Delen via

Beveiligingsverbeteringen: gebruikerssessie en toegangsbeheer

  • Artikel

U kunt beveiligingsverbeteringen gebruiken om de apps voor klantbetrokkenheid beter te beveiligen (Dynamics 365 Sales, Dynamics 365 Customer Service, Dynamics 365 Field Service, Dynamics 365 Marketing en Dynamics 365 Project Service Automation).

Time-out van gebruikerssessie beheren

De maximale time-out van de gebruikerssessie van 24 uur wordt verwijderd. Dit houdt in dat gebruikers niet elke 24 uur worden gedwongen zich aan te melden met hun referenties om de apps voor klantbetrokkenheid en andere Microsoft-serviceapps zoals Outlook die zijn geopend in dezelfde browsersessie te gebruiken.

Microsoft Entra-sessiebeleid naleven

Standaard maken de apps voor klantbetrokkenheid gebruik van Microsoft Entra-sessiebeleid om de time-out van de gebruikerssessie te beheren. Apps voor klantbetrokkenheid gebruiken de Microsoft Entra ID-token met de PCI-claim (Policy Check Interval). Elk uur wordt in de achtergrond een nieuwe Microsoft Entra ID-token opgehaald en wordt het directe Microsoft Entra-beleid gehandhaafd (door Microsoft Entra ID). Als een beheerder bijvoorbeeld een gebruikersaccount uitschakelt of verwijdert, de gebruiker zich niet meer kan aanmelden en een beheerder of gebruiker de vernieuwingstoken intrekt, wordt het Microsoft Entra-sessiebeleid gehandhaafd.

Deze vernieuwingscyclus van Microsoft Entra ID-tokens gaan door op de achtergrond op basis van de configuraties van het levensduurbeleid van Microsoft Entra-tokens. Gebruikers kunnen toegang houden tot de apps voor klantbetrokkenheid/Microsoft Dataverse-gegevens zonder dat ze opnieuw moeten verifiëren totdat het levensduurbeleid van de Microsoft Entra-tokens verloopt.

Notitie

  • Standaard verlopen de vernieuwingstokens van Microsoft Entra na 90 dagen. Deze levensduureigenschappen van tokens kunnen worden geconfigureerd. Zie Configureerbare levensduur van tokens in Microsoft Entra ID voor uitgebreide informatie.
  • Het Microsoft Entra-sessiebeleid wordt omzeild en de maximale duur van een gebruikerssessie wordt teruggezet op 24 uur in de volgende scenario's:
    • In een browsersessie bent u naar het Power Platform-beheercentrum gegaan en hebt u een omgeving geopend door de omgevings-URL handmatig in te voeren (op hetzelfde browsertabblad of op een nieuw browsertabblad).
      Om de beleidsbypass en de maximale gebruikerssessie van 24 uur te omzeilen, opent u de omgeving door op het tabblad Omgevingen in het Power Platform-beheercentrum de koppeling Openen te selecteren.
    • Open in dezelfde browsersessie een omgeving versie 9.1.0.3647 of hoger en open een lagere versie dan 9.1.0.3647.
      Als oplossing van het omzeilde beleid en de wijziging in de sessieduur, opent u de tweede omgeving in een afzonderlijke browsersessie.

U kunt uw versie bepalen door u aan te melden bij apps voor klantbetrokkenheid en in de rechterbovenhoek van het scherm de knop Instellingen (Knop Instellingen voor gebruikersprofiel.) >Info.

Weerstand tegen Microsoft Entra-uitval

Als Microsoft Entra zo nu en dan uitvalt, kunnen bevoegde gebruikers toegang blijven houden tot de gegevens van apps voor klantbetrokkenheid/Dataverse-gegevens als de PCI-claims niet zijn verlopen of als de gebruiker er tijdens verificatie voor heeft gekozen aangemeld te blijven.

De aangepaste time-out van sessies voor een individuele omgeving instellen

In omgevingen waar verschillende time-outwaarden voor sessies gelden, kunnen beheerders deze en/of time-outs wegens inactiviteit blijven instellen in de systeeminstellingen. Deze instellingen negeren het standaard Microsoft Entra-sessiebeleid en gebruikers worden naar Microsoft Entra ID geleid voor hernieuwde verificatie wanneer deze instellingen zijn verlopen.

