Vigencia de tokens configurable en Azure Active Directory (versión preliminar)Configurable token lifetimes in Azure Active Directory (Preview)

Puede especificar la vigencia de un token emitido por Azure Active Directory (Azure AD).You can specify the lifetime of a token issued by Azure Active Directory (Azure AD). La vigencia de los tokens se puede configurar para todas las aplicaciones de una organización, para una aplicación multiinquilino (multiorganización) o para una entidad de servicio específica de una organización.You can set token lifetimes for all apps in your organization, for a multi-tenant (multi-organization) application, or for a specific service principal in your organization.

Importante

Después de escuchar a los clientes durante la versión preliminar, hemos implementado las funcionalidades de administración de sesiones de autenticación en el acceso condicional de Azure AD.After hearing from customers during the preview, we've implemented authentication session management capabilities in Azure AD Conditional Access. Puede usar esta nueva característica para configurar la vigencia de los tokens de actualización mediante la configuración de la frecuencia de inicio de sesión.You can use this new feature to configure refresh token lifetimes by setting sign in frequency. A partir del 1 de mayo de 2020, no podrá usar la directiva de vigencia de token configurable para configurar tokens de actualización y de sesión.After May 1, 2020 you will not be able to use Configurable Token Lifetime policy to configure session and refresh tokens. Después, podrá seguir configurando la duración del token de acceso.You can still configure access token lifetimes after the deprecation.

En Azure AD, un objeto de directiva representa un conjunto de reglas que se exigen en algunas o todas las aplicaciones de una organización.In Azure AD, a policy object represents a set of rules that are enforced on individual applications or on all applications in an organization. Cada tipo de directiva tiene una estructura única con un conjunto de propiedades que luego se aplican a los objetos a los que están asignadas.Each policy type has a unique structure, with a set of properties that are applied to objects to which they are assigned.

Puede designar una directiva como la directiva predeterminada para su organización.You can designate a policy as the default policy for your organization. La directiva se aplicará a cualquier aplicación que resida dentro de esa organización, siempre y cuando no se haya reemplazado por una directiva con una prioridad más alta.The policy is applied to any application in the organization, as long as it is not overridden by a policy with a higher priority. También puede asignar una directiva a aplicaciones específicas.You also can assign a policy to specific applications. El orden de prioridad varía según el tipo de directiva.The order of priority varies by policy type.

Nota

La directiva de duración del token configurable no es compatible con SharePoint Online.Configurable token lifetime policy is not supported for SharePoint Online. Incluso si tiene la capacidad de crear esta directiva a través de PowerShell, SharePoint Online no reconocerá esta directiva.Even though you have the ability to create this policy via PowerShell, SharePoint Online will not acknowledge this policy. Consulte el blog de SharePoint Online para más información sobre cómo configurar los tiempos de expiración de sesiones inactivas.Refer to the SharePoint Online blog to learn more about configuring idle session timeouts.

  • La duración predeterminada para el token de acceso de SharePoint Online es de 1 hora.The default lifetime for the SharePoint Online access token is 1 hour.
  • El tiempo de inactividad máximo predeterminado del token de actualización de SharePoint Online es de 90 días.The default max inactive time of the SharePoint Online refresh token is 90 days.

Tipos de tokenToken types

Las directivas de vigencia del token se pueden establecer para tokens de actualización, tokens de acceso, tokens SAML, tokens de sesión y tokens de identificador.You can set token lifetime policies for refresh tokens, access tokens, SAML tokens, session tokens, and ID tokens.

Tokens de accesoAccess tokens

Los clientes utilizan tokens de acceso para acceder a un recurso protegido.Clients use access tokens to access a protected resource. Solo se puede utilizar un token de acceso para una combinación específica de usuario, cliente y recurso.An access token can be used only for a specific combination of user, client, and resource. Los tokens de acceso no se pueden revocar y son válidos hasta que caducan.Access tokens cannot be revoked and are valid until their expiry. Un individuo maltintencionado que haya obtenido un token de acceso puede usarlo durante toda su vigencia.A malicious actor that has obtained an access token can use it for extent of its lifetime. El ajuste de la vigencia de un token de acceso es un balance entre la mejora del rendimiento del sistema y el aumento de la cantidad de tiempo que el cliente conserva el acceso después de que la cuenta de usuario está deshabilitada.Adjusting the lifetime of an access token is a trade-off between improving system performance and increasing the amount of time that the client retains access after the user’s account is disabled. Se consigue un rendimiento mejorado del sistema al reducir el número de veces que un cliente necesita adquirir un token de acceso nuevo.Improved system performance is achieved by reducing the number of times a client needs to acquire a fresh access token. El valor predeterminado es 1 hora. Después de 1 hora, el cliente debe usar el token de actualización para adquirir un nuevo token de actualización (normalmente en modo silencioso) y un token de acceso.The default is 1 hour - after 1 hour, the client must use the refresh token to (usually silently) acquire a new refresh token and access token.

Tokens de SAMLSAML tokens

Muchas aplicaciones SAAS basadas en web usan tokens SAML, que se obtienen mediante el punto de conexión del protocolo SAML2 de Azure Active Directory.SAML tokens are used by many web based SAAS applications, and are obtained using Azure Active Directory's SAML2 protocol endpoint. También las usan las aplicaciones mediante WS-Federation.They are also consumed by applications using WS-Federation. La duración predeterminada del token es de 1 hora.The default lifetime of the token is 1 hour. Desde la perspectiva de una aplicación, el período de validez del token se especifica mediante el valor NotOnOrAfter del elemento <conditions …> en el token.From an application's perspective, the validity period of the token is specified by the NotOnOrAfter value of the <conditions …> element in the token. Una vez finalizado el período de validez del token, el cliente debe iniciar una nueva solicitud de autenticación, que a menudo se satisfará sin iniciar sesión de forma interactiva como resultado del token de sesión de inicio de sesión único (SSO).After the validity period of the token has ended, the client must initiate a new authentication request, which will often be satisfied without interactive sign in as a result of the Single Sign On (SSO) Session token.

El valor de NotOnOrAfter se puede cambiar mediante el parámetro AccessTokenLifetime en un TokenLifetimePolicy.The value of NotOnOrAfter can be changed using the AccessTokenLifetime parameter in a TokenLifetimePolicy. Se establecerá en la duración configurada en la directiva, si la hay, más un factor de sesgo de reloj de cinco minutos.It will be set to the lifetime configured in the policy if any, plus a clock skew factor of five minutes.

Tenga en cuenta que la confirmación de asunto NotOnOrAfter especificada en el elemento <SubjectConfirmationData> no se ve afectada por la configuración de la duración del token.Note that the subject confirmation NotOnOrAfter specified in the <SubjectConfirmationData> element is not affected by the Token Lifetime configuration.

Tokens de actualizaciónRefresh tokens

Cuando un cliente adquiere un token de acceso para acceder a un recurso protegido, recibe también un token de actualización.When a client acquires an access token to access a protected resource, the client also receives a refresh token. El token de actualización se usa para obtener nuevos pares de tokens de acceso/actualización cuando el token de acceso actual expira.The refresh token is used to obtain new access/refresh token pairs when the current access token expires. Un token de actualización se enlaza a una combinación de usuario y cliente.A refresh token is bound to a combination of user and client. Se puede revocar en cualquier momento un token de actualización y se comprobará la validez de este cada vez que se use.A refresh token can be revoked at any time, and the token's validity is checked every time the token is used. Los tokens de actualización no se revocan cuando se utilizan para obtener nuevos tokens de acceso; sin embargo, un procedimiento recomendado consiste en eliminar de forma segura el token antiguo cuando se obtiene uno nuevo.Refresh tokens are not revoked when used to fetch new access tokens - it's best practice, however, to securely delete the old token when getting a new one.

Es importante diferenciar entre clientes públicos y confidenciales, ya que esto afecta al período de tiempo que se pueden usar los tokens de actualización.It's important to make a distinction between confidential clients and public clients, as this impacts how long refresh tokens can be used. Para más información sobre los diferentes tipos de clientes, consulte RFC 6749.For more information about different types of clients, see RFC 6749.

Vigencia de los tokens de actualización de cliente confidencialToken lifetimes with confidential client refresh tokens

Los clientes confidenciales son aplicaciones que pueden almacenar de forma segura una contraseña (secreto) de un cliente.Confidential clients are applications that can securely store a client password (secret). Pueden comprobar que las solicitudes proceden de la aplicación cliente protegida y no de un individuo malintencionado.They can prove that requests are coming from the secured client application and not from a malicious actor. Por ejemplo, una aplicación web es un cliente confidencial ya que puede almacenar un secreto de cliente en el servidor web.For example, a web app is a confidential client because it can store a client secret on the web server. Y, por tanto, este secreto no se expone.It is not exposed. Dado que estos flujos resultan más seguros, las duraciones predeterminadas de tokens de actualización emitidos para estos flujos será until-revoked, no se podrán cambiar mediante la directiva y no se revocarán en los restablecimientos de contraseña voluntarios.Because these flows are more secure, the default lifetimes of refresh tokens issued to these flows is until-revoked, cannot be changed by using policy, and will not be revoked on voluntary password resets.

Vigencia de los tokens de actualización de cliente públicoToken lifetimes with public client refresh tokens

Los clientes públicos no pueden almacenar de forma segura una contraseña (secreto) de cliente.Public clients cannot securely store a client password (secret). Por ejemplo, una aplicación de iOS o Android no puede ofuscar un secreto del propietario del recurso y, por ello, se considera a la aplicación un cliente público.For example, an iOS/Android app cannot obfuscate a secret from the resource owner, so it is considered a public client. Se pueden establecer directivas sobre los recursos para evitar que los tokens de actualización de clientes públicos anteriores a un período especificado obtengan un nuevo par de tokens de acceso/actualización.You can set policies on resources to prevent refresh tokens from public clients older than a specified period from obtaining a new access/refresh token pair. Para ello, utilice la propiedad de tiempo máximo de inactividad del token de actualización (MaxInactiveTime). También puede utilizar directivas para establecer un período más allá del cual ya no se aceptan los tokens de actualización.(To do this, use the Refresh Token Max Inactive Time property (MaxInactiveTime).) You also can use policies to set a period beyond which the refresh tokens are no longer accepted. (Para ello, utilice la propiedad de antigüedad máxima del token de actualización). Puede ajustar la vigencia del token de actualización para controlar cuándo y con qué frecuencia es necesario que el usuario vuelva a escribir las credenciales en lugar de volver a autenticarse de forma silenciosa al usar una aplicación cliente pública.(To do this, use the Refresh Token Max Age property.) You can adjust the lifetime of a refresh token to control when and how often the user is required to reenter credentials, instead of being silently reauthenticated, when using a public client application.

Nota

La propiedad Max Age es el período de tiempo que se puede usar un token único.The Max Age property is the length of time a single token can be used.

Tokens de identificadorID tokens

Los tokens de identificador se pasan a los clientes nativos y de sitios web.ID tokens are passed to websites and native clients. Los tokens de identificador contienen información de perfil de un usuario.ID tokens contain profile information about a user. Un token de identificador se enlaza a una combinación específica de usuario y cliente.An ID token is bound to a specific combination of user and client. Los tokens de identificador se consideran válidos hasta que expiran.ID tokens are considered valid until their expiry. Normalmente, una aplicación web relaciona la vigencia de la sesión de un usuario en la aplicación con la vigencia del token de identificador emitido para el usuario.Usually, a web application matches a user’s session lifetime in the application to the lifetime of the ID token issued for the user. Puede ajustar la vigencia del token de identificador para controlar la frecuencia con la que la aplicación web expirará la sesión de la aplicación y requerirá que el usuario se vuelva a autenticar en Azure AD (de forma silenciosa o interactiva).You can adjust the lifetime of an ID token to control how often the web application expires the application session, and how often it requires the user to be reauthenticated with Azure AD (either silently or interactively).

Tokens de sesión de inicio de sesión únicoSingle sign-on session tokens

Cuando un usuario se autentica con Azure AD, se establece una sesión mediante inicio de sesión único (SSO) con Azure AD y el explorador del usuario.When a user authenticates with Azure AD, a single sign-on session (SSO) is established with the user’s browser and Azure AD. El token de SSO, en forma de cookie, representa esta sesión.The SSO token, in the form of a cookie, represents this session. El token de sesión SSO no está enlazado a una aplicación cliente o de recursos específica.The SSO session token is not bound to a specific resource/client application. Los tokens de sesión SSO se pueden revocar y su validez se comprueba cada vez que se utilizan.SSO session tokens can be revoked, and their validity is checked every time they are used.

Azure AD usa dos tipos de tokens de sesión SSO: persistente y no persistente.Azure AD uses two kinds of SSO session tokens: persistent and nonpersistent. El explorador almacena los tokens de sesión persistentes como cookies.Persistent session tokens are stored as persistent cookies by the browser. Los tokens de sesión no persistentes se almacenan como cookies de sesión.Nonpersistent session tokens are stored as session cookies. (Las cookies de sesión se destruyen cuando se cierra el explorador). Por lo general, se almacena un token de sesión no persistente.(Session cookies are destroyed when the browser is closed.) Usually, a nonpersistent session token is stored. Pero, si el usuario selecciona la casilla Mantener la sesión iniciada durante la autenticación, un token de sesión persistente se almacena.But, when the user selects the Keep me signed in check box during authentication, a persistent session token is stored.

Los tokens de sesión no persistentes tienen una vigencia de 24 horas.Nonpersistent session tokens have a lifetime of 24 hours. Los tokens persistentes tienen una vigencia de 180 días.Persistent tokens have a lifetime of 180 days. Cada vez que se utilice el token de sesión SSO dentro del período de validez, este se amplía otras 24 horas o 180 días, dependiendo del tipo de token.Anytime an SSO session token is used within its validity period, the validity period is extended another 24 hours or 180 days, depending on the token type. Si un token de sesión SSO no se usa dentro de su período de validez, se considerará caducado y ya no se aceptará.If an SSO session token is not used within its validity period, it is considered expired and is no longer accepted.

