Microsoft kimlik platformu yapılandırılabilir belirteç ömrü (önizleme)
Microsoft kimlik platformu tarafından verilen erişim, kimlik veya SAML belirtecinin ömrünü belirtebilirsiniz. Kuruluşunuzdaki tüm uygulamalar, çok kiracılı (çok kuruluşlu) uygulamalar veya hizmet sorumluları için belirteç yaşam sürelerini ayarlayabilirsiniz. Şu anda yönetilen kimlik hizmeti sorumluları için belirteç yaşam sürelerinin yapılandırılmasını desteklemiyoruz.
Microsoft Entra Id'de ilke nesnesi, tek tek uygulamalarda veya bir kuruluştaki tüm uygulamalarda uygulanan bir dizi kuralı temsil eder. Her ilke türünün, atandıkları nesnelere uygulanan özellikler kümesine sahip benzersiz bir yapısı vardır.
Bir ilkeyi kuruluşunuz için varsayılan ilke olarak belirleyebilirsiniz. İlke, daha yüksek önceliğe sahip bir ilke tarafından geçersiz kılınmadığı sürece kuruluştaki herhangi bir uygulamaya uygulanır. Ayrıca, belirli uygulamalara bir ilke atayabilirsiniz. Öncelik sırası ilke türüne göre değişir.
Örnekler için belirteç yaşam sürelerini yapılandırma örneklerini okuyun.
Not
Yapılandırılabilir belirteç yaşam süresi ilkesi yalnızca SharePoint Online ve OneDrive İş kaynaklarına erişen mobil ve masaüstü istemcileri için geçerlidir ve web tarayıcısı oturumlarına uygulanmaz. SharePoint Online ve OneDrive İş için web tarayıcısı oturumlarının ömrünü yönetmek için Koşullu Erişim oturum ömrü özelliğini kullanın. Boşta oturum zaman aşımlarını yapılandırma hakkında daha fazla bilgi edinmek için SharePoint Online bloguna bakın.
Not
Betiğin bir saatten uzun süre çalışması için belirteç ömrünü artırmak isteyebilirsiniz. Microsoft Graph PowerShell SDK'sı gibi birçok Microsoft kitaplığı, belirteç ömrünü gerektiği gibi uzatır ve erişim belirteci ilkesinde değişiklik yapmanız gerekmez.
Lisans gereksinimleri
Bu özelliği kullanmak bir Microsoft Entra ID P1 lisansı gerektirir. Gereksinimleriniz için doğru lisansı bulmak için bkz . Ücretsiz ve Premium sürümlerin genel kullanıma sunulan özelliklerini karşılaştırma.
Microsoft 365 İş lisansına sahip müşteriler de Koşullu Erişim özelliklerine erişebilir.
Erişim, SAML ve kimlik belirteçleri için belirteç ömrü ilkeleri
Erişim belirteçleri, SAML belirteçleri ve kimlik belirteçleri için belirteç ömrü ilkeleri ayarlayabilirsiniz.
Erişim belirteçleri
İstemciler korumalı bir kaynağa erişmek için erişim belirteçlerini kullanır. Erişim belirteci yalnızca belirli bir kullanıcı, istemci ve kaynak birleşimi için kullanılabilir. Erişim belirteçleri iptal edilemez ve süresi dolana kadar geçerlidir. Erişim belirteci edinmiş kötü amaçlı bir aktör, bu belirteci kullanım ömrü boyunca kullanabilir. Erişim belirtecinin ömrünü ayarlamak, sistem performansını iyileştirme ile kullanıcının hesabı devre dışı bırakıldıktan sonra istemcinin erişimi tutma süresini artırma arasında bir dengedir. geliştirilmiş sistem performansı, istemcinin yeni erişim belirteci alması için gereken sayı azaltılarak elde edilir.
