Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Puede configurar la duración de los tokens de acceso, identificador o lenguaje de marcado de aserción de seguridad (SAML) emitidos por la plataforma de identidad de Microsoft. Las duraciones de tokens se pueden establecer para todas las aplicaciones de su organización, aplicaciones multiinquilino o entidades de servicio específicas. No se admite la configuración de duraciones de tokens para entidades de servicio de identidad administrada .
En Microsoft Entra ID, las directivas definen reglas aplicadas a aplicaciones individuales o a todas las aplicaciones de una organización. Cada tipo de directiva tiene propiedades únicas que determinan cómo se aplica en el objeto al que está asignado.
Una directiva se puede designar como valor predeterminado para la organización, aplicando a todas las aplicaciones a menos que se invalide mediante una directiva de mayor prioridad. Las directivas también se pueden asignar a aplicaciones específicas, con prioridad variable por tipo de directiva.
Para obtener instrucciones prácticas, consulte ejemplos de cómo configurar las duraciones de tokens.
Limitaciones y consideraciones
Antes de configurar las directivas de vigencia del token, tenga en cuenta lo siguiente:
- Ninguna interfaz de usuario del portal: las directivas de duración del token solo se pueden administrar a través de Microsoft Graph API y el SDK de PowerShell de Microsoft Graph. No hay ninguna superficie de configuración en el Centro de administración de Microsoft Entra.
- SharePoint y OneDrive: la directiva de vigencia de tokens configurable solo se aplica a los clientes móviles y de escritorio que acceden a los recursos de SharePoint Online y OneDrive para la Empresa. No se aplica a las sesiones del explorador web. Para administrar las duraciones de sesión del explorador web, use la duración de la sesión de acceso condicional. Consulte el blog de SharePoint Online para configurar los tiempos de espera de sesión inactivos.
-
Cuentas personales de Microsoft: las directivas de vida útil del token no se admiten para aplicaciones desarrolladas para cuentas personales de Microsoft (donde
signInAudiencese establece enAzureADandPersonalMicrosoftAccounto enPersonalMicrosoftAccount). - Identidades administradas: no se admite la configuración de duraciones de tokens para principales de servicio de identidad administrada.
- Duraciones de tokens de actualización y sesión: Las duraciones de tokens de actualización y de sesión ya no se pueden configurar a través de directivas de duración de tokens. Microsoft Entra ID usa solo los valores predeterminados que se describen a continuación. Para controlar la frecuencia con la que los usuarios deben iniciar sesión, use la frecuencia de inicio de sesión de acceso condicional en su lugar.
Directivas de vigencia para los tokens de acceso, SAML e identificador
Las directivas de vigencia de tokens se pueden establecer para los tokens de acceso, SAML y de identificador.
Tokens de acceso
Los clientes utilizan tokens de acceso para acceder a un recurso protegido. Solo se puede utilizar un token de acceso para una combinación específica de usuario, cliente y recurso. El ajuste de la vigencia de un token de acceso es un balance entre la mejora del rendimiento del sistema y el aumento de la cantidad de tiempo que el cliente conserva el acceso después de que la cuenta de usuario está deshabilitada. Se consigue un rendimiento mejorado del sistema al reducir el número de veces que un cliente necesita adquirir un token de acceso nuevo.
La duración predeterminada de un token de acceso es variable. Cuando se emite, a la duración predeterminada de un token de acceso se le asigna un valor aleatorio que oscila entre 60 y 90 minutos (75 minutos de media). La duración predeterminada también varía en función de la aplicación cliente que solicita el token, el recurso para el que se emite el token y si el acceso condicional está habilitado en el inquilino. Para obtener más información, vea Vigencia del token de acceso.
