Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
U kunt de levensduur van toegangs-, id- of SAML-tokens (Security Assertion Markup Language) configureren die zijn uitgegeven door het Microsoft Identity Platform. Tokenlevensduur kan worden ingesteld voor alle apps in uw organisatie, multitenant-toepassingen of specifieke service-principals. Het configureren van tokenlevensduur voor service-principals voor beheerde identiteiten wordt niet ondersteund.
In Microsoft Entra-id definiëren beleidsregels regels die worden toegepast op afzonderlijke toepassingen of alle toepassingen in een organisatie. Elk beleidstype heeft unieke eigenschappen die bepalen hoe dit wordt afgedwongen voor het object waaraan het wordt toegewezen.
Een beleid kan worden aangewezen als de standaardinstelling voor uw organisatie, die wordt toegepast op alle toepassingen, tenzij dit wordt overschreven door een beleid met een hogere prioriteit. Beleidsregels kunnen ook worden toegewezen aan specifieke toepassingen, met een verschillende prioriteit per beleidstype.
Zie voor praktische richtlijnen voorbeelden van het configureren van levensduur van tokens.
Beperkingen en overwegingen
Voordat u het levensduurbeleid voor tokens configureert, moet u rekening houden met het volgende:
- Geen portalgebruikersinterface: beleid voor levensduur van tokens kan alleen worden beheerd via de Microsoft Graph API en Microsoft Graph PowerShell SDK. Er is geen configuratieoppervlak in het Microsoft Entra-beheercentrum.
- SharePoint en OneDrive: Configureerbaar levensduurbeleid voor tokens is alleen van toepassing op mobiele en desktopclients die toegang hebben tot SharePoint Online- en OneDrive voor Bedrijven-resources. Deze is niet van toepassing op webbrowsersessies. Als u de levensduur van webbrowsersessies wilt beheren, gebruikt u de levensduur van de sessie voor voorwaardelijke toegang. Zie de SharePoint Online-blog voor het configureren van time-outs voor niet-actieve sessies.
-
Persoonlijke Microsoft-accounts: Beleidsregels voor tokenlevensduur worden niet ondersteund voor toepassingen die zijn ontwikkeld voor persoonlijke Microsoft-accounts (waar
signInAudienceis ingesteld opAzureADandPersonalMicrosoftAccountofPersonalMicrosoftAccount). - Beheerde identiteiten: het configureren van tokenlevensduur voor service-principals voor beheerde identiteiten wordt niet ondersteund.
- Levensduur van vernieuwings- en sessietoken: de levensduur van vernieuwen en sessietoken kan niet meer worden geconfigureerd via beleid voor levensduur van tokens. Microsoft Entra ID maakt alleen gebruik van de standaardwaarden die hieronder worden beschreven. Als u wilt bepalen hoe vaak gebruikers zich moeten aanmelden, gebruikt u in plaats daarvan de aanmeldingsfrequentie voor voorwaardelijke toegang .
Beleid voor levensduur van tokens voor toegangs-, SAML- en ID-tokens
U kunt het beleid voor levensduur van tokens instellen voor toegangs-, SAML- en ID-tokens.
Toegangstokens
Clients gebruiken toegangstokens voor toegang tot een beveiligde bron. Een toegangstoken kan alleen worden gebruikt voor een specifieke combinatie van gebruiker, client en bron. Het aanpassen van de levensduur van een toegangstoken is een afweging tussen het verbeteren van de systeemprestaties en het verhogen van de hoeveelheid tijd die de client behoudt nadat het account van de gebruiker is uitgeschakeld. Verbeterde systeemprestaties worden bereikt door het aantal keren te verminderen dat een client een nieuw toegangstoken moet verkrijgen.
De standaard levensduur van een toegangstoken is variabel. Wanneer een toegangstoken wordt uitgegeven, krijgt de standaardlevensduur van een toegangstoken een willekeurige waarde tussen 60-90 minuten (gemiddeld 75 minuten). De standaardlevensduur varieert ook, afhankelijk van de clienttoepassing die het token aanvraagt, de resource waarvoor het token wordt uitgegeven en of voorwaardelijke toegang is ingeschakeld in de tenant. Zie Levensduur van het toegangstoken voor meer informatie.
