แชร์ผ่าน

การปรับปรุงการรักษาความปลอดภัย: การจัดการเซสชันและการเข้าถึงของผู้ใช้

  • บทความ

คุณสามารถใช้การปรับปรุงความปลอดภัยเพื่อรักษาความปลอดภัยให้กับแอปการมีส่วนร่วมของลูกค้า (Dynamics 365 Sales, Dynamics 365 Customer Service, Dynamics 365 Field Service, Dynamics 365 Marketing และ Dynamics 365 Project Service Automation) ได้ดีขึ้น

การจัดการการหมดเวลาเซสชันของผู้ใช้

การหมดเวลาของเซสชันผู้ใช้สูงสุด 24 ชั่วโมงถูกลบออก ซึ่งหมายความว่าผู้ใช้จะไม่ถูกบังคับให้เข้าสู่ระบบด้วยข้อมูลประจำตัวของตนเองเพื่อใช้แอปการมีส่วนร่วมของลูกค้าและแอป Microsoft service อื่น ๆ เช่น Outlook ที่ถูกเปิดในเซสชันของเบราว์เซอร์เดียวกันทุก 24 ชั่วโมง

ใช้นโยบายเซสชัน Microsoft Entra

ตามค่าเริ่มต้น แอปการมีส่วนร่วมของลูกค้าจะใช้ประโยชน์จาก นโยบายเซสชัน ของ Microsoft Entra เพื่อจัดการการหมดเวลาของเซสชันผู้ใช้ แอปการมีส่วนร่วมของลูกค้า ใช้โทเค็นรหัสของ Microsoft Entra ที่มีการอ้างสิทธิ์ช่วงเวลาการตรวจสอบนโยบาย (PCI) ทุกชั่วโมง โทเค็นรหัสของ Microsoft Entra ใหม่จะถูกดึงมาใช้โดยไม่แจ้งในพื้นหลัง และมีการบังคับใช้นโยบายอินสแตนซ์ Microsoft Entra (โดย Microsoft Entra ID) ตัวอย่างเช่น ถ้าผู้ดูแลระบบปิดการใช้งานหรือลบบัญชีผู้ใช้ บล็อกไม่ให้ผู้ใช้เข้าสู่ระบบ และผู้ดูแลระบบหรือผู้ใช้เพิกถอนโทเค็นรีเฟรช จะมีการบังคับใช้นโยบายเซสชัน Microsoft Entra

รอบการรีเฟรชโทเค็นรหัสของ Microsoft Entra ยังคงมีอยู่ในพื้นหลังโดยยึดตามการกำหนดค่านโยบายอายุการใช้งานโทเค็น Microsoft Entra ผู้ใช้เข้าถึงข้อมูลแอปการมีส่วนร่วมของลูกค้า/Microsoft Dataverse ต่อไปโดยไม่มีความต้องการที่จะรับรองความถูกต้อง จนกว่านโยบายอายุการใช้งานของโทเค็น Microsoft Entra จะหมดอายุ

หมายเหตุ

  • อายุการใช้งานของโทเค็นรีเฟรช Microsoft Entra ค่าเริ่มต้นคือ 90 วัน คุณสามารถกำหนดค่าคุณสมบัติของอายุการใช้งานของโทเค็นนี้ได้ สำหรับข้อมูลเพิ่มเติม ดูที่ อายุการใช้งานโทเค็นที่สามารถกำหนดค่าได้ใน Microsoft Entra ID
  • นโยบายเซสชัน Microsoft Entra ถูกเลี่ยง และระยะเวลาของเซสชันผู้ใช้สูงสุดถูกแปลงกลับเป็น 24 ชั่วโมง ในสถานการณ์ต่อไปนี้:
    • ในเซสชันเบราว์เซอร์ คุณไปที่ ศูนย์จัดการ Power Platform และเปิดสภาพแวดล้อมโดยการป้อน URL สภาพแวดล้อมด้วยตนเอง (ในแท็บเบราว์เซอร์เดียวกันหรือแท็บเบราว์เซอร์ใหม่ก็ได้)
      เพื่อแก้ไขปัญหา การเลี่ยงนโยบายและเซสชันผู้ใช้สูงสุด 24 ชั่วโมง ให้เปิดสภาพแวดล้อมจากแท็บ สภาพแวดล้อม ศูนย์จัดการ Power Platform โดยเลือกลิงก์ เปิด
    • ในเซสชันของเบราว์เซอร์เดียวกัน เปิดรุ่น 9.1.0.3647 หรือสภาพแวดล้อมที่สูงกว่า และเปิดรุ่นก่อน 9.1.0.3647
      เมื่อต้องการแก้ปัญหา การเลี่ยงนโยบายและการเปลี่ยนระยะเวลาผู้ใช้ ให้เปิดสภาพแวดล้อมที่สองในเซสชันของเบราว์เซอร์ที่แยกต่างหาก

