Dela via


Konfigurerbara tokenlivslängder i Microsofts identitetsplattform (förhandsversion)

Du kan konfigurera livslängden för åtkomst-, ID- eller SAML-token (Security Assertion Markup Language) som utfärdats av Microsofts identitetsplattform. Tokenlivslängder kan anges för alla appar i din organisation, program med flera klienter eller specifika tjänsthuvudnamn. Det går inte att konfigurera tokenlivslängder för tjänstens principer för hanterad identitet.

I Microsoft Entra-ID definierar principer regler som tillämpas på enskilda program eller alla program i en organisation. Varje principtyp har unika egenskaper som avgör hur den tillämpas på det objekt som den tilldelas till.

En princip kan anges som standard för din organisation och tillämpas på alla program om den inte åsidosätts av en princip med högre prioritet. Principer kan också tilldelas till specifika program, där prioriteten varierar beroende på principtyp.

Praktisk vägledning finns i exempel på hur du konfigurerar tokenlivslängder.

Kommentar

Konfigurationsbar tokenlivsprincip gäller endast för mobil- och skrivbordsklienter som har åtkomst till Resurser för SharePoint Online och OneDrive för företag och som inte gäller för webbläsarsessioner. Om du vill hantera livslängden för webbläsarsessioner för SharePoint Online och OneDrive för företag använder du funktionen sessionslivslängd för villkorlig åtkomst. Mer information om hur du konfigurerar tidsgränser för inaktiva sessioner finns i SharePoint Online-bloggen .

Kommentar

Du kanske vill öka tokenlivslängden så att ett skript körs i mer än en timme. Många Microsoft-bibliotek, till exempel Microsoft Graph PowerShell SDK, förlänger tokenlivslängden efter behov och du behöver inte göra ändringar i principen för åtkomsttoken.

Licenskrav

För att kunna använda den här funktionen krävs en Microsoft Entra ID P1-licens. Information om hur du hittar rätt licens för dina krav finns i Jämföra allmänt tillgängliga funktioner i de kostnadsfria versionerna och Premium-utgåvorna.

Kunder med Microsoft 365 Business-licenser har också åtkomst till funktioner för villkorsstyrd åtkomst.

Policyer för tokenlivslängd för åtkomst, SAML och ID-token

Du kan ange principer för tokenlivslängd för åtkomsttoken, SAML-token och ID-token.

Åtkomsttokens

Klienter använder åtkomsttoken för att komma åt en skyddad resurs. En åtkomsttoken kan endast användas för en specifik kombination av användare, klient och resurs. Åtkomsttoken kan inte återkallas och är giltiga förrän de har upphört att gälla. En oönskad aktör som hämtar en åtkomsttoken kan använda den för hela dess livslängd. Att justera livslängden för en åtkomsttoken är en kompromiss mellan att förbättra systemets prestanda och öka den tid som klienten behåller åtkomsten efter att användarens konto har inaktiverats. Bättre systemprestanda uppnås genom att minska antalet gånger en klient behöver skaffa en ny åtkomsttoken.

Standardlivslängden för en åtkomsttoken är variabel. När den utfärdas tilldelas en åtkomsttokens standardlivslängd ett slumpmässigt värde mellan 60 och 90 minuter (i genomsnitt 75 minuter). Standardlivslängden varierar också beroende på vilket klientprogram som begär token eller om villkorlig åtkomst är aktiverad i klientorganisationen. Mer information finns i Åtkomsttokens livslängd.

SAML-token

SAML-token används av många webbaserade SaaS-program och hämtas med hjälp av Microsoft Entra ID:s SAML2-protokollslutpunkt. De används också av program som använder WS-Federation. Standardlivslängden för token är 1 timme. Från ett programs perspektiv anges giltighetsperioden för token av värdet NotOnOrAfter för elementet <conditions …> i token. När giltighetsperioden för token har upphört måste klienten initiera en ny autentiseringsbegäran, som ofta uppfylls utan interaktiv inloggning som ett resultat av Enkel inloggning sessionstoken (SSO).

