Forbedringer af sikkerheden: Brugersessions- og adgangsstyring

 

Du kan bruge de nye sikkerhedsforbedringer for at forbedre sikkerheden i Dynamics 365-programmet.

Dette emne gælder for kunder med følgende versioner af Dynamics 365:

  • Dynamics 365 (online), version 8.1 eller en nyere version.

  • Microsoft Dynamics CRM 2016 (i det lokale miljø, version 8.2). Du kan få funktionen ved at kontakte support.

  • Microsoft Dynamics CRM 2016 (i det lokale miljø, version 8.1). Du kan få funktionen ved at kontakte support.

  • Microsoft Dynamics CRM 2015 (i det lokale miljø). Du kan få funktionen ved at kontakte support.

Du kan finde flere oplysninger om den nyeste version i Forbedringer af sikkerheden: Brugersessions- og adgangsstyring.

Som standard er der angivet en brugersessionstimeout på 24 timer i Dynamics 365. En bruger behøver ikke at logge på med sine legitimationsoplysninger i op til 24 timer, uanset om brugeren var aktiv eller inaktiv.

Du kan ændre denne funktionsmåde.

  • Hvis du vil gennemtvinge, at brugerne skal godkendes igen efter en forudbestemt tidsperiode, kan administratorer angive en sessionstimeout for de enkelte forekomster af Dynamics 365. Brugerne kan kun forblive logget på programmet, så længe sessionen varer. Programmet logger brugeren af, når sessionen udløber. Brugerne skal logge på med deres legitimationsoplysninger for at vende tilbage til Dynamics 365.

  1. I Dynamics 365 skal du vælge Indstillinger > Administration > Systemindstillinger > fanen Generelt.

  2. Under Angiv sessionstimeout skal du angive de værdier, der skal gælde for alle brugere.

System_CAPS_noteBemærkning

Standardværdierne er:

  • Maksimal sessionslængde: 1440 minutter

  • Mindste sessionslængde: 60 minutter

  • Hvor lang tid før sessionen udløber, vil du have vist en advarsel om timeout: 20 minutter

Som standard gennemtvinger Dynamics 365 ikke en sessionstimeout på grund af inaktivitet. En bruger kan forblive logget på programmet, indtil timeout for sessionen udløber. Du kan ændre denne funktionsmåde.

  • For at gennemtvinge, at brugerne automatisk logges af efter en forudbestemt periode med inaktivitet, kan administratorer angive timeout for en periode med inaktivitet for hver af deres forekomster af Dynamics 365. Programmet logger brugeren af, når inaktivitetssessionen udløber.

System_CAPS_noteBemærkning

Timeout for session med inaktivitet gennemtvinges ikke i følgende:

  1. Dynamics 365 til Outlook

  2. Dynamics 365 til telefoner og Dynamics 365 til tablets

  3. Unified Service Desk-klient ved hjælp af WPF-browser (Internet Explorer understøttes)

  4. Live Assist (chat)

Hvis du vil gennemtvinge timeout for session uden aktivitet for Webressourcer, skal Webressourcer indeholde filen ClientGlobalContext.js.aspx i deres løsning.

Dynamics 365-portalen har sine egne indstillinger til administration af sessionstimeout og timeout ved inaktivitet, der er uafhængige af systemindstillingerne for timeout.

  1. I Dynamics 365 skal du vælge Indstillinger > Administration > Systemindstillinger > fanen Generelt.

  2. Under Angiv timeout ved inaktivitet skal du angive de værdier, der skal gælde for alle brugere.

System_CAPS_noteBemærkning

Standardværdierne er:

  • Maksimal varighed af inaktivitet: 5 minutter

  • Maksimal varighed af inaktivitet: mindre end maksimal sessionslængde eller 1440 minutter

Dynamics 365 (online) bruger Azure Active Directory som identitetsudbyder. For at sikre brugerens adgang til Dynamics 365 (online) er følgende blevet implementeret:

  • Hvis du vil gennemtvinge, at brugere skal godkendes igen, skal brugere logge på med deres legitimationsoplysninger, når de er logget af programmet.

  • For at forhindre, at brugere kan dele legitimationsoplysninger for at få adgang til Dynamics 365 (online), valideres brugeradgangstokenet for at sikre, at den bruger, der har fået adgang af identitetsudbyderen, er den samme som den, der åbner Dynamics 365 (online).