Erişim belirtecinin varsayılan ömrü değişkendir. Verildiğinde, erişim belirtecinin varsayılan ömrüne 60-90 dakika (ortalama 75 dakika) arasında rastgele bir değer atanır. Varsayılan yaşam süresi, belirteci isteyen istemci uygulamasına veya kiracıda Koşullu Erişim'in etkin olup olduğuna bağlı olarak da değişir. Daha fazla bilgi için bkz . Erişim belirteci ömrü.
SAML belirteçleri
SAML belirteçleri birçok web tabanlı SaaS uygulaması tarafından kullanılır ve Microsoft Entra ID'nin SAML2 protokol uç noktası kullanılarak elde edilir. Bunlar ayrıca WS-Federation kullanan uygulamalar tarafından da kullanılır. Belirtecin varsayılan ömrü 1 saattir. Uygulamanın perspektifinden bakıldığında belirtecin geçerlilik süresi belirteçteki öğesinin NotOnOrAfter değeri <conditions …>
tarafından belirtilir. Belirtecin geçerlilik süresi sona erdikten sonra istemcinin yeni bir kimlik doğrulama isteği başlatması gerekir. Bu istek, Çoklu Oturum Açma (SSO) Oturum belirtecinin bir sonucu olarak genellikle etkileşimli oturum açma işlemi yapılmadan karşılanır.
NotOnOrAfter değeri, içindeki TokenLifetimePolicy
parametresi kullanılarak AccessTokenLifetime
değiştirilebilir. Varsa ilkede yapılandırılan yaşam süresine ve beş dakikalık bir saat dengesizliği faktörüne ayarlanır.
öğesinde <SubjectConfirmationData>
belirtilen konu onayı NotOnOrAfter, Belirteç Ömrü yapılandırmasından etkilenmez.
Kimlik belirteçleri
Kimlik belirteçleri web sitelerine ve yerel istemcilere geçirilir. Kimlik belirteçleri bir kullanıcı hakkında profil bilgileri içerir. Kimlik belirteci, kullanıcı ve istemcinin belirli bir bileşimine bağlıdır. Kimlik belirteçlerinin süresi dolana kadar geçerli olduğu kabul edilir. Genellikle, bir web uygulaması kullanıcının uygulamadaki oturum ömrünü, kullanıcı için verilen kimlik belirtecinin ömrüyle eşleştirir. Web uygulamasının uygulama oturumunun ne sıklıkta sona ereceğini ve kullanıcının Microsoft kimlik platformu (sessiz veya etkileşimli) ile yeniden kimlik doğrulamasının ne sıklıkta yapılmasını gerektirdiğini denetlemek için kimlik belirtecinin ömrünü ayarlayabilirsiniz.
Yenileme belirteçleri ve oturum belirteçleri için belirteç ömrü ilkeleri
Yenileme belirteçleri ve oturum belirteçleri için belirteç ömrü ilkeleri ayarlayamazsınız. Yenileme belirteçleriyle ilgili yaşam süresi, zaman aşımı ve iptal bilgileri için bkz . Belirteçleri yenileme.
Önemli
30 Ocak 2021 itibarıyla yenileme ve oturum belirteci yaşamlarını yapılandıramazsınız. Microsoft Entra artık mevcut ilkelerde yenileme ve oturum belirteci yapılandırmasını kabul ediyor. Mevcut belirteçlerin süresi dolduktan sonra verilen yeni belirteçler artık varsayılan yapılandırmaya ayarlanır. Yenileme ve oturum belirteci yapılandırması kullanımdan kaldırıldıktan sonra erişim, SAML ve kimlik belirteci yaşam sürelerini yapılandırmaya devam edebilirsiniz.
Mevcut belirtecin ömrü değiştirilmez. Süresi dolduktan sonra, varsayılan değere göre yeni bir belirteç verilir.
Kullanıcıdan yeniden oturum açması istenmeden önce süreyi tanımlamaya devam etmeniz gerekiyorsa, Koşullu Erişim'de oturum açma sıklığını yapılandırın. Koşullu Erişim hakkında daha fazla bilgi edinmek için Bkz . Koşullu Erişim ile kimlik doğrulama oturumu yönetimini yapılandırma.
Yapılandırılabilir belirteç ömrü özellikleri
Belirteç ömrü ilkesi, belirteç ömrü kurallarını içeren bir ilke nesnesi türüdür. Bu ilke, bu kaynak için erişim, SAML ve kimlik belirteçlerinin ne kadar süre geçerli kabul edileceğini denetler. Yenileme ve oturum belirteçleri için belirteç ömrü ilkeleri ayarlanamaz. İlke ayarlanmazsa, sistem varsayılan yaşam süresi değerini zorlar.
Access, ID ve SAML2 belirteci yaşam süresi ilkesi özellikleri
Erişim Belirteci Yaşam Süresi özelliğinin azaltılması, bir erişim belirtecinin veya kimlik belirtecinin kötü amaçlı bir aktör tarafından uzun bir süre kullanılma riskini azaltır. (Bu belirteçler iptal edilemiyor.) Denge, belirteçlerin daha sık değiştirilmesi gerektiğinden performansın olumsuz etkilenmesidir.
Bir örnek için bkz . Web'de oturum açmak için ilke oluşturma.
Access, ID ve SAML2 belirteci yapılandırması aşağıdaki özelliklerden ve bunların sırasıyla ayarlanan değerlerinden etkilenir:
- Özellik: Erişim Belirteci Ömrü
- İlke özellik dizesi: AccessTokenLifetime
- Etkiler: Erişim belirteçleri, kimlik belirteçleri, SAML2 belirteçleri
- Varsayılan:
- Erişim belirteçleri: belirteci isteyen istemci uygulamasına bağlı olarak değişir. Örneğin, CAE kullanan oturumlarda anlaşma sağlayan sürekli erişim değerlendirmesi (CAE) özellikli istemciler uzun ömürlü bir belirteç ömrü (28 saate kadar) görür.
- Kimlik belirteçleri, SAML2 belirteçleri: 1 saat
- En az: 10 dakika
- Maksimum: 1 gün
Yenileme ve oturum belirteci yaşam süresi ilkesi özellikleri
Yenileme ve oturum belirteci yapılandırması aşağıdaki özelliklerden ve bunların sırasıyla ayarlanan değerlerinden etkilenir. Yenileme ve oturum belirteci yapılandırmasının 30 Ocak 2021'de kullanımdan kaldırılmasından sonra, Microsoft Entra Id yalnızca aşağıda açıklanan varsayılan değerleri yerine getirecektir. Oturum açma sıklığını yönetmek için Koşullu Erişim kullanmamaya karar verirseniz yenileme ve oturum belirteçleriniz bu tarihte varsayılan yapılandırmaya ayarlanır ve artık yaşam sürelerini değiştiremezsiniz.
Özellik | İlke özellik dizesi | Etkiledi -ğini | Varsayılan |
---|---|---|---|
Yenileme Belirteci En Fazla Etkin Olmayan Süre | MaxInactiveTime | Belirteçleri yenileme | 90 gün |
Tek Faktörlü Yenileme Belirteci En Fazla Yaş | MaxAgeSingleFactor | Belirteçleri yenileme (tüm kullanıcılar için) | Ta ki iptal edilene kadar |
Multi-Factor Refresh Token Max Age | MaxAgeMultiFactor | Belirteçleri yenileme (tüm kullanıcılar için) | Ta ki iptal edilene kadar |
Tek Faktörlü Oturum Belirteci En Fazla Yaş | MaxAgeSessionSingleFactor | Oturum belirteçleri (kalıcı ve kalıcı olmayan) | Ta ki iptal edilene kadar |
Multi-Factor Session Token Max Age | MaxAgeSessionMultiFactor | Oturum belirteçleri (kalıcı ve kalıcı olmayan) | Ta ki iptal edilene kadar |
Kalıcı olmayan oturum belirteçlerinin En Fazla Etkin Olmayan Süresi 24 saattir, kalıcı oturum belirteçleri ise En Fazla 90 günlük Etkin Olmayan Süreye sahiptir. SSO oturum belirteci geçerlilik süresi içinde kullanıldığında geçerlilik süresi 24 saat veya 90 gün daha uzatılır. SSO oturum belirteci En Fazla Etkin Olmayan Süre içinde kullanılmıyorsa süresi dolmuş olarak kabul edilir ve artık kabul edilmez. Bu varsayılan dönemde yapılan tüm değişiklikler Koşullu Erişim kullanılarak değiştirilmelidir.
