Forbedringer af sikkerheden: Brugersessions- og adgangsstyring

  • Artikel

Du kan bruge sikkerhedsforbedringer til at forbedre sikkerheden i kundeengagementsapps (Dynamics 365 Sales, Dynamics 365 Customer Service, Dynamics 365 Field Service, Dynamics 365 Marketing og Dynamics 365 Project Service Automation).

Styring af timeout for brugersession

Den maksimale brugersessionstimeout på 24 timer fjernes. Det betyder, at en bruger ikke tvinges til at logge på med sine legitimationsoplysninger for at bruge kundeengagementsapps og andre Microsoft-serviceapps som Outlook, der blev åbnet i samme browsersession med 24 timers mellemrum.

Imødekomme Microsoft Entra-sessionspolitik

Som standard benytter kundeengagementsapps Microsoft Entra sessionspolitik til at administrere brugersessionstimeout. Kundeengagementsapps bruger Microsoft Entra id-token med et krav om politikkontrolinterval. Hver time hentes et nyt Microsoft Entra ID-token i baggrunden, og Microsoft Entra-politikken håndhæves øjeblikkeligt (af Microsoft Entra ID). Hvis en administrator f.eks. deaktiverer eller sletter en brugerkonto, forhindrer brugeren i at logge på, og en administrator eller bruger tilbagekalder opdaterings-token, vil Microsoft Entra-sessionspolitikken træde i kraft.

Denne opdateringscyklus for Microsoft Entra-id-token fortsætter i baggrunden på basis af konfigurationerne af Microsoft Entra-tokenets levetidspolitik. Brugerne kan fortsætte med at få adgang til kundeengagementsapps/Microsoft Dataverse-data uden behov for at blive godkendt igen, indtil politikken for Microsoft Entra-tokenets levetid udløber.

Bemærk

  • Standardopdaterings-token for Microsoft Entra udløber efter 90 dage. Denne egenskab for token-levetiden kan konfigureres. Du kan finde flere oplysninger under Konfigurerbare token-levetider i Microsoft Entra ID.
  • Microsoft Entra-sessionspolitikken tilsidesættes, og den maksimale varighed af brugersession vender tilbage til 24 timer i følgende situationer:
    • I en browsersession gik du til Power Platform Administration, og du har åbnet et miljø ved at angive URL-adressen til miljøet manuelt (enten under den samme browserfane eller en ny browserfane).
      Hvis du vil undgå overspring af politik og maksimal brugersession på 24 timer, skal du åbne miljøet fra Power Platform Administration-fanen Miljøer ved at vælge linket Åbn.
    • Åbn en version 9.1.0.3647 eller højere miljø i den samme browsersession, og åbn derefter en version tidligere end 9.1.0.3647 .
      For at undgå overspring af politik og ændring af brugervarigheden skal du åbne det andet miljø i en separat browsersession.

Du kan finde frem til din version ved at logge på kundeengagementsapps, og i øverste højre side af skærmbilledet skal du vælge knappen Indstillinger (Knappen Indstillinger for brugerprofil.) >Om.

Modstandsdygtighed over for Microsoft Entra-udfald

Hvis der skulle opstå tilbagevendende Microsoft Entra-udfald, kan godkendte brugere fortsætte med at få adgang til kundeengagementsapps/Dataverse-data, hvis PCI-krav ikke er udløbet, eller brugeren har valgt at 'forblive logget på' under godkendelse.

Angive brugerdefineret sessionstimeout for det enkelte miljø

Til miljøer, der kræver andre sessionstimeoutværdier, kan administratorer fortsætte med at angive sessionstimeout og/eller timeout for manglende aktivitet i systemindstillingerne. Disse indstillinger tilsidesætter Microsoft Entra-standardsessionspolitikken, og brugerne bliver omdirigeret til Microsoft Entra ID for godkendelse igen, når disse indstillinger er udløbet.

