AzureAD MaxAgeSessionMultiFactor не работает

Question

Мы используем Настраиваемое время жизни токенов в Azure Active Directory , чтобы изменить максимальный срок сеанса для многофакторных сценариев.Хотя я обновил политику с помощью приведенной ниже команды и подтвердил, что время жизни маркера доступа изменилось с 60 минут до 30 минут по умолчанию, оно не изменилось до 10 минут, как указано в политике ниже.Я также подтвердил, что это стандартная политика организации.

Set-AzureADPolicy -Id <OBJECT ID> -DisplayName "OrganizationDefaultPolicyUpdatedScenario" -Definition @('{"TokenLifetimePolicy":{"Version":1,"AccessTokenLifetime":"00:30:00","MaxAgeMultiFactor":"00:11:00","MaxAgeSessionMultiFactor":"00:10:00"}}')

Я проверил токен JWT и подтвердил, что exp составляет 30 минут, поэтому AccessTokenLifetime реализован, но я использую Outlook для тестирования и подтверждения MFA.Утверждение amr - "pwd, mfa".

Косвенно я думаю, что тайм-аут MaxAgeMultiFactor работает, но тайм-аут сеанса длиннее, поэтому трудно сказать.

Почему не MaxAgeSessionMultiFactor в10 минут (минимум) работает?

Что я делаю не так?

---

Полная политика:

class Policy
{
    Id = 2a094bfe-d74e-4d55-906f-7cef8e54746b
    OdataType =
    AlternativeIdentifier =
    Definition =
    [
        {
            "TokenLifetimePolicy":    
            {
                "Version":1,
                "AccessTokenLifetime":"00:30:00",
                "MaxAgeMultiFactor":"00:11:00",
                "MaxAgeSessionMultiFactor":"00:10:00"
            }
        }
    ]
    DisplayName = OrganizationDefaultPolicyUpdatedScenario
    IsOrganizationDefault = True
    KeyCredentials =
    [
    ]
    Type = TokenLifetimePolicy
}

Answer 1

Как правило, после получения токена доступа Azure AD проверяет только токен обновления во время обновления.Если срок действия маркера обновления также истек, то Azure AD заставит пользователя выполнить новую аутентификацию и проверит, требуется ли MFA.Если требуется MFA, Azure AD проверит, существует ли файл cookie MFA, файл cookie MFA действителен или нет и т. Д.

Я вижу, что вы изменили только время жизни маркера доступа и время жизни MFA.Таким образом, если время жизни MaxAgeSessionSingleFactor (токена обновления) меньше, чем MaxAgeSessionMultiFactor, пользователь не будет затронут или не будет запрошен для MFA.Также однофакторная аутентификация считается менее безопасной, чем многофакторная аутентификация, поэтому рекомендуется установить для свойства MaxAgeSessionSingleFactor значение, равное или меньшее, чем свойство Max Age для многофакторного обновления токена обновления (MaxAgeSessionMultiFactor).

* 1004С учетом вышесказанного, эта функция устарела, как описано в статье, которую вы читаете.Поэтому мы не рекомендуем использовать эту функцию в новых средах.

"После получения отзывов от клиентов во время предварительного просмотра мы планируем заменить эту функцию новой функцией в условном доступе Azure Active Directory. После появления новой функцииПосле завершения периода уведомления эта функциональность будет устарела. Если вы используете политику Configurable Token Lifetime, будьте готовы перейти к новой функции условного доступа, как только она станет доступной ».из статьи .