Masa pakai token yang dapat dikonfigurasi di platform identitas Microsoft (pratinjau)

Anda dapat menentukan masa pakai akses, ID, atau token SAML yang dikeluarkan oleh platform identitas Microsoft. Anda dapat mengatur masa pakai token untuk semua aplikasi di organisasi Anda, untuk aplikasi multipenyewa (multi-organisasi), atau untuk perwakilan layanan. Saat ini kami tidak mendukung konfigurasi masa pakai token untuk perwakilan layanan identitas terkelola.

Di ID Microsoft Entra, objek kebijakan mewakili sekumpulan aturan yang diberlakukan pada aplikasi individual atau pada semua aplikasi dalam organisasi. Setiap jenis kebijakan memiliki struktur unik, dengan sekumpulan properti yang diterapkan ke objek yang ditetapkan padanya.

Anda dapat menetapkan kebijakan sebagai kebijakan default untuk organisasi Anda. Kebijakan ini diterapkan ke aplikasi apa pun di organisasi, selama tidak ditimpa oleh kebijakan dengan prioritas lebih tinggi. Anda juga dapat menetapkan kebijakan untuk aplikasi tertentu. Urutan prioritas bervariasi menurut jenis kebijakan.

Misalnya, baca contoh cara mengonfigurasi masa pakai token.

Catatan

Kebijakan seumur hidup token yang dapat dikonfigurasi hanya berlaku untuk klien seluler dan desktop yang mengakses sumber daya SharePoint Online dan OneDrive for Business, dan tidak berlaku untuk sesi browser web. Untuk mengelola masa pakai sesi browser web untuk SharePoint Online dan OneDrive for Business, gunakan fitur masa pakai sesi Access Bersyarat. Lihat blog SharePoint Online untuk mempelajari selengkapnya tentang mengonfigurasi batas waktu sesi menganggur.

Persyaratan lisensi

Fitur ini memerlukan lisensi Microsoft Entra ID P1 agar dapat digunakan. Untuk menemukan lisensi yang tepat untuk kebutuhan Anda, lihat Membandingkan fitur paket Gratis dan Premium yang tersedia secara umum.

Pelanggan dengan lisensi Microsoft 365 Business Premium juga memiliki akses ke fitur Akses Bersyarat.

Kebijakan seumur hidup token untuk akses, SAML, dan token ID

Anda dapat menetapkan kebijakan seumur hidup token untuk token akses, token SAML, dan token ID.

Token akses

Klien menggunakan token akses untuk mengakses sumber daya yang dilindungi. Token akses hanya dapat digunakan untuk kombinasi pengguna, klien, dan sumber daya tertentu. Token akses tidak dapat dicabut dan berlaku hingga kedaluwarsa. Aktor jahat yang telah mendapatkan token akses dapat menggunakannya untuk masa hidupnya. Menyesuaikan masa pakai token akses adalah konsekuensi antara meningkatkan kinerja sistem dan meningkatkan jumlah waktu klien mempertahankan akses setelah akun pengguna dinonaktifkan. Peningkatan kinerja sistem dicapai dengan mengurangi berapa kali klien perlu memperoleh token akses baru.

Masa pakai default token akses adalah variabel. Saat diterbitkan, masa pakai default token akses diberi nilai acak berkisar antara 60-90 menit (rata-rata 75 menit). Masa pakai default juga bervariasi tergantung pada aplikasi klien yang meminta token atau jika Akses Bersyariah diaktifkan di penyewa. Untuk informasi selengkapnya, lihat Mengakses masa pakai token akses.

Token SAML

Token SAML digunakan oleh banyak aplikasi SaaS berbasis web, dan diperoleh menggunakan titik akhir protokol SAML2 ID Microsoft Entra. Mereka juga dikonsumsi oleh aplikasi menggunakan WS-Federation. Masa pakai default token adalah 1 jam. Dari perspektif aplikasi, masa berlaku token ditentukan oleh nilai NotOnOrAfter dari elemen <conditions …> dalam token. Setelah masa berlaku token berakhir, klien harus memulai permintaan autentikasi baru, yang seringkali akan puas tanpa login interaktif sebagai akibat dari token Sesi Single Sign On (SSO).

Nilai NotOnOrAfter dapat diubah menggunakan parameter AccessTokenLifetime dalam sebuah TokenLifetimePolicy. Ini akan diatur ke seumur hidup yang dikonfigurasi dalam kebijakan jika ada, ditambah faktor condong jam lima menit.

