Belirteç ömrü ilkelerini yapılandırma (önizleme)

Bu makalede, Microsoft kimlik platformu tarafından verilen erişim, SAML veya kimlik belirteçleri için belirteç ömrü ilkelerinin nasıl yapılandırıldığı açıklanmaktadır. Güvenlik ve kimlik doğrulama yönetimini geliştirmek için kuruluşunuzdaki tüm uygulamalar, belirli uygulamalar veya çok kiracılı uygulamalar için belirteç yaşam sürelerini ayarlamayı öğrenin. Betiğin bir saatten uzun süre çalışması için belirteç ömrünü artırmak isteyebilirsiniz. Microsoft Graph PowerShell SDK'sı gibi birçok Microsoft kitaplığı, belirteç ömrünü gerektiği gibi uzatır ve erişim belirteci ilkesinde değişiklik yapmanız gerekmez. Daha fazla bilgi için bkz . Yapılandırılabilir belirteç ömrü.

Önkoşullar

Başlamak için en son Microsoft Graph PowerShell SDK'sını indirin.

İlke oluşturma ve bir uygulamaya atama

Aşağıdaki adımlarda, kullanıcıların web uygulamanızda daha az sıklıkta kimlik doğrulamasını gerektiren bir ilke oluşturacaksınız. İlkeyi bir uygulamaya atayın. Bu ilke, web uygulamanız için erişim/kimlik belirteçlerinin ömrünü 4 saate ayarlar.

Install-Module Microsoft.Graph

Connect-MgGraph -Scopes  "Policy.ReadWrite.ApplicationConfiguration","Policy.Read.All","Application.ReadWrite.All"

# Create a token lifetime policy
$params = @{
  Definition = @('{"TokenLifetimePolicy":{"Version":1,"AccessTokenLifetime":"4:00:00"}}') 
    DisplayName = "WebPolicyScenario"
  IsOrganizationDefault = $false
}
$tokenLifetimePolicyId=(New-MgPolicyTokenLifetimePolicy -BodyParameter $params).Id

# Display the policy
Get-MgPolicyTokenLifetimePolicy -TokenLifetimePolicyId $tokenLifetimePolicyId

# Assign the token lifetime policy to an app
$params = @{
  "@odata.id" = "https://graph.microsoft.com/v1.0/policies/tokenLifetimePolicies/$tokenLifetimePolicyId"
}

$applicationObjectId="aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb"

New-MgApplicationTokenLifetimePolicyByRef -ApplicationId $applicationObjectId -BodyParameter $params

# List the token lifetime policy on the app
Get-MgApplicationTokenLifetimePolicy -ApplicationId $applicationObjectId

# Remove the policy from the app
Remove-MgApplicationTokenLifetimePolicyByRef -ApplicationId $applicationObjectId -TokenLifetimePolicyId $tokenLifetimePolicyId

# Delete the policy
Remove-MgPolicyTokenLifetimePolicy -TokenLifetimePolicyId $tokenLifetimePolicyId

İlke oluşturma ve bunu hizmet sorumlusuna atama

Aşağıdaki adımlarda, kullanıcıların web uygulamanızda daha az sıklıkta kimlik doğrulamasını gerektiren bir ilke oluşturacaksınız. web uygulamanız için erişim/kimlik belirteçlerinin ömrünü 8 saate ayarlayan ilkeyi hizmet sorumlusuna atayın.

1. Belirteç yaşam süresi ilkesi oluşturun.

   POST https://graph.microsoft.com/v1.0/policies/tokenLifetimePolicies
   Content-Type: application/json
   {
       "definition": [
           "{\"TokenLifetimePolicy\":{\"Version\":1,\"AccessTokenLifetime\":\"8:00:00\"}}"
       ],
       "displayName": "Contoso token lifetime policy",
       "isOrganizationDefault": false
   }
   

2. İlkeyi bir hizmet sorumlusuna atayın.

   POST https://graph.microsoft.com/v1.0/servicePrincipals/00001111-aaaa-2222-bbbb-3333cccc4444/tokenLifetimePolicies/$ref
   Content-Type: application/json
   {
     "@odata.id":"https://graph.microsoft.com/v1.0/policies/tokenLifetimePolicies/00aa00aa-bb11-cc22-dd33-44ee44ee44ee"
   }
   

3. Hizmet sorumlusundaki ilkeleri listeleyin.

   GET https://graph.microsoft.com/v1.0/servicePrincipals/00001111-aaaa-2222-bbbb-3333cccc4444/tokenLifetimePolicies
   

4. İlkeyi hizmet sorumlusundan kaldırın.

   DELETE https://graph.microsoft.com/v1.0/servicePrincipals/00001111-aaaa-2222-bbbb-3333cccc4444/tokenLifetimePolicies/00aa00aa-bb11-cc22-dd33-44ee44ee44ee/$ref
   

Kiracıdaki mevcut ilkeleri görüntüleme

Kuruluşunuzda oluşturulan tüm ilkeleri görmek için Get-MgPolicyTokenLifetimePolicy cmdlet'ini çalıştırın. Yukarıda listelenen varsayılan değerlerden farklı tanımlı özellik değerlerine sahip tüm sonuçlar kullanımdan kaldırma kapsamındadır.

1. Kuruluşunuzda Get-MgPolicyTokenLifetimePolicy oluşturulan tüm ilkeleri görmek için komutunu çalıştırın.

   Get-MgPolicyTokenLifetimePolicy
   

2. Run List appliesTo , hangi uygulamaların tanımladığınız belirli bir ilkeye bağlı olduğunu görmek için ilke kimliklerinizden herhangi birine uygulanır.

