Konfigurierbare Tokengültigkeitsdauern in Azure Active Directory (Vorschau)Configurable token lifetimes in Azure Active Directory (Preview)

Sie können die Gültigkeitsdauer eines Tokens angeben, das von Azure Active Directory (Azure AD) ausgestellt wird.You can specify the lifetime of a token issued by Azure Active Directory (Azure AD). Die Tokengültigkeitsdauer können Sie für alle Apps Ihrer Organisation, für eine mehrinstanzenfähige Anwendung (Multiorganisationsanwendung) oder für einen bestimmten Dienstprinzipal in Ihrer Organisation festlegen.You can set token lifetimes for all apps in your organization, for a multi-tenant (multi-organization) application, or for a specific service principal in your organization.

Wichtig

Aufgrund des Kundenfeedbacks während der Vorschauphase haben wir in „Bedingter Azure AD-Zugriff“ Funktionen zur Verwaltung von Authentifizierungssitzungen implementiert.After hearing from customers during the preview, we've implemented authentication session management capabilities in Azure AD Conditional Access. Mithilfe dieses neuen Features können Sie die Lebensdauer von Aktualisierungstoken durch Festlegen der Anmeldehäufigkeit konfigurieren.You can use this new feature to configure refresh token lifetimes by setting sign in frequency. Ab dem 30. Mai 2020 können neue Mandanten die Richtlinie für die konfigurierbare Tokengültigkeitsdauer zum Konfigurieren von Sitzungs- und Aktualisierungstoken nicht mehr verwenden.After May 30, 2020 no new tenant will be able to use Configurable Token Lifetime policy to configure session and refresh tokens. Nach einigen Monaten ab diesem Datum wird die Unterstützung eingestellt, d. h., vorhandene Richtlinien für Sitzungs- und Aktualisierungstoken werden nicht mehr berücksichtigt.The deprecation will happen within several months after that, which means that we will stop honoring existing session and refresh tokens polices. Die Gültigkeitsdauer von Zugriffstoken kann jedoch auch nach der Einstellung weiterhin konfiguriert werden.You can still configure access token lifetimes after the deprecation.

In Azure AD steht ein Richtlinienobjekt für eine Reihe von Regeln, die für einzelne Anwendungen oder alle Anwendungen in einer Organisation erzwungen werden.In Azure AD, a policy object represents a set of rules that are enforced on individual applications or on all applications in an organization. Jeder Richtlinientyp verfügt über eine eindeutige Struktur mit einem Satz von Eigenschaften, die auf Objekte angewendet werden, denen sie zugewiesen sind.Each policy type has a unique structure, with a set of properties that are applied to objects to which they are assigned.

Sie können eine Richtlinie als Standardrichtlinie für Ihre Organisation festlegen.You can designate a policy as the default policy for your organization. Die Richtlinie wird auf alle Anwendungen der Organisation angewendet, sofern sie nicht von einer Richtlinie mit einer höheren Priorität außer Kraft gesetzt wird.The policy is applied to any application in the organization, as long as it is not overridden by a policy with a higher priority. Sie können eine Richtlinie auch bestimmten Anwendungen zuweisen.You also can assign a policy to specific applications. Die Reihenfolge der Priorität variiert je nach Richtlinientyp.The order of priority varies by policy type.

Hinweis

Die konfigurierbare Richtlinie für die Tokengültigkeitsdauer gilt nur für mobile und Desktopclients, die auf SharePoint Online- und OneDrive for Business-Ressourcen zugreifen, und nicht für Webbrowsersitzungen.Configurable token lifetime policy only applies to mobile and desktop clients that access SharePoint Online and OneDrive for Business resources, and does not apply to web browser sessions. Zum Verwalten der Gültigkeitsdauer von Webbrowsersitzungen für SharePoint Online und OneDrive for Business verwenden Sie das Feature Sitzungsdauer für bedingten Zugriff.To manage the lifetime of web browser sessions for SharePoint Online and OneDrive for Business, use the Conditional Access session lifetime feature. Im SharePoint Online-Blog finden Sie weitere Informationen zum Konfigurieren von Timeouts für Leerlaufsitzungen.Refer to the SharePoint Online blog to learn more about configuring idle session timeouts.

TokentypenToken types

Sie können die Tokenlebensdauer-Richtlinien für Aktualisierungstoken, Zugriffstoken, SAML-Token, Sitzungstoken und ID-Token festlegen.You can set token lifetime policies for refresh tokens, access tokens, SAML tokens, session tokens, and ID tokens.

ZugriffstokenAccess tokens

Clients nutzen Zugriffstoken, um auf eine geschützte Ressource zuzugreifen.Clients use access tokens to access a protected resource. Ein Zugriffstoken kann nur für eine bestimmte Kombination aus Benutzer, Client und Ressource verwendet werden.An access token can be used only for a specific combination of user, client, and resource. Zugriffstoken können nicht widerrufen werden und sind bis zu ihrem Ablauf gültig.Access tokens cannot be revoked and are valid until their expiry. Ein böswilliger Akteur, der ein Zugriffstoken abgerufen hat, kann es während seiner gesamten Lebensdauer verwenden.A malicious actor that has obtained an access token can use it for extent of its lifetime. Das Anpassen der Gültigkeitsdauer eines Zugriffstokens erfordert einen Kompromiss. Hierbei steht eine Verbesserung der Systemleistung einer Verlängerung der Zeitspanne gegenüber, über die der Client weiterhin Zugriff hat, nachdem das Konto des Benutzers deaktiviert wurde.Adjusting the lifetime of an access token is a trade-off between improving system performance and increasing the amount of time that the client retains access after the user’s account is disabled. Eine verbesserte Systemleistung wird dadurch erzielt, dass ein Client weniger oft ein neues Zugriffstoken abrufen muss.Improved system performance is achieved by reducing the number of times a client needs to acquire a fresh access token. Die Standardeinstellung ist „1 Stunde“. Nach einer Stunde muss der Client das Aktualisierungstoken verwenden, um (meist im Hintergrund) ein neues Aktualisierungstoken und Zugriffstoken abzurufen.The default is 1 hour - after 1 hour, the client must use the refresh token to (usually silently) acquire a new refresh token and access token.

SAML-TokenSAML tokens

SAML-Token werden in vielen webbasierten SaaS-Anwendungen verwendet und über den SAML2-Protokollendpunkt von Azure Active Directory abgerufen.SAML tokens are used by many web based SAAS applications, and are obtained using Azure Active Directory's SAML2 protocol endpoint. Sie werden auch in Anwendungen genutzt, in denen WS-Verbund verwendet wird.They are also consumed by applications using WS-Federation. Die Standardlebensdauer des Tokens beträgt 1 Stunde.The default lifetime of the token is 1 hour. Für eine Anwendung wird die Lebensdauer des Tokens durch den Wert „NotOnOrAfter“ des <conditions …>-Elements im Token angegeben.From an application's perspective, the validity period of the token is specified by the NotOnOrAfter value of the <conditions …> element in the token. Nach Ablauf der Lebensdauer des Tokens muss der Client eine neue Authentifizierungsanforderung initiieren, die häufig als Ergebnis des SSO-Sitzungstokens ohne interaktive Anmeldung erfüllt wird.After the validity period of the token has ended, the client must initiate a new authentication request, which will often be satisfied without interactive sign in as a result of the Single Sign On (SSO) Session token.

Der Wert von „NotOnOrAfter“ kann mithilfe des AccessTokenLifetime-Parameters in einer TokenLifetimePolicy geändert werden.The value of NotOnOrAfter can be changed using the AccessTokenLifetime parameter in a TokenLifetimePolicy. Der Wert wird auf die in der Richtlinie konfigurierte Lebensdauer (sofern vorhanden) zuzüglich eines Zeitversatzfaktors von fünf Minuten festgelegt.It will be set to the lifetime configured in the policy if any, plus a clock skew factor of five minutes.

Beachten Sie, dass die im <SubjectConfirmationData>-Element angegebene Antragstellerbestätigung für NotOnOrAfter nicht von der Konfiguration der Tokenlebensdauer betroffen ist.Note that the subject confirmation NotOnOrAfter specified in the <SubjectConfirmationData> element is not affected by the Token Lifetime configuration.

