Partilhar via


Tempos de vida de token configuráveis na plataforma de identidade da Microsoft (visualização)

Você pode configurar o tempo de vida dos tokens de acesso, ID ou SAML (Security Assertion Markup Language) emitidos pela plataforma de identidade da Microsoft. Os tempos de vida do token podem ser definidos para todos os aplicativos em sua organização, aplicativos multilocatários ou entidades de serviço específicas. Não há suporte para a configuração de tempos de vida de token para entidades de serviço de identidade geridas.

No Microsoft Entra ID, as políticas definem regras aplicadas a aplicativos individuais ou a todos os aplicativos em uma organização. Cada tipo de política tem propriedades exclusivas que determinam como ele é imposto ao objeto ao qual é atribuído.

Uma política pode ser designada como padrão para sua organização, aplicando-se a todos os aplicativos, a menos que seja substituída por uma política de prioridade mais alta. As políticas também podem ser atribuídas a aplicativos específicos, com prioridade variando de acordo com o tipo de política.

Para obter orientações práticas, consulte exemplos de como configurar tempos de vida de token.

Nota

A política de tempo de vida do token configurável só se aplica a clientes móveis e de área de trabalho que acessam recursos do SharePoint Online e do OneDrive for Business e não se aplica a sessões do navegador da Web. Para gerenciar o tempo de vida das sessões do navegador da Web para o SharePoint Online e o OneDrive for Business, use o recurso de tempo de vida da sessão de Acesso Condicional. Consulte o blog do SharePoint Online para saber mais sobre como configurar tempos limite de sessão ociosa.

Nota

Talvez você queira aumentar o tempo de vida do token para que um script seja executado por mais de uma hora. Muitas bibliotecas da Microsoft, como o SDK do PowerShell do Microsoft Graph, estendem a vida útil do token conforme necessário e você não precisa fazer alterações na política de token de acesso.

Requisitos de licença

A utilização desta funcionalidade necessita de uma licença do Microsoft Entra ID P1. Para encontrar a licença certa para seus requisitos, consulte Comparando recursos geralmente disponíveis das edições Free e Premium.

Os clientes com licenças do Microsoft 365 Business também têm acesso aos recursos de Acesso Condicional.

Políticas de tempo de vida do token para tokens de acesso, SAML e ID

Você pode definir políticas de tempo de vida de token para tokens de acesso, tokens SAML e tokens de ID.

Tokens de acesso

Os clientes usam tokens de acesso para acessar um recurso protegido. Um token de acesso só pode ser usado para uma combinação específica de usuário, cliente e recurso. Os tokens de acesso não podem ser revogados e são válidos até o seu vencimento. Um ator mal-intencionado que obtém um token de acesso pode usá-lo durante toda a sua validade. Ajustar o tempo de vida de um token de acesso é uma compensação entre melhorar o desempenho do sistema e aumentar a quantidade de tempo que o cliente retém o acesso depois que a conta do usuário é desativada. O melhor desempenho do sistema é alcançado reduzindo o número de vezes que um cliente precisa adquirir um novo token de acesso.

O tempo de vida padrão de um token de acesso é variável. Quando emitido, o tempo de vida padrão de um token de acesso recebe um valor aleatório que varia entre 60 e 90 minutos (75 minutos em média). O tempo de vida padrão também varia dependendo do aplicativo cliente que solicita o token ou se o Acesso Condicional está habilitado no locatário. Para obter mais informações, consulte Tempo de vida do token de acesso.

Tokens SAML

Os tokens SAML são usados por muitos aplicativos SaaS baseados na Web e são obtidos usando o ponto de extremidade do protocolo SAML2 do Microsoft Entra ID. Eles também são consumidos por aplicativos que usam o WS-Federation. O tempo de vida padrão do token é de 1 hora. Da perspetiva de um aplicativo, o período de validade do token é especificado pelo valor NotOnOrAfter do <conditions …> elemento no token. Após o término do período de validade do token, o cliente deve iniciar uma nova solicitação de autenticação, que geralmente será satisfeita sem o login interativo como resultado do token de sessão de logon único (SSO).

