Sicherheitserweiterungen: Benutzersitzung und Zugriffsverwaltung

Sie können Sicherheitsverbesserungen verwenden, um die Apps zur Kundeninteraktion (Dynamics 365 Sales, Dynamics 365 Customer Service, Dynamics 365 Field Service, Dynamics 365 Marketing und Dynamics 365 Project Service Automation) besser zu schützen.

Verwaltung des Benutzersitzungstimeouts

Die maximale Benutzersitzungstimeout von 24 Stunden wird entfernt. Dies bedeutet, dass ein Benutzer nicht gezwungen ist, sich mit seinen Anmeldeinformationen anzumelden, um die Customer Engagement-Apps und andere Microsoft Service-Apps wie Outlook zu verwenden, die alle 24 Stunden in derselben Browsersitzung geöffnet wurden.

Einhalten der Microsoft Entra-Sitzungsrichtlinie

Standardmäßig nutzen die Apps zur Kundeninteraktion die Microsoft Entra Sitzungsrichtlinie, um die Zeitüberschreitung der Benutzersitzung zu verwalten. Apps für Apps zur Kundeninteraktion verwenden das ID-Token Microsoft Entra mit einem Anspruch auf ein Richtlinien-Prüfintervall (PCI). Jede Stunde wird stillschweigend im Hintergrund ein neues Microsoft Entra-ID-Token abgerufen und die Microsoft Entra-Instantrichtlinie wird erzwungen (von Microsoft Entra ID). Wenn beispielsweise ein Administrator ein Benutzerkonto deaktiviert oder löscht, die Benutzeranmeldung verhindert und ein Administrator oder Benutzer das Aktualisierungstoken widerruft, wird die Microsoft Entra-Sitzungsrichtlinie erzwungen.

Dieser Microsoft Entra-ID-Token-Aktualisierungszyklus wird im Hintergrund fortgesetzt, basierend auf den Microsoft Entra-Tokengültigkeitsdauer-Richtlinienkonfigurationen. Benutzer können weiterhin auf die Customer Engagement-Apps/Microsoft Dataverse-Daten zugreifen, ohne sich erneut authentifizieren zu müssen, bis die Richtlinie für die Lebensdauer des Microsoft Entra-Tokens ausläuft.

Notiz

• Das standardmäßige Microsoft Entra-Aktualisierungstoken läuft nach 90 Tagen ab. Diese Token-Lebensdauereigenschaften können konfiguriert werden. Ausführliche Informationen finden Sie unter Konfigurierbare Tokengültigkeitsdauern in Microsoft Entra ID.
• Die Microsoft Entra-Sitzungsrichtlinie wird umgangen und die maximale Benutzersitzungsdauer wird in den folgenden Szenarien wieder auf 24 Stunden zurückgesetzt:
  • In einer Browsersitzung haben Sie zu Power Platform Admin Center gewechselt und eine Umgebung geöffnet, indem Sie manuell die Umgebungs-URL eingegeben haben (entweder in derselben Browserregisterkarte oder einer neuen Browserregisterkarte).
    Zur Problemumgehung der Richtlinienumgehung und des maximalen Benutzersitzungstimeouts von 24 Stunden öffnen Sie die Umgebung im Power Platform Admin Center über die Registerkarte Umgebungen, indem Sie den Link Öffnen auswählen.
  • Öffnen Sie in derselben Browsersitzung eine Umgebung mit Version 9.1.0.3647 oder höher und öffnen Sie dann eine frühere Version als Version 9.1.0.3647.
    Zur Problemumgehung der Richtlinienumgehung und der Änderung der Benutzerdauer öffnen Sie die zweite Umgebung in einer separaten Browsersitzung.

Um Ihre Version zu bestimmen, melden Sie sich bei Apps zur Kundenbindung an, und wählen Sie oben rechts auf dem Bildschirm die Schaltfläche Einstellungen ()>Über.

Widerstandsfähigkeit bei Microsoft Entra-Ausfällen

Für den Fall, dass es zu zeitweiligen Microsoft Entra-Ausfällen kommt, können authentifizierte Benutzer weiterhin auf die Customer Engagement-Apps/Dataverse-Daten zugreifen, wenn die PCI-Ansprüche noch nicht abgelaufen sind oder der Benutzer bei der Authentifizierung die Option „Angemeldet bleiben“ gewählt hat.

Festlegen eines benutzerdefinierten Sitzungstimeouts für eine einzelne Umgebung

Bei Umgebungen, die unterschiedliche Sitzungstimeoutwerte erfordern, können Administratoren weiterhin das Sitzungstimeout und/oder das Inaktivitätstimeout in den Systemeinstellungen festlegen. Diese Einstellungen setzen die Standardrichtlinie für Microsoft Entra-Sitzungen außer Kraft und die Benutzer werden zur erneuten Authentifizierung an Microsoft Entra ID verwiesen, wenn diese Einstellungen abgelaufen sind.