Värdet NotOnOrAfter kan ändras med hjälp av parametern AccessTokenLifetime i en TokenLifetimePolicy. Den kommer att ställas in på den livslängd som konfigurerats i principen om någon, plus en klockförskjutningsfaktor på fem minuter.

Ämnesbekräftelsen NotOnOrAfter som anges i elementet <SubjectConfirmationData> påverkas inte av konfigurationen för tokenlivslängd.

ID-token

ID-token skickas till webbplatser och interna klienter. ID-token innehåller profilinformation om en användare. En ID-token är bunden till en specifik kombination av användare och klient. ID-token anses vara giltiga tills de upphör att gälla. Vanligtvis matchar ett webbprogram en användares sessionslivslängd i programmet med livslängden för den ID-token som utfärdats för användaren. Du kan justera livslängden för en ID-token för att styra hur ofta webbapplikationen avslutar sessionen och hur ofta den kräver att användaren reautentiseras med Microsofts identitetsplattform (antingen i tyst läge eller interaktivt).

Policyer för tokenlivslängd för uppdateringstoken och sessionstoken

Du kan inte ange principer för tokenlivslängd för uppdateringstoken och sessionstoken. Information om livslängd, tidsgräns och återkallning för uppdateringstoken finns i Uppdatera token.

Viktigt!

Från och med den 30 januari 2021 kan du inte konfigurera livslängden för uppdaterings- och sessionstoken. Microsoft Entra respekterar inte längre konfigurationen av uppdaterings- och sessionstoken i befintliga principer. Nya token som utfärdas är inställda på standardkonfigurationen. Du kan fortfarande konfigurera åtkomst, SAML och ID-tokenlivslängder efter att konfigurationen av uppdaterings- och sessionstoken har upphört.

Den befintliga tokens livslängd ändras inte. När de har upphört att gälla utfärdas en ny token baserat på standardvärdet.

Om du behöver fortsätta att definiera tidsperioden innan en användare uppmanas att logga in igen konfigurerar du inloggningsfrekvens i villkorsstyrd åtkomst. Mer information om villkorlig åtkomst finns i Konfigurera autentiseringssessionshantering med villkorlig åtkomst.

Egenskaper för konfigurerbar tokenlivslängd

En policy för tokenlivslängd är en typ av principobjekt som innehåller regler för tokenlivslängd. Den här principen styr hur länge åtkomst, SAML och ID-token för den här resursen anses vara giltiga. Det går inte att ange principer för tokenlivslängd för uppdaterings- och sessionstoken. Om ingen princip har angetts tillämpar systemet standardvärdet för livslängd.

Principegenskaper för åtkomst, ID och SAML2-tokenlivslängd

Om du minskar livslängdsegenskapen för åtkomsttoken minskar risken för att en åtkomsttoken eller ID-token används av en skadlig aktör under en längre tid. (Dessa token kan inte återkallas.) Kompromissen är att prestanda påverkas negativt, eftersom token måste ersättas oftare.

Ett exempel finns i Skapa en princip för webbinloggning.

Konfigurationen av åtkomst, ID och SAML2-token påverkas av följande egenskaper och deras respektive angivna värden:

  • Egenskap: Livslängd för åtkomsttoken
  • Principegenskapssträng: AccessTokenLifetime
  • Påverkar: Åtkomsttoken, ID-token, SAML2-token
  • Standard:
    • Åtkomsttoken: varierar beroende på vilket klientprogram som begär token. Till exempel ser cae-kompatibla klienter (continuous access evaluation) som förhandlar om CAE-medvetna sessioner en livslängd för token med lång livslängd (upp till 28 timmar).
    • ID-token, SAML2-token: En timme
  • Minst: 10 minuter
  • Maximalt: En dag

Egenskaper för uppdaterings- och sessionstokens livslängdsprincip

Konfigurationen av uppdaterings- och sessionstoken påverkas av följande egenskaper och deras respektive angivna värden. Efter tillbakadragandet av konfigurationen av uppdaterings- och sessionstoken den 30 januari 2021 följer Microsoft Entra-ID endast standardvärdena som beskrivs nedan. Om du bestämmer dig för att inte använda villkorsstyrd åtkomst för att hantera inloggningsfrekvensen är dina uppdaterings- och sessionstoken inställda på standardkonfigurationen det datumet och kan inte ändra deras livslängd.

