Konfigurierbare Tokengültigkeitsdauer in Microsoft Identity Platform (Vorschau)

Sie können die Gültigkeitsdauer eines Zugriffs-, ID- oder SAML-Tokens angeben, das von Microsoft Identity Platform ausgestellt wird. Die Tokengültigkeitsdauer können Sie für alle Apps Ihrer Organisation, für eine mehrinstanzenfähige Anwendung (Multiorganisationsanwendung) oder für einen bestimmten Dienstprinzipal in Ihrer Organisation festlegen. Allerdings unterstützen wir derzeit nicht das Konfigurieren der Tokenlebensdauer bei Dienstprinzipalen für verwaltete Identitäten.

In Azure AD steht ein Richtlinienobjekt für eine Reihe von Regeln, die für einzelne Anwendungen oder alle Anwendungen in einer Organisation erzwungen werden. Jeder Richtlinientyp verfügt über eine eindeutige Struktur mit einem Satz von Eigenschaften, die auf Objekte angewendet werden, denen sie zugewiesen sind.

Sie können eine Richtlinie als Standardrichtlinie für Ihre Organisation festlegen. Die Richtlinie wird auf alle Anwendungen der Organisation angewendet, sofern sie nicht von einer Richtlinie mit einer höheren Priorität außer Kraft gesetzt wird. Sie können eine Richtlinie auch bestimmten Anwendungen zuweisen. Die Reihenfolge der Priorität variiert je nach Richtlinientyp.

Entsprechende Beispiele finden Sie unter Beispiele zum Konfigurieren der Tokengültigkeitsdauer.

Hinweis

Die konfigurierbare Richtlinie für die Tokengültigkeitsdauer gilt nur für mobile und Desktopclients, die auf SharePoint Online- und OneDrive for Business-Ressourcen zugreifen, und nicht für Webbrowsersitzungen. Zum Verwalten der Gültigkeitsdauer von Webbrowsersitzungen für SharePoint Online und OneDrive for Business verwenden Sie das Feature Sitzungsdauer für bedingten Zugriff. Im SharePoint Online-Blog finden Sie weitere Informationen zum Konfigurieren von Timeouts für Leerlaufsitzungen.

Lizenzanforderungen

Für die Verwendung dieses Features ist eine Azure AD Premium P1-Lizenz erforderlich. Um die richtige Lizenz für Ihre Anforderungen zu ermitteln, lesen Sie Vergleich der allgemein verfügbaren Features der Editionen Free und Premium.

Kunden mit Microsoft 365 Business-Lizenzen haben auch Zugriff auf Funktionen für bedingten Zugriff.

Richtlinien für die Tokenlebensdauer für Zugriffs-, SAML- und ID-Token

Sie können die Tokenlebensdauer-Richtlinien für Zugriffstoken, SAML-Token und ID-Token festlegen.

Zugriffstoken

Clients nutzen Zugriffstoken, um auf eine geschützte Ressource zuzugreifen. Ein Zugriffstoken kann nur für eine bestimmte Kombination aus Benutzer, Client und Ressource verwendet werden. Zugriffstoken können nicht widerrufen werden und sind bis zu ihrem Ablauf gültig. Ein böswilliger Akteur, der ein Zugriffstoken abgerufen hat, kann es während seiner gesamten Lebensdauer verwenden. Das Anpassen der Gültigkeitsdauer eines Zugriffstokens erfordert einen Kompromiss. Hierbei steht eine Verbesserung der Systemleistung einer Verlängerung der Zeitspanne gegenüber, über die der Client weiterhin Zugriff hat, nachdem das Konto der Benutzer*innen deaktiviert wurde. Eine verbesserte Systemleistung wird dadurch erzielt, dass ein Client weniger oft ein neues Zugriffstoken abrufen muss.

Die Standardlebensdauer eines Zugriffstokens ist variabel. Bei der Ausstellung wird der Standardlebensdauer eines Zugriffstokens ein zufälliger Wert im Bereich zwischen 60 und 90 Minuten (durchschnittlich 75 Minuten) zugewiesen. Die Standardlebensdauer hängt auch abhängig von der Clientanwendung, die das Token an fordert, oder davon ab, ob der bedingte Zugriff im Mandanten aktiviert ist. Weitere Informationen finden Sie im Abschnitt zur Lebensdauer von Zugriffstoken.

