Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Vous pouvez configurer la durée de vie des jetons d'accès, d'identité ou SAML (Security Assertion Markup Language) émis par la plateforme d’identités Microsoft. Les durées de vie des jetons peuvent être définies pour toutes les applications de votre organisation, applications mutualisées ou principaux de service spécifiques. La configuration des durées de vie de jetons pour les entités de service d’identité gérée n'est pas supportée.
Dans Microsoft Entra ID, les stratégies définissent des règles appliquées à des applications individuelles ou à toutes les applications d’une organisation. Chaque type de stratégie a des propriétés uniques qui déterminent la façon dont il est appliqué à l’objet auquel il est affecté.
Une stratégie peut être désignée comme valeur par défaut pour votre organisation, en appliquant à toutes les applications, sauf en cas de substitution par une stratégie de priorité supérieure. Les stratégies peuvent également être affectées à des applications spécifiques, avec une priorité variable par type de stratégie.
Pour obtenir des conseils pratiques, consultez des exemples de configuration des durées de vie des jetons.
Notes
La stratégie de durée de vie des jetons configurable s’applique uniquement aux clients mobiles et de bureau qui accèdent aux ressources SharePoint Online et OneDrive Entreprise et ne s’appliquent pas aux sessions de navigateur web. Pour gérer la durée de vie des sessions de navigateur web pour SharePoint Online et OneDrive Entreprise, utilisez la fonctionnalité Durée de vie de la session d’accès conditionnel. Reportez-vous au blog SharePoint Online pour en savoir plus sur la configuration des délais d’inactivité de session.
Notes
Vous pouvez augmenter la durée de vie des jetons afin qu’un script s’exécute pendant plus d’une heure. De nombreuses bibliothèques Microsoft, telles que le Kit de développement logiciel (SDK) Microsoft Graph PowerShell, étendent la durée de vie des jetons si nécessaire et vous n’avez pas besoin d’apporter de modifications à la stratégie de jeton d’accès.
Conditions de licence :
L’utilisation de cette fonctionnalité nécessite une licence Microsoft Entra ID P1. Pour trouver la licence appropriée à vos besoins, consultez Comparaison des fonctionnalités mises à la disposition générale des éditions Gratuite et Premium.
Les clients avec des licences Microsoft 365 Business ont également accès aux fonctionnalités d’accès conditionnel.
Stratégies de durée de vie des jetons d’accès, SAML et d’ID
Vous pouvez définir les stratégies de durée de vie des jetons d’accès, SAML et d’ID.
Jetons d’accès
Les clients utilisent des jetons d’accès pour accéder à une ressource protégée. Un jeton d’accès peut uniquement être utilisé pour une combinaison spécifique d’utilisateur, de client et de ressource. Les jetons d’accès ne peuvent pas être révoqués et sont valides jusqu’à leur expiration. Un acteur malveillant qui obtient un jeton d'accès peut l'utiliser pendant toute sa durée de vie. L’ajustement de la durée de vie des jetons d’accès représente un compromis entre l’amélioration des performances du système et l’augmentation de la durée pendant laquelle le client conserve un accès une fois son compte désactivé. Les performances du système sont améliorées en réduisant le nombre de fois où un client doit acquérir un nouveau jeton d’accès.
La durée de vie par défaut d’un jeton d’accès est variable. Une fois un jeton d’accès émis, sa durée de vie par défaut se voit attribuer une valeur aléatoire comprise entre 60 et 90 minutes (75 minutes en moyenne). La durée de vie par défaut varie également en fonction de l'application cliente demandant le jeton ou si l'accès conditionnel est activé dans le locataire. Pour plus d’informations, consultez Durée de vie des jetons d’accès.
Jetons SAML
Les jetons SAML sont utilisés par de nombreuses applications SaaS basées sur le Web, et sont obtenus à l’aide du point de terminaison du protocole SAML2 de Microsoft Entra ID. Ils sont également consommés par les applications utilisant WS-Federation. La durée de vie par défaut du jeton est d’une heure. Du point de vue d’une application, la période de validité du jeton est spécifiée par la valeur NotOnOrAfter de l’élément <conditions …> dans le jeton. Au terme de la période de validité du jeton, le client doit initier une nouvelle requête d’authentification, qui est souvent satisfaite sans connexion interactive en raison du jeton de session d’authentification unique (SSO).
La valeur de NotOnOrAfter peut être modifiée à l’aide du paramètre AccessTokenLifetime dans un élément TokenLifetimePolicy. Elle sera définie sur la durée de vie configurée dans la stratégie si elle existe, à laquelle sera ajouté un facteur de décalage de l’horloge de cinq minutes.
