Token dostępu w Microsoft 365 wygasa domyślnie po 1 godzinie (lub do 28 godzin w sesjach Continuous Access Evaluation), po czym klient automatycznie próbuje go odnowić za pomocą tokenu odświeżania. Jeśli jednak polityka Conditional Access (dostępu warunkowego) wykryje zmianę warunków — np. nową lokalizację IP, niespełnienie wymogu MFA, wyłączone konto lub podwyższone ryzyko użytkownika — odnowienie zostaje odrzucone, a użytkownik widzi komunikat o wygaśnięciu tokenu i musi przejść ponowne uwierzytelnienie.
W skrócie
- Co to jest token? Krótkotrwały klucz OAuth 2.0 wydawany przez Microsoft Entra ID po zalogowaniu — ważny domyślnie 60 minut.
- Dlaczego wygasa? Upływ czasu życia tokenu, zmiana hasła, wyłączenie konta, zmiana lokalizacji IP wykryta przez Continuous Access Evaluation, lub decyzja polityki Conditional Access.
- Jak odnowić? Wyloguj się i zaloguj ponownie (F5 nie wystarczy); użyj trybu incognito; sprawdź zgodność urządzenia z Intune; zweryfikuj MFA.
- Gdzie sprawdzić polityki? portal.azure.com → Microsoft Entra ID → Conditional Access → Policies.
- Co z tokenem odświeżania? Ważny 90 dni (lub 24h dla SPA), może zostać unieważniony przez administratora lub zdarzenie krytyczne.
Szybki dostęp
Cel Adres Centrum administracyjne Entra ID (Conditional Access) entra.microsoft.com Przegląd aktywnych sesji i wylogowanie globalne mysignins.microsoft.com Konfiguracja MFA aka.ms/mfasetup Reset hasła (samoobsługowy) passwordreset.microsoftonline.com Status urządzenia w Intune intune.microsoft.com Diagnostyka Conditional Access (what-if) portal.azure.com/#view/Microsoft_AAD_ConditionalAccess/ConditionalAccessBlade/~/WhatIf
Jak działa token w Microsoft 365 i dlaczego wygasa
Gdy logujesz się do aplikacji Microsoft 365 (Outlook, Teams, SharePoint, OneDrive), Microsoft Entra ID (dawniej Azure AD) przeprowadza uwierzytelnianie i autoryzację. Po pozytywnej weryfikacji wydaje dwa rodzaje artefaktów:
- Access token (token dostępu) — krótkotrwały bilet (domyślnie 1 godzina), którym klient legitymuje się przy każdym żądaniu API do zasobu (np. Exchange Online). Nie zawiera danych użytkownika, jest cyfrowo podpisany i zaszyfrowany.
- Refresh token (token odświeżania) — wydawany równolegle, ważny 90 dni dla aplikacji natywnych i webowych (klienci poufni) lub 24 godziny dla aplikacji typu single-page application (SPA). Służy do bezgłośnego uzyskania nowego access tokenu, gdy poprzedni wygaśnie.
W normalnym przepływie użytkownik nie zauważa, że token wygasł — klient (np. Outlook) automatycznie wymienia refresh token na nowy access token bez konieczności ponownego wpisywania hasła. Problem pojawia się, gdy serwer odmawia wydania nowego tokenu.
