Konfigurálható tokenélettartamok a Microsoft Identitásplatform (előzetes verzió)
Megadhatja a Microsoft Identitásplatform által kibocsátott hozzáférési, azonosító- vagy SAML-jogkivonat élettartamát. A jogkivonatok élettartamát beállíthatja a szervezet összes alkalmazásához, több-bérlős (többszervezetes) alkalmazásokhoz vagy szolgáltatásnevekhez. Jelenleg nem támogatjuk a jogkivonat élettartamának konfigurálását a felügyelt identitásszolgáltatás-tagok számára.
A Microsoft Entra-azonosítóban a szabályzatobjektumok olyan szabályok készletét jelölik, amelyek az egyes alkalmazásokra vagy a szervezet összes alkalmazására vonatkoznak. Minden szabályzattípus egyedi struktúrával rendelkezik, és olyan tulajdonságok készletével rendelkezik, amelyek azokra az objektumokra vonatkoznak, amelyekhez hozzá vannak rendelve.
A szervezet alapértelmezett házirendjeként kijelölhet egy szabályzatot. A szabályzatot a rendszer a szervezet bármely alkalmazására alkalmazza, feltéve, hogy nem bírálja felül egy magasabb prioritású szabályzat. Szabályzatot adott alkalmazásokhoz is hozzárendelhet. A prioritás sorrendje szabályzattípusonként változik.
Példákat olvashat például a jogkivonatok élettartamának konfigurálására.
Feljegyzés
A konfigurálható jogkivonat élettartamszabályzata csak a SharePoint Online-hoz és OneDrive Vállalati verzió erőforrásokhoz hozzáférő mobil- és asztali ügyfelekre vonatkozik, és nem vonatkozik a webböngésző-munkamenetekre. A SharePoint Online és OneDrive Vállalati verzió böngésző munkameneteinek élettartamának kezeléséhez használja a Feltételes hozzáférés munkamenet élettartam funkcióját. Az üresjárati munkamenet időtúllépéseinek konfigurálásáról a SharePoint Online blogban olvashat bővebben.
Licenckövetelmények
A funkció használatához Microsoft Entra ID P1 licenc szükséges. A követelményeknek megfelelő licenc megtalálásához tekintse meg az ingyenes és prémium kiadások általánosan elérhető funkcióinak összehasonlítása című témakört.
A Microsoft 365 Vállalati verziós licenccel rendelkező ügyfelek is hozzáférhetnek a feltételes hozzáférési funkciókhoz.
Hozzáférési, SAML- és AZONOSÍTÓ-jogkivonatok jogkivonatainak élettartam-szabályzatai
A hozzáférési jogkivonatokhoz, SAML-jogkivonatokhoz és azonosító jogkivonatokhoz beállíthatja a jogkivonatok élettartam-szabályzatait.
Hozzáférési jogkivonatok
Az ügyfelek hozzáférési jogkivonatokat használnak egy védett erőforrás eléréséhez. A hozzáférési jogkivonatok csak a felhasználó, az ügyfél és az erőforrás adott kombinációjához használhatók. A hozzáférési jogkivonatok nem vonhatók vissza, és lejáratukig érvényesek. A hozzáférési jogkivonatot lekért rosszindulatú szereplők az élettartamuk végéig használhatják. A hozzáférési jogkivonat élettartamának módosítása kompromisszumot jelent a rendszer teljesítményének javítása és az ügyfél által a felhasználói fiók letiltása után fenntartott hozzáférés növelése között. A rendszer teljesítményének javítása azáltal érhető el, hogy az ügyfélnek hányszor kell új hozzáférési jogkivonatot beszereznie.
A hozzáférési jogkivonat alapértelmezett élettartama változó. A hozzáférési jogkivonatok alapértelmezett élettartama 60–90 perc (átlagosan 75 perc) közötti véletlenszerű értékhez van rendelve. Az alapértelmezett élettartam a jogkivonatot kérő ügyfélalkalmazástól, illetve attól függően változik, hogy a bérlő engedélyezi-e a feltételes hozzáférést. További információ: Access-jogkivonat élettartama.
