Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Anda dapat mengonfigurasi masa pakai token akses, ID, atau Security Assertion Markup Language (SAML) yang dikeluarkan oleh platform identitas Microsoft. Masa pakai token dapat diatur untuk semua aplikasi di organisasi Anda, aplikasi multipenyewa, atau perwakilan layanan tertentu. Mengonfigurasi masa pakai token untuk perwakilan layanan identitas terkelola tidak didukung.
Di ID Microsoft Entra, kebijakan menentukan aturan yang diterapkan ke aplikasi individual atau semua aplikasi dalam organisasi. Setiap jenis kebijakan memiliki properti unik yang menentukan bagaimana hal itu diberlakukan pada objek yang ditetapkan.
Kebijakan dapat ditetapkan sebagai bawaan untuk organisasi Anda, berlaku untuk semua aplikasi kecuali digantikan oleh kebijakan prioritas yang lebih tinggi. Kebijakan juga dapat ditetapkan ke aplikasi tertentu, dengan prioritas bervariasi menurut jenis kebijakan.
Untuk panduan praktis, lihat contoh cara mengonfigurasi masa pakai token.
Catatan
Kebijakan masa pakai token yang dapat dikonfigurasi hanya berlaku untuk klien seluler dan desktop yang mengakses sumber daya SharePoint Online dan OneDrive for Business, dan tidak berlaku untuk sesi browser web. Untuk mengelola masa pakai sesi browser web untuk SharePoint Online dan OneDrive for Business, gunakan fitur masa pakai sesi Access Bersyarat. Lihat blog SharePoint Online untuk mempelajari selengkapnya tentang mengonfigurasi batas waktu sesi diam.
Catatan
Anda mungkin ingin meningkatkan masa pakai token sehingga skrip berjalan selama lebih dari satu jam. Banyak pustaka Microsoft, seperti Microsoft Graph PowerShell SDK, memperpanjang masa pakai token sesuai kebutuhan dan Anda tidak perlu membuat perubahan pada kebijakan token akses.
Persyaratan lisensi
Fitur ini memerlukan lisensi Microsoft Entra ID P1 agar dapat digunakan. Untuk menemukan lisensi yang tepat untuk kebutuhan Anda, lihat Membandingkan fitur paket Gratis dan Premium yang tersedia secara umum.
Pelanggan dengan lisensi Microsoft 365 Business Premium juga memiliki akses ke fitur Akses Bersyarat.
Kebijakan seumur hidup token untuk akses, SAML, dan token ID
Anda dapat menetapkan kebijakan seumur hidup token untuk token akses, token SAML, dan token ID.
Token akses
Klien menggunakan token akses untuk mengakses sumber daya yang dilindungi. Token akses hanya dapat digunakan untuk kombinasi pengguna, klien, dan sumber daya tertentu. Token akses tidak dapat dicabut dan valid hingga kedaluwarsa. Aktor jahat yang mendapatkan token akses dapat menggunakannya selama masa pakainya. Menyesuaikan masa pakai token akses adalah konsekuensi antara meningkatkan kinerja sistem dan meningkatkan jumlah waktu klien mempertahankan akses setelah akun pengguna dinonaktifkan. Peningkatan kinerja sistem dicapai dengan mengurangi berapa kali klien perlu memperoleh token akses baru.
Masa pakai default token akses adalah variabel. Saat diterbitkan, masa pakai default token akses diberi nilai acak berkisar antara 60-90 menit (rata-rata 75 menit). Masa pakai default juga bervariasi tergantung pada aplikasi klien yang meminta token atau jika Akses Bersyariah diaktifkan di penyewa. Untuk informasi selengkapnya, lihat Mengakses masa pakai token akses.
Token SAML
Token SAML digunakan oleh banyak aplikasi SaaS berbasis web, dan diperoleh menggunakan titik akhir protokol SAML2 ID Microsoft Entra. Mereka juga dikonsumsi oleh aplikasi menggunakan WS-Federation. Masa pakai default token adalah 1 jam. Dari perspektif aplikasi, masa berlaku token ditentukan oleh nilai NotOnOrAfter dari elemen <conditions …> dalam token. Setelah masa berlaku token berakhir, klien harus memulai permintaan autentikasi baru, yang seringkali akan puas tanpa login interaktif sebagai akibat dari token Sesi Single Sign On (SSO).
Nilai NotOnOrAfter dapat diubah menggunakan parameter AccessTokenLifetime dalam sebuah TokenLifetimePolicy. Ini akan diatur ke seumur hidup yang dikonfigurasi dalam kebijakan jika ada, ditambah faktor condong jam lima menit.
Konfirmasi subjek NotOnOrAfter yang ditentukan dalam elemen <SubjectConfirmationData> tidak dipengaruhi oleh konfigurasi Token Lifetime.
Token ID
Token ID diteruskan ke situs web dan klien asli. Token ID berisi informasi profil tentang pengguna. Token ID terikat pada kombinasi pengguna dan klien tertentu. Token ID dianggap valid hingga kedaluwarsa. Biasanya, aplikasi web cocok dengan masa pakai sesi pengguna dalam aplikasi dengan masa pakai token ID yang dikeluarkan untuk pengguna. Anda dapat menyesuaikan masa pakai token ID untuk mengontrol seberapa sering aplikasi web kedaluwarsa sesi aplikasi, dan seberapa sering mengharuskan pengguna untuk diautentikasi ulang dengan platform identitas Microsoft (baik secara diam-diam atau interaktif).
Kebijakan seumur hidup token untuk refresh token dan token sesi
Anda tidak dapat mengatur kebijakan masa pakai token untuk token refresh dan token sesi. Untuk informasi mengenai masa berlaku, batas waktu, dan pencabutan pada token refresh, lihat Token Refresh.
Penting
Mulai 30 Januari 2021 Anda tidak dapat mengonfigurasi refresh dan masa pakai token sesi. Microsoft Entra tidak lagi menghormati konfigurasi refresh dan token sesi dalam kebijakan yang ada. Token baru yang dikeluarkan diatur ke konfigurasi default. Anda masih dapat mengonfigurasi akses, SAML, dan ID token seumur hidup setelah masa pensiun konfigurasi refresh dan token sesi.
Masa pakai token yang ada tidak akan diubah. Setelah kedaluwarsa, token baru akan diterbitkan berdasarkan nilai default.
Jika Anda perlu terus menentukan periode waktu sebelum pengguna diminta untuk masuk lagi, konfigurasikan frekuensi masuk di Akses Bersyarat. Untuk mempelajari selengkapnya, lihat Mengonfigurasi pengelolaan sesi autentikasi dengan Akses Bersyarat.
Properti seumur hidup token yang dapat dikonfigurasi
Kebijakan seumur hidup token adalah jenis objek kebijakan yang berisi aturan seumur hidup token. Kebijakan ini mengontrol berapa lama akses, SAML, dan token ID untuk sumber daya ini dianggap valid. Kebijakan masa pakai token tidak dapat diatur untuk refresh dan token sesi. Jika tidak ada kebijakan yang ditetapkan, sistem akan memberlakukan nilai seumur hidup default.
Properti kebijakan seumur hidup token Access, ID, dan SAML2
Mengurangi properti Access Token Lifetime mengurangi risiko token akses atau token ID yang digunakan oleh aktor jahat untuk jangka waktu yang lama. (Token ini tidak dapat dicabut.) Trade-off adalah bahwa performa berdampak buruk, karena token harus diganti lebih sering.
Misalnya, lihat Membuat kebijakan untuk masuk web.
Akses, ID, dan konfigurasi token SAML2 dipengaruhi oleh properti berikut dan nilai yang ditetapkan masing-masing:
- Properti: Akses Token Seumur Hidup
- String properti kebijakan: AccessTokenLifetime
- Mempengaruhi: Token akses, token ID, token SAML2
-
Default:
- Token akses: bervariasi, tergantung pada aplikasi klien yang meminta token. Misalnya, klien berkemampuan evaluasi akses berkelanjutan (CAE) yang menegosiasikan sesi sadar CAE akan melihat masa pakai token yang panjang (hingga 28 jam).
- Token ID, token SAML2: Waktu satu jam
- Minimum: 10 menit
- Maksimum: Satu hari
Properti kebijakan masa pakai token sesi dan refresh
Konfigurasi token sesi dan refresh dipengaruhi oleh properti berikut dan nilai yang ditetapkan masing-masing. Setelah penghentian konfigurasi token refresh dan sesi pada 30 Januari 2021, ID Microsoft Entra hanya akan mematuhi nilai default yang dijelaskan di bawah ini. Jika Anda memutuskan untuk tidak menggunakan Akses Bersyarat untuk mengelola frekuensi masuk, token refresh dan sesi Anda diatur ke konfigurasi default pada tanggal tersebut dan tidak dapat mengubah masa pakainya.