Puede utilizar una directiva para establecer el período de tiempo después de la emisión del primer token de sesión, más allá del cual ya no se aceptará este token.You can use a policy to set the time after the first session token was issued beyond which the session token is no longer accepted. (Para ello, utilice la propiedad de antigüedad máxima del token de sesión). Puede ajustar la vigencia de un token de sesión para controlar cuándo y con qué frecuencia el usuario debe volver a escribir las credenciales en lugar de autenticarse de forma silenciosa cuando se usa una aplicación web.(To do this, use the Session Token Max Age property.) You can adjust the lifetime of a session token to control when and how often a user is required to reenter credentials, instead of being silently authenticated, when using a web application.

Propiedades de la directiva de vigencia del tokenToken lifetime policy properties

Una directiva de vigencia del token es un tipo de objeto de directiva que contiene reglas de vigencia del token.A token lifetime policy is a type of policy object that contains token lifetime rules. Use las propiedades de la directiva para controlar las vigencias de tokens especificados.Use the properties of the policy to control specified token lifetimes. Si no se establece ninguna directiva, el sistema aplica el valor de vigencia predeterminado.If no policy is set, the system enforces the default lifetime value.

Propiedades de vigencia de tokens configurablesConfigurable token lifetime properties

PropiedadProperty Cadena de propiedad de directivaPolicy property string Afecta aAffects Valor predeterminadoDefault MínimaMinimum MáximaMaximum
Vigencia del token de accesoAccess Token Lifetime AccessTokenLifetime2AccessTokenLifetime2 Tokens de acceso, tokens de identificador, tokens de SAML2Access tokens, ID tokens, SAML2 tokens 1 hora1 hour 10 minutos10 minutes 1 día1 day
Tiempo máximo de inactividad del token de actualizaciónRefresh Token Max Inactive Time MaxInactiveTimeMaxInactiveTime Tokens de actualizaciónRefresh tokens 90 días90 days 10 minutos10 minutes 90 días90 days
Antigüedad máxima del token de actualización (un solo factor)Single-Factor Refresh Token Max Age MaxAgeSingleFactorMaxAgeSingleFactor Tokens de actualización (para los usuarios)Refresh tokens (for any users) Hasta que se revocaUntil-revoked 10 minutos10 minutes Hasta que se revoca1Until-revoked1
Antigüedad máxima del token de actualización (varios factores)Multi-Factor Refresh Token Max Age MaxAgeMultiFactorMaxAgeMultiFactor Tokens de actualización (para los usuarios)Refresh tokens (for any users) Hasta que se revocaUntil-revoked 10 minutos10 minutes Hasta que se revoca1Until-revoked1
Antigüedad máxima del token de sesión (un solo factor)Single-Factor Session Token Max Age MaxAgeSessionSingleFactorMaxAgeSessionSingleFactor Tokens de sesión (persistentes y no persistentes)Session tokens (persistent and nonpersistent) Hasta que se revocaUntil-revoked 10 minutos10 minutes Hasta que se revoca1Until-revoked1
Antigüedad máxima del token de sesión (varios factores)Multi-Factor Session Token Max Age MaxAgeSessionMultiFactorMaxAgeSessionMultiFactor Tokens de sesión (persistentes y no persistentes)Session tokens (persistent and nonpersistent) Hasta que se revocaUntil-revoked 10 minutos10 minutes Hasta que se revoca1Until-revoked1
  • 1365 días es la vigencia explícita máxima que se puede establecer para estos atributos.1365 days is the maximum explicit length that can be set for these attributes.
  • 2Para que funcione el cliente web de Microsoft Teams, se recomienda establecer AccessTokenLifetime en un valor superior a 15 minutos para Microsoft Teams.2To ensure the Microsoft Teams Web client works, it is recommended to keep AccessTokenLifetime to greater than 15 minutes for Microsoft Teams.

ExcepcionesExceptions

PropiedadProperty Afecta aAffects Valor predeterminadoDefault
Antigüedad máxima de los tokens de actualización (emitidos para usuarios federados con información de revocación insuficiente1)Refresh Token Max Age (issued for federated users who have insufficient revocation information1) Tokens de actualización (emitidos para usuarios federados con información de revocación insuficiente1)Refresh tokens (issued for federated users who have insufficient revocation information1) 12 horas12 hours
Tiempo máximo de inactividad del token de actualización (emitido para clientes confidenciales)Refresh Token Max Inactive Time (issued for confidential clients) Tokens de actualización (emitidos para clientes confidenciales)Refresh tokens (issued for confidential clients) 90 días90 days
Antigüedad máxima del token de actualización (emitido para clientes confidenciales)Refresh Token Max Age (issued for confidential clients) Tokens de actualización (emitidos para clientes confidenciales)Refresh tokens (issued for confidential clients) Hasta que se revocaUntil-revoked
  • 1Entre los usuarios federados que tienen información de revocación insuficiente se incluyen todos los usuarios que no tienen el atributo "LastPasswordChangeTimestamp" sincronizado.1Federated users who have insufficient revocation information include any users who do not have the "LastPasswordChangeTimestamp" attribute synced. A estos usuarios se les da esta antigüedad máxima tan corta porque AAD no puede comprobar cuándo se deben revocar los tokens asociados a una credencial antigua (como una contraseña que se ha modificado) y deben realizar comprobaciones más frecuentes para asegurarse de que el usuario y los tokens asociados están aún activos.These users are given this short Max Age because AAD is unable to verify when to revoke tokens that are tied to an old credential (such as a password that has been changed) and must check back in more frequently to ensure that the user and associated tokens are still in good standing. Para mejorar esta experiencia, los administradores de los inquilinos deben asegurarse de que están sincronizando el atributo "LastPasswordChangeTimestamp" (esto se puede establecer en el objeto de usuario con PowerShell o a través de AADSync).To improve this experience, tenant admins must ensure that they are syncing the “LastPasswordChangeTimestamp” attribute (this can be set on the user object using Powershell or through AADSync).

Evaluación y prioridades de directivasPolicy evaluation and prioritization

Puede crear y, a continuación, asignar una directiva de vigencia del token a una aplicación específica, a su organización y a las entidades de servicio.You can create and then assign a token lifetime policy to a specific application, to your organization, and to service principals. Se pueden aplicar varias directivas a una aplicación específica.Multiple policies might apply to a specific application. La directiva de vigencia del token que entra en vigor sigue estas reglas:The token lifetime policy that takes effect follows these rules:

  • Si una directiva se asigna explícitamente a la entidad de servicio, se aplicará.If a policy is explicitly assigned to the service principal, it is enforced.
  • Si no hay ninguna directiva que se asigne explícitamente a la entidad de servicio, se aplicará una directiva asignada explícitamente a la organización primaria de la entidad de servicio.If no policy is explicitly assigned to the service principal, a policy explicitly assigned to the parent organization of the service principal is enforced.
  • Si no hay ninguna directiva que se asigne explícitamente a la entidad de servicio o a la organización, se aplicará la directiva asignada a la aplicación.If no policy is explicitly assigned to the service principal or to the organization, the policy assigned to the application is enforced.
  • Si no se ha asignado ninguna directiva a la entidad de servicio, la organización o el objeto de aplicación, se aplican los valores predeterminados.If no policy has been assigned to the service principal, the organization, or the application object, the default values are enforced. (Consulte la tabla que aparece en Propiedades de vigencia de tokens configurables).(See the table in Configurable token lifetime properties.)

