Durata dei token configurabili in Azure Active Directory (anteprima pubblica)Configurable token lifetimes in Azure Active Directory (Public Preview)

È possibile specificare la durata di un token rilasciato da Azure Active Directory (Azure AD).You can specify the lifetime of a token issued by Azure Active Directory (Azure AD). La durata dei token può essere impostata per tutte le app di un'organizzazione, per un'applicazione multi-tenant (più organizzazioni) o per un'entità servizio specifica in un'organizzazione.You can set token lifetimes for all apps in your organization, for a multi-tenant (multi-organization) application, or for a specific service principal in your organization.

Nota

Questa funzionalità è attualmente disponibile in anteprima pubblica.This capability currently is in Public Preview. Potrebbe essere necessario ripristinare o rimuovere eventuali modifiche.Be prepared to revert or remove any changes. La funzionalità è disponibile in tutte le sottoscrizioni di Azure Active Directory durante l'anteprima pubblica.The feature is available in any Azure Active Directory subscription during Public Preview. Tuttavia, quando la funzionalità sarà disponibile a livello generale, alcuni aspetti potrebbero richiedere una sottoscrizione di Azure Active Directory Premium.However, when the feature becomes generally available, some aspects of the feature might require an Azure Active Directory Premium subscription.

In Azure AD, un oggetto criteri rappresenta un set di regole applicate a singole applicazioni o a tutte le applicazioni di un'organizzazione.In Azure AD, a policy object represents a set of rules that are enforced on individual applications or on all applications in an organization. Ogni tipo di criteri ha una struttura univoca con un set di proprietà che vengono applicate agli oggetti a cui sono assegnate.Each policy type has a unique structure, with a set of properties that are applied to objects to which they are assigned.

È possibile designare un oggetto criteri come predefinito per l'organizzazione.You can designate a policy as the default policy for your organization. I criteri predefiniti vengono applicati a tutte le applicazioni all'interno dell'organizzazione, fino a quando non vengono sostituiti da criteri con priorità più alta.The policy is applied to any application in the organization, as long as it is not overridden by a policy with a higher priority. È anche possibile assegnare criteri ad applicazioni specifiche.You also can assign a policy to specific applications. L'ordine di priorità varia in base al tipo di criteri.The order of priority varies by policy type.

Tipi di tokenToken types

È possibile impostare i criteri di durata dei token per i token di aggiornamento, i token di accesso, i token di sessione e i token ID.You can set token lifetime policies for refresh tokens, access tokens, session tokens, and ID tokens.

Token di accessoAccess tokens

I client usano i token di accesso per accedere a una risorsa protetta.Clients use access tokens to access a protected resource. I token di accesso possono essere usati solo per una combinazione specifica di utente, client e risorsa.An access token can be used only for a specific combination of user, client, and resource. Non è possibile revocare i token di accesso, che rimangono validi fino alla scadenza.Access tokens cannot be revoked and are valid until their expiry. Un attore malintenzionato può usare un eventuale token di accesso ottenuto per la sua intera durata.A malicious actor that has obtained an access token can use it for extent of its lifetime. Regolare la durata dei token di accesso significa trovare un compromesso tra il miglioramento delle prestazioni di sistema e l'aumento dell'intervallo di tempo durante il quale il client conserva l'accesso dopo che l'account dell'utente è stato disabilitato.Adjusting the lifetime of an access token is a trade-off between improving system performance and increasing the amount of time that the client retains access after the user’s account is disabled. Il miglioramento delle prestazioni di sistema si ottiene riducendo il numero delle volte in cui un client deve acquisire un token di accesso aggiornato.Improved system performance is achieved by reducing the number of times a client needs to acquire a fresh access token.

Token di aggiornamentoRefresh tokens

Quando un client acquisisce un token di accesso per accedere a una risorsa protetta, riceve sia un token di aggiornamento che un token di accesso.When a client acquires an access token to access a protected resource, the client receives both a refresh token and an access token. Il token di aggiornamento consente di ottenere nuove coppie di token di accesso/aggiornamento alla scadenza del token di accesso attuale.The refresh token is used to obtain new access/refresh token pairs when the current access token expires. Il token di aggiornamento è associato a una combinazione di utente e clientA refresh token is bound to a combination of user and client. e può essere revocato. La validità del token di aggiornamento viene quindi controllata ogni volta che viene usato.A refresh token can be revoked, and the token's validity is checked every time the token is used.

È importante distinguere tra client riservati e client pubblici.It's important to make a distinction between confidential clients and public clients. Per altre informazioni sui diversi tipi di client, vedere la specifica RFC 6749.For more information about different types of clients, see RFC 6749.

Durata dei token con token di aggiornamento per client riservatiToken lifetimes with confidential client refresh tokens

I client riservati sono applicazioni che possono archiviare in modo sicuro una password client, ovvero un segreto,Confidential clients are applications that can securely store a client password (secret). e possono dimostrare che le richieste provengono dall'applicazione client e non da un attore malintenzionato.They can prove that requests are coming from the client application and not from a malicious actor. Un'app Web, ad esempio, è un client riservato perché può archiviare un segreto client nel server WebFor example, a web app is a confidential client because it can store a client secret on the web server. e non viene esposto.It is not exposed. I token di aggiornamento rilasciati per questi flussi più sicuri hanno una durata until-revoked, che non può essere modificata tramite i criteri e non può essere revocata con reimpostazioni di password volontarie.Because these flows are more secure, the default lifetimes of refresh tokens issued to these flows is until-revoked, cannot be changed by using policy, and will not be revoked on voluntary password resets.

Durata dei token con token di aggiornamento per client pubbliciToken lifetimes with public client refresh tokens

I client pubblici non possono archiviare in modo sicuro una password client, ovvero un segreto.Public clients cannot securely store a client password (secret). Un'app iOS o Android, ad esempio, non può offuscare un segreto dal proprietario della risorsa e per questo è considerata un client pubblico.For example, an iOS/Android app cannot obfuscate a secret from the resource owner, so it is considered a public client. È possibile impostare criteri sulle risorse per evitare che i token di aggiornamento di client pubblici precedenti a un periodo specificato ottengano una nuova coppia di token di accesso/aggiornamento.You can set policies on resources to prevent refresh tokens from public clients older than a specified period from obtaining a new access/refresh token pair. A tale scopo, usare la proprietà Tempo inattività massimo token di aggiornamento. È anche possibile usare i criteri per impostare un intervallo di tempo oltre il quale i token di aggiornamento non vengono più accettati.(To do this, use the Refresh Token Max Inactive Time property.) You also can use policies to set a period beyond which the refresh tokens are no longer accepted. A tale scopo, usare la proprietà Validità massima del token di aggiornamento. È possibile regolare la durata dei token di aggiornamento per controllare quando e con quale frequenza viene richiesto all'utente di immettere di nuovo le credenziali durante l'uso di un'applicazione client pubblica, anziché rieseguirne automaticamente l'autenticazione.(To do this, use the Refresh Token Max Age property.) You can adjust the lifetime of a refresh token to control when and how often the user is required to reenter credentials, instead of being silently reauthenticated, when using a public client application.

