Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Você pode configurar o tempo de duração dos tokens de acesso, de ID ou de SAML (Security Assertion Markup Language) emitidos pela plataforma de identidade da Microsoft. É possível definir a validade dos tokens para todos os aplicativos da sua organização, para aplicativos multilocatários ou para entidades de serviço específicas. A configuração da validade dos tokens para entidades do serviço de identidade gerenciada não é suportada.
Na ID do Microsoft Entra, as políticas definem regras aplicadas a aplicativos individuais ou a todos os aplicativos em uma organização. Cada tipo de política tem propriedades exclusivas que determinam como ele é imposto no objeto ao qual ele é atribuído.
Uma política pode ser designada como o padrão para sua organização, aplicando-se a todos os aplicativos, a menos que seja substituída por uma política de prioridade mais alta. As políticas também podem ser atribuídas a aplicativos específicos, com prioridade variando por tipo de política.
Para obter diretrizes práticas, consulte exemplos de como configurar tempos de vida de token.
Limitações e considerações
Antes de configurar as políticas de tempo de vida do token, lembre-se do seguinte:
- Sem interface do usuário do portal: as políticas de duração de token só podem ser gerenciadas por meio da API do Microsoft Graph e do SDK do Microsoft Graph PowerShell. Não há nenhuma superfície de configuração no Centro de administração do Microsoft Entra.
- SharePoint e OneDrive: a política de tempo de vida do token configurável só se aplica a clientes móveis e de área de trabalho que acessam recursos do SharePoint Online e do OneDrive for Business. Ele não se aplica às sessões do navegador da Web. Para gerenciar tempos de vida de sessão do navegador da Web, use o tempo de vida da sessão de Acesso Condicional. Consulte o blog do SharePoint Online para configurar tempos limite de sessão ociosos.
-
Contas pessoais da Microsoft: as políticas de tempo de vida do token não têm suporte para aplicativos desenvolvidos para contas pessoais da Microsoft (onde
signInAudienceé definido comoAzureADandPersonalMicrosoftAccountouPersonalMicrosoftAccount). - Identidades gerenciadas: a configuração da validade dos tokens para entidades de serviço de identidade gerenciada não é suportada.
- Atualizar & validade dos tokens de sessão: os tempos de validade dos tokens de atualização e de sessão não podem mais ser configurados por meio de políticas de tempo de validade de tokens. A ID do Microsoft Entra usa apenas os valores padrão descritos abaixo. Para controlar com que frequência os usuários são obrigados a iniciar sessão, use a frequência de início de sessão do Acesso Condicional.
Políticas de tempo de vida para tokens de acesso, SAML e ID
Você pode definir políticas de tempo de vida para tokens de acesso, SAML e ID.
Tokens de acesso
Os clientes usam tokens de acesso para acessar um recurso protegido. Um token de acesso só pode ser usado para uma combinação específica de usuário, cliente e recurso. Ajustar o tempo de vida do token de acesso é uma compensação entre a melhorar o desempenho do sistema e aumentar o tempo pelo qual o cliente retém acesso depois que a conta do usuário é desabilitada. Um melhor desempenho do sistema é obtido, reduzindo o número de vezes que um cliente precisa adquirir um novo token de acesso.
O tempo de vida padrão de um token de acesso é variável. Quando emitido, o tempo de vida padrão de um token de acesso é atribuído a um valor aleatório que varia entre 60-90 minutos (75 minutos em média). O tempo de vida padrão também varia dependendo do aplicativo cliente que solicita o token, do recurso para o qual o token é emitido e se o Acesso Condicional está habilitado no locatário. Para obter mais informações, veja Tempo de vida do tokens de acesso.