O valor de NotOnOrAfter pode ser alterado usando o AccessTokenLifetime parâmetro em um TokenLifetimePolicyarquivo . Ele será definido para o tempo de vida configurado na política, se houver, mais um fator de distorção de relógio de cinco minutos.

A confirmação de assunto NotOnOrAfter especificada no <SubjectConfirmationData> elemento não é afetada pela configuração do Token Lifetime.

Tokens de ID

Os tokens de ID são passados para sites e clientes nativos. Os tokens de ID contêm informações de perfil sobre um usuário. Um token de ID está vinculado a uma combinação específica de usuário e cliente. Os tokens de identificação são considerados válidos até ao seu termo. Normalmente, um aplicativo Web corresponde ao tempo de vida da sessão de um usuário no aplicativo ao tempo de vida do token de ID emitido para o usuário. Você pode ajustar o tempo de vida de um token de ID para controlar com que frequência o aplicativo Web expira a sessão do aplicativo e com que frequência ele exige que o usuário seja reautenticado com a plataforma de identidade da Microsoft (silenciosa ou interativamente).

Políticas de tempo de vida de token para tokens de atualização e tokens de sessão

Não é possível definir políticas de tempo de vida de token para tokens de atualização e tokens de sessão. Para obter informações sobre tempo de vida, tempo limite e revogação sobre tokens de atualização, consulte Atualizar tokens.

Importante

A partir de 30 de janeiro de 2021, não é possível configurar os tempos de vida do token de atualização e sessão. O Microsoft Entra não respeita mais a atualização e a configuração de token de sessão nas políticas existentes. Os novos tokens emitidos são definidos para a configuração padrão. Você ainda pode configurar os tempos de vida do token de acesso, SAML e ID após a desativação da atualização e da configuração do token de sessão.

O tempo de vida do token existente não será alterado. Depois que eles expirarem, um novo token será emitido com base no valor padrão.

Se você precisar continuar a definir o período de tempo antes que um usuário seja solicitado a entrar novamente, configure a frequência de entrada no Acesso Condicional. Para saber mais sobre o Acesso Condicional, leia Configurar o gerenciamento de sessão de autenticação com Acesso Condicional.

Propriedades de tempo de vida do token configuráveis

Uma política de tempo de vida de token é um tipo de objeto de política que contém regras de tempo de vida de token. Esta política controla por quanto tempo os tokens de acesso, SAML e ID para este recurso são considerados válidos. As políticas de tempo de vida do token não podem ser definidas para tokens de atualização e sessão. Se nenhuma política for definida, o sistema aplicará o valor padrão do tempo de vida.

Propriedades da política de tempo de vida do token Access, ID e SAML2

A redução da propriedade Access Token Lifetime reduz o risco de um token de acesso ou token de ID ser usado por um ator mal-intencionado por um longo período de tempo. (Esses tokens não podem ser revogados.) A contrapartida é que o desempenho é afetado negativamente, porque os tokens precisam ser substituídos com mais frequência.

Para obter um exemplo, consulte Criar uma política para login na Web.

A configuração do token Access, ID e SAML2 é afetada pelas seguintes propriedades e seus valores definidos, respectivamente:

  • Propriedade: Access Token Lifetime
  • Cadeia de propriedade Policy: AccessTokenLifetime
  • Afeta: Tokens de acesso, tokens de ID, tokens SAML2
  • Padrão:
    • Tokens de acesso: varia, dependendo do aplicativo cliente que solicita o token. Por exemplo, os clientes capazes de avaliação de acesso contínuo (CAE) que negociam sessões com reconhecimento de CAE verão uma vida útil de token de longa duração (até 28 horas).
    • Tokens de ID, tokens SAML2: Uma hora
  • Mínimo: 10 minutos
  • Máximo: Um dia

Propriedades da política de atualização e tempo de vida do token de sessão

A atualização e a configuração do token de sessão são afetadas pelas seguintes propriedades e seus valores definidos, respectivamente. Após a desativação da atualização e da configuração do token de sessão em 30 de janeiro de 2021, o ID do Microsoft Entra honrará apenas os valores padrão descritos abaixo. Se decidir não usar o Acesso Condicional para gerir a frequência de início de sessão, os seus tokens de atualização e de sessão serão definidos para a configuração padrão nessa data e não poderão alterar a sua duração.