Cuando tanto el cliente como el recurso admiten la evaluación continua de acceso (CAE), la duración del token se puede extender automáticamente a 24-28 horas, cuando es seguro hacerlo. Estos tokens de larga duración se revocarán casi en tiempo real en respuesta a eventos críticos, como la deshabilitación de cuentas y los cambios de contraseña. Más información sobre cómo CAE afecta a la duración del token
Tokens de SAML
Muchas aplicaciones SaaS basadas en web usan tokens SAML, que se obtienen mediante el punto de conexión del protocolo SAML2 de Microsoft Entra ID. También se consumen mediante aplicaciones que usan WS-Federation. La duración predeterminada del token es de 1 hora. Desde la perspectiva de una aplicación, el período de validez del token se especifica mediante el valor NotOnOrAfter del elemento <conditions …> en el token. Una vez finalizado el período de validez del token, el cliente debe iniciar una nueva solicitud de autenticación, que a menudo se satisfará sin iniciar sesión de forma interactiva como resultado del token de sesión de inicio de sesión único (SSO).
El valor de NotOnOrAfter se puede cambiar mediante el parámetro AccessTokenLifetime en un TokenLifetimePolicy. Se establecerá en la duración configurada en la directiva, si la hay, más un factor de sesgo de reloj de cinco minutos.
Tenga en cuenta que la confirmación de asunto NotOnOrAfter especificada en el elemento <SubjectConfirmationData> no se ve afectada por la configuración de la vigencia del token.
Tokens de identificador
Los tokens de identificador se pasan a los clientes nativos y de sitios web. Los tokens de identificador contienen información de perfil de un usuario. Un token de identificador se enlaza a una combinación específica de usuario y cliente. Los tokens de identificador se consideran válidos hasta que expiran. Normalmente, una aplicación web relaciona la vigencia de la sesión de un usuario en la aplicación con la vigencia del token de identificador emitido para el usuario. Puede ajustar la duración de un token de identificador para controlar la frecuencia con la que expira la sesión de la aplicación web y con qué frecuencia requiere que el usuario se vuelva a autenticar con la plataforma de identidad de Microsoft (de forma silenciosa o interactiva).
Propiedades de vigencia de tokens configurables
Una directiva de vigencia del token es un tipo de objeto de directiva que contiene reglas de vigencia del token. Esta directiva controla cuánto tiempo se consideran válidos los tokens de acceso, SAML y de identificador para este recurso. Las directivas de vigencia de tokens no se pueden establecer para los tokens de actualización y sesión. Si no se establece ninguna directiva, el sistema aplica el valor de vigencia predeterminado.
Propiedades de la directiva de duración del token de SAML2, de id. y de acceso
Reducir la duración del token de acceso ayuda a limitar la cantidad de tiempo que puede usar un token de acceso o un token de identificador comprometidos por un actor malintencionado. La desventaja es que el rendimiento se ve afectado negativamente, ya que los tokens deben reemplazar con mayor frecuencia.
Para obtener un ejemplo, consulte Creación de una directiva para inicio de sesión web.
Las duraciones de los tokens de acceso, los tokens de identificador y los tokens SAML2 se controlan mediante la siguiente propiedad de directiva:
- Propiedad: duración del token de acceso
-
Cadena de propiedad de política:
AccessTokenLifetime - Afecta a: tokens de acceso, de id. y de SAML2
-
Predeterminado:
- Tokens de acceso: el valor predeterminado varía en función de la aplicación cliente que solicite el token. Los clientes compatibles con CAE que negocian sesiones compatibles con CAE pueden recibir tokens de larga duración (hasta 28 horas).
- Tokens de id., tokens de SAML2: Una hora
-
Mínimo: 10 minutos (
00:10:00) -
Máximo: un día (
23:59:59)
Nota
A pesar del nombre, AccessTokenLifetime controla la duración de los tokens de acceso, los tokens de identificador y los tokens SAML2.
Evaluación y prioridades de directivas
Puede crear y, a continuación, asignar una directiva de vigencia del token a una aplicación específica y a su organización. Se pueden aplicar varias directivas a una aplicación específica. La directiva de vigencia del token que entra en vigor sigue estas reglas:
Importante
Para las directivas de duración de tokens, una directiva de nivel de organización tiene prioridad sobre una directiva de nivel de aplicación . Si la directiva de nivel de aplicación no parece surtir efecto, compruebe si existe una directiva de nivel de organización.
- Si una directiva se asigna explícitamente a la organización, se aplica.