Sådan ændrer du denne funktionsmåde

  • Hvis du vil gennemtvinge, at brugerne skal godkendes igen efter en forudbestemt tidsperiode, kan administratorer angive en sessionstimeout for de enkelte miljøer. Brugerne kan kun forblive logget på programmet, så længe sessionen varer. Programmet logger brugeren af, når sessionen udløber. Brugerne skal logge på med deres legitimationsoplysninger for at vende tilbage til kundeengagementsapps.

Bemærk

Timeout for brugersession gennemtvinges ikke i følgende:

  1. Dynamics 365 for Outlook
  2. Dynamics 365 til telefoner og Dynamics 365 til tablets
  3. Unified Service Desk-klient ved hjælp af WPF-browser (Internet Explorer understøttes)
  4. Live Assist (chat)
  5. Power Apps lærred-apps

Konfigurere sessionstimeout

  1. Vælg et miljø i Power Platform Administration.

  2. Vælg Indstillinger>Produkt>Beskyttelse af personlige oplysninger og sikkerhed.

  3. Indstil Udløb af session og Timeout ved inaktivitet. Disse indstillinger gælder for alle brugere.

Bemærk

Sessionstimeout er en funktion på serversiden, hvor alle sessioners livscyklus håndhæves. Standardværdierne er:

  • Maksimal sessionslængde: 1440 minutter
  • Mindste sessionslængde: 60 minutter
  • Hvor lang tid før sessionen udløber, vil du have vist en advarsel om timeout: 20 minutter
  • De opdaterede indstillinger træder i kraft, næste gang brugeren logger på applikationen.

Timeout ved inaktivitet

Som standard gennemtvinger kundeengagementsapps ikke en sessionstimeout på grund af inaktivitet. En bruger kan forblive logget på programmet, indtil timeout for sessionen udløber. Du kan ændre denne funktionsmåde.

  • For at gennemtvinge, at brugerne automatisk logges af efter en forudbestemt periode med inaktivitet, kan administratorer angive timeout for en periode med inaktivitet for hvert af deres miljøer. Programmet logger brugeren af, når inaktivitetssessionen udløber.

Bemærk

Timeout for session med inaktivitet gennemtvinges ikke i følgende:

  1. Dynamics 365 for Outlook
  2. Dynamics 365 til telefoner og Dynamics 365 til tablets
  3. Unified Service Desk-klient ved hjælp af WPF-browser (Internet Explorer understøttes)
  4. Live Assist (chat)
  5. Power Apps lærred-apps

Hvis du vil gennemtvinge timeout for session uden aktivitet for Webressourcer, skal Webressourcer indeholde filen ClientGlobalContext.js.aspx i deres løsning.

Dynamics 365-portalen har sine egne indstillinger til administration af sessionstimeout og timeout ved inaktivitet, der er uafhængige af systemindstillingerne for timeout.

Konfigurere inaktivitetstimeout

  1. Vælg et miljø i Power Platform Administration.

  2. Vælg Indstillinger>Produkt>Beskyttelse af personlige oplysninger og sikkerhed.

  3. Indstil Udløb af session og Timeout ved inaktivitet. Disse indstillinger gælder for alle brugere.

Bemærk

Timeout ved inaktivitet er en funktion på klientsiden, hvor klienten beslutter sig for at logge af på grund af inaktiviteten. Standardværdierne er:

  • Minimumvarighed af inaktivitet: 5 minutter
  • Maksimal varighed af inaktivitet: mindre end maksimal sessionslængde eller 1440 minutter
  • De opdaterede indstillinger træder i kraft, næste gang brugeren logger på applikationen.

Adgangsstyring

Kundeengagementsapps bruger Microsoft Entra ID som identitetsudbyder. For at sikre brugerens adgang til kundeengagementsapps er følgende blevet implementeret:

  • Hvis du vil gennemtvinge, at brugere skal godkendes igen, skal brugere logge på med deres legitimationsoplysninger, når de er logget af programmet.
  • For at forhindre, at brugere kan dele legitimationsoplysninger for at få adgang til kundeengagementsapps, valideres brugeradgangstokenet for at sikre, at den bruger, der har fået adgang af identitetsudbyderen, er den samme som den, der åbner kundeengagementsapps.