Kullanımdan kaldırmadan etkilenecek ilkeleri bulmak için PowerShell'i kullanabilirsiniz. Kuruluşunuzda oluşturulan tüm ilkeleri görmek veya belirli bir ilkeye hangi uygulamaların bağlı olduğunu bulmak için PowerShell cmdlet'lerini kullanın.
İlke değerlendirme ve öncelik belirleme
Belirteç yaşam süresi ilkesi oluşturup belirli bir uygulamaya ve kuruluşunuza atayabilirsiniz. Belirli bir uygulamaya birden çok ilke uygulanabilir. Geçerli olan belirteç ömrü ilkesi şu kuralları izler:
- Bir ilke kuruluşa açıkça atanmışsa, uygulanır.
- Kuruluşa açıkça hiçbir ilke atanmamışsa, uygulamaya atanan ilke zorlanır.
- Kuruluşa veya uygulama nesnesine hiçbir ilke atanmamışsa, varsayılan değerler zorlanır. (Tabloya bakın: Yapılandırılabilir belirteç ömrü özellikleri.)
Belirtecin geçerliliği, belirtecin kullanıldığı anda değerlendirilir. Erişilmekte olan uygulamada en yüksek önceliğe sahip ilke geçerlilik kazanır.
Burada kullanılan tüm zaman dilimleri C# TimeSpan nesnesine göre biçimlendirilir - D.HH:MM:SS. Yani 80 gün 30 dakika.80.00:30:00
Baştaki D değeri sıfırsa bırakılabilir, bu nedenle 90 dakika olur 00:90:00
.
REST API başvurusu
Belirteç ömrü ilkelerini yapılandırabilir ve Bunları Microsoft Graph kullanarak uygulamalara atayabilirsiniz. Daha fazla bilgi için kaynak türüne tokenLifetimePolicy
ve ilişkili yöntemlerine bakın.
Cmdlet başvurusu
Bunlar Microsoft Graph PowerShell SDK'sı cmdlet'leridir.
İlkeleri yönetme
İlkeleri yönetmek için aşağıdaki komutları kullanabilirsiniz.
Cmdlet | Açıklama |
---|---|
New-MgPolicyTokenLifetimePolicy | Yeni bir ilke oluşturur. |
Get-MgPolicyTokenLifetimePolicy | Tüm belirteç ömrü ilkelerini veya belirtilen bir ilkeyi alır. |
Update-MgPolicyTokenLifetimePolicy | Var olan bir ilkeyi Güncelleştirmeler. |
Remove-MgPolicyTokenLifetimePolicy | Belirtilen ilkeyi siler. |
Uygulama ilkeleri
Uygulama ilkeleri için aşağıdaki cmdlet'leri kullanabilirsiniz.
Cmdlet | Açıklama |
---|---|
New-MgApplicationTokenLifetimePolicyByRef | Belirtilen ilkeyi bir uygulamaya bağlar. |
Get-MgApplicationTokenLifetimePolicyByRef | Bir uygulamaya atanan ilkeleri alır. |
Remove-MgApplicationTokenLifetimePolicyByRef | Bir uygulamadan ilke kaldırır. |
Sonraki adımlar
Daha fazla bilgi edinmek için belirteç ömrünü yapılandırma örneklerini okuyun.