Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Sie können die Lebensdauer von Zugriffs-, ID- oder SAML-Token (Security Assertion Markup Language) konfigurieren, die von der Microsoft Identity Platform ausgestellt wurden. Tokenlebensdauern können für alle Apps in Ihrer Organisation, mehrinstanzenfähige Anwendungen oder bestimmte Dienstprinzipale festgelegt werden. Das Konfigurieren von Tokenlebensdauern für Prinzipale des verwalteten Identitätsdiensts wird nicht unterstützt.
In der Microsoft Entra-ID definieren Richtlinien Regeln, die auf einzelne Anwendungen oder alle Anwendungen in einer Organisation angewendet werden. Jeder Richtlinientyp verfügt über eindeutige Eigenschaften, die bestimmen, wie er für das Objekt erzwungen wird, dem es zugewiesen ist.
Eine Richtlinie kann als Standard für Ihre Organisation festgelegt werden, die auf alle Anwendungen angewendet wird, es sei denn, sie wird durch eine Richtlinie mit höherer Priorität außer Kraft gesetzt. Richtlinien können auch bestimmten Anwendungen zugewiesen werden, wobei die Priorität je nach Richtlinientyp variiert.
Praktische Anleitungen finden Sie in Beispielen zum Konfigurieren von Tokenlebensdauern.
Hinweis
Konfigurierbare Richtlinie für die Tokenlebensdauer gilt nur für Mobile- und Desktopclients, die auf SharePoint Online- und OneDrive for Business-Ressourcen zugreifen, und gilt nicht für Webbrowsersitzungen. Zum Verwalten der Gültigkeitsdauer von Webbrowsersitzungen für SharePoint Online und OneDrive for Business verwenden Sie das Feature Sitzungsdauer für bedingten Zugriff. Weitere Informationen zum Konfigurieren von Sitzungszeitüberschreitungen bei Inaktivität finden Sie im SharePoint Online-Blog.
Hinweis
Möglicherweise möchten Sie die Tokenlebensdauer erhöhen, damit ein Skript länger als eine Stunde ausgeführt wird. Viele Microsoft-Bibliotheken, z. B. das Microsoft Graph PowerShell SDK, erweitern die Tokenlebensdauer nach Bedarf, und Sie müssen keine Änderungen an der Zugriffstokenrichtlinie vornehmen.
Lizenzanforderungen
Für die Verwendung dieses Features wird eine Microsoft Entra ID P1-Lizenz benötigt. Um die richtige Lizenz für Ihre Anforderungen zu ermitteln, lesen Sie Vergleich der allgemein verfügbaren Features der Editionen Free und Premium.
Kunden mit Microsoft 365 Business-Lizenzen haben auch Zugriff auf Funktionen für bedingten Zugriff.
Richtlinien für die Tokenlebensdauer für Zugriffs-, SAML- und ID-Token
Sie können die Tokenlebensdauer-Richtlinien für Zugriffstoken, SAML-Token und ID-Token festlegen.
Zugriffstoken
Clients nutzen Zugriffstoken, um auf eine geschützte Ressource zuzugreifen. Ein Zugriffstoken kann nur für eine bestimmte Kombination aus Benutzer, Client und Ressource verwendet werden. Zugriffstoken können nicht widerrufen werden und sind bis zu ihrem Ablauf gültig. Ein böswilliger Akteur, der ein Zugriffstoken erlangt, kann es für die Dauer seiner Lebenszeit verwenden. Das Anpassen der Gültigkeitsdauer eines Zugriffstokens erfordert einen Kompromiss. Hierbei steht eine Verbesserung der Systemleistung einer Verlängerung der Zeitspanne gegenüber, über die der Client weiterhin Zugriff hat, nachdem das Konto der Benutzer*innen deaktiviert wurde. Eine verbesserte Systemleistung wird dadurch erzielt, dass ein Client weniger oft ein neues Zugriffstoken abrufen muss.