U kunt dit gedrag als volgt wijzigen

  • Om gebruikers te dwingen na een van tevoren vastgestelde periode opnieuw te verifiëren, kunnen beheerders een sessieonderbreking instellen voor hun individuele omgevingen. Gebruikers kunnen alleen aangemeld blijven in de toepassing voor de duur van de sessie. De gebruiker wordt afgemeld wanneer de sessie verloopt. Gebruikers moeten zich aanmelden met hun referenties om terug te keren naar apps voor klantbetrokkenheid.

Notitie

Time-out van gebruikerssessie wordt niet afgedwongen voor:

  1. Dynamics 365 for Outlook
  2. Dynamics 365 voor telefoons en Dynamics 365 voor tablets
  3. Unified Service Desk-client die WPF-browser gebruikt (Internet Explorer wordt ondersteund)
  4. Live Assist (Chat)
  5. Power Apps-canvas-apps

Time-out van sessie configureren

  1. Selecteer een omgeving in het Power Platform-beheercentrum.

  2. Selecteer Instellingen>Product>Privacy en beveiliging.

  3. Stel Verlopen van sessie en Time-out bij inactiviteit in. Deze instellingen gelden voor alle gebruikers.

Notitie

Sessietime-out is een serverfunctie waarbij de levensduur van alle sessies wordt afgedwongen. Standaardwaarden zijn:

  • Maximale sessielengte: 1440 minuten
  • Minimale sessielengte: 60 minuten
  • Aantal minuten voordat de sessie verloopt en er een waarschuwing voor time-out wordt weergegeven: 20 minuten
  • De bijgewerkte instellingen zijn van kracht de volgende keer dat de gebruiker zich aanmeldt bij de toepassing.

Time-out bij inactiviteit

Apps voor klantbetrokkenheid dwingen niet standaard tot een sessieonderbreking vanwege inactiviteit. Een gebruiker kan in de toepassing aangemeld blijven totdat de time-out van de sessie verloopt. U kunt deze instelling niet wijzigen.

  • Om ervoor te zorgen dat gebruikers automatisch worden afgemeld na een van tevoren vastgestelde periode van inactiviteit, kunnen beheerders een periode instellen voor onderbreking na inactiviteit voor elk van hun omgevingen. De gebruiker wordt afgemeld wanneer de inactiviteitssessie verloopt.

Notitie

De time-out van de sessie bij inactiviteit wordt niet afgedwongen voor:

  1. Dynamics 365 for Outlook
  2. Dynamics 365 voor telefoons en Dynamics 365 voor tablets
  3. Unified Service Desk-client die WPF-browser gebruikt (Internet Explorer wordt ondersteund)
  4. Live Assist (Chat)
  5. Power Apps-canvas-apps

Als u de time-out van de sessie bij inactiviteit wilt afdwingen voor webresources, moet het ClientGlobalContext.js.aspx-bestand in de oplossing van webresources zijn opgenomen.

De Dynamics 365-portal heeft eigen instellingen om de time-out van de sessie en time-out van de sessie bij inactiviteit te beheren, los van deze systeeminstellingen.

Time-out bij inactiviteit configureren

  1. Selecteer een omgeving in het Power Platform-beheercentrum.

  2. Selecteer Instellingen>Product>Privacy en beveiliging.

  3. Stel Verlopen van sessie en Time-out bij inactiviteit in. Deze instellingen gelden voor alle gebruikers.

Notitie

Time-out voor inactiviteit is een clientfunctie waarbij de client besluit om zich primitief af te melden op basis van de inactiviteit. Standaardwaarden zijn:

  • Minimumduur van inactiviteit: 5 minuten
  • Maximumduur van inactiviteit: minder dan de maximale sessielengte of 1440 minuten
  • De bijgewerkte instellingen zijn van kracht de volgende keer dat de gebruiker zich aanmeldt bij de toepassing.

Toegangsbeheer

Apps voor klantbetrokkenheid gebruiken Microsoft Entra ID als identiteitsprovider. De volgende zaken werden geïmplementeerd om de toegang van de gebruiker tot apps voor klantbetrokkenheid te beveiligen:

  • Als u gebruikers wilt afdwingen om zich opnieuw te verifiëren, moeten gebruikers zich aanmelden met hun referenties nadat ze zich hebben afgemeld in de toepassing.
  • Om te voorkomen dat gebruikers referenties delen voor toegang tot apps voor klantbetrokkenheid wordt de gebruikerstoegangstoken gevalideerd om te zorgen dat de gebruiker die toegang heeft gekregen van de identiteitsprovider dezelfde gebruiker is die toegang krijgt tot apps voor klantbetrokkenheid.