Durées de vie des jetons configurables dans la plateforme d’identité Microsoft (préversion)

Vous pouvez préciser la durée de vie d’un jeton d’accès, d’ID ou SAML émis par la plateforme d’identité Microsoft. Vous pouvez définir des durées de vie des jetons pour toutes les applications de votre organisation, pour les applications multilocataires (multi-organisation) ou pour les principaux de service. Actuellement, nous ne prenons pas en charge la configuration des durées de vie des jetons pour les principaux de service d’identité managée.

Dans Microsoft Entra ID, un objet de stratégie représente un ensemble de règles appliquées sur des applications individuelles ou sur toutes les applications d’une organisation. Chaque type de stratégie comporte une structure unique avec un ensemble de propriétés qui sont ensuite appliquées aux objets auxquels elles sont affectées.

Vous pouvez désigner une stratégie comme stratégie par défaut pour votre organisation. La stratégie est appliquée à toutes les applications de l’organisation tant qu’elle n’est pas remplacée par une stratégie pourvue d’une priorité plus élevée. Vous pouvez également affecter une stratégie à des applications spécifiques. L’ordre de priorité varie par type de stratégie.

Pour obtenir des exemples, consultez des exemples de configuration des durées de vie des jetons.

Notes

La stratégie de durée de vie des jetons configurable s’applique seulement aux clients mobiles et de poste de travail qui accèdent aux ressources SharePoint Online et OneDrive Entreprise ; elle ne s’applique pas aux sessions de navigateur web. Pour gérer la durée de vie des sessions de navigateur web pour SharePoint Online et OneDrive Entreprise, utilisez la fonctionnalité Durée de vie de la session d’accès conditionnel. Reportez-vous au blog SharePoint Online pour en savoir plus sur la configuration des délais d’expiration des sessions inactives.

Remarque

Vous pourriez vouloir augmenter la durée de vie du jeton pour qu’un script s’exécute pendant plus d’une heure. De nombreuses bibliothèques Microsoft, telles que le Kit de développement logiciel (SDK) Microsoft Graph PowerShell, étendent la durée de vie des jetons si nécessaire et vous n’avez pas besoin d’apporter de modifications à la stratégie de jeton d’accès.

Conditions de licence :

L’utilisation de cette fonctionnalité nécessite une licence Microsoft Entra ID P1. Pour trouver la licence appropriée à vos besoins, consultez Comparaison des fonctionnalités mises à la disposition générale des éditions Gratuite et Premium.

Les clients avec des licences Microsoft 365 Business ont également accès aux fonctionnalités d’accès conditionnel.

Stratégies de durée de vie des jetons d’accès, SAML et d’ID

Vous pouvez définir les stratégies de durée de vie des jetons d’accès, SAML et d’ID.

Jetons d’accès

Les clients utilisent des jetons d’accès pour accéder à une ressource protégée. Un jeton d’accès peut uniquement être utilisé pour une combinaison spécifique d’utilisateur, de client et de ressource. Les jetons d’accès ne peuvent pas être révoqués et sont valides jusqu’à leur expiration. Un acteur malveillant qui a obtenu un jeton d’accès peut l’utiliser pour prolonger sa durée de vie. L’ajustement de la durée de vie des jetons d’accès représente un compromis entre l’amélioration des performances du système et l’augmentation de la durée pendant laquelle le client conserve un accès une fois son compte désactivé. Les performances du système sont améliorées en réduisant le nombre de fois où un client doit acquérir un nouveau jeton d’accès.

La durée de vie par défaut d’un jeton d’accès est variable. Une fois un jeton d’accès émis, sa durée de vie par défaut se voit attribuer une valeur aléatoire comprise entre 60 et 90 minutes (75 minutes en moyenne). La durée de vie par défaut varie également en fonction de l'application cliente demandant le jeton ou si l'accès conditionnel est activé dans le locataire. Pour plus d’informations, consultez Durée de vie des jetons d’accès.

Jetons SAML

Les jetons SAML sont utilisés par de nombreuses applications SaaS basées sur le Web, et sont obtenus à l’aide du point de terminaison du protocole SAML2 de Microsoft Entra ID. Ils sont également consommés par les applications utilisant WS-Federation. La durée de vie par défaut du jeton est d’une heure. Du point de vue d’une application, la période de validité du jeton est spécifiée par la valeur NotOnOrAfter de l’élément <conditions …> dans le jeton. Au terme de la période de validité du jeton, le client doit initier une nouvelle requête d’authentification, qui est souvent satisfaite sans connexion interactive en raison du jeton de session d’authentification unique (SSO).

