Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Sie können die Lebensdauer von Zugriffs-, ID- oder SAML-Token (Security Assertion Markup Language) konfigurieren, die von der Microsoft Identity Platform ausgestellt wurden. Tokenlebensdauern können für alle Apps in Ihrer Organisation, mehrinstanzenfähige Anwendungen oder bestimmte Dienstprinzipale festgelegt werden. Das Konfigurieren von Tokenlebensdauern für Prinzipale des verwalteten Identitätsdiensts wird nicht unterstützt.
In der Microsoft Entra-ID definieren Richtlinien Regeln, die auf einzelne Anwendungen oder alle Anwendungen in einer Organisation angewendet werden. Jeder Richtlinientyp verfügt über eindeutige Eigenschaften, die bestimmen, wie er für das Objekt erzwungen wird, dem es zugewiesen ist.
Eine Richtlinie kann als Standard für Ihre Organisation festgelegt werden, die auf alle Anwendungen angewendet wird, es sei denn, sie wird durch eine Richtlinie mit höherer Priorität außer Kraft gesetzt. Richtlinien können auch bestimmten Anwendungen zugewiesen werden, wobei die Priorität je nach Richtlinientyp variiert.
Praktische Anleitungen finden Sie in Beispielen zum Konfigurieren von Tokenlebensdauern.
Einschränkungen und Überlegungen
Beachten Sie vor dem Konfigurieren von Tokenlebensdauerrichtlinien Folgendes:
- Keine Portalbenutzeroberfläche: Richtlinien für die Tokenlebensdauer können nur über die Microsoft Graph-API und das Microsoft Graph PowerShell SDK verwaltet werden. Im Microsoft Entra Admin Center gibt es keine Konfigurationsoberfläche.
- SharePoint und OneDrive: Konfigurierbare Tokenlebensdauer-Richtlinie gilt nur für Mobile- und Desktopclients, die auf SharePoint Online- und OneDrive for Business-Ressourcen zugreifen. Sie gilt nicht für Webbrowsersitzungen. Verwenden Sie zum Verwalten der Lebensdauer von Webbrowsersitzungen die Lebensdauer der Sitzung mit bedingtem Zugriff. Lesen Sie den SharePoint Online-Blog zum Konfigurieren von Leerlaufsitzungstimeouts.
-
Persönliche Microsoft-Konten: Richtlinien für die Tokenlebensdauer werden für Anwendungen, die für persönliche Microsoft-Konten entwickelt wurden, nicht unterstützt (wo
signInAudienceaufAzureADandPersonalMicrosoftAccountoderPersonalMicrosoftAccountgesetzt ist). - Verwaltete Identitäten: Das Konfigurieren der Tokenlebensdauer für verwaltete Identitätsdienstprinzipale wird nicht unterstützt.
- Aktualisierungs- und Sitzungstokenlebensdauer: Aktualisierungs- und Sitzungstokenlebensdauer können nicht mehr über Tokenlebensdauer-Richtlinien konfiguriert werden. Microsoft Entra-ID verwendet nur die unten beschriebenen Standardwerte. Um zu steuern, wie häufig Benutzer sich anmelden müssen, verwenden Sie stattdessen die Anmeldehäufigkeit für bedingten Zugriff .
Richtlinien für die Tokenlebensdauer für Zugriffs-, SAML- und ID-Token
Sie können die Tokenlebensdauer-Richtlinien für Zugriffstoken, SAML-Token und ID-Token festlegen.
Zugriffstoken
Clients nutzen Zugriffstoken, um auf eine geschützte Ressource zuzugreifen. Ein Zugriffstoken kann nur für eine bestimmte Kombination aus Benutzer, Client und Ressource verwendet werden. Das Anpassen der Gültigkeitsdauer eines Zugriffstokens erfordert einen Kompromiss. Hierbei steht eine Verbesserung der Systemleistung einer Verlängerung der Zeitspanne gegenüber, über die der Client weiterhin Zugriff hat, nachdem das Konto der Benutzer*innen deaktiviert wurde. Eine verbesserte Systemleistung wird dadurch erzielt, dass ein Client weniger oft ein neues Zugriffstoken abrufen muss.
Die Standardlebensdauer eines Zugriffstokens ist variabel. Bei der Ausstellung wird der Standardlebensdauer eines Zugriffstokens ein zufälliger Wert im Bereich zwischen 60 und 90 Minuten (durchschnittlich 75 Minuten) zugewiesen. Die Standardlebensdauer variiert auch abhängig von der Clientanwendung, die das Token anfordert, der Ressource, für die das Token ausgestellt wird, und ob der bedingte Zugriff im Mandanten aktiviert ist. Weitere Informationen finden Sie im Abschnitt zur Lebensdauer von Zugriffstoken.
Wenn sowohl der Client als auch die Ressource die Kontinuierliche Zugriffsauswertung (Continuous Access Evaluation, CAE) unterstützen, wird die Tokenlebensdauer möglicherweise automatisch auf 24-28 Stunden verlängert, wenn dies sicher ist. Diese langlebigen Token werden in nahezu Echtzeit als Reaktion auf kritische Ereignisse wie Kontodeaktivierung und Kennwortänderungen widerrufen. Erfahren Sie mehr darüber , wie sich caE auf die Tokenlebensdauer auswirkt
SAML-Token
SAML-Token werden in vielen webbasierten SaaS-Anwendungen verwendet und über den SAML2-Protokollendpunkt von Microsoft Entra ID abgerufen. Sie werden auch von Anwendungen genutzt, die WS-Federation verwenden. Die Standardlebensdauer des Tokens beträgt 1 Stunde. Für eine Anwendung wird die Lebensdauer des Tokens durch den Wert „NotOnOrAfter“ des <conditions …>-Elements im Token angegeben. Nach Ablauf der Lebensdauer des Tokens muss der Client eine neue Authentifizierungsanforderung initiieren, die häufig als Ergebnis des SSO-Sitzungstokens ohne interaktive Anmeldung erfüllt wird.
Der Wert von „NotOnOrAfter“ kann mithilfe des AccessTokenLifetime-Parameters in einer TokenLifetimePolicy geändert werden. Der Wert wird auf die in der Richtlinie konfigurierte Lebensdauer (sofern vorhanden) zuzüglich eines Zeitversatzfaktors von fünf Minuten festgelegt.
Die im Element <SubjectConfirmationData> angegebene Antragstellerbestätigung für „NotOnOrAfter“ ist von der Konfiguration der Tokenlebensdauer nicht betroffen.
ID-Token
ID-Token werden an Websites und native Clients übergeben. ID-Token enthalten Profilinformationen zu einem Benutzer. Ein ID-Token ist an eine bestimmte Kombination von Benutzer und Client gebunden. ID-Token werden bis zu ihrem Ablaufdatum als gültig betrachtet. In der Regel passt eine Webanwendung die Gültigkeitsdauer der Sitzung von Benutzer*innen in der Anwendung an die Gültigkeitsdauer des für die Benutzer*innen ausgegebenen ID-Tokens an. Sie können die Lebensdauer eines ID-Tokens anpassen, um zu steuern, wie oft die Anwendungssitzung abläuft und wie oft der Benutzer mit der Microsoft Identity Platform erneut authentifiziert werden muss (entweder still oder interaktiv).
Konfigurierbare Eigenschaften der Tokengültigkeitsdauer
Eine Tokengültigkeitsdauer-Richtlinie ist ein Richtlinienobjekt, das Regeln für die Tokengültigkeitsdauer enthält. Diese Richtlinie steuert, wie lange Zugriffs-, SAML- und ID-Token für diese Ressource als gültig angesehen werden. Richtlinien für die Tokengültigkeitsdauer können nicht für Aktualisierungs- und Sitzungstoken festgelegt werden. Wenn keine Richtlinie festgelegt ist, erzwingt das System den Standardwert für die Gültigkeitsdauer.
Eigenschaften der Richtlinien für die Gültigkeitsdauer von Zugriffs-, ID- und SAML2-Token
Durch das Verringern der Zugriffstokenlebensdauer wird die Zeitspanne begrenzt, die ein kompromittiertes Zugriffstoken oder ID-Token von einem böswilligen Akteur verwendet werden kann. Der Kompromiss besteht darin, dass die Leistung beeinträchtigt wird, da die Token häufiger ersetzt werden müssen.
Ein Beispiel finden Sie unter Erstellen einer Richtlinie für die Webanmeldung.
Tokenlebensdauern für Zugriffstoken, ID-Token und SAML2-Token werden durch die folgende Richtlinieneigenschaft gesteuert:
- Eigenschaft: Gültigkeitsdauer des Zugriffstokens
-
Richtlinien-Eigenschaftsstring:
AccessTokenLifetime - Betrifft: Zugriffstoken, ID-Token, SAML2-Token
-
Standard:
- Zugriffstoken: hängt von der Clientanwendung ab, die das Token anfordert. CAE-fähige Clients, die CAE-bewusste Sitzungen aushandeln, können langlebige Token (bis zu 28 Stunden) erhalten.
- ID-Token, SAML2-Token: Eine Stunde
-
Minimum: 10 Minuten (
00:10:00) -
Maximum: Ein Tag (
23:59:59)
Hinweis
Trotz des Namens AccessTokenLifetime steuert die Lebensdauer von Zugriffstoken, ID-Token und SAML2-Token.
Richtlinienauswertung und Priorisierung
Sie können eine Richtlinie für die Gültigkeitsdauer von Token erstellen und dann einer bestimmten Anwendung und Ihrer Organisation zuweisen Für eine bestimmte Anwendung können mehrere Richtlinien gelten. Folgende Regeln bestimmen, welche Tokengültigkeitsdauer-Richtlinie wirksam wird:
Wichtig
Bei Richtlinien zur Tokenlebensdauer hat eine Richtlinie auf Organisationsebene Vorrang vor einer Richtlinie auf Anwendungsebene. Wenn Ihre Richtlinie auf App-Ebene nicht wirksam wird, überprüfen Sie, ob eine Richtlinie auf Organisationsebene vorhanden ist.
- Wenn der Organisation explizit eine Richtlinie zugewiesen wird, wird sie erzwungen.
- Wenn der Organisation nicht explizit eine Richtlinie zugewiesen ist, wird die Richtlinie erzwungen, die der Anwendung zugewiesen ist.
- Wenn der Organisation oder dem Anwendungsobjekt keine Richtlinie zugewiesen ist, werden die Standardwerte erzwungen. (Siehe Tabelle unter Konfigurierbare Eigenschaften der Tokengültigkeitsdauer.)
Die Gültigkeit des Tokens wird zum Zeitpunkt seiner Verwendung überprüft. Die Richtlinie mit der höchsten Priorität für die Anwendung, auf die zugegriffen wird, wird wirksam.
Tokenlebensdauer-Richtlinien für Aktualisierungstoken und Sitzungstoken (eingestellt)
Wichtig
Ab dem 30. Januar 2021 können Aktualisierungs- und Sitzungstokenlebensdauern nicht mehr über Tokenlebensdauerrichtlinien konfiguriert werden. Microsoft Entra-ID verwendet nur die unten beschriebenen Standardwerte. Um zu steuern, wie häufig Benutzer sich anmelden müssen, verwenden Sie stattdessen die Anmeldehäufigkeit für bedingten Zugriff .
Wenn Sie über vorhandene Richtlinien verfügen, die Aktualisierungs- oder Sitzungstokeneigenschaften festlegen, werden diese Eigenschaften ignoriert. Neue Token werden immer mit der Standardkonfiguration ausgegeben.
Standardwerte für Aktualisierungs- und Sitzungstoken (nicht konfigurierbar)
In der folgenden Tabelle sind die Standardwerte dokumentiert, die wirksam bleiben. Diese Werte können nicht über Tokenlebensdauerrichtlinien geändert werden.
| Eigenschaft | Richtlinien-Eigenschaftsstring | Standard |
|---|---|---|
| Maximale Inaktivitätszeit für Erneuerungstoken | MaxInactiveTime |
90 Tage |
| Maximales Alter für Single-Factor-Aktualisierungstoken | MaxAgeSingleFactor |
Bis zum Widerruf |
| Max. Alter des Multi-Faktor-Aktualisierungstoken | MaxAgeMultiFactor |
Bis zum Widerruf |
| Maximales Alter von Einzel-Faktor-Sitzungstoken | MaxAgeSessionSingleFactor |
Bis zum Widerruf |
| Maximales Alter des Multi-Faktor-Sitzungstokens | MaxAgeSessionMultiFactor |
Bis zum Widerruf |
Nicht persistente Sitzungstoken haben eine maximale inaktive Zeit von 24 Stunden; Persistente Sitzungstoken haben eine maximale inaktive Zeit von 90 Tagen. Wenn das SSO-Sitzungstoken innerhalb des Gültigkeitszeitraums verwendet wird, wird der Gültigkeitszeitraum für weitere 24 Stunden bzw. 90 Tage verlängert.
Um vorhandene Richtlinien zu finden, die möglicherweise weiterhin veraltete Aktualisierungs-/Sitzungstokeneigenschaften enthalten, verwenden Sie die PowerShell-Cmdlets.
REST-API-Referenz
Tipp
Alle Zeitdauern werden mit dem C# -TimeSpan-Format formatiert: hh:mm:ss. Der Mindestwert von 10 Minuten ist 00:10:00 und der Maximalwert ist 23:59:59.
Sie können Richtlinien für die Tokenlebensdauer konfigurieren und sie Apps mithilfe von Microsoft Graph zuweisen. Weitere Informationen finden Sie im Ressourcentyp tokenLifetimePolicy und den zugehörigen Methoden.
Cmdlet-Referenz
Dies sind die Cmdlets im Microsoft Graph PowerShell SDK.
Verwalten von Richtlinien
Sie können die folgenden Befehle zum Verwalten von Richtlinien verwenden.
| Cmdlet | BESCHREIBUNG |
|---|---|
| New-MgPolicyTokenLifetimePolicy | Erstellt eine neue Richtlinie. |
| Get-MgPolicyTokenLifetimePolicy | Ruft entweder alle Richtlinien zur Tokenlebensdauer ab oder nur eine angegebene Richtlinie. |
| Aktualisieren Sie die MgPolicyTokenLifetimePolicy | Aktualisiert eine vorhandene Richtlinie. |
| Remove-MgPolicyTokenLifetimePolicy | Löscht die angegebene Richtlinie. |
Anwendungsrichtlinien
Sie können die folgenden Cmdlets für Anwendungsrichtlinien verwenden.
| Cmdlet | BESCHREIBUNG |
|---|---|
| New-MgApplicationTokenLifetimePolicyByRef | Verknüpft die angegebene Richtlinie mit einer Anwendung. |
| Get-MgApplicationTokenLifetimePolicyByRef | Ruft die Richtlinien ab, die einer Anwendung zugewiesen sind. |
| Remove-MgApplicationTokenLifetimePolicyByRef | Entfernt eine Richtlinie aus einer Anwendung. |
Nächste Schritte
Weitere Informationen finden Sie unter Beispiele zum Konfigurieren der Tokengültigkeitsdauer.