Quando o cliente e o recurso dão suporte à CAE (Avaliação de Acesso Contínuo), o tempo de vida do token pode ser automaticamente estendido para 24 a 28 horas, quando for seguro fazê-lo. Esses tokens de longa duração serão revogados quase em tempo real em resposta a eventos críticos, como desabilitação de conta e alterações de senha. Saiba mais sobre como o CAE afeta o tempo de vida do token
Tokens de SAML
Os tokens SAML são usados por muitos aplicativos SaaS baseados em web e são obtidos por meio do endpoint do protocolo SAML2 do Microsoft Entra ID. Eles também são consumidos pelos aplicativos que usam o WS-Federation. O tempo de vida padrão do token é 1 hora. Sob a perspectiva de um aplicativo, o período de validade do token é especificado pelo valor NotOnOrAfter do elemento <conditions …> no token. Após o término do período de validade do token, o cliente deve iniciar uma nova solicitação de autenticação, que geralmente será satisfeita sem entrada interativa, como resultado do token de SSO (sessão de logon único).
O valor de NotOnOrAfter pode ser alterado com o parâmetro AccessTokenLifetime em uma TokenLifetimePolicy. Ele será definido para o tempo de vida configurado na política, se houver, além de um fator de defasagem horária de cinco minutos.
O valor NotOnOrAfter de confirmação da entidade especificado no elemento <SubjectConfirmationData> não é afetado pela configuração de Tempo de Vida de Token.
Tokens de ID
Tokens de ID são passados para sites e clientes nativos. Os tokens de ID contêm informações de perfil sobre um usuário. Um token de ID é associado a uma combinação específica de cliente e usuário. Os tokens de ID são considerados válidos até a expiração. Normalmente, um aplicativo Web corresponde o tempo de vida de sessão de um usuário no aplicativo ao tempo de vida do token de ID emitido para o usuário. Você pode ajustar o tempo de vida de um token de ID para controlar a frequência com que o aplicativo Web expira a sessão do aplicativo e com que frequência ele exige que o usuário seja reautenticado com a plataforma de identidade da Microsoft (de forma silenciosa ou interativa).
Propriedades configuráveis de tempo de vida de token
Uma política de tempo de vida do token é um tipo de objeto de política que contém regras de tempo de vida do token. Essa política controla por quanto tempo tokens de acesso, SAML e ID para esse recurso são considerados válidos. As políticas de tempo de vida do token não podem ser definidas para os tokens de atualização e de sessão. Se nenhuma política for definida, o sistema aplicará o valor de tempo de vida padrão.
Propriedades da política de tempo de vida do token de acesso, ID e SAML2
A redução do tempo de vida do token de acesso ajuda a limitar o tempo em que um token de acesso comprometido ou token de ID pode ser usado por um ator mal-intencionado. O preço a se pagar é que o desempenho é prejudicado, porque os tokens precisam ser substituídos mais frequentemente.
Veja um exemplo em Criar uma política para entrada na Web.
Os tempos de vida do token para tokens de acesso, tokens de ID e tokens SAML2 são controlados pela seguinte propriedade de política:
- Propriedade: Tempo de Vida do Token de Acesso
-
Cadeia de caracteres de propriedade da política:
AccessTokenLifetime - Afeta: tokens de acesso, tokens de identificação, tokens SAML2
-
Padrão:
- Tokens de acesso: varia, dependendo do aplicativo cliente que solicita o token. Clientes compatíveis com CAE que negociam sessões compatíveis com CAE podem receber tokens de longa duração (até 28 horas).
- Tokens de identificação, tokens SAML2: uma hora
-
Mínimo: 10 minutos (
00:10:00) -
Máximo: um dia (
23:59:59)
Observação
Apesar do nome, AccessTokenLifetime controla o tempo de vida de tokens de acesso, tokens de ID e tokens SAML2.
Avaliação e priorização de política
Você pode criar e atribuir uma política de tempo de vida de token para um aplicativo específico ou para a sua organização. Várias políticas podem se aplicar a um aplicativo específico. A política de tempo de vida do token que entra em vigor segue estas regras:
Importante
Para políticas de tempo de vida de token, uma política no nível da organização tem precedência sobre uma política no nível do aplicativo . Se sua política no nível do aplicativo não parecer entrar em vigor, verifique se existe uma política no nível da organização.
- Se uma política for atribuída explicitamente à organização, ela será implementada.