   GET https://graph.microsoft.com/v1.0/policies/tokenLifetimePolicies/4d2f137b-e8a9-46da-a5c3-cc85b2b840a4/appliesTo
   

Sonraki adım

Kimlik doğrulama oturumu yönetimi hakkında bilgi edinin

Bu makalede, Microsoft kimlik platformu tarafından verilen erişim, SAML veya kimlik belirteçleri için belirteç ömrü ilkelerinin nasıl yapılandırıldığı açıklanmaktadır. Güvenlik ve kimlik doğrulama yönetimini geliştirmek için kuruluşunuzdaki tüm uygulamalar, belirli uygulamalar veya çok kiracılı uygulamalar için belirteç yaşam sürelerini ayarlamayı öğrenin. Betiğin bir saatten uzun süre çalışması için belirteç ömrünü artırmak isteyebilirsiniz. Microsoft Graph PowerShell SDK'sı gibi birçok Microsoft kitaplığı, belirteç ömrünü gerektiği gibi uzatır ve erişim belirteci ilkesinde değişiklik yapmanız gerekmez. Daha fazla bilgi için bkz . Yapılandırılabilir belirteç ömrü.

Başlamak için en son Microsoft Graph PowerShell SDK'sını indirin.

Aşağıdaki adımlarda, kullanıcıların web uygulamanızda daha az sıklıkta kimlik doğrulamasını gerektiren bir ilke oluşturacaksınız. İlkeyi bir uygulamaya atayın. Bu ilke, web uygulamanız için erişim/kimlik belirteçlerinin ömrünü 4 saate ayarlar.

Install-Module Microsoft.Graph

Connect-MgGraph -Scopes  "Policy.ReadWrite.ApplicationConfiguration","Policy.Read.All","Application.ReadWrite.All"

# Create a token lifetime policy
$params = @{
  Definition = @('{"TokenLifetimePolicy":{"Version":1,"AccessTokenLifetime":"4:00:00"}}') 
    DisplayName = "WebPolicyScenario"
  IsOrganizationDefault = $false
}
$tokenLifetimePolicyId=(New-MgPolicyTokenLifetimePolicy -BodyParameter $params).Id

# Display the policy
Get-MgPolicyTokenLifetimePolicy -TokenLifetimePolicyId $tokenLifetimePolicyId

# Assign the token lifetime policy to an app
$params = @{
  "@odata.id" = "https://graph.microsoft.com/v1.0/policies/tokenLifetimePolicies/$tokenLifetimePolicyId"
}

$applicationObjectId="aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb"

New-MgApplicationTokenLifetimePolicyByRef -ApplicationId $applicationObjectId -BodyParameter $params

# List the token lifetime policy on the app
Get-MgApplicationTokenLifetimePolicy -ApplicationId $applicationObjectId

# Remove the policy from the app
Remove-MgApplicationTokenLifetimePolicyByRef -ApplicationId $applicationObjectId -TokenLifetimePolicyId $tokenLifetimePolicyId

# Delete the policy
Remove-MgPolicyTokenLifetimePolicy -TokenLifetimePolicyId $tokenLifetimePolicyId

Aşağıdaki adımlarda, kullanıcıların web uygulamanızda daha az sıklıkta kimlik doğrulamasını gerektiren bir ilke oluşturacaksınız. web uygulamanız için erişim/kimlik belirteçlerinin ömrünü 8 saate ayarlayan ilkeyi hizmet sorumlusuna atayın.

1. Belirteç yaşam süresi ilkesi oluşturun.

   POST https://graph.microsoft.com/v1.0/policies/tokenLifetimePolicies
   Content-Type: application/json
   {
       "definition": [
           "{\"TokenLifetimePolicy\":{\"Version\":1,\"AccessTokenLifetime\":\"8:00:00\"}}"
       ],
       "displayName": "Contoso token lifetime policy",
       "isOrganizationDefault": false
   }
   

2. İlkeyi bir hizmet sorumlusuna atayın.

   POST https://graph.microsoft.com/v1.0/servicePrincipals/00001111-aaaa-2222-bbbb-3333cccc4444/tokenLifetimePolicies/$ref
   Content-Type: application/json
   {
     "@odata.id":"https://graph.microsoft.com/v1.0/policies/tokenLifetimePolicies/00aa00aa-bb11-cc22-dd33-44ee44ee44ee"
   }
   

3. Hizmet sorumlusundaki ilkeleri listeleyin.

   GET https://graph.microsoft.com/v1.0/servicePrincipals/00001111-aaaa-2222-bbbb-3333cccc4444/tokenLifetimePolicies
   

4. İlkeyi hizmet sorumlusundan kaldırın.

   DELETE https://graph.microsoft.com/v1.0/servicePrincipals/00001111-aaaa-2222-bbbb-3333cccc4444/tokenLifetimePolicies/00aa00aa-bb11-cc22-dd33-44ee44ee44ee/$ref
   

Kuruluşunuzda oluşturulan tüm ilkeleri görmek için Get-MgPolicyTokenLifetimePolicy cmdlet'ini çalıştırın. Yukarıda listelenen varsayılan değerlerden farklı tanımlı özellik değerlerine sahip tüm sonuçlar kullanımdan kaldırma kapsamındadır.

1. Kuruluşunuzda Get-MgPolicyTokenLifetimePolicy oluşturulan tüm ilkeleri görmek için komutunu çalıştırın.

   Get-MgPolicyTokenLifetimePolicy
   

2. Run List appliesTo , hangi uygulamaların tanımladığınız belirli bir ilkeye bağlı olduğunu görmek için ilke kimliklerinizden herhangi birine uygulanır.

   GET https://graph.microsoft.com/v1.0/policies/tokenLifetimePolicies/4d2f137b-e8a9-46da-a5c3-cc85b2b840a4/appliesTo