Azure Active Directory における構成可能なトークンの有効期間 (パブリック プレビュー)Configurable token lifetimes in Azure Active Directory (Public Preview)

Azure Active Directory (Azure AD) によって発行されたトークンの有効期間を指定できます。You can specify the lifetime of a token issued by Azure Active Directory (Azure AD). 組織のすべてのアプリ、マルチテナント (複数の組織) アプリケーション、または組織の特定のサービス プリンシパルに対して、トークンの有効期間を設定できます。You can set token lifetimes for all apps in your organization, for a multi-tenant (multi-organization) application, or for a specific service principal in your organization.

重要

プレビュー期間中にお客様のご意見を聞いた後、この機能を Azure Active Directory の条件付きアクセスの新機能に置き換えることを計画しています。After hearing from customers during the preview, we're planning to replace this functionality with a new feature in Azure Active Directory Conditional Access. 新しい機能が完了したら、通知期間後、最終的にこの機能は使用できなくなります。Once the new feature is complete, this functionality will eventually be deprecated after a notification period. 構成可能なトークンの有効期間ポリシーを使用する場合は、新しい条件付きアクセス機能が使用可能になった後に、そちらに切り替えられるように準備してください。If you use the Configurable Token Lifetime policy, be prepared to switch to the new Conditional Access feature once it's available.

Azure AD では、ポリシー オブジェクトは、組織の個々のアプリケーションまたはすべてのアプリケーションに適用される規則のセットを表します。In Azure AD, a policy object represents a set of rules that are enforced on individual applications or on all applications in an organization. それぞれのポリシーの種類は、割り当てられているオブジェクトに適用されるプロパティのセットを含む一意の構造体を持ちます。Each policy type has a unique structure, with a set of properties that are applied to objects to which they are assigned.

組織の既定のポリシーとして、ポリシーを指定できます。You can designate a policy as the default policy for your organization. ポリシーは、優先度が高いポリシーによってオーバーライドされない限り、組織内のすべてのアプリケーションに適用されます。The policy is applied to any application in the organization, as long as it is not overridden by a policy with a higher priority. ポリシーを特定のアプリケーションに割り当てることもできます。You also can assign a policy to specific applications. 優先順位の順序は、ポリシーの種類によって異なります。The order of priority varies by policy type.

注意

SharePoint Online では、構成可能なトークンの有効期間ポリシーをサポートしていません。Configurable token lifetime policy is not supported for SharePoint Online. PowerShell を使用してこのポリシーを作成することはできますが、SharePoint Online はこのポリシーを認識しません。Even though you have the ability to create this policy via PowerShell, SharePoint Online will not acknowledge this policy. アイドル状態のセッションのタイムアウトの構成に関する詳細については、SharePoint Online のブログを参照してください。Refer to the SharePoint Online blog to learn more about configuring idle session timeouts.

  • SharePoint Online のアクセス トークンの既定の有効期間は 1 時間です。The default lifetime for the SharePoint Online access token is 1 hour.
  • SharePoint Online の更新トークンの既定の最大非アクティブ時間は 90 日間です。The default max inactive time of the SharePoint Online refresh token is 90 days.

トークンの種類Token types

更新トークン、アクセス トークン、セッション トークン、および ID トークンにトークンの有効期間ポリシーを設定できます。You can set token lifetime policies for refresh tokens, access tokens, session tokens, and ID tokens.

アクセス トークンAccess tokens

クライアントは保護されたリソースにアクセスするためにアクセス トークンを使用します。Clients use access tokens to access a protected resource. アクセス トークンは、ユーザー、クライアント、およびリソースの特定の組み合わせに対してのみ使用できます。An access token can be used only for a specific combination of user, client, and resource. アクセス トークンは取り消すことはできず、有効期限まで有効です。Access tokens cannot be revoked and are valid until their expiry. 悪意のあるアクターがアクセス トークンを取得した場合は、その有効期間にわたって使用される可能性があります。A malicious actor that has obtained an access token can use it for extent of its lifetime. アクセス トークンの有効期間の調整は、システム パフォーマンスの向上と、ユーザーのアカウントが無効になった後にクライアントがアクセスを保持する時間の増加との間で、トレードオフとなります。Adjusting the lifetime of an access token is a trade-off between improving system performance and increasing the amount of time that the client retains access after the user’s account is disabled. システム パフォーマンスの向上は、クライアントが新しいアクセス トークンを取得しなければならない回数を減らすことで実現されます。Improved system performance is achieved by reducing the number of times a client needs to acquire a fresh access token. 既定値は 1 時間です。この場合、クライアントは 1 時間後に更新トークンを使用して、新しい更新トークンとアクセス トークンを (通常は自動で) 取得する必要があります。The default is 1 hour - after 1 hour, the client must use the refresh token to (usually silently) acquire a new refresh token and access token.

更新トークンRefresh tokens

クライアントは保護されたリソースにアクセスするためのアクセス トークンを取得するときに、更新トークンも受け取ります。When a client acquires an access token to access a protected resource, the client also receives a refresh token. 更新トークンを使用して、現在のアクセス トークンの有効期限が切れたときに、新しいアクセス トークンと更新トークンのペアを取得します。The refresh token is used to obtain new access/refresh token pairs when the current access token expires. 更新トークンは、ユーザーとクライアントの組み合わせにバインドされます。A refresh token is bound to a combination of user and client. 更新トークンはいつでも取り消すことができ、トークンが使用されるたびに、トークンの有効性がチェックされます。A refresh token can be revoked at any time, and the token's validity is checked every time the token is used.

Confidential クライアントとパブリック クライアントを区別することは重要です。更新トークンを使用できる時間に影響するためです。It's important to make a distinction between confidential clients and public clients, as this impacts how long refresh tokens can be used. さまざまな種類のクライアントの詳細については、RFC 6749 を参照してください。For more information about different types of clients, see RFC 6749.

Confidential クライアントの更新トークンの有効期間Token lifetimes with confidential client refresh tokens

Confidential クライアントは、クライアント パスワード (シークレット) を安全に格納できるアプリケーションです。Confidential clients are applications that can securely store a client password (secret). それらは、要求が悪意のあるアクターからではなく、セキュリティで保護されたクライアント アプリケーションから送信されていることを証明できます。They can prove that requests are coming from the secured client application and not from a malicious actor. たとえば、Web アプリは、Web サーバーにクライアント シークレットを格納できるため、Confidential クライアントです。For example, a web app is a confidential client because it can store a client secret on the web server. これは公開されません。It is not exposed. これらのフローは安全性をより高めているため、フローに対して発行される更新トークンの既定の有効期間は until-revoked で、ポリシーを使用して変更することはできず、任意にパスワードをリセットしても取り消されません。Because these flows are more secure, the default lifetimes of refresh tokens issued to these flows is until-revoked, cannot be changed by using policy, and will not be revoked on voluntary password resets.

