Microsoft 身分識別平台中的可設定權杖存留期 (預覽)
您可以指定 Microsoft 身分識別平台 所簽發之存取權、識別碼或 SAML 令牌的存留期。 您可以設定組織中所有應用程式的令牌存留期、針對多租使用者(多組織)應用程式,或針對服務主體。 我們目前不支援設定 受控識別服務主體的令牌存留期。
在 Microsoft Entra ID 中,原則物件代表在組織中個別應用程式或所有應用程式上強制執行的一組規則。 每個原則類型都包含唯一結構和一組屬性,且這些屬性會套用在指派的物件。
您可以將原則指定為組織的預設原則。 只要沒有優先順序更高的原則覆寫,組織中的任何應用程式就會套用此原則。 您還可以將原則指派給特定應用程式。 優先順序因原則類型而異。
如需範例,請閱讀 如何設定令牌存留期的範例。
注意
可設定的令牌存留期原則僅適用於存取 SharePoint Online 和 商務用 OneDrive 資源的行動和桌面用戶端,且不適用於網頁瀏覽器會話。 若要管理 SharePoint Online 和 商務用 OneDrive 網頁瀏覽器會話的存留期,請使用條件式存取會話存留期功能。 請參閱 SharePoint Online 部落 格 ,以深入瞭解如何設定閑置會話逾時。
授權需求
使用此功能需要 Microsoft Entra ID P1 授權。 若要尋找您需求的正確授權,請參閱比較免費和 進階版 版本的一般可用功能。
具有 Microsoft 365 商務版授權的客戶 也可以存取條件式存取功能。
存取、SAML 和標識碼令牌的令牌存留期原則
您可以設定存取令牌、SAML 令牌和識別元令牌的令牌存留期原則。
存取權杖
用戶端會使用存取令牌來存取受保護的資源。 存取令牌只能用於使用者、客戶端和資源的特定組合。 存取令牌無法撤銷,且在到期前有效。 已取得存取令牌的惡意動作專案可以在其存留期的範圍內使用它。 調整存取令牌的存留期,是改善系統效能,以及增加用戶端在停用使用者帳戶之後保留存取權的時間量之間的取捨。 藉由減少用戶端取得全新存取令牌所需的次數,可改善系統效能。
存取令牌的預設存留期是可變的。 發出時,會為存取令牌的預設存留期指派隨機值,範圍介於 60-90 分鐘之間(平均為 75 分鐘)。 默認存留期也會因要求令牌的用戶端應用程式或租用戶中啟用條件式存取而有所不同。 如需詳細資訊,請參閱 存取令牌存留期。
SAML 權杖
SAML 令牌是由許多 Web 型 SaaS 應用程式使用,並使用 Microsoft Entra ID 的 SAML2 通訊協定端點來取得。 它們也會由使用 WS 同盟的應用程式取用。 令牌的預設存留期為1小時。 從應用程式的觀點來看,令牌的有效期間是由令牌中專案的 NotOnOrAfter 值 <conditions …> 所指定。 令牌的有效期間結束后,客戶端必須起始新的驗證要求,這通常會因為 單一登入 (SSO) 會話令牌而不需要互動式登入即可滿足。
NotOnOrAfter 的值可以使用 中的 TokenLifetimePolicy參數來變更AccessTokenLifetime。 如果有的話,它會設定為原則中設定的存留期,加上 5 分鐘的時鐘扭曲因數。
元素中指定的 <SubjectConfirmationData> 主體確認 NotOnOrAfter 不會受到令牌存留期設定的影響。
識別碼權杖
標識元令牌會傳遞至網站和原生用戶端。 標識元令牌包含使用者的相關配置檔資訊。 標識元令牌會系結至使用者和用戶端的特定組合。 標識元令牌會被視為有效,直到其到期為止。 Web 應用程式通常會比對應用程式中使用者的會話存留期,與為使用者發出的標識元令牌存留期相符。 您可以調整標識元令牌的存留期,以控制 Web 應用程式過期應用程式會話的頻率,以及要求使用者以無訊息或互動方式重新驗證 Microsoft 身分識別平台 的頻率。
重新整理令牌和會話令牌的令牌存留期原則
您無法為重新整理令牌和會話令牌設定令牌存留期原則。 如需重新整理令牌的存留期、逾時和撤銷資訊,請參閱 重新整理令牌。
重要
自 2021 年 1 月 30 日起,您無法設定重新整理和工作階段令牌存留期。 Microsoft Entra 不再接受現有原則中的重新整理和會話令牌設定。 在現有令牌過期之後發行的新令牌現在會設定為預設組 態。 在重新整理和會話令牌設定淘汰之後,您仍然可以設定存取權、SAML 和標識元令牌存留期。
現有的令牌存留期將不會變更。 到期之後,將會根據預設值發出新的令牌。
如果您需要繼續定義使用者再次登入之前的時間週期,請在條件式存取中設定登入頻率。 若要深入了解條件式存取,請參閱 使用條件式存取設定驗證會話管理。
可設定的令牌存留期屬性
令牌存留期原則是包含令牌存留期規則的原則物件類型。 此原則會控制此資源存取、SAML 和標識元令牌的存取時間長度。 無法為重新整理和會話令牌設定令牌存留期原則。 如果未設定任何原則,系統會強制執行預設存留期值。
存取、標識碼和 SAML2 令牌存留期原則屬性
降低存取令牌存留期屬性可降低惡意執行者長時間使用存取令牌或標識元令牌的風險。 (無法撤銷這些令牌。取捨是效能受到負面影響,因為令牌必須更頻繁地取代。
