Tempos de vida de token configuráveis na plataforma de identidade da Microsoft (visualização)

Você pode especificar o tempo de vida de um token de acesso, ID ou SAML emitido pela plataforma de identidade da Microsoft. Você pode definir tempos de vida de token para todos os aplicativos em sua organização, para aplicativos multilocatários (várias organizações) ou para entidades de serviço. Atualmente, não oferecemos suporte à configuração dos tempos de vida do token para entidades de serviço de identidade gerenciadas.

No Microsoft Entra ID, um objeto de política representa um conjunto de regras que são impostas em aplicativos individuais ou em todos os aplicativos em uma organização. Cada tipo de política tem uma estrutura exclusiva, com um conjunto de propriedades que são aplicadas aos objetos aos quais são atribuídos.

Você pode designar uma política como a política padrão para sua organização. A política é aplicada a qualquer aplicativo na organização, desde que não seja substituída por uma política com prioridade mais alta. Você também pode atribuir uma política a aplicativos específicos. A ordem de prioridade varia consoante o tipo de política.

Para obter exemplos, leia exemplos de como configurar tempos de vida de token.

Nota

A política de tempo de vida do token configurável aplica-se apenas a clientes móveis e de área de trabalho que acessam recursos do SharePoint Online e do OneDrive for Business e não se aplica a sessões do navegador da Web. Para gerenciar o tempo de vida das sessões do navegador da Web para o SharePoint Online e o OneDrive for Business, use o recurso de tempo de vida da sessão de Acesso Condicional. Consulte o blog do SharePoint Online para saber mais sobre como configurar tempos limite de sessão ociosa.

Nota

Talvez você queira aumentar o tempo de vida do token para que um script seja executado por mais de uma hora. Muitas bibliotecas da Microsoft, como o SDK do PowerShell do Microsoft Graph, estendem a vida útil do token conforme necessário e você não precisa fazer alterações na política de token de acesso.

Requisitos de licença

A utilização desta funcionalidade necessita de uma licença do Microsoft Entra ID P1. Para encontrar a licença certa para seus requisitos, consulte Comparando recursos geralmente disponíveis das edições Free e Premium.

Os clientes com licenças do Microsoft 365 Business também têm acesso aos recursos de Acesso Condicional.

Políticas de tempo de vida do token para tokens de acesso, SAML e ID

Você pode definir políticas de tempo de vida de token para tokens de acesso, tokens SAML e tokens de ID.

Tokens de acesso

Os clientes usam tokens de acesso para acessar um recurso protegido. Um token de acesso só pode ser usado para uma combinação específica de usuário, cliente e recurso. Os tokens de acesso não podem ser revogados e são válidos até o seu vencimento. Um ator mal-intencionado que obteve um token de acesso pode usá-lo por toda a sua vida. Ajustar o tempo de vida de um token de acesso é uma compensação entre melhorar o desempenho do sistema e aumentar a quantidade de tempo que o cliente retém o acesso depois que a conta do usuário é desativada. O melhor desempenho do sistema é alcançado reduzindo o número de vezes que um cliente precisa adquirir um novo token de acesso.

O tempo de vida padrão de um token de acesso é variável. Quando emitido, o tempo de vida padrão de um token de acesso recebe um valor aleatório que varia entre 60 e 90 minutos (75 minutos em média). O tempo de vida padrão também varia dependendo do aplicativo cliente que solicita o token ou se o Acesso Condicional está habilitado no locatário. Para obter mais informações, consulte Tempo de vida do token de acesso.

Tokens SAML

Os tokens SAML são usados por muitos aplicativos SaaS baseados na Web e são obtidos usando o ponto de extremidade do protocolo SAML2 do Microsoft Entra ID. Eles também são consumidos por aplicativos que usam o WS-Federation. O tempo de vida padrão do token é de 1 hora. Da perspetiva de um aplicativo, o período de validade do token é especificado pelo valor NotOnOrAfter do <conditions …> elemento no token. Após o término do período de validade do token, o cliente deve iniciar uma nova solicitação de autenticação, que geralmente será satisfeita sem o login interativo como resultado do token de sessão de logon único (SSO).