AktualisierungstokenRefresh tokens

Wenn ein Client ein Zugriffstoken für den Zugriff auf eine geschützte Ressource abruft, erhält er auch ein Aktualisierungstoken.When a client acquires an access token to access a protected resource, the client also receives a refresh token. Das Aktualisierungstoken wird verwendet, um neue Zugriffs-/Aktualisierungstoken-Paare abzurufen, wenn das aktuelle Zugriffstoken abläuft.The refresh token is used to obtain new access/refresh token pairs when the current access token expires. Ein Aktualisierungstoken ist an eine Kombination aus Benutzer und Client gebunden.A refresh token is bound to a combination of user and client. Ein Aktualisierungstoken kann jederzeit widerrufen werden, und die Gültigkeit des Tokens wird bei jeder Verwendung des Tokens geprüft.A refresh token can be revoked at any time, and the token's validity is checked every time the token is used. Aktualisierungstoken werden nicht widerrufen, wenn sie zum Abrufen neuer Zugriffstoken verwendet werden. Dies ist eine bewährte Methode, um das alte Token beim Abrufen eines neuen Tokens sicher zu löschen.Refresh tokens are not revoked when used to fetch new access tokens - it's best practice, however, to securely delete the old token when getting a new one.

Es ist wichtig, zwischen vertraulichen Clients und öffentlichen Clients zu unterscheiden, da dies eine Auswirkung darauf hat, wie lange Aktualisierungstoken verwendet werden können.It's important to make a distinction between confidential clients and public clients, as this impacts how long refresh tokens can be used. Weitere Informationen zu den verschiedenen Clienttypen finden Sie unter RFC 6749.For more information about different types of clients, see RFC 6749.

Tokengültigkeitsdauer bei Aktualisierungstoken von vertraulichen ClientsToken lifetimes with confidential client refresh tokens

Vertrauliche Clients sind Anwendungen, die ein Clientkennwort (Geheimnis) sicher speichern können.Confidential clients are applications that can securely store a client password (secret). Damit kann bewiesen werden, dass Anforderungen von der geschützten Clientanwendung stammen, und nicht von einem böswilligen Akteur.They can prove that requests are coming from the secured client application and not from a malicious actor. Eine Web-App ist beispielsweise ein vertraulicher Client, da sie ein Clientgeheimnis auf dem Webserver speichern kann.For example, a web app is a confidential client because it can store a client secret on the web server. Sie ist daher nicht gefährdet.It is not exposed. Da derartige Flows sicherer sind, lautet die Standardgültigkeitsdauer von Aktualisierungstoken, die für diese Flows ausgestellt werden, until-revoked. Sie kann nicht mithilfe einer Richtlinie geändert werden und wird bei der absichtlichen Kennwortzurücksetzung nicht zurückgesetzt.Because these flows are more secure, the default lifetimes of refresh tokens issued to these flows is until-revoked, cannot be changed by using policy, and will not be revoked on voluntary password resets.

Tokengültigkeitsdauer bei Aktualisierungstoken von öffentlichen ClientsToken lifetimes with public client refresh tokens

Öffentliche Clients können ein Clientkennwort (Geheimnis) nicht sicher speichern.Public clients cannot securely store a client password (secret). Eine iOS- oder Android-App kann beispielsweise kein Geheimnis vor dem Ressourcenbesitzer verbergen und gilt daher als öffentlicher Client.For example, an iOS/Android app cannot obfuscate a secret from the resource owner, so it is considered a public client. Sie können Richtlinien für Ressourcen festlegen, um zu verhindern, dass Aktualisierungstoken aus öffentlichen Clients, deren Alter einen festgelegten Wert überschritten hat, ein neues Zugriffs-/Aktualisierungstoken-Paar abrufen können.You can set policies on resources to prevent refresh tokens from public clients older than a specified period from obtaining a new access/refresh token pair. (Verwenden Sie hierfür die Eigenschaft „Max. Zeit der Inaktivität für Aktualisierungstoken“ (MaxInactiveTime).) Sie können Richtlinien auch verwenden, um einen Zeitraum bis zum einem Punkt festzulegen, ab dem die Aktualisierungstoken nicht mehr akzeptiert werden.(To do this, use the Refresh Token Max Inactive Time property (MaxInactiveTime).) You also can use policies to set a period beyond which the refresh tokens are no longer accepted. (Verwenden Sie hierfür die Eigenschaft „Max. Alter Aktualisierungstoken“.) Sie können die Gültigkeitsdauer eines Aktualisierungstokens anpassen, um zu steuern, wann und wie oft der Benutzer erneut Anmeldeinformationen eingeben muss, anstatt automatisch erneut authentifiziert zu werden, wenn er eine öffentliche Clientanwendung verwendet.(To do this, use the Refresh Token Max Age property.) You can adjust the lifetime of a refresh token to control when and how often the user is required to reenter credentials, instead of being silently reauthenticated, when using a public client application.

Hinweis

Die Eigenschaft „Max. Alter“ ist die Zeitspanne, in der ein Token verwendet werden kann.The Max Age property is the length of time a single token can be used.

ID-TokenID tokens

ID-Token werden an Websites und native Clients übergeben.ID tokens are passed to websites and native clients. ID-Token enthalten Profilinformationen zu einem Benutzer.ID tokens contain profile information about a user. Ein ID-Token ist an eine bestimmte Kombination von Benutzer und Client gebunden.An ID token is bound to a specific combination of user and client. ID-Token werden bis zu ihrem Ablaufdatum als gültig betrachtet.ID tokens are considered valid until their expiry. In der Regel passt eine Webanwendung die Gültigkeitsdauer der Sitzung eines Benutzers in der Anwendung an die Gültigkeitsdauer des für den Benutzer ausgegebenen ID-Tokens an.Usually, a web application matches a user’s session lifetime in the application to the lifetime of the ID token issued for the user. Sie können die Gültigkeitsdauer eines ID-Tokens anpassen, um zu steuern, wie oft die Webanwendung den Ablauf der Anwendungssitzung veranlasst und wie oft der Benutzer für Azure AD erneut authentifiziert werden muss (entweder im Hintergrund oder interaktiv).You can adjust the lifetime of an ID token to control how often the web application expires the application session, and how often it requires the user to be reauthenticated with Azure AD (either silently or interactively).

Sitzungstoken für einmaliges AnmeldenSingle sign-on session tokens

Wenn sich ein Benutzer bei Azure AD authentifiziert, wird eine SSO-Sitzung (Single Sign-On, einmaliges Anmelden) im Browser des Benutzers und bei Azure AD hergestellt.When a user authenticates with Azure AD, a single sign-on session (SSO) is established with the user’s browser and Azure AD. Das SSO-Token stellt diese Sitzung dar (in Form eines Cookies).The SSO token, in the form of a cookie, represents this session. Das SSO-Sitzungstoken ist nicht an eine bestimmte Ressource/Clientanwendung gebunden.The SSO session token is not bound to a specific resource/client application. SSO-Sitzungstoken können widerrufen werden, und ihre Gültigkeit wird bei jeder Verwendung überprüft.SSO session tokens can be revoked, and their validity is checked every time they are used.

In Azure AD werden zwei Arten von SSO-Sitzungstoken verwendet: beständig und nicht beständig.Azure AD uses two kinds of SSO session tokens: persistent and nonpersistent. Beständige Sitzungstoken werden vom Browser als beständige Cookies gespeichert.Persistent session tokens are stored as persistent cookies by the browser. Nicht beständige Sitzungstoken werden als Sitzungscookies gespeichert.Nonpersistent session tokens are stored as session cookies. (Sitzungscookies werden zerstört, wenn der Browser geschlossen wird.) In der Regel wird ein nicht persistentes Sitzungstoken gespeichert.(Session cookies are destroyed when the browser is closed.) Usually, a nonpersistent session token is stored. Wenn der Benutzer jedoch während der Authentifizierung das Kontrollkästchen Angemeldet bleiben wählt, wird ein persistentes Sitzungstoken gespeichert.But, when the user selects the Keep me signed in check box during authentication, a persistent session token is stored.

Nicht beständige Sitzungstoken haben eine Gültigkeitsdauer von 24 Stunden.Nonpersistent session tokens have a lifetime of 24 hours. Beständige Token haben eine Gültigkeitsdauer von 90 Tagen.Persistent tokens have a lifetime of 90 days. Jedes Mal, wenn ein SSO-Sitzungstoken innerhalb seiner Gültigkeitsdauer verwendet wird, verlängert sich die Gültigkeitsdauer je nach Tokentyp um weitere 24 Stunden bzw. 90 Tage.Anytime an SSO session token is used within its validity period, the validity period is extended another 24 hours or 90 days, depending on the token type. Wenn ein SSO-Sitzungstoken innerhalb seiner Gültigkeitsdauer nicht verwendet wird, wird es als abgelaufen erachtet und nicht mehr akzeptiert.If an SSO session token is not used within its validity period, it is considered expired and is no longer accepted.

Sie können eine Richtlinie verwenden, um den Zeitpunkt nach dem Ausstellen des ersten Sitzungstokens festzulegen, nach dem das Sitzungstoken nicht mehr akzeptiert wird.You can use a policy to set the time after the first session token was issued beyond which the session token is no longer accepted. (Verwenden Sie hierfür die Eigenschaft „Max. Alter Sitzungstoken“.) Sie können die Gültigkeitsdauer eines Sitzungstokens anpassen, um zu steuern, wann und wie oft ein Benutzer erneut Anmeldeinformationen eingeben muss, anstatt automatisch authentifiziert zu werden, wenn er eine Webanwendung verwendet.(To do this, use the Session Token Max Age property.) You can adjust the lifetime of a session token to control when and how often a user is required to reenter credentials, instead of being silently authenticated, when using a web application.

Eigenschaften von Tokengültigkeitsdauer-RichtlinienToken lifetime policy properties

Eine Tokengültigkeitsdauer-Richtlinie ist ein Richtlinienobjekt, das Regeln für die Tokengültigkeitsdauer enthält.A token lifetime policy is a type of policy object that contains token lifetime rules. Verwenden Sie die Eigenschaften der Richtlinie, um angegebene Tokengültigkeitsdauern zu steuern.Use the properties of the policy to control specified token lifetimes. Wenn keine Richtlinie festgelegt ist, erzwingt das System den Standardwert für die Gültigkeitsdauer.If no policy is set, the system enforces the default lifetime value.

Konfigurierbare Eigenschaften der TokengültigkeitsdauerConfigurable token lifetime properties

EigenschaftProperty Richtlinien-EigenschaftszeichenfolgePolicy property string BetrifftAffects StandardDefault MinimumMinimum MaximumMaximum
Gültigkeitsdauer ZugriffstokenAccess Token Lifetime AccessTokenLifetime2AccessTokenLifetime2 Zugriffstoken, ID-Token, SAML2-TokenAccess tokens, ID tokens, SAML2 tokens 1 Stunde1 hour 10 Minuten10 minutes 1 Tag1 day
Max. Zeit der Inaktivität für AktualisierungstokenRefresh Token Max Inactive Time MaxInactiveTimeMaxInactiveTime AktualisierungstokenRefresh tokens 90 Tage90 days 10 Minuten10 minutes 90 Tage90 days
Max. Alter Single-Factor-AktualisierungstokenSingle-Factor Refresh Token Max Age MaxAgeSingleFactorMaxAgeSingleFactor Aktualisierungstoken (für alle Benutzer)Refresh tokens (for any users) Bis zum WiderrufUntil-revoked 10 Minuten10 minutes Bis zum Widerruf1Until-revoked1
Max. Alter Multi-Factor-AktualisierungstokenMulti-Factor Refresh Token Max Age MaxAgeMultiFactorMaxAgeMultiFactor Aktualisierungstoken (für alle Benutzer)Refresh tokens (for any users) Bis zum WiderrufUntil-revoked 10 Minuten10 minutes Bis zum Widerruf1Until-revoked1
Max. Alter Single-Factor-SitzungstokenSingle-Factor Session Token Max Age MaxAgeSessionSingleFactorMaxAgeSessionSingleFactor Sitzungstoken (beständig und nicht beständig)Session tokens (persistent and nonpersistent) Bis zum WiderrufUntil-revoked 10 Minuten10 minutes Bis zum Widerruf1Until-revoked1
Max. Alter Multi-Factor-SitzungstokenMulti-Factor Session Token Max Age MaxAgeSessionMultiFactorMaxAgeSessionMultiFactor Sitzungstoken (beständig und nicht beständig)Session tokens (persistent and nonpersistent) Bis zum WiderrufUntil-revoked 10 Minuten10 minutes Bis zum Widerruf1Until-revoked1
  • 1365 Tage ist die explizite Maximallänge, die für diese Attribute festgelegt werden kann.1365 days is the maximum explicit length that can be set for these attributes.
  • 2Damit der Microsoft Teams-Webclient funktioniert, empfiehlt es sich, „AccessTokenLifetime“ für Microsoft Teams auf mehr als 15 Minuten festzulegen.2To ensure the Microsoft Teams Web client works, it is recommended to keep AccessTokenLifetime to greater than 15 minutes for Microsoft Teams.

AusnahmenExceptions

EigenschaftProperty BetrifftAffects StandardDefault
Maximales Alter des Aktualisierungstokens (für Verbundbenutzer mit unzureichenden Widerrufsinformationen ausgestellt1)Refresh Token Max Age (issued for federated users who have insufficient revocation information1) Aktualisierungstoken (für Verbundbenutzer mit unzureichenden Widerrufsinformationen ausgestellt1)Refresh tokens (issued for federated users who have insufficient revocation information1) 12 Stunden12 hours
Max. Zeit der Inaktivität für Aktualisierungstoken (für vertrauliche Clients ausgestellt)Refresh Token Max Inactive Time (issued for confidential clients) Aktualisierungstoken (für vertrauliche Clients ausgestellt)Refresh tokens (issued for confidential clients) 90 Tage90 days
Max. Alter Aktualisierungstoken (für vertrauliche Clients ausgestellt)Refresh Token Max Age (issued for confidential clients) Aktualisierungstoken (für vertrauliche Clients ausgestellt)Refresh tokens (issued for confidential clients) Bis zum WiderrufUntil-revoked
  • 1Zu Verbundbenutzern mit unzureichenden Widerrufsinformationen zählen Benutzer, bei denen das Attribut „LastPasswordChangeTimestamp“ nicht synchronisiert ist.1Federated users who have insufficient revocation information include any users who do not have the "LastPasswordChangeTimestamp" attribute synced. Für diese Benutzer gilt dieses kurze maximale Alter, da AAD nicht überprüfen kann, wann Token widerrufen werden müssen, die an alte Anmeldeinformationen (z.B. ein Kennwort, das geändert wurde) gebunden sind, und häufiger sicherstellen muss, dass zwischen dem Benutzer und den zugeordneten Token keine Probleme bestehen.These users are given this short Max Age because AAD is unable to verify when to revoke tokens that are tied to an old credential (such as a password that has been changed) and must check back in more frequently to ensure that the user and associated tokens are still in good standing. Zum Verbessern dieses Verfahrens müssen Mandantenadministratoren sicherstellen, dass das Attribut „LastPasswordChangeTimestamp“ synchronisiert wird (dies kann für das Benutzerobjekt über Powershell oder AADSync festgelegt werden).To improve this experience, tenant admins must ensure that they are syncing the “LastPasswordChangeTimestamp” attribute (this can be set on the user object using Powershell or through AADSync).

Richtlinienauswertung und PriorisierungPolicy evaluation and prioritization

Sie können eine Richtlinie für die Gültigkeitsdauer von Token erstellen und dann einer bestimmten Anwendung, Ihrer Organisation und Dienstprinzipalen zuweisen.You can create and then assign a token lifetime policy to a specific application, to your organization, and to service principals. Für eine bestimmte Anwendung können mehrere Richtlinien gelten.Multiple policies might apply to a specific application. Folgende Regeln bestimmen, welche Tokengültigkeitsdauer-Richtlinie wirksam wird:The token lifetime policy that takes effect follows these rules:

  • Wenn eine Richtlinie explizit dem Dienstprinzipal zugewiesen ist, wird sie erzwungen.If a policy is explicitly assigned to the service principal, it is enforced.
  • Wenn dem Dienstprinzipal nicht explizit eine Richtlinie zugewiesen ist, wird eine Richtlinie erzwungen, die explizit der übergeordneten Organisation des Dienstprinzipals zugewiesen ist.If no policy is explicitly assigned to the service principal, a policy explicitly assigned to the parent organization of the service principal is enforced.
  • Wenn dem Dienstprinzipal oder der Organisation nicht explizit eine Richtlinie zugewiesen ist, wird die Richtlinie erzwungen, die der Anwendung zugewiesen ist.If no policy is explicitly assigned to the service principal or to the organization, the policy assigned to the application is enforced.
  • Wenn dem Dienstprinzipal, der Organisation oder dem Anwendungsobjekt keine Richtlinie zugewiesen ist, werden die Standardwerte erzwungen.If no policy has been assigned to the service principal, the organization, or the application object, the default values are enforced. (Siehe Tabelle unter Konfigurierbare Eigenschaften der Tokengültigkeitsdauer.)(See the table in Configurable token lifetime properties.)

