Mejoras de seguridad: administración de sesión de usuario y de acceso

  • Artículo

Puede utilizar mejoras de seguridad para proteger mejor las aplicaciones de involucración del cliente (Dynamics 365 Sales, Dynamics 365 Customer Service, Dynamics 365 Field Service, Dynamics 365 Marketing y Dynamics 365 Project Service Automation).

Administración del tiempo de espera de sesión del usuario

Se quita el tiempo de espera de sesión de usuario máximo de 24 horas. Esto significa que no se fuerza a un usuario a iniciar sesión con sus credenciales para utilizar aplicaciones de involucración del cliente y otras aplicaciones de servicio de Microsoft, como Outlook, que se abrieron en la misma sesión del explorador cada 24 horas.

Cumplir directiva de sesión de Microsoft Entra

De forma predeterminada, las aplicaciones de involucración del cliente aprovechan la directiva de sesión de Microsoft Entra para administrar el tiempo de espera de sesión de usuario. Las aplicaciones de involucración del cliente utilizan el token de identificador de Microsoft Entra con notificaciones de intervalo de comprobación de directivas (PCI). Cada hora se obtiene un nuevo token de identificador de Microsoft Entra ID en modo silencioso en segundo plano y se aplica la directiva inmediata de Microsoft Entra (por Microsoft Entra ID). Por ejemplo, si un Administrador deshabilita o elimina una cuenta de usuario, impide al usuario que inicie sesión, y un administrador o usuario revoca el token de actualización, se aplica la directiva de sesión de Microsoft Entra.

Este ciclo de actualización de token de identificador de Microsoft Entra sigue en segundo plano de acuerdo con las configuraciones de directivas de duración del token de Microsoft Entra. Los usuarios siguen teniendo acceso a las aplicaciones de involucración del cliente/Microsoft Dataverse sin necesidad de volver a autenticarse hasta que caduque la directiva de duración del token de Microsoft Entra.

Nota

  • La expiración de token de actualización de Microsoft Entra predeterminada es de 90 días. Las propiedades de duración del token se pueden configurar. Para obtener información detallada, consulte Duración del token configurable en Microsoft Entra ID.
  • Se omite la directiva de sesión de Microsoft Entra y la duración de sesión de usuario máxima se revierte de nuevo a 24 horas en los siguientes casos:
    • En una sesión del explorador, fue al Centro de administración de Power Platform y abrió un entorno escribiendo manualmente la dirección URL del entorno (en la misma pestaña del explorador o en una nueva).
      Para evitar temporalmente la omisión de la directiva y la sesión de usuario máxima de 24 horas, abra el entorno desde los entornos del Centro de administración de Power Platform, seleccionando el vínculo Abrir.
    • En la misma sesión del explorador, abra un entorno de versión 9.1.0.3647 o más alto y luego abra una versión anterior a 9.1.0.3647.
      Para evitar temporalmente la omisión de la directiva y el cambio de duración del usuario, abra el segundo entorno en una sesión de explorador independiente.

Para determinar su versión, inicie sesión en la aplicaciones de involucración del cliente y, en el lado superior derecho de la pantalla, seleccione el botón Configuración (Botón Configuración del perfil de usuario.) >Acerca de.

Resistencia a las caídas del sistema de Microsoft Entra

En el caso de que haya caídas intermitentes de Microsoft Entra, los usuarios autenticados pueden seguir teniendo acceso a las aplicaciones de Customer Engagement/Dataverse si las notificaciones PCI no han expirado o el usuario ha suscrito 'Mantener la sesión' durante la autenticación.

Establezca el tiempo de espera de sesión personalizado del entorno individual

Para entornos que requieren diferentes valores de tiempo de espera de sesión, los administradores pueden seguir estableciendo el tiempo de espera de sesión y/o el tiempo de espera de inactividad en la Configuración del sistema. Estos valores reemplazan la directiva de sesión de Microsoft Entra y los usuarios serán enviados a Microsoft Entra ID para reautenticación cuando expiren estos valores.

