Ulepszenia zabezpieczeń sesji użytkowników i zarządzania dostępem

Za pomocą ulepszeń zabezpieczeń można chronić aplikacje zaangażowania klientów, takie jak Dynamics 365 Sales, Dynamics 365 Customer Service, Dynamics 365 Field Service, Dynamics 365 Marketing i Dynamics 365 Project Service Automation.

Zarządzanie limitem czasu sesji użytkownika

Maksymalny limit czasu sesji użytkownika wynoszący 24 godziny zostanie usunięty. W związku z tym użytkownicy nie muszą już logować się przy użyciu poświadczeń co 24 godziny, aby nadal korzystać z aplikacji zaangażowania klientów i innych aplikacji usługi firmy Microsoft, takich jak Outlook, w ramach tej samej sesji przeglądarki.

Honor Microsoft Entra — zasady sesji

Domyślnie aplikacje zaangażowania klientów używają zasad Microsoft Entra session do zarządzania limitem czasu sesji użytkownika. Aplikacje zaangażowania klientów używają Tokenu Microsoft Entra ID z oświadczeniami Interwał zasad sprawdzania (PCI). Co godzinę nowy token Microsoft Entra ID jest pobierany bez ostrzeżenia w tle a zasada Microsoft Entra jest wymuszana (przez Microsoft Entra ID). Na przykład gdy administrator wyłącza lub usuwa konto użytkownika, blokuje logowanie użytkownika, a administrator lub użytkownik odwołuje token odnowienia, system wymusza politykę sesji Microsoft Entra.

Cykl odświeżania tokenu Microsoft Entra ID kontynuuje się w tle na podstawie konfiguracji zasad dotyczących czasu życia tokenu Microsoft Entra. Użytkownicy nadal uzyskują dostęp do aplikacji/Microsoft Dataverse danych zaangażowania klientów bez konieczności ponownego uwierzytelniania do momentu wygaśnięcia zasad okresu istnienia tokenu Microsoft Entra.

Uwaga

• Domyślny czas wygaśnięcia tokenu odświeżania Microsoft Entra wynosi 90 dni. Właściwości czasu ważności tokenu można skonfigurować. Aby uzyskać szczegółowe informacje, zobacz Konfigurowalne okresy istnienia tokenów w Microsoft Entra ID.
• Zasady sesji Microsoft Entra są pomijane, a maksymalny czas trwania sesji użytkownika zostanie przywrócony do 24 godzin w następujących scenariuszach:
  • W sesji przeglądarki użytkownik przeszedł do Centrum administracyjnego Power Platform i otworzył środowisko ręcznie wpisując adres URL środowiska (na tej samej karcie przeglądarki lub nowej karcie przeglądarki).
    Aby obejść zasadę obejścia i największą 24-godzinną sesję użytkownika, otwórz środowisko na karcie Centrum administracyjne platformy Power Platform środowisk wybierając łącze Otwórz.
  • W tej samej sesji przeglądarki otwórz wersję 9.1.0.3647 lub nowszą środowiska, a następnie otwórz wersję starszą niż 9.1.0.3647.
    W celu obejścia polityki i zmiany czasu trwania sesji użytkownika, otwórz drugie środowisko w oddzielnej sesji przeglądarki.

Aby określić swoją wersję, zaloguj się do aplikacji angażujących klientów, a następnie w prawym górnym rogu ekranu wybierz przycisk Ustawienia >Informacje.

Odporność na awarie Microsoft Entra

Jeśli wystąpi sporadyczne awarie Microsoft Entra, uwierzytelnieni użytkownicy nadal mogą uzyskiwać dostęp do aplikacji zaangażowania klientów i danych usługi Dataverse, jeśli ich oświadczenia PCI pozostaną prawidłowe lub zdecydują się na "Stay signed in" podczas uwierzytelniania.

Ustaw niestandardowy czas wygaśnięcia sesji dla poszczególnych środowisk

W środowiskach wymagających różnych wartości limitów czasu sesji, administratorzy mogą nadal ustawiać limit czasu sesji i/lub limit czasu braku aktywności w ustawieniach systemu. Te ustawienia zastępują domyślne zasady sesji Microsoft Entra, a użytkownicy są kierowani do Microsoft Entra ID ponownego uwierzytelniania po wygaśnięciu tych ustawień.

Aby zmienić to zachowanie

Aby wymusić na użytkownikach ponowne uwierzytelnienie po upływie określonego czasu, administratorzy mogą ustawić limit czasu sesji dla swoich poszczególnych środowisk. Użytkownicy mogą pozostać zalogowani w aplikacji tylko podczas sesji. Aplikacja wylogowuje użytkownika po wygaśnięciu sesji. Użytkownicy muszą zalogować się przy użyciu swoich poświadczeń, aby wrócić do aplikacji zaangażowania klientów.