O valor de NotOnOrAfter pode ser alterado usando o AccessTokenLifetime parâmetro em um TokenLifetimePolicyarquivo . Ele será definido para o tempo de vida configurado na política, se houver, mais um fator de distorção de relógio de cinco minutos.

A confirmação de assunto NotOnOrAfter especificada no <SubjectConfirmationData> elemento não é afetada pela configuração do Token Lifetime.

Tokens de ID

Os tokens de ID são passados para sites e clientes nativos. Os tokens de ID contêm informações de perfil sobre um usuário. Um token de ID está vinculado a uma combinação específica de usuário e cliente. Os tokens de identificação são considerados válidos até ao seu termo. Normalmente, um aplicativo Web corresponde ao tempo de vida da sessão de um usuário no aplicativo ao tempo de vida do token de ID emitido para o usuário. Você pode ajustar o tempo de vida de um token de ID para controlar com que frequência o aplicativo Web expira a sessão do aplicativo e com que frequência ele exige que o usuário seja autenticado novamente com a plataforma de identidade da Microsoft (silenciosa ou interativamente).

Políticas de tempo de vida de token para tokens de atualização e tokens de sessão

Não é possível definir políticas de tempo de vida de token para tokens de atualização e tokens de sessão. Para obter informações sobre tempo de vida, tempo limite e revogação sobre tokens de atualização, consulte Atualizar tokens.

Importante

A partir de 30 de janeiro de 2021, não é possível configurar os tempos de vida do token de atualização e sessão. O Microsoft Entra não respeita mais a atualização e a configuração de token de sessão nas políticas existentes. Novos tokens emitidos depois que os tokens existentes expiraram agora são definidos para a configuração padrão. Você ainda pode configurar os tempos de vida do token de acesso, SAML e ID após a desativação da atualização e da configuração do token de sessão.

O tempo de vida do token existente não será alterado. Depois que eles expirarem, um novo token será emitido com base no valor padrão.

Se você precisar continuar a definir o período de tempo antes que um usuário seja solicitado a entrar novamente, configure a frequência de entrada no Acesso Condicional. Para saber mais sobre o Acesso Condicional, leia Configurar o gerenciamento de sessão de autenticação com Acesso Condicional.

Propriedades de tempo de vida do token configuráveis

Uma política de tempo de vida de token é um tipo de objeto de política que contém regras de tempo de vida de token. Esta política controla por quanto tempo os tokens de acesso, SAML e ID para este recurso são considerados válidos. As políticas de tempo de vida do token não podem ser definidas para tokens de atualização e sessão. Se nenhuma política for definida, o sistema aplicará o valor padrão do tempo de vida.

Propriedades da política de tempo de vida do token Access, ID e SAML2

A redução da propriedade Access Token Lifetime reduz o risco de um token de acesso ou token de ID ser usado por um ator mal-intencionado por um longo período de tempo. (Esses tokens não podem ser revogados.) A contrapartida é que o desempenho é afetado negativamente, porque os tokens precisam ser substituídos com mais frequência.

Para obter um exemplo, consulte Criar uma política para login na Web.

A configuração do token Access, ID e SAML2 é afetada pelas seguintes propriedades e seus valores definidos, respectivamente:

  • Propriedade: Access Token Lifetime
  • Cadeia de propriedade Policy: AccessTokenLifetime
  • Afeta: Tokens de acesso, tokens de ID, tokens SAML2
  • Padrão:
    • Tokens de acesso: varia, dependendo do aplicativo cliente que solicita o token. Por exemplo, os clientes capazes de avaliação de acesso contínuo (CAE) que negociam sessões com reconhecimento de CAE verão uma vida útil de token de longa duração (até 28 horas).
    • Tokens de identificação, tokens SAML2: 1 hora
  • Mínimo: 10 minutos
  • Máximo: 1 dia

Propriedades da política de atualização e tempo de vida do token de sessão

A atualização e a configuração do token de sessão são afetadas pelas seguintes propriedades e seus valores definidos, respectivamente. Após a desativação da atualização e da configuração do token de sessão em 30 de janeiro de 2021, o ID do Microsoft Entra honrará apenas os valores padrão descritos abaixo. Se você decidir não usar o Acesso Condicional para gerenciar a frequência de entrada, seus tokens de atualização e sessão serão definidos para a configuração padrão nessa data e você não poderá mais alterar seus tempos de vida.