SAML-Token

SAML-Token werden in vielen webbasierten SaaS-Anwendungen verwendet und über den SAML2-Protokollendpunkt von Azure Active Directory abgerufen. Sie werden auch in Anwendungen genutzt, in denen WS-Verbund verwendet wird. Die Standardlebensdauer des Tokens beträgt 1 Stunde. Für eine Anwendung wird die Lebensdauer des Tokens durch den Wert „NotOnOrAfter“ des <conditions …>-Elements im Token angegeben. Nach Ablauf der Lebensdauer des Tokens muss der Client eine neue Authentifizierungsanforderung initiieren, die häufig als Ergebnis des SSO-Sitzungstokens ohne interaktive Anmeldung erfüllt wird.

Der Wert von „NotOnOrAfter“ kann mithilfe des AccessTokenLifetime-Parameters in einer TokenLifetimePolicy geändert werden. Der Wert wird auf die in der Richtlinie konfigurierte Lebensdauer (sofern vorhanden) zuzüglich eines Zeitversatzfaktors von fünf Minuten festgelegt.

Die im Element <SubjectConfirmationData> angegebene Antragstellerbestätigung für „NotOnOrAfter“ ist von der Konfiguration der Tokenlebensdauer nicht betroffen.

ID-Token

ID-Token werden an Websites und native Clients übergeben. ID-Token enthalten Profilinformationen zu einem Benutzer. Ein ID-Token ist an eine bestimmte Kombination von Benutzer und Client gebunden. ID-Token werden bis zu ihrem Ablaufdatum als gültig betrachtet. In der Regel passt eine Webanwendung die Gültigkeitsdauer der Sitzung von Benutzer*innen in der Anwendung an die Gültigkeitsdauer des für die Benutzer*innen ausgegebenen ID-Tokens an. Sie können die Gültigkeitsdauer eines ID-Tokens anpassen, um zu steuern, wie oft die Webanwendung den Ablauf der Anwendungssitzung veranlasst und wie oft der Benutzer sich erneut bei Microsoft Identity Platform authentifizieren muss (entweder im Hintergrund oder interaktiv).

Richtlinien für die Tokenlebensdauer für Aktualisierungstoken und Sitzungstoken

Für Aktualisierungs- und Sitzungstoken können keine Richtlinien für die Tokenlebensdauer festgelegt werden. Informationen zu Lebensdauer, Timeout und Sperrung von Aktualisierungstoken finden Sie unter Aktualisierungstoken.

Wichtig

Ab dem 30. Januar 2021 können Sie die Gültigkeitsdauer von Aktualisierungs- und Sitzungstoken nicht mehr konfigurieren. Azure Active Directory berücksichtigt die Konfigurationen von Aktualisierungs- und Sitzungstoken in vorhandenen Richtlinien nicht mehr. Für neue Token, die nach dem Ablauf vorhandener Token ausgegeben werden, wird jetzt die Standardkonfiguration festgelegt. Die Gültigkeitsdauer von Zugriffs-, SAML- und ID-Token kann jedoch auch noch nach der Einstellung der Konfiguration von Aktualisierungs- und Sitzungstoken konfiguriert werden.

Die Gültigkeitsdauer des vorhandenen Tokens wird nicht geändert. Nach dem Ablauf des Tokens wird auf Basis des Standardwerts ein neues Token ausgegeben.

Wenn Sie weiterhin definieren möchten, nach welcher Zeit ein Benutzer zur erneuten Anmeldung aufgefordert werden soll, können Sie die Anmeldehäufigkeit im bedingten Zugriff konfigurieren. Weitere Informationen zum bedingten Zugriff finden Sie unter Konfigurieren der Verwaltung von Authentifizierungssitzungen mit bedingtem Zugriff.

Konfigurierbare Eigenschaften der Tokengültigkeitsdauer

Eine Tokengültigkeitsdauer-Richtlinie ist ein Richtlinienobjekt, das Regeln für die Tokengültigkeitsdauer enthält. Diese Richtlinie steuert, wie lange Zugriffstoken und ID-Token für diese Ressource als gültig angesehen werden. Richtlinien für die Tokengültigkeitsdauer können nicht für Aktualisierungs- und Sitzungstoken festgelegt werden. Wenn keine Richtlinie festgelegt ist, erzwingt das System den Standardwert für die Gültigkeitsdauer.

Eigenschaften der Richtlinien für die Gültigkeitsdauer von Zugriffs-, ID- und SAML2-Token

Durch das Reduzieren des Werts für die Eigenschaft „Gültigkeitsdauer Zugriffstoken“ wird das Risiko verringert, dass ein Zugriffstoken oder ID-Token von einem böswilligen Akteur für einen längeren Zeitraum verwendet wird. (Diese Token können nicht widerrufen werden.) Der Nachteil hierbei ist, dass die Leistung beeinträchtigt wird, da die Token häufiger ersetzt werden müssen.

Ein Beispiel finden Sie unter Erstellen einer Richtlinie für die Webanmeldung.

Die folgenden Eigenschaften und die entsprechenden Werte haben Auswirkungen auf die Konfiguration von Zugriffs-, ID- und SAML2-Token:

  • Eigenschaft: Gültigkeitsdauer des Zugriffstokens
  • Zeichenfolge der Richtlinieneigenschaft: AccessTokenLifetime
  • Betrifft: Zugriffstoken, ID-Token, SAML2-Token
  • Standardwert:
    • Zugriffstoken: hängt von der Clientanwendung ab, die das Token anfordert. Beispielsweise erhalten CAE-fähige Clients (Continuous Access Evaluation), die CAE-fähige Sitzungen aushandeln, eine lange Tokengültigkeitsdauer (bis zu 28 Stunden).
    • ID-Token, SAML2-Token: 1 Stunde
  • Minimum: 10 Minuten
  • Maximum: 1 Tag

Eigenschaften von Tokenlebensdauer-Richtlinien für Aktualisierungs- und Sitzungstoken

Die folgenden Eigenschaften und die entsprechenden Werte haben Auswirkungen auf die Konfiguration von Aktualisierungs- und Sitzungstoken. Nach der Ausmusterung der Konfiguration für Aktualisierungs- und Sitzungstoken am 30. Januar 2021 berücksichtigt Azure AD nur die unten beschriebenen Standardwerte. Wenn Sie sich entscheiden, zum Verwalten der Anmeldehäufigkeit nicht den bedingten Zugriff zu verwenden, wird für Ihre Aktualisierungs- und Sitzungstoken an diesem Datum die Standardkonfiguration festgelegt, und Sie können ihre Gültigkeitsdauer nicht mehr ändern.

Eigenschaft Richtlinien-Eigenschaftszeichenfolge Betrifft Standard
Max. Zeit der Inaktivität für Aktualisierungstoken MaxInactiveTime Aktualisierungstoken 90 Tage
Max. Alter Single-Factor-Aktualisierungstoken MaxAgeSingleFactor Aktualisierungstoken (für alle Benutzer) Bis zum Widerruf
Max. Alter Multi-Factor-Aktualisierungstoken MaxAgeMultiFactor Aktualisierungstoken (für alle Benutzer) Bis zum Widerruf
Max. Alter Single-Factor-Sitzungstoken MaxAgeSessionSingleFactor Sitzungstoken (beständig und nicht beständig) Bis zum Widerruf
Max. Alter Multi-Factor-Sitzungstoken MaxAgeSessionMultiFactor Sitzungstoken (beständig und nicht beständig) Bis zum Widerruf

Nicht-permanente Sitzungstoken haben eine maximale Inaktivitätszeit von 24 Stunden, wohingegen permanente Token eine maximale Inaktivitätszeit von 180 Tagen haben. Jedes Mal, wenn das SSO-Sitzungstoken innerhalb seiner Gültigkeitsdauer verwendet wird, verlängert sich die Gültigkeitsdauer um weitere 24 Stunden bzw. 180 Tage. Wenn das SSO-Sitzungstoken innerhalb seiner maximalen Inaktivitätszeit nicht verwendet wird, wird es als abgelaufen erachtet und nicht mehr akzeptiert. Alle Änderungen an diesen Standardzeiträumen sollten mithilfe des bedingten Zugriffs vorgenommen werden.

Sie können PowerShell verwenden, um die Richtlinien zu suchen, die von der Ausmusterung betroffen sind. Verwenden Sie die PowerShell-Cmdlets, um alle in Ihrer Organisation erstellten Richtlinien anzuzeigen oder zu ermitteln, welche Apps und Dienstprinzipale mit einer bestimmten Richtlinie verknüpft sind.

Richtlinienauswertung und Priorisierung

Sie können eine Richtlinie für die Gültigkeitsdauer von Token erstellen und dann einer bestimmten Anwendung, Ihrer Organisation und Dienstprinzipalen zuweisen. Für eine bestimmte Anwendung können mehrere Richtlinien gelten. Folgende Regeln bestimmen, welche Tokengültigkeitsdauer-Richtlinie wirksam wird:

  • Wenn eine Richtlinie explizit dem Dienstprinzipal zugewiesen ist, wird sie erzwungen.
  • Wenn dem Dienstprinzipal nicht explizit eine Richtlinie zugewiesen ist, wird eine Richtlinie erzwungen, die explizit der übergeordneten Organisation des Dienstprinzipals zugewiesen ist.
  • Wenn dem Dienstprinzipal oder der Organisation nicht explizit eine Richtlinie zugewiesen ist, wird die Richtlinie erzwungen, die der Anwendung zugewiesen ist.
  • Wenn dem Dienstprinzipal, der Organisation oder dem Anwendungsobjekt keine Richtlinie zugewiesen ist, werden die Standardwerte erzwungen. (Siehe Tabelle unter Konfigurierbare Eigenschaften der Tokengültigkeitsdauer.)

Ausführliche Informationen zu den Beziehungen zwischen Anwendungsobjekten und Dienstprinzipalobjekten finden Sie unter Anwendungs- und Dienstprinzipalobjekte in Azure Active Directory.

Die Gültigkeit des Tokens wird zum Zeitpunkt seiner Verwendung überprüft. Die Richtlinie mit der höchsten Priorität für die Anwendung, auf die zugegriffen wird, wird wirksam.

Alle hier verwendeten Zeiträume werden nach dem C#-Objekt TimeSpan (D.HH:MM:SS) formatiert. Danach werden 80 Tage und 30 Minuten im Format 80.00:30:00 dargestellt. Das führende D kann gelöscht werden, wenn der Wert 0 ist. Danach werden 90 Minuten im Format 00:90:00 dargestellt.

Cmdlet-Referenz

Dies sind die Cmdlets im Modul „Azure Active Directory PowerShell für Graph (Vorschau).

Verwalten von Richtlinien

Sie können die folgenden Cmdlets zum Verwalten von Richtlinien verwenden.

Cmdlet Beschreibung
New-AzureADPolicy Erstellt eine neue Richtlinie.
Get-AzureADPolicy Ruft alle Azure AD-Richtlinien oder eine angegebene Richtlinie ab.
Get-AzureADPolicyAppliedObject Ruft alle Apps und Dienstprinzipale ab, die mit einer Richtlinie verknüpft sind.
Set-AzureADPolicy Aktualisiert eine vorhandene Richtlinie.
Remove-AzureADPolicy Löscht die angegebene Richtlinie.

Anwendungsrichtlinien

Sie können die folgenden Cmdlets für Anwendungsrichtlinien verwenden.

Cmdlet Beschreibung
Add-AzureADApplicationPolicy Verknüpft die angegebene Richtlinie mit einer Anwendung.
Get-AzureADApplicationPolicy Ruft die Richtlinie ab, die einer Anwendung zugewiesen ist.
Remove-AzureADApplicationPolicy Entfernt eine Richtlinie aus einer Anwendung.

Dienstprinzipalrichtlinien

Sie können die folgenden Cmdlets für Dienstprinzipalrichtlinien verwenden.

Cmdlet Beschreibung
Add-AzureADServicePrincipalPolicy Verknüpft die angegebene Richtlinie mit einem Dienstprinzipal.
Get-AzureADServicePrincipalPolicy Ruft alle Richtlinien ab, die mit dem angegebenen Dienstprinzipal verknüpft sind.
Remove-AzureADServicePrincipalPolicy Entfernt die Richtlinie aus dem angegebenen Dienstprinzipal.

Nächste Schritte

Weitere Informationen finden Sie unter Beispiele zum Konfigurieren der Tokengültigkeitsdauer.