Token IDID tokens

I token ID vengono passati a siti Web e client nativiID tokens are passed to websites and native clients. e contengono informazioni relative al profilo di un utente.ID tokens contain profile information about a user. Ogni token ID è associato a una combinazione specifica di utente e clientAn ID token is bound to a specific combination of user and client. ed è considerato valido fino alla relativa scadenza.ID tokens are considered valid until their expiry. La durata della sessione di un utente in un'applicazione Web corrisponde in genere alla durata del token ID rilasciato per l'utente.Usually, a web application matches a user’s session lifetime in the application to the lifetime of the ID token issued for the user. È possibile regolare la durata del token ID per controllare con quale frequenza si verifica la scadenza di una sessione in un'applicazione Web ed è necessario rieseguire l'autenticazione dell'utente con Azure AD, in modo automatico o interattivo.You can adjust the lifetime of an ID token to control how often the web application expires the application session, and how often it requires the user to be reauthenticated with Azure AD (either silently or interactively).

Token di sessione Single Sign-OnSingle sign-on session tokens

Quando un utente esegue l'autenticazione con Azure AD, viene stabilita una sessione Single Sign-On (SSO) con Azure AD e il browser dell'utente.When a user authenticates with Azure AD, a single sign-on session (SSO) is established with the user’s browser and Azure AD. Questa sessione è rappresentata dal token di sessione SSO, sotto forma di cookie.The SSO token, in the form of a cookie, represents this session. Si noti che il token di sessione SSO non è associato a un'applicazione client o a una risorsa specifica.Note that the SSO session token is not bound to a specific resource/client application. I token di sessione SSO possono essere revocati e la relativa validità viene verificata ogni volta che vengono usati.SSO session tokens can be revoked, and their validity is checked every time they are used.

Azure AD usa due tipi di token di sessione SSO, ovvero permanenti e non permanenti.Azure AD uses two kinds of SSO session tokens: persistent and nonpersistent. I token di sessione permanenti vengono archiviati dal browser come cookie permanenti.Persistent session tokens are stored as persistent cookies by the browser. I token di sessione non permanenti vengono archiviati come cookie di sessioneNonpersistent session tokens are stored as session cookies. e vengono eliminati alla chiusura del browser. In genere viene archiviato un token di sessione non permanente.(Session cookies are destroyed when the browser is closed.) Usually, a nonpersistent session token is stored. Ma quando durante l'autenticazione l'utente seleziona la casella di controllo Mantieni l'accesso, viene archiviato un token di sessione permanente.But, when the user selects the Keep me signed in check box during authentication, a persistent session token is stored.

I token di sessione non permanenti hanno una durata di 24 ore,Nonpersistent session tokens have a lifetime of 24 hours. mentre i token permanenti hanno una durata di 180 giorni.Persistent tokens have a lifetime of 180 days. Ogni volta che un token di sessione SSO viene usato entro il relativo periodo di validità, tale periodo viene esteso per altre 24 ore o altri 180 giorni, a seconda del tipo di token.Any time an SSO session token is used within its validity period, the validity period is extended another 24 hours or 180 days, depending on the token type. Se un token di sessione SSO non viene usato entro il relativo periodo di validità, è considerato scaduto e non viene più accettato.If an SSO session token is not used within its validity period, it is considered expired and is no longer accepted.

È possibile usare criteri per impostare il periodo di tempo dopo il rilascio del primo token di sessione oltre il quale tale token non viene più accettato.You can use a policy to set the time after the first session token was issued beyond which the session token is no longer accepted. A tale scopo, usare la proprietà Validità massima del token di sessione. È possibile regolare la durata dei token di sessione per controllare quando e con quale frequenza viene richiesto all'utente di immettere di nuovo le credenziali durante l'uso di un'applicazione Web, anziché eseguirne automaticamente l'autenticazione.(To do this, use the Session Token Max Age property.) You can adjust the lifetime of a session token to control when and how often a user is required to reenter credentials, instead of being silently authenticated, when using a web application.

Proprietà dei criteri per la durata dei tokenToken lifetime policy properties

I criteri per la durata dei token rappresentano un tipo di oggetto criteri contenente le regole di durata dei token.A token lifetime policy is a type of policy object that contains token lifetime rules. Usare le proprietà dei criteri per controllare la durata di token specifici.Use the properties of the policy to control specified token lifetimes. Se non si impostano criteri, il valore di durata predefinito viene applicato dal sistema.If no policy is set, the system enforces the default lifetime value.

Proprietà configurabili per la durata dei tokenConfigurable token lifetime properties

ProprietàProperty Stringa proprietà criteriPolicy property string ImpattoAffects DefaultDefault MinimaMinimum MassimaMaximum
Durata dei token di accessoAccess Token Lifetime AccessTokenLifetimeAccessTokenLifetime Token di accesso, token ID, token SAML2Access tokens, ID tokens, SAML2 tokens 1 ora1 hour 10 minuti10 minutes 1 giorno1 day
Tempo inattività massimo token di aggiornamentoRefresh Token Max Inactive Time MaxInactiveTimeMaxInactiveTime Token di aggiornamentoRefresh tokens 14 giorni14 days 10 minuti10 minutes 90 giorni90 days
Validità massima token di aggiornamento a fattore singoloSingle-Factor Refresh Token Max Age MaxAgeSingleFactorMaxAgeSingleFactor Token di aggiornamento (per tutti gli utenti)Refresh tokens (for any users) Fino a revocaUntil-revoked 10 minuti10 minutes Fino alla revoca1Until-revoked1
Validità massima token di aggiornamento a più fattoriMulti-Factor Refresh Token Max Age MaxAgeMultiFactorMaxAgeMultiFactor Token di aggiornamento (per tutti gli utenti)Refresh tokens (for any users) Fino a revocaUntil-revoked 10 minuti10 minutes Fino alla revoca1Until-revoked1
Validità massima token di sessione a fattore singoloSingle-Factor Session Token Max Age MaxAgeSessionSingleFactor2MaxAgeSessionSingleFactor2 Token di sessione (permanenti e non permanenti)Session tokens (persistent and nonpersistent) Fino a revocaUntil-revoked 10 minuti10 minutes Fino alla revoca1Until-revoked1
Validità massima token di sessione a più fattoriMulti-Factor Session Token Max Age MaxAgeSessionMultiFactor3MaxAgeSessionMultiFactor3 Token di sessione (permanenti e non permanenti)Session tokens (persistent and nonpersistent) Fino a revocaUntil-revoked 10 minuti10 minutes Fino alla revoca1Until-revoked1
  • 1 La durata esplicita massima che è possibile impostare per questi attributi è 365 giorni.1365 days is the maximum explicit length that can be set for these attributes.
  • 2 Se MaxAgeSessionSingleFactor non è impostato, questo valore assume il valore di MaxAgeSingleFactor.2If MaxAgeSessionSingleFactor is not set, this value takes the MaxAgeSingleFactor value. Se nessuno dei due parametri è impostato, la proprietà assume il valore predefinito, vale a dire fino alla revoca.If neither parameter is set, the property takes the default value (until-revoked).
  • 3 Se MaxAgeSessionMultiFactor non è impostato, questo valore assume il valore di MaxAgeMultiFactor.3If MaxAgeSessionMultiFactor is not set, this value takes the MaxAgeMultiFactor value. Se nessuno dei due parametri è impostato, la proprietà assume il valore predefinito, vale a dire fino alla revoca.If neither parameter is set, the property takes the default value (until-revoked).

