Настройка времени жизни маркеров на платформе удостоверений Майкрософт (предварительная версия)
Можно указать время существования маркера доступа, идентификатора или SAML, выданного платформа удостоверений Майкрософт. Вы можете задать время существования маркеров для всех приложений в организации, для мультитенантных (мультиорганизационных) приложений или субъектов-служб. В настоящее время мы не поддерживаем настройку времени существования маркера для субъектов-служб управляемых удостоверений.
В идентификаторе Microsoft Entra объект политики представляет набор правил, которые применяются для отдельных приложений или всех приложений в организации. Каждый тип политики имеет уникальную структуру и набор свойств, которые применяются к объектам, для которых назначена эта политика.
Для организации можно назначить политику по умолчанию. Она будет применяться ко всем приложениям в организации, если не будет переопределена политикой с более высоким приоритетом. Политику можно также назначить и для отдельных приложений. Приоритетность политики определяется ее типом.
Ознакомьтесь с примерами настройки времени жизни маркеров.
Примечание.
Настраиваемая политика времени жизни маркеров применяется только к мобильным и настольным клиентам, которые обращаются к ресурсам SharePoint Online и OneDrive для бизнеса и не применяются к сеансам веб-браузера. Для управления временем жизни сеансов веб-браузера для SharePoint Online и OneDrive для бизнеса используйте функцию Время жизни сеанса условного доступа. Ознакомьтесь с блогом о SharePoint Online, чтобы получить дополнительные сведения о настройке времени ожидания бездействующих сеансов.
Требования к лицензиям
Для использования этой функции требуется лицензия Microsoft Entra ID уровня P1. Чтобы подобрать лицензию под свои требования, ознакомьтесь с разделом Сравнение общедоступных функций выпусков Free и Premium.
Клиенты с лицензиями Microsoft 365 бизнес также имеют доступ к функциям условного доступа.
Политики времени жизни маркеров доступа, SAML и идентификации
Вы можете настроить политики времени жизни для маркеров доступа, SAML и идентификации.
Маркеры доступа
Чтобы получить доступ к защищенному ресурсу, клиенты используют маркеры доступа. Маркер доступа можно использовать только для конкретного сочетания пользователя, клиентского приложения и ресурса. Маркеры доступа не могут быть отозваны. Они действуют до истечения срока своего действия. Вредоносный субъект, получивший маркер доступа, сможет использовать его на протяжении всего времени жизни. Настройка времени существования маркера доступа позволяет балансировать между производительностью системы и временем, в течение которого клиент сохраняет доступ после отключения учетной записи пользователя. Чтобы повысить производительность системы, нужно минимизировать частоту обращений клиентского приложения за обновленным маркером доступа.
Время существования маркера доступа по умолчанию — переменное. При выдаче времени существования маркера доступа по умолчанию назначается случайное значение в диапазоне от 60 до 90 минут (в среднем 75 минут). Время существования по умолчанию также зависит от клиентского приложения, запрашивающего маркер или если в клиенте включен условный доступ. Дополнительные сведения см. в разделе Время существования маркера доступа.
Токены SAML
Токены SAML используются многими веб-приложениями SaaS и получаются с помощью конечной точки протокола SAML2 идентификатора Майкрософт. Кроме того, они нужны приложениям с использованием WS-Federation. Время жизни маркера по умолчанию составляет 1 час. С точки зрения приложения срок действия маркера определяется значением NotOnOrAfter элемента <conditions …> в маркере. По окончании срока действия маркера клиент должен инициировать новый запрос проверки подлинности, который, как правило, выполняется без интерактивного входа с помощью маркера сеанса единого входа (SSO).
Значение NotOnOrAfter можно изменить с помощью параметра AccessTokenLifetime в TokenLifetimePolicy. Для него будет задано время жизни, настроенное в политике (если есть), а также значение разницы в показаниях часов, равное пяти минутам.
Конфигурация времени жизни маркера не влияет на подтверждение субъекта NotOnOrAfter, указанное в элементе <SubjectConfirmationData>.
Токен идентификатора
Маркеры идентификации передаются веб-сайтам и собственным клиентам. Они содержат сведения о профиле пользователя. Маркер идентификации привязан одновременно и к пользователю, и клиентскому приложению. Маркеры идентификации считаются действительными до истечения срока действия. Обычно в веб-приложениях время существования пользовательского сеанса соответствует времени существования маркера идентификатора, выданного пользователю. Изменяя время жизни маркера идентификации, вы можете управлять частотой завершения пользовательского сеанса в веб-приложении, а также частотой, с которой пользователю нужно выполнять проверку подлинности на платформе удостоверений Майкрософт (в автоматическом или интерактивном режиме).
Политики времени жизни маркеров обновления и маркеров сеанса
Нельзя задать политики времени существования маркеров для маркеров обновления и маркеров сеанса. Сведения о времени существования, времени ожидания и отзыве маркеров обновления см. в статье Маркеры обновления.
Внимание
По состоянию на 30 января 2021 г. нельзя настроить время существования маркеров обновления и сеанса. Microsoft Entra больше не учитывает конфигурацию маркера обновления и сеанса в существующих политиках. Новые маркеры, выданные после истечения срока действия существующих маркеров, теперь получают конфигурацию по умолчанию. Вы можете настраивать время жизни маркеров доступа, SAML и идентификации и после прекращения поддержки настройки маркеров обновления и сеанса.
Время существования уже выданных маркеров не изменится. По истечении срока действия будет выдан новый маркер согласно значению по умолчанию.
Если вам необходимо и впредь определять период времени, по истечении которого пользователю будет предложено заново выполнить вход, настройте частоту входа в условном доступе. Дополнительные сведения об условном доступе см. в статье Настройка управления сеансами проверки подлинности с помощью условного доступа.
Свойства для настройки времени жизни маркера
Политика времени жизни маркера — это объект политики, который содержит правила времени жизни маркера. Эта политика определяет, как долго продолжают действовать маркеры доступа, SAML и идентификации для определенного ресурса. Настроить политики времени существования маркеров обновления и сеанса невозможно. Если политика не задана, система использует стандартное значение для времени жизни.
Свойства политики времени существования маркера доступа, идентификации и SAML2
Чем меньше значение свойства времени жизни маркера доступа, тем ниже риск использования маркера доступа или маркера идентификатора вредоносным субъектом в течение длительного времени. (Эти маркеры не могут быть отозваны.) Очевидным недостатком является то, что это влияет на производительность системы в связи с частой заменой маркеров.
Пример см. в разделе Создание политики для входа в веб-службы.
На конфигурацию маркера доступа, идентификации и SAML2 влияют указанные ниже свойства и соответствующие им значения.
- Свойство: время существования маркера доступа
- Строка свойства политики: AccessTokenLifetime
- Затрагивает: маркеры доступа, маркеры идентификации, маркеры SAML2
- По умолчанию:
- Маркеры доступа: зависит от клиентского приложения, запрашивающего маркер. Например, клиенты с непрерывной оценкой доступа, которые согласовывают сеансы с поддержкой этой функции, будут сталкиваться с длительным временем существования маркера (до 28 часов).
- Маркеры идентификации, маркеры SAML2: 1 час
- Минимум: 10 минут
- Максимум: 1 сутки
Свойства политики времени жизни маркеров обновления и маркеров сеанса
На конфигурацию маркера обновления и маркера сеанса влияют следующие свойства и соответствующие им значения. После выхода на пенсию конфигурации маркера обновления и сеанса 30 января 2021 г. идентификатор Microsoft Entra будет учитывать только значения по умолчанию, описанные ниже. Если вы решили не использовать условный доступ для управления частотой входа, маркерам обновления и сеанса с этого дня будет задана конфигурация по умолчанию, и вы больше не сможете изменять их время существования.