Die Standardlebensdauer eines Zugriffstokens ist variabel. Bei der Ausstellung wird der Standardlebensdauer eines Zugriffstokens ein zufälliger Wert im Bereich zwischen 60 und 90 Minuten (durchschnittlich 75 Minuten) zugewiesen. Die Standardlebensdauer hängt auch von der Clientanwendung, die das Token anfordert, oder von der Aktivierung des bedingten Zugriffs im Mandanten ab. Weitere Informationen finden Sie im Abschnitt zur Lebensdauer von Zugriffstoken.
SAML-Token
SAML-Token werden in vielen webbasierten SaaS-Anwendungen verwendet und über den SAML2-Protokollendpunkt von Microsoft Entra ID abgerufen. Sie werden auch in Anwendungen genutzt, in denen WS-Verbund verwendet wird. Die Standardlebensdauer des Tokens beträgt 1 Stunde. Für eine Anwendung wird die Lebensdauer des Tokens durch den Wert „NotOnOrAfter“ des <conditions …>-Elements im Token angegeben. Nach Ablauf der Lebensdauer des Tokens muss der Client eine neue Authentifizierungsanforderung initiieren, die häufig als Ergebnis des SSO-Sitzungstokens ohne interaktive Anmeldung erfüllt wird.
Der Wert von „NotOnOrAfter“ kann mithilfe des AccessTokenLifetime-Parameters in einer TokenLifetimePolicy geändert werden. Der Wert wird auf die in der Richtlinie konfigurierte Lebensdauer (sofern vorhanden) zuzüglich eines Zeitversatzfaktors von fünf Minuten festgelegt.
Die im Element <SubjectConfirmationData> angegebene Antragstellerbestätigung für „NotOnOrAfter“ ist von der Konfiguration der Tokenlebensdauer nicht betroffen.
ID-Token
ID-Token werden an Websites und native Clients übergeben. ID-Token enthalten Profilinformationen zu einem Benutzer. Ein ID-Token ist an eine bestimmte Kombination von Benutzer und Client gebunden. ID-Token werden bis zu ihrem Ablaufdatum als gültig betrachtet. In der Regel passt eine Webanwendung die Gültigkeitsdauer der Sitzung von Benutzer*innen in der Anwendung an die Gültigkeitsdauer des für die Benutzer*innen ausgegebenen ID-Tokens an. Sie können die Lebensdauer eines ID-Tokens anpassen, um zu steuern, wie oft die Anwendungssitzung abläuft und wie oft der Benutzer mit der Microsoft Identity Platform erneut authentifiziert werden muss (entweder still oder interaktiv).
Richtlinien für die Tokenlebensdauer für Aktualisierungstoken und Sitzungstoken
Sie können keine Richtlinien für die Tokenlebensdauer für Aktualisierungstoken und Sitzungstoken festlegen. Für Informationen zur Lebensdauer, zum Timeout und zur Sperrung von Aktualisierungstoken, siehe Aktualisierungstoken.
Wichtig
Ab dem 30. Januar 2021 können Sie keine Aktualisierungs- und Sitzungstokenlebensdauer konfigurieren. Microsoft Entra berücksichtigt die Konfigurationen von Aktualisierungs- und Sitzungstoken in vorhandenen Richtlinien nicht mehr. Neue ausgestellte Token werden auf die Standardkonfiguration festgelegt. Die Gültigkeitsdauer von Zugriffs-, SAML- und ID-Token kann jedoch auch noch nach der Einstellung der Konfiguration von Aktualisierungs- und Sitzungstoken konfiguriert werden.
Die Lebensdauer des vorhandenen Tokens wird nicht geändert. Nach dem Ablauf des Tokens wird auf Basis des Standardwerts ein neues Token ausgegeben.
Wenn Sie weiterhin definieren möchten, nach welcher Zeit ein Benutzer zur erneuten Anmeldung aufgefordert werden soll, können Sie die Anmeldehäufigkeit im bedingten Zugriff konfigurieren. Weitere Informationen zum bedingten Zugriff finden Sie unter Konfigurieren der Verwaltung von Authentifizierungssitzungen mit bedingtem Zugriff.
Konfigurierbare Eigenschaften der Tokengültigkeitsdauer
Eine Tokengültigkeitsdauer-Richtlinie ist ein Richtlinienobjekt, das Regeln für die Tokengültigkeitsdauer enthält. Diese Richtlinie steuert, wie lange Zugriffstoken und ID-Token für diese Ressource als gültig angesehen werden. Richtlinien für die Tokengültigkeitsdauer können nicht für Aktualisierungs- und Sitzungstoken festgelegt werden. Wenn keine Richtlinie festgelegt ist, erzwingt das System den Standardwert für die Gültigkeitsdauer.
Eigenschaften der Richtlinien für die Gültigkeitsdauer von Zugriffs-, ID- und SAML2-Token
Durch das Reduzieren des Werts für die Eigenschaft „Gültigkeitsdauer Zugriffstoken“ wird das Risiko verringert, dass ein Zugriffstoken oder ID-Token von einem böswilligen Akteur für einen längeren Zeitraum verwendet wird. (Diese Token können nicht widerrufen werden.) Der Nachteil hierbei ist, dass die Leistung beeinträchtigt wird, da die Token häufiger ersetzt werden müssen.
Ein Beispiel finden Sie unter Erstellen einer Richtlinie für die Webanmeldung.
Die folgenden Eigenschaften und die entsprechenden Werte haben Auswirkungen auf die Konfiguration von Zugriffs-, ID- und SAML2-Token:
- Eigenschaft: Gültigkeitsdauer des Zugriffstokens
- Zeichenfolge der Richtlinieneigenschaft: AccessTokenLifetime
- Betrifft: Zugriffstoken, ID-Token, SAML2-Token
-
Standard:
- Zugriffstoken: hängt von der Clientanwendung ab, die das Token anfordert. Beispielsweise erhalten CAE-fähige Clients (Continuous Access Evaluation), die CAE-fähige Sitzungen aushandeln, eine lange Tokengültigkeitsdauer (bis zu 28 Stunden).
- ID-Token, SAML2-Token: Eine Stunde
- Minimum: 10 Minuten
- Maximum: Ein Tag
Eigenschaften von Tokenlebensdauer-Richtlinien für Aktualisierungs- und Sitzungstoken
Die folgenden Eigenschaften und die entsprechenden Werte haben Auswirkungen auf die Konfiguration von Aktualisierungs- und Sitzungstoken. Nach der Ausmusterung der Konfiguration für Aktualisierungs- und Sitzungstoken am 30. Januar 2021 berücksichtigt Microsoft Entra ID nur die unten beschriebenen Standardwerte. Wenn Sie den bedingten Zugriff nicht zum Verwalten der Anmeldehäufigkeit verwenden möchten, werden Ihre Aktualisierungs- und Sitzungstoken an diesem Datum auf die Standardkonfiguration festgelegt und können ihre Lebensdauer nicht ändern.
| Eigenschaft | Richtlinien-Eigenschaftszeichenfolge | Betrifft | Standard |
|---|---|---|---|
| Max. Zeit der Inaktivität für Aktualisierungstoken | MaxInactiveTime | Aktualisierungstoken | 90 Tage |
| Max. Alter Single-Factor-Aktualisierungstoken | MaxAgeSingleFactor | Aktualisierungstoken (für alle Benutzer) | Bis zum Widerruf |
| Max. Alter Multi-Factor-Aktualisierungstoken | MaxAgeMultiFactor | Aktualisierungstoken (für alle Benutzer) | Bis zum Widerruf |
| Max. Alter Single-Factor-Sitzungstoken | MaxAgeSessionSingleFactor | Sitzungstoken (permanent oder nicht-permanent) | Bis zum Widerruf |
| Max. Alter Multi-Factor-Sitzungstoken | MaxAgeSessionMultiFactor | Sitzungstoken (permanent oder nicht-permanent) | Bis zum Widerruf |
Nicht persistente Sitzungstoken haben eine maximale Inaktivitätszeit von 24 Stunden, wohingegen persistente Token eine maximale Inaktivitätszeit von 90 Tagen haben. Jedes Mal, wenn das SSO-Sitzungstoken innerhalb seiner Gültigkeitsdauer verwendet wird, verlängert sich die Gültigkeitsdauer um weitere 24 Stunden bzw. 90 Tage. Wenn das SSO-Sitzungstoken nicht innerhalb des maximalen inaktiven Zeitraums verwendet wird, gilt es als abgelaufen und wird nicht mehr akzeptiert. Alle Änderungen an dieser Standardzeitdauer sollten mithilfe des bedingten Zugriffs vorgenommen werden.
