Ablauf des Azure-Anzeigentokens
Konfigurierbare Tokengültigkeitsdauer in der Microsoft Identity Platform (Vorschau)
Sie können die Lebensdauer eines Zugriffs-, ID- oder SAML-Tokens angeben, das von der Microsoft Identity Platform ausgestellt wird. Sie können die Gültigkeitsdauer von Token für alle Apps in Ihrer Organisation, für mehrinstanzenfähige Anwendungen (mehrere Organisationen) oder für Dienstprinzipale festlegen. Die Konfiguration der Tokengültigkeitsdauer für Dienstprinzipale mit verwalteter Identität wird derzeit nicht unterstützt.
In Microsoft Entra ID stellt ein Richtlinienobjekt einen Satz von Regeln dar, die für einzelne Anwendungen oder für alle Anwendungen in einer Organisation erzwungen werden. Jeder Richtlinientyp verfügt über eine eindeutige Struktur mit einer Reihe von Eigenschaften, die auf Objekte angewendet werden, denen sie zugewiesen sind.
Sie können eine Richtlinie als Standardrichtlinie für Ihre Organisation festlegen. Die Richtlinie wird auf jede Anwendung in der Organisation angewendet, solange sie nicht durch eine Richtlinie mit einem Höhere Priorität. Sie können eine Richtlinie auch bestimmten Anwendungen zuweisen. Die Reihenfolge der Priorität variiert je nach Richtlinientyp.
Beispiele finden Sie in den Beispielen zum Konfigurieren der Tokengültigkeitsdauer.
Hinweis
Die konfigurierbare Richtlinie für die Tokenlebensdauer gilt nur für mobile und Desktopclients, die auf SharePoint Online- und OneDrive for Business-Ressourcen zugreifen, und nicht für Webbrowsersitzungen. Um die Lebensdauer von Webbrowsersitzungen für SharePoint Online und OneDrive for Business zu verwalten, verwenden Sie das Feature für die Lebensdauer von Sitzungen mit bedingtem Zugriff. Weitere Informationen zum Konfigurieren von Timeouts für Sitzungen im Leerlauf finden Sie im SharePoint Online-Blog.
Hinweis
Möglicherweise möchten Sie die Tokenlebensdauer erhöhen, sodass ein Skript länger als eine Stunde ausgeführt wird. Viele Microsoft-Bibliotheken, z. B. das Microsoft Graph PowerShell SDK, verlängern die Tokenlebensdauer nach Bedarf, und Sie müssen keine Änderungen an der Zugriffstokenrichtlinie.
Lizenzanforderungen
Für die Verwendung dieser Funktion ist eine Microsoft Entra ID P1-Lizenz erforderlich. Informationen zum Finden der richtigen Lizenz für Ihre Anforderungen finden Sie unter Vergleich der allgemein verfügbaren Funktionen der Free- und Premium-Edition.
Kunden mit Microsoft 365 Business-Lizenzen haben auch Zugriff auf Funktionen für bedingten Zugriff.
Richtlinien für die Tokenlebensdauer für Zugriffs-, SAML- und ID-Token
Sie können Richtlinien für die Tokenlebensdauer für Zugriffstoken, SAML-Token und ID-Token festlegen.
Zugriffstoken
Clients verwenden Zugriffstoken, um auf eine geschützte Ressource zuzugreifen. Ein Zugriffstoken kann nur für eine bestimmte Kombination aus Benutzer, Client und Ressource verwendet werden. Zugriffstoken können nicht widerrufen werden und sind bis zu ihrem Ablauf gültig. Ein böswilliger Akteur, der ein Zugriffstoken erhalten hat, kann es für die Dauer seiner Lebensdauer verwenden. Anpassen der Lebensdauer eines Das Zugriffstoken ist ein Kompromiss zwischen der Verbesserung der Systemleistung und der Erhöhung der Zeit, in der der Client nach der Deaktivierung des Benutzerkontos Zugriff behält. Eine verbesserte Systemleistung wird erreicht, indem die Anzahl der Male reduziert wird, die ein Client zum Abrufen eines neuen Zugriffstokens benötigt.
Die Standardlebensdauer eines Zugriffstokens ist variabel. Bei der Ausstellung wird der Standardlebensdauer eines Zugriffstokens ein zufälliger Wert zwischen 60 und 90 Minuten (durchschnittlich 75 Minuten) zugewiesen. Die Standardgültigkeitsdauer variiert auch je nachdem, welche Clientanwendung das Token anfordert oder ob der bedingte Zugriff im Mandanten aktiviert ist. Weitere Informationen finden Sie unter Lebensdauer des Zugriffstokens.
SAML-Token
SAML-Token werden von vielen webbasierten SaaS-Anwendungen verwendet und über den SAML2-Protokollendpunkt von Microsoft Entra ID abgerufen. Sie werden auch von Anwendungen genutzt, die den WS-Verbund verwenden. Die Standardlebensdauer des Tokens beträgt 1 Stunde. Aus der Perspektive einer Anwendung wird der Gültigkeitszeitraum des Tokens durch den NotOnOrAfter-Wert des Elements im Token angegeben. Nachdem die Gültigkeitsdauer des Tokens abgelaufen ist, muss der Client eine neue Authentifizierungsanforderung initiieren, die häufig ohne interaktive Anmeldung als Ergebnis des Single Sign-On-Sitzungstokens (Single Sign On, SSO) erfüllt wird.