EccezioniExceptions

ProprietàProperty ImpattoAffects DefaultDefault
Validità massima dei token di aggiornamento (rilasciati a utenti federati con informazioni sulla revoca insufficienti1)Refresh Token Max Age (issued for federated users who have insufficient revocation information1) Token di aggiornamento (rilasciati a utenti federati con informazioni sulla revoca insufficienti1)Refresh tokens (issued for federated users who have insufficient revocation information1) 12 ore12 hours
Tempo inattività massimo token di aggiornamento (rilasciata a client riservati)Refresh Token Max Inactive Time (issued for confidential clients) Token di aggiornamento (rilasciati a client riservati)Refresh tokens (issued for confidential clients) 90 giorni90 days
Validità massima token di aggiornamento (rilasciata a client riservati)Refresh Token Max Age (issued for confidential clients) Token di aggiornamento (rilasciati a client riservati)Refresh tokens (issued for confidential clients) Fino a revocaUntil-revoked
  • 1Gli utenti federati con informazioni di revoca insufficienti comprendono tutti gli utenti che non dispongono dell'attributo "LastPasswordChangeTimestamp" sincronizzato.1Federated users who have insufficient revocation information include any users who do not have the "LastPasswordChangeTimestamp" attribute synced. Questi utenti hanno una validità massima breve perché AAD non è in grado di verificare in quale momento revocare i token che sono collegati a una credenziale precedente (ad esempio una password che è stata modificata) e devono eseguire più spesso nuove verifiche per garantire che l'utente e i token associati siano ancora attivi.These users are given this short Max Age because AAD is unable to verify when to revoke tokens that are tied to an old credential (such as a password that has been changed) and must check back in more frequently to ensure that the user and associated tokens are still in good standing. Per migliorare questa esperienza, gli amministratori del tenant devono assicurare che la sincronizzazione dell'attributo "LastPasswordChangeTimestamp" sia in corso (può essere impostata sull'oggetto utente tramite Powershell o AADSync).To improve this experience, tenant admins must ensure that they are syncing the “LastPasswordChangeTimestamp” attribute (this can be set on the user object using Powershell or through AADSync).

Definizione della priorità e valutazione dei criteriPolicy evaluation and prioritization

È possibile creare e quindi assegnare criteri per la durata dei token a un'applicazione specifica, all'organizzazione e alle entità servizio.You can create and then assign a token lifetime policy to a specific application, to your organization, and to service principals. A un'applicazione specifica si possono applicare più criteri.Multiple policies might apply to a specific application. Di seguito sono riportate le regole su cui si basano i criteri per la durata dei token validi:The token lifetime policy that takes effect follows these rules:

  • Se i criteri sono assegnati in modo esplicito all'entità servizio, vengono applicati.If a policy is explicitly assigned to the service principal, it is enforced.
  • Se all'entità servizio non sono assegnati criteri in modo esplicito, vengono applicati i criteri assegnati in modo esplicito all'elemento organizzazione padre dell'entità servizio.If no policy is explicitly assigned to the service principal, a policy explicitly assigned to the parent organization of the service principal is enforced.
  • Se all'entità servizio o all'organizzazione non sono assegnati criteri in modo esplicito, vengono applicati i criteri assegnati all'applicazione.If no policy is explicitly assigned to the service principal or to the organization, the policy assigned to the application is enforced.
  • Se all'entità servizio, all'organizzazione o all'oggetto applicazione non sono stati assegnati criteri, vengono applicati i valori predefiniti.If no policy has been assigned to the service principal, the organization, or the application object, the default values is enforced. Vedere in proposito la tabella in Proprietà configurabili per la durata dei token.(See the table in Configurable token lifetime properties.)

Per altre informazioni sulla relazione tra oggetti applicazione e oggetti entità servizio, vedere Oggetti applicazione e oggetti entità servizio in Azure Active Directory.For more information about the relationship between application objects and service principal objects, see Application and service principal objects in Azure Active Directory.

La validità di un token viene valutata quando questo viene usato.A token’s validity is evaluated at the time the token is used. Vengono applicati i criteri con la priorità più alta per l'applicazione a cui si accede.The policy with the highest priority on the application that is being accessed takes effect.

Nota

Di seguito è riportato uno scenario di esempio.Here's an example scenario.

Un utente vuole accedere a due applicazioni Web: l'applicazione Web A e l'applicazione Web B.A user wants to access two web applications: Web Application A and Web Application B.

Fattori:Factors:

  • Entrambe le applicazioni Web si trovano nello stesso elemento organizzazione padre.Both web applications are in the same parent organization.
  • I criteri per la durata dei token 1 con una validità massima del token di sessione di otto ore vengono impostati come valore predefinito per l'elemento organizzazione padre.Token Lifetime Policy 1 with a Session Token Max Age of eight hours is set as the parent organization’s default.
  • L'applicazione Web A è di tipo normale e non è collegata a criteri.Web Application A is a regular-use web application and isn’t linked to any policies.
  • L'applicazione Web B viene usata per processi riservati.Web Application B is used for highly sensitive processes. La relativa entità servizio è collegata ai criteri per la durata dei token 2, che hanno una validità massima del token di sessione di 30 minuti.Its service principal is linked to Token Lifetime Policy 2, which has a Session Token Max Age of 30 minutes.