Para más información sobre la relación entre objetos de aplicación y objetos de entidad de servicio, consulte Objetos de aplicación y de entidad de servicio de Azure Active Directory.For more information about the relationship between application objects and service principal objects, see Application and service principal objects in Azure Active Directory.

La validez de un token se evalúa en el momento en el que se usa.A token’s validity is evaluated at the time the token is used. La directiva con la prioridad más alta en la aplicación a la que se accede es la que se aplica.The policy with the highest priority on the application that is being accessed takes effect.

Todos los intervalos de tiempo usados aquí tienen formato según el objeto TimeSpan de C#: D.HH:MM:SS.All timespans used here are formatted according to the C# TimeSpan object - D.HH:MM:SS. Por lo tanto, 80 días y 30 minutos sería 80.00:30:00.So 80 days and 30 minutes would be 80.00:30:00. La D inicial puede eliminarse si es cero, por lo que 90 minutos sería 00:90:00.The leading D can be dropped if zero, so 90 minutes would be 00:90:00.

Nota

Este es un escenario de ejemplo.Here's an example scenario.

Un usuario desea acceder a dos aplicaciones web: Aplicación web A y B.A user wants to access two web applications: Web Application A and Web Application B.

Factores:Factors:

  • Ambas aplicaciones web están en la misma organización primaria.Both web applications are in the same parent organization.
  • La directiva 1 de vigencia del token con una antigüedad máxima del token de sesión de ocho horas se establece como valor predeterminado de la organización primaria.Token Lifetime Policy 1 with a Session Token Max Age of eight hours is set as the parent organization’s default.
  • La aplicación web A es una aplicación web de uso habitual que no está vinculada a ninguna directiva.Web Application A is a regular-use web application and isn’t linked to any policies.
  • La aplicación web B se usa para procesos altamente confidenciales.Web Application B is used for highly sensitive processes. Su entidad de servicio está vinculada a la directiva 2 de vigencia del token, que tiene una antigüedad máxima de token de sesión de 30 minutos.Its service principal is linked to Token Lifetime Policy 2, which has a Session Token Max Age of 30 minutes.

A las 12:00 p.m. el usuario inicia una nueva sesión en el explorador e intenta acceder a la aplicación web A. El usuario es redirigido a Azure AD y se le pide que inicie sesión.At 12:00 PM, the user starts a new browser session and tries to access Web Application A. The user is redirected to Azure AD and is asked to sign in. Esta acción crea una cookie con un token de sesión en el explorador.This creates a cookie that has a session token in the browser. El usuario es redirigido de nuevo a la aplicación web A con un token de identificador que le permite acceder a la aplicación.The user is redirected back to Web Application A with an ID token that allows the user to access the application.

A las 12:15 p.m., el usuario intenta acceder a la aplicación web B. El explorador redirige a Azure AD, que detecta la cookie de sesión.At 12:15 PM, the user tries to access Web Application B. The browser redirects to Azure AD, which detects the session cookie. La entidad de servicio de la aplicación web B está vinculada a la directiva 2 de vigencia del token, pero también forma parte de la organización primaria con la directiva 1 de vigencia del token predeterminada.Web Application B’s service principal is linked to Token Lifetime Policy 2, but it's also part of the parent organization, with default Token Lifetime Policy 1. La directiva 2 de vigencia del token se aplica porque las directivas vinculadas a entidades de servicio tienen una prioridad más alta que las directivas predeterminadas de la organización.Token Lifetime Policy 2 takes effect because policies linked to service principals have a higher priority than organization default policies. El token de sesión se emitió originalmente en los últimos 30 minutos, por lo que se considera válido.The session token was originally issued within the last 30 minutes, so it is considered valid. El usuario es redirigido de nuevo a la aplicación web B con un token de identificador que le concede acceso.The user is redirected back to Web Application B with an ID token that grants them access.

A la 1 p.m., el usuario intenta acceder a la aplicación web A y se le redirige a Azure AD.At 1:00 PM, the user tries to access Web Application A. The user is redirected to Azure AD. La aplicación web A no está vinculada a ninguna directiva, pero como está en una organización con la directiva predeterminada 1 de vigencia del token, se aplica esta directiva.Web Application A is not linked to any policies, but because it is in an organization with default Token Lifetime Policy 1, that policy takes effect. Se detectó la cookie de sesión que se emitió originalmente en las últimas ocho horas.The session cookie that was originally issued within the last eight hours is detected. En modo silencioso, se redirige al usuario a la aplicación web A con un nuevo token de identificador.The user is silently redirected back to Web Application A with a new ID token. No es necesario que el usuario se autentique.The user is not required to authenticate.

Inmediatamente después, el usuario intenta acceder a la aplicación web B y se le redirige a Azure AD.Immediately afterward, the user tries to access Web Application B. The user is redirected to Azure AD. Como antes, se aplica la directiva 2 de vigencia del token.As before, Token Lifetime Policy 2 takes effect. Dado que el token se emitió hace más de 30 minutos, se le solicita al usuario que vuelva a escribir sus credenciales de inicio de sesión.Because the token was issued more than 30 minutes ago, the user is prompted to reenter their sign-in credentials. Se emite un nuevo token de sesión y de identificador.A brand-new session token and ID token are issued. El usuario puede acceder entonces a la aplicación web B.The user can then access Web Application B.

Detalles de las propiedades de directiva configurablesConfigurable policy property details

Vigencia del token de accesoAccess Token Lifetime

Cadena: AccessTokenLifetimeString: AccessTokenLifetime

Afecta a: Tokens de acceso, tokens de identificador, tokens de SAML2Affects: Access tokens, ID tokens, SAML tokens

Resumen: esta directiva controla cuánto tiempo se consideran válidos los token de acceso y de identificador para este recurso.Summary: This policy controls how long access and ID tokens for this resource are considered valid. Reducir la vigencia de los tokens de acceso disminuye el riesgo de que un individuo malintencionado use un token de acceso o de identificador durante un período de tiempo prolongado.Reducing the Access Token Lifetime property mitigates the risk of an access token or ID token being used by a malicious actor for an extended period of time. (Estos tokens no se pueden revocar). El inconveniente es que afecta negativamente al rendimiento, ya que los tokens tendrán que reemplazarse con más frecuencia.(These tokens cannot be revoked.) The trade-off is that performance is adversely affected, because the tokens have to be replaced more often.

Tiempo máximo de inactividad del token de actualizaciónRefresh Token Max Inactive Time

Cadena: MaxInactiveTimeString: MaxInactiveTime

Afecta a: Tokens de actualizaciónAffects: Refresh tokens

Resumen: esta directiva controla la antigüedad máxima que puede tener un token de actualización hasta que un cliente ya no pueda usarlo para recuperar un nuevo par de tokens de acceso/actualización al intentar acceder a este recurso.Summary: This policy controls how old a refresh token can be before a client can no longer use it to retrieve a new access/refresh token pair when attempting to access this resource. Dado que un nuevo token de actualización normalmente se devuelve cuando se usa un token de actualización, esta directiva impedirá el acceso si el cliente intenta acceder a algún recurso con el token de actualización actual durante el período de tiempo especificado.Because a new refresh token usually is returned when a refresh token is used, this policy prevents access if the client tries to access any resource by using the current refresh token during the specified period of time.