Disse sikkerhedsforbedringer er som standard deaktiveret ved leveringen. Administratorer kan aktivere disse forbedringer, når de bruger et af de understøttede builds af Dynamics 365 (i det lokale miljø), der er vist nedenfor.

System_CAPS_noteBemærkning

Dette gælder for kunder med følgende versioner af Dynamics 365:

  • Microsoft Dynamics CRM 2016 (i det lokale miljø, version 8.2). Du kan få funktionen ved at kontakte support.

  • Microsoft Dynamics CRM 2016 (i det lokale miljø, version 8.1). Du kan få funktionen ved at kontakte support.

  • Microsoft Dynamics CRM 2015 (i det lokale miljø). Du kan få funktionen ved at kontakte support.

Krav

Disse funktioner til forbedring af sikkerheden kræver kravsbaseret godkendelse ved brugergodkendelse. Du kan konfigurere kravsbaseret godkendelse på en af to måder:

Sådan hentes SDK eksempelkode (som reference, er ikke påkrævet for at konfigurere og aktivere sessionstimeout):

  1. Få adgang til Dynamics 365 Server ved hjælp af administratorkontoen.

  2. Åbn en browsersession, og download Dynamics 365 Software Development Kit (SDK).

  3. Vælg og kør MicrosoftDynamics365SDK.exe. Det hentede program pakkes ud, og der oprettes en SDK-mappe på Dynamics 365 Server.

  4. Åbn en PowerShell-kommandoprompt.

  5. Naviger til den hentede SDK-mappe.

  6. Åbn mappen SampleCode\PS.

Når du har opdateret til en understøttet version i det lokale miljø, skal du følge nedenstående trin for at aktivere forbedringer af sikkerheden.

Systemadministratorer kan nu gennemtvinge, at brugerne skal godkende igen efter en bestemt periode. Du kan angive en aktiv sessionstimeout for de enkelte forekomster af Dynamics 365. Brugerne kan kun forblive logget på programmet, så længe sessionen varer. Når sessionen er udløbet, skal de logge på igen med deres legitimationsoplysninger. Systemadministratorer kan også kræve, at brugerne logger på efter en periode med inaktivitet. Du kan angive en sessionstimeout på grund af inaktivitet for de enkelte forekomster. Det er med til at forhindre, at en ondsindet bruger kan få uautoriseret adgang fra en ikke-overvåget enhed.

Aktivere timeout for brugersession

  1. Aktivere sessionstimeout:

    Kør SetAdvancedSettings.ps1 -ConfigurationEntityName ServerSettings -SettingName AllowCustomSessionDuration -SettingValue true

  2. Aktivér inaktivitetstimeout:

    Kør SetAdvancedSettings.ps1 -ConfigurationEntityName ServerSettings -SettingName AllowCustomInactivityDuration -SettingValue true

Se afsnittene ovenfor, Konfigurere sessionstimeout og Timeout ved inaktivitet, før du fortsætter til det næste afsnit.

For bedre at beskytte brugeradgang og beskyttelse af personlige oplysninger i Dynamics 365 skal en bruger, der logger af i webklienten og har brug at vende tilbage til programmet, angive sine legitimationsoplysninger igen i alle åbne browsersessioner. Dynamics 365 sikrer, at logon-tokenet oprindeligt blev oprettet til den aktuelle browser og computer.

Aktivere administration af adgangstokens

Du kan aktivere for alle organisationer som standard ved at kopiere og køre følgende kommando i PowerShell: SetAdvancedSettings.ps1 -ConfigurationEntityName ServerSettings -SettingName WSFedNonceCookieEnabled -SettingValue true

Eksempel:

SetAdvancedSettings.ps1

ELLER

Du kan aktivere for en enkelt organisation ved at kopiere og køre følgende kommando i PowerShell: SetAdvancedSettings.ps1 -ConfigurationEntityName Organization -SettingName WSFedNonceCookieEnabled -SettingValue true -Id <Your organization ID GUID>

For at få <dit organisations-ID GUID> skal du åbne PowerShell og køre følgende:

Add-PSSnapin Microsoft.Crm.PowerShell Get-CrmOrganization

Eksempel:

Organisations-id

Du kan finde flere oplysninger under Get-CrmOrganization

© 2017 Microsoft. Alle rettigheder forbeholdes. Ophavsret

Vis: