更新トークンを使用して、現在のアクセス トークンの有効期限が切れたときに、新しいアクセス トークンと更新トークンのペアを取得します。 クライアントは保護されたリソースにアクセスするためのアクセス トークンを取得するときに、更新トークンも受け取ります。
更新トークンは、他のリソースの追加のアクセス トークンを取得するのにも使用されます。 更新トークンは、ユーザーとクライアントの組み合わせにバインドされていますが、リソースまたはテナントには関連付けられていません。 クライアントは更新トークンを使用して、リソースとテナントの任意の組み合わせで、権限があればアクセス トークンを取得することができます。 更新トークンは暗号化され、Microsoft ID プラットフォームでのみ読み取ることができます。
トークンの有効期間
更新トークンの有効期間は、アクセス トークンよりも長くなります。 更新トークンの既定の有効期間は、シングル ページ アプリの場合は 24 時間、他のすべてのシナリオでは 90 日間です。 更新トークンは、使用するたびに新しいトークンに置き換えられます。 Microsoft ID プラットフォームでは、古い更新トークンが、新しいアクセス トークンを取得するために使用されるときに失効になりません。 古い更新トークンは、新しい更新トークンを取得した後に安全に削除します。 更新トークンは、アクセス トークンやアプリケーション資格情報と同様に安全に保存されている必要があります。
注
spa として登録されたリダイレクト URI に送信される更新トークンは、24 時間後に期限切れになります。 初期更新トークンを使用して取得された追加の更新トークンは、その有効期限を引き継ぎます。そのため、24 時間ごとに新しい更新トークンを取得するために、対話型認証を使用して認可コード フローを再実行するようにアプリを準備する必要があります。 ユーザーは自分の資格情報を入力する必要はなく、通常は関連するユーザー エクスペリエンスも表示されず、アプリケーションを再度読み込むだけです。 ブラウザーは、ログイン セッションを表示するために、最上位フレームでサインイン ページにアクセスする必要があります。 これは、サード パーティの Cookie をブロックするブラウザーのプライバシー機能のためです。
トークンの有効期限
更新トークンは、有効期間が経過すると自動的に期限切れになります。 また、有効期限が切れる前に、サインイン サービスによっていつでも取り消すことができます。 アプリでは、ユーザーを対話型サインイン プロンプトにリダイレクトして再認証し、新しいトークンを取得することで、このような失効を適切に処理する必要があります。
トークンの失効
資格情報の変更、ユーザーの操作、または管理者の操作が原因で、サーバーが更新トークンを取り消す場合があります。 更新トークンは、機密クライアント (右端の列) に発行されるトークンと、パブリック クライアント (他のすべての列) に発行されるトークンの 2 つのクラスに分類されます。
| 変更 | パスワードに基づくクッキー | パスワードに基づくトークン | パスワードに基づかないクッキー | パスワードに基づかないトークン | クライアント機密トークン |
|---|---|---|---|---|---|
| パスワードが期限切れ | 存続 | 存続 | 存続 | 存続 | 存続 |
| ユーザーによるパスワードの変更 | 取り消し | 取り消し | 存続 | 存続 | 存続 |
| ユーザーがSSPRである | 取り消し | 取り消し | 存続 | 存続 | 存続 |
| 管理者がパスワードをリセットする (Azure portal) | 取り消し | 取り消し | 存続 | 存続 | 存続 |
| 管理者がパスワードをリセットする (Microsoft Entra 管理センター) | 取り消し | 取り消し | 存続 | 取り消し | 取り消し |
| 管理者がパスワードをリセットする (M365 管理センター) | 取り消し | 取り消し | 存続 | 取り消し | 取り消し |
| ユーザーが更新トークンを取り消す | 取り消し | 取り消し | 取り消し | 取り消し | 取り消し |
| 管理者がユーザーのすべての更新トークンを無効にする | 取り消し | 取り消し | 取り消し | 取り消し | 取り消し |
| シングル サインアウト | 取り消し | 存続 | 取り消し | 存続 | 存続 |
注
リソース テナント内の B2B ユーザーの更新トークンは取り消されません。 このトークンはホーム テナントで取り消す必要があります。