Configureerbare levensduur van tokens op het Microsoft-identiteitsplatform (voorbeeld)
U kunt de levensduur opgeven van een toegangs-, id- of SAML-token dat is uitgegeven door het Microsoft Identity Platform. U kunt tokenlevensduur instellen voor alle apps in uw organisatie, voor toepassingen met meerdere tenants (meerdere organisaties) of voor service-principals. Momenteel bieden we geen ondersteuning voor het configureren van de levensduur van het token voor service-principals voor beheerde identiteiten.
In Microsoft Entra ID vertegenwoordigt een beleidsobject een set regels die worden afgedwongen voor afzonderlijke toepassingen of voor alle toepassingen in een organisatie. Elk beleidstype heeft een unieke structuur, met een set eigenschappen die worden toegepast op objecten waaraan ze zijn toegewezen.
U kunt een beleid aanwijzen als het standaardbeleid voor uw organisatie. Het beleid wordt toegepast op een toepassing in de organisatie, zolang het niet wordt overschreven door een beleid met een hogere prioriteit. U kunt ook beleid toewijzen aan specifieke toepassingen. De volgorde van prioriteit varieert per beleidstype.
Lees voor voorbeelden van het configureren van levensduur van tokens.
Notitie
Configureerbaar beleid voor levensduur van tokens is alleen van toepassing op mobiele en desktopclients die toegang hebben tot SharePoint Online en OneDrive voor Bedrijven-resources, en is niet van toepassing op webbrowsersessies. Als u de levensduur van webbrowsersessies voor SharePoint Online en OneDrive voor Bedrijven wilt beheren, gebruikt u de functie voor de levensduur van de sessie voor voorwaardelijke toegang. Raadpleeg de SharePoint Online-blog voor meer informatie over het configureren van time-outs voor niet-actieve sessies.
Licentievereisten
Voor het gebruik van deze functie is een licentie voor Microsoft Entra ID P1 vereist. Zie Algemeen beschikbare functies van de edities Gratis en Premium vergelijken als u een licentie zoekt die bij uw vereisten past.
Klanten met een Microsoft 365 Business-licentie hebben ook toegang tot de functies voor voorwaardelijke toegang.
Beleid voor levensduur van tokens voor toegangs-, SAML- en ID-tokens
U kunt het beleid voor levensduur van tokens instellen voor toegangs-, SAML- en ID-tokens.
Toegangstokens
Clients gebruiken toegangstokens voor toegang tot een beveiligde bron. Een toegangstoken kan alleen worden gebruikt voor een specifieke combinatie van gebruiker, client en bron. Toegangstokens kunnen niet worden ingetrokken en zijn geldig totdat ze verlopen. Een kwaadwillende factor die een toegangstoken heeft verkregen, kan dit gedurende de levensduur gebruiken. Het aanpassen van de levensduur van een toegangstoken is een afweging tussen het verbeteren van de systeemprestaties en het verhogen van de hoeveelheid tijd die de client behoudt nadat het account van de gebruiker is uitgeschakeld. Verbeterde systeemprestaties worden bereikt door het aantal keren te verminderen dat een client een nieuw toegangstoken moet verkrijgen.
De standaard levensduur van een toegangstoken is variabel. Wanneer een toegangstoken wordt uitgegeven, krijgt de standaardlevensduur van een toegangstoken een willekeurige waarde tussen 60-90 minuten (gemiddeld 75 minuten). De standaardlevensduur is ook afhankelijk van de clienttoepassing die het token aanvraagt of of voorwaardelijke toegang is ingeschakeld in de tenant. Zie Levensduur van het toegangstoken voor meer informatie.
SAML-tokens
SAML-tokens worden gebruikt door veel SaaS-toepassingen op internet en worden verkregen met behulp van het SAML2-protocoleindpunt van Microsoft Entra ID. Ze worden ook gebruikt door toepassingen die gebruikmaken van WS-federatie. De standaard levensduur van het token is 1 uur. Vanuit het perspectief van een toepassing wordt de geldigheidsperiode van het token opgegeven door de Waarde NotOnOrAfter van het <conditions …> element in het token. Nadat de geldigheidsperiode van het token is beëindigd, moet de client een nieuwe verificatieaanvraag initiëren, die vaak wordt voldaan zonder interactieve aanmelding als gevolg van het token voor eenmalige aanmelding (SSO).
De waarde van NotOnOrAfter kan worden gewijzigd met de AccessTokenLifetime parameter in een TokenLifetimePolicy. Deze wordt ingesteld op de levensduur die is geconfigureerd in het beleid, indien van toepassing, plus een afwijking van de klok van vijf minuten.
De onderwerpbevestiging NotOnOrAfter die in het <SubjectConfirmationData> element is opgegeven, wordt niet beïnvloed door de levensduur van het token.
