Améliorations de la sécurité : session utilisateur et gestion de l’accès

Vous pouvez utiliser des améliorations de la sécurité pour améliorer la sécurité des applications d’engagement client (Dynamics 365 Sales, Dynamics 365 Customer Service, Dynamics 365 Field Service, Dynamics 365 Marketing et Dynamics 365 Project Service Automation).

Gestion du délai d’expiration de la session utilisateur

Le délai d’expiration de session maximale d’un utilisateur de 24 heures est supprimée. Cela signifie qu’un utilisateur n’est pas forcé de se connecter avec ses informations d’identification pour utiliser les applications Customer Engagement et autres applications de service Microsoft comme Outlook ouvertes dans la même session de navigateur toutes les 24 heures.

Respect de la stratégie de sessions Microsoft Entra

Par défaut, les applications d’engagement client tirent parti de la stratégie de session Microsoft Entra pour gérer le délai d’expiration de la session de l’utilisateur. Les applications d’engagement client utilisent le jeton d’ID Microsoft Entra avec les revendications d’intervalle de vérification de stratégie (PCI). Chaque heure, un nouveau jeton ID Microsoft Entra est extrait en mode silencieux en arrière-plan et la stratégie instantanée Microsoft Entra est appliquée (par Microsoft Entra ID). Par exemple, si un administrateur désactive ou supprime un compte d’utilisateur, bloque l’utilisateur de se connecter, et qu’un administrateur ou un utilisateur révoque le jeton d’actualisation, la stratégie de session Microsoft Entra est appliquée.

Ce cycle d’actualisation de jeton d’ID Microsoft Entra continue en arrière-plan selon les configurations de stratégie de cycle de vie Microsoft Entra. Les utilisateurs continuent d’accéder aux données Customer Engagement/Microsoft Dataverse sans devoir s’authentifier de nouveau jusqu’à ce que la stratégie de cycle de vie du jeton Microsoft Entra expire.

Note

• L’expiration du jeton d’actualisation Microsoft Entra par défaut est de 90 jours. Les propriétés de cycle de vie du jeton peuvent être configurées. Pour obtenir des informations détaillées, consultez Cycles de vie de jeton configurables dans Microsoft Entra ID.
• La stratégie de sessions Microsoft Entra est contournée et la durée de session utilisateur maximale est rétablie à 24 heures dans les scénarios suivants :
  • Dans une session du navigateur, vous avez accédé au Centre d’administration Power Platform et vous avez ouvert un environnement en saisissant manuellement l’URL de l’environnement (sur le même onglet du navigateur ou sur un nouvel onglet du navigateur).
    Pour éviter le contournement de la stratégie et la session utilisateur maximale de 24 heures, ouvrez l’environnement à partir de l’onglet Environnements du centre d’administration Power Platform en sélectionnant le lien Ouvrir.
  • Dans la même session de navigateur, ouvrez un environnement de version 9.1.0.3647 ou supérieure puis ouvrez une version antérieure à 9.1.0.3647.
    Pour résoudre le contournement de stratégie et le changement de durée utilisateur, ouvrez le deuxième environnement dans une session de navigateur distincte.

Pour déterminer votre version, connectez-vous aux applications d’engagement client et, dans le coin supérieur droit de l’écran, sélectionnez le bouton Paramètres () >À propos.

Résilience aux pannes Microsoft Entra

En cas de pannes Microsoft Entra intermittentes, les utilisateurs authentifiés peuvent continuer d’accéder aux Customer Engagement client/données Dataverse si les revendications PCI n’ont pas expiré ou si l’utilisateur a accepté de « Rester connecté » pendant l’authentification.

Définir un délai d’expiration de session personnalisé pour un environnement individuel

Pour les environnements qui nécessitent des valeurs de délai d’expiration de session différentes, les administrateurs peuvent continuer de définir le délai d’expiration de session et/ou le délai d’inactivité dans Paramètres système. Ces paramètres remplacent la stratégie de session Microsoft Entra par défaut et les utilisateurs seront dirigés vers la réauthentification Microsoft Entra lorsque ces paramètres auront expiré.

Pour modifier ce comportement

• Pour obliger les utilisateurs à se ré-authentifier après une période pré-déterminée, les administrateurs peuvent définir un délai d’expiration de la session pour leurs environnements individuels. Les utilisateurs peuvent rester connectés à l’application uniquement pour la durée de session. L’application déconnecte l’utilisateur lorsque la session expire. Les utilisateurs doivent se connecter avec leurs informations d’identification pour revenir aux applications d’engagement client.

Note

Le délai de la session utilisateur n’est pas appliqué dans les produits suivants :

1. Dynamics 365 for Outlook
2. Dynamics 365 pour tablettes et Dynamics 365 pour téléphones
3. Client Unified Service Desk utilisant le navigateur WPF (Internet Explorer est pris en charge)
4. Live Assist (Conversation instantanée)
5. Applications canevas Power Apps

Configurer le délai d’expiration de la session

1. Connectez-vous en tant qu’administrateur au centre d’administration Power Platform.

2. Sélectionnez Paramètres>Produit>Confidentialité + Sécurité.

3. Définissez Expiration de la session et Délai d’inactivité. Ces paramètres s’appliquent à tous les utilisateurs.

Note

Expiration de la session est une fonctionnalité côté serveur où la durée de vie de toutes les sessions est appliquée. Les valeurs par défaut sont :

• Durée de session maximale : 1 440 minutes
• Durée de session minimale : 60 minutes
• Combien de temps avant que la session affiche un avertissement d’expiration : 20 minutes

• Les paramètres mis à jour seront effectifs la prochaine fois que l’utilisateur se connectera à l’application.

Délai d’inactivité

Par défaut, les applications d’engagement client n’imposent pas de délai d’inactivité de la session. Un utilisateur peut rester connecté à l’application jusqu’à ce que le délai de la session expire. Vous ne pouvez pas modifier ce comportement.

• Pour forcer les utilisateurs à se déconnecter automatiquement après une période pré-déterminée d’inactivité, les administrateurs peuvent définir une délai d’expiration d’inactivité pour chacun de leurs environnements. L’application déconnecte l’utilisateur lorsque la session d’inactivité expire.

Note

Le délai de la session d’inactivité n’est pas appliqué dans les produits suivants :

1. Dynamics 365 for Outlook
2. Dynamics 365 pour tablettes et Dynamics 365 pour téléphones
3. Client Unified Service Desk utilisant le navigateur WPF (Internet Explorer est pris en charge)
4. Live Assist (Conversation instantanée)
5. Applications canevas Power Apps

Pour appliquer le délai d’inactivité de la session pour les ressources Web, les ressources Web doivent inclure le fichier ClientGlobalContext.js.aspx dans leur solution.

Le portail Dynamics 365 possède ses propres paramètres pour gérer le délai d’expiration de sa session et le délai de la session d’inactivité peu importe ces paramètres système.

Configurer le délai d’inactivité

1. Connectez-vous en tant qu’administrateur au centre d’administration Power Platform.

2. Sélectionnez Paramètres>Produit>Confidentialité + Sécurité.

3. Définissez Expiration de la session et Délai d’inactivité. Ces paramètres s’appliquent à tous les utilisateurs.

Note

Délai d’inactivité est une fonctionnalité côté client où le client prend la décision de se déconnecter de manière primitive en fonction de l’inactivité. Les valeurs par défaut sont :

• Durée minimale de l’inactivité : 5 minutes
• Durée maximale de l’inactivité : inférieure à la durée maximale de session ou 1 440 minutes

• Les paramètres mis à jour seront effectifs la prochaine fois que l’utilisateur se connectera à l’application.

Gestion des accès

Les applications d’engagement client utilisent Microsoft Entra ID comme fournisseur d’identité. Pour sécuriser l’accès d’un utilisateur aux applications d’engagement client, ce qui suit a été mis en œuvre :

• Pour obliger les utilisateurs à s’authentifier, les utilisateurs doivent se connecter avec leurs informations d’identification une fois qu’ils se sont connecté à l’application.
• Pour empêcher les utilisateurs de partager des informations d’identification pour accéder aux applications d’engagement client, le jeton d’accès utilisateur est validé pour garantir que l’utilisateur auquel le fournisseur d’identité a donné accès est le même utilisateur qui accède aux applications d’engagement client.