Konfirmasi subjek NotOnOrAfter yang ditentukan dalam elemen <SubjectConfirmationData> tidak dipengaruhi oleh konfigurasi Token Lifetime.

Token ID

Token ID diteruskan ke situs web dan klien asli. Token ID berisi informasi profil tentang pengguna. Token ID terikat pada kombinasi pengguna dan klien tertentu. Token ID dianggap valid hingga kedaluwarsa. Biasanya, aplikasi web cocok dengan masa pakai sesi pengguna dalam aplikasi dengan masa pakai token ID yang dikeluarkan untuk pengguna. Anda dapat menyesuaikan masa pakai token ID untuk mengontrol seberapa sering aplikasi web kedaluwarsa sesi aplikasi, dan seberapa sering mengharuskan pengguna untuk diautentikasi ulang dengan platform identitas Microsoft (baik secara senyap atau interaktif).

Kebijakan seumur hidup token untuk refresh token dan token sesi

Anda tidak dapat mengatur kebijakan seumur hidup token untuk token refresh dan token sesi. Untuk informasi seumur hidup, waktu habis, dan informasi pencabutan refresh token, lihat Refresh token.

Penting

Mulai 30 Januari 2021 Anda tidak dapat mengonfigurasi masa pakai refresh dan token sesi. Microsoft Entra tidak lagi menghormati konfigurasi refresh dan token sesi dalam kebijakan yang ada. Token baru yang dikeluarkan setelah token yang ada kedaluwarsa sekarang diatur ke konfigurasi default. Anda masih dapat mengonfigurasi akses, SAML, dan ID token seumur hidup setelah masa pensiun konfigurasi refresh dan token sesi.

Masa pakai token yang ada tidak akan diubah. Setelah kedaluwarsa, token baru akan diterbitkan berdasarkan nilai default.

Jika Anda perlu terus menentukan periode waktu sebelum pengguna diminta untuk masuk lagi, konfigurasikan frekuensi masuk di Akses Bersyarat. Untuk mempelajari selengkapnya, lihat Mengonfigurasi pengelolaan sesi autentikasi dengan Akses Bersyarat.

Properti seumur hidup token yang dapat dikonfigurasi

Kebijakan seumur hidup token adalah jenis objek kebijakan yang berisi aturan seumur hidup token. Kebijakan ini mengontrol berapa lama akses, SAML, dan token ID untuk sumber daya ini dianggap valid. Kebijakan seumur hidup token tidak dapat diatur untuk refresh dan token sesi. Jika tidak ada kebijakan yang ditetapkan, sistem akan memberlakukan nilai seumur hidup default.

Properti kebijakan seumur hidup token Access, ID, dan SAML2

Mengurangi properti Access Token Lifetime mengurangi risiko token akses atau token ID yang digunakan oleh aktor jahat untuk jangka waktu yang lama. (Token ini tidak dapat dicabut.) Trade-off adalah bahwa kinerja terdampak buruk, karena token harus diganti lebih sering.

Misalnya, lihat Membuat kebijakan untuk masuk web.

Akses, ID, dan konfigurasi token SAML2 dipengaruhi oleh properti berikut dan nilai yang ditetapkan masing-masing:

  • Properti: Akses Token Seumur Hidup
  • String properti kebijakan: AccessTokenLifetime
  • Mempengaruhi: Token akses, token ID, token SAML2
  • Default:
    • Token akses: bervariasi, tergantung pada aplikasi klien yang meminta token. Misalnya, klien berkemampuan evaluasi akses berkelanjutan (CAE) yang menegosiasikan sesi sadar CAE akan melihat masa pakai token yang panjang (hingga 28 jam).
    • Token ID, token SAML2: 1 jam
  • Minimum: 10 menit
  • Maksimum: 1 hari

Properti kebijakan masa pakai token sesi dan refresh

Konfigurasi token sesi dan refresh dipengaruhi oleh properti berikut dan nilai yang ditetapkan masing-masing. Setelah penghentian konfigurasi token refresh dan sesi pada 30 Januari 2021, ID Microsoft Entra hanya akan mematuhi nilai default yang dijelaskan di bawah ini. Jika Anda memutuskan untuk tidak menggunakan Akses Bersyarat untuk mengelola frekuensi masuk, token sesi dan refresh Anda akan diatur ke konfigurasi default pada tanggal tersebut dan Anda tidak lagi dapat mengubah masa pakainya.