Wanneer zowel de client als de resource ondersteuning bieden voor continue toegangsevaluatie (CAE), kan de levensduur van het token automatisch worden verlengd tot 24-28 uur, indien dit veilig is. Deze langlopende tokens worden in bijna realtime ingetrokken als reactie op kritieke gebeurtenissen, zoals accountuitschakeling en wachtwoordwijzigingen. Meer informatie over hoe CAE van invloed is op de levensduur van het token
SAML-tokens
SAML-tokens worden gebruikt door veel SaaS-toepassingen op internet en worden verkregen met behulp van het SAML2-protocoleindpunt van Microsoft Entra ID. Ze worden ook gebruikt door toepassingen die gebruikmaken van WS-Federation. De standaard levensduur van het token is 1 uur. Vanuit het perspectief van een toepassing wordt de geldigheidsperiode van het token opgegeven door de Waarde NotOnOrAfter van het <conditions …> element in het token. Nadat de geldigheidsperiode van het token is beëindigd, moet de client een nieuwe verificatieaanvraag initiëren, die vaak wordt voldaan zonder interactieve aanmelding als gevolg van het token voor eenmalige aanmelding (SSO).
De waarde van NotOnOrAfter kan worden gewijzigd met de AccessTokenLifetime parameter in een TokenLifetimePolicy. Deze wordt ingesteld op de levensduur die is geconfigureerd in het beleid, indien van toepassing, plus een afwijking van de klok van vijf minuten.
De onderwerpbevestiging NotOnOrAfter die in het <SubjectConfirmationData> element is opgegeven, wordt niet beïnvloed door de levensduur van het token.
Id-tokens
ID-tokens worden doorgegeven aan websites en natuurlijke clients. Id-tokens bevatten profielgegevens over een gebruiker. Een id-token is gebonden aan een specifieke combinatie van gebruiker en client. Id-tokens worden beschouwd als geldig tot de vervaldatum. Normaal gesproken stemt een webtoepassing de sessieduur van een gebruiker in de toepassing af op de levensduur van het voor de gebruiker uitgegeven ID-token. U kunt de levensduur van een id-token aanpassen om te bepalen hoe vaak de webtoepassing de sessie laat verlopen en hoe vaak de gebruiker opnieuw moet worden geverifieerd via het Microsoft Identity Platform (onzichtbaar of interactief).
Eigenschappen voor de levensduur van tokens configureren
Een beleid voor de levensduur van tokens is een type beleidsobject dat regels voor tokenlevensduur bevat. Met dit beleid bepaalt u hoe lang toegangstokens, SAML en ID-tokens voor deze bron als geldig worden beschouwd. Beleid voor levensduur van tokens kan niet worden ingesteld voor vernieuwings- en sessietokens. Als geen beleid is ingesteld, dwingt het systeem de standaardwaarde voor de levensduur af.
Eigenschappen van het beleid voor toegang, ID en SAML2-tokens levensduur
Het verminderen van de levensduur van het toegangstoken helpt de hoeveelheid tijd te beperken die een aangetast toegangstoken of id-token kan worden gebruikt door een kwaadwillende actor. De afweging is dat de prestaties nadelig worden beïnvloed, omdat de tokens vaker moeten worden vervangen.
Zie Een beleid maken voor webaanmelding voor een voorbeeld.
Tokenlevensduur voor toegangstokens, id-tokens en SAML2-tokens wordt beheerd door de volgende beleidseigenschap:
- Eigenschap: levensduur van toegangstoken
-
Beleidseigenschapsreeks:
AccessTokenLifetime - Gevolgen: Toegangstokens, ID-tokens, SAML2-tokens
-
Standaard:
- Toegangstokens: varieert, afhankelijk van de clienttoepassing die het token aanvraagt. CAE-compatibele clients die onderhandelen over CAE-bewuste sessies, ontvangen mogelijk tokens met een lange levensduur (maximaal 28 uur).
- Id-tokens, SAML2-tokens: één uur
-
Minimum: 10 minuten (
00:10:00) -
Maximum: één dag (
23:59:59)
Notitie
Ondanks de naam bepaalt AccessTokenLifetime u de levensduur van toegangstokens, id-tokens en SAML2-tokens.
Beleidsevaluatie en prioriteitstelling
U kunt een beleid voor de levensduur van tokens maken en vervolgens toewijzen aan een specifieke toepassing en aan uw organisatie. Meerdere beleidsregels kunnen van toepassing zijn op een specifieke toepassing. Het beleid voor levensduur van tokens dat van kracht wordt, volgt deze regels:
Belangrijk
Voor beleid voor levensduur van tokens heeft een beleid op organisatieniveau voorrang op beleid op toepassingsniveau . Als uw beleid op app-niveau niet van kracht lijkt te worden, controleert u of er een beleid op organisatieniveau bestaat.
- Als een beleid expliciet is toegewezen aan de organisatie, wordt dit afgedwongen.
- Als er geen beleid expliciet aan de organisatie is toegewezen, wordt het beleid dat aan de toepassing is toegewezen, afgedwongen.
