A következő lépésekben egy általános szabályzatforgatókönyvet fog implementálni, amely új szabályokat ír elő a tokenek élettartamára. Megadhatja a Microsoft Identitásplatform által kibocsátott hozzáférési, SAML- vagy azonosító jogkivonat élettartamát. Ez a beállítás a szervezet összes alkalmazásához, illetve egy adott alkalmazáshoz vagy egyszerű felhasználóhoz is beállítható. Több szervezethez (több-bérlős alkalmazáshoz) is beállíthatók. Érdemes lehet növelni a jogkivonat élettartamát, hogy egy szkript több mint egy órán keresztül fusson. Számos Microsoft-kódtár, például a Microsoft Graph PowerShell SDK, szükség szerint meghosszabbítja a jogkivonat élettartamát, és nem kell módosítania a hozzáférési jogkivonat-szabályzatot. További információ: konfigurálható tokenélettartamok.
Jogkivonat élettartam-szabályzatának konfigurálása (előzetes verzió)
Előfeltételek
Első lépésként töltse le a legújabb Microsoft Graph PowerShell SDK-t.
Szabályzat létrehozása és hozzárendelése egy alkalmazáshoz
Az alábbi lépésekben létrehoz egy szabályzatot, amely megköveteli, hogy a felhasználók ritkábban hitelesítsék magukat a webalkalmazásban. Rendelje hozzá a szabályzatot egy alkalmazáshoz, amely a hozzáférési/azonosító jogkivonatok élettartamát 4 órára állítja a webalkalmazás számára.
Install-Module Microsoft.Graph
Connect-MgGraph -Scopes "Policy.ReadWrite.ApplicationConfiguration","Policy.Read.All","Application.ReadWrite.All"
# Create a token lifetime policy
$params = @{
Definition = @('{"TokenLifetimePolicy":{"Version":1,"AccessTokenLifetime":"4:00:00"}}')
DisplayName = "WebPolicyScenario"
IsOrganizationDefault = $false
}
$tokenLifetimePolicyId=(New-MgPolicyTokenLifetimePolicy -BodyParameter $params).Id
# Display the policy
Get-MgPolicyTokenLifetimePolicy -TokenLifetimePolicyId $tokenLifetimePolicyId
# Assign the token lifetime policy to an app
$params = @{
"@odata.id" = "https://graph.microsoft.com/v1.0/policies/tokenLifetimePolicies/$tokenLifetimePolicyId"
}
$applicationObjectId="aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb"
New-MgApplicationTokenLifetimePolicyByRef -ApplicationId $applicationObjectId -BodyParameter $params
# List the token lifetime policy on the app
Get-MgApplicationTokenLifetimePolicy -ApplicationId $applicationObjectId
# Remove the policy from the app
Remove-MgApplicationTokenLifetimePolicyByRef -ApplicationId $applicationObjectId -TokenLifetimePolicyId $tokenLifetimePolicyId
# Delete the policy
Remove-MgPolicyTokenLifetimePolicy -TokenLifetimePolicyId $tokenLifetimePolicyId
Szabályzat létrehozása és hozzárendelése szolgáltatásnévhez
Az alábbi lépésekben létrehoz egy szabályzatot, amely megköveteli, hogy a felhasználók ritkábban hitelesítsék magukat a webalkalmazásban. Rendelje hozzá a szabályzatot a szolgáltatásnévhez, amely a hozzáférési/azonosító jogkivonatok élettartamát 8 órára állítja a webalkalmazás számára.
Jogkivonat élettartam-szabályzatának létrehozása.
POST https://graph.microsoft.com/v1.0/policies/tokenLifetimePolicies Content-Type: application/json { "definition": [ "{\"TokenLifetimePolicy\":{\"Version\":1,\"AccessTokenLifetime\":\"8:00:00\"}}" ], "displayName": "Contoso token lifetime policy", "isOrganizationDefault": false }Rendelje hozzá a szabályzatot egy szolgáltatásnévhez.
POST https://graph.microsoft.com/v1.0/servicePrincipals/00001111-aaaa-2222-bbbb-3333cccc4444/tokenLifetimePolicies/$ref Content-Type: application/json { "@odata.id":"https://graph.microsoft.com/v1.0/policies/tokenLifetimePolicies/00aa00aa-bb11-cc22-dd33-44ee44ee44ee" }A szolgáltatásnév házirendjeinek listázása.
GET https://graph.microsoft.com/v1.0/servicePrincipals/00001111-aaaa-2222-bbbb-3333cccc4444/tokenLifetimePoliciesTávolítsa el a szabályzatot a szolgáltatásnévből.
DELETE https://graph.microsoft.com/v1.0/servicePrincipals/00001111-aaaa-2222-bbbb-3333cccc4444/tokenLifetimePolicies/00aa00aa-bb11-cc22-dd33-44ee44ee44ee/$ref
Meglévő szabályzatok megtekintése bérlőben
A szervezetben létrehozott összes szabályzat megtekintéséhez futtassa a Get-MgPolicyTokenLifetimePolicy parancsmagot. A fent felsorolt alapértelmezett értékektől eltérő definiált tulajdonságértékekkel rendelkező eredmények a kivonás hatókörébe tartoznak.
Futtassa a parancsot a
Get-MgPolicyTokenLifetimePolicyszervezetben létrehozott összes szabályzat megtekintéséhez.Get-MgPolicyTokenLifetimePolicyFuttassa a ListppliesTo parancsot bármelyik szabályzatazonosítóval, hogy lássa, mely alkalmazások vannak egy meghatározott, ön által azonosított szabályzathoz csatolva.
GET https://graph.microsoft.com/v1.0/policies/tokenLifetimePolicies/4d2f137b-e8a9-46da-a5c3-cc85b2b840a4/appliesTo
Következő lépés
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: