Dela via


Konfigurerbara tokenlivslängder i Microsofts identitetsplattform (förhandsversion)

Du kan ange livslängden för en åtkomst-, ID- eller SAML-token som utfärdats av Microsofts identitetsplattform. Du kan ange tokenlivslängder för alla appar i din organisation, för program med flera klienter (flera organisationer) eller för tjänstens huvudnamn. För närvarande har vi inte stöd för att konfigurera tokenlivslängderna för tjänstens huvudnamn för hanterad identitet.

I Microsoft Entra-ID representerar ett principobjekt en uppsättning regler som tillämpas på enskilda program eller på alla program i en organisation. Varje principtyp har en unik struktur med en uppsättning egenskaper som tillämpas på objekt som de tilldelas till.

Du kan ange en princip som standardprincip för din organisation. Principen tillämpas på alla program i organisationen, så länge den inte åsidosättas av en princip med högre prioritet. Du kan också tilldela en princip till specifika program. Prioritetsordningen varierar beroende på principtyp.

Du kan till exempel läsa exempel på hur du konfigurerar tokenlivslängder.

Kommentar

Konfigurationsbar policy för tokenlivslängd gäller endast för mobil- och skrivbordsklienter som har åtkomst till SharePoint Online och OneDrive för företag resurser och som inte gäller för webbläsarsessioner. Om du vill hantera livslängden för webbläsarsessioner för SharePoint Online och OneDrive för företag använder du funktionen sessionslivslängd för villkorlig åtkomst. Mer information om hur du konfigurerar tidsgränser för inaktiva sessioner finns i SharePoint Online-bloggen .

Kommentar

Du kanske vill öka tokenlivslängden så att ett skript körs i mer än en timme. Många Microsoft-bibliotek, till exempel Microsoft Graph PowerShell SDK, förlänger tokenlivslängden efter behov och du behöver inte göra ändringar i principen för åtkomsttoken.

Licenskrav

För att kunna använda den här funktionen krävs en Microsoft Entra ID P1-licens. Information om hur du hittar rätt licens för dina krav finns i Jämföra allmänt tillgängliga funktioner i de kostnadsfria versionerna och Premium-utgåvorna.

Kunder med Microsoft 365 Business-licenser har också åtkomst till funktioner för villkorsstyrd åtkomst.

Policyer för tokenlivslängd för åtkomst, SAML och ID-token

Du kan ange principer för tokenlivslängd för åtkomsttoken, SAML-token och ID-token.

Åtkomsttokens

Klienter använder åtkomsttoken för att komma åt en skyddad resurs. En åtkomsttoken kan endast användas för en specifik kombination av användare, klient och resurs. Åtkomsttoken kan inte återkallas och är giltiga förrän de har upphört att gälla. En illasinnad aktör som har fått en åtkomsttoken kan använda den under sin livslängd. Att justera livslängden för en åtkomsttoken är en kompromiss mellan att förbättra systemets prestanda och öka den tid som klienten behåller åtkomsten efter att användarens konto har inaktiverats. Bättre systemprestanda uppnås genom att minska antalet gånger en klient behöver skaffa en ny åtkomsttoken.

Standardlivslängden för en åtkomsttoken är variabel. När den utfärdas tilldelas en åtkomsttokens standardlivslängd ett slumpmässigt värde mellan 60 och 90 minuter (i genomsnitt 75 minuter). Standardlivslängden varierar också beroende på vilket klientprogram som begär token eller om villkorlig åtkomst är aktiverad i klientorganisationen. Mer information finns i Åtkomsttokens livslängd.

SAML-token

SAML-token används av många webbaserade SaaS-program och hämtas med hjälp av Microsoft Entra ID:s SAML2-protokollslutpunkt. De används också av program som använder WS-Federation. Standardlivslängden för token är 1 timme. Från ett programs perspektiv anges giltighetsperioden för token av värdet NotOnOrAfter för elementet <conditions …> i token. När giltighetsperioden för token har upphört måste klienten initiera en ny autentiseringsbegäran, som ofta uppfylls utan interaktiv inloggning som ett resultat av Enkel inloggning sessionstoken (SSO).

