # URL of the SharePoint site federated with Microsoft Entra
        $trustedSharePointSiteUrl = "https://spsites.contoso.local/"
        $applicationPoolManagedAccount = "Contoso\spapppool"
        
        $winAp = New-SPAuthenticationProvider -UseWindowsIntegratedAuthentication -DisableKerberos:$true
        $sptrust = Get-SPTrustedIdentityTokenIssuer "MicrosoftEntraTrust"
        $trustedAp = New-SPAuthenticationProvider -TrustedIdentityTokenIssuer $sptrust    
        
        New-SPWebApplication -Name "SharePoint - Microsoft Entra" -Port 443 -SecureSocketsLayer -URL $trustedSharePointSiteUrl -ApplicationPool "SharePoint - Microsoft Entra" -ApplicationPoolAccount (Get-SPManagedAccount $applicationPoolManagedAccount) -AuthenticationProvider $winAp, $trustedAp
        
      2. Öffnen Sie die Website der SharePoint-Zentraladministration.

      3. Wählen Sie unter Systemeinstellungen die Option Alternative Zugriffszuordnungen konfigurieren. Das Feld Alternative Zugriffszuordnungssammlung wird geöffnet.

      4. Filtern Sie die Anzeige mit der neuen Webanwendung, und vergewissern Sie sich, dass die Anzeige in etwa wie folgt aussieht:

        Alternative Zugriffszuordnungen der Webanwendung

    • Wenn Sie eine vorhandene Webanwendung erweitern, um Microsoft Entra-Authentifizierung in einer neuen Zone zu verwenden:

      1. Starten Sie die SharePoint-Verwaltungsshell, und führen Sie das folgende Skript aus:

        # This script extends an existing web application to set Microsoft Entra authentication on a new zone
        # URL of the default zone of the web application
        $webAppDefaultZoneUrl = "http://spsites/"
        # URL of the SharePoint site federated with ADFS
        $trustedSharePointSiteUrl = "https://spsites.contoso.local/"
        $sptrust = Get-SPTrustedIdentityTokenIssuer "MicrosoftEntraTrust"
        $ap = New-SPAuthenticationProvider -TrustedIdentityTokenIssuer $sptrust
        $wa = Get-SPWebApplication $webAppDefaultZoneUrl
        
        New-SPWebApplicationExtension -Name "SharePoint - Microsoft Entra" -Identity $wa -SecureSocketsLayer -Zone Internet -Url $trustedSharePointSiteUrl -AuthenticationProvider $ap
        
      2. Öffnen Sie die Website der SharePoint-Zentraladministration.

      3. Wählen Sie unter Systemeinstellungen die Option Alternative Zugriffszuordnungen konfigurieren. Das Feld Alternative Zugriffszuordnungssammlung wird geöffnet.

      4. Filtern Sie die Anzeige mit der erweiterten Webanwendung, und vergewissern Sie sich, dass die Anzeige in etwa wie folgt aussieht:

        Alternative Zugriffszuordnungen der erweiterten Webanwendung

Nachdem die Webanwendung erstellt wurde, können Sie eine Stammwebsitesammlung erstellen und Ihr Windows-Konto als Administrator für die primäre Websitesammlung hinzufügen.

  1. Erstellen eines Zertifikats für die SharePoint-Website

    Die SharePoint-URL verwendet das HTTPS-Protokoll (https://spsites.contoso.local/). Daher muss auf der IIS-Website (Internet Information Services, Internetinformationsdienste) ein Zertifikat festgelegt werden. Führen Sie die folgenden Schritte aus, um ein selbstsigniertes Zertifikat zu generieren:

    Wichtig

    Selbstsignierte Zertifikate sind nur für Testzwecke geeignet. In Produktionsumgebungen wird dringend empfohlen, stattdessen Zertifikate einer Zertifizierungsstelle zu verwenden.

    1. Öffnen Sie die Windows PowerShell-Konsole.