- Als er geen beleid is toegewezen aan de organisatie of het toepassingsobject, worden de standaardwaarden afgedwongen. (Zie de tabel in Configureerbare eigenschappen voor levensduur van tokens.)
De geldigheid van een token wordt geëvalueerd op het moment dat het token wordt gebruikt. Het beleid met de hoogste prioriteit voor de toepassing die wordt geopend, wordt van kracht.
Beleidsregels voor levensduur van vernieuwings- en sessietokens (verouderd)
Belangrijk
Vanaf 30 januari 2021 kunnen de levensduur van vernieuwings- en sessietokens niet meer worden geconfigureerd via beleid voor tokenlevensduur. Microsoft Entra ID maakt alleen gebruik van de standaardwaarden die hieronder worden beschreven. Als u wilt bepalen hoe vaak gebruikers zich moeten aanmelden, gebruikt u in plaats daarvan de aanmeldingsfrequentie voor voorwaardelijke toegang .
Als u bestaande beleidsregels hebt die vernieuwings- of sessietokeneigenschappen instellen, worden deze eigenschappen genegeerd. Nieuwe tokens worden altijd uitgegeven met de standaardconfiguratie.
Standaardinstellingen voor vernieuwen en sessietoken (niet configureerbaar)
De volgende tabel bevat de standaardwaarden die van kracht blijven. Deze waarden kunnen niet worden gewijzigd via beleid voor levensduur van tokens.
| Eigenschap | Beleidskenmerktekenreeks | Standaard |
|---|---|---|
| Maximale inactieve tijd voor het vernieuwen van een token | MaxInactiveTime |
90 dagen |
| Max. leeftijd voor vernieuwen van tokens met enkele factor | MaxAgeSingleFactor |
Totdat deze is ingetrokken |
| Max. leeftijd voor vernieuwen van tokens met meerdere factoren | MaxAgeMultiFactor |
Totdat deze is ingetrokken |
| Maximale leeftijd voor sessie-token met enkele factor | MaxAgeSessionSingleFactor |
Totdat deze is ingetrokken |
| Max. leeftijd voor sessietoken met meerdere factoren | MaxAgeSessionMultiFactor |
Totdat deze is ingetrokken |
Niet-permanente sessietokens hebben een maximale inactieve tijd van 24 uur; permanente sessietokens hebben een maximale inactieve tijd van 90 dagen. Wanneer het token voor eenmalige aanmelding wordt gebruikt gedurende de geldigheidsperiode, wordt de geldigheidsperiode verlengd met respectievelijk 24 uur of 90 dagen.
Gebruik de PowerShell-cmdlets om te zoeken naar bestaande beleidsregels die mogelijk nog steeds buiten gebruik gestelde vernieuwings-/sessietokeneigenschappen bevatten.
REST API naslag
Tip
Alle tijdsduurs worden opgemaakt met de C# TimeSpan-indeling : hh:mm:ss. De minimumwaarde van 10 minuten is 00:10:00 en de maximumwaarde is 23:59:59.
U kunt beleid voor levensduur van tokens configureren en deze toewijzen aan apps met behulp van Microsoft Graph. Voor meer informatie, zie het resourcetypetokenLifetimePolicy en de bijbehorende methoden.
Naslaginformatie over cmdlets
Dit zijn de cmdlets in de Microsoft Graph PowerShell SDK.
Beleid beheren
U kunt de volgende opdrachten gebruiken om beleidsregels te beheren.
| Cmdlet | Beschrijving |
|---|---|
| Nieuwe-MgPolicyTokenLevensduurBeleid | Maakt een nieuwe beleidsregel. |
| Get-MgPolicyTokenLifetimePolicy | Hiermee haalt u alle beleidsregels voor de levensduur van tokens of een opgegeven beleid op. |
| Update-MgPolicyTokenLifetimePolicy (Bijwerken van de levensduurbeleid van MgPolicy-token) | Werkt een bestaand beleid bij. |
| Remove-MgPolicyTokenLifetimePolicy | Hiermee verwijdert u het opgegeven beleid. |
Toepassingsbeleid
U kunt de volgende cmdlets gebruiken voor toepassingsbeleid.
| Cmdlet | Beschrijving |
|---|---|
| New-MgApplicationTokenLifetimePolicyByRef | Koppelt het opgegeven beleid aan een toepassing. |
| Get-MgApplicationTokenLifetimePolicyByRef | Hiermee haalt u de beleidsregels op die aan een toepassing zijn toegewezen. |
| Remove-MgApplicationTokenLifetimePolicyByRef | Hiermee verwijdert u beleid uit een toepassing. |
Volgende stappen
Lees voor meer informatie Voorbeelden van het configureren van levensduur van tokens.