Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Du kan konfigurera livslängden för åtkomst-, ID- eller SAML-token (Security Assertion Markup Language) som utfärdats av Microsofts identitetsplattform. Tokenlivslängder kan anges för alla appar i din organisation, program med flera klienter eller specifika tjänsthuvudnamn. Det går inte att konfigurera tokenlivslängder för tjänstens principer för hanterad identitet.
I Microsoft Entra-ID definierar principer regler som tillämpas på enskilda program eller alla program i en organisation. Varje principtyp har unika egenskaper som avgör hur den tillämpas på det objekt som den tilldelas till.
En princip kan anges som standard för din organisation och tillämpas på alla program om den inte åsidosätts av en princip med högre prioritet. Principer kan också tilldelas till specifika program, där prioriteten varierar beroende på principtyp.
Praktisk vägledning finns i exempel på hur du konfigurerar tokenlivslängder.
Begränsningar och överväganden
Innan du konfigurerar policyer för tokenlivslängd bör du vara medveten om följande:
- Inget portalgränssnitt: Policyer för tokenlivslängd kan endast hanteras via Microsoft Graph API och Microsoft Graph PowerShell SDK. Det finns ingen konfigurationsyta i administrationscentret för Microsoft Entra.
- SharePoint och OneDrive: Konfigurationsbar tokenlivsprincip gäller endast för mobila klienter och skrivbordsklienter som har åtkomst till Resurser i SharePoint Online och OneDrive för företag. Den gäller inte för webbläsarsessioner. Om du vill hantera livslängden för webbläsarsessioner använder du sessionslivslängd för villkorlig åtkomst. Se SharePoint Online-bloggen för att konfigurera tidsgränser för inaktiva sessioner.
-
Personliga Microsoft-konton: Policyer för tokenlivslängd stöds inte för program som utvecklats för personliga Microsoft-konton (var
signInAudienceär inställt påAzureADandPersonalMicrosoftAccountellerPersonalMicrosoftAccount). - Hanterade identiteter: Konfiguration av tokenlivslängder för tjänsthuvudprincipaler för hanterade identiteter stöds inte.
- Livslängd för uppdaterings- och sessionstoken: Livslängden för uppdaterings- och sessionstoken kan inte längre konfigureras via policyer för tokenlivslängd. Microsoft Entra ID använder endast de standardvärden som beskrivs nedan. Om du vill styra hur ofta användare måste logga in använder du inloggningsfrekvensen för villkorsstyrd åtkomst i stället.
Policyer för tokenlivslängd för åtkomst, SAML och ID-token
Du kan ange principer för tokenlivslängd för åtkomsttoken, SAML-token och ID-token.
Åtkomsttokens
Klienter använder åtkomsttoken för att komma åt en skyddad resurs. En åtkomsttoken kan endast användas för en specifik kombination av användare, klient och resurs. Att justera livslängden för en åtkomsttoken är en kompromiss mellan att förbättra systemets prestanda och öka den tid som klienten behåller åtkomsten efter att användarens konto har inaktiverats. Bättre systemprestanda uppnås genom att minska antalet gånger en klient behöver skaffa en ny åtkomsttoken.
Standardlivslängden för en åtkomsttoken är variabel. När den utfärdas tilldelas en åtkomsttokens standardlivslängd ett slumpmässigt värde mellan 60 och 90 minuter (i genomsnitt 75 minuter). Standardlivslängden varierar också beroende på klientprogrammet som begär token, resursen som token utfärdas för och om villkorlig åtkomst är aktiverad i klientorganisationen. Mer information finns i Åtkomsttokens livslängd.