La valeur NotOnOrAfter de la confirmation d’objet spécifiée dans l’élément <SubjectConfirmationData> n’est pas affectée par la configuration de la durée de vie du jeton.
Jetons d’ID
Les jetons d’ID sont transmis aux sites web et clients natifs. Les jetons d’ID contiennent des informations de profil sur un utilisateur. Un jeton d’ID est lié à une combinaison spécifique d’utilisateur et de client. Les jetons d’ID sont considérés comme valides jusqu’à leur expiration. En règle générale, une application web fait correspondre la durée de vie de session d’un utilisateur de l’application à la durée de vie du jeton d’ID émis pour l’utilisateur. Vous pouvez ajuster la durée de vie d’un jeton d’ID pour contrôler la fréquence à laquelle l’application web expire la session d’application et la fréquence à laquelle l’utilisateur doit être réauthentifié avec la plateforme d’identités Microsoft (silencieusement ou interactivement).
Stratégies de durée de vie des jetons d’actualisation et de session
Vous ne pouvez pas définir les stratégies de durée de vie des jetons d’actualisation et de session. Pour obtenir des informations de durée de vie, de délai d’attente et de révocation sur les jetons d’actualisation, consultez Jetons d’actualisation.
Important
Depuis le 30 janvier 2021, vous ne pouvez pas configurer les durées de vie des jetons d’actualisation et de session. Microsoft Entra n’honore plus la configuration des jetons d’actualisation et de session dans les stratégies existantes. Les nouveaux jetons émis sont définis sur la configuration par défaut. Vous pouvez toujours configurer la durée de vie des jetons d’accès, SAML et d’ID après la mise hors service de la configuration des jetons d’actualisation et de session.
La durée de vie du jeton existant ne sera pas modifiée. Lorsqu’un jeton expire, un nouveau jeton est émis en fonction de la valeur par défaut.
Si vous devez continuer à définir la période de temps avant qu’un utilisateur soit invité à se connecter à nouveau, configurez la fréquence de connexion dans Accès conditionnel. Pour en savoir plus sur l’accès conditionnel, lisez l’article Configurer la gestion de session d’authentification avec l’accès conditionnel.
Propriétés des durées de vie des jetons configurables
Une stratégie de durée de vie des jetons est un type d’objet de stratégie qui contient des règles de durée de vie des jetons. Cette stratégie détermine la durée pendant laquelle les jetons d’accès, SAML et d’ID sont considérés comme valides. Les stratégies de durée de vie des jetons ne peuvent pas être définies pour les jetons d’actualisation et de session. Si aucune stratégie n’est définie, le système applique la valeur de durée de vie par défaut.
Propriétés de la stratégie de durée de vie des jetons d’accès, ID et SAML2
Réduire la propriété Durée de vie de jeton d’accès atténue le risque qu’un jeton d’accès ou jeton d’ID soit utilisé par un acteur malveillant pour une période prolongée. (Ces jetons ne peuvent pas être révoqués.) L’inconvénient est que les performances sont affectées, car les jetons sont remplacés plus souvent.
Pour obtenir un exemple, consultez Créer une stratégie de connexion Web.
La configuration des jetons d’accès, ID et SAML2 est affectée par les propriétés suivantes et leurs valeurs définies respectives :
- Propriété : durée de vie du jeton d’accès
- Chaîne de propriété de stratégie : AccessTokenLifetime
- Affecte : jetons d’accès, jetons d’ID, jetons SAML2
-
Par défaut :
- Jetons d’accès : varie en fonction de l’application cliente qui demande le jeton. Par exemple, les clients prenant en charge l’évaluation continue de l’accès (CAE) qui négocient des sessions prenant en charge CAE verront une durée de vie de jeton plus longue (jusqu’à 28 heures).
- Jetons d’ID, jetons SAML2 : une heure
- Minimum : 10 minutes
- Maximum : un jour
Propriétés des stratégies de durée de vie des jetons d’actualisation et de session
La configuration des jetons d’actualisation et de session est affectée par les propriétés suivantes et leurs valeurs définies respectives. Après la mise hors service de la configuration des jetons d’actualisation et de session le 30 janvier 2021, Microsoft Entra ID honorera uniquement les valeurs par défaut décrites ci-dessous. Si vous décidez de ne pas utiliser l’accès conditionnel pour gérer la fréquence de connexion, vos jetons d’actualisation et de session sont définis sur la configuration par défaut à cette date et ne peuvent pas modifier leurs durées de vie.