Alle 12.00 l'utente avvia una nuova sessione del browser e tenta di accedere all'applicazione Web A. L'utente viene reindirizzato ad Azure AD a cui dovrà accedere.At 12:00 PM, the user starts a new browser session and tries to access Web Application A. The user is redirected to Azure AD and is asked to sign in. Nel browser viene creato un cookie con un token di sessione.This creates a cookie that has a session token in the browser. L'utente viene di nuovo reindirizzato all'applicazione Web A con un token ID che gli consente di accedere all'applicazione.The user is redirected back to Web Application A with an ID token that allows the user to access the application.

Alle 12.15 l'utente tenta di accedere all'applicazione Web B. Il browser lo reindirizza ad Azure AD che rileva il cookie di sessione.At 12:15 PM, the user tries to access Web Application B. The browser redirects to Azure AD, which detects the session cookie. L'entità servizio dell'applicazione Web B è collegata ai criteri per la durata dei token 2, ma è anche parte dell'elemento organizzazione padre associato ai criteri per la durata dei token 1 predefiniti.Web Application B’s service principal is linked to Token Lifetime Policy 2, but it's also part of the parent organization, with default Token Lifetime Policy 1. Vengono applicati i criteri per la durata dei token 2 perché i criteri collegati alle entità servizio hanno una priorità maggiore rispetto a quelli predefiniti dell'organizzazione.Token Lifetime Policy 2 takes effect because policies linked to service principals have a higher priority than organization default policies. Il token di sessione è stato rilasciato negli ultimi 30 minuti, quindi è considerato valido.The session token was originally issued within the last 30 minutes, so it is considered valid. L'utente viene di nuovo reindirizzato all'applicazione Web B con un token ID che consente l'accesso.The user is redirected back to Web Application B with an ID token that grants them access.

Alle 13.00 l'utente tenta di accedere all'applicazione Web A e viene reindirizzato ad Azure AD.At 1:00 PM, the user tries to access Web Application A. The user is redirected to Azure AD. L'applicazione Web A non è collegata a criteri, ma si trova in un'organizzazione con criteri per la durata dei token 1 predefiniti. Vengono quindi applicati tali criteri.Web Application A is not linked to any policies, but because it is in an organization with default Token Lifetime Policy 1, that policy takes effect. Viene rilevato il cookie di sessione rilasciato nelle ultime otto ore.The session cookie that was originally issued within the last eight hours is detected. L'utente viene reindirizzato automaticamente all'applicazione Web A con un nuovo token ID.The user is silently redirected back to Web Application A with a new ID token. Non è necessario che l'utente esegua l'autenticazione.The user is not required to authenticate.

Immediatamente dopo, l'utente prova ad accedere all'applicazione Web B e viene reindirizzato ad Azure AD.Immediately afterward, the user tries to access Web Application B. The user is redirected to Azure AD. Come prima, vengono applicati i criteri per la durata dei token 2.As before, Token Lifetime Policy 2 takes effect. Dato che il token è stato rilasciato da oltre 30 minuti, all'utente viene richiesto di immettere nuovamente le credenziali di accesso.Because the token was issued more than 30 minutes ago, the user is prompted to reenter their sign-in credentials. Vengono rilasciati un nuovo token di sessione e un nuovo token ID.A brand-new session token and ID token are issued. L'utente può quindi accedere all'applicazione Web B.The user can then access Web Application B.

Dettagli sulla proprietà dei criteri configurabiliConfigurable policy property details

Durata dei token di accessoAccess Token Lifetime

Stringa: AccessTokenLifetimeString: AccessTokenLifetime

Impatto: token di accesso, token IDAffects: Access tokens, ID tokens

Riepilogo: questo tipo di criteri controlla per quanto tempo i token di accesso e ID della risorsa sono considerati validi.Summary: This policy controls how long access and ID tokens for this resource are considered valid. Riducendo la proprietà Durata dei token di accesso è possibile ridurre il rischio che un token di accesso o un token ID vengano usati da un attore malintenzionato per un lungo periodo di tempo.Reducing the Access Token Lifetime property mitigates the risk of an access token or ID token being used by a malicious actor for an extended period of time. Questi token non possono essere revocati. Questo però influisce negativamente sulle prestazioni, perché è necessario sostituire i token più spesso.(These tokens cannot be revoked.) The trade-off is that performance is adversely affected, because the tokens have to be replaced more often.

Tempo inattività massimo token di aggiornamentoRefresh Token Max Inactive Time

Stringa: MaxInactiveTimeString: MaxInactiveTime

Impatto: token di aggiornamentoAffects: Refresh tokens

Riepilogo: questo tipo di criteri controlla dopo quanto tempo dall'emissione un token di aggiornamento non potrà più essere usato da un client per il recupero di una nuova coppia di token di accesso/aggiornamento quando tenterà di accedere alla risorsa.Summary: This policy controls how old a refresh token can be before a client can no longer use it to retrieve a new access/refresh token pair when attempting to access this resource. Dal momento che quando viene usato un token di aggiornamento ne viene in genere restituito uno nuovo, questi criteri impediscono l'accesso se il client prova ad accedere a qualsiasi risorsa con il token di aggiornamento corrente durante il periodo di tempo specificato.Because a new refresh token usually is returned when a refresh token is used, this policy prevents access if the client tries to access any resource by using the current refresh token during the specified period of time.

Questi criteri impongono agli utenti che non hanno svolto attività sul client nel tempo specificato di eseguire di nuovo l'autenticazione per recuperare un nuovo token di aggiornamento.This policy forces users who have not been active on their client to reauthenticate to retrieve a new refresh token.

La proprietà Tempo inattività massimo token di aggiornamento deve essere impostata su un valore inferiore rispetto alle proprietà Validità massima token a fattore singolo e Validità massima token di aggiornamento a più fattori.The Refresh Token Max Inactive Time property must be set to a lower value than the Single-Factor Token Max Age and the Multi-Factor Refresh Token Max Age properties.

Validità massima token di aggiornamento a fattore singoloSingle-Factor Refresh Token Max Age

String: MaxAgeSingleFactorString: MaxAgeSingleFactor

Impatto: token di aggiornamentoAffects: Refresh tokens

Riepilogo: questo tipo di criteri controlla per quanto tempo un utente può usare un token di aggiornamento per ottenere una nuova coppia di token di accesso/aggiornamento dopo l'ultima autenticazione a fattore singolo.Summary: This policy controls how long a user can use a refresh token to get a new access/refresh token pair after they last authenticated successfully by using only a single factor. Dopo aver eseguito l'autenticazione e aver ricevuto un nuovo token di aggiornamento, l'utente può usare il flusso del token di aggiornamento per il periodo di tempo specificato.After a user authenticates and receives a new refresh token, the user can use the refresh token flow for the specified period of time. Questo purché il token di aggiornamento corrente non venga revocato e non rimanga inutilizzato oltre il tempo di inattività. A questo punto, l'utente deve eseguire di nuovo l'autenticazione per ricevere un nuovo token di aggiornamento.(This is true as long as the current refresh token is not revoked, and it is not left unused for longer than the inactive time.) At that point, the user is forced to reauthenticate to receive a new refresh token.