När både klienten och resursen stöder kontinuerlig åtkomstutvärdering (CAE) kan tokens livslängd automatiskt utökas till 24–28 timmar, när det är säkert att göra det. Dessa långlivade tokens kommer att återkallas i nästan realtid som svar på kritiska händelser som avaktivering av konton och lösenordsändringar. Läs mer om hur CAE påverkar tokens livslängd
SAML-token
SAML-token används av många webbaserade SaaS-program och hämtas med hjälp av Microsoft Entra ID:s SAML2-protokollslutpunkt. De används också av program som använder WS-Federation. Standardlivslängden för token är 1 timme. Från ett programs perspektiv anges giltighetsperioden för token av värdet NotOnOrAfter för elementet <conditions …> i token. Efter att giltighetsperioden för token har upphört måste klienten initiera en ny autentiseringsbegäran, vilket ofta tillgodoses utan interaktiv inloggning som ett resultat av Single Sign-On (SSO) sessionstoken.
Värdet NotOnOrAfter kan ändras med hjälp av parametern AccessTokenLifetime i en TokenLifetimePolicy. Den ställs in på den livslängd som konfigurerats i policyn om det finns någon, plus en klockförskjutningsfaktor på fem minuter.
Ämnesbekräftelsen NotOnOrAfter som anges i elementet <SubjectConfirmationData> påverkas inte av konfigurationen för tokenlivslängd.
ID-token
ID-token skickas till webbplatser och interna klienter. ID-token innehåller profilinformation om en användare. En ID-token är bunden till en specifik kombination av användare och klient. ID-token anses vara giltiga tills de upphör att gälla. Vanligtvis matchar ett webbprogram en användares sessionslivslängd i programmet med livslängden för den ID-token som utfärdats för användaren. Du kan justera livslängden för en ID-token för att styra hur ofta webbapplikationen avslutar sessionen och hur ofta den kräver att användaren reautentiseras med Microsofts identitetsplattform (antingen i tyst läge eller interaktivt).
Egenskaper för konfigurerbar tokenlivslängd
En policy för tokenlivslängd är en typ av principobjekt som innehåller regler för tokenlivslängd. Den här principen styr hur länge åtkomst, SAML och ID-token för den här resursen anses vara giltiga. Det går inte att ange principer för tokenlivslängd för uppdaterings- och sessionstoken. Om ingen princip har angetts tillämpar systemet standardvärdet för livslängd.
Principegenskaper för åtkomst, ID och SAML2-tokenlivslängd
Om du minskar livslängden för åtkomsttoken kan du begränsa hur lång tid en komprometterad åtkomsttoken eller ID-token kan användas av en obehörig aktör. Kompromissen är att prestanda påverkas negativt, eftersom token måste ersättas oftare.
Ett exempel finns i Skapa en princip för webbinloggning.
Tokenlivslängder för åtkomsttoken, ID-token och SAML2-token styrs av följande principegenskap:
- Egenskap: Livslängd för åtkomsttoken
-
Principegenskapssträng:
AccessTokenLifetime - Påverkar: Åtkomsttoken, ID-token, SAML2-token
-
Standard:
- Åtkomsttoken: varierar beroende på vilket klientprogram som begär token. CAE-kompatibla klienter som förhandlar om sessioner anpassade för CAE kan ta emot långlivade tokens (upp till 28 timmar).
- ID-token, SAML2-token: En timme
-
Minst: 10 minuter (
00:10:00) -
Max: En dag (
23:59:59)
Kommentar
Trots namnet AccessTokenLifetime styr livslängden för åtkomsttoken, ID-token och SAML2-token.
Utvärdering och prioritering av policyer
Du kan skapa och sedan tilldela en policy för tokenlivslängd till ett visst program och till din organisation. Flera principer kan gälla för ett visst program. Policyn för tokenlivslängd som börjar gälla följer dessa regler:
Viktigt!
För policyer för tokenlivslängd har en princip på organisationsnivå företräde framför en princip på programnivå . Om din appnivåprincip inte verkar börja gälla kontrollerar du om det finns en princip på organisationsnivå.
- Om en princip uttryckligen tilldelas till organisationen tillämpas den.
- Om ingen princip uttryckligen tilldelas till organisationen tillämpas principen som tilldelats programmet.