Der Wert von NotOnOrAfter kann mit dem Parameter in einer . Sie wird auf die in der Richtlinie konfigurierte Lebensdauer festgelegt, falls vorhanden, zuzüglich eines Taktversatzfaktors von fünf Minuten.
Die im Element angegebene Antragstellerbestätigung NotOnOrAfter ist von der Konfiguration der Tokenlebensdauer nicht betroffen.
ID-Token
ID-Token werden an Websites und native Clients übergeben. ID-Token enthalten Profilinformationen zu einem Benutzer. Ein ID-Token ist an eine bestimmte Kombination aus Benutzer und Client gebunden. ID-Token gelten bis zu ihrem Ablauf als gültig. In der Regel wird ein Die Webanwendung gleicht die Sitzungslebensdauer eines Benutzers in der Anwendung mit der Lebensdauer des für den Benutzer ausgestellten ID-Tokens ab. Sie können die Lebensdauer eines ID-Tokens anpassen, um zu steuern, wie oft die Webanwendung die Anwendungssitzung abläuft und wie oft der Benutzer erneut bei der Microsoft Identity Platform authentifiziert werden muss (entweder im Hintergrund oder interaktiv).
Richtlinien für die Tokenlebensdauer für Aktualisierungstoken und Sitzungstoken
Sie können keine Richtlinien für die Tokenlebensdauer für Aktualisierungstoken und Sitzungstoken festlegen. Informationen zur Lebensdauer, zum Timeout und zur Sperrung von Aktualisierungstoken finden Sie unter Aktualisierungstoken.
Wichtig
Ab dem 30. Januar 2021 können Sie die Lebensdauer von Aktualisierungs- und Sitzungstoken nicht mehr konfigurieren. Microsoft Entra berücksichtigt die Aktualisierungs- und Sitzungstokenkonfiguration in vorhandenen Richtlinien nicht mehr. Neue Token, die nach Ablauf vorhandener Token ausgestellt werden, werden jetzt auf die Standardkonfiguration festgelegt. Sie können die Lebensdauer von Zugriffs-, SAML- und ID-Token auch nach der Deaktivierung der Aktualisierungs- und Sitzungstokenkonfiguration konfigurieren.
Die Lebensdauer des vorhandenen Tokens wird nicht geändert. Nach Ablauf wird ein neues Token basierend auf dem Standardwert ausgestellt.
Wenn Sie weiterhin den Zeitraum definieren müssen, bevor ein Benutzer aufgefordert wird, sich erneut anzumelden, konfigurieren Sie die Anmeldehäufigkeit im bedingten Zugriff. Weitere Informationen zum bedingten Zugriff finden Sie unter Konfigurieren der Authentifizierungssitzungsverwaltung mit bedingtem Zugriff.
Konfigurierbare Eigenschaften für die Tokenlebensdauer
Eine Richtlinie für die Tokenlebensdauer ist ein Typ von Richtlinienobjekt, das Regeln für die Tokengültigkeitsdauer enthält. Diese Richtlinie steuert, wie lange Zugriffs-, SAML- und ID-Token für diese Ressource als gültig betrachtet werden. Richtlinien für die Tokengültigkeitsdauer können nicht für Aktualisierungs- und Sitzungstoken festgelegt werden. Wenn keine Richtlinie festgelegt ist, erzwingt das System den Standardwert für die Lebensdauer.
Richtlinieneigenschaften für Zugriffs-, ID- und SAML2-Tokenlebensdauer
Durch die Reduzierung der Eigenschaft Zugriffstokenlebensdauer wird das Risiko verringert, dass ein Zugriffstoken oder ID-Token über einen längeren Zeitraum von einem böswilligen Akteur verwendet wird. (Diese Token können nicht widerrufen werden.) Der Kompromiss besteht darin, dass die Leistung negativ beeinflusst wird, da die Token häufiger ausgetauscht werden müssen.
Ein Beispiel finden Sie unter Erstellen einer Richtlinie für die Webanmeldung.
Die Konfiguration von Access-, ID- und SAML2-Token wird von den folgenden Eigenschaften und ihren jeweils festgelegten Werten beeinflusst:
- Eigenschaft : Access Token Lifetime
- Policy property string : AccessTokenLifetime
- Effects : Access tokens, ID-Token, SAML2-Token
- Standard :
- Zugriffstoken: variiert je nach Client Anwendung, die das Token anfordert. CAE-fähige Clients (Continuous Access Evaluation, Continuous Access Evaluation, Continuous Access Evaluation, Clients, die CAE-fähige Sitzungen aushandeln, erhalten beispielsweise eine lange Lebensdauer des Tokens (bis zu 28 Stunden).