La valeur de NotOnOrAfter peut être modifiée à l’aide du paramètre AccessTokenLifetime dans un élément TokenLifetimePolicy. Elle sera définie sur la durée de vie configurée dans la stratégie si elle existe, à laquelle sera ajouté un facteur de décalage de l’horloge de cinq minutes.

La valeur NotOnOrAfter de la confirmation d’objet spécifiée dans l’élément <SubjectConfirmationData> n’est pas affectée par la configuration de la durée de vie du jeton.

Jetons d’ID

Les jetons d’ID sont transmis aux sites web et clients natifs. Les jetons d’ID contiennent des informations de profil sur un utilisateur. Un jeton d’ID est lié à une combinaison spécifique d’utilisateur et de client. Les jetons d’ID sont considérés comme valides jusqu’à leur expiration. En règle générale, une application web fait correspondre la durée de vie de session d’un utilisateur de l’application à la durée de vie du jeton d’ID émis pour l’utilisateur. Vous pouvez ajuster la durée de vie des jetons d’ID pour contrôler la fréquence à laquelle l’application web arrête la session de l’application et demande à l’utilisateur de s’authentifier à nouveau auprès de la plateforme d’identité Microsoft (en mode silencieux ou interactif).

Stratégies de durée de vie des jetons d’actualisation et de session

Vous ne pouvez pas définir les stratégies de durée de vie des jetons d’actualisation et de session. Pour obtenir des informations sur la durée de vie, le délai d’attente et la révocation des jetons d’actualisation, consultez Jetons d'actualisation.

Important

Depuis le 30 janvier 2021, vous ne pouvez plus configurer la durée de vie des jetons d’actualisation et de session. Microsoft Entra n’honore plus la configuration des jetons d’actualisation et de session dans les stratégies existantes. Les nouveaux jetons émis après l’expiration des jetons existants sont maintenant configurés par défaut. Vous pouvez toujours configurer la durée de vie des jetons d’accès, SAML et d’ID après la mise hors service de la configuration des jetons d’actualisation et de session.

La durée de vie du jeton existant ne changera pas. Lorsqu’un jeton expire, un nouveau jeton est émis en fonction de la valeur par défaut.

Si vous devez continuer à définir la période de temps avant qu’un utilisateur soit invité à se connecter à nouveau, configurez la fréquence de connexion dans Accès conditionnel. Pour en savoir plus sur l’accès conditionnel, lisez l’article Configurer la gestion de session d’authentification avec l’accès conditionnel.

Propriétés des durées de vie des jetons configurables

Une stratégie de durée de vie des jetons est un type d’objet de stratégie qui contient des règles de durée de vie des jetons. Cette stratégie détermine la durée pendant laquelle les jetons d’accès, SAML et d’ID sont considérés comme valides. Les stratégies de durée de vie des jetons ne peuvent pas être définies pour les jetons d’actualisation et de session. Si aucune stratégie n’est définie, le système applique la valeur de durée de vie par défaut.

Propriétés de la stratégie de durée de vie des jetons d’accès, ID et SAML2

Réduire la propriété Durée de vie de jeton d’accès atténue le risque qu’un jeton d’accès ou jeton d’ID soit utilisé par un acteur malveillant pour une période prolongée. (Ces jetons ne peuvent pas être révoqués.) L’inconvénient est que les performances sont affectées, car les jetons sont remplacés plus souvent.

Pour obtenir un exemple, consultez Créer une stratégie de connexion Web.

La configuration des jetons d’accès, ID et SAML2 est affectée par les propriétés suivantes et leurs valeurs définies respectives :

  • Propriété : durée de vie du jeton d’accès
  • Chaîne de propriété de stratégie : AccessTokenLifetime
  • Affecte : jetons d’accès, jetons d’ID, jetons SAML2
  • Par défaut :
    • Jetons d’accès : varie en fonction de l’application cliente qui demande le jeton. Par exemple, les clients prenant en charge l’évaluation continue de l’accès (CAE) qui négocient des sessions prenant en charge CAE verront une durée de vie de jeton plus longue (jusqu’à 28 heures).
    • Jetons d’ID, jetons SAML2 : une heure
  • Minimum : 10 minutes
  • Maximum : 1 journée

Propriétés des stratégies de durée de vie des jetons d’actualisation et de session

La configuration des jetons d’actualisation et de session est affectée par les propriétés suivantes et leurs valeurs définies respectives. Après la mise hors service de la configuration des jetons d’actualisation et de session le 30 janvier 2021, Microsoft Entra ID honorera uniquement les valeurs par défaut décrites ci-dessous. Si vous décidez de ne pas utiliser l’accès conditionnel pour gérer la fréquence de connexion, vos jetons d’actualisation et de session seront définis sur la configuration par défaut à cette date, et vous ne pourrez plus modifier leur durée de vie.

