Konfigurowalne okresy istnienia tokenu w Platforma tożsamości Microsoft (wersja zapoznawcza)
Możesz określić okres istnienia dostępu, identyfikatora lub tokenu SAML wystawionego przez Platforma tożsamości Microsoft. Okresy istnienia tokenu można ustawić dla wszystkich aplikacji w organizacji, dla aplikacji wielodostępnych (w wielu organizacjach) lub dla jednostek usługi. Obecnie nie obsługujemy konfigurowania okresów istnienia tokenu dla jednostek usługi tożsamości zarządzanej.
W usłudze Microsoft Entra ID obiekt zasad reprezentuje zestaw reguł wymuszanych dla poszczególnych aplikacji lub wszystkich aplikacji w organizacji. Każdy typ zasad ma unikatową strukturę z zestawem właściwości, które są stosowane do obiektów, do których są przypisane.
Zasady można wyznaczyć jako zasady domyślne dla organizacji. Zasady są stosowane do dowolnej aplikacji w organizacji, o ile nie są zastępowane przez zasady o wyższym priorytecie. Można również przypisać zasady do określonych aplikacji. Kolejność priorytetu zależy od typu zasad.
Aby zapoznać się z przykładami, przeczytaj przykłady konfigurowania okresów istnienia tokenu.
Uwaga
Konfigurowalne zasady okresu istnienia tokenu dotyczą tylko klientów mobilnych i stacjonarnych, którzy uzyskują dostęp do usługi SharePoint Online i OneDrive dla Firm zasobów, i nie mają zastosowania do sesji przeglądarki sieci Web. Aby zarządzać okresem istnienia sesji przeglądarki sieci Web dla usługi SharePoint Online i OneDrive dla Firm, użyj funkcji okresu istnienia sesji dostępu warunkowego. Zapoznaj się z blogem usługi SharePoint Online, aby dowiedzieć się więcej na temat konfigurowania limitów czasu bezczynności sesji.
Wymagania dotyczące licencji
Korzystanie z tej funkcji wymaga licencji Microsoft Entra ID P1. Aby znaleźć odpowiednią licencję na wymagania, zobacz Porównanie ogólnie dostępnych funkcji wersji Bezpłatna i Premium.
Klienci z licencjami platformy Microsoft 365 Business mają również dostęp do funkcji dostępu warunkowego.
Zasady okresu istnienia tokenu dla tokenów dostępu, protokołu SAML i tokenów identyfikatorów
Możesz ustawić zasady okresu istnienia tokenu dla tokenów dostępu, tokenów SAML i tokenów identyfikatorów.
Tokeny dostępu
Klienci używają tokenów dostępu do uzyskiwania dostępu do chronionego zasobu. Token dostępu może być używany tylko dla konkretnej kombinacji użytkownika, klienta i zasobu. Tokeny dostępu nie mogą zostać odwołane i są prawidłowe do czasu ich wygaśnięcia. Złośliwy aktor, który uzyskał token dostępu, może używać go w okresie jego istnienia. Dostosowanie okresu istnienia tokenu dostępu jest kompromisem między zwiększeniem wydajności systemu a zwiększeniem czasu, przez jaki klient zachowuje dostęp po wyłączeniu konta użytkownika. Poprawa wydajności systemu jest osiągana przez zmniejszenie liczby przypadków, w których klient musi uzyskać nowy token dostępu.
Domyślny okres istnienia tokenu dostępu to zmienna. Po wystawieniu domyślny okres istnienia tokenu dostępu jest przypisywany losowej wartości z zakresu od 60 do 90 minut (średnio 75 minut). Domyślny okres istnienia różni się również w zależności od aplikacji klienckiej żądającej tokenu lub włączenia dostępu warunkowego w dzierżawie. Aby uzyskać więcej informacji, zobacz Okres istnienia tokenu dostępu.
Tokeny języka SAML
Tokeny SAML są używane przez wiele internetowych aplikacji SaaS i są uzyskiwane przy użyciu punktu końcowego protokołu SAML2 firmy Microsoft Entra ID. Są one również używane przez aplikacje przy użyciu usługi WS-Federation. Domyślny okres istnienia tokenu to 1 godzina. Z perspektywy aplikacji okres ważności tokenu jest określany przez wartość <conditions …> NotOnOrAfter elementu w tokenie. Po zakończeniu okresu ważności tokenu klient musi zainicjować nowe żądanie uwierzytelniania, które często będzie spełnione bez logowania interakcyjnego w wyniku tokenu sesji Logowanie jednokrotne (SSO).
Wartość NotOnOrAfter można zmienić przy użyciu parametru AccessTokenLifetime w obiekcie TokenLifetimePolicy. Zostanie ona ustawiona na okres istnienia skonfigurowany w zasadach, jeśli istnieje, oraz współczynnik niesymetryczności zegara 5 minut.