Esta directiva obligará a los usuarios que no hayan estado activos en su cliente a volver a autenticarse para recuperar un nuevo token de actualización.This policy forces users who have not been active on their client to reauthenticate to retrieve a new refresh token.

El tiempo máximo de inactividad del token de actualización debe establecerse en un valor inferior a la antigüedad máxima del token de un solo factor y la antigüedad máxima del token de actualización de varios factores.The Refresh Token Max Inactive Time property must be set to a lower value than the Single-Factor Token Max Age and the Multi-Factor Refresh Token Max Age properties.

Antigüedad máxima del token de actualización (un solo factor)Single-Factor Refresh Token Max Age

Cadena: MaxAgeSingleFactorString: MaxAgeSingleFactor

Afecta a: Tokens de actualizaciónAffects: Refresh tokens

Resumen: esta directiva controla cuánto tiempo un usuario puede seguir usando tokens de actualización para obtener nuevos pares de tokens de acceso/actualización desde la última vez que se autenticara correctamente con un solo factor.Summary: This policy controls how long a user can use a refresh token to get a new access/refresh token pair after they last authenticated successfully by using only a single factor. Después de que un usuario se autentica y recibe un nuevo token de actualización, este puede utilizar el flujo del token de actualización durante el período de tiempo especificado.After a user authenticates and receives a new refresh token, the user can use the refresh token flow for the specified period of time. (Esto ocurre siempre que el token de actualización actual no esté revocado y no se quede sin usar más tiempo que el período de inactividad). En ese momento, el usuario se verá obligado a volver a autenticarse para recibir un nuevo token de actualización.(This is true as long as the current refresh token is not revoked, and it is not left unused for longer than the inactive time.) At that point, the user is forced to reauthenticate to receive a new refresh token.

Reducir la antigüedad máxima obliga a los usuarios a autenticarse con más frecuencia.Reducing the max age forces users to authenticate more often. Puesto que la autenticación de un solo factor se considera menos segura que la autenticación multifactor, se recomienda establecer esta propiedad en un valor igual o inferior al de la propiedad de antigüedad máxima del token de actualización de varios factores.Because single-factor authentication is considered less secure than multi-factor authentication, we recommend that you set this property to a value that is equal to or lesser than the Multi-Factor Refresh Token Max Age property.

Antigüedad máxima del token de actualización (varios factores)Multi-Factor Refresh Token Max Age

Cadena: MaxAgeMultiFactorString: MaxAgeMultiFactor

Afecta a: Tokens de actualizaciónAffects: Refresh tokens

Resumen: esta directiva controla cuánto tiempo un usuario puede seguir usando tokens de actualización para obtener nuevos pares de tokens de acceso/actualización desde la última vez que se autenticara correctamente con varios factores.Summary: This policy controls how long a user can use a refresh token to get a new access/refresh token pair after they last authenticated successfully by using multiple factors. Después de que un usuario se autentica y recibe un nuevo token de actualización, este puede utilizar el flujo del token de actualización durante el período de tiempo especificado.After a user authenticates and receives a new refresh token, the user can use the refresh token flow for the specified period of time. (Esto ocurre siempre que el token de actualización actual no esté revocado y no se quede sin usar más tiempo que el período de inactividad). En ese momento, los usuarios se verán obligados a volver a autenticarse para recibir un nuevo token de actualización.(This is true as long as the current refresh token is not revoked, and it is not unused for longer than the inactive time.) At that point, users are forced to reauthenticate to receive a new refresh token.

Reducir la antigüedad máxima obliga a los usuarios a autenticarse con más frecuencia.Reducing the max age forces users to authenticate more often. Puesto que la autenticación de un solo factor se considera menos segura que la autenticación multifactor, se recomienda establecer esta propiedad en un valor igual o superior al de la propiedad de antigüedad máxima del token de actualización de un solo factor.Because single-factor authentication is considered less secure than multi-factor authentication, we recommend that you set this property to a value that is equal to or greater than the Single-Factor Refresh Token Max Age property.

Antigüedad máxima del token de sesión (un solo factor)Single-Factor Session Token Max Age

Cadena: MaxAgeSessionSingleFactorString: MaxAgeSessionSingleFactor

Afecta a: Tokens de sesión (persistentes y no persistentes)Affects: Session tokens (persistent and nonpersistent)

Resumen: esta directiva controla cuánto tiempo un usuario puede seguir usando tokens de actualización para obtener un nuevo token de identificador y de sesión desde la última vez que se autenticara correctamente con un solo factor.Summary: This policy controls how long a user can use a session token to get a new ID and session token after they last authenticated successfully by using only a single factor. Después de que un usuario se autentica y recibe un nuevo token de sesión, este puede utilizar el flujo del token de sesión durante el período de tiempo especificado.After a user authenticates and receives a new session token, the user can use the session token flow for the specified period of time. (Esto ocurre siempre que el token de sesión actual no esté revocado y no haya expirado). Tras el período de tiempo especificado, el usuario se ve obligado a autenticarse para recibir un nuevo token de sesión.(This is true as long as the current session token is not revoked and has not expired.) After the specified period of time, the user is forced to reauthenticate to receive a new session token.

Reducir la antigüedad máxima obliga a los usuarios a autenticarse con más frecuencia.Reducing the max age forces users to authenticate more often. Puesto que la autenticación de un solo factor se considera menos segura que la autenticación multifactor, se recomienda establecer esta propiedad en un valor igual o inferior al de la propiedad de antigüedad máxima del token de sesión de varios factores.Because single-factor authentication is considered less secure than multi-factor authentication, we recommend that you set this property to a value that is equal to or less than the Multi-Factor Session Token Max Age property.

Antigüedad máxima del token de sesión (varios factores)Multi-Factor Session Token Max Age

Cadena: MaxAgeSessionMultiFactorString: MaxAgeSessionMultiFactor

Afecta a: Tokens de sesión (persistentes y no persistentes)Affects: Session tokens (persistent and nonpersistent)

Resumen: esta directiva controla cuánto tiempo un usuario puede seguir usando tokens de actualización para obtener un nuevo token de identificador y de sesión desde la última vez que se autenticara correctamente con varios factores.Summary: This policy controls how long a user can use a session token to get a new ID and session token after the last time they authenticated successfully by using multiple factors. Después de que un usuario se autentica y recibe un nuevo token de sesión, este puede utilizar el flujo del token de sesión durante el período de tiempo especificado.After a user authenticates and receives a new session token, the user can use the session token flow for the specified period of time. (Esto ocurre siempre que el token de sesión actual no esté revocado y no haya expirado). Tras el período de tiempo especificado, el usuario se ve obligado a autenticarse para recibir un nuevo token de sesión.(This is true as long as the current session token is not revoked and has not expired.) After the specified period of time, the user is forced to reauthenticate to receive a new session token.