SAML-jogkivonatok
Az SAML-jogkivonatokat számos webalapú SaaS-alkalmazás használja, és a Microsoft Entra ID SAML2 protokollvégpontjával szerezhetők be. Ezeket az alkalmazás a WS-Federation használatával is felhasználja. A jogkivonat alapértelmezett élettartama 1 óra. Az alkalmazás szempontjából a jogkivonat érvényességi idejét a jogkivonat elemének <conditions …> NotOnOrAfter értéke határozza meg. A jogkivonat érvényességi időszakának lejárta után az ügyfélnek új hitelesítési kérést kell kezdeményeznie, amely gyakran interaktív bejelentkezés nélkül is teljesül a Egyszeri bejelentkezés (SSO) munkamenet-jogkivonatának eredményeként.
A NotOnOrAfter értéke a paraméterrel módosítható egy AccessTokenLifetimeTokenLifetimePolicy. Ha van ilyen, a szabályzatban konfigurált élettartamra lesz beállítva, valamint egy öt perces óraátállítási tényezőre.
Az elemben <SubjectConfirmationData> megadott tulajdonos-megerősítési NotOnOrAfter nem érinti a token élettartam-konfigurációját.
Azonosító jogkivonatok
Az azonosító jogkivonatokat a rendszer átadja a webhelyeknek és a natív ügyfeleknek. Az azonosító jogkivonatok profiladatokat tartalmaznak egy felhasználóról. Az azonosító jogkivonat a felhasználó és az ügyfél meghatározott kombinációjához van kötve. Az azonosító jogkivonatok érvényesnek minősülnek a lejáratukig. A webalkalmazások általában megegyeznek a felhasználó munkamenetének élettartamával az alkalmazásban a felhasználó számára kibocsátott azonosító jogkivonat élettartamával. Az azonosító jogkivonat élettartamának módosításával szabályozhatja, hogy a webalkalmazás milyen gyakran járjon le az alkalmazás munkamenetében, és hogy milyen gyakran kell a felhasználót újra hitelesíteni a Microsoft Identitásplatform (akár csendben, akár interaktívan).
Jogkivonatok élettartam-szabályzatai a frissítési jogkivonatokhoz és a munkamenet-jogkivonatokhoz
A frissítési jogkivonatokhoz és a munkamenet-jogkivonatokhoz nem állíthatók be a jogkivonatok élettartam-szabályzatai. A frissítési jogkivonatok élettartamával, időtúllépésével és visszavonásával kapcsolatos információkért tekintse meg a jogkivonatok frissítését ismertető témakört.
Fontos
2021. január 30-ától nem konfigurálható a frissítési és munkamenet-jogkivonat élettartama. A Microsoft Entra már nem tartja tiszteletben a frissítési és munkamenet-jogkivonat-konfigurációt a meglévő szabályzatokban. A meglévő jogkivonatok lejárta után kiadott új jogkivonatok most már az alapértelmezett konfigurációra vannak beállítva. A frissítési és munkamenet-jogkivonat-konfiguráció kivonása után is konfigurálhatja a hozzáférés, az SAML és az azonosító jogkivonat élettartamát.
A meglévő jogkivonat élettartama nem változik. A lejáratuk után a rendszer az alapértelmezett érték alapján bocsát ki egy új jogkivonatot.
Ha továbbra is meg kell határoznia azt az időtartamot, amely után a felhasználónak újra be kell jelentkeznie, konfigurálja a bejelentkezési gyakoriságot a feltételes hozzáférésben. A feltételes hozzáféréssel kapcsolatos további információkért olvassa el a hitelesítési munkamenet-kezelés konfigurálása feltételes hozzáféréssel című témakört.