Propriété Chaîne de propriété de stratégie Éléments affectés Default
Délai d’inactivité maximale de jeton d’actualisation MaxInactiveTime Jetons d’actualisation 90 jours
Âge maximal de jeton d’actualisation à facteur unique MaxAgeSingleFactor Jetons d’actualisation (pour tous les utilisateurs) Jusqu’à révocation
Âge maximal de jeton d’actualisation multifacteur MaxAgeMultiFactor Jetons d’actualisation (pour tous les utilisateurs) Jusqu’à révocation
Âge maximal de jeton de session à facteur unique MaxAgeSessionSingleFactor Jetons de session (persistants et non persistants) Jusqu’à révocation
Âge maximal de jeton de session multifacteur MaxAgeSessionMultiFactor Jetons de session (persistants et non persistants) Jusqu’à révocation

Les jetons de session non persistants ont une durée maximale inactive de 24 heures, tandis que les jetons de session persistants ont une durée maximale inactive de 90 jours. À chaque fois que le jeton de session SSO est utilisé au cours de sa période de validité, celle-ci est prolongée à nouveau de 24 heures ou de 90 jours. Si le jeton de session SSO n’est pas utilisé au cours de sa Période d’inactivité maximale, il est considéré comme arrivé à expiration et ne sera plus accepté. Toutes les modifications de cette période par défaut doivent être apportées via l’accès conditionnel.

Vous pouvez utiliser PowerShell pour rechercher les stratégies qui seront affectées par la mise hors service. Utilisez les applets de commande PowerShell pour voir toutes les stratégies créées dans votre organisation, ou pour rechercher les applications liées à une stratégie spécifique.

Définition des priorités et évaluation de la stratégie

Vous pouvez créer, puis affecter une stratégie de durée de vie à une application spécifique et à votre organisation. Plusieurs stratégies peuvent s’appliquer à une application spécifique. La stratégie de durée de vie du jeton appliquée suit les règles ci-dessous :

  • Si une stratégie est explicitement affectée à l’organisation, elle est appliquée.
  • Si aucune stratégie n’est explicitement affectée à l’organisation, la stratégie affectée à l’application est appliquée.
  • Si aucune stratégie n’a été affectée à l’organisation ou à l’objet d’application, les valeurs par défaut sont appliquées. (Consultez le tableau dans la section Propriétés des durées de vie des jetons configurables.)

La validité d’un jeton est évaluée lors de son utilisation. C’est la stratégie pourvue de la priorité la plus élevée sur l’application ouverte qui est appliquée.

Tous les intervalles de temps utilisés ici sont mis en forme selon C# TimeSpan object - D.HH:MM:SS. Par conséquent, 80 jours et 30 minutes s’affichent sous la forme 80.00:30:00. La première valeur D peut être supprimée si elle est égale à zéro ; 90 minutes deviennent alors 00:90:00.

Référence d’API REST

Vous pouvez configurer des stratégies de durée de vie des jetons et les affecter aux applications au moyen de Microsoft Graph. Pour plus d’informations, consultez le tokenLifetimePolicy type de ressource et ses méthodes associées.

Référence des applets de commande

Il s’agit des applets de commande du Kit de développement logiciel (SDK) Microsoft Graph PowerShell.

Gérer les stratégies

Vous pouvez utiliser les commandes suivantes pour gérer les stratégies.

Applet de commande Description
New-MgPolicyTokenLifetimePolicy Permet de créer une stratégie.
Get-MgPolicyTokenLifetimePolicy Obtient toutes les stratégies de durée de vie des jetons ou une stratégie spécifiée.
Update-MgPolicyTokenLifetimePolicy Met à jour une stratégie existante.
Remove-MgPolicyTokenLifetimePolicy Supprime la stratégie spécifiée.

Stratégies d’application

Vous pouvez utiliser les applets de commande suivantes pour les stratégies d’application.

Applet de commande Description
New-MgApplicationTokenLifetimePolicyByRef Lie la stratégie spécifiée à une application.
Get-MgApplicationTokenLifetimePolicyByRef Permet d’obtenir les stratégies attribuées à une application.
Remove-MgApplicationTokenLifetimePolicyByRef Supprime une stratégie d’une application.

Étapes suivantes

Pour en savoir plus, consultez des exemples de configuration des durées de vie des jetons.