    2. Führen Sie das folgende Skript aus, um ein selbstsigniertes Zertifikat zu generieren und es dem Computerzertifikatspeicher „MY“ hinzuzufügen:

      New-SelfSignedCertificate -DnsName "spsites.contoso.local" -CertStoreLocation "cert:\LocalMachine\My"
      
  2. Festlegen des Zertifikats am IIS-Standort

    1. Öffnen Sie die Konsole „Internetinformationsdienste-Manager“.
    2. Erweitern Sie den Server in der Strukturansicht, erweitern Sie Websites, wählen Sie die Website SharePoint: Microsoft Entra ID aus und anschließend Bindungen.
    3. Wählen Sie HTTPS-Bindung und anschließend Bearbeiten aus.
    4. Wählen Sie im Feld „TLS/SSL-Zertifikat“ das zu verwendende Zertifikat aus (z. B. das oben erstellte spsites.contoso.local) und anschließend OKaus.

    Hinweis

    Wenn Sie über mehrere Web-Frontend-Server verfügen, müssen Sie diesen Vorgang bei jedem Vorgang wiederholen.

Die grundlegende Konfiguration der Vertrauensstellung zwischen SharePoint und Microsoft Entra ID ist jetzt abgeschlossen. Im Folgenden erfahren Sie, wie Sie sich als Microsoft Entra-Benutzer bei der SharePoint-Website anmelden.

Melden Sie sich als Mitgliedsbenutzer an.

Microsoft Entra ID verfügt über zwei Benutzertypen: Gastbenutzer und Mitgliedsbenutzer. Beginnen wir mit einem Mitgliedsbenutzer, bei dem es sich lediglich um einen Benutzer handelt, der sich in Ihrer Organisation befindet.

Erstellen eines Mitgliedsbenutzers in Microsoft Entra ID

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Benutzeradministrator an.
  2. Browsen Sie zu Identität>Benutzer>Alle Benutzer.
  3. Wählen Sie oben auf dem Bildschirm Neuer Benutzer>Neuen Benutzer erstellen aus.
  4. Führen Sie unter den Eigenschaften für Benutzer die folgenden Schritte aus:
    1. Geben Sie im Feld Anzeigename den Namen B.Simon ein.
    2. Geben Sie im Feld Benutzerprinzipalname ein username@companydomain.extension. Beispiel: B.Simon@contoso.com.
    3. Aktivieren Sie das Kontrollkästchen Kennwort anzeigen, und notieren Sie sich den Wert aus dem Feld Kennwort.
    4. Klicken Sie auf Überprüfen + erstellen.
  5. Klicken Sie auf Erstellen.
  6. Sie können die Website für diesen Benutzer freigeben und den Zugriff darauf erlauben.

Erteilen von Berechtigungen für den Microsoft Entra-Benutzer in SharePoint

Melden Sie sich bei der SharePoint-Stammwebsitesammlung mit Ihrem Windows-Konto (Websitesammlungsadministrator) an und klicken Sie auf Freigeben.
Im Dialogfeld müssen Sie den genauen Wert für „userprincipalname“ eingeben, z. B. AzureUser1@demo1984.onmicrosoft.com. Achten Sie darauf, das Ergebnis des Namensanspruchs auszuwählen (bewegen Sie den Mauszeiger auf ein Ergebnis, um dessen Anspruchstyp anzuzeigen).

Wichtig

Achten Sie darauf, den genauen Wert des Benutzers einzugeben, den Sie einladen möchten, und wählen Sie den entsprechenden Anspruchstyp in der Liste aus. Andernfalls funktioniert die Freigabe nicht.

Screenshot der Ergebnisse der Personenauswahl ohne EntraCP.