Reducir la antigüedad máxima obliga a los usuarios a autenticarse con más frecuencia.Reducing the max age forces users to authenticate more often. Puesto que la autenticación de un solo factor se considera menos segura que la autenticación multifactor, se recomienda establecer esta propiedad en un valor igual o superior al de la propiedad de antigüedad máxima del token de sesión de un solo factor.Because single-factor authentication is considered less secure than multi-factor authentication, we recommend that you set this property to a value that is equal to or greater than the Single-Factor Session Token Max Age property.

Ejemplo de directivas de vigencia del tokenExample token lifetime policies

En Azure AD, hay muchos escenarios posibles a la hora de crear y administrar la vigencia de los tokens para aplicaciones, entidades de servicio y la organización en general.Many scenarios are possible in Azure AD when you can create and manage token lifetimes for apps, service principals, and your overall organization. En esta sección, se explican algunos escenarios de directiva comunes que le ayudarán a imponer nuevas reglas para:In this section, we walk through a few common policy scenarios that can help you impose new rules for:

  • Vigencia del tokenToken Lifetime
  • Tiempos máximos de inactividad del tokenToken Max Inactive Time
  • Antigüedad máxima del tokenToken Max Age

En los ejemplos, puede aprender a:In the examples, you can learn how to:

  • Administrar una directiva predeterminada de una organizaciónManage an organization's default policy
  • Crear una directiva para inicio de sesión webCreate a policy for web sign-in
  • Crear una directiva para una aplicación nativa que llama a una API webCreate a policy for a native app that calls a web API
  • Administrar una directiva avanzadaManage an advanced policy

PrerequisitesPrerequisites

En los ejemplos siguientes, va a crear, actualizar, vincular y eliminar directivas de aplicaciones, entidades de servicio y de la organización en general.In the following examples, you create, update, link, and delete policies for apps, service principals, and your overall organization. Si no está familiarizado con Azure AD, se recomienda que aprenda cómo obtener un inquilino de Azure AD antes de continuar con estos ejemplos.If you are new to Azure AD, we recommend that you learn about how to get an Azure AD tenant before you proceed with these examples.

Para comenzar, realice uno de los pasos siguientes:To get started, do the following steps:

  1. Descargue la versión preliminar pública más reciente del módulo de PowerShell de Azure AD.Download the latest Azure AD PowerShell Module Public Preview release.

  2. Ejecute el comando Connect para iniciar sesión en la cuenta de administrador de Azure AD.Run the Connect command to sign in to your Azure AD admin account. Ejecute este comando cada vez que inicie una nueva sesión.Run this command each time you start a new session.

    Connect-AzureAD -Confirm
    
  3. Ejecute el siguiente comando para ver todas las directivas que se han creado en la organización.To see all policies that have been created in your organization, run the following command. Este comando debe ejecutarse después de la mayoría de las operaciones en los escenarios siguientes.Run this command after most operations in the following scenarios. La ejecución del comando también lo ayudará a obtener el valor de ** ** de sus directivas.Running the command also helps you get the ** ** of your policies.

    Get-AzureADPolicy
    

Ejemplo: Administrar una directiva predeterminada de una organizaciónExample: Manage an organization's default policy

En este ejemplo, crearemos una directiva que permita a sus usuarios iniciar sesión con menos frecuencia en toda su organización.In this example, you create a policy that lets your users' sign in less frequently across your entire organization. Para ello, creamos una directiva de vigencia del token para tokens de actualización de un solo factor que se aplica en toda la organización.To do this, create a token lifetime policy for Single-Factor Refresh Tokens, which is applied across your organization. Esta directiva se aplicará a todas las aplicaciones de su organización y a todas las entidades de servicio que aún no tengan una directiva establecida en ella.The policy is applied to every application in your organization, and to each service principal that doesn’t already have a policy set.

  1. Cree una directiva de vigencia del token.Create a token lifetime policy.

    1. Establezca el token de actualización de un solo factor en "hasta que se revoca".Set the Single-Factor Refresh Token to "until-revoked." El token no expira hasta que se revoca el acceso.The token doesn't expire until access is revoked. Cree la siguiente definición de directiva:Create the following policy definition:

      @('{
          "TokenLifetimePolicy":
          {
              "Version":1,
              "MaxAgeSingleFactor":"until-revoked"
          }
      }')
      
    2. Ejecute el siguiente comando para crear la directiva:To create the policy, run the following command:

      $policy = New-AzureADPolicy -Definition @('{"TokenLifetimePolicy":{"Version":1, "MaxAgeSingleFactor":"until-revoked"}}') -DisplayName "OrganizationDefaultPolicyScenario" -IsOrganizationDefault $true -Type "TokenLifetimePolicy"
      
    3. Para ver su nueva directiva y obtener el ObjectID de esta, ejecute el siguiente comando:To see your new policy, and to get the policy's ObjectId, run the following command:

      Get-AzureADPolicy -Id $policy.Id
      
  2. Actualice la directiva.Update the policy.

    Puede decidir que la primera directiva que se establece en este ejemplo no sea tan estricta como exige el servicio.You might decide that the first policy you set in this example is not as strict as your service requires. Para establecer que el token de actualización de un solo factor expire en dos días, ejecute el siguiente comando:To set your Single-Factor Refresh Token to expire in two days, run the following command:

    Set-AzureADPolicy -Id $policy.Id -DisplayName $policy.DisplayName -Definition @('{"TokenLifetimePolicy":{"Version":1,"MaxAgeSingleFactor":"2.00:00:00"}}')
    

Ejemplo: Crear una directiva para inicio de sesión webExample: Create a policy for web sign-in

En este ejemplo, va a crear una directiva que requerirá que los usuarios se autentiquen con más frecuencia en la aplicación web.In this example, you create a policy that requires users to authenticate more frequently in your web app. Esta directiva establecerá la vigencia de los tokens de acceso y de identificador y la antigüedad máxima de un token de sesión de varios factores en la entidad de servicio de su aplicación web.This policy sets the lifetime of the access/ID tokens and the max age of a multi-factor session token to the service principal of your web app.

  1. Cree una directiva de vigencia del token.Create a token lifetime policy.

    Para el inicio de sesión web esta directiva establecerá la vigencia del token de acceso y de identificador y la antigüedad máxima del token de sesión de un solo factor en 2 horas.This policy, for web sign-in, sets the access/ID token lifetime and the max single-factor session token age to two hours.

    1. Ejecute este comando para crear la directiva:To create the policy, run this command:

      $policy = New-AzureADPolicy -Definition @('{"TokenLifetimePolicy":{"Version":1,"AccessTokenLifetime":"02:00:00","MaxAgeSessionSingleFactor":"02:00:00"}}') -DisplayName "WebPolicyScenario" -IsOrganizationDefault $false -Type "TokenLifetimePolicy"
      
    2. Para ver su nueva directiva y obtener el ObjectID de esta, ejecute el siguiente comando:To see your new policy, and to get the policy ObjectId, run the following command:

      Get-AzureADPolicy -Id $policy.Id
      
  2. Asigne la directiva a su entidad de servicio.Assign the policy to your service principal. También necesitará obtener el valor de ObjectId de su entidad de servicio.You also need to get the ObjectId of your service principal.

