Konfigurierbare Tokengültigkeitsdauer in Microsoft Identity Platform (Vorschau)
Sie können die Lebensdauer eines Zugriffs-, ID- oder SAML-Tokens angeben, das von der Microsoft Identity Platform ausgestellt wird. Sie können Tokenlebensdauern für alle Apps in Ihrer Organisation, für Mehrinstanzenanwendungen (Multi-Organisation) oder für Dienstprinzipale festlegen. Derzeit unterstützen wir nicht das Konfigurieren der Tokenlebensdauer für Dienstprinzipale für verwaltete Identitäten.
In Microsoft Entra ID steht ein Richtlinienobjekt für eine Reihe von Regeln, die für einzelne Anwendungen oder alle Anwendungen in einer Organisation erzwungen werden. Jeder Richtlinientyp verfügt über eine eindeutige Struktur mit verschiedenen Eigenschaften, die auf Objekte angewendet werden, denen sie zugewiesen sind.
Sie können eine Richtlinie als Standardrichtlinie für Ihre Organisation festlegen. Die Richtlinie wird auf alle Anwendungen der Organisation angewendet, sofern sie nicht von einer Richtlinie mit einer höheren Priorität außer Kraft gesetzt wird. Sie können eine Richtlinie auch bestimmten Anwendungen zuweisen. Die Reihenfolge der Priorität variiert je nach Richtlinientyp.
Entsprechende Beispiele finden Sie unter Beispiele zum Konfigurieren der Tokengültigkeitsdauer.
Hinweis
Die konfigurierbare Richtlinie für die Tokengültigkeitsdauer gilt nur für mobile und Desktopclients, die auf SharePoint Online- und OneDrive for Business-Ressourcen zugreifen, und nicht für Webbrowsersitzungen. Zum Verwalten der Gültigkeitsdauer von Webbrowsersitzungen für SharePoint Online und OneDrive for Business verwenden Sie das Feature Sitzungsdauer für bedingten Zugriff. Im SharePoint Online-Blog finden Sie weitere Informationen zum Konfigurieren von Timeouts für Leerlaufsitzungen.
Lizenzanforderungen
Für die Verwendung dieses Features wird eine Microsoft Entra ID P1-Lizenz benötigt. Um die richtige Lizenz für Ihre Anforderungen zu ermitteln, lesen Sie Vergleich der allgemein verfügbaren Features der Editionen Free und Premium.
Kunden mit Microsoft 365 Business-Lizenzen haben auch Zugriff auf Funktionen für bedingten Zugriff.
Richtlinien für die Tokenlebensdauer für Zugriffs-, SAML- und ID-Token
Sie können die Tokenlebensdauer-Richtlinien für Zugriffstoken, SAML-Token und ID-Token festlegen.
Zugriffstoken
Clients nutzen Zugriffstoken, um auf eine geschützte Ressource zuzugreifen. Ein Zugriffstoken kann nur für eine bestimmte Kombination aus Benutzer, Client und Ressource verwendet werden. Zugriffstoken können nicht widerrufen werden und sind bis zu ihrem Ablauf gültig. Ein böswilliger Akteur, der ein Zugriffstoken abgerufen hat, kann es während seiner gesamten Lebensdauer verwenden. Das Anpassen der Gültigkeitsdauer eines Zugriffstokens erfordert einen Kompromiss. Hierbei steht eine Verbesserung der Systemleistung einer Verlängerung der Zeitspanne gegenüber, über die der Client weiterhin Zugriff hat, nachdem das Konto der Benutzer*innen deaktiviert wurde. Eine verbesserte Systemleistung wird dadurch erzielt, dass ein Client weniger oft ein neues Zugriffstoken abrufen muss.
Die Standardlebensdauer eines Zugriffstokens ist variabel. Bei der Ausstellung wird der Standardlebensdauer eines Zugriffstokens ein zufälliger Wert im Bereich zwischen 60 und 90 Minuten (durchschnittlich 75 Minuten) zugewiesen. Die Standardlebensdauer hängt auch von der Clientanwendung, die das Token anfordert, oder von der Aktivierung des bedingten Zugriffs im Mandanten ab. Weitere Informationen finden Sie im Abschnitt zur Lebensdauer von Zugriffstoken.