- ID-Token, SAML2-Token: 1 Stunde
- Minimum : 10 Minuten
- Maximum : 1 Tag
Richtlinieneigenschaften für Aktualisierungs- und Sitzungstoken-Gültigkeitsdauer
Die Konfiguration von Aktualisierungs- und Sitzungstoken wird von den folgenden Eigenschaften und ihren jeweils festgelegten Werten beeinflusst. Nach der Einstellung der Aktualisierungs- und Sitzungstokenkonfiguration am 30. Januar 2021 berücksichtigt Microsoft Entra ID nur noch die unten beschriebenen Standardwerte. Wenn Sie sich entscheiden, den bedingten Zugriff nicht zum Verwalten der Anmeldehäufigkeit zu verwenden, werden Ihre Aktualisierungs- und Sitzungstoken an diesem Datum auf die Standardkonfiguration festgelegt, und Sie können ihre nicht mehr ändern Lebzeiten.
| Eigenschaftsrichtlinien-Eigenschaftszeichenfolge | : Wirkt sich auf | das||
|---|---|---|---|
| Standardaktualisierungstoken aus: Maximale Inaktivitätszeit | ,MaxInactiveTime-Aktualisierungstoken | : | 90 Tage |
| Einzelfaktor-Aktualisierungstoken, maximales Alter, | MaxAgeSingleFactor Refresh-Token | (für alle Benutzer) | Bis zum Widerruf |
| Multi-Factor Refresh-Token | MaxAgeMultiFactor | Refresh-Token (für alle Benutzer) | Bis zum Widerruf |
| Single-Factor Session-Token | MaxAgeSessionSingleFactor | Session-Token (persistent und nicht persistent) | Bis zum Widerruf |
| Multi-Factor Session Token Max Age | MaxAgeSessionMultiFactor | Session-Token (persistent und nicht persistent) | Bis zum Widerruf |
Nicht persistente Sitzungstoken haben eine maximale Inaktivitätszeit von 24 Stunden, während persistente Sitzungstoken eine maximale Inaktivitätszeit von 90 Tagen haben. Jedes Mal, wenn das SSO-Sitzungstoken innerhalb seiner Gültigkeitsdauer verwendet wird, wird die Gültigkeitsdauer um weitere 24 Stunden oder 90 Tage verlängert. Wenn das SSO-Sitzungstoken nicht innerhalb des Zeitraums "Maximale Inaktivität" verwendet wird, gilt es als abgelaufen und wird nicht mehr akzeptiert. Alle Änderungen an diesem Standardzeitraum sollten mithilfe des bedingten Zugriffs geändert werden.
Sie können PowerShell verwenden, um die Richtlinien zu finden, die von der Einstellung betroffen sind. Verwenden Sie die PowerShell-Cmdlets, um alle in Ihrer Organisation erstellten Richtlinien anzuzeigen oder um zu ermitteln, welche Apps mit einer bestimmten Richtlinie verknüpft sind.
Richtlinienauswertung und -priorisierung
Sie können eine Richtlinie für die Tokengültigkeitsdauer erstellen und dann einer bestimmten Anwendung und Ihrer Organisation zuweisen. Für eine bestimmte Anwendung können mehrere Richtlinien gelten. Die Richtlinie für die Tokenlebensdauer, die wirksam wird, folgt den folgenden Regeln:
- Wenn der Organisation eine Richtlinie explizit zugewiesen wird, wird sie erzwungen.
- Wenn der Organisation keine Richtlinie explizit zugewiesen ist, wird die der Anwendung zugewiesene Richtlinie erzwungen.
- Wenn der Organisation oder dem Anwendungsobjekt keine Richtlinie zugewiesen wurde, werden die Standardwerte erzwungen. (Weitere Informationen finden Sie in der Tabelle unter Eigenschaften der konfigurierbaren Tokenlebensdauer.)
Die Gültigkeit eines Tokens wird zum Zeitpunkt der Verwendung des Tokens ausgewertet. Die Richtlinie mit der höchsten Priorität für die Anwendung, auf die zugegriffen wird, wird wirksam.
Alle hier verwendeten Zeitspannen sind entsprechend der C# formatiert TimeSpan-Objekt - D.HH:MM:SS. Also wären 80 Tage und 30 Minuten . Das führende D kann weggelassen werden, wenn Null ist, also wären 90 Minuten .
REST-API-Referenz
Sie können Richtlinien für die Tokenlebensdauer konfigurieren und sie Apps mithilfe von Microsoft Graph zuweisen. Weitere Informationen finden Sie unter Ressourcentyp und die zugehörigen Methoden.
Cmdlet-Referenz
Dies sind die Cmdlets im Microsoft Graph PowerShell SDK.
Verwalten von Richtlinien
Sie können die folgenden Befehle verwenden, um Richtlinien zu verwalten.
Anwendungsrichtlinien
Sie können die folgenden Cmdlets für Anwendungsrichtlinien verwenden.
Nächste Schritte
Weitere Informationen finden Sie in Beispielen zum Konfigurieren der Tokengültigkeitsdauer.