パブリック クライアントの更新トークンの有効期間Token lifetimes with public client refresh tokens

パブリック クライアントは、クライアントのパスワード (シークレット) を安全に格納できません。Public clients cannot securely store a client password (secret). たとえば、iOS や Android アプリは、リソース所有者のシークレットを難読化できないため、パブリック クライアントとみなされます。For example, an iOS/Android app cannot obfuscate a secret from the resource owner, so it is considered a public client. リソースにポリシーを設定して、指定した期間よりも古いパブリック クライアントの更新トークンが、新しいアクセス トークンと更新トークン ペアを取得しないようにできますYou can set policies on resources to prevent refresh tokens from public clients older than a specified period from obtaining a new access/refresh token pair. (これを行うには、Refresh Token Max Inactive Time プロパティ (MaxInactiveTime) を使用します)。それを超えると更新トークンを受け付けなくなる期間を設定するポリシーを使用することもできます(To do this, use the Refresh Token Max Inactive Time property (MaxInactiveTime).) You also can use policies to set a period beyond which the refresh tokens are no longer accepted. (これを行うには、Refresh Token Max Age プロパティを使用します)。更新トークンの有効期間を調整して、パブリック クライアント アプリケーションの使用時に、ユーザーが自動的に再認証されるのではなく、資格情報を再入力する必要があるタイミングと頻度を制御できます。(To do this, use the Refresh Token Max Age property.) You can adjust the lifetime of a refresh token to control when and how often the user is required to reenter credentials, instead of being silently reauthenticated, when using a public client application.

ID トークンID tokens

ID トークンは、Web サイトとネイティブ クライアントに渡されます。ID tokens are passed to websites and native clients. ID トークンは、ユーザーに関するプロファイル情報を格納します。ID tokens contain profile information about a user. ID トークンは、ユーザーとクライアントの特定の組み合わせにバインドされます。An ID token is bound to a specific combination of user and client. ID トークンは、それらの有効期限まで有効とみなされます。ID tokens are considered valid until their expiry. 通常、Web アプリケーションは、アプリケーションにおけるユーザーのセッションの有効期間と、ユーザーに対して発行された ID トークンの有効期間を照合します。Usually, a web application matches a user’s session lifetime in the application to the lifetime of the ID token issued for the user. ID トークンの有効期間を調整して、Web アプリケーションがアプリケーション セッションを期限切れにする頻度、および Azure AD でユーザーを再認証する (自動的にまたは対話形式で) ように要求する頻度を制御できます。You can adjust the lifetime of an ID token to control how often the web application expires the application session, and how often it requires the user to be reauthenticated with Azure AD (either silently or interactively).

シングル サインオン セッション トークンSingle sign-on session tokens

ユーザーが Azure AD で認証すると、ユーザーのブラウザーと Azure AD でシングル サインオン (SSO) セッションが確立されます。When a user authenticates with Azure AD, a single sign-on session (SSO) is established with the user’s browser and Azure AD. SSO トークンは、Cookie の形式でこのセッションを表します。The SSO token, in the form of a cookie, represents this session. SSO セッション トークンは特定のリソース/クライアント アプリケーションにバインドされていないことに注意してください。Note that the SSO session token is not bound to a specific resource/client application. SSO セッション トークンは失効させることができ、使用時に必ず有効性がチェックされます。SSO session tokens can be revoked, and their validity is checked every time they are used.

Azure AD は永続的と非永続的の 2 つの種類の SSO セッション トークンを使用します。Azure AD uses two kinds of SSO session tokens: persistent and nonpersistent. 永続的セッション トークンは、ブラウザーで永続的な Cookie として保存されます。Persistent session tokens are stored as persistent cookies by the browser. 非永続的セッション トークンは、セッション Cookie として保存されますNonpersistent session tokens are stored as session cookies. (セッション Cookie は、ブラウザーを閉じると破棄されます)。通常は、非永続的セッション トークンが保存されます。(Session cookies are destroyed when the browser is closed.) Usually, a nonpersistent session token is stored. ただし、ユーザーが認証時に [サインインしたままにする] チェック ボックスをオンにした場合は、永続的セッション トークンが保存されます。But, when the user selects the Keep me signed in check box during authentication, a persistent session token is stored.

非永続的セッション トークンには、24 時間の有効期間があります。Nonpersistent session tokens have a lifetime of 24 hours. 永続的トークンには、180 日間の有効期間があります。Persistent tokens have a lifetime of 180 days. 有効期間内に SSO セッション トークンを使用した時点で、有効期間はトークンの種類に応じて、さらに 24 時間または 180 日間延長されます。Any time an SSO session token is used within its validity period, the validity period is extended another 24 hours or 180 days, depending on the token type. SSO セッション トークンが有効期間内に使用されない場合は、期限切れとみなされ、受け付けられなくなります。If an SSO session token is not used within its validity period, it is considered expired and is no longer accepted.

ポリシーを使用して最初のセッション トークンが発行された後の時間を設定し、それを超えるとセッションのトークンを受け付けないようにすることができますYou can use a policy to set the time after the first session token was issued beyond which the session token is no longer accepted. (これを行うには、Session Token Max Age プロパティを使用します)。セッション トークンの有効期間を調整して、Web アプリケーションの使用時に、ユーザーが自動的に再認証されるのではなく、資格情報を再入力する必要があるタイミングと頻度を制御できます。(To do this, use the Session Token Max Age property.) You can adjust the lifetime of a session token to control when and how often a user is required to reenter credentials, instead of being silently authenticated, when using a web application.

トークンの有効期間ポリシーのプロパティToken lifetime policy properties

トークンの有効期間ポリシーとは、トークンの有効期間の規則が含まれる一種のポリシー オブジェクトです。A token lifetime policy is a type of policy object that contains token lifetime rules. ポリシーのプロパティは、指定したトークンの有効期間の制御に使用します。Use the properties of the policy to control specified token lifetimes. ポリシーが設定されていない場合は、既定の有効期間の値が適用されます。If no policy is set, the system enforces the default lifetime value.