ในการระบุรุ่นของคุณ ให้ลงชื่อเข้าใช้ในแอปการมีส่วนร่วมของลูกค้า และที่มุมขวาบนของหน้าจอ เลือกปุ่ม การตั้งค่า (ปุ่มการตั้งค่าโปรไฟล์ผู้ใช้) >เกี่ยวกับ

ความยืดหยุ่นต่อการขัดข้องของ Microsoft Entra

ในเหตุการณ์ที่มีการขัดข้องของ Microsoft Entra เป็นครั้งคราว ผู้ใช้ที่ได้รับการรับรองความถูกต้องสามารถเข้าถึงข้อมูลแอปการมีส่วนร่วมกับลูกค้า/Dataverse ต่อได้ ถ้าการอ้างสิทธิ์ PCI ยังไม่หมดอายุ หรือผู้ใช้ได้เลือกที่จะ 'ลงชื่อเข้าใช้เอาไว้' ในระหว่างการรับรองความถูกต้อง

ตั้งค่าการหมดเวลาของเซสชันแบบกำหนดเองสำหรับสภาพแวดล้อมแต่ละตัว

สำหรับสภาพแวดล้อมที่ต้องการค่าการหมดเวลาของเซสชันที่แตกต่างกัน ผู้ดูแลระบบสามารถทำต่อไปเพื่อตั้งค่าการหมดเวลาของเซสชันและ/หรือการหมดเวลาของการไม่ใช้งานในการตั้งค่าระบบ การตั้งค่าเหล่านี้จะแทนที่นโยบายเซสชัน Microsoft Entra เริ่มต้น และผู้ใช้จะถูกส่งตรงไปที่ Microsoft Entra ID เพื่อรับรองความถูกต้องอีกครั้งเมื่อการตั้งค่าเหล่านี้หมดอายุแล้ว

เมื่อต้องการเปลี่ยนแปลงพฤติกรรมนี้

  • เพื่อบังคับให้ผู้ใช้ทำการยืนยันตัวอีกครั้งหลังจากผ่านช่วงเวลาที่กำหนดไว้ล่วงหน้า ผู้ดูแลระบบสามารถกำหนดการหมดเวลาเซสชันสำหรับแต่ละสภาพแวดล้อมได้ ผู้ใช้สามารถอยู่ในระบบโปรแกรมประยุกต์ได้เฉพาะในช่วงเวลาเซสชัน โปรแกรมประยุกต์จะตัดผู้ใช้ออกจากระบบเมื่อหมดเซสชันนั้นๆ ผู้ใช้จำเป็นต้องเข้าสู่ระบบด้วยข้อมูลประจำตัวเพื่อกลับเข้าสู่แอปการมีส่วนร่วมของลูกค้า

หมายเหตุ

การหมดเวลาเซสชันของผู้ใช้ไม่ถูกบังคับในกรณีต่อไปนี้:

  1. Dynamics 365 for Outlook
  2. Dynamics 365 สำหรับโทรศัพท์ และ Dynamics 365 สำหรับแท็บเล็ต
  3. ไคลเอ็นต์ Unified Service Desk ที่ใช้เบราว์เซอร์ WPF (Internet Explorer ได้รับการสนับสนุน)
  4. Live Assist (แชท)
  5. แอปพื้นที่ทำงานใน Power Apps