如需範例,請參閱 建立Web登入的原則。
存取、識別碼和 SAML2 令牌設定會受到下列屬性及其分別設定的值所影響:
- 屬性:存取令牌存留期
- 原則屬性字串:AccessTokenLifetime
- 影響:存取令牌、標識符令牌、SAML2 令牌
- 預設值:
- 存取令牌:視要求令牌的用戶端應用程式而有所不同。 例如,能夠交涉 CAE 感知會話的持續存取評估 (CAE) 用戶端將會看到長時間存留的令牌存留期(最多 28 小時)。
- 標識元令牌、SAML2 令牌:1 小時
- 最小值:10 分鐘
- 最大值:1 天
重新整理和會話令牌存留期原則屬性
重新整理和會話令牌設定會受到下列屬性及其分別設定的值所影響。 在 2021 年 1 月 30 日淘汰重新整理和會話令牌設定之後,Microsoft Entra ID 只會接受以下所述的預設值。 如果您決定不要使用 條件式存取 來管理登入頻率,您的重新整理和會話令牌將會設定為該日期的預設設定,而且您將無法再變更其存留期。
| 屬性 | 原則屬性字串 | Affects | 預設 |
|---|---|---|---|
| 重新整理令牌最大非使用時間 | MaxInactiveTime | 重新整理權杖 | 90 天 |
| 單一因素重新整理令牌最大存留期 | MaxAgeSingleFactor | 重新整理權杖 (適用於任何使用者) | 直到撤銷為止 |
| Multi-Factor Refresh Token 最大存留期 | MaxAgeMultiFactor | 重新整理權杖 (適用於任何使用者) | 直到撤銷為止 |
| 單一要素會話令牌最大存留期 | MaxAgeSessionSingleFactor | 工作階段令牌 (持續性和非持續性) | 直到撤銷為止 |
| Multi-Factor Session Token 最大存留期 | MaxAgeSessionMultiFactor | 工作階段令牌 (持續性和非持續性) | 直到撤銷為止 |
非持續性會話令牌的 [非作用時間上限] 為 24 小時,而持續性會話令牌的 [非作用時間上限] 為 90 天。 每當 SSO 工作階段令牌在其有效期間內使用時,有效期間就會再延長 24 小時或 90 天。 如果 SSO 工作階段令牌未在其 [非使用中時間上限] 期間內使用,則會被視為已過期且不再接受。 此預設期間的任何變更都應該使用 條件式存取來變更。
您可以使用PowerShell來尋找將受淘汰影響的原則。 使用 PowerShell Cmdlet 來查看組織中建立的所有原則,或尋找哪些應用程式連結到特定原則。
原則評估及優先順序
您可以建立令牌存留期原則,然後將令牌存留期原則指派給特定應用程式和組織。 多個原則可能會套用至特定應用程式。 生效的令牌存留期原則會遵循下列規則:
- 如果明確將原則指派給組織,則會強制執行。
- 如果未明確指派任何原則給組織,則會強制執行指派給應用程式的原則。
- 如果未將任何原則指派給組織或應用程式物件,則會強制執行預設值。 (請參閱 中的 表格可設定的權杖存留期屬性。)
令牌的有效性會在使用令牌時進行評估。 在存取的應用程式上具有最高優先順序的原則會生效。
此處使用的所有時間範圍都會根據 C# TimeSpan 物件 - D.HH:MM:SS 格式化。 因此,80 天和 30 分鐘會是 80.00:30:00。 如果為零,則可以卸除前置 D,因此 90 分鐘會是 00:90:00。
REST API 參考資料
您可以設定令牌存留期原則,並使用 Microsoft Graph 將它們指派給應用程式。 如需詳細資訊,請參閱 tokenLifetimePolicy 資源類型 及其相關聯的方法。
Cmdlet 參考
這些是 Microsoft Graph PowerShell SDK 中的 Cmdlet。
管理原則
您可以使用下列命令來管理原則。
| 指令程式 | 描述 |
|---|---|
| New-MgPolicyTokenLifetimePolicy | 建立新的原則。 |
| Get-MgPolicyTokenLifetimePolicy | 取得所有令牌存留期原則或指定的原則。 |
| Update-MgPolicyTokenLifetimePolicy | 更新 現有的原則。 |
| Remove-MgPolicyTokenLifetimePolicy | 刪除指定的原則。 |
應用程式原則
您可以針對應用程式原則使用下列 Cmdlet。
| 指令程式 | 描述 |
|---|---|
| New-MgApplicationTokenLifetimePolicyByRef | 將指定的原則連結至應用程式。 |
| Get-MgApplicationTokenLifetimePolicyByRef | 取得指派給應用程式的原則。 |
| Remove-MgApplicationTokenLifetimePolicyByRef | 從應用程式移除原則。 |
下一步
若要深入瞭解,請閱讀 如何設定令牌存留期的範例。