Ausführliche Informationen zu den Beziehungen zwischen Anwendungsobjekten und Dienstprinzipalobjekten finden Sie unter Anwendungs- und Dienstprinzipalobjekte in Azure Active Directory.For more information about the relationship between application objects and service principal objects, see Application and service principal objects in Azure Active Directory.

Die Gültigkeit des Tokens wird zum Zeitpunkt seiner Verwendung überprüft.A token’s validity is evaluated at the time the token is used. Die Richtlinie mit der höchsten Priorität für die Anwendung, auf die zugegriffen wird, wird wirksam.The policy with the highest priority on the application that is being accessed takes effect.

Alle hier verwendeten Zeiträume werden nach dem C#-Objekt TimeSpan (D.HH:MM:SS) formatiert.All timespans used here are formatted according to the C# TimeSpan object - D.HH:MM:SS. Danach werden 80 Tage und 30 Minuten im Format 80.00:30:00 dargestellt.So 80 days and 30 minutes would be 80.00:30:00. Das führende D kann gelöscht werden, wenn der Wert 0 ist. Danach werden 90 Minuten im Format 00:90:00 dargestellt.The leading D can be dropped if zero, so 90 minutes would be 00:90:00.

Hinweis

Hier ist ein Beispielszenario angegeben.Here's an example scenario.

Ein Benutzer möchte auf zwei Webanwendungen zugreifen: Webanwendung A und Webanwendung B.A user wants to access two web applications: Web Application A and Web Application B.

Faktoren:Factors:

  • Beide Webanwendungen gehören zu derselben übergeordneten Organisation.Both web applications are in the same parent organization.
  • Als Standard für die übergeordnete Organisation wird die Tokengültigkeitsdauer-Richtlinie 1 mit einem maximalen Alter für Sitzungstoken von acht Stunden festgelegt.Token Lifetime Policy 1 with a Session Token Max Age of eight hours is set as the parent organization’s default.
  • Webanwendung A ist eine regelmäßig verwendete Webanwendung, die nicht mit Richtlinien verknüpft ist.Web Application A is a regular-use web application and isn’t linked to any policies.
  • Webanwendung B wird für hochsensible Prozesse verwendet.Web Application B is used for highly sensitive processes. Der dazugehörige Dienstprinzipal ist mit der Tokengültigkeitsdauer-Richtlinie 2 verknüpft, die über ein maximales Alter für Sitzungstoken von 30 Minuten verfügt.Its service principal is linked to Token Lifetime Policy 2, which has a Session Token Max Age of 30 minutes.

Um 12:00 Uhr startet der Benutzer eine neue Browsersitzung und versucht, auf die Webanwendung A zuzugreifen. Der Benutzer wird an Azure AD umgeleitet und aufgefordert, sich anzumelden.At 12:00 PM, the user starts a new browser session and tries to access Web Application A. The user is redirected to Azure AD and is asked to sign in. Es wird ein Cookie erstellt, das über ein Sitzungstoken im Browser verfügt.This creates a cookie that has a session token in the browser. Der Benutzer wird mit einem ID-Token an die Webanwendung A zurückgeleitet. Dieses ID-Token erlaubt dem Benutzer den Zugriff auf die Anwendung.The user is redirected back to Web Application A with an ID token that allows the user to access the application.

Um 12:15 Uhr versucht der Benutzer, auf Webanwendung B zuzugreifen. Der Browser führt die Umleitung an Azure AD durch, wo das Sitzungscookie erkannt wird.At 12:15 PM, the user tries to access Web Application B. The browser redirects to Azure AD, which detects the session cookie. Der Dienstprinzipal von Webanwendung B ist mit Tokengültigkeitsdauer-Richtlinie 2 verknüpft, ist aber zugleich Teil der übergeordneten Organisation mit der Tokengültigkeitsdauer-Standardrichtlinie 1.Web Application B’s service principal is linked to Token Lifetime Policy 2, but it's also part of the parent organization, with default Token Lifetime Policy 1. Tokengültigkeitsdauer-Richtlinie 2 wird wirksam, da mit Dienstprinzipalen verknüpfte Richtlinien eine höhere Priorität als Organisationsstandardrichtlinien haben.Token Lifetime Policy 2 takes effect because policies linked to service principals have a higher priority than organization default policies. Das Sitzungstoken wurde innerhalb der letzten 30 Minuten erstmalig ausgegeben, weshalb es als gültig erachtet wird.The session token was originally issued within the last 30 minutes, so it is considered valid. Der Benutzer wird mit einem ID-Token, das ihm Zugriff gewährt, an die Webanwendung B zurückgeleitet.The user is redirected back to Web Application B with an ID token that grants them access.

Um 13:00 Uhr versucht der Benutzer, auf Webanwendung A zuzugreifen. Er wird an Azure AD umgeleitet.At 1:00 PM, the user tries to access Web Application A. The user is redirected to Azure AD. Webanwendung A ist nicht mit Richtlinien verknüpft, aber da sie sich in einer Organisation mit Tokengültigkeitsdauer-Standardrichtlinie 1 befindet, ist diese Richtlinie wirksam.Web Application A is not linked to any policies, but because it is in an organization with default Token Lifetime Policy 1, that policy takes effect. Das Sitzungscookie, das innerhalb der letzten acht Stunden ursprünglich ausgestellt wurde, wird erkannt.The session cookie that was originally issued within the last eight hours is detected. Der Benutzer wird automatisch zurück an Webanwendung A mit einem neuen ID-Token umgeleitet.The user is silently redirected back to Web Application A with a new ID token. Der Benutzer muss sich nicht authentifizieren.The user is not required to authenticate.

Unmittelbar danach versucht der Benutzer, auf Webanwendung B zuzugreifen. Er wird an Azure AD umgeleitet.Immediately afterward, the user tries to access Web Application B. The user is redirected to Azure AD. Wie zuvor auch, ist Tokengültigkeitsdauer-Richtlinie 2 wirksam.As before, Token Lifetime Policy 2 takes effect. Da das Token vor mehr als 30 Minuten ausgestellt wurde, wird der Benutzer aufgefordert, die Anmeldeinformationen erneut einzugeben.Because the token was issued more than 30 minutes ago, the user is prompted to reenter their sign-in credentials. Ein ganz neues Sitzungstoken und ein ID-Token werden ausgestellt.A brand-new session token and ID token are issued. Nun kann der Benutzer auf Webanwendung B zugreifen.The user can then access Web Application B.

Details zu konfigurierbaren RichtlinieneigenschaftenConfigurable policy property details

Gültigkeitsdauer ZugriffstokenAccess Token Lifetime

Zeichenfolge: AccessTokenLifetimeString: AccessTokenLifetime

Betrifft: Zugriffstoken, ID-Token, SAML-TokenAffects: Access tokens, ID tokens, SAML tokens

Zusammenfassung: Diese Richtlinie steuert, wie lange Zugriffstoken und ID-Token für diese Ressource als gültig angesehen werden.Summary: This policy controls how long access and ID tokens for this resource are considered valid. Durch das Reduzieren des Werts für die Eigenschaft „Gültigkeitsdauer Zugriffstoken“ wird das Risiko verringert, dass ein Zugriffstoken oder ID-Token von einem böswilligen Akteur für einen längeren Zeitraum verwendet wird.Reducing the Access Token Lifetime property mitigates the risk of an access token or ID token being used by a malicious actor for an extended period of time. (Diese Token können nicht widerrufen werden.) Der Nachteil hierbei ist, dass die Leistung beeinträchtigt wird, da die Token häufiger ersetzt werden müssen.(These tokens cannot be revoked.) The trade-off is that performance is adversely affected, because the tokens have to be replaced more often.

Max. Zeit der Inaktivität für AktualisierungstokenRefresh Token Max Inactive Time

Zeichenfolge: MaxInactiveTimeString: MaxInactiveTime

Betrifft: AktualisierungstokenAffects: Refresh tokens

Zusammenfassung: Diese Richtlinie steuert, wie alt ein Aktualisierungstoken sein darf, bevor ein Client es nicht mehr verwenden kann, um ein neues Zugriffs-/Aktualisierungstoken-Paar abzurufen, wenn versucht wird, auf diese Ressource zuzugreifen.Summary: This policy controls how old a refresh token can be before a client can no longer use it to retrieve a new access/refresh token pair when attempting to access this resource. Da bei Verwendung eines Aktualisierungstokens normalerweise ein neues Aktualisierungstoken zurückgegeben wird, wird mit dieser Richtlinie der Zugriff verhindert, wenn der Client versucht, während des angegeben Zeitraums mit dem aktuellen Aktualisierungstoken auf eine Ressource zuzugreifen.Because a new refresh token usually is returned when a refresh token is used, this policy prevents access if the client tries to access any resource by using the current refresh token during the specified period of time.