    1. Utilice el cmdlet Get-AzureADServicePrincipal para ver todas las entidades de servicio de la organización o una única entidad de servicio.Use the Get-AzureADServicePrincipal cmdlet to see all your organization's service principals or a single service principal.

      # Get ID of the service principal
      $sp = Get-AzureADServicePrincipal -Filter "DisplayName eq '<service principal display name>'"
      
    2. Cuando tenga la entidad de servicio, ejecute el siguiente comando:When you have the service principal, run the following command:

      # Assign policy to a service principal
      Add-AzureADServicePrincipalPolicy -Id $sp.ObjectId -RefObjectId $policy.Id
      

Ejemplo: Crear una directiva para una aplicación nativa que llama a una API webExample: Create a policy for a native app that calls a web API

En este ejemplo, va a crear una directiva que requerirá que los usuarios se autentiquen con menos frecuencia.In this example, you create a policy that requires users to authenticate less frequently. La directiva también aumenta la cantidad de tiempo que un usuario puede estar inactivo antes de que este deba volver a autenticarse.The policy also lengthens the amount of time a user can be inactive before the user must reauthenticate. La directiva se aplica a la API web.The policy is applied to the web API. Cuando la aplicación nativa solicita la API web como recurso, se aplica esta directiva.When the native app requests the web API as a resource, this policy is applied.

  1. Cree una directiva de vigencia del token.Create a token lifetime policy.

    1. Para crear una directiva estricta para una API web, ejecute el siguiente comando:To create a strict policy for a web API, run the following command:

      $policy = New-AzureADPolicy -Definition @('{"TokenLifetimePolicy":{"Version":1,"MaxInactiveTime":"30.00:00:00","MaxAgeMultiFactor":"until-revoked","MaxAgeSingleFactor":"180.00:00:00"}}') -DisplayName "WebApiDefaultPolicyScenario" -IsOrganizationDefault $false -Type "TokenLifetimePolicy"
      
    2. Para ver la nueva directiva, ejecute el siguiente comando:To see your new policy, run the following command:

      Get-AzureADPolicy -Id $policy.Id
      
  2. Asigne la directiva a la API web.Assign the policy to your web API. También necesitará obtener el valor de ObjectId de la aplicación.You also need to get the ObjectId of your application. Utilice el cmdlet Get-AzureADApplication para encontrar el valor de ObjectId de la aplicación o usar Azure Portal.Use the Get-AzureADApplication cmdlet to find your app's ObjectId, or use the Azure portal.

    Obtenga el valor de ObjectId de la aplicación y asigne la directiva:Get the ObjectId of your app and assign the policy:

    # Get the application
    $app = Get-AzureADApplication -Filter "DisplayName eq 'Fourth Coffee Web API'"
    
    # Assign the policy to your web API.
    Add-AzureADApplicationPolicy -Id $app.ObjectId -RefObjectId $policy.Id
    

Ejemplo: Administrar una directiva avanzadaExample: Manage an advanced policy

En este ejemplo, va a crear algunas directivas para obtener información sobre cómo funciona el sistema de prioridad.In this example, you create a few policies to learn how the priority system works. También puede aprender a administrar varias directivas que se aplican a varios objetos.You also learn how to manage multiple policies that are applied to several objects.

  1. Cree una directiva de vigencia del token.Create a token lifetime policy.

    1. Para crear una directiva predeterminada de organización que establece la vigencia del token de actualización de un solo factor en 30 días, ejecute el siguiente comando:To create an organization default policy that sets the Single-Factor Refresh Token lifetime to 30 days, run the following command:

      $policy = New-AzureADPolicy -Definition @('{"TokenLifetimePolicy":{"Version":1,"MaxAgeSingleFactor":"30.00:00:00"}}') -DisplayName "ComplexPolicyScenario" -IsOrganizationDefault $true -Type "TokenLifetimePolicy"
      
    2. Para ver la nueva directiva, ejecute el siguiente comando:To see your new policy, run the following command:

      Get-AzureADPolicy -Id $policy.Id
      
  2. Asigne la directiva a una entidad de servicio.Assign the policy to a service principal.

    Ahora tiene una directiva que se aplica a toda la organización.Now, you have a policy that applies to the entire organization. Es posible que quiera conservar esta directiva 30 días para una entidad de servicio específica, pero cambiar la directiva predeterminada de organización para que sea el límite superior de "hasta que se revoque".You might want to preserve this 30-day policy for a specific service principal, but change the organization default policy to the upper limit of "until-revoked."

    1. Para ver todas las entidades de servicio de la organización, utilice el cmdlet Get-AzureADServicePrincipal.To see all your organization's service principals, you use the Get-AzureADServicePrincipal cmdlet.

    2. Cuando tenga la entidad de servicio, ejecute el siguiente comando:When you have the service principal, run the following command:

      # Get ID of the service principal
      $sp = Get-AzureADServicePrincipal -Filter "DisplayName eq '<service principal display name>'"
      
      # Assign policy to a service principal
      Add-AzureADServicePrincipalPolicy -Id $sp.ObjectId -RefObjectId $policy.Id
      
  3. Establezca la marca IsOrganizationDefault en false:Set the IsOrganizationDefault flag to false:

    Set-AzureADPolicy -Id $policy.Id -DisplayName "ComplexPolicyScenario" -IsOrganizationDefault $false
    
  4. Cree una nueva directiva predeterminada de organización:Create a new organization default policy:

    New-AzureADPolicy -Definition @('{"TokenLifetimePolicy":{"Version":1,"MaxAgeSingleFactor":"until-revoked"}}') -DisplayName "ComplexPolicyScenarioTwo" -IsOrganizationDefault $true -Type "TokenLifetimePolicy"
    

    Ahora tiene la directiva original vinculada a la entidad de servicio y la nueva directiva establecida como su directiva predeterminada de organización.You now have the original policy linked to your service principal, and the new policy is set as your organization default policy. Es importante recordar que las directivas aplicadas a las entidades de servicio tienen prioridad sobre las directivas predeterminadas de organización.It's important to remember that policies applied to service principals have priority over organization default policies.

Referencia de cmdletsCmdlet reference

Administración de directivasManage policies

Los cmdlets siguientes se pueden usar para administrar directivas.You can use the following cmdlets to manage policies.

New-AzureADPolicyNew-AzureADPolicy

Crea una nueva directiva.Creates a new policy.

