Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Вы можете настроить время существования маркеров доступа, идентификатора или разметки утверждений безопасности (SAML), выданных платформой удостоверений Майкрософт. Время существования токенов можно задать для всех приложений в вашей организации, мультитенантных приложений или конкретных сервисных принципалов. Настройка времени существования токенов для служебных сущностей управляемых удостоверений не поддерживается.
В идентификаторе Microsoft Entra политики определяют правила, применяемые к отдельным приложениям или всем приложениям в организации. Каждый тип политики имеет уникальные свойства, определяющие, как оно применяется к объекту, которому он назначен.
Политика может быть назначена как стандартная для вашей организации, применяемая ко всем приложениям, если не переопределяется политикой более высокого приоритета. Политики также можно назначать определенным приложениям с приоритетом по типу политики.
Для получения практических рекомендаций см. примеры настройки сроков действия токенов.
Примечание.
Настраиваемая политика времени существования маркеров применяется только к мобильным и настольным клиентам, которые обращаются к ресурсам SharePoint Online и OneDrive для бизнеса, и не применяется к сеансам веб-браузера. Для управления временем жизни сеансов веб-браузера для SharePoint Online и OneDrive для бизнеса используйте функцию Время жизни сеанса условного доступа. Дополнительные сведения о настройке времени ожидания сеанса простоя см. в блоге SharePoint Online .
Примечание.
Возможно, вам потребуется увеличить время существования маркера, чтобы скрипт работал более чем час. Многие библиотеки Майкрософт, такие как пакет SDK Microsoft Graph PowerShell, расширяют время существования маркера по мере необходимости, и вам не нужно вносить изменения в политику маркера доступа.
Требования к лицензиям
Для использования этой функции требуется лицензия Microsoft Entra ID уровня P1. Чтобы подобрать лицензию под свои требования, ознакомьтесь с разделом Сравнение общедоступных функций выпусков Free и Premium.
Клиенты с лицензиями Microsoft 365 бизнес также имеют доступ к функциям условного доступа.
Политики времени жизни маркеров доступа, SAML и идентификации
Вы можете настроить политики времени жизни для маркеров доступа, SAML и идентификации.
Маркеры доступа
Чтобы получить доступ к защищенному ресурсу, клиенты используют маркеры доступа. Маркер доступа можно использовать только для конкретного сочетания пользователя, клиентского приложения и ресурса. Маркеры доступа не могут быть отозваны и действительны до истечения срока их действия. Злоумышленник, получивший маркер доступа, может использовать его на протяжении всего срока его действия. Настройка времени существования маркера доступа позволяет балансировать между производительностью системы и временем, в течение которого клиент сохраняет доступ после отключения учетной записи пользователя. Чтобы повысить производительность системы, нужно минимизировать частоту обращений клиентского приложения за обновленным маркером доступа.
Время существования маркера доступа по умолчанию — переменное. При выдаче времени существования маркера доступа по умолчанию назначается случайное значение в диапазоне от 60 до 90 минут (в среднем 75 минут). Время существования по умолчанию также зависит от клиентского приложения, запрашивающего маркер или если в клиенте включен условный доступ. Дополнительные сведения см. в разделе Время существования маркера доступа.
Токены SAML
Токены SAML используются многими веб-приложениями SaaS и получаются с помощью конечной точки протокола SAML2 идентификатора Майкрософт. Они также используются приложениями с помощью WS-Federation. Время жизни маркера по умолчанию составляет 1 час. С точки зрения приложения срок действия маркера определяется значением NotOnOrAfter элемента <conditions …> в маркере. По окончании срока действия маркера клиент должен инициировать новый запрос проверки подлинности, который, как правило, выполняется без интерактивного входа с помощью маркера сеанса единого входа (SSO).
Значение NotOnOrAfter можно изменить с помощью параметра AccessTokenLifetime в TokenLifetimePolicy. Для него будет задано время жизни, настроенное в политике (если есть), а также значение разницы в показаниях часов, равное пяти минутам.