SAML-Token
SAML-Token werden in vielen webbasierten SaaS-Anwendungen verwendet und über den SAML2-Protokollendpunkt von Microsoft Entra ID abgerufen. Sie werden auch in Anwendungen genutzt, in denen WS-Verbund verwendet wird. Die Standardlebensdauer des Tokens beträgt 1 Stunde. Für eine Anwendung wird die Lebensdauer des Tokens durch den Wert „NotOnOrAfter“ des <conditions …>-Elements im Token angegeben. Nach Ablauf der Lebensdauer des Tokens muss der Client eine neue Authentifizierungsanforderung initiieren, die häufig als Ergebnis des SSO-Sitzungstokens ohne interaktive Anmeldung erfüllt wird.
Der Wert von „NotOnOrAfter“ kann mithilfe des AccessTokenLifetime-Parameters in einer TokenLifetimePolicy geändert werden. Der Wert wird auf die in der Richtlinie konfigurierte Lebensdauer (sofern vorhanden) zuzüglich eines Zeitversatzfaktors von fünf Minuten festgelegt.
Die im Element <SubjectConfirmationData> angegebene Antragstellerbestätigung für „NotOnOrAfter“ ist von der Konfiguration der Tokenlebensdauer nicht betroffen.
ID-Token
ID-Token werden an Websites und native Clients übergeben. ID-Token enthalten Profilinformationen zu einem Benutzer. Ein ID-Token ist an eine bestimmte Kombination von Benutzer und Client gebunden. ID-Token werden bis zu ihrem Ablaufdatum als gültig betrachtet. In der Regel passt eine Webanwendung die Gültigkeitsdauer der Sitzung von Benutzer*innen in der Anwendung an die Gültigkeitsdauer des für die Benutzer*innen ausgegebenen ID-Tokens an. Sie können die Gültigkeitsdauer eines ID-Tokens anpassen, um zu steuern, wie oft die Webanwendung den Ablauf der Anwendungssitzung veranlasst und wie oft der Benutzer sich erneut bei Microsoft Identity Platform authentifizieren muss (entweder im Hintergrund oder interaktiv).
Richtlinien für die Tokenlebensdauer für Aktualisierungstoken und Sitzungstoken
Für Aktualisierungs- und Sitzungstoken können keine Richtlinien für die Tokenlebensdauer festgelegt werden. Informationen zu Lebensdauer, Timeout und Sperrung von Aktualisierungstoken finden Sie unter Aktualisierungstoken.
Wichtig
Ab dem 30. Januar 2021 können Sie die Lebensdauer von Aktualisierungs- und Sitzungstoken nicht mehr konfigurieren. Microsoft Entra berücksichtigt die Konfigurationen von Aktualisierungs- und Sitzungstoken in vorhandenen Richtlinien nicht mehr. Für neue Token, die nach dem Ablauf vorhandener Token ausgegeben werden, wird jetzt die Standardkonfiguration festgelegt. Die Gültigkeitsdauer von Zugriffs-, SAML- und ID-Token kann jedoch auch noch nach der Einstellung der Konfiguration von Aktualisierungs- und Sitzungstoken konfiguriert werden.
Die Gültigkeitsdauer des vorhandenen Tokens wird nicht geändert. Nach dem Ablauf des Tokens wird auf Basis des Standardwerts ein neues Token ausgegeben.
Wenn Sie weiterhin definieren möchten, nach welcher Zeit ein Benutzer zur erneuten Anmeldung aufgefordert werden soll, können Sie die Anmeldehäufigkeit im bedingten Zugriff konfigurieren. Weitere Informationen zum bedingten Zugriff finden Sie unter Konfigurieren der Verwaltung von Authentifizierungssitzungen mit bedingtem Zugriff.