Riducendo la validità massima, gli utenti devono eseguire l'autenticazione più spesso.Reducing the max age forces users to authenticate more often. Dal momento che l'autenticazione a fattore singolo è considerata meno sicura dell'autenticazione a più fattori, è consigliabile impostare questa proprietà su un valore minore o uguale a quello della proprietà Validità massima token di aggiornamento a più fattori.Because single-factor authentication is considered less secure than multi-factor authentication, we recommend that you set this property to a value that is equal to or lesser than the Multi-Factor Refresh Token Max Age property.

Validità massima token di aggiornamento a più fattoriMulti-Factor Refresh Token Max Age

Strings: MaxAgeMultiFactorString: MaxAgeMultiFactor

Impatto: token di aggiornamentoAffects: Refresh tokens

Riepilogo: questo tipo di criteri controlla per quanto tempo un utente può usare un token di aggiornamento per ottenere una nuova coppia di token di accesso/aggiornamento dopo l'ultima autenticazione a più fattori.Summary: This policy controls how long a user can use a refresh token to get a new access/refresh token pair after they last authenticated successfully by using multiple factors. Dopo aver eseguito l'autenticazione e aver ricevuto un nuovo token di aggiornamento, l'utente può usare il flusso del token di aggiornamento per il periodo di tempo specificato.After a user authenticates and receives a new refresh token, the user can use the refresh token flow for the specified period of time. Questo purché il token di aggiornamento corrente non venga revocato e non rimanga inutilizzato oltre il tempo di inattività. A questo punto, gli utenti devono eseguire di nuovo l'autenticazione per ricevere un nuovo token di aggiornamento.(This is true as long as the current refresh token is not revoked, and it is not unused for longer than the inactive time.) At that point, users are forced to reauthenticate to receive a new refresh token.

Riducendo la validità massima, gli utenti devono eseguire l'autenticazione più spesso.Reducing the max age forces users to authenticate more often. Dal momento che l'autenticazione a fattore singolo è considerata meno sicura dell'autenticazione a più fattori, è consigliabile impostare questa proprietà su un valore maggiore o uguale a quello della proprietà Validità massima token di aggiornamento a fattore singolo.Because single-factor authentication is considered less secure than multi-factor authentication, we recommend that you set this property to a value that is equal to or greater than the Single-Factor Refresh Token Max Age property.

Validità massima token di sessione a fattore singoloSingle-Factor Session Token Max Age

Stringa MaxAgeSessionSingleFactorString: MaxAgeSessionSingleFactor

Impatto: token di sessione (permanenti e non permanenti)Affects: Session tokens (persistent and nonpersistent)

Riepilogo: questo tipo di criteri controlla per quanto tempo un utente può usare un token di sessione per ottenere un nuovo token ID e un nuovo token di sessione dopo l'ultima autenticazione a fattore singolo.Summary: This policy controls how long a user can use a session token to get a new ID and session token after they last authenticated successfully by using only a single factor. Dopo aver eseguito l'autenticazione e aver ricevuto un nuovo token di sessione, l'utente può usare il flusso del token di sessione per il periodo di tempo specificato.After a user authenticates and receives a new session token, the user can use the session token flow for the specified period of time. Questo purché il token di sessione corrente non venga revocato e non sia scaduto. Dopo il periodo di tempo specificato, l'utente deve eseguire di nuovo l'autenticazione per ricevere un nuovo token di sessione.(This is true as long as the current session token is not revoked and has not expired.) After the specified period of time, the user is forced to reauthenticate to receive a new session token.

Riducendo la validità massima, gli utenti devono eseguire l'autenticazione più spesso.Reducing the max age forces users to authenticate more often. Dal momento che l'autenticazione a fattore singolo è considerata meno sicura dell'autenticazione a più fattori, è consigliabile impostare questa proprietà su un valore minore o uguale a quello della proprietà Validità massima token di sessione a più fattori.Because single-factor authentication is considered less secure than multi-factor authentication, we recommend that you set this property to a value that is equal to or less than the Multi-Factor Session Token Max Age property.

Validità massima token di sessione a più fattoriMulti-Factor Session Token Max Age

Stringa: MaxAgeSessionMultiFactorString: MaxAgeSessionMultiFactor

Impatto: token di sessione (permanenti e non permanenti)Affects: Session tokens (persistent and nonpersistent)

Riepilogo: questo tipo di criteri controlla per quanto tempo un utente può usare un token di sessione per ottenere un nuovo token ID e un nuovo token di sessione dopo l'ultima autenticazione a più fattori.Summary: This policy controls how long a user can use a session token to get a new ID and session token after the last time they authenticated successfully by using multiple factors. Dopo aver eseguito l'autenticazione e aver ricevuto un nuovo token di sessione, l'utente può usare il flusso del token di sessione per il periodo di tempo specificato.After a user authenticates and receives a new session token, the user can use the session token flow for the specified period of time. Questo purché il token di sessione corrente non venga revocato e non sia scaduto. Dopo il periodo di tempo specificato, l'utente deve eseguire di nuovo l'autenticazione per ricevere un nuovo token di sessione.(This is true as long as the current session token is not revoked and has not expired.) After the specified period of time, the user is forced to reauthenticate to receive a new session token.

Riducendo la validità massima, gli utenti devono eseguire l'autenticazione più spesso.Reducing the max age forces users to authenticate more often. Dal momento che l'autenticazione a fattore singolo è considerata meno sicura dell'autenticazione a più fattori, è consigliabile impostare questa proprietà su un valore maggiore o uguale a quello della proprietà Validità massima token di sessione a fattore singolo.Because single-factor authentication is considered less secure than multi-factor authentication, we recommend that you set this property to a value that is equal to or greater than the Single-Factor Session Token Max Age property.

Criteri per la durata dei token di esempioExample token lifetime policies

In Azure AD sono disponibili diversi scenari che permettono di creare e gestire la durata dei token per le app, le entità servizio e l'intera organizzazione.Many scenarios are possible in Azure AD when you can create and manage token lifetimes for apps, service principals, and your overall organization. Questa sezione illustra alcuni scenari comuni relativi ai criteri che consentono di definire nuove regole per:In this section, we walk through a few common policy scenarios that can help you impose new rules for:

  • Durata del tokenToken Lifetime
  • Tempo di inattività massimo del tokenToken Max Inactive Time
  • Validità massima del tokenToken Max Age

Gli esempi illustrano come:In the examples, you can learn how to:

  • Gestire i criteri predefiniti di un'organizzazioneManage an organization's default policy
  • Creare criteri per l'accesso WebCreate a policy for web sign-in
  • Creare criteri per un'app nativa che chiama un'API WebCreate a policy for a native app that calls a web API
  • Gestire criteri avanzatiManage an advanced policy

PrerequisitiPrerequisites

Gli esempi seguenti mostrano come creare, aggiornare, collegare ed eliminare criteri per le app, le entità servizio e l'intera organizzazione.In the following examples, you create, update, link, and delete policies for apps, service principals, and your overall organization. Se non si ha familiarità con Azure AD, è consigliabile vedere come ottenere un tenant di Azure AD prima di procedere con questi esempi.If you are new to Azure AD, we recommend that you learn about how to get an Azure AD tenant before you proceed with these examples.

Per iniziare, seguire questa procedura:To get started, do the following steps:

  1. Scaricare l'ultima versione di anteprima del modulo Azure AD PowerShell.Download the latest Azure AD PowerShell Module Public Preview release.
  2. Eseguire il comando Connect per accedere all'account amministratore di Azure AD.Run the Connect command to sign in to your Azure AD admin account. Eseguire questo comando ogni volta che si avvia una nuova sessione.Run this command each time you start a new session.

    Connect-AzureAD -Confirm
    
  3. Per visualizzare tutti i criteri creati nell'organizzazione, eseguire questo comando.To see all policies that have been created in your organization, run the following command. Questo comando va usato dopo la maggior parte delle operazioni negli scenari indicato di seguitoRun this command after most operations in the following scenarios. L'esecuzione del comando consente anche di ottenere ** ** dei criteri.Running the command also helps you get the ** ** of your policies.

    Get-AzureADPolicy
    

Esempio: gestire i criteri predefiniti di un'organizzazioneExample: Manage an organization's default policy

In questo esempio vengono creati criteri che permettono agli utenti di eseguire l'accesso con una frequenza minore nell'intera organizzazione.In this example, you create a policy that lets your users sign in less frequently across your entire organization. A tale scopo, vengono creati criteri per la durata dei token di aggiornamento a fattore singolo che vengono applicati a tutta l'organizzazione.To do this, create a token lifetime policy for Single-Factor Refresh Tokens, which is applied across your organization. Tali criteri vengono applicati a ogni applicazione nell'organizzazione e a ogni entità servizio per cui ancora non sono impostati criteri.The policy is applied to every application in your organization, and to each service principal that doesn’t already have a policy set.

  1. Creare i criteri per la durata dei token.Create a token lifetime policy.

    1. Impostare il token di aggiornamento a fattore singolo in modo che sia valido fino alla revoca.Set the Single-Factor Refresh Token to "until-revoked." In questo modo il token non scade fino a quando non viene revocato l'accesso.The token doesn't expire until access is revoked. Creare la definizione dei criteri seguente:Create the following policy definition:

      @('{
          "TokenLifetimePolicy":
          {
              "Version":1,
              "MaxAgeSingleFactor":"until-revoked"
          }
      }')
      
    2. Per creare i criteri, eseguire questo comando:To create the policy, run the following command:

      New-AzureADPolicy -Definition @('{"TokenLifetimePolicy":{"Version":1, "MaxAgeSingleFactor":"until-revoked"}}') -DisplayName "OrganizationDefaultPolicyScenario" -IsOrganizationDefault $true -Type "TokenLifetimePolicy"
      
    3. Per visualizzare i nuovi criteri e ottenere il relativo ObjectId, eseguire questo comando:To see your new policy, and to get the policy's ObjectId, run the following command:

      Get-AzureADPolicy
      
  2. Aggiornare i criteri.Update the policy.

    Il primo criterio impostato in questo esempio potrebbe non essere rigoroso quanto richiesto dal servizio.You might decide that the first policy you set in this example is not as strict as your service requires. Per impostare il token di aggiornamento a fattore singolo in modo che scada tra due giorni, eseguire questo comando:To set your Single-Factor Refresh Token to expire in two days, run the following command:

    Set-AzureADPolicy -Id <ObjectId FROM GET COMMAND> -DisplayName "OrganizationDefaultPolicyUpdatedScenario" -Definition @('{"TokenLifetimePolicy":{"Version":1,"MaxAgeSingleFactor":"2.00:00:00"}}')
    

Esempio: creare criteri per l'accesso WebExample: Create a policy for web sign-in

In questo esempio vengono creati i criteri in base ai quali viene richiesto agli utenti di eseguire più spesso l'autenticazione nell'app Web.In this example, you create a policy that requires users to authenticate more frequently in your web app. Questi criteri consentono di impostare la durata dei token di accesso/ID e la validità massima di un token di sessione a più fattori per l'entità servizio dell'app Web.This policy sets the lifetime of the access/ID tokens and the max age of a multi-factor session token to the service principal of your web app.

  1. Creare i criteri per la durata dei token.Create a token lifetime policy.

    Questi criteri per l'accesso Web consentono di impostare su due ore la durata dei token di accesso/ID e la validità massima di un token di sessione a fattore singolo.This policy, for web sign-in, sets the access/ID token lifetime and the max single-factor session token age to two hours.

    1. Per creare i criteri, eseguire questo comando:To create the policy, run this command:

      New-AzureADPolicy -Definition @('{"TokenLifetimePolicy":{"Version":1,"AccessTokenLifetime":"02:00:00","MaxAgeSessionSingleFactor":"02:00:00"}}') -DisplayName "WebPolicyScenario" -IsOrganizationDefault $false -Type "TokenLifetimePolicy"
      
    2. Per visualizzare i nuovi criteri e ottenere il relativo ObjectId, eseguire questo comando:To see your new policy, and to get the policy ObjectId, run the following command:

      Get-AzureADPolicy
      
  2. Assegnare i criteri all'entità servizio.Assign the policy to your service principal. È necessario ottenere anche l'ObjectId dell'entità servizio.You also need to get the ObjectId of your service principal.

    1. Per visualizzare tutte le entità servizio dell'organizzazione, è possibile eseguire query in Microsoft Graph.To see all your organization's service principals, you can query Microsoft Graph. In alternativa, eseguire l'accesso con l'account Azure AD dallo strumento Graph Explorer di Azure AD.Or, in Azure AD Graph Explorer, sign in to your Azure AD account.

