当Azure应用服务启用身份提供程序时，默认情况下将请求以下权限openid、配置文件和电子邮件。
但当用户实际批准offline_access时，范围是指当您的应用接收刷新令牌并在旧令牌过期时提供新访问令牌时，您的应用可以延长令牌的生命周期。

因此，需要在门户中显式设置offline_access作用域，或者通过资源图https://resources.azure.com/，***subscriptions >your subscription> > resourceGroups > <your resource group name> > providers > Microsoft.Web > sites > <app_name> > config > authsettingsV2..***中的authsettingsv2，并在作用域列表中添加offline_access。

identityProviders": {
  "azureActiveDirectory": {
    "login": {
      "loginParameters": ["scope=openid profile email offline_access"]
    }
  }
}

要刷新访问令牌，请随时在应用中调用/.auth/refresh。当身份验证会话在约8小时后到期时，将有长达72小时的宽限期来刷新它。因此，当令牌失效时调用/. auth/refresh，以便用户无需每次跟踪，直到72小时完成且会话令牌到期。72小时后，用户需要再次进行身份验证。
即使是此宽限期，如果需要也可以延长到一些（短值），主要使用Azure cli。请在AuthN/AuthZ-Azure应用服务中检查此OAuth令牌|微软学习

az webapp auth update --resource-group <group_name> --name <app_name> --token-refresh-extension-hours <hours>

我没有扩展值，可以从下面的命令中看到

az webapp auth show --resource-group <group_name> --name <app_name> --token-refresh-extension-hours <hours>