Para cambiar este comportamiento

  • Para obligar a los usuarios que vuelvan a autenticarse después de un período de tiempo predeterminado, los administradores pueden establecer un tiempo de espera de sesión para sus entornos individuales. Los usuarios solo pueden permanecer en sesión en la aplicación por la duración de la sesión. La aplicación cierra la sesión del usuario cuando expira la sesión. Los usuarios tienen que iniciar sesión con sus credenciales para volver a aplicaciones de involucración del cliente.

Nota

El tiempo de espera de sesión de usuario no se aplica de la siguiente manera:

  1. Dynamics 365 for Outlook
  2. Dynamics 365 para teléfonos y Dynamics 365 para tabletas
  3. Cliente de Unified Service Desk usando el navegador WPF (Internet Explorer se admite)
  4. Live Assist (chat)
  5. Aplicaciones de lienzo de Power Apps

Configurar el tiempo de espera de sesión

  1. En el centro de administración de Power Platform, seleccione un entorno.

  2. Seleccione Configuración>Producto>Privacidad y seguridad.

  3. Establezca Expiración de sesión y Tiempo de espera de inactividad. Esta configuración se aplicará a todos los usuarios.

Nota

Hora de término de la sesión es una característica del lado del servidor donde se aplica el tiempo de vida de todas las sesiones. Los valores predeterminados son:

  • Duración máxima de la sesión: 1440 minutos
  • Duración mínima de la sesión: 60 minutos
  • Tiempo antes de que expire la sesión para mostrar una advertencia de tiempo de espera: 20 minutos
  • La configuración actualizada se aplicará la próxima vez que el usuario inicie sesión en la aplicación.

Tiempo de espera de inactividad

De forma predeterminada, aplicaciones de involucración del cliente no aplica un tiempo de espera de inactividad de sesión. Un usuario puede mantenerse en sesión en la aplicación hasta que expire el tiempo de espera de sesión. Este comportamiento se puede cambiar.

  • Para obligar a los usuarios a cerrar sesión automáticamente tras un período de inactividad predeterminado, los administradores pueden establecer un período de tiempo de espera de inactividad para cada una de sus entornos. La aplicación cierra la sesión del usuario cuando expira la sesión con inactividad.

Nota

El tiempo de espera de inactividad de la sesión no se aplica en los siguientes casos:

  1. Dynamics 365 for Outlook
  2. Dynamics 365 para teléfonos y Dynamics 365 para tabletas
  3. Cliente de Unified Service Desk usando el navegador WPF (Internet Explorer se admite)
  4. Live Assist (chat)
  5. Aplicaciones de lienzo de Power Apps

Para aplicar el tiempo de espera de inactividad de sesión para recursos web, los recursos web deben incluir el archivo ClientGlobalContext.js.aspx en la solución.

El portal de Dynamics 365 tiene su propia configuración para administrar el tiempo de espera de sesión y el tiempo de espera de inactividad de sesión, que es independiente de esta configuración del sistema.

Configurar el tiempo de espera de inactividad

  1. En el centro de administración de Power Platform, seleccione un entorno.

  2. Seleccione Configuración>Producto>Privacidad y seguridad.

  3. Establezca Expiración de sesión y Tiempo de espera de inactividad. Esta configuración se aplicará a todos los usuarios.

Nota

Tiempo de inactividad es una función del lado del cliente en la que el cliente toma la decisión de cerrar sesión de forma primitiva en función de la inactividad. Los valores predeterminados son:

  • Duración mínima de inactividad: 5 minutos
  • Duración máxima de inactividad: menos que duración máxima de sesión o 1440 minutos
  • La configuración actualizada se aplicará la próxima vez que el usuario inicie sesión en la aplicación.

Administración de acceso

Las aplicaciones de involucración del cliente utilizan Microsoft Entra ID como el proveedor de identidad. Para proteger el acceso de usuario a aplicaciones de involucración del cliente, se implementará lo siguiente:

  • Para obligar a los usuarios a volver a autenticarse, es necesario que los usuarios inicien sesión con sus credenciales después de que se cierre la sesión en la aplicación.
  • Para evitar que los usuarios compartan las credenciales para obtener acceso a aplicaciones de involucración del cliente, el token de acceso del usuario se valida para asegurarse de que el usuario al que el proveedor de identidad le otorga acceso sea el mismo usuario que accede a aplicaciones de involucración del cliente.