Конфигурация времени жизни маркера не влияет на подтверждение субъекта NotOnOrAfter, указанное в элементе <SubjectConfirmationData>.
Токен идентификатора
Маркеры идентификации передаются веб-сайтам и собственным клиентам. Они содержат сведения о профиле пользователя. Маркер идентификации привязан одновременно и к пользователю, и клиентскому приложению. Маркеры идентификации считаются действительными до истечения срока действия. Обычно в веб-приложениях время существования пользовательского сеанса соответствует времени существования маркера идентификатора, выданного пользователю. Вы можете настроить срок действия токена ID, чтобы контролировать, как часто истекает сессия веб-приложения и как часто пользователю необходимо повторно проходить аутентификацию на платформе идентификации Microsoft (автоматически или интерактивно).
Политики времени жизни маркеров обновления и маркеров сеанса
Нельзя задать политики времени существования маркеров для маркеров обновления и маркеров сеанса. Сведения о времени существования, истечении времени ожидания и отмене маркеров обновления см. в разделе "Маркеры обновления".
Внимание
По состоянию на 30 января 2021 г. нельзя настроить время существования токенов обновления и сеанса. Microsoft Entra больше не учитывает конфигурацию маркера обновления и сеанса в существующих политиках. Новым токенам назначена конфигурация по умолчанию. Вы можете настраивать время жизни маркеров доступа, SAML и идентификации и после прекращения поддержки настройки маркеров обновления и сеанса.
Время существования существующего маркера не изменится. По истечении срока действия будет выдан новый маркер согласно значению по умолчанию.
Если вам необходимо и впредь определять период времени, по истечении которого пользователю будет предложено заново выполнить вход, настройте частоту входа в условном доступе. Дополнительные сведения об условном доступе см. в статье Настройка управления сеансами проверки подлинности с помощью условного доступа.
Свойства для настройки времени жизни маркера
Политика времени жизни маркера — это объект политики, который содержит правила времени жизни маркера. Эта политика определяет, как долго продолжают действовать маркеры доступа, SAML и идентификации для определенного ресурса. Политики времени существования маркеров не могут быть заданы для маркеров обновления и сеанса. Если политика не задана, система использует стандартное значение для времени жизни.
Свойства политики времени существования маркера доступа, идентификации и SAML2
Чем меньше значение свойства времени жизни маркера доступа, тем ниже риск использования маркера доступа или маркера идентификатора вредоносным субъектом в течение длительного времени. (Эти маркеры не могут быть отменены.) Компромисс заключается в том, что производительность негативно влияет на производительность, так как маркеры должны быть заменены чаще.
Пример см. в разделе Создание политики для входа в веб-службы.
На конфигурацию маркера доступа, идентификации и SAML2 влияют указанные ниже свойства и соответствующие им значения.
- Свойство: время существования маркера доступа
- Строка свойства политики: AccessTokenLifetime
- Затрагивает: маркеры доступа, маркеры идентификации, маркеры SAML2
-
По умолчанию:
- Маркеры доступа: зависит от клиентского приложения, запрашивающего маркер. Например, клиенты с непрерывной оценкой доступа, которые согласовывают сеансы с поддержкой этой функции, будут сталкиваться с длительным временем существования маркера (до 28 часов).
- Токены идентификатора, токены SAML2: один час
- Минимум: 10 минут
- Максимальное значение: один день
Свойства политики времени жизни маркеров обновления и маркеров сеанса
На конфигурацию маркера обновления и маркера сеанса влияют следующие свойства и соответствующие им значения. После выхода на пенсию конфигурации маркера обновления и сеанса 30 января 2021 г. идентификатор Microsoft Entra будет учитывать только значения по умолчанию, описанные ниже. Если вы решили не использовать Conditional Access для управления частотой входа, маркеры обновления и сеанса устанавливаются на конфигурацию по умолчанию с этой даты, и их время существования не может быть изменено.