Värdet NotOnOrAfter kan ändras med hjälp av parametern AccessTokenLifetime i en TokenLifetimePolicy. Den kommer att ställas in på den livslängd som konfigurerats i principen om någon, plus en klockförskjutningsfaktor på fem minuter.

Ämnesbekräftelsen NotOnOrAfter som anges i elementet <SubjectConfirmationData> påverkas inte av konfigurationen för tokenlivslängd.

ID-token

ID-token skickas till webbplatser och interna klienter. ID-token innehåller profilinformation om en användare. En ID-token är bunden till en specifik kombination av användare och klient. ID-token anses vara giltiga tills de upphör att gälla. Vanligtvis matchar ett webbprogram en användares sessionslivslängd i programmet med livslängden för den ID-token som utfärdats för användaren. Du kan justera livslängden för en ID-token för att styra hur ofta webbprogrammet förfaller programsessionen och hur ofta användaren måste autentiseras igen med Microsofts identitetsplattform (antingen tyst eller interaktivt).

Policyer för tokenlivslängd för uppdateringstoken och sessionstoken

Du kan inte ange principer för tokenlivslängd för uppdateringstoken och sessionstoken. Information om livslängd, tidsgräns och återkallning för uppdateringstoken finns i Uppdatera token.

Viktigt!

Från och med den 30 januari 2021 kan du inte konfigurera livslängden för uppdaterings- och sessionstoken. Microsoft Entra respekterar inte längre konfigurationen av uppdaterings- och sessionstoken i befintliga principer. Nya token som utfärdas efter att befintliga token har upphört att gälla är nu inställda på standardkonfigurationen. Du kan fortfarande konfigurera åtkomst, SAML och ID-tokenlivslängder efter att konfigurationen av uppdaterings- och sessionstoken har upphört.

Den befintliga tokens livslängd ändras inte. När de har upphört att gälla utfärdas en ny token baserat på standardvärdet.

Om du behöver fortsätta att definiera tidsperioden innan en användare uppmanas att logga in igen konfigurerar du inloggningsfrekvens i villkorsstyrd åtkomst. Mer information om villkorlig åtkomst finns i Konfigurera autentiseringssessionshantering med villkorlig åtkomst.

Egenskaper för konfigurerbar tokenlivslängd

En policy för tokenlivslängd är en typ av principobjekt som innehåller regler för tokenlivslängd. Den här principen styr hur länge åtkomst, SAML och ID-token för den här resursen anses vara giltiga. Det går inte att ange principer för tokenlivslängd för uppdaterings- och sessionstoken. Om ingen princip har angetts tillämpar systemet standardvärdet för livslängd.

Principegenskaper för åtkomst, ID och SAML2-tokenlivslängd

Om du minskar livslängdsegenskapen för åtkomsttoken minskar risken för att en åtkomsttoken eller ID-token används av en skadlig aktör under en längre tid. (Dessa token kan inte återkallas.) Kompromissen är att prestanda påverkas negativt, eftersom token måste ersättas oftare.

Ett exempel finns i Skapa en princip för webbinloggning.

Konfigurationen av åtkomst, ID och SAML2-token påverkas av följande egenskaper och deras respektive angivna värden:

  • Egenskap: Livslängd för åtkomsttoken
  • Principegenskapssträng: AccessTokenLifetime
  • Påverkar: Åtkomsttoken, ID-token, SAML2-token
  • Standard:
    • Åtkomsttoken: varierar beroende på vilket klientprogram som begär token. Till exempel ser cae-kompatibla klienter (continuous access evaluation) som förhandlar om CAE-medvetna sessioner en livslängd för token med lång livslängd (upp till 28 timmar).
    • ID-token, SAML2-token: 1 timme
  • Minst: 10 minuter
  • Maximalt: 1 dag

Egenskaper för uppdaterings- och sessionstokens livslängdsprincip

Konfigurationen av uppdaterings- och sessionstoken påverkas av följande egenskaper och deras respektive angivna värden. Efter tillbakadragandet av konfigurationen av uppdaterings- och sessionstoken den 30 januari 2021 följer Microsoft Entra-ID endast standardvärdena som beskrivs nedan. Om du bestämmer dig för att inte använda villkorsstyrd åtkomst för att hantera inloggningsfrekvensen kommer dina uppdaterings- och sessionstoken att ställas in på standardkonfigurationen på det datumet och du kommer inte längre att kunna ändra deras livslängd.