Sie können PowerShell verwenden, um die Richtlinien zu suchen, die von der Ausmusterung betroffen sind. Verwenden Sie die PowerShell-Cmdlets, um alle in Ihrer Organisation erstellten Richtlinien anzuzeigen oder zu ermitteln, welche Apps mit einer bestimmten Richtlinie verknüpft sind.
Richtlinienauswertung und Priorisierung
Sie können eine Richtlinie für die Gültigkeitsdauer von Token erstellen und dann einer bestimmten Anwendung und Ihrer Organisation zuweisen Für eine bestimmte Anwendung können mehrere Richtlinien gelten. Folgende Regeln bestimmen, welche Tokengültigkeitsdauer-Richtlinie wirksam wird:
- Wenn der Organisation explizit eine Richtlinie zugewiesen wird, wird sie erzwungen.
- Wenn der Organisation nicht explizit eine Richtlinie zugewiesen ist, wird die Richtlinie erzwungen, die der Anwendung zugewiesen ist.
- Wenn der Organisation oder dem Anwendungsobjekt keine Richtlinie zugewiesen ist, werden die Standardwerte erzwungen. (Siehe Tabelle unter Konfigurierbare Eigenschaften der Tokengültigkeitsdauer.)
Die Gültigkeit des Tokens wird zum Zeitpunkt seiner Verwendung überprüft. Die Richtlinie mit der höchsten Priorität für die Anwendung, auf die zugegriffen wird, wird wirksam.
Alle hier verwendeten Zeiträume werden nach dem C#-Objekt TimeSpan (D.HH:MM:SS) formatiert. Danach werden 80 Tage und 30 Minuten im Format 80.00:30:00 dargestellt. Das führende D kann gelöscht werden, wenn der Wert 0 ist. Danach werden 90 Minuten im Format 00:90:00 dargestellt.
REST-API-Referenz
Sie können Richtlinien für die Tokenlebensdauer konfigurieren und sie Apps mithilfe von Microsoft Graph zuweisen. Weitere Informationen finden Sie im Ressourcentyp tokenLifetimePolicy und den zugehörigen Methoden.
Cmdlet-Referenz
Dies sind die Cmdlets im Microsoft Graph PowerShell SDK.
Verwalten von Richtlinien
Sie können die folgenden Befehle zum Verwalten von Richtlinien verwenden.
| Cmdlet | BESCHREIBUNG |
|---|---|
| New-MgPolicyTokenLifetimePolicy | Erstellt eine neue Richtlinie. |
| Get-MgPolicyTokenLifetimePolicy | Ruft alle Richtlinien zur Tokenlebensdauer oder eine angegebene Richtlinie ab. |
| Aktualisieren Sie die MgPolicyTokenLifetimePolicy | Aktualisiert eine vorhandene Richtlinie. |
| Remove-MgPolicyTokenLifetimePolicy | Löscht die angegebene Richtlinie. |
Anwendungsrichtlinien
Sie können die folgenden Cmdlets für Anwendungsrichtlinien verwenden.
| Cmdlet | BESCHREIBUNG |
|---|---|
| New-MgApplicationTokenLifetimePolicyByRef | Verknüpft die angegebene Richtlinie mit einer Anwendung. |
| Get-MgApplicationTokenLifetimePolicyByRef | Ruft die Richtlinien ab, die einer Anwendung zugewiesen sind. |
| Remove-MgApplicationTokenLifetimePolicyByRef | Entfernt eine Richtlinie aus einer Anwendung. |
Nächste Schritte
Weitere Informationen finden Sie unter Beispiele zum Konfigurieren der Tokengültigkeitsdauer.