Potwierdzenie podmiotu NotOnOrAfter określone w elemecie <SubjectConfirmationData> nie ma wpływu na konfigurację okresu istnienia tokenu.
Tokeny identyfikatorów
Tokeny identyfikatorów są przekazywane do witryn internetowych i klientów natywnych. Tokeny identyfikatorów zawierają informacje o profilu użytkownika. Token identyfikatora jest powiązany z określoną kombinacją użytkownika i klienta. Tokeny identyfikatorów są uznawane za prawidłowe do momentu ich wygaśnięcia. Zazwyczaj aplikacja internetowa pasuje do okresu istnienia sesji użytkownika w aplikacji do okresu istnienia tokenu identyfikatora wystawionego dla użytkownika. Możesz dostosować okres istnienia tokenu identyfikatora, aby kontrolować, jak często aplikacja internetowa wygasa sesji aplikacji i jak często wymaga ponownego uwierzytelnienia użytkownika przy użyciu Platforma tożsamości Microsoft (w trybie dyskretnym lub interaktywnym).
Zasady okresu istnienia tokenu dla tokenów odświeżania i tokenów sesji
Nie można ustawić zasad okresu istnienia tokenu dla tokenów odświeżania i tokenów sesji. Aby uzyskać informacje o okresie istnienia, przekroczeniu limitu czasu i odwołaniu dotyczące tokenów odświeżania, zobacz Odświeżanie tokenów.
Ważne
Od 30 stycznia 2021 r. nie można skonfigurować okresów istnienia tokenu odświeżania i sesji. Firma Microsoft Entra nie honoruje już konfiguracji tokenu odświeżania i sesji w istniejących zasadach. Nowe tokeny wystawione po wygaśnięciu istniejących tokenów są teraz ustawione na konfigurację domyślną. Po wycofaniu konfiguracji tokenu odświeżania i sesji nadal można skonfigurować okresy istnienia dostępu, protokołu SAML i tokenu identyfikatora.
Okres istnienia istniejącego tokenu nie zostanie zmieniony. Po wygaśnięciu nowego tokenu zostanie wystawiony na podstawie wartości domyślnej.
Jeśli musisz nadal definiować okres, po którym użytkownik zostanie poproszony o ponowne zalogowanie się, skonfiguruj częstotliwość logowania w dostępie warunkowym. Aby dowiedzieć się więcej na temat dostępu warunkowego, przeczytaj Konfigurowanie zarządzania sesjami uwierzytelniania przy użyciu dostępu warunkowego.
Konfigurowalne właściwości okresu istnienia tokenu
Zasady okresu istnienia tokenu to typ obiektu zasad, który zawiera reguły okresu istnienia tokenu. Te zasady kontrolują, jak długi dostęp, protokół SAML i tokeny identyfikatorów dla tego zasobu są uznawane za prawidłowe. Nie można ustawić zasad okresu istnienia tokenu dla tokenów odświeżania i sesji. Jeśli nie ustawiono żadnych zasad, system wymusza domyślną wartość okresu istnienia.
Właściwości zasad okresu istnienia tokenu dostępu, identyfikatora i protokołu SAML2
Zmniejszenie właściwości Okres istnienia tokenu dostępu ogranicza ryzyko użycia tokenu dostępu lub tokenu identyfikatora przez złośliwego aktora przez dłuższy czas. (Nie można odwołać tych tokenów). Kompromis polega na tym, że wydajność ma negatywny wpływ, ponieważ tokeny muszą być zastępowane częściej.
Przykład można znaleźć w temacie Create a policy for web sign-in (Tworzenie zasad logowania internetowego).
Konfiguracja tokenu dostępu, identyfikatora i tokenu SAML2 ma wpływ na następujące właściwości i ich odpowiednio ustawione wartości:
- Właściwość: Okres istnienia tokenu dostępu
- Ciąg właściwości zasad: AccessTokenLifetime
- Wpływ: tokeny dostępu, tokeny identyfikatorów, tokeny SAML2
- Ustawienie domyślne:
- Tokeny dostępu: różnią się w zależności od aplikacji klienckiej żądającej tokenu. Na przykład klienci obsługujący ciągłą ocenę dostępu (CAE), którzy negocjują sesje obsługujące caE, będą widzieć długi okres istnienia tokenu (do 28 godzin).
- Tokeny identyfikatorów, tokeny SAML2: 1 godzina
- Minimum: 10 minut
- Maksymalna: 1 dzień
Właściwości zasad okresu istnienia tokenu odświeżania i sesji
Konfiguracja tokenu odświeżania i sesji ma wpływ na następujące właściwości i ich odpowiednio ustawione wartości. Po wycofaniu konfiguracji tokenu odświeżania i sesji 30 stycznia 2021 r. identyfikator Entra firmy Microsoft będzie uwzględniać tylko wartości domyślne opisane poniżej. Jeśli zdecydujesz się nie używać dostępu warunkowego do zarządzania częstotliwością logowania, tokeny odświeżania i sesji zostaną ustawione na domyślną konfigurację w tej dacie i nie będzie można zmienić ich okresów istnienia.
| Właściwości | Ciąg właściwości zasad | Wpływa | Wartość domyślna |
|---|---|---|---|
| Odświeżanie maksymalnego czasu nieaktywnego tokenu | MaxInactiveTime | Tokeny odświeżania | 90 dni |
| Maksymalny wiek tokenu odświeżania jednoskładnikowego | MaxAgeSingleFactor | Odświeżanie tokenów (dla wszystkich użytkowników) | Do odwołania |
| Maksymalny wiek tokenu odświeżania wieloskładnikowego | MaxAgeMultiFactor | Odświeżanie tokenów (dla wszystkich użytkowników) | Do odwołania |
| Maksymalny wiek tokenu sesji jednoskładnikowej | MaxAgeSessionSingleFactor | Tokeny sesji (trwałe i nietrwale) | Do odwołania |
| Maksymalny wiek tokenu sesji wieloskładnikowej | MaxAgeSessionMultiFactor | Tokeny sesji (trwałe i nietrwale) | Do odwołania |
Tokeny sesji nietrwałej mają maksymalny czas nieaktywności 24 godzin, natomiast tokeny sesji trwałej mają maksymalny czas nieaktywności 90 dni. Za każdym razem, gdy token sesji logowania jednokrotnego jest używany w okresie ważności, okres ważności zostanie przedłużony o kolejne 24 godziny lub 90 dni. Jeśli token sesji logowania jednokrotnego nie jest używany w ramach maksymalnego czasu nieaktywnego, zostanie uznany za wygasły i nie zostanie już zaakceptowany. Wszelkie zmiany w tym okresie domyślnym należy zmienić przy użyciu dostępu warunkowego.
Możesz użyć programu PowerShell, aby znaleźć zasady, które będą miały wpływ na wycofanie. Użyj poleceń cmdlet programu PowerShell, aby wyświetlić wszystkie zasady utworzone w organizacji lub znaleźć aplikacje połączone z określonymi zasadami.
Ocenianie i określanie priorytetów zasad
Możesz utworzyć i przypisać zasady okresu istnienia tokenu do określonej aplikacji i organizacji. Wiele zasad może dotyczyć określonej aplikacji. Zasady okresu istnienia tokenu, które obowiązują, są zgodne z następującymi regułami:
- Jeśli zasady są jawnie przypisane do organizacji, są wymuszane.
- Jeśli żadne zasady nie są jawnie przypisane do organizacji, zasady przypisane do aplikacji są wymuszane.
- Jeśli żadne zasady nie zostały przypisane do organizacji lub obiektu aplikacji, wartości domyślne są wymuszane. (Zobacz tabelę w tabeli w Konfigurowalne właściwości okresu istnienia tokenu).
Ważność tokenu jest oceniana w momencie użycia tokenu. Zasady o najwyższym priorytcie w aplikacji, do których uzyskuje się dostęp, obowiązują.
Wszystkie przedziały czasu używane w tym miejscu są formatowane zgodnie z obiektem TimeSpan języka C# — D.HH:MM:SS. Więc 80 dni i 30 minut będzie 80.00:30:00. Wiodące D można porzucić, jeśli zero, więc 90 minut będzie 00:90:00.
Dokumentacja interfejsu API REST
Zasady okresu istnienia tokenu można skonfigurować i przypisać je do aplikacji przy użyciu programu Microsoft Graph. Aby uzyskać więcej informacji, zobacz tokenLifetimePolicy typ zasobu i skojarzone z nią metody.
Informacje dotyczące poleceń cmdlet
Są to polecenia cmdlet w zestawie Microsoft Graph PowerShell SDK.
Zarządzanie zasadami
Do zarządzania zasadami można użyć następujących poleceń.
| Polecenia cmdlet | opis |
|---|---|
| New-MgPolicyTokenLifetimePolicy | Tworzy nowe zasady. |
| Get-MgPolicyTokenLifetimePolicy | Pobiera wszystkie zasady okresu istnienia tokenu lub określone zasady. |
| Update-MgPolicyTokenLifetimePolicy | Aktualizacje istniejących zasad. |
| Remove-MgPolicyTokenLifetimePolicy | Usuwa określone zasady. |
Zasady aplikacji
Dla zasad aplikacji można użyć następujących poleceń cmdlet.
| Polecenia cmdlet | opis |
|---|---|
| New-MgApplicationTokenLifetimePolicyByRef | Łączy określone zasady z aplikacją. |
| Get-MgApplicationTokenLifetimePolicyByRef | Pobiera zasady przypisane do aplikacji. |
| Remove-MgApplicationTokenLifetimePolicyByRef | Usuwa zasady z aplikacji. |
Następne kroki
Aby dowiedzieć się więcej, przeczytaj przykłady konfigurowania okresów istnienia tokenu.