| Свойство | Строка свойства политики | Область применения | По умолчанию. |
|---|---|---|---|
| Максимальное время неактивности для маркеров обновления | Максимальное время неактивности | маркеры обновления. | 90 дней |
| Максимальный возраст однофакторного маркера обновления | MaxAgeSingleFactor | Маркеры обновления (для всех пользователей) | Пока не будет отозван |
| Максимальный возраст многофакторного маркера обновления | MaxAgeMultiFactor | Маркеры обновления (для всех пользователей) | Пока не будет отозван |
| Максимальный возраст однофакторного маркера сеанса | MaxAgeSessionSingleFactor | Маркеры сеанса (постоянные и временные) | Пока не будет отозван |
| Максимальный возраст многофакторного маркера сеанса | MaxAgeSessionMultiFactor | Маркеры сеанса (постоянные и временные) | Пока не будет отозван |
Маркеры сеанса, не являющиеся постоянными, имеют максимальное неактивное время в 24 часа, а маркеры постоянных сеансов имеют максимальное неактивное время в 90 дней. В любой момент, когда маркер сеанса единого входа используется в течение срока действия, срок действия продлен еще 24 часа или 90 дней. Если маркер сеанса единого входа не используется в течение максимального неактивного периода времени, он считается истекшим и больше не принимается. Любые изменения этого периода по умолчанию должны быть изменены с помощью условного доступа.
Для поиска политик, которые будут затронуты прекращением поддержки, можно использовать PowerShell. Используйте командлеты PowerShell, чтобы просмотреть все политики, созданные в организации, или найти приложения, связанные с определенной политикой.
Оценка политики и ее приоритеты
Вы можете создать и назначить политику времени существования маркера определенному приложению и вашей организации. К одному приложению могут применяться сразу несколько политик. Политики определяют время жизни маркеров в соответствии со следующими правилами:
- Если политика явно назначена организации, она применяется.
- Если политика не назначена организации явным образом, применяется политика, назначенная приложению.
- Если политика не назначена организации или объекту приложения, применяются значения по умолчанию. (См. таблицу в разделе Свойства для настройки времени жизни маркера.)
Допустимость маркера оценивается во время его использования. Используется политика с самым высоким приоритетом, установленная для оцениваемого приложения.
Все интервалы времени указаны в формате объекта C# TimeSpan: Д.ЧЧ:ММ:СС. Поэтому 80 дней и 30 минут указываются как 80.00:30:00. Начальное значение Д можно опустить, если оно равно нулю, поэтому 90 минут будет указываться как 00:90:00.
Справочник по REST API
Вы можете настроить политики времени существования маркеров и назначить их приложениям с помощью Microsoft Graph. Дополнительные сведения см. в описании tokenLifetimePolicy типа ресурса и связанных с ним методов.
Справочник по командлетам
Это командлеты в пакете SDK Для Microsoft Graph PowerShell.
Управление политиками
Для управления политиками можно использовать следующие команды.
| Командлет | Описание |
|---|---|
| New-MgPolicyTokenLifetimePolicyPolicy | Создает новую политику. |
| Get-MgPolicyTokenLifetimePolicy | Возвращает все политики времени существования маркера или указанную политику. |
| Update-MgPolicyTokenLifetimePolicyPolicy | Обновляет существующую политику. |
| Remove-MgPolicyTokenLifetimePolicy | Удаляет указанную политику. |
Политики приложений
Управлять политиками приложений можно с помощью следующих командлетов.
| Командлет | Описание |
|---|---|
| New-MgApplicationTokenLifetimePolicyByRef (Новая политика срока действия токена приложения по ссылке) | Связывает указанную политику с приложением. |
| Get-MgApplicationTokenLifetimePolicyByRef | Возвращает политики, назначенные приложению. |
| Remove-MgApplicationTokenLifetimePolicyByRef | Удаляет политику из приложения. |
Следующие шаги
Дополнительные сведения см. в примерах настройки времени жизни маркеров.