New-AzureADPolicy -Definition <Array of Rules> -DisplayName <Name of Policy> -IsOrganizationDefault <boolean> -Type <Policy Type>
ParámetrosParameters DescripciónDescription EjemploExample
‑Definition La matriz de cadenas JSON que contiene todas las reglas de la directiva.Array of stringified JSON that contains all the policy's rules. -Definition @('{"TokenLifetimePolicy":{"Version":1,"MaxInactiveTime":"20:00:00"}}')
‑DisplayName Cadena del nombre de la directiva.String of the policy name. -DisplayName "MyTokenPolicy"
‑IsOrganizationDefault Si es true establece la directiva como directiva predeterminada de la organización.If true, sets the policy as the organization's default policy. Si es false, no hace nada.If false, does nothing. -IsOrganizationDefault $true
‑Type Tipo de directiva.Type of policy. Para la vigencia de los tokens, use siempre "TokenLifetimePolicy".For token lifetimes, always use "TokenLifetimePolicy." -Type "TokenLifetimePolicy"
‑AlternativeIdentifier [Opcional]‑AlternativeIdentifier [Optional] Establece un id alternativo para la directiva.Sets an alternative ID for the policy. -AlternativeIdentifier "myAltId"


Get-AzureADPolicyGet-AzureADPolicy

Obtiene todas las directivas de AzureAD o una directiva especificada.Gets all Azure AD policies or a specified policy.

Get-AzureADPolicy
ParámetrosParameters DescripciónDescription EjemploExample
‑Id [Opcional]‑Id [Optional] El valor de ObjectId (Id) de la directiva que desea.ObjectId (ID) of the policy you want. -Id <ObjectId of Policy>


Get-AzureADPolicyAppliedObjectGet-AzureADPolicyAppliedObject

Obtiene todas las aplicaciones y entidades de servicio vinculadas a una directiva.Gets all apps and service principals that are linked to a policy.

Get-AzureADPolicyAppliedObject -Id <ObjectId of Policy>
ParámetrosParameters DescripciónDescription EjemploExample
‑Id El valor de ObjectId (Id) de la directiva que desea.ObjectId (ID) of the policy you want. -Id <ObjectId of Policy>


Set-AzureADPolicySet-AzureADPolicy

Actualiza una directiva existente.Updates an existing policy.

Set-AzureADPolicy -Id <ObjectId of Policy> -DisplayName <string>
ParámetrosParameters DescripciónDescription EjemploExample
‑Id El valor de ObjectId (Id) de la directiva que desea.ObjectId (ID) of the policy you want. -Id <ObjectId of Policy>
‑DisplayName Cadena del nombre de la directiva.String of the policy name. -DisplayName "MyTokenPolicy"
‑Definition [Opcional]‑Definition [Optional] La matriz de cadenas JSON que contiene todas las reglas de la directiva.Array of stringified JSON that contains all the policy's rules. -Definition @('{"TokenLifetimePolicy":{"Version":1,"MaxInactiveTime":"20:00:00"}}')
‑IsOrganizationDefault [Opcional]‑IsOrganizationDefault [Optional] Si es true establece la directiva como directiva predeterminada de la organización.If true, sets the policy as the organization's default policy. Si es false, no hace nada.If false, does nothing. -IsOrganizationDefault $true
‑Type [Opcional]‑Type [Optional] Tipo de directiva.Type of policy. Para la vigencia de los tokens, use siempre "TokenLifetimePolicy".For token lifetimes, always use "TokenLifetimePolicy." -Type "TokenLifetimePolicy"
‑AlternativeIdentifier [Opcional]‑AlternativeIdentifier [Optional] Establece un id alternativo para la directiva.Sets an alternative ID for the policy. -AlternativeIdentifier "myAltId"


Remove-AzureADPolicyRemove-AzureADPolicy

Elimina la directiva especificada.Deletes the specified policy.

 Remove-AzureADPolicy -Id <ObjectId of Policy>
ParámetrosParameters DescripciónDescription EjemploExample
‑Id El valor de ObjectId (Id) de la directiva que desea.ObjectId (ID) of the policy you want. -Id <ObjectId of Policy>


Directivas de aplicaciónApplication policies

Los cmdlets siguientes se pueden usar para directivas de aplicación.You can use the following cmdlets for application policies.

Add-AzureADApplicationPolicyAdd-AzureADApplicationPolicy

Vincula la directiva especificada a una aplicación.Links the specified policy to an application.

Add-AzureADApplicationPolicy -Id <ObjectId of Application> -RefObjectId <ObjectId of Policy>
ParámetrosParameters DescripciónDescription EjemploExample
‑Id El valor de ObjectId (Id) de la aplicación.ObjectId (ID) of the application. -Id <ObjectId of Application>
‑RefObjectId El valor de ObjectId de la directiva.ObjectId of the policy. -RefObjectId <ObjectId of Policy>


Get-AzureADApplicationPolicyGet-AzureADApplicationPolicy

Obtiene la directiva asignada a una aplicación.Gets the policy that is assigned to an application.

Get-AzureADApplicationPolicy -Id <ObjectId of Application>
ParámetrosParameters DescripciónDescription EjemploExample
‑Id El valor de ObjectId (Id) de la aplicación.ObjectId (ID) of the application. -Id <ObjectId of Application>


Remove-AzureADApplicationPolicyRemove-AzureADApplicationPolicy

Quita una directiva de una aplicación.Removes a policy from an application.

Remove-AzureADApplicationPolicy -Id <ObjectId of Application> -PolicyId <ObjectId of Policy>
ParámetrosParameters DescripciónDescription EjemploExample
‑Id El valor de ObjectId (Id) de la aplicación.ObjectId (ID) of the application. -Id <ObjectId of Application>
‑PolicyId El valor de ObjectId de la directiva.ObjectId of the policy. -PolicyId <ObjectId of Policy>


Directivas de la entidad de servicioService principal policies

Los cmdlets siguientes se pueden usar para las directivas de entidad de servicio.You can use the following cmdlets for service principal policies.

Add-AzureADServicePrincipalPolicyAdd-AzureADServicePrincipalPolicy

Vincula la directiva especificada a una entidad de servicio.Links the specified policy to a service principal.

Add-AzureADServicePrincipalPolicy -Id <ObjectId of ServicePrincipal> -RefObjectId <ObjectId of Policy>
ParámetrosParameters DescripciónDescription EjemploExample
‑Id El valor de ObjectId (Id) de la aplicación.ObjectId (ID) of the application. -Id <ObjectId of Application>
‑RefObjectId El valor de ObjectId de la directiva.ObjectId of the policy. -RefObjectId <ObjectId of Policy>


Get-AzureADServicePrincipalPolicyGet-AzureADServicePrincipalPolicy

Obtiene cualquier directiva vinculada a la entidad de servicio especificada.Gets any policy linked to the specified service principal.

Get-AzureADServicePrincipalPolicy -Id <ObjectId of ServicePrincipal>
ParámetrosParameters DescripciónDescription EjemploExample
‑Id El valor de ObjectId (Id) de la aplicación.ObjectId (ID) of the application. -Id <ObjectId of Application>


Remove-AzureADServicePrincipalPolicyRemove-AzureADServicePrincipalPolicy

Quita la directiva de la entidad de servicio especificada.Removes the policy from the specified service principal.

Remove-AzureADServicePrincipalPolicy -Id <ObjectId of ServicePrincipal>  -PolicyId <ObjectId of Policy>
ParámetrosParameters DescripciónDescription EjemploExample
‑Id El valor de ObjectId (Id) de la aplicación.ObjectId (ID) of the application. -Id <ObjectId of Application>
‑PolicyId El valor de ObjectId de la directiva.ObjectId of the policy. -PolicyId <ObjectId of Policy>