我们正在使用Configurable token lifetimes in Azure Active Directory来更改多因素方案的最大会话年龄。虽然我使用下面的命令更新了策略,并确认访问令牌的生存期从默认的60分钟更改为30分钟,但并未更改为10分钟(如策略所示)。我还确认这是默认的组织政策。
Set-AzureADPolicy -Id <OBJECT ID> -DisplayName "OrganizationDefaultPolicyUpdatedScenario" -Definition @('{"TokenLifetimePolicy":{"Version":1,"AccessTokenLifetime":"00:30:00","MaxAgeMultiFactor":"00:11:00","MaxAgeSessionMultiFactor":"00:10:00"}}')
我已经检查了JWT令牌,并确认exp是30分钟,因此实现了AccessTokenLifetime,但是我正在使用Outlook测试和确认MFA。 Amr声称是“ pwd,mfa”。
间接地,我认为MaxAgeMultiFactor超时有效,但是会话超时时间较长,因此很难分辨。
为什么MaxAgeSessionMultiFactor至少在10分钟后不能正常工作?
我在做什么错了?
完整的政策:
class Policy
{
Id = 2a094bfe-d74e-4d55-906f-7cef8e54746b
OdataType =
AlternativeIdentifier =
Definition =
[
{
"TokenLifetimePolicy":
{
"Version":1,
"AccessTokenLifetime":"00:30:00",
"MaxAgeMultiFactor":"00:11:00",
"MaxAgeSessionMultiFactor":"00:10:00"
}
}
]
DisplayName = OrganizationDefaultPolicyUpdatedScenario
IsOrganizationDefault = True
KeyCredentials =
[
]
Type = TokenLifetimePolicy
}
答案 0 :(得分:0)
通常,一旦获得访问令牌,Azure AD将仅在续订时检查刷新令牌。如果刷新令牌也已过期,则Azure AD将强制用户进行新的身份验证,并检查是否需要MFA。如果需要MFA,Azure AD将查看MFA cookie是否存在,MFA cookie是否有效等。
我看到您仅修改了访问令牌生存期和MFA生存期。因此,除非您的MaxAgeSessionSingleFactor生存期(刷新令牌)少于MaxAgeSessionMultiFactor,否则不会影响或提示用户进行MFA。同样,单因素身份验证不如多因素身份验证安全,我们建议您将MaxAgeSessionSingleFactor属性设置为等于或小于“多重刷新令牌最大期限”属性(MaxAgeSessionMultiFactor)的值。
话虽如此,该功能已被弃用,如您关注的文章所述。因此,我们不建议在新环境中使用此功能。
”在预览过程中听取客户的意见后,我们计划将该功能替换为Azure Active Directory条件访问中的一项新功能。一旦完成新功能,该功能将在通知期后最终被弃用。您使用可配置令牌生存时间策略,请准备好在可用的新条件转换到新的条件访问功能。”来自article。