Durch diese Richtlinie werden Benutzer, die nicht auf ihrem Client aktiv waren, gezwungen, sich erneut zu authentifizieren, um ein neues Aktualisierungstoken abzurufen.This policy forces users who have not been active on their client to reauthenticate to retrieve a new refresh token.

Die Eigenschaft „Maximale Inaktivitätszeit Aktualisierungstoken“ muss auf einen niedrigeren Wert als die Eigenschaften „Maximales Alter Single-Factor-Token“ und „Maximales Alter Multi-Factor-Aktualisierungstoken“ festgelegt werden.The Refresh Token Max Inactive Time property must be set to a lower value than the Single-Factor Token Max Age and the Multi-Factor Refresh Token Max Age properties.

Max. Alter Single-Factor-AktualisierungstokenSingle-Factor Refresh Token Max Age

Zeichenfolge: MaxAgeSingleFactorString: MaxAgeSingleFactor

Betrifft: AktualisierungstokenAffects: Refresh tokens

Zusammenfassung: Diese Richtlinie steuert, wie lange ein Benutzer ein Aktualisierungstoken verwenden kann, um ein neues Zugriffs-/Aktualisierungstoken-Paar abzurufen, nachdem die letzte erfolgreiche Authentifizierung mit einem einzigen Faktor durchgeführt wurde.Summary: This policy controls how long a user can use a refresh token to get a new access/refresh token pair after they last authenticated successfully by using only a single factor. Nachdem sich ein Benutzer authentifiziert und ein neues Aktualisierungstoken erhalten hat, kann er den Aktualisierungstokenflow für den angegebenen Zeitraum verwenden.After a user authenticates and receives a new refresh token, the user can use the refresh token flow for the specified period of time. (Dies gilt, solange das aktuelle Aktualisierungstoken nicht widerrufen wird und nicht länger als für den Inaktivitätszeitraum ungenutzt bleibt.) An diesem Punkt wird der Benutzer zum erneuten Authentifizieren gezwungen, um ein neues Aktualisierungstoken zu erhalten.(This is true as long as the current refresh token is not revoked, and it is not left unused for longer than the inactive time.) At that point, the user is forced to reauthenticate to receive a new refresh token.

Durch die Reduzierung des maximalen Alters müssen sich Benutzer häufiger authentifizieren.Reducing the max age forces users to authenticate more often. Da die Single-Factor Authentication als weniger sicher als die Multi-Factor Authentication erachtet wird, wird empfohlen, diese Eigenschaft auf einen Wert festzulegen, der kleiner oder gleich dem Wert für die Eigenschaft „Max. Alter Multi-Factor-Aktualisierungstoken“ ist.Because single-factor authentication is considered less secure than multi-factor authentication, we recommend that you set this property to a value that is equal to or lesser than the Multi-Factor Refresh Token Max Age property.

Max. Alter Multi-Factor-AktualisierungstokenMulti-Factor Refresh Token Max Age

Zeichenfolge: MaxAgeMultiFactorString: MaxAgeMultiFactor

Betrifft: AktualisierungstokenAffects: Refresh tokens

Zusammenfassung: Diese Richtlinie steuert, wie lange ein Benutzer ein Aktualisierungstoken verwenden kann, um ein neues Zugriffs-/Aktualisierungstoken-Paar abzurufen, nachdem die letzte erfolgreiche Authentifizierung mit mehreren Faktoren durchgeführt wurde.Summary: This policy controls how long a user can use a refresh token to get a new access/refresh token pair after they last authenticated successfully by using multiple factors. Nachdem sich ein Benutzer authentifiziert und ein neues Aktualisierungstoken erhalten hat, kann er den Aktualisierungstokenflow für den angegebenen Zeitraum verwenden.After a user authenticates and receives a new refresh token, the user can use the refresh token flow for the specified period of time. (Dies gilt, solange das aktuelle Aktualisierungstoken nicht widerrufen wird und nicht länger als für den Inaktivitätszeitraum ungenutzt bleibt.) An diesem Punkt werden Benutzer gezwungen, sich erneut zu authentifizieren, um ein neues Aktualisierungstoken zu erhalten.(This is true as long as the current refresh token is not revoked, and it is not unused for longer than the inactive time.) At that point, users are forced to reauthenticate to receive a new refresh token.

Durch die Reduzierung des maximalen Alters müssen sich Benutzer häufiger authentifizieren.Reducing the max age forces users to authenticate more often. Da die Single-Factor Authentication als weniger sicher als die Multi-Factor Authentication erachtet wird, wird empfohlen, diese Eigenschaft auf einen Wert festzulegen, der größer oder gleich dem Wert für die Eigenschaft „Max. Alter Single-Factor-Aktualisierungstoken“ ist.Because single-factor authentication is considered less secure than multi-factor authentication, we recommend that you set this property to a value that is equal to or greater than the Single-Factor Refresh Token Max Age property.

Max. Alter Single-Factor-SitzungstokenSingle-Factor Session Token Max Age

Zeichenfolge: MaxAgeSessionSingleFactorString: MaxAgeSessionSingleFactor

Betrifft: Sitzungstoken (beständig und nicht beständig)Affects: Session tokens (persistent and nonpersistent)

Zusammenfassung: Diese Richtlinie steuert, wie lange ein Benutzer ein Sitzungstoken verwenden kann, um ein neues ID- und Sitzungstoken abrufen, nachdem die letzte erfolgreiche Authentifizierung mit einem einzigen Faktor durchgeführt wurde.Summary: This policy controls how long a user can use a session token to get a new ID and session token after they last authenticated successfully by using only a single factor. Nachdem sich ein Benutzer authentifiziert und ein neues Sitzungstoken erhalten hat, kann er den Sitzungstokenflow für den angegebenen Zeitraum verwenden.After a user authenticates and receives a new session token, the user can use the session token flow for the specified period of time. (Dies gilt, solange das aktuelle Sitzungstoken nicht widerrufen wird und nicht abgelaufen ist.) Nach dem angegebenen Zeitraum wird der Benutzer gezwungen, sich erneut zu authentifizieren, um ein neues Sitzungstoken zu erhalten.(This is true as long as the current session token is not revoked and has not expired.) After the specified period of time, the user is forced to reauthenticate to receive a new session token.

Durch die Reduzierung des maximalen Alters müssen sich Benutzer häufiger authentifizieren.Reducing the max age forces users to authenticate more often. Da die Single-Factor Authentication als weniger sicher als die Multi-Factor Authentication erachtet wird, wird empfohlen, diese Eigenschaft auf einen Wert festzulegen, der kleiner oder gleich dem Wert für die Eigenschaft „Max. Alter Multi-Factor-Sitzungstoken“ ist.Because single-factor authentication is considered less secure than multi-factor authentication, we recommend that you set this property to a value that is equal to or less than the Multi-Factor Session Token Max Age property.

Max. Alter Multi-Factor-SitzungstokenMulti-Factor Session Token Max Age

Zeichenfolge: MaxAgeSessionMultiFactorString: MaxAgeSessionMultiFactor

Betrifft: Sitzungstoken (beständig und nicht beständig)Affects: Session tokens (persistent and nonpersistent)

Zusammenfassung: Diese Richtlinie steuert, wie lange ein Benutzer ein Sitzungstoken verwenden kann, um ein neues ID- und Sitzungstoken abzurufen, nachdem die letzte erfolgreiche Authentifizierung mit mehreren Faktoren durchgeführt wurde.Summary: This policy controls how long a user can use a session token to get a new ID and session token after the last time they authenticated successfully by using multiple factors. Nachdem sich ein Benutzer authentifiziert und ein neues Sitzungstoken erhalten hat, kann er den Sitzungstokenflow für den angegebenen Zeitraum verwenden.After a user authenticates and receives a new session token, the user can use the session token flow for the specified period of time. (Dies gilt, solange das aktuelle Sitzungstoken nicht widerrufen wird und nicht abgelaufen ist.) Nach dem angegebenen Zeitraum wird der Benutzer gezwungen, sich erneut zu authentifizieren, um ein neues Sitzungstoken zu erhalten.(This is true as long as the current session token is not revoked and has not expired.) After the specified period of time, the user is forced to reauthenticate to receive a new session token.