- Om ingen princip har tilldelats organisationen eller programobjektet tillämpas standardvärdena. (Se tabellen i Konfigurerbara egenskaper för tokenlivslängd.)
En tokens giltighet utvärderas när token används. Principen med högsta prioritet för det program som används börjar gälla.
Policyer för tokenlivslängd för uppdateringstoken och sessionstoken (tillbakadragna)
Viktigt!
Från och med den 30 januari 2021 kan uppdaterings- och sessionstokens livslängd inte längre konfigureras via policyer för tokenlivslängd. Microsoft Entra ID använder endast de standardvärden som beskrivs nedan. Om du vill styra hur ofta användare måste logga in använder du inloggningsfrekvensen för villkorsstyrd åtkomst i stället.
Om du har befintliga principer som anger egenskaper för uppdaterings- eller sessionstoken ignoreras dessa egenskaper. Nya token utfärdas alltid med standardkonfigurationen.
Standardvärden för uppdaterings- och sessionstoken (kan inte konfigureras)
I följande tabell dokumenteras de standardvärden som fortfarande gäller. Dessa värden kan inte ändras via policyer för tokenlivslängd.
| Fastighet | Principegenskapssträng | Standardvärde |
|---|---|---|
| Maximal inaktiv tid för återställningstoken | MaxInactiveTime |
90 dagar |
| Maxålder för en-faktorsförnyelsetoken | MaxAgeSingleFactor |
Tills det återkallas |
| Maxålder för uppdateringstoken vid multifaktorautentisering | MaxAgeMultiFactor |
Tills återkallad |
| Maxålder för enfaktors-sessionstoken | MaxAgeSessionSingleFactor |
Tills återkallad |
| Maxålder för multifaktorsessionstoken | MaxAgeSessionMultiFactor |
Tills den återkallas |
Icke-beständiga sessionstoken har en maximal inaktiv tid på 24 timmar. beständiga sessionstoken har en maximal inaktiv tid på 90 dagar. När SSO-sessionstoken används inom dess giltighetsperiod förlängs giltighetsperioden med ytterligare 24 timmar respektive 90 dagar.
Om du vill hitta befintliga policyer som fortfarande kan innehålla egenskaper för pensionerade uppdaterings- och sessionstoken använder du PowerShell cmdlets.
Referens för REST-API
Tip
Alla tidsvaraktigheter formateras med formatet C# TimeSpan : hh:mm:ss. Det minsta värdet på 10 minuter är 00:10:00 och det maximala värdet är 23:59:59.
Du kan konfigurera principer för tokenlivslängd och tilldela dem till appar med hjälp av Microsoft Graph. Mer information finns i tokenLifetimePolicy resurstypen och dess associerade metoder.
Cmdlet-referens
Det här är cmdletarna i Microsoft Graph PowerShell SDK.
Hantera principer
Du kan använda följande kommandon för att hantera principer.
| Cmdlet (ett PowerShell-kommando) | beskrivning |
|---|---|
| New-MgPolicyTokenLifetimePolicy | Skapar en ny policy. |
| Get-MgPolicyTokenLifetimePolicy | Hämtar alla policyer för tokenlivslängd eller en angiven princip. |
| Update-MgPolicyTokenLifetimePolicy | Uppdaterar en befintlig policy. |
| Remove-MgPolicyTokenLifetimePolicy | Tar bort den angivna principen. |
Användningsprinciper
Du kan använda följande cmdlets för applikationsprinciper.
| Cmdlet (ett PowerShell-kommando) | beskrivning |
|---|---|
| New-MgApplicationTokenLifetimePolicyByRef | Länkar den angivna principen till ett program. |
| Get-MgApplicationTokenLifetimePolicyByRef | Hämtar de principer som har tilldelats till ett program. |
| Remove-MgApplicationTokenLifetimePolicyByRef (Ta bort applikationens tokenens livslängdspolicy genom referens) | Tar bort en princip från ett program. |
Nästa steg
Mer information finns i exempel på hur du konfigurerar tokenlivslängder.