Diese Einschränkung ist darauf zurückzuführen, dass SharePoint die Eingaben aus der Personenauswahl nicht überprüft. Dies kann verwirrend sein und zu Falschschreibung führen, oder Benutzer wählen versehentlich den falschen Anspruchstyp aus.
Um dieses Szenario zu beheben, kann eine Open-Source-Lösung namens EntraCP verwendet werden, um SharePoint 2019/2016/2013 mit Microsoft Entra ID zu verbinden und die Eingabe für Ihren Microsoft Entra-Mandanten aufzulösen. Weitere Informationen finden Sie unter EntraCP.

Im Folgenden finden Sie die gleiche Suche mit konfiguriertem EntraCP: SharePoint gibt die tatsächlichen Benutzer basierend auf der Eingabe zurück:

Screenshot der Ergebnisse der Personenauswahl mit EntraCP.

Wichtig

EntraCP ist kein Produkt von Microsoft, und Microsoft bietet keinen Support für das Produkt. Informationen, um EntraCP herunterzuladen und in der SharePoint-Farm (lokal) zu installieren und konfigurieren, finden Sie auf der EntraCP-Website.

Microsoft Entra-Benutzer AzureUser1@demo1984.onmicrosoft.com kann sich jetzt mit seiner Identität bei der SharePoint-Website https://spsites.contoso.local/ anmelden.

Erteilen von Berechtigungen für eine Sicherheitsgruppe

Hinzufügen des Gruppenanspruchstyps zur Unternehmensanwendung

  1. Wählen Sie in der Übersicht der Unternehmensanwendung SharePoint corporate farm die Option 2 aus. Richten Sie einmaliges Anmelden ein.

  2. Führen Sie im Abschnitt Benutzerattribute und -ansprüche die folgenden Schritte aus, wenn kein Gruppenanspruch vorhanden ist:

    1. Wählen Sie Gruppenanspruch hinzufügen und Sicherheitsgruppen aus und stellen Sie sicher, dass Quellattribut auf Gruppen-ID festgelegt ist.
    2. Aktivieren Sie Namen des Gruppenanspruchs anpassen, und anschließend Gruppen als Rollenansprüche aus und klicken Sie auf Speichern.
    3. Die Benutzerattribute und -ansprüche sollten wie folgt aussehen:

    Ansprüche für Benutzer und Gruppen

Erstellen einer Sicherheitsgruppe in Microsoft Entra ID

Erstellen Sie nun eine Sicherheitsgruppe.

  1. Navigieren Sie zu Identität>Gruppen.

  2. Wählen Sie Neue Gruppe aus.

  3. Geben Sie den Gruppentyp (Sicherheit), den Gruppennamen (z. B. AzureGroup1 ) und den Mitgliedschaftstyp ein. Fügen Sie den oben erstellten Benutzer als Mitglied hinzu und klicken Sie auf Erstellen:

    Erstellen einer Microsoft Entra Sicherheitsgruppe

Erteilen von Berechtigungen für die Sicherheitsgruppe in SharePoint

Microsoft Entra-Sicherheitsgruppen werden mit ihrem Attribut Id identifiziert, bei dem es sich um eine GUID handelt (z. B. 00aa00aa-bb11-cc22-dd33-44ee44ee44ee).
Ohne einen benutzerdefinierten Anspruchsanbieter müssen Benutzer den genauen Wert (Id) der Gruppe in der Personenauswahl eingeben und den entsprechenden Anspruchstyp auswählen. Dies ist weder benutzerfreundlich noch zuverlässig.
Um dies zu vermeiden, verwendet dieser Artikel den Anspruchsanbieter EntraCP eines Drittanbieters, um die Gruppe in SharePoint auf benutzerfreundliche Weise zu finden:

Personensuchmaschine Microsoft Entra Gruppe

Verwalten des Zugriffs von Gastbenutzern

Es gibt zwei Typen von Gastkonten:

  • B2B-Gastkonten: Diese Benutzer befinden sich in einem externen Microsoft Entra-Mandanten
  • MSA-Gastkonten: Diese Benutzer befinden sich in einem Microsoft-Identifizierungsanbieter (Hotmail, Outlook) oder einem Anbieter für Konten bei Sozialen Netzwerken (Google oder ähnliches).