| Свойство | Строка свойства политики | Область применения | По умолчанию. |
|---|---|---|---|
| Максимальное время неактивности для маркеров обновления | MaxInactiveTime | маркеры обновления. | 90 дней |
| Максимальный возраст однофакторного маркера обновления | MaxAgeSingleFactor | Маркеры обновления (для всех пользователей) | Пока не будет отозван |
| Максимальный возраст многофакторного маркера обновления | MaxAgeMultiFactor | Маркеры обновления (для всех пользователей) | Пока не будет отозван |
| Максимальный возраст однофакторного маркера сеанса | MaxAgeSessionSingleFactor | Маркеры сеанса (постоянные и временные) | Пока не будет отозван |
| Максимальный возраст многофакторного маркера сеанса | MaxAgeSessionMultiFactor | Маркеры сеанса (постоянные и временные) | Пока не будет отозван |
Маркеры сеанса, не являющиеся постоянными, имеют максимальное неактивное время в 24 часа, а маркеры постоянных сеансов имеют максимальное неактивное время в 90 дней. В любой момент, когда маркер сеанса единого входа используется в течение срока действия, срок действия продлен еще 24 часа или 90 дней. Если маркер сеанса единого входа не используется в течение максимального неактивного периода времени, он считается истекшим и больше не будет принят. Любые изменения этого периода по умолчанию должны быть изменены с помощью условного доступа.
Для поиска политик, которые будут затронуты прекращением поддержки, можно использовать PowerShell. Используйте командлеты PowerShell, чтобы просмотреть все политики, созданные в организации, или найти приложения, связанные с определенной политикой.
Оценка политики и ее приоритеты
Вы можете создать и назначить политику времени существования маркера определенному приложению и вашей организации. К одному приложению могут применяться сразу несколько политик. Политики определяют время жизни маркеров в соответствии со следующими правилами:
- Если политика явно назначена организации, она применяется.
- Если политика не назначена организации явным образом, применяется политика, назначенная приложению.
- Если политика не назначена организации или объекту приложения, применяются значения по умолчанию. (См. таблицу в разделе Свойства для настройки времени жизни маркера.)
Допустимость маркера оценивается во время его использования. Используется политика с самым высоким приоритетом, установленная для оцениваемого приложения.
Все интервалы времени указаны в формате объекта C# TimeSpan: Д.ЧЧ:ММ:СС. Поэтому 80 дней и 30 минут указываются как 80.00:30:00. Начальное значение Д можно опустить, если оно равно нулю, поэтому 90 минут будет указываться как 00:90:00.
Справочник по REST API
Вы можете настроить политики времени существования маркеров и назначить их приложениям с помощью Microsoft Graph. Дополнительные сведения см. в описании tokenLifetimePolicy типа ресурса и связанных с ним методов.
Справочник по командлетам
Это командлеты в пакете SDK Для Microsoft Graph PowerShell.
Управление политиками
Для управления политиками можно использовать следующие команды.
| Командлет | Description |
|---|---|
| New-MgPolicyTokenLifetimePolicyPolicy | Создает новую политику. |
| Get-MgPolicyTokenLifetimePolicy | Возвращает все политики времени существования маркера или указанную политику. |
| Update-MgPolicyTokenLifetimePolicyPolicy | Обновляет существующую политику. |
| Remove-MgPolicyTokenLifetimePolicy | Удаляет указанную политику. |
Политики приложений
Управлять политиками приложений можно с помощью следующих командлетов.
| Командлет | Description |
|---|---|
| New-MgApplicationTokenLifetimePolicyByRef | Связывает указанную политику с приложением. |
| Get-MgApplicationTokenLifetimePolicyByRef | Возвращает политики, назначенные приложению. |
| Remove-MgApplicationTokenLifetimePolicyByRef | Удаляет политику из приложения. |
Следующие шаги
Дополнительные сведения см. в примерах настройки времени жизни маркеров.