Najczęstsze przyczyny odrzucenia odnowienia
| Przyczyna | Mechanizm | Co widzi użytkownik |
|---|---|---|
| Zmiana hasła przez użytkownika lub admina | Refresh token unieważniany natychmiast | "Twoje hasło wygasło" / wylogowanie |
| Wyłączenie konta w Entra ID | Unieważnienie wszystkich tokenów + blokada nowych logowań | "Nie można zalogować — konto wyłączone" |
| Zmiana lokalizacji IP (poza trusted IP) | Continuous Access Evaluation — natychmiastowe odrzucenie przez resource provider (Exchange/SharePoint/Teams) | "Token wygasł" lub monit o ponowne MFA |
| Niespełniony wymóg MFA w polityce CA | Przy próbie odnowienia Entra ID wymaga drugiego składnika | Monit Microsoft Authenticator |
| Urządzenie bez zgodności Intune | Polityka CA wymaga compliant device | "Nie można uzyskać dostępu z tego urządzenia" |
| Wykryte ryzyko użytkownika (Identity Protection) | Sygnał z Entra ID Protection — refresh token odrzucony | Blokada logowania lub wymóg resetu hasła |
| Administrator jawnie unieważnił sesję | Revoke-MgUserSignInSession w PowerShell | Natychmiastowe wylogowanie ze wszystkich sesji |
Conditional Access a blokada tokenu — co się dzieje krok po kroku
Polityki Conditional Access to silnik Zero Trust Microsoftu. Działają według schematu: jeśli (warunek) → to (akcja). Warunki obejmują użytkownika/grupę, lokalizację IP, platformę urządzenia, aplikację docelową i poziom ryzyka logowania. Akcje to m.in. wymuszenie MFA, blokada dostępu lub wymóg zgodności urządzenia.
Oto szczegółowy przebieg, gdy CA blokuje odnowienie tokenu:
- Klient próbuje odnowić access token — wysyła refresh token do Entra ID.
- Entra ID ocenia polityki CA przypisane do użytkownika i aplikacji.
- Jeśli warunek nie jest spełniony (np. użytkownik zmienił sieć i nowy IP jest spoza listy Named Locations), Entra ID odrzuca żądanie z kodem błędu.
- W przypadku klientów ze wsparciem Continuous Access Evaluation (CAE) — Outlook, Teams, SharePoint, Office Win32/Mac/iOS/Android — resource provider (np. Exchange Online) sam wykrywa zmianę lokalizacji i odrzuca aktualny token jeszcze przed jego wygaśnięciem, wysyłając claim challenge do klienta.
- Klient otrzymuje
401 Unauthorizedz nagłówkiem claims challenge i przerywa bieżącą sesję, informując użytkownika o konieczności ponownego zalogowania. - Użytkownik widzi komunikat typu "Token wygasł", "Twoja sesja wygasła" lub "Wystąpił problem z kontem — zaloguj się ponownie".
CAE działa w czasie zbliżonym do rzeczywistego dla zdarzeń krytycznych (wyłączenie konta, zmiana hasła, unieważnienie tokenów, wysokie ryzyko użytkownika) — opóźnienie wynosi maksymalnie 15 minut ze względu na propagację zdarzeń, natomiast egzekwowanie polityk IP jest natychmiastowe.
Jak odnowić dostęp — praktyczne kroki
1. Wyloguj się całkowicie i zaloguj ponownie
Odświeżenie przeglądarki (F5) nie wystarczy — nie usuwa ciasteczek sesyjnych ani cache'owanych tokenów. Wykonaj pełne wylogowanie:
- Kliknij awatar w prawym górnym rogu aplikacji Microsoft 365 → Wyloguj się.
- Alternatywnie przejdź do mysignins.microsoft.com i wybierz Wyloguj się wszędzie — ta opcja unieważnia wszystkie aktywne sesje na wszystkich urządzeniach.
- Otwórz nowe okno InPrivate / Incognito (Ctrl+Shift+N w Edge/Chrome, Ctrl+Shift+P w Firefox) i zaloguj się ponownie na office.com lub bezpośrednio w aplikacji.
2. Sprawdź, czy przechodzisz MFA
Jeśli Twoja organizacja wymaga uwierzytelniania wieloskładnikowego, a Ty nie masz skonfigurowanej drugiej metody — odnowienie tokenu zostanie odrzucone. Zweryfikuj w aka.ms/mfasetup:
- Czy Microsoft Authenticator jest zainstalowany i zsynchronizowany (zegar urządzenia musi być dokładny — błąd >30 sekund blokuje kody TOTP).
- Czy numer telefonu do SMS-ów jest aktualny.
