在条件访问中启用基于时间的限制

自 Windows 2000 服务器以来，通过使用 Active Directory 架构中的登录时间属性，限制用户对域绑定系统的访问一直是 Active Directory 的一项功能。

多年来，这一点没有太大变化，它提供了一个简单的功能，而如果用户尝试在允许的时间之外登录其系统，他们将被拒绝。

看看现在的 Microsoft Entra，一些专业人士抱怨这两个名称相似的服务之间缺乏功能对等，而另一些人则热情地拥抱现代工作身份和访问方法。从根本上讲，本地和基于云的身份解决方案在同一前提下工作，以提供身份和访问管理服务，但它们的执行方式却截然不同，并且有充分的理由这样做。

遗憾的是，迄今为止，Microsoft Entra（以前称为 Azure Active Directory）中还没有类似的基于时间的访问控制解决方案。话虽这么说，在 Microsoft Entra 中实现类似控制的可能性是一个好主意，提供改变时区的挑战和简单的规避技术对于微软来说解决起来并不是太麻烦。在这篇文章中，我探讨了一些发现，这些发现使我相信某些事情可能正在发生变化。

通过条件访问识别潜在的基于时间的限制

目前，微软还没有宣布，甚至没有透露他们正在研究条件访问中的时基限制，这都是围绕公开信息的猜测。

很明显，通过 Microsoft Entra 管理中心的条件访问向导，不存在根据时间/日期控制访问的此类设置，但如果我们检查 Microsoft Graph 会怎样？

好吧，通过向 Beta 端点发出一个简单的 GET 请求来获取我的条件访问策略 (https://graph.microsoft.com/beta/policies/conditionalAccessPolicies)，我们可以看到返回一个名为 次。

当然，这并不算什么。在 Twitter 和 Reddit 等社交媒体论坛上提出一些问题只会引发人们对如何与该属性交互以及它的用途的进一步猜测，因为即使它仅出现在 beta 端点上，但它仍然会被公开返回。我提到这一点是因为，尽管在大多数情况下为了避免无法解释的错误，建议使用 Microsoft Graph 的 GA 版本 (v1.0)，但在许多 Microsoft 文档和建议中，仍然使用/需要 beta 端点，这提出了以下问题：为什么要返回这些信息？

如果您尚未使用它，请按照我的如何使用 Microsoft Graph Explorer 工具指南进行操作。对于任何 PowerShell 用户来说，这都是一个很棒的工具，可以帮助您查找权限、查找代码示例和编写脚本！

条件访问中可能的时间设置

识别 Microsoft Graph 对条件访问策略的响应中的详细信息的另一种方法是通过 Chromium Web 浏览器（例如 Edge 或 Google Chrome）中的开发人员工具。我在博客文章中详细介绍了这一点：如何将 Invoke-MgGraphRequest 与 PowerShell 结合使用。

总而言之，您可以使用这些 Web 浏览器中内置的检查网络工具功能在通过门户进行更改时查看 Microsoft Graph 响应和负载。然后，您下次可以使用此信息以编程方式进行相同的更改。

具体来说，在创建新的条件访问策略时，单击“保存”并等待出现更改请求后，我注意到发生了先前的验证请求：

查看此请求的有效负载后，您可以看到它如何解析模板/示例数据以进行验证，在本例中，是时基条件的数据和格式：

此数据采用正确格式的 JSON，如下所示。记下一些重要值，例如日期范围、daysOfWeek、startTime 和 endTime、timezoneID