Durch die Reduzierung des maximalen Alters müssen sich Benutzer häufiger authentifizieren.Reducing the max age forces users to authenticate more often. Da die Single-Factor Authentication als weniger sicher als die Multi-Factor Authentication erachtet wird, wird empfohlen, diese Eigenschaft auf einen Wert festzulegen, der größer oder gleich dem Wert für die Eigenschaft „Max. Alter Single-Factor-Sitzungstoken“ ist.Because single-factor authentication is considered less secure than multi-factor authentication, we recommend that you set this property to a value that is equal to or greater than the Single-Factor Session Token Max Age property.

Beispiel: Tokengültigkeitsdauer-RichtlinienExample token lifetime policies

In Azure AD sind viele Szenarien möglich, was das Erstellen und Verwalten von Tokengültigkeitsdauern für Apps, Dienstprinzipale und Ihre gesamte Organisation betrifft.Many scenarios are possible in Azure AD when you can create and manage token lifetimes for apps, service principals, and your overall organization. In diesem Abschnitt werden einige allgemeine Richtlinienszenarien beschrieben, die es ermöglichen, neue Regeln für folgende Festlegungen vorzugeben:In this section, we walk through a few common policy scenarios that can help you impose new rules for:

  • TokengültigkeitsdauerToken Lifetime
  • Max. Inaktivitätszeit von TokenToken Max Inactive Time
  • Max. Alter von TokenToken Max Age

Anhand der Beispiele wird Folgendes veranschaulicht:In the examples, you can learn how to:

  • Verwalten der Standardrichtlinie einer OrganisationManage an organization's default policy
  • Erstellen einer Richtlinie für die WebanmeldungCreate a policy for web sign-in
  • Erstellen einer Richtlinie für eine native App, die eine Web-API aufruftCreate a policy for a native app that calls a web API
  • Verwalten einer erweiterten RichtlinieManage an advanced policy

VoraussetzungenPrerequisites

In den folgenden Beispielen wird gezeigt, wie Sie Richtlinien für Apps, Dienstprinzipale und Ihre gesamte Organisation erstellen, aktualisieren, verknüpfen und löschen.In the following examples, you create, update, link, and delete policies for apps, service principals, and your overall organization. Wenn Azure AD neu für Sie ist, ist es ratsam, sich über das Erhalten eines Azure AD-Mandanten zu informieren, bevor Sie mit diesen Beispielen fortfahren.If you are new to Azure AD, we recommend that you learn about how to get an Azure AD tenant before you proceed with these examples.

Führen Sie die folgenden Schritte aus, um zu beginnen:To get started, do the following steps:

  1. Laden Sie die aktuelle öffentliche Vorschauversion des Azure AD PowerShell-Moduls herunter.Download the latest Azure AD PowerShell Module Public Preview release.

  2. Führen Sie den Befehl Connect aus, um sich an Ihrem Azure AD-Administratorkonto anzumelden.Run the Connect command to sign in to your Azure AD admin account. Führen Sie diesen Befehl bei jedem Start einer neuen Sitzung aus.Run this command each time you start a new session.

    Connect-AzureAD -Confirm
    
  3. Führen Sie den folgenden Befehl aus, um alle Richtlinien anzuzeigen, die in Ihrer Organisation erstellt wurden.To see all policies that have been created in your organization, run the following command. Führen Sie diesen Befehl nach den meisten Vorgängen in den folgenden Szenarien aus.Run this command after most operations in the following scenarios. Wenn Sie den Befehl ausführen, können Sie auch die ** ** Ihrer Richtlinien erhalten.Running the command also helps you get the ** ** of your policies.

    Get-AzureADPolicy
    

Beispiel: Verwalten der Standardrichtlinie einer OrganisationExample: Manage an organization's default policy

Anhand dieses Beispiels können Sie eine Richtlinie erstellen, die es den Benutzern ermöglicht, sich in Ihrer gesamten Organisation weniger häufig anmelden zu müssen.In this example, you create a policy that lets your users' sign in less frequently across your entire organization. Erstellen Sie hierzu eine Richtlinie für die Tokengültigkeitsdauer für Single-Factor-Aktualisierungstoken, die auf Ihre gesamte Organisation angewendet wird.To do this, create a token lifetime policy for Single-Factor Refresh Tokens, which is applied across your organization. Die Richtlinie wird auf jede Anwendung in Ihrer Organisation und jeden Dienstprinzipal angewendet, für die bzw. den noch keine Richtlinie festgelegt wurde.The policy is applied to every application in your organization, and to each service principal that doesn’t already have a policy set.

  1. Erstellen Sie eine Tokengültigkeitsdauer-Richtlinie.Create a token lifetime policy.

    1. Legen Sie das Single-Factor-Aktualisierungstoken auf „Bis auf Widerruf“ fest.Set the Single-Factor Refresh Token to "until-revoked." Das Token läuft erst ab, nachdem der Zugriff widerrufen wurde.The token doesn't expire until access is revoked. Erstellen Sie die folgende Richtliniendefinition:Create the following policy definition:

      @('{
          "TokenLifetimePolicy":
          {
              "Version":1,
              "MaxAgeSingleFactor":"until-revoked"
          }
      }')
      
    2. Führen Sie den folgenden Befehl aus, um die Richtlinie zu erstellen:To create the policy, run the following command:

      $policy = New-AzureADPolicy -Definition @('{"TokenLifetimePolicy":{"Version":1, "MaxAgeSingleFactor":"until-revoked"}}') -DisplayName "OrganizationDefaultPolicyScenario" -IsOrganizationDefault $true -Type "TokenLifetimePolicy"
      
    3. Führen Sie den folgenden Befehl aus, um alle Leerzeichen zu entfernen:To remove any whitespace, run the following command:

      Get-AzureADPolicy -id | set-azureadpolicy -Definition @($((Get-AzureADPolicy -id ).Replace(" ","")))
      
    4. Führen Sie den folgenden Befehl aus, um Ihre neue Richtlinie anzuzeigen und deren ObjectId abzurufen:To see your new policy, and to get the policy's ObjectId, run the following command:

      Get-AzureADPolicy -Id $policy.Id
      
  2. Aktualisieren Sie die Richtlinie.Update the policy.

    Unter Umständen möchten Sie erreichen, dass die erste Richtlinie, die Sie in diesem Beispiel festlegen, nicht so streng ist, wie es für den Dienst eigentlich erforderlich ist.You might decide that the first policy you set in this example is not as strict as your service requires. Führen Sie den folgenden Befehl aus, um für Ihr Single-Factor-Aktualisierungstoken festzulegen, dass es nach zwei Tagen abläuft:To set your Single-Factor Refresh Token to expire in two days, run the following command:

    Set-AzureADPolicy -Id $policy.Id -DisplayName $policy.DisplayName -Definition @('{"TokenLifetimePolicy":{"Version":1,"MaxAgeSingleFactor":"2.00:00:00"}}')
    

Beispiel: Erstellen einer Richtlinie für die WebanmeldungExample: Create a policy for web sign-in

In diesem Beispiel erstellen Sie eine Richtlinie, bei der es erforderlich ist, dass sich Benutzer häufiger für Ihre Web-App authentifizieren.In this example, you create a policy that requires users to authenticate more frequently in your web app. Mit dieser Richtlinie wird die Gültigkeitsdauer der Zugriffs-/ID-Token und das maximale Alter eines Multi-Factor-Sitzungstokens auf den Dienstprinzipal Ihrer Web-App festgelegt.This policy sets the lifetime of the access/ID tokens and the max age of a multi-factor session token to the service principal of your web app.

  1. Erstellen Sie eine Tokengültigkeitsdauer-Richtlinie.Create a token lifetime policy.

    Mit dieser Richtlinie für die Webanmeldung werden die Gültigkeitsdauer des Zugriffs-/ID-Tokens und das maximale Alter des Single-Factor-Sitzungstokens auf zwei Stunden festgelegt.This policy, for web sign-in, sets the access/ID token lifetime and the max single-factor session token age to two hours.