- Czy posiadasz kod zapasowy (10-cyfrowy, generowany przy pierwszej konfiguracji MFA) — użyj go jako fallback.
3. Zweryfikuj zgodność urządzenia z Intune
Polityka CA może wymagać, aby urządzenie było oznaczone jako compliant w Microsoft Intune. Sprawdź status:
- Windows 11: Ustawienia → Konto → Dostęp służbowy → kliknij swoją organizację → Informacje.
- Aplikacja Portal firmy (Company Portal): sprawdź, czy urządzenie jest zgodne — jeśli nie, kliknij Sprawdź zgodność.
- macOS: Apple Menu → Ustawienia systemowe → Prywatność i bezpieczeństwo → Profile.
4. Uruchom diagnostykę "What If" (administrator)
Jeśli jesteś administratorem lub masz kontakt z IT, narzędzie Conditional Access What If w portalu Entra pozwala zasymulować logowanie i zobaczyć, która konkretnie polityka zablokowała dostęp:
- portal.azure.com → Microsoft Entra ID → Conditional Access → What If
- Wybierz użytkownika, aplikację, adres IP i platformę — system pokaże listę polityk CA, które zostałyby zastosowane.
5. Dla administratorów — wymuś unieważnienie i wystawienie nowego tokenu
Jeśli problem dotyczy konkretnego użytkownika, administrator może wymusić unieważnienie wszystkich refresh tokenów przez PowerShell:
Connect-MgGraph -Scopes "User.ReadWrite.All"
Revoke-MgUserSignInSession -UserId "uzytkownik@domena.pl"
Po wykonaniu tej komendy użytkownik zostanie wylogowany ze wszystkich sesji w ciągu kilku minut, a kolejne logowanie wygeneruje zupełnie nową parę tokenów.
Różnice w czasie życia tokenów — tabela referencyjna
| Scenariusz | Czas życia access tokenu | Czas życia refresh tokenu | Uwagi |
|---|---|---|---|
| Domyślny (bez CAE) | 1 godzina | 90 dni (klient poufny) | Możliwa konfiguracja CTL |
| SPA (single-page app) | 1 godzina | 24 godziny | Po 24h wymagana interaktywna reautoryzacja |
| Sesja Continuous Access Evaluation (CAE) | Do 28 godzin | Do 28 godzin | Odwołanie przez zdarzenie krytyczne, nie przez czas |
| CAE z niezgodną lokalizacją IP | 1 godzina (fallback) | — | Entra ID wydaje token 1h zamiast CAE long-lived |
| Token w aplikacji mobilnej Outlook/iOS/Android | 1 godzina (standard) lub CAE | 90 dni | CAE wspierane w najnowszych wersjach |
Częste pytania
Czy mogę samodzielnie przedłużyć ważność tokenu?
Nie — czas życia tokenów jest kontrolowany wyłącznie przez Microsoft Entra ID. Użytkownik ani administrator nie mogą ręcznie przedłużyć ważności pojedynczego access tokenu. Administrator może skonfigurować Configurable Token Lifetime (CTL), ale Microsoft zaleca przejście na Continuous Access Evaluation zamiast ręcznego ustawiania długich czasów życia tokenów — CAE zapewnia sesje do 28 godzin przy jednoczesnym zachowaniu natychmiastowej reakcji na incydenty bezpieczeństwa.
Dlaczego token wygasł, mimo że dopiero się zalogowałem?
Najczęstsza przyczyna to Continuous Access Evaluation w akcji — zmieniłeś sieć (np. przełączyłeś się z Wi-Fi firmowego na domowe, albo włączyłeś VPN), a polityka Conditional Access ogranicza dostęp do konkretnych zakresów IP. Resource provider (Exchange, SharePoint) natychmiast odrzuca token, zanim ten zdąży wygasnąć czasowo. Drugą częstą przyczyną jest równoczesna zmiana polityki CA przez administratora — nowe reguły mogą zacząć obowiązywać przy najbliższej próbie odnowienia.
Co zrobić, gdy token wygasł na telefonie (Outlook/Teams mobile)?
Zamknij aplikację całkowicie (wymuś zamknięcie przez menu systemowe, nie tylko zminimalizuj), a następnie uruchom ją ponownie. Jeśli to nie pomoże, usuń konto z aplikacji (Outlook → Ustawienia → konto → Usuń konto) i dodaj je ponownie. W przypadku Androida warto też wyczyścić pamięć podręczną aplikacji (Ustawienia → Aplikacje → Outlook → Pamięć → Wyczyść pamięć podręczną). Upewnij się też, że Microsoft Authenticator na tym samym urządzeniu jest zalogowany i ma włączone powiadomienia push.
Jak sprawdzić, która polityka Conditional Access zablokowała mój dostęp?
Jeśli nie jesteś administratorem, skontaktuj się z działem IT — polityki CA są widoczne tylko w centrum administracyjnym Entra ID. Administrator może sprawdzić dzienniki logowania: entra.microsoft.com → Identity → Monitoring & health → Sign-in logs — znajdź nieudane logowanie i kliknij zakładkę Conditional Access, aby zobaczyć nazwę polityki, która zablokowała dostęp, oraz szczegółowy powód (np. "device not compliant", "MFA required but not satisfied").
Czy wygaśnięcie licencji Microsoft 365 powoduje wygaśnięcie tokenów?
Tak — pośrednio. Gdy licencja Microsoft 365 wygasa lub zostaje odebrana, usługi (Exchange, Teams, SharePoint) przestają być dostępne, ale same tokeny nie są automatycznie unieważniane. Użytkownik może nadal mieć ważny token, który zostanie odrzucony przez resource provider przy próbie dostępu do zasobu. Po 30-dniowym okresie prolongaty (grace period) konto wchodzi w stan disabled, co skutkuje natychmiastowym unieważnieniem wszystkich tokenów.
Czy tryb incognito omija Conditional Access?
Nie. Tryb incognito/InPrivate zapobiega jedynie użyciu zbuforowanych ciasteczek i tokenów z poprzedniej sesji w przeglądarce, co rozwiązuje problem nieaktualnych danych sesyjnych. Nie ma jednak wpływu na polityki Conditional Access — Entra ID nadal ocenia lokalizację IP, stan urządzenia, wymagania MFA i poziom ryzyka dokładnie tak samo jak w zwykłym oknie przeglądarki. Incognito pomaga tylko wtedy, gdy problemem był technicznie "zabrudzony" cache przeglądarki.
Jakie licencje są potrzebne do pełnego wdrożenia Conditional Access?
Conditional Access wymaga co najmniej licencji Microsoft Entra ID P1 (zawartej m.in. w Microsoft 365 Business Premium, Enterprise Mobility + Security E3, Microsoft 365 E3). Polityki oparte na ryzyku (sign-in risk, user risk) wymagają Entra ID P2 (m.in. Microsoft 365 E5). Bez tych licencji dostępne są jedynie Security Defaults — podstawowy zestaw reguł (m.in. obowiązkowe MFA dla wszystkich użytkowników i blokada starszych protokołów), które nie dają granularnej kontroli nad tokenami i warunkami dostępu.
Potrzebujesz licencji Microsoft 365 z pełnym Conditional Access?
Wiele zaawansowanych funkcji związanych z zarządzaniem tokenami — w tym Conditional Access, Continuous Access Evaluation, Identity Protection i Intune — wymaga odpowiedniego poziomu licencjonowania. Jeśli Twoja organizacja potrzebuje granularnej kontroli dostępu i automatycznego odnowienia tokenów w bezpiecznym środowisku, sprawdź legalne licencje Microsoft 365 w KluczeSoft — niezależnym dostawcy niewiązanym z Microsoft Corporation.
→ Microsoft 365 Business Premium — Conditional Access + Intune w pakiecie → Microsoft 365 E3 — zaawansowane bezpieczeństwo dla średnich i dużych firm