Remarque
L’accès à cette page requiert une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page requiert une autorisation. Vous pouvez essayer de modifier des répertoires.
Vous pouvez configurer la durée de vie des jetons d'accès, d'identité ou SAML (Security Assertion Markup Language) émis par la plateforme d’identités Microsoft. Les durées de vie des jetons peuvent être définies pour toutes les applications de votre organisation, applications mutualisées ou principaux de service spécifiques. La configuration des durées de vie de jetons pour les entités de service d’identité gérée n'est pas supportée.
Dans Microsoft Entra ID, les stratégies définissent des règles appliquées à des applications individuelles ou à toutes les applications d’une organisation. Chaque type de stratégie a des propriétés uniques qui déterminent la façon dont il est appliqué à l’objet auquel il est affecté.
Une stratégie peut être désignée comme valeur par défaut pour votre organisation, en appliquant à toutes les applications, sauf en cas de substitution par une stratégie de priorité supérieure. Les stratégies peuvent également être affectées à des applications spécifiques, avec une priorité variable par type de stratégie.
Pour obtenir des conseils pratiques, consultez des exemples de configuration des durées de vie des jetons.
Limitations et considérations
Avant de configurer les stratégies de durée de vie des jetons, tenez compte des éléments suivants :
- Aucune interface utilisateur du portail : les stratégies de durée de vie des jetons ne peuvent être gérées que par le biais de l’API Microsoft Graph et du Kit de développement logiciel (SDK) Microsoft Graph PowerShell. Il n’existe aucune surface de configuration dans le Centre d’administration Microsoft Entra.
- SharePoint et OneDrive : la stratégie de durée de vie des jetons configurable s’applique uniquement aux clients mobiles et de bureau qui accèdent aux ressources SharePoint Online et OneDrive Entreprise. Elle ne s’applique pas aux sessions de navigateur web. Pour gérer les durées de vie de session du navigateur web, utilisez la durée de vie de session d’accès conditionnel. Consultez le blog SharePoint Online pour la configuration des délais d’inactivité de session.
-
Comptes Microsoft personnels : les stratégies de durée de vie des jetons ne sont pas prises en charge pour les applications développées pour les comptes Microsoft personnels (où
signInAudienceelles sont définiesAzureADandPersonalMicrosoftAccountouPersonalMicrosoftAccount). - Identités gérées : la configuration des durées de vie des jetons pour les principaux de services d'identité gérée n'est pas supportée.
- Durées de vie des jetons d’actualisation et de session : les durées de vie des jetons d’actualisation et de session ne sont plus configurables par le biais de stratégies de durée de vie des jetons. Microsoft Entra ID utilise uniquement les valeurs par défaut décrites ci-dessous. Pour contrôler la fréquence à laquelle les utilisateurs sont tenus de se connecter, utilisez plutôt la fréquence de connexion à l’accès conditionnel .
Stratégies de durée de vie des jetons d’accès, SAML et d’ID
Vous pouvez définir les stratégies de durée de vie des jetons d’accès, SAML et d’ID.
Jetons d’accès
Les clients utilisent des jetons d’accès pour accéder à une ressource protégée. Un jeton d’accès peut uniquement être utilisé pour une combinaison spécifique d’utilisateur, de client et de ressource. L’ajustement de la durée de vie des jetons d’accès représente un compromis entre l’amélioration des performances du système et l’augmentation de la durée pendant laquelle le client conserve un accès une fois son compte désactivé. Les performances du système sont améliorées en réduisant le nombre de fois où un client doit acquérir un nouveau jeton d’accès.
La durée de vie par défaut d’un jeton d’accès est variable. Une fois un jeton d’accès émis, sa durée de vie par défaut se voit attribuer une valeur aléatoire comprise entre 60 et 90 minutes (75 minutes en moyenne). La durée de vie par défaut varie également selon l’application cliente demandant le jeton, la ressource pour laquelle le jeton est émis et si l’accès conditionnel est activé dans le locataire. Pour plus d’informations, consultez Durée de vie des jetons d’accès.
Lorsque le client et la ressource prennent en charge l’évaluation de l’accès continu (CAE), la durée de vie du jeton peut être automatiquement étendue à 24 à 28 heures, quand elle est sécurisée. Ces jetons de longue durée sont révoqués en quasi-temps réel en réponse à des événements critiques tels que la désactivation du compte et les modifications de mot de passe. En savoir plus sur l’impact de CAE sur la durée de vie des jetons
Jetons SAML
Les jetons SAML sont utilisés par de nombreuses applications SaaS basées sur le Web, et sont obtenus à l’aide du point de terminaison du protocole SAML2 de Microsoft Entra ID. Ils sont également consommés par les applications utilisant WS-Federation. La durée de vie par défaut du jeton est d’une heure. Du point de vue d’une application, la période de validité du jeton est spécifiée par la valeur NotOnOrAfter de l’élément <conditions …> dans le jeton. Au terme de la période de validité du jeton, le client doit initier une nouvelle requête d’authentification, qui est souvent satisfaite sans connexion interactive en raison du jeton de session d’authentification unique (SSO).
La valeur de NotOnOrAfter peut être modifiée à l’aide du paramètre AccessTokenLifetime dans un élément TokenLifetimePolicy. Elle sera définie sur la durée de vie configurée dans la stratégie si elle existe, à laquelle sera ajouté un facteur de décalage de l’horloge de cinq minutes.
La confirmation de sujet NotOnOrAfter spécifiée dans l’élément <SubjectConfirmationData> n’est pas affectée par la configuration de la durée de vie du jeton.
Jetons d’ID
Les jetons d’ID sont transmis aux sites web et clients natifs. Les jetons d’ID contiennent des informations de profil sur un utilisateur. Un jeton d’ID est lié à une combinaison spécifique d’utilisateur et de client. Les jetons d’ID sont considérés comme valides jusqu’à leur expiration. En règle générale, une application web fait correspondre la durée de vie de session d’un utilisateur de l’application à la durée de vie du jeton d’ID émis pour l’utilisateur. Vous pouvez ajuster la durée de vie d’un jeton d’ID pour contrôler la fréquence à laquelle l’application web expire la session d’application et la fréquence à laquelle l’utilisateur doit être réauthentifié avec la plateforme d’identités Microsoft (silencieusement ou interactivement).
Propriétés des durées de vie des jetons configurables
Une stratégie de durée de vie des jetons est un type d’objet de stratégie qui contient des règles de durée de vie des jetons. Cette stratégie détermine la durée pendant laquelle les jetons d’accès, SAML et d'identité pour cette ressource sont considérés comme valides. Les stratégies de durée de vie des jetons ne peuvent pas être définies pour les jetons d’actualisation et de session. Si aucune stratégie n’est définie, le système applique la valeur de durée de vie par défaut.
Propriétés de la stratégie de durée de vie des jetons d’accès, ID et SAML2
La réduction de la durée de vie du jeton d’accès permet de limiter la durée pendant laquelle un jeton d’accès compromis ou un jeton d’ID peut être utilisé par un acteur malveillant. Le compromis est que les performances sont négativement affectées, car les jetons doivent être remplacés plus souvent.
Pour obtenir un exemple, consultez Créer une stratégie de connexion Web.
Les durées de vie des jetons d’accès, des jetons d’ID et des jetons SAML2 sont contrôlées par la propriété de stratégie suivante :
- Propriété : durée de vie du jeton d’accès
-
Chaîne de propriété de stratégie :
AccessTokenLifetime - Affecte : jetons d’accès, jetons d’ID, jetons SAML2
-
Par défaut :
- Jetons d’accès : varie en fonction de l’application cliente qui demande le jeton. Les clients compatibles CAE qui négocient des sessions compatibles CAE peuvent recevoir des jetons de longue durée (jusqu’à 28 heures).
- Jetons d’ID, jetons SAML2 : une heure
-
Minimum : 10 minutes (
00:10:00) -
Maximum : Un jour (
23:59:59)
Note
Malgré le nom, AccessTokenLifetime contrôle la durée de vie des jetons d’accès, des jetons d’ID et des jetons SAML2.
Définition des priorités et évaluation de la stratégie
Vous pouvez créer, puis affecter une stratégie de durée de vie de jeton à une application spécifique et à votre organisation. Plusieurs stratégies peuvent s’appliquer à une application spécifique. La stratégie de durée de vie du jeton appliquée suit les règles ci-dessous :
Important
Pour les stratégies de durée de vie des jetons, une stratégie au niveau de l’organisation est prioritaire sur une stratégie au niveau de l’application . Si votre stratégie au niveau de l’application ne semble pas prendre effet, vérifiez si une stratégie au niveau de l’organisation existe.
- Si une stratégie est explicitement affectée à l’organisation, elle est appliquée.
- Si aucune stratégie n’est explicitement affectée à l’organisation, la stratégie affectée à l’application est appliquée.
- Si aucune stratégie n’a été affectée à l’organisation ou à l’objet d’application, les valeurs par défaut sont appliquées. (Consultez le tableau dans la section Propriétés des durées de vie des jetons configurables.)
La validité d’un jeton est évaluée lors de son utilisation. C’est la stratégie ayant la priorité la plus élevée sur l'application en cours d'accès qui prend effet.
Stratégies de durée de vie des jetons d’actualisation et des jetons de session (supprimés)
Important
Depuis le 30 janvier 2021, les durées de vie des jetons d’actualisation et de session ne sont plus configurables par le biais de stratégies de durée de vie des jetons. Microsoft Entra ID utilise uniquement les valeurs par défaut décrites ci-dessous. Pour contrôler la fréquence à laquelle les utilisateurs sont tenus de se connecter, utilisez plutôt la fréquence de connexion à l’accès conditionnel .
Si vous avez des stratégies existantes qui définissent des propriétés d’actualisation ou de jeton de session, ces propriétés sont ignorées. De nouveaux jetons sont toujours émis avec la configuration par défaut.
Paramètres d’actualisation et de jeton de session par défaut (non configurables)
Le tableau suivant documente les valeurs par défaut qui restent en vigueur. Ces valeurs ne peuvent pas être modifiées par le biais de stratégies de durée de vie des jetons.
| Propriété | Chaîne de propriété de stratégie | Par défaut |
|---|---|---|
| Délai d’inactivité maximale de jeton d’actualisation | MaxInactiveTime |
90 jours |
| Âge maximal de jeton d’actualisation à facteur unique | MaxAgeSingleFactor |
Jusqu’à révocation |
| Âge maximal de jeton d’actualisation multifacteur | MaxAgeMultiFactor |
Jusqu’à révocation |
| Âge maximal de jeton de session à facteur unique | MaxAgeSessionSingleFactor |
Jusqu’à révocation |
| Âge maximal de jeton de session multifacteur | MaxAgeSessionMultiFactor |
Jusqu’à révocation |
Les jetons de session non persistants ont une durée inactive maximale de 24 heures ; Les jetons de session persistants ont une durée maximale inactive de 90 jours. Lorsque le jeton de session SSO est utilisé dans le cadre de sa période de validité, la période de validité est prolongée pendant 24 heures ou 90 jours, respectivement.
Pour rechercher des stratégies existantes qui peuvent toujours contenir des propriétés de jeton d’actualisation/de session supprimées, utilisez les applets de commande PowerShell.
Référence d’API REST
Conseil / Astuce
Toutes les durées de temps sont mises en forme à l’aide du format TimeSpan C# : hh:mm:ss. La valeur minimale de 10 minutes est 00:10:00 et la valeur maximale est 23:59:59.
Vous pouvez configurer des stratégies de durée de vie des jetons et les affecter aux applications au moyen de Microsoft Graph. Pour plus d’informations, consultez le tokenLifetimePolicy type de ressource et ses méthodes associées.
Référence des applets de commande
Il s’agit des applets de commande du Kit de développement logiciel (SDK) Microsoft Graph PowerShell.
Gérer les stratégies
Vous pouvez utiliser les commandes suivantes pour gérer les stratégies.
| Cmdlet | Descriptif |
|---|---|
| New-MgPolicyTokenLifetimePolicy | Crée une nouvelle politique. |
| Get-MgPolicyTokenLifetimePolicy | Obtient toutes les stratégies de durée de vie des jetons ou une stratégie spécifiée. |
| Mettre à jour MgPolicyTokenLifetimePolicy | Met à jour une stratégie existante. |
| Remove-MgPolicyTokenLifetimePolicy | Supprime la stratégie spécifiée. |
Stratégies d’application
Vous pouvez utiliser les applets de commande suivantes pour les stratégies d’application.
| Cmdlet | Descriptif |
|---|---|
| New-MgApplicationTokenLifetimePolicyByRef | Lie la stratégie spécifiée à une application. |
| Get-MgApplicationTokenLifetimePolicyByRef | Permet d’obtenir les stratégies attribuées à une application. |
| Remove-MgApplicationTokenLifetimePolicyByRef | Supprime une stratégie d’une application. |
Étapes suivantes
Pour en savoir plus, consultez des exemples de configuration des durées de vie des jetons.