Azure AD B2C首次使用临时密码登录奇怪行为

我们有针对本地帐户的Azure AD B2C登录策略
当我们使用临时密码和标志

ForceChangePasswordNextLogin=true通过Graph API创建新用户时

这样的用户第一次尝试在浏览器中登录，之前在url上发布过任何其他会话-我们有下一个奇怪的行为：

用户填写电子邮件和临时密码，提交表单

Microsoft提示更改密码，并显示消息-“更新您的密码” 您需要更新密码，因为这是您第一次登录，或者您的密码已过期。“

用户输入当前临时密码、新密码、确认新密码并提交表单

有时chrome会显示空页面，并显示消息“Bad Request”，有时用户会重定向回登录页面，并显示消息“出于安全原因，再次登录”

用户再次输入电子邮件和临时密码，提交表单

Microsoft再次使用与步骤2相同的消息强制用户更改密码，但现在如果用户在“当前密码”字段中输入临时密码，Microsoft将不接受该密码并显示密码不正确的错误。而不是，用户应该输入他在步骤#3中提供的新密码，并将其更改为全新密码

有时用户会被重定向到返回带有访问令牌的url，有时会再次重复步骤4-6 如果从Azure AD检查审核日志，它将如下所示：

---

这不会在新打开的匿名页面中复制

这是使用哪种类型的策略执行的？@chrispadget，本地帐户登录策略