Uwaga

Limit czasu sesji użytkownika nie jest wymuszany w następujących aplikacjach:

1. Dynamics 365 dla Outlook
2. Dynamics 365 dla telefonów i Dynamics 365 dla tabletów
3. Klient usługi Unified Service Desk korzystający z przeglądarki WPF (obsługiwana jest Internet Explorer)
4. Live Assist (rozmowa)
5. Aplikacje kanwy usługi Power Apps

Skonfiguruj limit czasu sesji

1. Zaloguj się w Centrum administracyjnym Power Platform.

2. W okienku nawigacji wybierz pozycję Zarządzaj.

3. W okienku Zarządzaj, wybierz Środowiska.

4. Na stronie Środowiska wybierz środowisko.

5. Wybierz Ustawienia na pasku poleceń.

6. Rozwiń Produkt, a następnie wybierz Prywatność + bezpieczeństwo.

7. Włącz ustawienie Wygaśnięcia sesji.

8. Wprowadź wartości w następujących polach:

   • Wprowadź maksymalną długość sesji
   • Na jak długo przed wygaśnięciem sesji chcesz wyświetlić ostrzeżenie o przekroczeniu limitu czasu?

   Te ustawienia stosują się do wszystkich użytkowników.

9. Wybierz opcję Zapisz.

Uwaga

Limit czasu sesji to funkcja po stronie serwera, w której wymuszany jest czas istnienia wszystkich sesji. Wartości domyślne to:

• Maksymalna długość sesji: 1440 minuty
• Minimalna długość sesji: 60 minut
• Na jak długo przed wygaśnięciem sesji wyświetlone ostanie ostrzeżenie dotyczące limitu czasu: 20 minut

Zaktualizowane ustawienia będą obowiązywać po następnym zarejestrowaniu się użytkownika w aplikacji.

Przerwa spowodowana brakiem aktywności

Domyślnie aplikacje angażujące klientów nie wymuszają limitu czasu sesji bezczynności. Użytkownik może pozostać zalogowany w aplikacji do czasu wygaśnięcia sesji. Można zmienić to zachowanie.

Aby wymusić automatyczne wylogowanie użytkowników po określonym okresie braku aktywności, administratorzy mogą ustawić limit czasu braku aktywności dla każdego ze swoich środowisk. Aplikacja wylogowuje użytkownika po wygaśnięciu sesji braku aktywności.

Uwaga

Limit czasu sesji braku aktywności nie jest wymuszany w następujących aplikacjach:

• Dynamics 365 dla Outlook
• Dynamics 365 dla telefonów i Dynamics 365 dla tabletów
• Klient usługi Unified Service Desk korzystający z przeglądarki WPF (obsługiwana jest Internet Explorer)
• Live Assist (rozmowa)
• Aplikacje kanwy usługi Power Apps

Aby wymusić limitu czasu braku aktywności sesji dla zasobów sieci Web, zasoby sieci Web muszą zawierać plik ClientGlobalContext.js.aspx w rozwiązaniu.

Portal Dynamics 365 ma własne ustawienia do zarządzania limitem czasu sesji i limitem czasu sesji braku aktywności niezależnie od tych ustawień systemowych.

Konfiguruj limit czasu braku aktywności

1. Zaloguj się w Centrum administracyjnym Power Platform.

2. W okienku nawigacji wybierz pozycję Zarządzaj.

3. W okienku Zarządzaj, wybierz Środowiska.

4. Na stronie Środowiska wybierz środowisko.

5. Wybierz Ustawienia na pasku poleceń.

6. Rozwiń Produkt, a następnie wybierz Prywatność + bezpieczeństwo.

7. Włącz ustawienie Limit czasu bezczynności.

8. Wprowadź wartości w następujących polach:

   • Okres braku aktywności przed wygaśnięciem limitu czasu
   • Na jak długo przed wygaśnięciem sesji chcesz wyświetlić ostrzeżenie o braku aktywności?

   Te ustawienia stosują się do wszystkich użytkowników.

9. Wybierz opcję Zapisz.

Uwaga

Limit czasu braku aktywności to funkcja po stronie klienta, podczas której klient ma podjąć decyzję o prymitywnym wylogowaniu na podstawie braku nieaktywności. Wartości domyślne to:

• Minimalny okres braku aktywności: 5 minut.
• Maksymalny czas braku aktywności: mniej niż Maksymalna długość sesji lub 1440 minut

Zaktualizowane ustawienia będą obowiązywać po następnym zarejestrowaniu się użytkownika w aplikacji.

Zarządzanie dostępem

Aplikacje do angażowania klientów używają Microsoft Entra ID jako dostawcy tożsamości. Aby zabezpieczyć dostęp użytkownika do aplikacji angażujących klientów, wdrożono następujące środki:

• Aby wymusić od użytkowników ponowne uwierzytelnienie, użytkownicy muszą zalogować się przy użyciu swoich poświadczeń po wylogowaniu się z aplikacji.
• Aby uniemożliwić użytkownikom udostępnianie poświadczeń w celu uzyskania dostępu do aplikacji angażujących klientów, system weryfikuje token dostępu użytkownika, aby upewnić się, że dostawca tożsamości udzielił dostępu temu samemu użytkownikowi, który uzyskuje dostęp do aplikacji.