Property Principegenskapssträng Påverkar Standardvärde
Maximal inaktiv tid för uppdateringstoken MaxInactiveTime Uppdatera token 90 dagar
Maxålder för enfaktorsuppdateringstoken MaxAgeSingleFactor Uppdatera token (för alla användare) Tills den har återkallats
Maxålder för multifaktoruppdateringstoken MaxAgeMultiFactor Uppdatera token (för alla användare) Tills den har återkallats
Maxålder för enfaktorssessionstoken MaxAgeSessionSingleFactor Sessionstoken (beständiga och icke-beständiga) Tills den har återkallats
Maxålder för multifaktorsessionstoken MaxAgeSessionMultiFactor Sessionstoken (beständiga och icke-beständiga) Tills den har återkallats

Icke-beständiga sessionstoken har en maximal inaktiv tid på 24 timmar medan beständiga sessionstoken har en maximal inaktiv tid på 90 dagar. När SSO-sessionstoken används inom dess giltighetsperiod förlängs giltighetsperioden ytterligare 24 timmar eller 90 dagar. Om SSO-sessionstoken inte används inom den maximala inaktiva tidsperioden anses den ha upphört att gälla och accepteras inte längre. Ändringar i den här standardperioden bör ändras med villkorlig åtkomst.

Du kan använda PowerShell för att hitta de principer som påverkas av tillbakadragningen. Använd PowerShell-cmdletarna för att se alla principer som skapats i din organisation eller för att hitta vilka appar som är länkade till en specifik princip.

Utvärdering och prioritering av policyer

Du kan skapa och sedan tilldela en policy för tokenlivslängd till ett visst program och till din organisation. Flera principer kan gälla för ett visst program. Policyn för tokenlivslängd som börjar gälla följer dessa regler:

  • Om en princip uttryckligen tilldelas till organisationen tillämpas den.
  • Om ingen princip uttryckligen tilldelas till organisationen tillämpas principen som tilldelats programmet.
  • Om ingen princip har tilldelats organisationen eller programobjektet tillämpas standardvärdena. (Se tabellen i Konfigurerbara egenskaper för tokenlivslängd.)

En tokens giltighet utvärderas när token används. Principen med högsta prioritet för det program som används börjar gälla.

Alla tidsintervall som används här formateras enligt C# TimeSpan-objektet – D.HH:MM:SS. Så 80 dagar och 30 minuter skulle vara 80.00:30:00. Det inledande D kan tas bort om noll, så 90 minuter blir 00:90:00.

Referens för REST-API

Du kan konfigurera principer för tokenlivslängd och tilldela dem till appar med hjälp av Microsoft Graph. Mer information finns i tokenLifetimePolicy resurstypen och dess associerade metoder.

Cmdlet-referens

Det här är cmdletarna i Microsoft Graph PowerShell SDK.

Hantera principer

Du kan använda följande kommandon för att hantera principer.

Cmdlet beskrivning
New-MgPolicyTokenLifetimePolicy Skapar en ny princip.
Get-MgPolicyTokenLifetimePolicy Hämtar alla policyer för tokenlivslängd eller en angiven princip.
Update-MgPolicyTokenLifetimePolicy Uppdateringar en befintlig princip.
Remove-MgPolicyTokenLifetimePolicy Tar bort den angivna principen.

Användningsprinciper

Du kan använda följande cmdletar för programprinciper.

Cmdlet beskrivning
New-MgApplicationTokenLifetimePolicyByRef Länkar den angivna principen till ett program.
Get-MgApplicationTokenLifetimePolicyByRef Hämtar de principer som har tilldelats till ett program.
Remove-MgApplicationTokenLifetimePolicyByRef Tar bort en princip från ett program.

Nästa steg

Mer information finns i exempel på hur du konfigurerar tokenlivslängder.