Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Você pode configurar o tempo de vida dos tokens de acesso, ID ou SAML (Security Assertion Markup Language) emitidos pela plataforma de identidade da Microsoft. Os tempos de vida do token podem ser definidos para todos os aplicativos em sua organização, aplicativos multilocatários ou entidades de serviço específicas. Não há suporte para a configuração de tempos de vida de token para entidades de serviço de identidade geridas.
No Microsoft Entra ID, as políticas definem regras aplicadas a aplicativos individuais ou a todos os aplicativos em uma organização. Cada tipo de política tem propriedades exclusivas que determinam como ele é imposto ao objeto ao qual é atribuído.
Uma política pode ser designada como padrão para sua organização, aplicando-se a todos os aplicativos, a menos que seja substituída por uma política de prioridade mais alta. As políticas também podem ser atribuídas a aplicativos específicos, com prioridade variando de acordo com o tipo de política.
Para obter orientações práticas, consulte exemplos de como configurar tempos de vida de token.
Limitações e considerações
Antes de configurar políticas de vida útil do token, esteja ciente do seguinte:
- Sem interface de portal: As políticas de vida útil dos tokens só podem ser geridas através da Microsoft Graph API e do Microsoft Graph PowerShell SDK. Não existe uma interface de configuração no Centro de Administração do Microsoft Entra.
- SharePoint e OneDrive: A política de vida útil dos tokens configuráveis aplica-se apenas a clientes móveis e de ambiente de trabalho que acedam ao SharePoint Online e aos recursos do OneDrive for Business. Não se aplica a sessões de navegador web. Para gerir a vida útil das sessões do navegador web, utilize a vida útil da sessão de Acesso Condicional. Consulte o blogue SharePoint Online para configurar os tempos de espera das sessões ociosas.
-
Contas pessoais Microsoft: As políticas vitalícias de tokens não são suportadas para aplicações desenvolvidas para contas pessoais Microsoft (onde
signInAudienceestá definido comoAzureADandPersonalMicrosoftAccountouPersonalMicrosoftAccount). - Identidades geridas: Configurar a vida útil dos tokens para os principais serviços de identidade gerida não é suportada.
- Tempos de vida dos tokens de atualização e sessão: Os tempos de vida dos tokens de atualização e de sessão já não são configuráveis através das políticas de vida útil dos tokens. O Microsoft Entra ID utiliza apenas os valores padrão descritos abaixo. Para controlar com que frequência os utilizadores são obrigados a iniciar sessão, use em vez disso a frequência de início de sessão de Acesso Condicional.
Políticas de tempo de vida do token para tokens de acesso, SAML e ID
Você pode definir políticas de tempo de vida de token para tokens de acesso, tokens SAML e tokens de ID.
Tokens de acesso
Os clientes usam tokens de acesso para acessar um recurso protegido. Um token de acesso só pode ser usado para uma combinação específica de usuário, cliente e recurso. Ajustar o tempo de vida de um token de acesso é uma compensação entre melhorar o desempenho do sistema e aumentar a quantidade de tempo que o cliente retém o acesso depois que a conta do usuário é desativada. O melhor desempenho do sistema é alcançado reduzindo o número de vezes que um cliente precisa adquirir um novo token de acesso.
O tempo de vida padrão de um token de acesso é variável. Quando emitido, o tempo de vida padrão de um token de acesso recebe um valor aleatório que varia entre 60 e 90 minutos (75 minutos em média). A duração padrão também varia dependendo da aplicação cliente que solicita o token, do recurso para o qual o token é emitido e se o Acesso Condicional está ativado no tenant. Para obter mais informações, consulte Tempo de vida do token de acesso.
Quando tanto o cliente como o recurso suportam a Avaliação de Acesso Contínuo (CAE), a vida útil do token pode ser automaticamente estendida para 24-28 horas, quando é seguro fazê-lo. Estes tokens de longa duração serão revogados quase em tempo real em resposta a eventos críticos, como a desativação da conta e alterações de palavra-passe. Saiba mais sobre como a CAE impacta a vida útil do token
Tokens SAML
Os tokens SAML são usados por muitos aplicativos SaaS baseados na Web e são obtidos usando o ponto de extremidade do protocolo SAML2 do Microsoft Entra ID. Eles também são consumidos por aplicativos que usam o WS-Federation. O tempo de vida padrão do token é de 1 hora. Da perspetiva de uma aplicação, o período de validade do token é especificado pelo valor NotOnOrAfter do elemento <conditions …> no token. Após o término do período de validade do token, o cliente deve iniciar uma nova solicitação de autenticação, que geralmente será satisfeita sem o login interativo como resultado do token de sessão de logon único (SSO).
O valor de NotOnOrAfter pode ser alterado usando o parâmetro AccessTokenLifetime num TokenLifetimePolicy ficheiro. Ele será definido para o tempo de vida configurado na política, se houver, mais uma margem de erro do relógio de cinco minutos.
A confirmação de assunto NotOnOrAfter especificada no <SubjectConfirmationData> elemento não é afetada pela configuração do Token Lifetime.
Tokens de Identificação
Os tokens de ID são passados para sites e clientes nativos. Os tokens de ID contêm informações de perfil sobre um usuário. Um token de ID está vinculado a uma combinação específica de usuário e cliente. Os tokens de ID são considerados válidos até à sua expiração. Normalmente, uma aplicação web associa o tempo de vida da sessão de um utilizador na aplicação ao tempo de vida do token de ID emitido para o utilizador. Você pode ajustar o tempo de vida de um token de ID para controlar com que frequência o aplicativo Web expira a sessão do aplicativo e com que frequência ele exige que o usuário seja reautenticado com a plataforma de identidade da Microsoft (silenciosa ou interativamente).
Propriedades de tempo de vida do token configuráveis
Uma política de tempo de vida de token é um tipo de objeto de política que contém regras de tempo de vida de token. Esta política controla por quanto tempo os tokens de acesso, SAML e ID para este recurso são considerados válidos. As políticas de tempo de vida do token não podem ser definidas para tokens de atualização e sessão. Se nenhuma política for definida, o sistema aplicará o valor padrão do tempo de vida.
Propriedades da política de tempo de vida do token Access, ID e SAML2
Reduzir a vida útil do Access Token ajuda a limitar o tempo em que um token de acesso ou ID token comprometido pode ser utilizado por um ator malicioso. A contrapartida é que o desempenho é prejudicado, porque os tokens têm de ser substituídos com mais frequência.
Para obter um exemplo, consulte Criar uma política para login na Web.
A vida útil dos tokens de acesso, ID tokens e tokens SAML2 é controlada pela seguinte propriedade de política:
- Propriedade: Tempo de Vida do Access Token
-
Cadeia de propriedades da política:
AccessTokenLifetime - Afeta: Tokens de acesso, Tokens de identidade, Tokens SAML2
-
Padrão:
- Tokens de acesso: varia, dependendo do aplicativo cliente que solicita o token. Clientes compatíveis com CAE que negociam sessões compatíveis com CAE podem receber tokens de longa duração (até 28 horas).
- Tokens de ID, tokens SAML2: Uma hora
-
Mínimo: 10 minutos (
00:10:00) -
Máximo: Um dia (
23:59:59)
Nota
Apesar do nome, AccessTokenLifetime controla a vida útil dos tokens de acesso, ID tokens e tokens SAML2.
Avaliação e atribuição de prioridades a políticas
Você pode criar e, em seguida, atribuir uma política de tempo de vida do token a um aplicativo específico e à sua organização. Várias políticas podem se aplicar a um aplicativo específico. A política de tempo de vida do token que entra em vigor segue estas regras:
Importante
Para políticas de vida útil dos tokens, uma política ao nível da organização tem precedência sobre uma política ao nível da aplicação . Se a sua política ao nível da aplicação não parecer ter efeito, verifique se existe uma política a nível organizacional.
- Se uma política for atribuída explicitamente à organização, ela será imposta.