構成可能なトークンの有効期間のプロパティConfigurable token lifetime properties

プロパティProperty ポリシーのプロパティ文字列Policy property string 影響Affects 既定値Default 最小値Minimum 最大値Maximum
Access Token LifetimeAccess Token Lifetime AccessTokenLifetimeAccessTokenLifetime アクセス トークン、ID トークン、SAML2 トークンAccess tokens, ID tokens, SAML2 tokens 1 時間1 hour 10 分10 minutes 1 日1 day
Refresh Token Max Inactive TimeRefresh Token Max Inactive Time MaxInactiveTimeMaxInactiveTime 更新トークンRefresh tokens 90 日間90 days 10 分10 minutes 90 日間90 days
Single-Factor Refresh Token Max AgeSingle-Factor Refresh Token Max Age MaxAgeSingleFactorMaxAgeSingleFactor 更新トークン (すべてのユーザー向け)Refresh tokens (for any users) Until-revokedUntil-revoked 10 分10 minutes Until-revoked1Until-revoked1
Multi-Factor Refresh Token Max AgeMulti-Factor Refresh Token Max Age MaxAgeMultiFactorMaxAgeMultiFactor 更新トークン (すべてのユーザー向け)Refresh tokens (for any users) Until-revokedUntil-revoked 10 分10 minutes Until-revoked1Until-revoked1
Single-Factor Session Token Max AgeSingle-Factor Session Token Max Age MaxAgeSessionSingleFactor2MaxAgeSessionSingleFactor2 セッション トークン (永続的および非永続的)Session tokens (persistent and nonpersistent) Until-revokedUntil-revoked 10 分10 minutes Until-revoked1Until-revoked1
Multi-Factor Session Token Max AgeMulti-Factor Session Token Max Age MaxAgeSessionMultiFactor3MaxAgeSessionMultiFactor3 セッション トークン (永続的および非永続的)Session tokens (persistent and nonpersistent) Until-revokedUntil-revoked 10 分10 minutes Until-revoked1Until-revoked1
  • 1これらの属性に対して明示的に設定できる最大期間は 365 日です。1365 days is the maximum explicit length that can be set for these attributes.
  • 2MaxAgeSessionSingleFactor が設定されていない場合、この値には MaxAgeSingleFactor 値が使用されます。2If MaxAgeSessionSingleFactor is not set, this value takes the MaxAgeSingleFactor value. どちらのパラメーターも設定されていない場合、このプロパティは既定値 (until-revoked) を使用します。If neither parameter is set, the property takes the default value (until-revoked).
  • 3MaxAgeSessionMultiFactor が設定されていない場合、この値には MaxAgeMultiFactor 値が使用されます。3If MaxAgeSessionMultiFactor is not set, this value takes the MaxAgeMultiFactor value. どちらのパラメーターも設定されていない場合、このプロパティは既定値 (until-revoked) を使用します。If neither parameter is set, the property takes the default value (until-revoked).

例外Exceptions

プロパティProperty 影響Affects 既定値Default
Refresh Token Max Age (失効情報が不十分なフェデレーション ユーザーに発行1)Refresh Token Max Age (issued for federated users who have insufficient revocation information1) Refresh Token (失効情報が不十分なフェデレーション ユーザーに発行1)Refresh tokens (issued for federated users who have insufficient revocation information1) 12 時間12 hours
Refresh Token Max Inactive Time (Confidential クライアントに発行)Refresh Token Max Inactive Time (issued for confidential clients) 更新トークン (Confidential クライアントに発行)Refresh tokens (issued for confidential clients) 90 日間90 days
Refresh token Max Age (Confidential クライアントに発行)Refresh Token Max Age (issued for confidential clients) 更新トークン (Confidential クライアントに発行)Refresh tokens (issued for confidential clients) Until-revokedUntil-revoked
  • 1失効情報が不十分なフェデレーション ユーザーには、"LastPasswordChangeTimestamp" 属性が同期されないすべてのユーザーが含まれます。1Federated users who have insufficient revocation information include any users who do not have the "LastPasswordChangeTimestamp" attribute synced. これらのユーザーにはこの短い Max Age が与えられます。その理由は、AAD は、古い資格情報 (変更済みのパスワードなど) に関連付けられたトークンを取り消すタイミングを確認できず、ユーザーおよび関連付けられているトークンがまだ良好であることをより頻繁に確認する必要があるためです。These users are given this short Max Age because AAD is unable to verify when to revoke tokens that are tied to an old credential (such as a password that has been changed) and must check back in more frequently to ensure that the user and associated tokens are still in good standing. このエクスペリエンスを向上させるには、テナント管理者は、"LastPasswordChangeTimestamp" 属性 (Powershell または AADSync を使用してユーザー オブジェクトに設定できる) が同期されていることを確認する必要があります。To improve this experience, tenant admins must ensure that they are syncing the “LastPasswordChangeTimestamp” attribute (this can be set on the user object using Powershell or through AADSync).

ポリシーの評価と優先順位付けPolicy evaluation and prioritization

トークン有効期間ポリシーを作成して、特定のアプリケーション、組織、およびサービス プリンシパルに割り当てることができます。You can create and then assign a token lifetime policy to a specific application, to your organization, and to service principals. 複数のポリシーを、特定のアプリケーションに適用できます。Multiple policies might apply to a specific application. 有効なトークン有効期間ポリシーは、次の規則に従います。The token lifetime policy that takes effect follows these rules:

  • ポリシーが明示的にサービス プリンシパルに割り当てられている場合は、そのポリシーが適用されます。If a policy is explicitly assigned to the service principal, it is enforced.
  • 明示的にサービス プリンシパルに割り当てられているポリシーがない場合は、サービス プリンシパルの親組織に明示的に割り当てられているポリシーが適用されます。If no policy is explicitly assigned to the service principal, a policy explicitly assigned to the parent organization of the service principal is enforced.
  • サービス プリンシパルまたは組織に明示的に割り当てられているポリシーがない場合、アプリケーションに割り当てられているポリシーが適用されます。If no policy is explicitly assigned to the service principal or to the organization, the policy assigned to the application is enforced.
  • サービス プリンシパル、組織、またはアプリケーション オブジェクトに割り当てられているポリシーがない場合は、既定値が適用されますIf no policy has been assigned to the service principal, the organization, or the application object, the default values is enforced. (構成可能なトークンの有効期間のプロパティの表を参照してください)。(See the table in Configurable token lifetime properties.)

アプリケーション オブジェクトとサービス プリンシパル オブジェクトの関係の詳細については、「Azure Active Directory のアプリケーション オブジェクトとサービス プリンシパル オブジェクト」を参照してください。For more information about the relationship between application objects and service principal objects, see Application and service principal objects in Azure Active Directory.

トークンの有効性は、トークンの使用時に評価されます。A token’s validity is evaluated at the time the token is used. アクセスされているアプリケーションに対して、最も優先度が高いポリシーが有効になります。The policy with the highest priority on the application that is being accessed takes effect.

ここで使用されるすべての時間帯は、C# TimeSpan オブジェクト (D.HH:MM:SS) 形式に従って書式設定されます。All timespans used here are formatted according to the C# TimeSpan object - D.HH:MM:SS. つまり、80 日と 30 分は 80.00:30:00 になります。So 80 days and 30 minutes would be 80.00:30:00. 0 の場合、先頭の D を削除することができますので 90 分は 00:90:00 になります。The leading D can be dropped if zero, so 90 minutes would be 00:90:00.