Konfigurálható token élettartam-tulajdonságai
A jogkivonatok élettartam-szabályzata olyan szabályzatobjektum-típus, amely jogkivonatok élettartamára vonatkozó szabályokat tartalmaz. Ez a szabályzat szabályozza, hogy az erőforráshoz mennyi ideig legyenek érvényesek a hozzáférések, az SAML és az azonosító jogkivonatok. A jogkivonat élettartam-szabályzatai nem állíthatók be frissítési és munkamenet-jogkivonatokhoz. Ha nincs beállítva szabályzat, a rendszer kikényszeríti az alapértelmezett élettartam-értéket.
Hozzáférési, azonosító- és SAML2-jogkivonat élettartam-szabályzat tulajdonságai
A hozzáférési jogkivonat élettartamának csökkentése csökkenti annak a kockázatát, hogy egy rosszindulatú szereplő hosszabb ideig használja a hozzáférési jogkivonatot vagy az azonosító jogkivonatot. (Ezek a jogkivonatok nem vonhatók vissza.) A kompromisszum az, hogy a teljesítmény hátrányosan befolyásolja a teljesítményt, mivel a jogkivonatokat gyakrabban kell lecserélni.
Példa: Szabályzat létrehozása webes bejelentkezéshez.
A hozzáférés, az azonosító és az SAML2-jogkivonat konfigurációját a következő tulajdonságok és azok beállított értékei befolyásolják:
- Tulajdonság: Hozzáférési jogkivonat élettartama
- Szabályzattulajdonság sztringje: AccessTokenLifetime
- Hatással van: Hozzáférési jogkivonatok, azonosító jogkivonatok, SAML2-jogkivonatok
- Alapértelmezett:
- Hozzáférési jogkivonatok: a jogkivonatot kérő ügyfélalkalmazástól függően változnak. A CAE-kompatibilis munkameneteket tárgyaló folyamatos hozzáférés-kiértékelési (CAE) ügyfelek például hosszú élettartamot (akár 28 órát) fognak látni.
- Azonosító jogkivonatok, SAML2-tokenek: 1 óra
- Minimum: 10 perc
- Maximum: 1 nap
A frissítési és munkamenet-jogkivonat élettartam-szabályzatának tulajdonságai
A frissítési és munkamenet-jogkivonat konfigurációját a következő tulajdonságok és azok beállított értékei befolyásolják. A frissítési és munkamenet-jogkivonat-konfiguráció 2021. január 30-i kivonása után a Microsoft Entra-azonosító csak az alább ismertetett alapértelmezett értékeket fogja tiszteletben tartani. Ha úgy dönt, hogy nem használja a feltételes hozzáférést a bejelentkezési gyakoriság kezelésére, akkor a frissítési és munkamenet-jogkivonatok az adott napon alapértelmezett konfigurációra lesznek beállítva, és a továbbiakban nem módosíthatja az élettartamukat.
| Tulajdonság | Szabályzattulajdonság-sztring | Befolyásolja | Alapértelmezett |
|---|---|---|---|
| Jogkivonat maximális inaktív idejének frissítése | MaxInactiveTime | Jogkivonatok frissítése | 90 nap |
| Egytényezős frissítési jogkivonat maximális életkora | MaxAgeSingleFactor | Jogkivonatok frissítése (bármely felhasználó számára) | Visszavonásig |
| Többtényezős frissítési jogkivonat maximális életkora | MaxAgeMultiFactor | Jogkivonatok frissítése (bármely felhasználó számára) | Visszavonásig |
| Egytényezős munkamenet jogkivonatának maximális életkora | MaxAgeSessionSingleFactor | Munkamenet-jogkivonatok (állandó és nem állandó) | Visszavonásig |
| Multi-Factor Session Token Max Age | MaxAgeSessionMultiFactor | Munkamenet-jogkivonatok (állandó és nem állandó) | Visszavonásig |
A nem állandó munkamenet-jogkivonatok maximális inaktív ideje 24 óra, míg az állandó munkamenet-jogkivonatok maximális inaktív ideje 90 nap. Amikor az egyszeri bejelentkezés munkamenet-jogkivonatát az érvényességi időszakon belül használják, az érvényességi időtartam további 24 órával vagy 90 nappal meghosszabbítható. Ha az egyszeri bejelentkezés munkamenet-jogkivonatát nem használja a maximális inaktív időszakon belül, az lejártnak minősül, és a továbbiakban nem lesz elfogadva. Az alapértelmezett időszak módosításait a feltételes hozzáféréssel kell módosítani.
