Microsoft ID プラットフォームの更新トークン

クライアントは保護されたリソースにアクセスするためのアクセス トークンを取得するときに、更新トークンも受け取ります。 更新トークンを使用して、現在のアクセス トークンの有効期限が切れたときに、新しいアクセス トークンと更新トークンのペアを取得します。 更新トークンは、他のリソースの追加のアクセス トークンを取得するのにも使用されます。 更新トークンは、ユーザーとクライアントの組み合わせにバインドされていますが、リソースまたはテナントには関連付けられていません。 このため、クライアントは更新トークンを使用して、リソースとテナントの任意の組み合わせで、権限があればアクセス トークンを取得することができます。 更新トークンは暗号化され、Microsoft ID プラットフォームでのみ読み取ることができます。

前提条件

この記事を読む前に、次の記事を参照することをお勧めします。

更新トークンの有効期間

更新トークンの有効期間は、アクセス トークンよりも長くなります。 更新トークンの既定の有効期間は、シングル ページ アプリの場合は 24 時間、他のすべてのシナリオでは 90 日間です。 更新トークンは、使用するたびに新しいトークンに置き換えられます。 Microsoft ID プラットフォームでは、古い更新トークンが、新しいアクセス トークンを取得するために使用されるときに失効になりません。 古い更新トークンは、新しい更新トークンを取得した後に安全に削除します。 更新トークンは、アクセス トークンやアプリケーション資格情報と同様に安全に保存されている必要があります。

重要

spa として登録されたリダイレクト URI に送信される更新トークンは、24 時間後に期限切れになります。 初期更新トークンを使用して取得された追加の更新トークンは、その有効期限を引き継ぎます。そのため、24 時間ごとに新しい更新トークンを取得するために、対話型認証を使用して認可コード フローを再実行するようにアプリを準備する必要があります。 ユーザーは自分の資格情報を入力する必要はなく、通常は関連するユーザー エクスペリエンスも表示されず、アプリケーションを再度読み込むだけです。 ブラウザーは、ログイン セッションを表示するために、最上位フレームのログイン ページにアクセスする必要があります。 これは、サード パーティの Cookie をブロックするブラウザーのプライバシー機能のためです。

トークンの有効期限を更新する

更新トークンは、タイムアウトと失効により、いつでも失効する可能性があります。 この場合、アプリはサインインサービスによる拒否を正常に処理する必要があります。 これを行うには、対話型のサインイン プロンプトをユーザーに表示して、もう一度サインインさせます。

トークンのタイムアウト

更新トークンの有効期間を構成することはできません。 有効期間を短縮したり延長したりすることはできません。 条件付きアクセスでのサインインの頻度を構成して、ユーザーが再度サインインするように求められるまでの時間を定義します。 条件付きアクセスを使用して認証セッション管理を構成する方法を確認してください。

すべての更新トークンが、トークンの有効期間ポリシーで設定された規則に従うわけではありません。 具体的には、シングル ページ アプリで使用される更新トークンは、あたかも 24 時間の MaxAgeSessionSingleFactor ポリシーが適用されているかのように常に 24 時間のアクティビティに固定されます。

無効化

資格情報の変更、ユーザーの操作、または管理者の操作が原因で、更新トークンがサーバーによって取り消される場合があります。 更新トークンは、機密クライアント (右端の列) に発行されるトークンと、パブリック クライアント (他のすべての列) に発行されるトークンの 2 つのクラスに分類されます。

Change パスワードに基づくクッキー パスワードに基づくトークン パスワードに基づかないクッキー パスワードに基づかないトークン 機密のクライアントのトークン
パスワードが期限切れ 存続 存続 存続 存続 存続
ユーザーによるパスワードの変更 取り消し 取り消し 存続 存続 存続
ユーザーがSSPRである 取り消し 取り消し 存続 存続 存続
管理者によるパスワードのリセット 取り消し 取り消し 存続 存続 存続
ユーザーが PowerShellによって、更新トークンを無効にする 取り消し 取り消し 取り消し 取り消し 取り消し
管理者が PowerShell によって、ユーザーのすべての更新トークンを無効にする 取り消し 取り消し 取り消し 取り消し 取り消し
Web でのシングル サインアウト 取り消し 存続 取り消し 存続 存続

次のステップ