注意

シナリオの例を次に示します。Here's an example scenario.

ユーザーは 2 つの Web アプリケーション、Web アプリケーション A と Web アプリケーション B に接続したいとします。A user wants to access two web applications: Web Application A and Web Application B.

考慮すべき要素:Factors:

  • 両方の Web アプリケーションとも、同じ親組織にあります。Both web applications are in the same parent organization.
  • Session Token Max Age を 8 時間に設定したトークンの有効期間ポリシー 1 が、親組織の既定値として設定されています。Token Lifetime Policy 1 with a Session Token Max Age of eight hours is set as the parent organization’s default.
  • Web アプリケーション A は、日常的に使用する Web アプリケーションで、どのポリシーにもリンクされていません。Web Application A is a regular-use web application and isn’t linked to any policies.
  • Web アプリケーション B は、機密性の高いプロセスに使用されます。Web Application B is used for highly sensitive processes. そのサービス プリンシパルは、30 分の Session Token Max Age が設定されているトークンの有効期間ポリシー 2 にリンクされています。Its service principal is linked to Token Lifetime Policy 2, which has a Session Token Max Age of 30 minutes.

正午に、ユーザーは新しいブラウザー セッションを開始し、Web アプリケーション A へのアクセスを試みます。ユーザーは Azure AD にリダイレクトされ、サインインするよう指示されます。At 12:00 PM, the user starts a new browser session and tries to access Web Application A. The user is redirected to Azure AD and is asked to sign in. これによって、ブラウザーにセッション トークンを含む Cookie が作成されます。This creates a cookie that has a session token in the browser. ユーザーは、Web アプリケーション A にアクセスするための ID トークンによって、Web アプリケーション A にリダイレクトされます。The user is redirected back to Web Application A with an ID token that allows the user to access the application.

午後 0 時 15 分に、ユーザーは Web アプリケーション B へのアクセスを試みます。ブラウザーは Azure AD にリダイレクトされ、そこでセッション Cookie が検出されます。At 12:15 PM, the user tries to access Web Application B. The browser redirects to Azure AD, which detects the session cookie. Web アプリケーション B のサービス プリンシパルは、トークンの有効期間ポリシー 2 にリンクされているだけでなく、既定のトークンの有効期間ポリシー 1 が設定されている親組織の一部にもなっています。Web Application B’s service principal is linked to Token Lifetime Policy 2, but it's also part of the parent organization, with default Token Lifetime Policy 1. サービス プリンシパルにリンクされているポリシーは、組織の既定のポリシーより優先順位が高いため、トークンの有効期間ポリシー 2 が有効になります。Token Lifetime Policy 2 takes effect because policies linked to service principals have a higher priority than organization default policies. セッション トークンが最初に発行されたのは、過去 30 分以内であるため、このトークンは有効とみなされます。The session token was originally issued within the last 30 minutes, so it is considered valid. ユーザーは、アクセス権限を与える ID トークンによって Web アプリケーション B にリダイレクトされます。The user is redirected back to Web Application B with an ID token that grants them access.

午後 1 時に、ユーザーは Web アプリケーション A へのアクセスを試みます。ユーザーは、Azure AD にリダイレクトされます。At 1:00 PM, the user tries to access Web Application A. The user is redirected to Azure AD. Web アプリケーション A は、どのポリシーにもリンクされていませんが、既定のトークンの有効期間ポリシー 1 が設定された組織内にあるため、そのポリシーが有効になります。Web Application A is not linked to any policies, but because it is in an organization with default Token Lifetime Policy 1, that policy takes effect. 過去 8 時間以内で最初に発行されたセッション Cookie が検出されます。The session cookie that was originally issued within the last eight hours is detected. ユーザーは自動的に新しい ID トークンで Web アプリケーション A にリダイレクトされます。The user is silently redirected back to Web Application A with a new ID token. ユーザーは認証する必要がありません。The user is not required to authenticate.

その後直ちにユーザーは Web アプリケーション B へのアクセスを試みます。ユーザーは、Azure AD にリダイレクトされます。Immediately afterward, the user tries to access Web Application B. The user is redirected to Azure AD. 以前と同様、トークンの有効期間ポリシー 2 が有効になります。As before, Token Lifetime Policy 2 takes effect. トークンは 30 分以上前に発行されたため、ユーザーはサインイン資格情報を再入力するように求められます。Because the token was issued more than 30 minutes ago, the user is prompted to reenter their sign-in credentials. 新しいセッション トークンと ID トークンが発行されます。A brand-new session token and ID token are issued. これで、ユーザーは Web アプリケーション B にアクセスできます。The user can then access Web Application B.

構成可能なポリシーのプロパティの詳細Configurable policy property details

Access Token LifetimeAccess Token Lifetime

文字列: AccessTokenLifetimeString: AccessTokenLifetime

影響: アクセス トークン、ID トークンAffects: Access tokens, ID tokens

概要: このポリシーは、このリソースのアクセス トークンと ID トークンが有効とみなされる期間を制御します。Summary: This policy controls how long access and ID tokens for this resource are considered valid. Access Token Lifetime プロパティを減らすと、悪意のあるアクターによって、長時間にわたってアクセス トークンや ID トークンが使用されるリスクが軽減しますReducing the Access Token Lifetime property mitigates the risk of an access token or ID token being used by a malicious actor for an extended period of time. (これらのトークンは取り消しできません)。このトレードオフは、トークンを頻繁に交換する必要があるため、パフォーマンスが影響を受けることです。(These tokens cannot be revoked.) The trade-off is that performance is adversely affected, because the tokens have to be replaced more often.

Refresh Token Max Inactive TimeRefresh Token Max Inactive Time

文字列: MaxInactiveTimeString: MaxInactiveTime

影響: 更新トークンAffects: Refresh tokens

概要: このポリシーは、更新トークンがどの程度古くなると、クライアントがこのリソースにアクセスするときに、新しいアクセス トークンと更新トークンのペアの取得に更新トークンを使用できなくするのかを制御します。Summary: This policy controls how old a refresh token can be before a client can no longer use it to retrieve a new access/refresh token pair when attempting to access this resource. 更新トークンを使用すると、通常は新しい更新トークンが返されるため、クライアントが指定した期間に、現在の更新トークンを使用して、リソースにアクセスを試みた場合に、このポリシーによって、アクセスが妨げられます。Because a new refresh token usually is returned when a refresh token is used, this policy prevents access if the client tries to access any resource by using the current refresh token during the specified period of time.

このポリシーは、クライアントでアクティブでなかったユーザーを強制的に再認証し、新しい更新トークンを取得させることができます。This policy forces users who have not been active on their client to reauthenticate to retrieve a new refresh token.