    2. Dopo aver ottenuto l'ObjectId dell'entità servizio, eseguire questo comando:When you have the ObjectId of your service principal, run the following command:

      Add-AzureADServicePrincipalPolicy -Id <ObjectId of the ServicePrincipal> -RefObjectId <ObjectId of the Policy>
      

Esempio: creare criteri per un'app nativa che chiama un'API WebExample: Create a policy for a native app that calls a web API

In questo esempio vengono creati i criteri in base ai quali viene richiesto agli utenti di eseguire l'autenticazione con minore frequenza.In this example, you create a policy that requires users to authenticate less frequently. Questi criteri prolungano anche l'intervallo di tempo di inattività dell'utente prima che sia necessario rieseguire l'autenticazione.The policy also lengthens the amount of time a user can be inactive before the user must reauthenticate. I criteri vengono applicati all'API web.The policy is applied to the web API. Quando l'app nativa richiede l'API Web come risorsa, vengono applicati questi criteri.When the native app requests the web API as a resource, this policy is applied.

  1. Creare i criteri per la durata dei token.Create a token lifetime policy.

    1. Per creare criteri rigidi per un'API Web, eseguire questo comando:To create a strict policy for a web API, run the following command:

      New-AzureADPolicy -Definition @('{"TokenLifetimePolicy":{"Version":1,"MaxInactiveTime":"30.00:00:00","MaxAgeMultiFactor":"until-revoked","MaxAgeSingleFactor":"180.00:00:00"}}') -DisplayName "WebApiDefaultPolicyScenario" -IsOrganizationDefault $false -Type "TokenLifetimePolicy"
      
    2. Per visualizzare i nuovi criteri e ottenere il relativo ObjectId, eseguire questo comando:To see your new policy, and to get the policy ObjectId, run the following command:

      Get-AzureADPolicy
      
  2. Assegnare i criteri all'API Web.Assign the policy to your web API. È necessario ottenere anche l'ObjectId dell'app.You also need to get the ObjectId of your application. Il modo migliore per trovare l'ObjectId dell'app è tramite il portale di Azure.The best way to find your app's ObjectId is to use the Azure portal.

    Dopo aver ottenuto l'ObjectId dell'app, eseguire questo comando:When you have the ObjectId of your app, run the following command:

     ```PowerShell
     Add-AzureADApplicationPolicy -Id <ObjectId of the Application> -RefObjectId <ObjectId of the Policy>
     ```
    

Esempio: gestire criteri avanzatiExample: Manage an advanced policy

In questo esempio vengono creati alcuni criteri per illustrare il funzionamento del sistema di priorità.In this example, you create a few policies, to learn how the priority system works. Viene illustrato anche come gestire più criteri applicati a vari oggetti.You also can learn how to manage multiple policies that are applied to several objects.

  1. Creare i criteri per la durata dei token.Create a token lifetime policy.

    1. Per creare i criteri predefiniti di un'organizzazione in base ai quali la durata dei token di aggiornamento a fattore singolo è impostata su 30 giorni, eseguire questo comando:To create an organization default policy that sets the Single-Factor Refresh Token lifetime to 30 days, run the following command:

      New-AzureADPolicy -Definition @('{"TokenLifetimePolicy":{"Version":1,"MaxAgeSingleFactor":"30.00:00:00"}}') -DisplayName "ComplexPolicyScenario" -IsOrganizationDefault $true -Type "TokenLifetimePolicy"
      
    2. Per visualizzare i nuovi criteri e ottenere il relativo ObjectId, eseguire questo comando:To see your new policy, and to get the policy's ObjectId, run the following command:

      Get-AzureADPolicy
      
  2. Assegnare i criteri a un'entità servizio.Assign the policy to a service principal.

    A questo punto sono disponibili criteri che si applicano all'intera organizzazione.Now, you have a policy that applies to the entire organization. Si supponga di voler conservare tali criteri della durata di 30 giorni per un'entità servizio specifica, impostando però i criteri predefiniti dell'organizzazione sul valore limite superiore, ovvero fino alla revoca.You might want to preserve this 30-day policy for a specific service principal, but change the organization default policy to the upper limit of "until-revoked."

    1. Per visualizzare tutte le entità servizio dell'organizzazione, è possibile eseguire query in Microsoft Graph.To see all your organization's service principals, you can query Microsoft Graph. In alternativa, eseguire l'accesso con l'account Azure AD dallo strumento Graph Explorer di Azure AD.Or, in Azure AD Graph Explorer, sign in by using your Azure AD account.

    2. Dopo aver ottenuto l'ObjectId dell'entità servizio, eseguire questo comando:When you have the ObjectId of your service principal, run the following command:

      ```PowerShell
      Add-AzureADServicePrincipalPolicy -Id <ObjectId of the ServicePrincipal> -RefObjectId <ObjectId of the Policy>
      ```
      
  3. Impostare il flag IsOrganizationDefault su false.Set the IsOrganizationDefault flag to false:

    Set-AzureADPolicy -Id <ObjectId of Policy> -DisplayName "ComplexPolicyScenario" -IsOrganizationDefault $false
    
  4. Creare nuovi criteri predefiniti dell'organizzazione.Create a new organization default policy:

    New-AzureADPolicy -Definition @('{"TokenLifetimePolicy":{"Version":1,"MaxAgeSingleFactor":"until-revoked"}}') -DisplayName "ComplexPolicyScenarioTwo" -IsOrganizationDefault $true -Type "TokenLifetimePolicy"
    

    I criteri originali sono ora collegati all'entità servizio e i nuovi criteri sono impostati come criteri predefiniti dell'organizzazione.You now have the original policy linked to your service principal, and the new policy is set as your organization default policy. È importante ricordare che i criteri applicati alle entità servizio hanno priorità rispetto a quelli predefiniti dell'organizzazione.It's important to remember that policies applied to service principals have priority over organization default policies.

Informazioni di riferimento sui cmdletCmdlet reference

Gestire i criteriManage policies

È possibile usare i cmdlet riportati di seguito per gestire i criteri.You can use the following cmdlets to manage policies.

New-AzureADPolicyNew-AzureADPolicy

Crea nuovi criteri.Creates a new policy.

New-AzureADPolicy -Definition <Array of Rules> -DisplayName <Name of Policy> -IsOrganizationDefault <boolean> -Type <Policy Type>
ParametriParameters DescrizioneDescription EsempioExample
‑Definition Matrice del codice JSON in formato stringa contenente tutte le regole dei criteri.Array of stringified JSON that contains all the policy's rules. -Definition @('{"TokenLifetimePolicy":{"Version":1,"MaxInactiveTime":"20:00:00"}}')
‑DisplayName Stringa relativa al nome dei criteri.String of the policy name. -DisplayName "MyTokenPolicy"
‑IsOrganizationDefault Se true, imposta i criteri come predefiniti dell'organizzazione.If true, sets the policy as the organization's default policy. Se false, non esegue alcuna operazione.If false, does nothing. -IsOrganizationDefault $true
‑Type Tipo di criteri.Type of policy. Per la durata dei token usare sempre "TokenLifetimePolicy".For token lifetimes, always use "TokenLifetimePolicy." -Type "TokenLifetimePolicy"
‑AlternativeIdentifier[Facoltativo]‑AlternativeIdentifier [Optional] Imposta un ID alternativo per i criteri.Sets an alternative ID for the policy. -AlternativeIdentifier "myAltId"


Get-AzureADPolicyGet-AzureADPolicy

Ottiene tutti i criteri di Azure AD o i criteri specificati.Gets all Azure AD policies or a specified policy.

