Délais d’expiration de session pour Microsoft 365

Les durées de vie de session sont une partie importante de l’authentification pour Microsoft 365 et constituent un composant important dans l’équilibrage de la sécurité et du nombre de fois où les utilisateurs sont invités à entrer leurs informations d’identification.

Durées de session pour les services Microsoft 365

Lorsque les utilisateurs s’authentifient dans l’une des applications web ou mobiles Microsoft 365, une session est établie. Pendant la durée de la session, les utilisateurs n’auront pas besoin de s’authentifier à nouveau. Les sessions peuvent expirer lorsque les utilisateurs sont inactifs, lorsqu’ils ferment le navigateur ou l’onglet, ou lorsque leur jeton d’authentification expire pour d’autres raisons, telles que la réinitialisation de leur mot de passe. Les services Microsoft 365 ont des délais d’expiration de session différents pour correspondre à l’utilisation classique de chaque service.

Le tableau suivant répertorie les durées de vie des sessions pour les services Microsoft 365 :

Service Microsoft 365	Délai d’expiration de session
Centre d’administration Microsoft 365	Vous êtes invité à fournir des informations d’identification pour le centre d’administration toutes les 8 heures.
SharePoint Online	5 jours d’inactivité tant que les utilisateurs choisissent De rester connecté. Si l’utilisateur accède à Nouveau à SharePoint Online après 24 heures ou plus à partir de la connexion précédente, la valeur du délai d’expiration est réinitialisée à 5 jours.
Outlook Web App	6 heures. Vous pouvez modifier cette valeur à l’aide du paramètre ActivityBasedAuthenticationTimeoutInterval dans l’applet de commande Set-OrganizationConfig .
Identifiant Microsoft Entra (Utilisé par les applications Office et Microsoft 365 dans les clients Windows avec l’authentification moderne activée)	L’authentification moderne utilise des jetons d’accès et des jetons d’actualisation pour accorder à l’utilisateur l’accès aux ressources Microsoft 365 à l’aide de Microsoft Entra ID. Un jeton d’accès est un jeton web JSON fourni après une authentification réussie et est valide pendant 1 heure. Un jeton d’actualisation avec une durée de vie plus longue est également fourni. Lorsque les jetons d’accès expirent, les clients Office utilisent un jeton d’actualisation valide pour obtenir un nouveau jeton d’accès. Cet échange réussit si l’authentification initiale de l’utilisateur est toujours valide. Les jetons d’actualisation sont valides pendant 90 jours et, avec une utilisation continue, ils peuvent être valides jusqu’à ce qu’ils soient révoqués. Les jetons d’actualisation peuvent être invalidés par plusieurs événements tels que : Le mot de passe de l’utilisateur a changé depuis l’émission du jeton d’actualisation. Un administrateur peut appliquer des stratégies d’accès conditionnel qui limitent l’accès à la ressource à laquelle l’utilisateur tente d’accéder.
Applications mobiles SharePoint et OneDrive pour Android, iOS et Windows 10	La durée de vie par défaut du jeton d’accès est de 1 heure. La durée d’inactivité maximale par défaut du jeton d’actualisation est de 90 jours. En savoir plus sur les jetons et comment configurer les durées de vie des jetons Pour révoquer le jeton d’actualisation, vous pouvez réinitialiser le mot de passe Microsoft 365 de l’utilisateur
Viva Engage avec Microsoft 365 Sign-In	Durée de vie du navigateur. Si les utilisateurs ferment le navigateur et accèdent Viva Engage dans un nouveau navigateur, Viva Engage les authentifient à nouveau auprès de Microsoft 365. Si les utilisateurs utilisent des navigateurs tiers qui mettent en cache des cookies, ils n’ont peut-être pas besoin de s’authentifier à nouveau lorsqu’ils rouvrent le navigateur. >[! REMARQUE]> Ceci est valide uniquement pour les réseaux utilisant Microsoft 365 Sign-In pour Viva Engage.