- Si no hay ninguna directiva que se asigne explícitamente a la organización, se aplicará la directiva asignada a la aplicación.
- Si no se ha asignado ninguna directiva a la organización o el objeto de aplicación, se aplican los valores predeterminados. (Consulte la tabla que aparece en Propiedades de vigencia de tokens configurables).
La validez de un token se evalúa en el momento en el que se usa. La directiva con la prioridad más alta en la aplicación a la que se accede es la que se aplica.
Directivas de vigencia de tokens para tokens de actualización y tokens de sesión (retirados)
Importante
A partir del 30 de enero de 2021, las duraciones de los tokens de actualización y de sesión ya no son configurables mediante las políticas de duración de tokens. Microsoft Entra ID usa solo los valores predeterminados que se describen a continuación. Para controlar la frecuencia con la que los usuarios deben iniciar sesión, use la frecuencia de inicio de sesión de acceso condicional en su lugar.
Si tiene directivas existentes que establecen las propiedades del token de actualización o sesión, se omiten esas propiedades. Los nuevos tokens siempre se emiten con la configuración predeterminada.
Valores predeterminados de los tokens de actualización y de sesión (no configurables)
En la tabla siguiente se documentan los valores predeterminados que permanecen en vigor. Estos valores no se pueden cambiar a través de directivas de vigencia de tokens.
| Propiedad | Cadena de propiedad de directiva | Predeterminado |
|---|---|---|
| Tiempo máximo de inactividad del token de actualización | MaxInactiveTime |
90 días |
| Antigüedad máxima del token de actualización (un solo factor) | MaxAgeSingleFactor |
Hasta que se revoca |
| Antigüedad máxima del token de actualización (varios factores) | MaxAgeMultiFactor |
Hasta que se revoca |
| Antigüedad máxima del token de sesión (un solo factor) | MaxAgeSessionSingleFactor |
Hasta que se revoca |
| Antigüedad máxima del token de sesión (varios factores) | MaxAgeSessionMultiFactor |
Hasta que se revoca |
Los tokens de sesión no persistentes tienen un tiempo de inactividad máximo de 24 horas; los tokens de sesión persistentes tienen un tiempo de inactividad máximo de 90 días. Cuando el token de sesión de SSO se usa dentro de su período de validez, el período de validez se extiende durante otras 24 horas o 90 días, respectivamente.
Para localizar políticas existentes que puedan seguir conteniendo propiedades de tokens de actualización o sesión retiradas, use los cmdlets de PowerShell.
Referencia de la API REST
Sugerencia
Todas las duraciones de tiempo tienen el formato TimeSpan de C#: hh:mm:ss. El valor mínimo de 10 minutos es 00:10:00 y el valor máximo es 23:59:59.
Puede configurar directivas de vigencia de tokens y asignarlas a aplicaciones mediante Microsoft Graph. Para más información, consulte el tipo de tokenLifetimePolicy recurso y sus métodos asociados.
Referencia de cmdlets
Estos son los cmdlets del SDK de PowerShell de Microsoft Graph.
Administración de directivas
Los comandos siguientes se pueden usar para administrar directivas.
| Cmdlet | Descripción |
|---|---|
| New-MgPolicyTokenLifetimePolicy | Crea una nueva directiva. |
| Get-MgPolicyTokenLifetimePolicy | Obtiene todas las directivas de vigencia del token o una directiva especificada. |
| Update-MgPolicyTokenLifetimePolicy | Actualiza una directiva existente. |
| Remove-MgPolicyTokenLifetimePolicy | Elimina la directiva especificada. |
Directivas de aplicación
Puede usar los siguientes cmdlets para políticas de aplicaciones.
| Cmdlet | Descripción |
|---|---|
| New-MgApplicationTokenLifetimePolicyByRef | Vincula la directiva especificada a una aplicación. |
| Get-MgApplicationTokenLifetimePolicyByRef | Obtiene las directivas asignadas a una aplicación. |
| Remove-MgApplicationTokenLifetimePolicyByRef | Quita una directiva de una aplicación. |
Pasos siguientes
Para obtener más información, lea los ejemplos configuración de la vigencia de los tokens.