Hybrid Join であれば、『ユーザーが組織の認証情報を使ってサインインするとき、Windows ログオンの間に発行されます。』ということのなので、ユーザーがデバイス(Windows)にサインインできれば自動的に取得され、『Windows サインイン中、CloudAP プラグインは 4 時間ごとに PRT を更新します』ということなので、Windows へのサインインができれば勝手に更新される動作ですね。
Windows Hello for Businessで使用されるPRTトークンの仕様について
今回はWindows Hello for Businessで使用されるPRTトークンの仕様について質問させて頂きます。
■環境
現在、現環境にWindows Hello for Businessの導入を検討しております。展開の方式としてはHybrid Joinをした構成で、認証方法としてはクラウドKerberos認証を用いた認証方法を検討しております。
■前提
前提としまして下記に記載の公開情報によるとWindows Hello for Businessで利用されるトークンはPRTトークンというものが利用されていて、PRTトークンの有効期間は14日間と認識しております。
■質問
質問事項としてはPRTトークンは毎日ネットに接続されていれば自動で更新される認識なのですが、休職や共有PCなどしばらく使用していない状態が続いた場合は仕様上トークンは更新されないという認識であってますでしょうか。
また上記の理解であっている場合、PRTトークンを更新するにはPINや生体認証などは使用できずにパスコードでWIndowsにサインインしてインターネットに接続する必要はあるのか併せてご教示頂きたいです。
※https://learn.microsoft.com/ja-jp/windows/security/identity-protection/hello-for-business/how-it-works#primary-refresh-token ※https://jpazureid.github.io/blog/azure-active-directory/token-lifetime-2023/
以上になります。よろしくお願いします。
-
-
Yanhong Liu 13,665 評価のポイント Microsoft ベンダー
2024-11-12T07:15:12.62+00:00 こんにちは、
PRTトークンは、デバイスがインターネットに接続されている場合、自動的に更新されます。ただし、デバイスが長期間非アクティブな場合、ユーザーはパスワードでサインインしてインターネットに接続して、PRTを手動で更新する必要があります。これにより、トークンが更新され、SSO 機能がそのまま維持されます。
上記の問題の詳細については、スレッドを参照してください。https://learn.microsoft.com/en-us/answers/questions/2117940/about-the-specification-of-prt-token-used-in-windo?page=0&orderby=Helpful#answers
よろしくお願いいたします
ヤンホン
=====================================
回答が役に立った場合は、「回答を受け入れる」をクリックして賛成票を投じてください
-
チャブーン 1,706 評価のポイント MVP
2024-11-12T10:59:09.6433333+00:00 チャブーンです。
この件ですが、仕様の質問をされていますが、Hebikuzureさんの方でも回答されていますが、
- PRTトークンの有効期限そのものを制御する方法はない
- 接続環境変更等で条件付きアクセスで再評価がいる場合、その条件をWindowsで検出してPRTトークンを再発行する方針になっている(PRTトークン有無で再評価するわけではない)
- なのでPRTトークンを積極的にRevokeするデザインにはなっていない
ということではないでしょうか?
ところで、繰り返しこの質問をされる、背景は何かあるのでしょうか?それが分かると、回答者の方でも、より適切なコメントが出せるように思います。
ただし「更新されないPRTをセキュリティ的に放置したくないので、実質管理者側で無効にしたい」ということであれば、直接の対応方法はない、ということになります。どうしても似たことがしたい、という場合は、以下の3択になるでしょう。
- ユーザーのパスワードを強制的に変更する
- ユーザーアカウントを無効化する
- デバイス(コンピューターアカウント)を無効化する
ユーザー・デバイスの無効化ですが、管理者側で(PRT経過後に)有効に戻すことができます。質問者さんの環境ではオンプレミスActive Directory側で、無効|有効の設定をしてあげないと、オンプレ側設定で元に戻されてしまうので、注意してください。