Fastighet Principegenskapssträng Påverkar Standardvärde
Maximal inaktiv tid för uppdateringstoken Maximal inaktiv tid Uppdatera token 90 dagar
Maxålder för enfaktorsuppdateringstoken MaxAgeSingleFactor Uppdatera token (för alla användare) Tills den har återkallats
Maxålder för multifaktoruppdateringstoken MaxAgeMultiFactor Uppdatera token (för alla användare) Tills den har återkallats
Maxålder för enfaktorssessionstoken MaxAgeSessionSingleFactor Sessionstoken (beständiga och icke-beständiga) Tills den har återkallats
Maxålder för multifaktorsessionstoken MaxAgeSessionMultiFactor Sessionstoken (beständiga och icke-beständiga) Tills den har återkallats

Icke-beständiga sessionstoken har en maximal inaktiv tid på 24 timmar medan beständiga sessionstoken har en maximal inaktiv tid på 90 dagar. När SSO-sessionstoken används inom dess giltighetsperiod förlängs giltighetsperioden ytterligare 24 timmar eller 90 dagar. Om SSO-sessionstoken inte används inom den maximala inaktiva tidsperioden anses den ha upphört att gälla och accepteras inte längre. Ändringar i den här standardperioden bör ändras med villkorlig åtkomst.

Du kan använda PowerShell för att hitta de principer som påverkas av tillbakadragningen. Använd PowerShell-cmdletarna för att se alla principer som skapats i din organisation eller för att hitta vilka appar som är länkade till en specifik princip.

Utvärdering och prioritering av policyer

Du kan skapa och sedan tilldela en policy för tokenlivslängd till ett visst program och till din organisation. Flera principer kan gälla för ett visst program. Policyn för tokenlivslängd som börjar gälla följer dessa regler:

  • Om en princip uttryckligen tilldelas till organisationen tillämpas den.
  • Om ingen princip uttryckligen tilldelas till organisationen tillämpas principen som tilldelats programmet.
  • Om ingen princip har tilldelats organisationen eller programobjektet tillämpas standardvärdena. (Se tabellen i Konfigurerbara egenskaper för tokenlivslängd.)

En tokens giltighet utvärderas när token används. Principen med högsta prioritet för det program som används börjar gälla.

Alla tidsintervall som används här formateras enligt C# TimeSpan-objektet – D.HH:MM:SS. Så 80 dagar och 30 minuter skulle vara 80.00:30:00. Det inledande D kan tas bort om noll, så 90 minuter blir 00:90:00.

Referens för REST-API

Du kan konfigurera principer för tokenlivslängd och tilldela dem till appar med hjälp av Microsoft Graph. Mer information finns i tokenLifetimePolicy resurstypen och dess associerade metoder.

Cmdlet-referens

Det här är cmdletarna i Microsoft Graph PowerShell SDK.

Hantera principer

Du kan använda följande kommandon för att hantera principer.

Cmdlet (ett PowerShell-kommando) beskrivning
New-MgPolicyTokenLifetimePolicy Skapar en ny princip.
Get-MgPolicyTokenLifetimePolicy Hämtar alla policyer för tokenlivslängd eller en angiven princip.
Update-MgPolicyTokenLifetimePolicy Uppdaterar en befintlig princip.
Remove-MgPolicyTokenLifetimePolicy Tar bort den angivna principen.

Användningsprinciper

Du kan använda följande cmdletar för programprinciper.

Cmdlet (ett PowerShell-kommando) beskrivning
New-MgApplicationTokenLifetimePolicyByRef Länkar den angivna principen till ett program.
Get-MgApplicationTokenLifetimePolicyByRef Hämtar de principer som har tilldelats till ett program.
Remove-MgApplicationTokenLifetimePolicyByRef (Ta bort applikationens tokenens livslängdspolicy genom referens) Tar bort en princip från ett program.

Nästa steg

Mer information finns i exempel på hur du konfigurerar tokenlivslängder.