- Se nenhuma política for atribuída explicitamente à organização, a política atribuída ao aplicativo será imposta.
- Se nenhuma política tiver sido atribuída à organização ou ao objeto do aplicativo, os valores padrão serão impostos. (Veja a tabela em Propriedades configuráveis do tempo de vida do token.)
A validade de um token é avaliada no momento em que o token é usado. A política com a prioridade mais alta no aplicativo que está sendo acessado entra em vigor.
Políticas de vida dos tokens para tokens de atualização e tokens de sessão (retirados)
Importante
A partir de 30 de janeiro de 2021, a vida útil dos tokens de atualização e de sessão já não é configurável através das políticas de vida útil dos tokens. O Microsoft Entra ID utiliza apenas os valores padrão descritos abaixo. Para controlar com que frequência os utilizadores são obrigados a iniciar sessão, utilize frequência de início de sessão de Acesso Condicional em vez disso.
Se tiveres políticas existentes que definem propriedades de refresh ou de token de sessão, essas propriedades são ignoradas. Novos tokens são sempre emitidos com a configuração padrão.
Predefinições de tokens de reconfiguração e sessão (não configuráveis)
A tabela seguinte documenta os valores padrão que permanecem em vigor. Estes valores não podem ser alterados através das apólices vitalícias dos tokens.
| Propriedade | Cadeia de caracteres da propriedade de política | Predefinido |
|---|---|---|
| Tempo Máximo de Inatividade do Token de Reativação | MaxInactiveTime |
90 dias |
| Idade máxima do token de atualização de fator único | MaxAgeSingleFactor |
Até que seja revogado |
| Idade Máxima do Token de Atualização Multifator | MaxAgeMultiFactor |
Até à revogação |
| Idade máxima do token de sessão de fator único | MaxAgeSessionSingleFactor |
Até que seja revogado |
| Idade máxima do token de sessão multifator | MaxAgeSessionMultiFactor |
Até que seja revogado |
Os tokens de sessão não persistentes têm um Tempo Máximo de Inatividade de 24 horas; os tokens de sessão persistentes têm um Tempo Máximo de Inatividade de 90 dias. Quando o token de sessão SSO é utilizado dentro do seu período de validade, este é prolongado por mais 24 horas ou 90 dias, respetivamente.
Para encontrar políticas existentes que ainda possam conter propriedades de tokens de atualização/sessão descontinuadas, use os cmdlets PowerShell.
Referência da API REST
Sugestão
Todas as durações de tempo são formatadas usando o formato TimeSpan em C#: hh:mm:ss. O valor mínimo de 10 minutos é 00:10:00 e o valor máximo é 23:59:59.
Você pode configurar políticas de tempo de vida do token e atribuí-las a aplicativos usando o Microsoft Graph. Para obter mais informações, consulte o tipo de recursotokenLifetimePolicy e os seus métodos associados.
Referência do cmdlet
Estes são os cmdlets no Microsoft Graph PowerShell SDK.
Gerenciar políticas
Você pode usar os seguintes comandos para gerenciar políticas.
| Cmdlet | Descrição |
|---|---|
| New-MgPolicyTokenLifetimePolicy | Cria uma nova política. |
| Get-MgPolicyTokenLifetimePolicy | Obtém todas as políticas de duração do token ou uma política especificada. |
| Update-MgPolicyTokenLifetimePolicy | Atualiza uma política existente. |
| Remove-MgPolicyTokenLifetimePolicy | Exclui a política especificada. |
Políticas da aplicação
Pode usar os seguintes cmdlets para políticas de aplicação.
| Cmdlet | Descrição |
|---|---|
| New-MgApplicationTokenLifetimePolicyByRef | Vincula a política especificada a um aplicativo. |
| Get-MgApplicationTokenLifetimePolicyByRef | Obtém as políticas atribuídas a um aplicativo. |
| Remove-MgApplicationTokenLifetimePolicyByRef | Remove uma política de um aplicativo. |
Próximos passos
Para saber mais, leia exemplos de como configurar tempos de vida de token.