Get-AzureADPolicy
ParametriParameters DescrizioneDescription EsempioExample
‑Id[Facoltativo]‑Id [Optional] ObjectId (Id) dei criteri da usare.ObjectId (Id) of the policy you want. -Id <ObjectId of Policy>


Get-AzureADPolicyAppliedObjectGet-AzureADPolicyAppliedObject

Ottiene tutte le app e le entità servizio collegate a criteri specifici.Gets all apps and service principals that are linked to a policy.

Get-AzureADPolicyAppliedObject -Id <ObjectId of Policy>
ParametriParameters DescrizioneDescription EsempioExample
‑Id ObjectId (Id) dei criteri da usare.ObjectId (Id) of the policy you want. -Id <ObjectId of Policy>


Set-AzureADPolicySet-AzureADPolicy

Aggiorna i criteri esistenti.Updates an existing policy.

Set-AzureADPolicy -Id <ObjectId of Policy> -DisplayName <string>
ParametriParameters DescrizioneDescription EsempioExample
‑Id ObjectId (Id) dei criteri da usare.ObjectId (Id) of the policy you want. -Id <ObjectId of Policy>
‑DisplayName Stringa relativa al nome dei criteri.String of the policy name. -DisplayName "MyTokenPolicy"
‑Definition[Facoltativo]‑Definition [Optional] Matrice del codice JSON in formato stringa contenente tutte le regole dei criteri.Array of stringified JSON that contains all the policy's rules. -Definition @('{"TokenLifetimePolicy":{"Version":1,"MaxInactiveTime":"20:00:00"}}')
‑IsOrganizationDefault[Facoltativo]‑IsOrganizationDefault [Optional] Se true, imposta i criteri come predefiniti dell'organizzazione.If true, sets the policy as the organization's default policy. Se false, non esegue alcuna operazione.If false, does nothing. -IsOrganizationDefault $true
‑Type[Facoltativo]‑Type [Optional] Tipo di criteri.Type of policy. Per la durata dei token usare sempre "TokenLifetimePolicy".For token lifetimes, always use "TokenLifetimePolicy." -Type "TokenLifetimePolicy"
‑AlternativeIdentifier[Facoltativo]‑AlternativeIdentifier [Optional] Imposta un ID alternativo per i criteri.Sets an alternative ID for the policy. -AlternativeIdentifier "myAltId"


Remove-AzureADPolicyRemove-AzureADPolicy

Elimina i criteri specificati.Deletes the specified policy.

 Remove-AzureADPolicy -Id <ObjectId of Policy>
ParametriParameters DescrizioneDescription EsempioExample
‑Id ObjectId (Id) dei criteri da usare.ObjectId (Id) of the policy you want. -Id <ObjectId of Policy>


Criteri dell'applicazioneApplication policies

È possibile usare i cmdlet riportati di seguito per i criteri dell'applicazione.You can use the following cmdlets for application policies.

Add-AzureADApplicationPolicyAdd-AzureADApplicationPolicy

Collega i criteri specificati a un'applicazione.Links the specified policy to an application.

Add-AzureADApplicationPolicy -Id <ObjectId of Application> -RefObjectId <ObjectId of Policy>
ParametriParameters DescrizioneDescription EsempioExample
‑Id ObjectId (Id) dell'applicazione.ObjectId (Id) of the application. -Id <ObjectId of Application>
‑RefObjectId ObjectId dei criteri.ObjectId of the policy. -RefObjectId <ObjectId of Policy>


Get-AzureADApplicationPolicyGet-AzureADApplicationPolicy

Ottiene i criteri assegnati a un'applicazione.Gets the policy that is assigned to an application.

Get-AzureADApplicationPolicy -Id <ObjectId of Application>
ParametriParameters DescrizioneDescription EsempioExample
‑Id ObjectId (Id) dell'applicazione.ObjectId (Id) of the application. -Id <ObjectId of Application>


Remove-AzureADApplicationPolicyRemove-AzureADApplicationPolicy

Rimuove i criteri da un'applicazione.Removes a policy from an application.

Remove-AzureADApplicationPolicy -Id <ObjectId of Application> -PolicyId <ObjectId of Policy>
ParametriParameters DescrizioneDescription EsempioExample
‑Id ObjectId (Id) dell'applicazione.ObjectId (Id) of the application. -Id <ObjectId of Application>
‑PolicyId ObjectId dei criteri.ObjectId of the policy. -PolicyId <ObjectId of Policy>


Criteri dell'entità servizioService principal policies

È possibile usare i cmdlet riportati di seguito per i criteri dell'entità servizio.You can use the following cmdlets for service principal policies.

Add-AzureADServicePrincipalPolicyAdd-AzureADServicePrincipalPolicy

Collega i criteri specificati a un'entità servizio.Links the specified policy to a service principal.

Add-AzureADServicePrincipalPolicy -Id <ObjectId of ServicePrincipal> -RefObjectId <ObjectId of Policy>
ParametriParameters DescrizioneDescription EsempioExample
‑Id ObjectId (Id) dell'applicazione.ObjectId (Id) of the application. -Id <ObjectId of Application>
‑RefObjectId ObjectId dei criteri.ObjectId of the policy. -RefObjectId <ObjectId of Policy>


Get-AzureADServicePrincipalPolicyGet-AzureADServicePrincipalPolicy

Ottiene i criteri collegati all'entità servizio specificata.Gets any policy linked to the specified service principal.

Get-AzureADServicePrincipalPolicy -Id <ObjectId of ServicePrincipal>
ParametriParameters DescrizioneDescription EsempioExample
‑Id ObjectId (Id) dell'applicazione.ObjectId (Id) of the application. -Id <ObjectId of Application>


Remove-AzureADServicePrincipalPolicyRemove-AzureADServicePrincipalPolicy

Rimuove i criteri dall'entità servizio specificata.Removes the policy from the specified service principal.

Remove-AzureADServicePrincipalPolicy -Id <ObjectId of ServicePrincipal>  -PolicyId <ObjectId of Policy>
ParametriParameters DescrizioneDescription EsempioExample
‑Id ObjectId (Id) dell'applicazione.ObjectId (Id) of the application. -Id <ObjectId of Application>
‑PolicyId ObjectId dei criteri.ObjectId of the policy. -PolicyId <ObjectId of Policy>