| Propriété | Chaîne de propriété de stratégie | Éléments affectés | Par défaut |
|---|---|---|---|
| Délai d’inactivité maximale de jeton d’actualisation | DuréeMaximaleInactivité | Jetons d’actualisation | 90 jours |
| Âge maximal de jeton d’actualisation à facteur unique | MaxAgeSingleFactor | Jetons d’actualisation (pour tous les utilisateurs) | Jusqu’à révocation |
| Âge maximal de jeton d’actualisation multifacteur | MaxAgeMultiFactor | Jetons d’actualisation (pour tous les utilisateurs) | Jusqu’à révocation |
| Âge maximal de jeton de session à facteur unique | MaxAgeSessionSingleFactor | Jetons de session (persistants et non persistants) | Jusqu’à révocation |
| Âge maximal de jeton de session multifacteur | MaxAgeSessionMultiFactor | Jetons de session (persistants et non persistants) | Jusqu’à révocation |
Les jetons de session non persistants ont une durée maximale inactive de 24 heures, tandis que les jetons de session persistants ont une durée maximale inactive de 90 jours. À chaque fois que le jeton de session SSO est utilisé au cours de sa période de validité, celle-ci est prolongée à nouveau de 24 heures ou de 90 jours. Si le jeton de session d’authentification unique n’est pas utilisé dans sa période de temps inactive maximale, il est considéré comme expiré et n’est plus accepté. Toutes les modifications de cette période par défaut doivent être apportées via l’accès conditionnel.
Vous pouvez utiliser PowerShell pour rechercher les stratégies qui seront affectées par la mise hors service. Utilisez les applets de commande PowerShell pour voir toutes les stratégies créées dans votre organisation, ou pour rechercher les applications liées à une stratégie spécifique.
Définition des priorités et évaluation de la stratégie
Vous pouvez créer, puis affecter une stratégie de durée de vie à une application spécifique et à votre organisation. Plusieurs stratégies peuvent s’appliquer à une application spécifique. La stratégie de durée de vie du jeton appliquée suit les règles ci-dessous :
- Si une stratégie est explicitement affectée à l’organisation, elle est appliquée.
- Si aucune stratégie n’est explicitement affectée à l’organisation, la stratégie affectée à l’application est appliquée.
- Si aucune stratégie n’a été affectée à l’organisation ou à l’objet d’application, les valeurs par défaut sont appliquées. (Consultez le tableau dans la section Propriétés des durées de vie des jetons configurables.)
La validité d’un jeton est évaluée lors de son utilisation. C’est la stratégie pourvue de la priorité la plus élevée sur l’application ouverte qui est appliquée.
Tous les intervalles de temps utilisés ici sont mis en forme selon C# TimeSpan object - D.HH:MM:SS. Par conséquent, 80 jours et 30 minutes s’affichent sous la forme 80.00:30:00. La première valeur D peut être supprimée si elle est égale à zéro ; 90 minutes deviennent alors 00:90:00.
Référence d’API REST
Vous pouvez configurer des stratégies de durée de vie des jetons et les affecter aux applications au moyen de Microsoft Graph. Pour plus d’informations, consultez le tokenLifetimePolicy type de ressource et ses méthodes associées.
Référence des applets de commande
Il s’agit des applets de commande du Kit de développement logiciel (SDK) Microsoft Graph PowerShell.
Gérer les stratégies
Vous pouvez utiliser les commandes suivantes pour gérer les stratégies.
| Applet de commande | Descriptif |
|---|---|
| New-MgPolicyTokenLifetimePolicy | Permet de créer une stratégie. |
| Get-MgPolicyTokenLifetimePolicy | Obtient toutes les stratégies de durée de vie des jetons ou une stratégie spécifiée. |
| Update-MgPolicyTokenLifetimePolicy | Met à jour une stratégie existante. |
| Remove-MgPolicyTokenLifetimePolicy | Supprime la stratégie spécifiée. |
Stratégies d’application
Vous pouvez utiliser les applets de commande suivantes pour les stratégies d’application.
| Applet de commande | Descriptif |
|---|---|
| New-MgApplicationTokenLifetimePolicyByRef | Lie la stratégie spécifiée à une application. |
| Get-MgApplicationTokenLifetimePolicyByRef | Permet d’obtenir les stratégies attribuées à une application. |
| Remove-MgApplicationTokenLifetimePolicyByRef | Supprime une stratégie d’une application. |
Étapes suivantes
Pour en savoir plus, consultez des exemples de configuration des durées de vie des jetons.