Property Cadeia de caracteres da propriedade Policy Afetos Predefinido
Atualizar o Token Tempo Inativo Máximo MaxInactiveTime Atualizar tokens 90 dias
Token de atualização de fator único Idade máxima MaxAgeSingleFactor Atualizar tokens (para qualquer usuário) Até que seja revogado
Multi-Factor Refresh Token Idade Máxima MaxAgeMultiFactor Atualizar tokens (para qualquer usuário) Até que seja revogado
Token de sessão de fator único Idade máxima MaxAgeSessionSingleFactor Tokens de sessão (persistentes e não persistentes) Até que seja revogado
Token de sessão multifator Idade máxima MaxAgeSessionMultiFactor Tokens de sessão (persistentes e não persistentes) Até que seja revogado

Os tokens de sessão não persistentes têm um Tempo Inativo Máximo de 24 horas, enquanto os tokens de sessão persistentes têm um Tempo Inativo Máximo de 90 dias. Sempre que o token de sessão SSO é usado dentro de seu período de validade, o período de validade é estendido por mais 24 horas ou 90 dias. Se o token de sessão SSO não for usado dentro do período de tempo máximo inativo, ele será considerado expirado e não será mais aceito. Quaisquer alterações a este período predefinido devem ser alteradas utilizando o Acesso Condicional.

Você pode usar o PowerShell para localizar as políticas que serão afetadas pela desativação. Use os cmdlets do PowerShell para ver todas as políticas criadas em sua organização ou para localizar quais aplicativos estão vinculados a uma política específica.

Avaliação e atribuição de prioridades a políticas

Você pode criar e, em seguida, atribuir uma política de tempo de vida do token a um aplicativo específico e à sua organização. Várias políticas podem se aplicar a um aplicativo específico. A política de tempo de vida do token que entra em vigor segue estas regras:

  • Se uma política for atribuída explicitamente à organização, ela será imposta.
  • Se nenhuma política for atribuída explicitamente à organização, a política atribuída ao aplicativo será imposta.
  • Se nenhuma política tiver sido atribuída à organização ou ao objeto do aplicativo, os valores padrão serão impostos. (Veja a tabela em Propriedades de tempo de vida do token configuráveis.)

A validade de um token é avaliada no momento em que o token é usado. A política com a prioridade mais alta no aplicativo que está sendo acessado entra em vigor.

Todos os intervalos de tempo usados aqui são formatados de acordo com o objeto TimeSpan C# - D.HH:MM:SS. Assim, 80 dias e 30 minutos seriam 80.00:30:00. O D à esquerda pode ser descartado se zero, então 90 minutos seriam 00:90:00.

Referência da API REST

Você pode configurar políticas de tempo de vida do token e atribuí-las a aplicativos usando o Microsoft Graph. Para obter mais informações, consulte o tipo de tokenLifetimePolicy recurso e seus métodos associados.

Referência do cmdlet

Estes são os cmdlets no SDK do Microsoft Graph PowerShell.

Gerenciar políticas

Você pode usar os seguintes comandos para gerenciar políticas.

Cmdlet Description
New-MgPolicyTokenLifetimePolicy Cria uma nova política.
Get-MgPolicyTokenLifetimePolicy Obtém todas as políticas de tempo de vida do token ou uma política especificada.
Update-MgPolicyTokenLifetimePolicy Atualiza uma política existente.
Remove-MgPolicyTokenLifetimePolicy Exclui a política especificada.

Políticas da aplicação

Você pode usar os cmdlets a seguir para políticas de aplicativo.

Cmdlet Description
New-MgApplicationTokenLifetimePolicyByRef Vincula a política especificada a um aplicativo.
Get-MgApplicationTokenLifetimePolicyByRef Obtém as políticas atribuídas a um aplicativo.
Remove-MgApplicationTokenLifetimePolicyByRef Remove uma política de um aplicativo.

Próximos passos

Para saber mais, leia exemplos de como configurar tempos de vida de token.