- Se nenhuma política for atribuída explicitamente à organização, a política atribuída ao aplicativo será implementada.
- Se nenhuma política tiver sido atribuída à organização ou ao objeto de aplicativo, os valores padrão serão implementados. (Consulte a tabela em Propriedades configuráveis de tempo de vida de token.)
A validade de um token é avaliada no momento em que ele é usado. A política com a prioridade mais alta no aplicativo que está sendo acessado entra em vigor.
Políticas de tempo de vida do token para tokens de atualização e tokens de sessão (desativados)
Importante
A partir de 30 de janeiro de 2021, os períodos de validade dos tokens de atualização e de sessão não podem mais ser configurados por meio de políticas de validade de tokens. A ID do Microsoft Entra usa apenas os valores padrão descritos abaixo. Para controlar a frequência com que os usuários são obrigados a fazer login, use a frequência de login do Acesso Condicional .
Se você tiver políticas existentes que definem propriedades de token de sessão ou atualização, essas propriedades serão ignoradas. Novos tokens são sempre emitidos com a configuração padrão.
Padrões de token de sessão e atualização (não configuráveis)
A tabela a seguir documenta os valores padrão que permanecem em vigor. Esses valores não podem ser alterados por meio de políticas de tempo de vida do token.
| Propriedade | Cadeia de caracteres de propriedade de política | Padrão |
|---|---|---|
| Tempo Máximo de Inatividade do Token de Atualização | MaxInactiveTime |
90 dias |
| Idade Máxima de Token de Atualização de Fator Único | MaxAgeSingleFactor |
Until-revoked |
| Idade Máxima de Token de Atualização Multifator | MaxAgeMultiFactor |
Until-revoked |
| Idade Máxima de Token de Sessão de Fator Único | MaxAgeSessionSingleFactor |
Until-revoked |
| Idade Máxima de Token de Sessão Multifator | MaxAgeSessionMultiFactor |
Until-revoked |
Os tokens de sessão não persistentes têm um tempo máximo inativo de 24 horas; Os tokens de sessão persistentes têm um Tempo Máximo Inativo de 90 dias. Quando o token de sessão SSO é usado dentro de seu período de validade, o período de validade é estendido por mais 24 horas ou 90 dias, respectivamente.
Para localizar políticas existentes que ainda podem conter propriedades de token de atualização/sessão desativadas, use os cmdlets do PowerShell.
Referência da API REST
Dica
Todas as durações de tempo são formatadas usando o formato TimeSpan em C#: hh:mm:ss. O valor mínimo de 10 minutos é 00:10:00 e o valor máximo é 23:59:59.
Você pode configurar políticas de tempo de vida de token e atribuí-las aos aplicativos usando o Microsoft Graph. Para obter mais informações, confira o tokenLifetimePolicy tipo de recurso e os métodos associados.
Referência de cmdlet
Esses são os cmdlets incluídos no SDK do PowerShell do Microsoft Graph.
Gerenciar políticas
Use os seguintes comandos para gerenciar as políticas.
| Cmdlet | Descrição |
|---|---|
| New-MgPolicyTokenLifetimePolicy | Cria uma nova política. |
| Get-MgPolicyTokenLifetimePolicy | Obtém todas as políticas de duração de token ou uma política especificada. |
| Update-MgPolicyTokenLifetimePolicy | Atualiza uma política existente. |
| Remove-MgPolicyTokenLifetimePolicy | Exclui a política especificada. |
Políticas de aplicativo
Você pode usar os cmdlets a seguir para políticas de aplicativo.
| Cmdlet | Descrição |
|---|---|
| New-MgApplicationTokenLifetimePolicyByRef | Vincula a política especificada a um aplicativo. |
| Get-MgApplicationTokenLifetimePolicyByRef | Obtém as políticas que foram atribuídas a um aplicativo. |
| Remove-MgApplicationTokenLifetimePolicyByRef | Remove uma política de um aplicativo. |
Próximas etapas
Para saber mais, veja exemplos de como configurar o tempo de vida de token.