| Properti | String properti Azure Policy | Mempengaruhi | Bawaan |
|---|---|---|---|
| Waktu Tidak Aktif Maksimal Token Refresh | Waktu Tidak Aktif Maksimum | Token refresh | 90 hari |
| Umur Maksimal Token Refresh Faktor Tunggal | MaxAgeSingleFactor | Token refresh (untuk pengguna mana pun) | Hingga dicabut |
| Umur Maksimal Token Refresh Multi-Faktor | MaxAgeMultiFactor | Token refresh (untuk pengguna mana pun) | Hingga dicabut |
| Umur Maksimal Token Sesi Faktor Tunggal | MaxAgeSessionSingleFactor | Token sesi (persisten dan tidak persisten) | Hingga dicabut |
| Umur Maksimal Token Sesi Multi-Faktor | MaxAgeSessionMultiFactor | Token sesi (persisten dan tidak persisten) | Hingga dicabut |
Token sesi non-persisten memiliki Waktu Tidak Aktif Maks 24 jam sedangkan token sesi persisten memiliki Waktu Tidak Aktif Maks 90 hari. Setiap kali token sesi SSO digunakan dalam periode validitasnya, periode validitas diperpanjang 24 jam atau 90 hari lagi. Jika token sesi SSO tidak digunakan dalam Periode Waktu Tidak Aktif Maks, token tersebut dianggap kedaluwarsa dan tidak lagi diterima. Setiap perubahan pada periode default ini harus diubah menggunakan Akses Bersyar.
Anda dapat menggunakan PowerShell untuk menemukan kebijakan yang akan terpengaruh oleh penghentian tersebut. Gunakan cmdlet PowerShell untuk melihat semua kebijakan yang dibuat di organisasi Anda, atau untuk menemukan aplikasi mana yang ditautkan ke kebijakan tertentu.
Evaluasi dan prioritas Azure Policy
Anda dapat membuat lalu menetapkan kebijakan seumur hidup token ke aplikasi tertentu dan ke organisasi Anda. Beberapa kebijakan mungkin berlaku untuk aplikasi tertentu. Kebijakan umur pakai token yang mempengaruhi aturan-aturan ini:
- Jika kebijakan secara eksplisit ditetapkan ke organisasi, kebijakan tersebut diberlakukan.
- Jika tidak ada kebijakan yang ditetapkan secara eksplisit ke organisasi, kebijakan yang ditetapkan ke aplikasi diberlakukan.
- Jika tidak ada kebijakan yang ditetapkan ke organisasi atau objek aplikasi, nilai default diberlakukan. (Lihat tabel dalam properti umur pakai token yang dapat dikonfigurasi.)
Validitas token dievaluasi pada saat token digunakan. Kebijakan dengan prioritas tertinggi pada aplikasi yang sedang diakses berlaku.
Semua jangka waktu yang digunakan di sini diformat sesuai dengan objek TimeSpan C# - D.HH:MM:SS. Jadi 80 hari dan 30 menit akan 80.00:30:00. D terkemuka dapat dijatuhkan jika nol, jadi 90 menit akan 00:90:00.
Referensi REST API
Anda dapat mengonfigurasi kebijakan seumur hidup token dan menetapkannya ke aplikasi menggunakan Microsoft Graph. Untuk informasi selengkapnya, lihat tokenLifetimePolicy jenis sumber daya dan metode terkaitnya.
Referensi cmdlet
Ini adalah cmdlet di Microsoft Graph PowerShell SDK.
Mengelola Kebijakan
Anda dapat menggunakan perintah berikut untuk mengelola kebijakan.
| Cmdlet | Deskripsi |
|---|---|
| New-MgPolicyTokenLifetimePolicy | Membuat kebijakan baru. |
| Get-MgPolicyTokenLifetimePolicy | Mendapatkan semua kebijakan seumur hidup token atau kebijakan tertentu. |
| Perbarui-KebijakanMasaHidupTokenMg | Mengubah kebijakan yang sudah ada. |
| Hapus Kebijakan Masa Berlaku Token MgPolicy | Menghapus kebijakan yang ditentukan. |
Kebijakan aplikasi
Anda dapat menggunakan cmdlet berikut untuk kebijakan aplikasi.
| Cmdlet | Deskripsi |
|---|---|
| New-MgApplicationTokenLifetimePolicyByRef | Menautkan kebijakan yang ditentukan ke aplikasi. |
| Get-MgApplicationTokenLifetimePolicyByRef | Mendapatkan kebijakan yang ditetapkan ke aplikasi. |
| Remove-MgApplicationTokenLifetimePolicyByRef (menghapus kebijakan masa berlaku token aplikasi melalui referensi) | Menghapus kebijakan dari aplikasi. |
Langkah berikutnya
Untuk mempelajari lebih lanjut, baca contoh cara mengonfigurasi masa pakai token.