Konfigurierbare Eigenschaften der Tokengültigkeitsdauer
Eine Tokengültigkeitsdauer-Richtlinie ist ein Richtlinienobjekt, das Regeln für die Tokengültigkeitsdauer enthält. Diese Richtlinie steuert, wie lange Zugriffstoken und ID-Token für diese Ressource als gültig angesehen werden. Richtlinien für die Tokengültigkeitsdauer können nicht für Aktualisierungs- und Sitzungstoken festgelegt werden. Wenn keine Richtlinie festgelegt ist, erzwingt das System den Standardwert für die Gültigkeitsdauer.
Eigenschaften der Richtlinien für die Gültigkeitsdauer von Zugriffs-, ID- und SAML2-Token
Durch das Reduzieren des Werts für die Eigenschaft „Gültigkeitsdauer Zugriffstoken“ wird das Risiko verringert, dass ein Zugriffstoken oder ID-Token von einem böswilligen Akteur für einen längeren Zeitraum verwendet wird. (Diese Token können nicht widerrufen werden.) Der Nachteil hierbei ist, dass die Leistung beeinträchtigt wird, da die Token häufiger ersetzt werden müssen.
Ein Beispiel finden Sie unter Erstellen einer Richtlinie für die Webanmeldung.
Die folgenden Eigenschaften und die entsprechenden Werte haben Auswirkungen auf die Konfiguration von Zugriffs-, ID- und SAML2-Token:
- Eigenschaft: Gültigkeitsdauer des Zugriffstokens
- Zeichenfolge der Richtlinieneigenschaft: AccessTokenLifetime
- Betrifft: Zugriffstoken, ID-Token, SAML2-Token
- Standard:
- Zugriffstoken: hängt von der Clientanwendung ab, die das Token anfordert. Beispielsweise erhalten CAE-fähige Clients (Continuous Access Evaluation), die CAE-fähige Sitzungen aushandeln, eine lange Tokengültigkeitsdauer (bis zu 28 Stunden).
- ID-Token, SAML2-Token: 1 Stunde
- Minimum: 10 Minuten
- Maximum: 1 Tag
Eigenschaften von Tokenlebensdauer-Richtlinien für Aktualisierungs- und Sitzungstoken
Die folgenden Eigenschaften und die entsprechenden Werte haben Auswirkungen auf die Konfiguration von Aktualisierungs- und Sitzungstoken. Nach der Ausmusterung der Konfiguration für Aktualisierungs- und Sitzungstoken am 30. Januar 2021 berücksichtigt Microsoft Entra ID nur die unten beschriebenen Standardwerte. Wenn Sie sich entscheiden, zum Verwalten der Anmeldehäufigkeit nicht den bedingten Zugriff zu verwenden, wird für Ihre Aktualisierungs- und Sitzungstoken an diesem Datum die Standardkonfiguration festgelegt, und Sie können ihre Gültigkeitsdauer nicht mehr ändern.
| Eigenschaft | Richtlinien-Eigenschaftszeichenfolge | Betrifft | Standard |
|---|---|---|---|
| Max. Zeit der Inaktivität für Aktualisierungstoken | MaxInactiveTime | Aktualisierungstoken | 90 Tage |
| Max. Alter Single-Factor-Aktualisierungstoken | MaxAgeSingleFactor | Aktualisierungstoken (für alle Benutzer) | Bis zum Widerruf |
| Max. Alter Multi-Factor-Aktualisierungstoken | MaxAgeMultiFactor | Aktualisierungstoken (für alle Benutzer) | Bis zum Widerruf |
| Max. Alter Single-Factor-Sitzungstoken | MaxAgeSessionSingleFactor | Sitzungstoken (permanent oder nicht-permanent) | Bis zum Widerruf |
| Max. Alter Multi-Factor-Sitzungstoken | MaxAgeSessionMultiFactor | Sitzungstoken (permanent oder nicht-permanent) | Bis zum Widerruf |
Nicht persistente Sitzungstoken haben eine maximale Inaktivitätszeit von 24 Stunden, wohingegen persistente Token eine maximale Inaktivitätszeit von 90 Tagen haben. Jedes Mal, wenn das SSO-Sitzungstoken innerhalb seiner Gültigkeitsdauer verwendet wird, verlängert sich die Gültigkeitsdauer um weitere 24 Stunden bzw. 90 Tage. Wenn das SSO-Sitzungstoken innerhalb seiner maximalen Inaktivitätszeit nicht verwendet wird, wird es als abgelaufen erachtet und nicht mehr akzeptiert. Alle Änderungen an dieser Standardzeitdauer sollten mithilfe des bedingten Zugriffs vorgenommen werden.
Sie können PowerShell verwenden, um die Richtlinien zu suchen, die von der Ausmusterung betroffen sind. Verwenden Sie die PowerShell-Cmdlets, um alle in Ihrer Organisation erstellten Richtlinien anzuzeigen oder zu ermitteln, welche Apps mit einer bestimmten Richtlinie verknüpft sind.
Richtlinienauswertung und Priorisierung
Sie können eine Richtlinie für die Gültigkeitsdauer von Token erstellen und dann einer bestimmten Anwendung und Ihrer Organisation zuweisen Für eine bestimmte Anwendung können mehrere Richtlinien gelten. Folgende Regeln bestimmen, welche Tokengültigkeitsdauer-Richtlinie wirksam wird:
- Wenn der Organisation explizit eine Richtlinie zugewiesen wird, wird sie erzwungen.
- Wenn der Organisation nicht explizit eine Richtlinie zugewiesen ist, wird die Richtlinie erzwungen, die der Anwendung zugewiesen ist.
- Wenn der Organisation oder dem Anwendungsobjekt keine Richtlinie zugewiesen ist, werden die Standardwerte erzwungen. (Siehe Tabelle unter Konfigurierbare Eigenschaften der Tokengültigkeitsdauer.)
Die Gültigkeit des Tokens wird zum Zeitpunkt seiner Verwendung überprüft. Die Richtlinie mit der höchsten Priorität für die Anwendung, auf die zugegriffen wird, wird wirksam.
Alle hier verwendeten Zeiträume werden nach dem C#-Objekt TimeSpan (D.HH:MM:SS) formatiert. Danach werden 80 Tage und 30 Minuten im Format 80.00:30:00 dargestellt. Das führende D kann gelöscht werden, wenn der Wert 0 ist. Danach werden 90 Minuten im Format 00:90:00 dargestellt.
REST-API-Referenz
Sie können Richtlinien für die Tokenlebensdauer konfigurieren und sie Apps mithilfe von Microsoft Graph zuweisen. Weitere Informationen finden Sie im Ressourcentyp tokenLifetimePolicy und den zugehörigen Methoden.
Cmdlet-Referenz
Dies sind die Cmdlets im Microsoft Graph PowerShell SDK.
Verwalten von Richtlinien
Sie können die folgenden Befehle zum Verwalten von Richtlinien verwenden.
| Cmdlet | BESCHREIBUNG |
|---|---|
| New-MgPolicyTokenLifetimePolicy | Erstellt eine neue Richtlinie. |
| Get-MgPolicyTokenLifetimePolicy | Ruft alle Richtlinien zur Tokenlebensdauer oder eine angegebene Richtlinie ab. |
| Update-MgPolicyTokenLifetimePolicy | Aktualisiert eine vorhandene Richtlinie. |
| Remove-MgPolicyTokenLifetimePolicy | Löscht die angegebene Richtlinie. |
Anwendungsrichtlinien
Sie können die folgenden Cmdlets für Anwendungsrichtlinien verwenden.
| Cmdlet | BESCHREIBUNG |
|---|---|
| New-MgApplicationTokenLifetimePolicyByRef | Verknüpft die angegebene Richtlinie mit einer Anwendung. |
| Get-MgApplicationTokenLifetimePolicyByRef | Ruft die Richtlinien ab, die einer Anwendung zugewiesen sind. |
| Remove-MgApplicationTokenLifetimePolicyByRef | Entfernt eine Richtlinie aus einer Anwendung. |
Nächste Schritte
Weitere Informationen finden Sie unter Beispiele zum Konfigurieren der Tokengültigkeitsdauer.