Standardmäßig legt Microsoft Entra ID sowohl den „Eindeutigen Benutzerbezeichner“ als auch den Anspruch „name“ des Attributs user.userprincipalname fest.
Leider ist dieses Attribut für Gastkonten mehrdeutig, wie die folgende Tabelle zeigt:

Quellattribute, die in Microsoft Entra ID festgelegt sind Tatsächliche Eigenschaft, die von Microsoft Entra-ID für B2B-Gäste verwendet wird Tatsächliche Eigenschaft, die von Microsoft Entra-ID für MSA-Gäste verwendet wird Eigenschaft, auf die sich SharePoint verlassen kann, um die Identität zu überprüfen
user.userprincipalname mail, z. B.: guest@PARTNERTENANT userprincipalname, z. B.: guest_outlook.com#EXT#@TENANT.onmicrosoft.com Nicht eindeutig
user.localuserprincipalname userprincipalname, z. B.: guest_PARTNERTENANT#EXT#@TENANT.onmicrosoft.com userprincipalname, z. B.: guest_outlook.com#EXT#@TENANT.onmicrosoft.com userprincipalname

Um daher sicherzustellen, dass alle Gastkonten mit demselben Attribut identifiziert werden, sollten die Bezeichneransprüche der Unternehmensanwendung aktualisiert werden, um das Attribut user.localuserprincipalname anstelle von user.userprincipalname zu verwenden.

Aktualisieren der Anwendung, um ein konsistentes Attribut für alle Gastbenutzer zu verwenden

  1. Wählen Sie in der Übersicht der Unternehmensanwendung SharePoint corporate farm die Option 2 aus. Richten Sie einmaliges Anmelden ein.

  2. Wählen Sie auf der Seite Single Sign-On mit SAML einrichten im Bereich Benutzerattribute und -ansprüche das Symbol Bearbeiten aus.

  3. Der Abschnitt Benutzerattribute und -ansprüche sieht nun wie folgt aus:

    1. Wählen Sie Eindeutiger Benutzerbezeichner (Namens-ID) aus, ändern Sie die Eigenschaft Quellattribut in user.localuserprincipalname und klicken Sie auf Speichern.

    2. Wählen Sie http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name aus, ändern Sie die Eigenschaft Quellattribut in user.localuserprincipalname, und klicken Sie auf Speichern.

    3. Die Benutzerattribute und -ansprüche sollten wie folgt aussehen:

    Benutzerattribute und -ansprüche für Gäste

Gastbenutzer in SharePoint einladen

Hinweis

In diesem Abschnitt wird davon ausgegangen, dass der Anspruchsanbieter EntraCP verwendet wird.

Im obigen Abschnitt haben Sie die Unternehmensanwendung aktualisiert, um ein konsistentes Attribut für alle Gastkonten zu verwenden.
Nun muss die Konfiguration von EntraCP aktualisiert werden, um diese Änderung widerzuspiegeln und das Attribut userprincipalname für Gastkonten zu verwenden:

  1. Öffnen Sie die Website der SharePoint-Zentraladministration.
  2. Wählen Sie unter Sicherheit die Option Globale EntraCP-Konfiguration aus.
  3. Im Abschnitt User identifier property: Legen Sie den Benutzerbezeichner für „Gastbenutzer“ auf UserPrincipalName fest.
  4. Klicken Sie auf OK.

Sie können jetzt jeden Gastbenutzer auf den SharePoint-Websites einladen.

Konfigurieren des Verbunds für mehrere Webanwendungen

Die Konfiguration funktioniert für eine einzelne Webanwendung, benötigt jedoch weitere Konfiguration, wenn Sie beabsichtigen, denselben vertrauenswürdigen Identitätsanbieter für mehrere Webanwendungen zu verwenden. Angenommen, Sie verfügen über eine separate Webanwendung https://otherwebapp.contoso.local/ und möchten für diese jetzt Microsoft Entra-Authentifizierung aktivieren. Konfigurieren Sie dazu SharePoint so, dass der SAML WReply-Parameter übergeben wird, und fügen Sie die URLs in der Unternehmensanwendung hinzu.