A PowerShell használatával megkeresheti azokat a szabályzatokat, amelyekre hatással lesz a kivonás. A PowerShell-parancsmagokkal megtekintheti a szervezetében létrehozott összes házirendet, vagy megkeresheti, hogy mely alkalmazások kapcsolódnak egy adott szabályzathoz.
Szabályzatok kiértékelése és rangsorolása
Létrehozhat, majd hozzárendelhet egy jogkivonat élettartam-szabályzatát egy adott alkalmazáshoz és a szervezethez. Egy adott alkalmazásra több szabályzat is vonatkozhat. A jogkivonat élettartam-szabályzata, amely életbe lép, az alábbi szabályokat követi:
- Ha egy szabályzat explicit módon van hozzárendelve a szervezethez, a rendszer kikényszeríti.
- Ha nincs explicit módon hozzárendelve szabályzat a szervezethez, az alkalmazáshoz rendelt szabályzat kényszerítve lesz.
- Ha nincs hozzárendelve házirend a szervezethez vagy az alkalmazásobjektumhoz, a rendszer kikényszeríti az alapértelmezett értékeket. (Lásd a táblázatot a következő helyen: Konfigurálható jogkivonat élettartam-tulajdonságai.)
A jogkivonat érvényességét a rendszer a jogkivonat használatakor értékeli ki. A hozzáférés alatt álló alkalmazás legmagasabb prioritású szabályzata lép érvénybe.
Az itt használt idősávok a C# TimeSpan objektum szerint vannak formázva – D.HH:MM:SS. Tehát 80 nap és 30 perc lenne 80.00:30:00. A kezdő D el lehet dobni, ha nulla, így 90 perc lenne 00:90:00.
REST API-referencia
Konfigurálhatja a jogkivonat élettartam-szabályzatait, és hozzárendelheti őket az alkalmazásokhoz a Microsoft Graph használatával. További információkért tekintse meg az tokenLifetimePolicy erőforrás típusát és a hozzá tartozó metódusokat.
Parancsmag-segédlet
Ezek a Microsoft Graph PowerShell SDK parancsmagjai.
Szabályzatok kezelése
A szabályzatok kezeléséhez az alábbi parancsokat használhatja.
| Parancsmag | Leírás |
|---|---|
| New-MgPolicyTokenLifetimePolicy | Új szabályzatot hoz létre. |
| Get-MgPolicyTokenLifetimePolicy | Lekéri az összes jogkivonat élettartamszabályzatát vagy egy megadott szabályzatot. |
| Update-MgPolicyTokenLifetimePolicy | Frissítések meglévő szabályzatot. |
| Remove-MgPolicyTokenLifetimePolicy | Törli a megadott szabályzatot. |
Tanúsítványhasználati házirend
Az alkalmazásszabályzatokhoz az alábbi parancsmagokat használhatja.
| Parancsmag | Leírás |
|---|---|
| New-MgApplicationTokenLifetimePolicyByRef | A megadott szabályzatot egy alkalmazáshoz csatolja. |
| Get-MgApplicationTokenLifetimePolicyByRef | Lekéri az alkalmazáshoz rendelt szabályzatokat. |
| Remove-MgApplicationTokenLifetimePolicyByRef | Eltávolít egy szabályzatot egy alkalmazásból. |
Következő lépések
További információkért olvassa el a tokenek élettartamának konfigurálására szolgáló példákat.