Refresh Token Max Inactive Time プロパティは Single-Factor Token Max Age および Multi-Factor Refresh Token Max Age プロパティよりも小さな値に設定する必要があります。The Refresh Token Max Inactive Time property must be set to a lower value than the Single-Factor Token Max Age and the Multi-Factor Refresh Token Max Age properties.

Single-Factor Refresh Token Max AgeSingle-Factor Refresh Token Max Age

文字列: MaxAgeSingleFactorString: MaxAgeSingleFactor

影響: 更新トークンAffects: Refresh tokens

概要: このポリシーは、ユーザーが前回単一要素のみで認証に成功した後に、新しいアクセス トークンと更新トークンのペアを取得するために更新トークンを使用できる期間を制御します。Summary: This policy controls how long a user can use a refresh token to get a new access/refresh token pair after they last authenticated successfully by using only a single factor. ユーザーが認証し、新しい更新トークンを受け取ると、ユーザーは、指定した期間のあいだ更新トークン フローを使用できますAfter a user authenticates and receives a new refresh token, the user can use the refresh token flow for the specified period of time. (これは現在の更新トークンが失効しておらず、非アクティブ時間より長く未使用のままにされていない場合にあてはまります)。その時点で、ユーザーは新しい更新トークンを受け取るために再認証するよう強制されます。(This is true as long as the current refresh token is not revoked, and it is not left unused for longer than the inactive time.) At that point, the user is forced to reauthenticate to receive a new refresh token.

最長有効期間を短くすると、ユーザーに認証を強制する回数が多くなります。Reducing the max age forces users to authenticate more often. 単一要素認証は多要素認証より安全性が低いと考えられるため、このプロパティは、Multi-Factor Refresh Token Max Age プロパティ以下の値に設定することをお勧めします。Because single-factor authentication is considered less secure than multi-factor authentication, we recommend that you set this property to a value that is equal to or lesser than the Multi-Factor Refresh Token Max Age property.

Multi-Factor Refresh Token Max AgeMulti-Factor Refresh Token Max Age

文字列: MaxAgeMultiFactorString: MaxAgeMultiFactor

影響: 更新トークンAffects: Refresh tokens

概要: このポリシーは、ユーザーが前回多要素で認証に成功した後に、新しいアクセス トークンと更新トークンのペアを取得するために更新トークンを使うことができる期間を制御します。Summary: This policy controls how long a user can use a refresh token to get a new access/refresh token pair after they last authenticated successfully by using multiple factors. ユーザーが認証し、新しい更新トークンを受け取ると、ユーザーは、指定した期間のあいだ更新トークン フローを使用できますAfter a user authenticates and receives a new refresh token, the user can use the refresh token flow for the specified period of time. (これは現在の更新トークンが失効しておらず、非アクティブ時間より長く未使用のままにされていない場合にあてはまります)。その時点で、ユーザーは新しい更新トークンを受け取るために再認証を強制されます。(This is true as long as the current refresh token is not revoked, and it is not unused for longer than the inactive time.) At that point, users are forced to reauthenticate to receive a new refresh token.

最長有効期間を短くすると、ユーザーに認証を強制する回数が多くなります。Reducing the max age forces users to authenticate more often. 単一要素認証は多要素認証より安全性が低いと考えられるため、このプロパティは、Single-Factor Refresh Token Max Age プロパティ以上の値に設定することをお勧めします。Because single-factor authentication is considered less secure than multi-factor authentication, we recommend that you set this property to a value that is equal to or greater than the Single-Factor Refresh Token Max Age property.

Single-Factor Session Token Max AgeSingle-Factor Session Token Max Age

文字列: MaxAgeSessionSingleFactorString: MaxAgeSessionSingleFactor

影響: セッション トークン (永続的および非永続的)Affects: Session tokens (persistent and nonpersistent)

概要: このポリシーは、ユーザーが前回単一要素のみで認証に成功した後に、新しい ID とセッション トークンを取得するためにセッショントークンを使用できる期間を制御します。Summary: This policy controls how long a user can use a session token to get a new ID and session token after they last authenticated successfully by using only a single factor. ユーザーが認証し、新しいセッション トークンを受け取ると、ユーザーは、指定した期間のあいだセッション トークン フローを使用できますAfter a user authenticates and receives a new session token, the user can use the session token flow for the specified period of time. (これは、現在のセッション トークンが失効しておらず、有効期限が切れていない場合にあてはまります)。指定した期間の後、ユーザーは新しいセッション トークンを受け取るために再認証が強制されます。(This is true as long as the current session token is not revoked and has not expired.) After the specified period of time, the user is forced to reauthenticate to receive a new session token.

最長有効期間を短くすると、ユーザーに認証を強制する回数が多くなります。Reducing the max age forces users to authenticate more often. 単一要素認証は多要素認証より安全性が低いと考えられるため、このプロパティは、Multi-Factor Session Token Max Age プロパティ以下の値に設定することをお勧めします。Because single-factor authentication is considered less secure than multi-factor authentication, we recommend that you set this property to a value that is equal to or less than the Multi-Factor Session Token Max Age property.

Multi-Factor Session Token Max AgeMulti-Factor Session Token Max Age

文字列: MaxAgeSessionMultiFactorString: MaxAgeSessionMultiFactor

影響: セッション トークン (永続的および非永続的)Affects: Session tokens (persistent and nonpersistent)

概要: このポリシーは、ユーザーが前回多要素で認証に成功した後に、新しい ID とセッション トークンを取得するためにセッショントークンを使用できる期間を制御します。Summary: This policy controls how long a user can use a session token to get a new ID and session token after the last time they authenticated successfully by using multiple factors. ユーザーが認証し、新しいセッション トークンを受け取ると、ユーザーは、指定した期間のあいだセッション トークン フローを使用できますAfter a user authenticates and receives a new session token, the user can use the session token flow for the specified period of time. (これは、現在のセッション トークンが失効しておらず、有効期限が切れていない場合にあてはまります)。指定した期間の後、ユーザーは新しいセッション トークンを受け取るために再認証が強制されます。(This is true as long as the current session token is not revoked and has not expired.) After the specified period of time, the user is forced to reauthenticate to receive a new session token.

最長有効期間を短くすると、ユーザーに認証を強制する回数が多くなります。Reducing the max age forces users to authenticate more often. 単一要素認証は多要素認証より安全性が低いと考えられるため、このプロパティは、Single-Factor Session Token Max Age プロパティ以上の値に設定することをお勧めします。Because single-factor authentication is considered less secure than multi-factor authentication, we recommend that you set this property to a value that is equal to or greater than the Single-Factor Session Token Max Age property.

