Share via

セキュリティの拡張機能: ユーザー セッションとアクセス管理

  • [アーティクル]

セキュリティの拡張機能を使用して、Customer Engagement アプリ (Dynamics 365 Sales、Dynamics 365 Customer Service、Dynamics 365 Field Service、Dynamics 365 Marketing、および Dynamics 365 Project Service Automation) のセキュリティを強化できます。

ユーザー セッション タイムアウトの管理

最大ユーザー セッション タイムアウト 24 時間が削除されます。 これは、Customer Engagement アプリや、同じブラウザー セッションで開かれた Outlook などの他の Microsoft サービス アプリを使用するために、資格情報を使用したサインインが 24 時間ごとにユーザーに強制されないことを意味します。

Microsoft Entra セッション ポリシーの履行

既定では、Customer Engagement アプリは Microsoft Entra セッション ポリシーを活用してユーザー セッション タイムアウトが管理されます。 Customer Engagement アプリは、ポリシー チェック間隔 (PCI) のクレームで Microsoft Entra ID トークンを使用します。 毎時間、新しい Microsoft Entra ID トークンがバッググラウンドで自動的に取得され、Microsoft Entra インスタント ポリシーが適用されます (Microsoft Entra ID により)。 たとえば、管理者がユーザー アカウントを無効または削除して、ユーザーのサインインをブロックし、管理者またはユーザーが更新トークンを取り消した場合、Microsoft Entra セッション ポリシーが適用されます。

この Microsoft Entra ID トークンの更新サイクルは、Microsoft Entra トークン有効期間ポリシー構成に基づいてバックグラウンドで続行されます。 ユーザーは、Microsoft Entra トークン有効期間ポリシーの期限が切れるまで、再認証しなくても Customer Engagement アプリ/Microsoft Dataverse データにアクセスし続けることができます。

Note

  • 既定の Microsoft Entra 更新トークンの有効期限は 90 日間です。 このトークン有効期間プロパティを構成できます。 詳細については、Microsoft Entra ID の構成可能なトークン有効期間を参照してください。
  • 次のシナリオでは、Microsoft Entra セッション ポリシーはバイパスされ、ユーザー セッションの最大期間が 24 時間に戻ります。
    • ブラウザー セッションでは、Power Platform 管理センターに移動し、環境 URL で手動で入力して環境を開きました (同じブラウザー タブまたは新しいブラウザー タブで)。
      ポリシー バイパスおよび最大 24 時間のユーザー セッションを回避するには、開くリンクを選択して Power Platform 管理センターの 環境 タブを開きます。
    • 同じブラウザー セッションで、バージョン 9.1.0.3647 以上の環境を開いてから、9.1.0.3647 より前のバージョンを開きます。
      ポリシー バイパスとユーザー期間変更を回避するには、別個のブラウザー セッションで 2 番目の環境を開きます。

バージョンを確認する際は Customer Engagement アプリにサインインして、画面の右上で 設定 ボタン (ユーザー プロファイル設定ボタン。) >詳細 を選択します。

Microsoft Entra の機能停止に対する弾力性

断続的に Microsoft Entra の機能停止が発生する場合、PCI クレームの有効期限が切れていないか、または認証中にユーザーが [サインイン状態を維持する] を選択すると、認証済みユーザーは Customer Engagement アプリ/Dataverse データにアクセスし続けることができます。

個々の環境のカスタム セッション タイムアウトを設定する

異なるセッション タイムアウト値が必要な環境でも、管理者は、システム設定でセッション タイムアウトや非アクティブ タイムアウトを設定できます。 これらの設定は、既定の Microsoft Entra セッション ポリシーを上書きし、これらの設定の有効期限が切れたときに再認証されるようにユーザーが Microsoft Entra ID に指示されます。

この動作を変更するには

  • 事前に決められた時間の後にユーザーを再認証するよう強制するには、管理者は個別の環境ごとにセッション タイムアウトを設定できます。 ユーザーは、セッションの期間中にのみアプリケーションにサインインしていることができます。 アプリケーションはセッションが期限切れになるとユーザーをサインアウトします。 ユーザーは、Customer Engagement アプリに戻るには資格情報でサインインする必要があります。

Note

次ではユーザー セッション タイムアウトは適用されません。

  1. Dynamics 365 for Outlook
  2. 電話用 Dynamics 365 およびタブレット PC 用 Dynamics 365
  3. WPF ブラウザ (Internet Explorerがサポートされています) を使用する Unified Service Desk クライアント
  4. Live Assist (チャット)
  5. Power Apps キャンバス アプリ

セッション タイムアウトの設定

  1. Power Platform 管理センターで、環境を選択します。

  2. 設定>製品>プライバシー + セキュリティを選択します。

  3. セッションの有効期限非アクティブ タイムアウトを設定します。 これらの設定はすべてのユーザーに適用されます。

Note

セッション タイムアウト は、すべてのセッションの有効期間が適用されるサーバー側の機能です。 既定値:

  • セッションの最大長: 1440 分
  • セッションの最小長: 60 分
  • セッションが期限切れになるどれぐらい前にタイムアウトの警告を表示するか: 20 分
  • 更新された設定は、次回アプリケーションにサインインしたときに有効になります。

非アクティブ タイムアウト

既定では、Customer Engagement アプリは非アクティブ セッション タイムアウトを強制しません。 ユーザーは、セッション タイムアウトになるまでアプリケーションにログオンしていることができます。 この動作は変更することができます。

  • 管理者は個別の環境ごとに非アクティブ タイムアウトの時間を設定することで、事前に決められた非アクティブな時間の後にユーザーが自動でサインアウトされるよう強制することができます。 アプリケーションは非アクティブ セッションが期限切れになるとユーザーをサインアウトします。

Note

次では非アクティブ セッション タイムアウトは適用されません。

  1. Dynamics 365 for Outlook
  2. 電話用 Dynamics 365 およびタブレット PC 用 Dynamics 365
  3. WPF ブラウザ (Internet Explorerがサポートされています) を使用する Unified Service Desk クライアント
  4. Live Assist (チャット)
  5. Power Apps キャンバス アプリ

Web リソースで非アクティブ セッション タイムアウトを適用するには、Web リソースのソリューションに ClientGlobalContext.js.aspx ファイルを含める必要があります。

Dynamics 365 ポータルには、これらのシステム設定とは別に、セッション タイムアウトと非アクティブ セッション タイムアウトを管理するための独自の設定があります。

非アクティブ タイムアウトの設定

  1. Power Platform 管理センターで、環境を選択します。

  2. 設定>製品>プライバシー + セキュリティを選択します。

  3. セッションの有効期限非アクティブ タイムアウトを設定します。 これらの設定はすべてのユーザーに適用されます。

Note

非アクティブ タイムアウト は、クライアントが非アクティブに基づいてプリミティブにサインアウトすることを決定するクライアント側の機能です。 既定値:

  • 非アクティブの最短期間: 5 分
  • 非アクティブの最長期間: セッションの最大長未満または 1440 分
  • 更新された設定は、次回アプリケーションにサインインしたときに有効になります。

アクセス管理

Customer engagement アプリは、Microsoft Entra ID を ID プロバイダーとして使用します。 Customer Engagement へのユーザーのアクセスをセキュリティで保護するために、次が実装されています。

  • ユーザーの再認証を強制するために、ユーザーがアプリケーション内でサインアウトした場合、資格情報でサインインすることが求められます。
  • Customer Engagement アプリへのアクセスでユーザーが資格情報を共有するのを避けるため、ID プロバイダーによってアクセスが許可されたユーザーと Customer Engagement アプリにアクセスするユーザーが同じであることを保証する目的でユーザー アクセス トークンが検証されます。