    1. Führen Sie diesen Befehl aus, um die Richtlinie zu erstellen:To create the policy, run this command:

      $policy = New-AzureADPolicy -Definition @('{"TokenLifetimePolicy":{"Version":1,"AccessTokenLifetime":"02:00:00","MaxAgeSessionSingleFactor":"02:00:00"}}') -DisplayName "WebPolicyScenario" -IsOrganizationDefault $false -Type "TokenLifetimePolicy"
      
    2. Führen Sie den folgenden Befehl aus, um Ihre neue Richtlinie anzuzeigen und deren ObjectId abzurufen:To see your new policy, and to get the policy ObjectId, run the following command:

      Get-AzureADPolicy -Id $policy.Id
      
  2. Weisen Sie die Richtlinie Ihrem Dienstprinzipal zu.Assign the policy to your service principal. Rufen Sie außerdem die ObjectId Ihres Dienstprinzipals ab.You also need to get the ObjectId of your service principal.

    1. Verwenden Sie das Cmdlet Get-AzureADServicePrincipal, um alle Dienstprinzipale Ihrer Organisation oder einen einzelnen Dienstprinzipal anzuzeigen.Use the Get-AzureADServicePrincipal cmdlet to see all your organization's service principals or a single service principal.

      # Get ID of the service principal
      $sp = Get-AzureADServicePrincipal -Filter "DisplayName eq '<service principal display name>'"
      
    2. Führen Sie den folgenden Befehl aus, wenn Sie den Dienstprinzipal gefunden haben:When you have the service principal, run the following command:

      # Assign policy to a service principal
      Add-AzureADServicePrincipalPolicy -Id $sp.ObjectId -RefObjectId $policy.Id
      

Beispiel: Erstellen einer Richtlinie für eine native App, die eine Web-API aufruftExample: Create a policy for a native app that calls a web API

In diesem Beispiel erstellen Sie eine Richtlinie, bei der sich Benutzer weniger häufig authentifizieren müssen.In this example, you create a policy that requires users to authenticate less frequently. Mit der Richtlinie wird außerdem der Zeitraum verlängert, über den ein Benutzer inaktiv sein kann, bevor er sich erneut authentifizieren muss.The policy also lengthens the amount of time a user can be inactive before the user must reauthenticate. Die Richtlinie wird auf die Web-API angewendet.The policy is applied to the web API. Wenn die native App die Web-API als Ressource anfordert, wird diese Richtlinie angewendet.When the native app requests the web API as a resource, this policy is applied.

  1. Erstellen Sie eine Tokengültigkeitsdauer-Richtlinie.Create a token lifetime policy.

    1. Führen Sie den folgenden Befehl aus, um eine strenge Richtlinie für eine Web-API zu erstellen:To create a strict policy for a web API, run the following command:

      $policy = New-AzureADPolicy -Definition @('{"TokenLifetimePolicy":{"Version":1,"MaxInactiveTime":"30.00:00:00","MaxAgeMultiFactor":"until-revoked","MaxAgeSingleFactor":"180.00:00:00"}}') -DisplayName "WebApiDefaultPolicyScenario" -IsOrganizationDefault $false -Type "TokenLifetimePolicy"
      
    2. Führen Sie den folgenden Befehl aus, um Ihre neue Richtlinie abzurufen:To see your new policy, run the following command:

      Get-AzureADPolicy -Id $policy.Id
      
  2. Weisen Sie die Richtlinie Ihrer Web-API zu.Assign the policy to your web API. Außerdem müssen Sie die ObjectId Ihrer Anwendung abrufen.You also need to get the ObjectId of your application. Verwenden Sie das Cmdlet Get-AzureADApplication oder das Azure-Portal, um die ObjectId Ihrer App zu finden.Use the Get-AzureADApplication cmdlet to find your app's ObjectId, or use the Azure portal.

    Rufen Sie wie im folgenden Codebeispiel die ObjectId Ihrer App ab, und weisen Sie die Richtlinie zu:Get the ObjectId of your app and assign the policy:

    # Get the application
    $app = Get-AzureADApplication -Filter "DisplayName eq 'Fourth Coffee Web API'"
    
    # Assign the policy to your web API.
    Add-AzureADApplicationPolicy -Id $app.ObjectId -RefObjectId $policy.Id
    

Beispiel: Verwalten einer erweiterten RichtlinieExample: Manage an advanced policy

Anhand dieses Beispiels können Sie einige Richtlinien erstellen, um zu erfahren, wie das Prioritätssystem funktioniert.In this example, you create a few policies to learn how the priority system works. Außerdem erfahren Sie, wie Sie mehrere Richtlinien verwalten, die auf verschiedene Objekte angewendet werden.You also learn how to manage multiple policies that are applied to several objects.

  1. Erstellen Sie eine Tokengültigkeitsdauer-Richtlinie.Create a token lifetime policy.

    1. Führen Sie den folgenden Befehl aus, um eine Standardrichtlinie für die Organisation zu erstellen, mit der die Gültigkeitsdauer des Single-Factor-Aktualisierungstokens auf 30 Tage festgelegt wird:To create an organization default policy that sets the Single-Factor Refresh Token lifetime to 30 days, run the following command:

      $policy = New-AzureADPolicy -Definition @('{"TokenLifetimePolicy":{"Version":1,"MaxAgeSingleFactor":"30.00:00:00"}}') -DisplayName "ComplexPolicyScenario" -IsOrganizationDefault $true -Type "TokenLifetimePolicy"
      
    2. Führen Sie den folgenden Befehl aus, um Ihre neue Richtlinie abzurufen:To see your new policy, run the following command:

      Get-AzureADPolicy -Id $policy.Id
      
  2. Weisen Sie die Richtlinie einem Dienstprinzipal zu.Assign the policy to a service principal.

    Sie verfügen jetzt über eine Richtlinie, die für die gesamte Organisation gilt.Now, you have a policy that applies to the entire organization. Es kann beispielsweise sein, dass diese 30-Tage-Richtlinie für einen bestimmten Dienstprinzipal beibehalten werden soll, während die Organisationsstandardrichtlinie so geändert wird, dass sie als Obergrenze für „Bis zum Widerruf“ fungiert.You might want to preserve this 30-day policy for a specific service principal, but change the organization default policy to the upper limit of "until-revoked."

    1. Verwenden Sie das Cmdlet Get-AzureADServicePrincipal, um alle Dienstprinzipale Ihrer Organisation abzurufen.To see all your organization's service principals, you use the Get-AzureADServicePrincipal cmdlet.

    2. Führen Sie den folgenden Befehl aus, wenn Sie den Dienstprinzipal gefunden haben:When you have the service principal, run the following command:

      # Get ID of the service principal
      $sp = Get-AzureADServicePrincipal -Filter "DisplayName eq '<service principal display name>'"
      
      # Assign policy to a service principal
      Add-AzureADServicePrincipalPolicy -Id $sp.ObjectId -RefObjectId $policy.Id
      
  3. Legen Sie das Flag IsOrganizationDefault auf „false“ fest:Set the IsOrganizationDefault flag to false:

    Set-AzureADPolicy -Id $policy.Id -DisplayName "ComplexPolicyScenario" -IsOrganizationDefault $false
    
  4. Erstellen Sie eine neue Organisationsstandardrichtlinie:Create a new organization default policy:

    New-AzureADPolicy -Definition @('{"TokenLifetimePolicy":{"Version":1,"MaxAgeSingleFactor":"until-revoked"}}') -DisplayName "ComplexPolicyScenarioTwo" -IsOrganizationDefault $true -Type "TokenLifetimePolicy"
    

    Sie haben jetzt die ursprüngliche Richtlinie mit Ihrem Dienstprinzipal verknüpft und die neue Richtlinie als Organisationsstandardrichtlinie festgelegt.You now have the original policy linked to your service principal, and the new policy is set as your organization default policy. Beachten Sie, dass Richtlinien für Dienstprinzipale Priorität vor Organisationsstandardrichtlinien haben.It's important to remember that policies applied to service principals have priority over organization default policies.

Cmdlet-ReferenzCmdlet reference

Verwalten von RichtlinienManage policies

Sie können die folgenden Cmdlets zum Verwalten von Richtlinien verwenden.You can use the following cmdlets to manage policies.

New-AzureADPolicyNew-AzureADPolicy

Erstellt eine neue Richtlinie.Creates a new policy.