Id-tokens
Id-tokens worden doorgegeven aan websites en systeemeigen clients. Id-tokens bevatten profielgegevens over een gebruiker. Een id-token is gebonden aan een specifieke combinatie van gebruiker en client. Id-tokens worden beschouwd als geldig tot de vervaldatum. Normaal gesproken komt een webtoepassing overeen met de sessielevensduur van een gebruiker in de toepassing tot de levensduur van het id-token dat is uitgegeven voor de gebruiker. U kunt de levensduur van een id-token aanpassen om te bepalen hoe vaak de webtoepassing de toepassingssessie verloopt en hoe vaak de gebruiker opnieuw moet worden geverifieerd met het Microsoft Identity-platform (op de achtergrond of interactief).
Beleid voor levensduur van tokens bij vernieuwen van tokens en sessietokens
U kunt geen beleid voor de levensduur van tokens instellen voor het vernieuwen van tokens en sessietokens. Zie Tokens vernieuwen voor de levensduur, time-out en intrekking van Vernieuwingstokens.
Belangrijk
Vanaf 30 januari 2021 kunt u de levensduur van vernieuwen en sessietoken niet configureren. Microsoft Entra eert niet langer de configuratie van vernieuwings- en sessietoken in bestaande beleidsregels. Nieuwe tokens die zijn uitgegeven nadat bestaande tokens zijn verlopen, worden nu ingesteld op de standaardconfiguratie. U kunt de levensduur van het toegangs-, SAML- en id-token na het vernieuwen en het buiten gebruik stellen van de configuratie van het sessietoken nog steeds configureren.
De levensduur van het bestaande token wordt niet gewijzigd. Nadat deze zijn verlopen, wordt een nieuw token uitgegeven op basis van de standaardwaarde.
Als u door moet gaan met het definiëren van de periode voordat een gebruiker wordt gevraagd zich opnieuw aan te melden, configureert u de aanmeldingsfrequentie in voorwaardelijke toegang. Lees voor meer informatie over voorwaardelijke toegang Beheer van verificatiesessies configureren met voorwaardelijke toegang.
Eigenschappen voor de levensduur van tokens configureren
Een beleid voor de levensduur van tokens is een type beleidsobject dat regels voor tokenlevensduur bevat. Met dit beleid bepaalt u hoe lang toegangstokens, SAML en ID-tokens voor deze bron als geldig worden beschouwd. Beleid voor levensduur van tokens kan niet worden ingesteld voor vernieuwings- en sessietokens. Als geen beleid is ingesteld, dwingt het systeem de standaardwaarde voor de levensduur af.
Eigenschappen van het beleid voor levensduur toegang, id en SAML2-token
Door de eigenschap Levensduur van het toegangstoken te verlagen, wordt het risico beperkt dat een toegangstoken of id-token gedurende langere tijd wordt gebruikt door een kwaadwillende factor. (Deze tokens kunnen niet worden ingetrokken.) De afweging is dat de prestaties nadelig worden beïnvloed, omdat de tokens vaker moeten worden vervangen.
Zie Een beleid maken voor webaanmelding voor een voorbeeld.
De configuratie van het toegangs-, id- en SAML2-token wordt beïnvloed door de volgende eigenschappen en de respectievelijk ingestelde waarden:
- Eigenschap: levensduur van toegangstoken
- Tekenreeks voor beleidseigenschap: AccessTokenLifetime
- Gevolgen: Toegangstokens, ID-tokens, SAML2-tokens
- Standaard:
- Toegangstokens: varieert, afhankelijk van de clienttoepassing die het token aanvraagt. Zo krijgen clients met continue toegangsevaluatie (CAE) die onderhandelen over met CAE compatibele sessies een levensduur van een token met een lange levensduur (tot 28 uur).
- ID-tokens, SAML2-tokens: 1 uur
- Minimum: 10 minuten
- Maximum: 1 dag
Eigenschappen van levensduurbeleid voor vernieuwings- en sessietoken
De configuratie van vernieuwings- en sessietokens wordt beïnvloed door de volgende eigenschappen en hun respectievelijk ingestelde waarden. Na het buiten gebruik stellen van de vernieuwings- en sessietokenconfiguratie op 30 januari 2021, zal Microsoft Entra ID alleen de standaardwaarden respecteren die hieronder worden beschreven. Als u besluit Voorwaardelijke toegang niet te gebruiken om de aanmeldingsfrequentie te beheren, worden uw vernieuwings- en sessietokens op die datum ingesteld op de standaardconfiguratie en kunt u hun levensduur niet meer wijzigen.