Propriedade Cadeia de caracteres da propriedade Policy Afetos Predefinido
Atualizar o Token Tempo Inativo Máximo MaxInactiveTime Atualizar tokens 90 dias
Token de atualização de fator único Idade máxima MaxAgeSingleFactor Atualizar tokens (para qualquer usuário) Até que seja revogado
Multi-Factor Refresh Token Idade Máxima MaxAgeMultiFactor Atualizar tokens (para qualquer usuário) Até que seja revogado
Token de sessão de fator único Idade máxima MaxAgeSessionSingleFactor Tokens de sessão (persistentes e não persistentes) Até que seja revogado
Token de sessão multifator Idade máxima MaxAgeSessionMultiFactor Tokens de sessão (persistentes e não persistentes) Até que seja revogado

Os tokens de sessão não persistentes têm um Tempo Inativo Máximo de 24 horas, enquanto os tokens de sessão persistentes têm um Tempo Inativo Máximo de 90 dias. Sempre que o token de sessão SSO é usado dentro de seu período de validade, o período de validade é estendido por mais 24 horas ou 90 dias. Se o token de sessão SSO não for usado dentro de seu período de tempo máximo inativo, ele será considerado expirado e não será mais aceito. Quaisquer alterações a este período predefinido devem ser alteradas utilizando o Acesso Condicional.

Você pode usar o PowerShell para localizar as políticas que serão afetadas pela desativação. Use os cmdlets do PowerShell para ver todas as políticas criadas em sua organização ou para localizar quais aplicativos estão vinculados a uma política específica.

Avaliação e atribuição de prioridades a políticas

Você pode criar e, em seguida, atribuir uma política de tempo de vida do token a um aplicativo específico e à sua organização. Várias políticas podem se aplicar a um aplicativo específico. A política de tempo de vida do token que entra em vigor segue estas regras:

  • Se uma política for atribuída explicitamente à organização, ela será imposta.
  • Se nenhuma política for atribuída explicitamente à organização, a política atribuída ao aplicativo será imposta.
  • Se nenhuma política tiver sido atribuída à organização ou ao objeto do aplicativo, os valores padrão serão impostos. (Veja a tabela em Propriedades de tempo de vida do token configuráveis.)

A validade de um token é avaliada no momento em que o token é usado. A política com a prioridade mais alta no aplicativo que está sendo acessado entra em vigor.

Todos os intervalos de tempo usados aqui são formatados de acordo com o objeto TimeSpan C# - D.HH:MM:SS. Assim, 80 dias e 30 minutos seriam 80.00:30:00. O D à esquerda pode ser descartado se zero, então 90 minutos seriam 00:90:00.

Referência da API REST

Você pode configurar políticas de tempo de vida do token e atribuí-las a aplicativos usando o Microsoft Graph. Para obter mais informações, consulte o tipotokenLifetimePolicy recurso e seus métodos associados.

Referência do cmdlet

Estes são os cmdlets no SDK do Microsoft Graph PowerShell.

Gerenciar políticas

Você pode usar os seguintes comandos para gerenciar políticas.

Cmdlet Descrição
New-MgPolicyTokenLifetimePolicy Cria uma nova política.
Get-MgPolicyTokenLifetimePolicy Obtém todas as políticas de tempo de vida do token ou uma política especificada.
Update-MgPolicyTokenLifetimePolicy Atualiza uma política existente.
Remove-MgPolicyTokenLifetimePolicy Exclui a política especificada.

Políticas da aplicação

Você pode usar os cmdlets a seguir para políticas de aplicativo.

Cmdlet Descrição
New-MgApplicationTokenLifetimePolicyByRef Vincula a política especificada a um aplicativo.
Get-MgApplicationTokenLifetimePolicyByRef Obtém as políticas atribuídas a um aplicativo.
Remove-MgApplicationTokenLifetimePolicyByRef Remove uma política de um aplicativo.

Próximos passos

Para saber mais, leia exemplos de como configurar tempos de vida de token.