Properti String properti Azure Policy Mempengaruhi Default
Waktu Tidak Aktif Maksimal Token Refresh MaxInactiveTime Token refresh 90 hari
Umur Maksimal Token Refresh Faktor Tunggal MaxAgeSingleFactor Token refresh (untuk pengguna mana pun) Hingga dicabut
Umur Maksimal Token Refresh Multi-Faktor MaxAgeMultiFactor Token refresh (untuk pengguna mana pun) Hingga dicabut
Umur Maksimal Token Sesi Faktor Tunggal MaxAgeSessionSingleFactor Token sesi (persisten dan tidak persisten) Hingga dicabut
Umur Maksimal Token Sesi Multi-Faktor MaxAgeSessionMultiFactor Token sesi (persisten dan tidak persisten) Hingga dicabut

Token sesi non-persisten memiliki Waktu Tidak Aktif Maks 24 jam sedangkan token sesi persisten memiliki Waktu Tidak Aktif Maks 90 hari. Setiap kali token sesi SSO digunakan dalam periode validitasnya, periode validitas diperpanjang 24 jam atau 90 hari lagi. Jika token sesi SSO tidak digunakan dalam periode Waktu Tidak Aktif Maks, token tersebut dianggap kedaluwarsa dan tidak akan lagi diterima. Setiap perubahan pada periode default ini harus diubah menggunakan Akses Bersyar.

Anda dapat menggunakan PowerShell untuk menemukan kebijakan yang akan terpengaruh oleh penghentian tersebut. Gunakan cmdlet PowerShell untuk melihat semua kebijakan yang dibuat di organisasi Anda, atau untuk menemukan aplikasi mana yang ditautkan ke kebijakan tertentu.

Evaluasi dan prioritas Azure Policy

Anda dapat membuat lalu menetapkan kebijakan seumur hidup token ke aplikasi tertentu dan ke organisasi Anda. Beberapa kebijakan mungkin berlaku untuk aplikasi tertentu. Kebijakan umur pakai token yang mempengaruhi aturan-aturan ini:

  • Jika kebijakan secara eksplisit ditetapkan ke organisasi, kebijakan tersebut diberlakukan.
  • Jika tidak ada kebijakan yang ditetapkan secara eksplisit ke organisasi, kebijakan yang ditetapkan ke aplikasi diberlakukan.
  • Jika tidak ada kebijakan yang ditetapkan ke organisasi atau objek aplikasi, nilai default diberlakukan. (Lihat tabel dalam properti umur pakai token yang dapat dikonfigurasi.)

Validitas token dievaluasi pada saat token digunakan. Kebijakan dengan prioritas tertinggi pada aplikasi yang sedang diakses berlaku.

Semua jangka waktu yang digunakan di sini diformat sesuai dengan objek TimeSpan C# - D.HH:MM:SS. Jadi 80 hari dan 30 menit akan 80.00:30:00. D terkemuka dapat dijatuhkan jika nol, jadi 90 menit akan 00:90:00.

Referensi REST API

Anda dapat mengonfigurasi kebijakan seumur hidup token dan menetapkannya ke aplikasi menggunakan Microsoft Graph. Untuk informasi selengkapnya, lihat jenis sumber daya tokenLifetimePolicy dan metode terkaitnya.

Referensi cmdlet

Ini adalah cmdlet di Microsoft Graph PowerShell SDK.

Mengelola Kebijakan

Anda dapat menggunakan perintah berikut untuk mengelola kebijakan.

Cmdlet Deskripsi
New-MgPolicyTokenLifetimePolicy Membuat kebijakan baru.
Get-MgPolicyTokenLifetimePolicy Mendapatkan semua kebijakan seumur hidup token atau kebijakan tertentu.
Update-MgPolicyTokenLifetimePolicy Mengubah kebijakan yang sudah ada.
Remove-MgPolicyTokenLifetimePolicy Menghapus kebijakan yang ditentukan.

Kebijakan aplikasi

Anda dapat menggunakan cmdlet berikut untuk kebijakan aplikasi.

Cmdlet Deskripsi
New-MgApplicationTokenLifetimePolicyByRef Menautkan kebijakan yang ditentukan ke aplikasi.
Get-MgApplicationTokenLifetimePolicyByRef Mendapatkan kebijakan yang ditetapkan ke aplikasi.
Remove-MgApplicationTokenLifetimePolicyByRef Menghapus kebijakan dari aplikasi.

Langkah berikutnya

Untuk mempelajari lebih lanjut, baca contoh cara mengonfigurasi masa pakai token.