トークンの有効期間ポリシーの例Example token lifetime policies

アプリ、サービス プリンシパル、および組織全体のトークンの有効期間を作成および管理できる場合は、Azure AD で多くのシナリオを実行できます。Many scenarios are possible in Azure AD when you can create and manage token lifetimes for apps, service principals, and your overall organization. このセクションでは新しい規則を適用する場合に役立つ、いくつかの一般的なポリシー シナリオについて説明します。In this section, we walk through a few common policy scenarios that can help you impose new rules for:

  • トークンの有効期間Token Lifetime
  • トークンの最大非アクティブ時間Token Max Inactive Time
  • トークンの最長有効期間Token Max Age

例では、次の方法を説明します。In the examples, you can learn how to:

  • 組織の既定のポリシーを管理するManage an organization's default policy
  • Web サインインのポリシーを作成するCreate a policy for web sign-in
  • Web API を呼び出すネイティブ アプリケーションのポリシーを作成するCreate a policy for a native app that calls a web API
  • 詳細なポリシーを管理するManage an advanced policy

前提条件Prerequisites

次の例では、アプリ、サービス プリンシパル、および組織全体のポリシーを作成、更新、リンク、および削除します。In the following examples, you create, update, link, and delete policies for apps, service principals, and your overall organization. Azure AD に慣れていない場合は、これらの例を続行する前に、Azure AD テナントを取得する方法について学習することをお勧めします。If you are new to Azure AD, we recommend that you learn about how to get an Azure AD tenant before you proceed with these examples.

使用を開始するには、次の手順を実行します。To get started, do the following steps:

  1. 最新版の Azure AD PowerShell モジュール パブリック プレビュー リリースをダウンロードします。Download the latest Azure AD PowerShell Module Public Preview release.
  2. Connect コマンドを実行して、Azure AD 管理者アカウントにサインインします。Run the Connect command to sign in to your Azure AD admin account. 新しいセッションを開始するたびにこのコマンドを実行します。Run this command each time you start a new session.

    Connect-AzureAD -Confirm
    
  3. 組織に作成されているすべてのポリシーを表示するには、次のコマンドを実行します。To see all policies that have been created in your organization, run the following command. このコマンドは、次のシナリオでほとんどの操作の後に実行します。Run this command after most operations in the following scenarios. コマンドの実行は、ポリシーの ** ** を取得する場合にも役立ちます。Running the command also helps you get the ** ** of your policies.

    Get-AzureADPolicy
    

例: 組織の既定のポリシーを管理するExample: Manage an organization's default policy

この例では、組織全体でユーザーがサインインする頻度を少なくするポリシーを作成します。In this example, you create a policy that lets your users sign in less frequently across your entire organization. そのためには、組織全体に適用される単一要素の更新トークンに対してトークンの有効期間ポリシーを作成します。To do this, create a token lifetime policy for Single-Factor Refresh Tokens, which is applied across your organization. このポリシーは、組織内のすべてのアプリケーションと、ポリシーがまだ設定されていない各サービス プリンシパルに適用されます。The policy is applied to every application in your organization, and to each service principal that doesn’t already have a policy set.

  1. トークンの有効期間ポリシーを作成します。Create a token lifetime policy.

    1. 単一要素の更新トークンを "until-revoked" に設定します。Set the Single-Factor Refresh Token to "until-revoked." トークンは、アクセスが取り消されるまで期限切れになりません。The token doesn't expire until access is revoked. 次のポリシー定義を作成します。Create the following policy definition:

      @('{
          "TokenLifetimePolicy":
          {
              "Version":1,
              "MaxAgeSingleFactor":"until-revoked"
          }
      }')
      
    2. ポリシーを作成するには、次のコマンドを実行します。To create the policy, run the following command:

      New-AzureADPolicy -Definition @('{"TokenLifetimePolicy":{"Version":1, "MaxAgeSingleFactor":"until-revoked"}}') -DisplayName "OrganizationDefaultPolicyScenario" -IsOrganizationDefault $true -Type "TokenLifetimePolicy"
      
    3. 新しいポリシーを表示し、ポリシーの ObjectId を取得するには、次のコマンドを実行します。To see your new policy, and to get the policy's ObjectId, run the following command:

      Get-AzureADPolicy
      
  2. ポリシーを更新します。Update the policy.

    この例で設定する最初のポリシーは、サービスに求められるほど厳密にしないようにすることもできます。You might decide that the first policy you set in this example is not as strict as your service requires. 単一要素更新トークンを 2 日で期限が切れるように設定するには、次のコマンドを実行します。To set your Single-Factor Refresh Token to expire in two days, run the following command:

    Set-AzureADPolicy -Id <ObjectId FROM GET COMMAND> -DisplayName "OrganizationDefaultPolicyUpdatedScenario" -Definition @('{"TokenLifetimePolicy":{"Version":1,"MaxAgeSingleFactor":"2.00:00:00"}}')
    

例: Web サインインのポリシーを作成するExample: Create a policy for web sign-in

この例では、ユーザーが、Web アプリで頻繁に認証を必要とするポリシーを作成します。In this example, you create a policy that requires users to authenticate more frequently in your web app. このポリシーは、アクセス トークンと ID トークンの有効期間と、多要素セッション トークンの最長有効期間を Web アプリのサービス プリンシパルに設定します。This policy sets the lifetime of the access/ID tokens and the max age of a multi-factor session token to the service principal of your web app.

  1. トークンの有効期間ポリシーを作成します。Create a token lifetime policy.

    この Web サインイン用のポリシーでは、アクセス トークンと ID トークンの有効期間と、単一要素セッション トークンの最長有効期間を 2 時間に設定します。This policy, for web sign-in, sets the access/ID token lifetime and the max single-factor session token age to two hours.

    1. ポリシーを作成するには、このコマンドを実行します。To create the policy, run this command:

      New-AzureADPolicy -Definition @('{"TokenLifetimePolicy":{"Version":1,"AccessTokenLifetime":"02:00:00","MaxAgeSessionSingleFactor":"02:00:00"}}') -DisplayName "WebPolicyScenario" -IsOrganizationDefault $false -Type "TokenLifetimePolicy"
      
    2. 新しいポリシーを表示し、ポリシーの ObjectId を取得するには、次のコマンドを実行します。To see your new policy, and to get the policy ObjectId, run the following command:

      Get-AzureADPolicy
      
  2. サービス プリンシパルにポリシーを割り当てます。Assign the policy to your service principal. サービス プリンシパルの ObjectId も取得する必要があります。You also need to get the ObjectId of your service principal.

    1. 組織のすべてのサービス プリンシパルを表示するには、Microsoft Graph または Azure AD Graph のいずれかに対してクエリを実行します。To see all your organization's service principals, you can query either the Microsoft Graph or the Azure AD Graph. また、Azure AD アカウントを使用して、Azure AD Graph ExplorerMicrosoft Graph Explorer でテストすることもできます。Also, you can test this in the Azure AD Graph Explorer, and the Microsoft Graph Explorer by using your Azure AD account.

    2. サービス プリンシパルの ObjectId がある場合、次のコマンドを実行します。When you have the ObjectId of your service principal, run the following command:

      Add-AzureADServicePrincipalPolicy -Id <ObjectId of the ServicePrincipal> -RefObjectId <ObjectId of the Policy>
      

例: Web API を呼び出すネイティブ アプリのポリシーを作成するExample: Create a policy for a native app that calls a web API

この例では、ユーザーに必要とする認証の頻度を少なくするポリシーを作成します。In this example, you create a policy that requires users to authenticate less frequently. ポリシーにより、ユーザーが再認証を必要とするまでの非アクティブでいられる時間も長くなります。The policy also lengthens the amount of time a user can be inactive before the user must reauthenticate. ポリシーは、Web API に適用されます。The policy is applied to the web API. ネイティブ アプリがリソースとして Web API を要求すると、このポリシーが適用されます。When the native app requests the web API as a resource, this policy is applied.

  1. トークンの有効期間ポリシーを作成します。Create a token lifetime policy.

    1. Web API の厳密なポリシーを作成するには、次のコマンドを実行します。To create a strict policy for a web API, run the following command:

      New-AzureADPolicy -Definition @('{"TokenLifetimePolicy":{"Version":1,"MaxInactiveTime":"30.00:00:00","MaxAgeMultiFactor":"until-revoked","MaxAgeSingleFactor":"180.00:00:00"}}') -DisplayName "WebApiDefaultPolicyScenario" -IsOrganizationDefault $false -Type "TokenLifetimePolicy"
      
    2. 新しいポリシーを表示し、ポリシーの ObjectId を取得するには、次のコマンドを実行します。To see your new policy, and to get the policy ObjectId, run the following command:

      Get-AzureADPolicy
      
  2. Web API にポリシーを割り当てます。Assign the policy to your web API. アプリケーションの ObjectId を取得する必要もあります。You also need to get the ObjectId of your application. Azure Portal を使用すると、最も効果的にアプリの ObjectId を検索できます。The best way to find your app's ObjectId is to use the Azure portal.

    アプリの ObjectId がある場合、次のコマンドを実行します。When you have the ObjectId of your app, run the following command:

     ```PowerShell
     Add-AzureADApplicationPolicy -Id <ObjectId of the Application> -RefObjectId <ObjectId of the Policy>
     ```
    

例: 詳細なポリシーを管理するExample: Manage an advanced policy

この例では、いくつかのポリシーを作成して、優先度システムのしくみを説明します。In this example, you create a few policies, to learn how the priority system works. 複数のオブジェクトに適用される複数のポリシーを管理する方法も説明します。You also can learn how to manage multiple policies that are applied to several objects.

  1. トークンの有効期間ポリシーを作成します。Create a token lifetime policy.

    1. 単一要素の更新トークンの有効期間を 30 日間に設定する組織の既定のポリシーを作成するには、次のコマンドを実行します。To create an organization default policy that sets the Single-Factor Refresh Token lifetime to 30 days, run the following command:

      New-AzureADPolicy -Definition @('{"TokenLifetimePolicy":{"Version":1,"MaxAgeSingleFactor":"30.00:00:00"}}') -DisplayName "ComplexPolicyScenario" -IsOrganizationDefault $true -Type "TokenLifetimePolicy"
      
    2. 新しいポリシーを表示し、ポリシーの ObjectId を取得するには、次のコマンドを実行します。To see your new policy, and to get the policy's ObjectId, run the following command:

      Get-AzureADPolicy
      
  2. サービス プリンシパルにポリシーを割り当てます。Assign the policy to a service principal.

    これで、組織全体に適用されるポリシーが得られます。Now, you have a policy that applies to the entire organization. 特定のサービス プリンシパルに対してはこの 30 日間のポリシーを保持しますが、組織の既定のポリシーを "until-revoked" の上限となるよう変更するとします。You might want to preserve this 30-day policy for a specific service principal, but change the organization default policy to the upper limit of "until-revoked."

    1. 組織のすべてのサービス プリンシパルを表示するには、Microsoft Graph または Azure AD Graph のいずれかに対してクエリを実行します。To see all your organization's service principals, you can query either the Microsoft Graph or the Azure AD Graph. また、Azure AD アカウントを使用して、Azure AD Graph ExplorerMicrosoft Graph Explorer でテストすることもできます。Also, you can test this in the Azure AD Graph Explorer, and the Microsoft Graph Explorer by using your Azure AD account.

    2. サービス プリンシパルの ObjectId がある場合、次のコマンドを実行します。When you have the ObjectId of your service principal, run the following command:

      ```PowerShell
      Add-AzureADServicePrincipalPolicy -Id <ObjectId of the ServicePrincipal> -RefObjectId <ObjectId of the Policy>
      ```
      
  3. IsOrganizationDefault フラグを false に設定します。Set the IsOrganizationDefault flag to false:

    Set-AzureADPolicy -Id <ObjectId of Policy> -DisplayName "ComplexPolicyScenario" -IsOrganizationDefault $false
    
  4. 新しい組織の既定のポリシーを作成します。Create a new organization default policy:

    New-AzureADPolicy -Definition @('{"TokenLifetimePolicy":{"Version":1,"MaxAgeSingleFactor":"until-revoked"}}') -DisplayName "ComplexPolicyScenarioTwo" -IsOrganizationDefault $true -Type "TokenLifetimePolicy"
    

    これで、元のポリシーがサービス プリンシパルにリンクされ、新しいポリシーが組織の既定のポリシーとして設定されます。You now have the original policy linked to your service principal, and the new policy is set as your organization default policy. サービス プリンシパルに適用されるポリシーが、組織の既定のポリシーよりも優先されることに注意してください。It's important to remember that policies applied to service principals have priority over organization default policies.

コマンドレット リファレンスCmdlet reference

ポリシーの管理Manage policies

次のコマンドレットを使用して、ポリシーを管理することができます。You can use the following cmdlets to manage policies.

New-AzureADPolicyNew-AzureADPolicy

新しいポリシーを作成します。Creates a new policy.

New-AzureADPolicy -Definition <Array of Rules> -DisplayName <Name of Policy> -IsOrganizationDefault <boolean> -Type <Policy Type>
parametersParameters 説明Description Example
‑Definition ポリシーのすべてのルールが含まれる文字列化された JSON の配列。Array of stringified JSON that contains all the policy's rules. -Definition @('{"TokenLifetimePolicy":{"Version":1,"MaxInactiveTime":"20:00:00"}}')
‑DisplayName ポリシー名の文字列。String of the policy name. -DisplayName "MyTokenPolicy"
‑IsOrganizationDefault True の場合は、組織の既定のポリシーとして、ポリシーを設定します。If true, sets the policy as the organization's default policy. False の場合は、何もしません。If false, does nothing. -IsOrganizationDefault $true
‑Type ポリシーの種類。Type of policy. トークンの有効期間に対しては、常に "TokenLifetimePolicy" を使用します。For token lifetimes, always use "TokenLifetimePolicy." -Type "TokenLifetimePolicy"
‑AlternativeIdentifier [省略可能]‑AlternativeIdentifier [Optional] ポリシーの代替 ID を設定します。Sets an alternative ID for the policy. -AlternativeIdentifier "myAltId"


Get-AzureADPolicyGet-AzureADPolicy

すべての AzureAD ポリシーまたは指定されたポリシーを取得します。Gets all Azure AD policies or a specified policy.

Get-AzureADPolicy
parametersParameters 説明Description Example
‑Id [省略可能]‑Id [Optional] 目的のポリシーの ObjectId (Id)ObjectId (Id) of the policy you want. -Id <ObjectId of Policy>


Get AzureADPolicyAppliedObjectGet-AzureADPolicyAppliedObject

ポリシーにリンクされたすべてのアプリとサービス プリンシパルを取得します。Gets all apps and service principals that are linked to a policy.

Get-AzureADPolicyAppliedObject -Id <ObjectId of Policy>
parametersParameters 説明Description Example
‑Id 目的のポリシーの ObjectId (Id)ObjectId (Id) of the policy you want. -Id <ObjectId of Policy>


Set-AzureADPolicySet-AzureADPolicy

既存のポリシーを更新します。Updates an existing policy.

Set-AzureADPolicy -Id <ObjectId of Policy> -DisplayName <string>
parametersParameters 説明Description Example
‑Id 目的のポリシーの ObjectId (Id)ObjectId (Id) of the policy you want. -Id <ObjectId of Policy>
‑DisplayName ポリシー名の文字列。String of the policy name. -DisplayName "MyTokenPolicy"
‑Definition [省略可能]‑Definition [Optional] ポリシーのすべてのルールが含まれる文字列化された JSON の配列。Array of stringified JSON that contains all the policy's rules. -Definition @('{"TokenLifetimePolicy":{"Version":1,"MaxInactiveTime":"20:00:00"}}')
‑IsOrganizationDefault [省略可能]‑IsOrganizationDefault [Optional] True の場合は、組織の既定のポリシーとして、ポリシーを設定します。If true, sets the policy as the organization's default policy. False の場合は、何もしません。If false, does nothing. -IsOrganizationDefault $true
‑Type [省略可能]‑Type [Optional] ポリシーの種類。Type of policy. トークンの有効期間に対しては、常に "TokenLifetimePolicy" を使用します。For token lifetimes, always use "TokenLifetimePolicy." -Type "TokenLifetimePolicy"
‑AlternativeIdentifier [省略可能]‑AlternativeIdentifier [Optional] ポリシーの代替 ID を設定します。Sets an alternative ID for the policy. -AlternativeIdentifier "myAltId"


Remove-AzureADPolicyRemove-AzureADPolicy

指定したポリシーを削除します。Deletes the specified policy.

 Remove-AzureADPolicy -Id <ObjectId of Policy>
parametersParameters 説明Description Example
‑Id 目的のポリシーの ObjectId (Id)ObjectId (Id) of the policy you want. -Id <ObjectId of Policy>


アプリケーション ポリシーApplication policies

アプリケーション ポリシーには次のコマンドレットを使用できます。You can use the following cmdlets for application policies.

Add-AzureADApplicationPolicyAdd-AzureADApplicationPolicy

指定したポリシーをアプリケーションにリンクします。Links the specified policy to an application.

Add-AzureADApplicationPolicy -Id <ObjectId of Application> -RefObjectId <ObjectId of Policy>
parametersParameters 説明Description Example
‑Id アプリケーションの ObjectId (Id)ObjectId (Id) of the application. -Id <ObjectId of Application>
‑RefObjectId ポリシーの ObjectIdObjectId of the policy. -RefObjectId <ObjectId of Policy>


Get-AzureADApplicationPolicyGet-AzureADApplicationPolicy

アプリケーションに割り当てられているポリシーを取得します。Gets the policy that is assigned to an application.

Get-AzureADApplicationPolicy -Id <ObjectId of Application>
parametersParameters 説明Description Example
‑Id アプリケーションの ObjectId (Id)ObjectId (Id) of the application. -Id <ObjectId of Application>


Remove-AzureADApplicationPolicyRemove-AzureADApplicationPolicy

アプリケーションからポリシーを削除します。Removes a policy from an application.

Remove-AzureADApplicationPolicy -Id <ObjectId of Application> -PolicyId <ObjectId of Policy>
parametersParameters 説明Description Example
‑Id アプリケーションの ObjectId (Id)ObjectId (Id) of the application. -Id <ObjectId of Application>
‑PolicyId ポリシーの ObjectIdObjectId of the policy. -PolicyId <ObjectId of Policy>


サービス プリンシパル ポリシーService principal policies

サービス プリンシパル ポリシーには次のコマンドレットを使用できます。You can use the following cmdlets for service principal policies.

Add-AzureADServicePrincipalPolicyAdd-AzureADServicePrincipalPolicy

指定したポリシーをサービス プリンシパルにリンクします。Links the specified policy to a service principal.

Add-AzureADServicePrincipalPolicy -Id <ObjectId of ServicePrincipal> -RefObjectId <ObjectId of Policy>
parametersParameters 説明Description Example
‑Id アプリケーションの ObjectId (Id)ObjectId (Id) of the application. -Id <ObjectId of Application>
‑RefObjectId ポリシーの ObjectIdObjectId of the policy. -RefObjectId <ObjectId of Policy>


Get-AzureADServicePrincipalPolicyGet-AzureADServicePrincipalPolicy

指定したサービス プリンシパルにリンクされている任意のポリシーを取得します。Gets any policy linked to the specified service principal.

Get-AzureADServicePrincipalPolicy -Id <ObjectId of ServicePrincipal>
parametersParameters 説明Description Example
‑Id アプリケーションの ObjectId (Id)ObjectId (Id) of the application. -Id <ObjectId of Application>


Remove-AzureADServicePrincipalPolicyRemove-AzureADServicePrincipalPolicy

指定したサービス プリンシパルからポリシーを削除します。Removes the policy from the specified service principal.

Remove-AzureADServicePrincipalPolicy -Id <ObjectId of ServicePrincipal>  -PolicyId <ObjectId of Policy>
parametersParameters 説明Description Example
‑Id アプリケーションの ObjectId (Id)ObjectId (Id) of the application. -Id <ObjectId of Application>
‑PolicyId ポリシーの ObjectIdObjectId of the policy. -PolicyId <ObjectId of Policy>