Konfigurieren von SharePoint zum Übergeben des SAML WReply-Parameters

  1. Öffnen Sie auf dem SharePoint-Server die SharePoint 201x-Verwaltungsshell, und führen Sie die folgenden Befehle aus. Verwenden Sie den Namen für den Aussteller vertrauenswürdiger Identitätstoken, den Sie zuvor verwendet haben.
$t = Get-SPTrustedIdentityTokenIssuer "MicrosoftEntraTrust"
$t.UseWReplyParameter = $true
$t.Update()

Hinzufügen der URLs in der Unternehmensanwendung

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Cloudanwendungsadministrator an.

  2. Navigieren Sie zu Identität>Anwendungen>Unternehmensanwendungen>. Wählen Sie die zuvor erstellte Unternehmensanwendung aus, und wählen Sie Einmaliges Anmelden aus.

  3. Bearbeiten Sie auf der Seite Einmaliges Anmelden (SSO) mit SAML einrichten den Abschnitt Grundlegende SAML-Konfiguration.

  4. Fügen Sie im Abschnitt Antwort-URL (Assertionsverbraucherdienst-URL) die URL (z. B. https://otherwebapp.contoso.local/) aller zusätzlichen Webanwendungen hinzu, die Benutzer mit Microsoft Entra ID anmelden müssen, und klicken Sie auf Speichern.

Angeben zusätzlicher Webanwendungen

Konfigurieren der Lebensdauer des Sicherheitstokens

Standardmäßig erstellt die Microsoft Entra-ID ein SAML-Token, das 1 Stunde gültig ist, das nicht in der Azure-Portal oder mithilfe einer Richtlinie für bedingten Zugriff angepasst werden kann.
Es ist jedoch möglich, eine benutzerdefinierte Tokenlebensdauerrichtlinie zu erstellen und sie der Unternehmensanwendung zuzuweisen, die Sie für SharePoint Server erstellt haben.
Sie können das folgende Skript ausführen, um dies zu erreichen:

Install-Module Microsoft.Graph
Connect-MgGraph -Scopes "Policy.ReadWrite.ApplicationConfiguration","Policy.Read.All","Application.ReadWrite.All"

$appDisplayName = "SharePoint corporate farm"
$sp = Get-MgServicePrincipal -Search DisplayName:"$appDisplayName" -ConsistencyLevel eventual

$oldPolicy = Get-MgServicePrincipalTokenLifetimePolicy -ServicePrincipalId $sp.Id
if ($null -ne $oldPolicy) {
	# There can be only 1 TokenLifetimePolicy associated to the service principal (or 0, as by default)
    Remove-MgServicePrincipalAppManagementPolicy -AppManagementPolicyId $oldPolicy.Id -ServicePrincipalId $sp.Id
}

# Get / create a custom token lifetime policy
$policyDisplayName = "WebPolicyScenario"
$policy = Get-MgPolicyTokenLifetimePolicy -Filter "DisplayName eq '$policyDisplayName'"
if ($null -eq $policy) {
	$params = @{
		Definition = @('{"TokenLifetimePolicy":{"Version":1,"AccessTokenLifetime":"4:00:00"}}') 
		DisplayName = $policyDisplayName
		IsOrganizationDefault = $false
	}
	$policy = New-MgPolicyTokenLifetimePolicy -BodyParameter $params
}

# Assign the token lifetime policy to an app
$body = @{
	"@odata.id" = "https://graph.microsoft.com/v1.0/policies/tokenLifetimePolicies/$($policy.Id)"
}
Invoke-GraphRequest -Uri ('https://graph.microsoft.com/v1.0/servicePrincipals/{0}/tokenLifetimePolicies/$ref' -f $sp.Id) -Method POST -Body $body