So kann dieses Verhalten geändert werden

• Um zu erzwingen, dass sich Benutzer nach einer bestimmten Zeit neu authentifizieren müssen, können Admins ein Sitzungs-Timeout für ihre individuellen Umgebungen festlegen. Benutzer können in der Anwendung nur für die Dauer einer Sitzung angemeldet bleiben. Die Verwendung meldet den Benutzer ab, wenn die Sitzung abgelaufen ist. Die Benutzer müssen sich mit ihren Anmeldeinformationen anmelden, um zu den Customer Engagement-Apps zurückzukehren.

Notiz

Benutzersitzungstimeout wird in den Folgenden nicht erzwungen:

1. Dynamics 365 for Outlook
2. Dynamics 365 für Smartphones und Dynamics 365 für Tablets
3. Verwendung des Unified Service Desk-Clients WPF Browser (Internet Explorer wird unterstützt)
4. Live Assist (Chat)
5. Power Apps-Canvas-Apps

Sitzungstimeout konfigurieren

1. Wählen Sie im Power Platform-Admin-Center eine Umgebung aus.

2. Wählen Sie Einstellungen>Produkt>Sicherheit und Datenschutz aus.

3. Legen Sie Ablauf der Sitzung und Inaktivitätstimeout fest. Diese Einstellungen gelten für alle Benutzer.

Notiz

Sitzungs-Zeitüberschreitung ist eine serverseitige Funktion, bei der die Lebensdauer aller Sitzungen erzwungen wird. Die Standardwerte sind:

• Maximale Sitzungsdauer: 1440 Minuten
• Minimale Sitzungsdauer: 60 Minuten
• Wie lange vor Ablauf der Sitzung eine Timeoutwarnung angezeigt werden soll: 20 Minuten

• Die aktualisierten Einstellungen werden wirksam, wenn sich der Benutzer das nächste Mal bei der Anwendung anmeldet.

Inaktivitätstimeout

Standardmäßig erzwingen Apps zur Kundeninteraktion kein Timeout für Inaktivitätssitzungen. Ein Benutzer kann bei der Anwendung angemeldet bleiben, bis das Sitzungstimeout abläuft. Dieses Verhalten kann nicht geändert werden.

• Um zu erzwingen, dass sich Benutzer nach einer bestimmten Zeit der Inaktivität automatisch abmelden, können Admins für jede ihrer Umgebungen eine Zeitspanne für die Inaktivität festlegen. Die Verwendung meldet den Benutzer ab, wenn die Inaktivitätssitzung abgelaufen ist.

Notiz

Das Inaktivitätssitzungstimeout wird in den Folgenden nicht erzwungen:

1. Dynamics 365 for Outlook
2. Dynamics 365 für Smartphones und Dynamics 365 für Tablets
3. Verwendung des Unified Service Desk-Clients WPF Browser (Internet Explorer wird unterstützt)
4. Live Assist (Chat)
5. Power Apps-Canvas-Apps

Um das Untätigkeitssitzungstimeout für Webressourcen zu erzwingen, müssen die Webressourcen die Datei ClientGlobalContext.js.aspx in der Lösung enthalten.

Das Dynamics 365-Portal hat eigene Einstellungen, um das Sitzungstimeout und das Inaktivitätssitzungstimeout zu verwalten, unabhängig von diesen Systemeinstellungen.

Inaktivitätstimeout konfigurieren

1. Wählen Sie im Power Platform-Admin-Center eine Umgebung aus.

2. Wählen Sie Einstellungen>Produkt>Sicherheit und Datenschutz aus.

3. Legen Sie Ablauf der Sitzung und Inaktivitätstimeout fest. Diese Einstellungen gelten für alle Benutzer.

Notiz

Zeitüberschreitung durch Inaktivität ist eine clientseitige Funktion, bei der der Client die Entscheidung trifft, sich basierend auf der Inaktivität abzumelden. Die Standardwerte sind:

• Minimal zulässige Dauer der Untätigkeit: 5 Minuten
• Maximal zulässige Dauer der Untätigkeit: weniger als die maximale Sitzungsdauer oder 1440 Minuten

• Die aktualisierten Einstellungen werden wirksam, wenn sich der Benutzer das nächste Mal bei der Anwendung anmeldet.

Zugriffsverwaltung

Apps für Apps zur Kundeninteraktion verwenden Microsoft Entra ID als Identitätsprovider. Um den Zugriff des Benutzers auf Apps zur Kundeninteraktion zu sichern, wurde Folgendes implementiert:

• Um die Benutzer zur erneuten Authentifizierung zu zwingen, müssen sich die Benutzer mit ihren Anmeldeinformationen anmelden, nachdem sie sich innerhalb der Anwendung abgemeldet haben.
• Um zu verhindern, dass Benutzer Anmeldeinformationen für den Zugriff auf Apps zur Kundeninteraktion freigeben, wird das Benutzerzugriffstoken validiert, um sicherzustellen, dass der Benutzer, dem der Identitätsanbieter Zugriff gewährt hat, derselbe Benutzer ist, der auf Apps zur Kundeninteraktion zugreift.