| Eigenschappen | Tekenreeks voor beleid | Van invloed | Standaardinstelling |
|---|---|---|---|
| Maximum inactieve tijd van token vernieuwen | MaxInactiveTime | Tokens vernieuwen | 90 dagen |
| Max. leeftijd voor vernieuwen van tokens met enkele factor | MaxAgeSingleFactor | Tokens vernieuwen (voor alle gebruikers) | Until-revoked |
| Max. leeftijd voor vernieuwen van tokens met meerdere factoren | MaxAgeMultiFactor | Tokens vernieuwen (voor alle gebruikers) | Until-revoked |
| Max. leeftijd voor sessietoken met enkele factoren | MaxAgeSessionSingleFactor | Sessietokens (permanent en niet-permanent) | Until-revoked |
| Max. leeftijd voor sessietoken met meerdere factoren | MaxAgeSessionMultiFactor | Sessietokens (permanent en niet-permanent) | Until-revoked |
Niet-permanente sessietokens hebben een maximale inactieve tijd van 24 uur, terwijl permanente sessietokens een maximale inactieve tijd van 90 dagen hebben. Telkens wanneer het token voor eenmalige aanmelding wordt gebruikt binnen de geldigheidsperiode, wordt de geldigheidsperiode nog eens 24 uur of 90 dagen verlengd. Als het SSO-sessietoken niet wordt gebruikt binnen de maximale inactieve periode, wordt het beschouwd als verlopen en wordt het niet meer geaccepteerd. Wijzigingen in deze standaardperiode moeten worden gewijzigd met behulp van voorwaardelijke toegang.
U kunt PowerShell gebruiken om het beleid te vinden dat wordt beïnvloed door de buitengebruikstelling. Gebruik de PowerShell-cmdlets om alle beleidsregels te bekijken die in uw organisatie zijn gemaakt of om te zoeken welke apps zijn gekoppeld aan een specifiek beleid.
Beleidsevaluatie en prioriteitstelling
U kunt een beleid voor de levensduur van tokens maken en vervolgens toewijzen aan een specifieke toepassing en aan uw organisatie. Meerdere beleidsregels kunnen van toepassing zijn op een specifieke toepassing. Het beleid voor levensduur van tokens dat van kracht wordt, volgt deze regels:
- Als een beleid expliciet is toegewezen aan de organisatie, wordt dit afgedwongen.
- Als er geen beleid expliciet aan de organisatie is toegewezen, wordt het beleid dat aan de toepassing is toegewezen, afgedwongen.
- Als er geen beleid is toegewezen aan de organisatie of het toepassingsobject, worden de standaardwaarden afgedwongen. (Zie de tabel in Configureerbare eigenschappen voor levensduur van tokens.)
De geldigheid van een token wordt geëvalueerd op het moment dat het token wordt gebruikt. Het beleid met de hoogste prioriteit voor de toepassing die wordt geopend, wordt van kracht.
Alle perioden die hier worden gebruikt, worden opgemaakt volgens het C# TimeSpan-object: D.UU:MM:SS. Dus 80 dagen en 30 minuten zouden zijn 80.00:30:00. De voorlopende D kan worden verwijderd als nul, dus 90 minuten zou zijn 00:90:00.
Naslaginformatie over REST API
U kunt beleid voor levensduur van tokens configureren en deze toewijzen aan apps met behulp van Microsoft Graph. Zie het resourcetype en de tokenLifetimePolicy bijbehorende methoden voor meer informatie.
Naslaginformatie over cmdlets
Dit zijn de cmdlets in de Microsoft Graph PowerShell SDK.
Beleid beheren
U kunt de volgende opdrachten gebruiken om beleidsregels te beheren.
| Cmdlet | Beschrijving |
|---|---|
| New-MgPolicyTokenLifetimePolicy | Maakt een nieuwe beleidsregel. |
| Get-MgPolicyTokenLifetimePolicy | Hiermee haalt u alle beleidsregels voor de levensduur van tokens of een opgegeven beleid op. |
| Update-MgPolicyTokenLifetimePolicy | Werkt een bestaand beleid bij. |
| Remove-MgPolicyTokenLifetimePolicy | Hiermee verwijdert u het opgegeven beleid. |
Toepassingsbeleid
U kunt de volgende cmdlets gebruiken voor toepassingsbeleid.
| Cmdlet | Beschrijving |
|---|---|
| New-MgApplicationTokenLifetimePolicyByRef | Koppelt het opgegeven beleid aan een toepassing. |
| Get-MgApplicationTokenLifetimePolicyByRef | Hiermee haalt u het beleid op dat is toegewezen aan een toepassing. |
| Remove-MgApplicationTokenLifetimePolicyByRef | Hiermee verwijdert u beleid uit een toepassing. |
Volgende stappen
Lees voor meer informatie Voorbeelden van het configureren van levensduur van tokens.