New-AzureADPolicy -Definition <Array of Rules> -DisplayName <Name of Policy> -IsOrganizationDefault <boolean> -Type <Policy Type>
ParameterParameters BESCHREIBUNGDescription BeispielExample
‑Definition JSON-Array, dargestellt als Zeichenfolge, das alle Regeln der Richtlinie enthält.Array of stringified JSON that contains all the policy's rules. -Definition @('{"TokenLifetimePolicy":{"Version":1,"MaxInactiveTime":"20:00:00"}}')
‑DisplayName Zeichenfolge mit dem Namen der Richtlinie.String of the policy name. -DisplayName "MyTokenPolicy"
‑IsOrganizationDefault Bei der Einstellung „true“ wird die Richtlinie als Standardrichtlinie der Organisation festgelegt.If true, sets the policy as the organization's default policy. Bei „false“ wird nichts durchgeführt.If false, does nothing. -IsOrganizationDefault $true
‑Type Der Typ der Richtlinie.Type of policy. Verwenden Sie für die Tokengültigkeitsdauer stets „TokenLifetimePolicy“.For token lifetimes, always use "TokenLifetimePolicy." -Type "TokenLifetimePolicy"
‑AlternativeIdentifier [Optional]‑AlternativeIdentifier [Optional] Legt eine alternative ID für die Richtlinie fest.Sets an alternative ID for the policy. -AlternativeIdentifier "myAltId"



Get-AzureADPolicyGet-AzureADPolicy

Ruft alle Azure AD-Richtlinien oder eine angegebene Richtlinie ab.Gets all Azure AD policies or a specified policy.

Get-AzureADPolicy
ParameterParameters BESCHREIBUNGDescription BeispielExample
‑Id [Optional]‑Id [Optional] Die ObjectId (ID) der gewünschten Richtlinie.ObjectId (ID) of the policy you want. -Id <ObjectId of Policy>



Get-AzureADPolicyAppliedObjectGet-AzureADPolicyAppliedObject

Ruft alle Apps und Dienstprinzipale ab, die mit einer Richtlinie verknüpft sind.Gets all apps and service principals that are linked to a policy.

Get-AzureADPolicyAppliedObject -Id <ObjectId of Policy>
ParameterParameters BESCHREIBUNGDescription BeispielExample
‑Id Die ObjectId (ID) der gewünschten Richtlinie.ObjectId (ID) of the policy you want. -Id <ObjectId of Policy>



Set-AzureADPolicySet-AzureADPolicy

Aktualisiert eine vorhandene Richtlinie.Updates an existing policy.

Set-AzureADPolicy -Id <ObjectId of Policy> -DisplayName <string>
ParameterParameters BESCHREIBUNGDescription BeispielExample
‑Id Die ObjectId (ID) der gewünschten Richtlinie.ObjectId (ID) of the policy you want. -Id <ObjectId of Policy>
‑DisplayName Zeichenfolge mit dem Namen der Richtlinie.String of the policy name. -DisplayName "MyTokenPolicy"
‑Definition [Optional]‑Definition [Optional] JSON-Array, dargestellt als Zeichenfolge, das alle Regeln der Richtlinie enthält.Array of stringified JSON that contains all the policy's rules. -Definition @('{"TokenLifetimePolicy":{"Version":1,"MaxInactiveTime":"20:00:00"}}')
‑IsOrganizationDefault [Optional]‑IsOrganizationDefault [Optional] Bei der Einstellung „true“ wird die Richtlinie als Standardrichtlinie der Organisation festgelegt.If true, sets the policy as the organization's default policy. Bei „false“ wird nichts durchgeführt.If false, does nothing. -IsOrganizationDefault $true
‑Type [Optional]‑Type [Optional] Der Typ der Richtlinie.Type of policy. Verwenden Sie für die Tokengültigkeitsdauer stets „TokenLifetimePolicy“.For token lifetimes, always use "TokenLifetimePolicy." -Type "TokenLifetimePolicy"
‑AlternativeIdentifier [Optional]‑AlternativeIdentifier [Optional] Legt eine alternative ID für die Richtlinie fest.Sets an alternative ID for the policy. -AlternativeIdentifier "myAltId"



Remove-AzureADPolicyRemove-AzureADPolicy

Löscht die angegebene Richtlinie.Deletes the specified policy.

 Remove-AzureADPolicy -Id <ObjectId of Policy>
ParameterParameters BESCHREIBUNGDescription BeispielExample
‑Id Die ObjectId (ID) der gewünschten Richtlinie.ObjectId (ID) of the policy you want. -Id <ObjectId of Policy>



AnwendungsrichtlinienApplication policies

Sie können die folgenden Cmdlets für Anwendungsrichtlinien verwenden.You can use the following cmdlets for application policies.

Add-AzureADApplicationPolicyAdd-AzureADApplicationPolicy

Verknüpft die angegebene Richtlinie mit einer Anwendung.Links the specified policy to an application.

Add-AzureADApplicationPolicy -Id <ObjectId of Application> -RefObjectId <ObjectId of Policy>
ParameterParameters BESCHREIBUNGDescription BeispielExample
‑Id Die ObjectId (Id) der Anwendung.ObjectId (ID) of the application. -Id <ObjectId of Application>
‑RefObjectId Die ObjectId der Richtlinie.ObjectId of the policy. -RefObjectId <ObjectId of Policy>



Get-AzureADApplicationPolicyGet-AzureADApplicationPolicy

Ruft die Richtlinie ab, die einer Anwendung zugewiesen ist.Gets the policy that is assigned to an application.

Get-AzureADApplicationPolicy -Id <ObjectId of Application>
ParameterParameters BESCHREIBUNGDescription BeispielExample
‑Id Die ObjectId (Id) der Anwendung.ObjectId (ID) of the application. -Id <ObjectId of Application>



Remove-AzureADApplicationPolicyRemove-AzureADApplicationPolicy

Entfernt eine Richtlinie aus einer Anwendung.Removes a policy from an application.

Remove-AzureADApplicationPolicy -Id <ObjectId of Application> -PolicyId <ObjectId of Policy>
ParameterParameters BESCHREIBUNGDescription BeispielExample
‑Id Die ObjectId (Id) der Anwendung.ObjectId (ID) of the application. -Id <ObjectId of Application>
‑PolicyId Die ObjectId der Richtlinie.ObjectId of the policy. -PolicyId <ObjectId of Policy>



DienstprinzipalrichtlinienService principal policies

Sie können die folgenden Cmdlets für Dienstprinzipalrichtlinien verwenden.You can use the following cmdlets for service principal policies.

Add-AzureADServicePrincipalPolicyAdd-AzureADServicePrincipalPolicy

Verknüpft die angegebene Richtlinie mit einem Dienstprinzipal.Links the specified policy to a service principal.

Add-AzureADServicePrincipalPolicy -Id <ObjectId of ServicePrincipal> -RefObjectId <ObjectId of Policy>
ParameterParameters BESCHREIBUNGDescription BeispielExample
‑Id Die ObjectId (Id) der Anwendung.ObjectId (ID) of the application. -Id <ObjectId of Application>
‑RefObjectId Die ObjectId der Richtlinie.ObjectId of the policy. -RefObjectId <ObjectId of Policy>



Get-AzureADServicePrincipalPolicyGet-AzureADServicePrincipalPolicy

Ruft alle Richtlinien ab, die mit dem angegebenen Dienstprinzipal verknüpft sind.Gets any policy linked to the specified service principal.

Get-AzureADServicePrincipalPolicy -Id <ObjectId of ServicePrincipal>
ParameterParameters BESCHREIBUNGDescription BeispielExample
‑Id Die ObjectId (Id) der Anwendung.ObjectId (ID) of the application. -Id <ObjectId of Application>



Remove-AzureADServicePrincipalPolicyRemove-AzureADServicePrincipalPolicy

Entfernt die Richtlinie aus dem angegebenen Dienstprinzipal.Removes the policy from the specified service principal.

Remove-AzureADServicePrincipalPolicy -Id <ObjectId of ServicePrincipal>  -PolicyId <ObjectId of Policy>
ParameterParameters BESCHREIBUNGDescription BeispielExample
‑Id Die ObjectId (Id) der Anwendung.ObjectId (ID) of the application. -Id <ObjectId of Application>
‑PolicyId Die ObjectId der Richtlinie.ObjectId of the policy. -PolicyId <ObjectId of Policy>

LizenzanforderungenLicense requirements

Für die Verwendung dieses Features ist eine Azure AD Premium P1-Lizenz erforderlich.Using this feature requires an Azure AD Premium P1 license. Um die richtige Lizenz für Ihre Anforderungen zu ermitteln, lesen Sie Vergleich der allgemein verfügbaren Features der Editionen Free und Premium.To find the right license for your requirements, see Comparing generally available features of the Free and Premium editions.

Kunden mit Microsoft 365 Business-Lizenzen haben auch Zugriff auf Funktionen für bedingten Zugriff.Customers with Microsoft 365 Business licenses also have access to Conditional Access features.