กำหนดค่าการหมดเวลาของเซสชัน

  1. ในศูนย์การจัดการ Power Platform เลือกสภาพแวดล้อม

  2. เลือก การตั้งค่า>ผลิตภัณฑ์>ความเป็นส่วนตัว + ความปลอดภัย

  3. ตั้งค่า การหมดอายุของเซสชัน และ การหมดเวลาของการไม่ใช้งาน การตั้งค่าเหล่านี้ใช้กับผู้ใช้ทั้งหมด

หมายเหตุ

เซสชันหมดเวลา เป็นคุณลักษณะฝั่งเซิร์ฟเวอร์ที่บังคับใช้ตลอดอายุของเซสชันทั้งหมด ค่าเริ่มต้น ได้แก่:

  • ระยะเวลาเซสชันสูงสุด: 1440 นาที
  • ระยะเวลาเซสชันต่ำสุด: 60 นาที
  • ให้แสดงการเตือนการหมดเวลาก่อนที่เซสชันจะสิ้นสุดลงนานเท่าใด: 20 นาที
  • การตั้งค่าที่มีการปรับปรุงจะมีผลในครั้งต่อไปที่ผู้ใช้ลงชื่อเข้าใช้แอปพลิเคชัน

การหมดเวลาของการไม่ใช้งาน

โดยค่าเริ่มต้นแอปการมีส่วนร่วมของลูกค้า จะไม่บังคับการหมดเวลาเซสชันที่ไม่ใช้งาน ผู้ใช้สามารถอยู่ในโปรแกรมประยุกต์ได้จากกว่าจะหมดเวลาเซสชัน คุณสามารถเปลี่ยนแปลงพฤติกรรมนี้ได้

  • หากต้องการบังคับผู้ให้ใช้ออกจากระบบอัตโนมัติหลังการไม่ใช้งานในระยะเวลาที่กำหนดล่วงหน้า ผู้ดูแลสามารถตั้งค่าระยะการหมดเวลาของการไม่ใช้งานสำหรับแต่ละสภาพแวดล้อมได้ โปรแกรมประยุกต์จะตัดผู้ใช้ออกจากระบบเมื่อหมดเซสชันการไม่ใช้งานนั้นๆ

หมายเหตุ

การหมดเวลาเซสชันที่ไม่ใช้งานจะไม่บังคับในกรณีต่อไปนี้:

  1. Dynamics 365 for Outlook
  2. Dynamics 365 สำหรับโทรศัพท์ และ Dynamics 365 สำหรับแท็บเล็ต
  3. ไคลเอ็นต์ Unified Service Desk ที่ใช้เบราว์เซอร์ WPF (Internet Explorer ได้รับการสนับสนุน)
  4. Live Assist (แชท)
  5. แอปพื้นที่ทำงานใน Power Apps

หากต้องการบังคับการหมดเวลาเซสชันที่ไม่ใช้งานสำหรับทรัพยากรบนเว็บ จะต้องมีไฟล์ ClientGlobalContext.js.aspx อยู่ในโซลูชันของทรัพยากรบนเว็บ

พอร์ทัล Dynamics 365 มีการตั้งค่าของตัวเองในการจัดการการหมดเวลาเซสชันและการหมดเวลาเซสชันที่มีการไม่ใช้งานที่เป็นอิสระจากการตั้งค่าระบบเหล่านี้

กำหนดค่าการหมดเวลาของการไม่ใช้งาน

  1. ในศูนย์การจัดการ Power Platform เลือกสภาพแวดล้อม

  2. เลือก การตั้งค่า>ผลิตภัณฑ์>ความเป็นส่วนตัว + ความปลอดภัย

  3. ตั้งค่า การหมดอายุของเซสชัน และ การหมดเวลาของการไม่ใช้งาน การตั้งค่าเหล่านี้ใช้กับผู้ใช้ทั้งหมด

หมายเหตุ

หมดเวลาจากการไม่ใช้งาน เป็นคุณลักษณะฝั่งไคลเอ็นต์ที่ไคลเอ็นต์กำลังตัดสินใจออกจากระบบในขั้นต้นจากการไม่มีการใช้งาน ค่าเริ่มต้น ได้แก่:

  • ระยะเวลาของการไม่ใช้งานขั้นต่ำ: 5 นาที
  • ระยะเวลาของการไม่ใช้งานสูงสุด: น้อยกว่าระยะเวลาเซสชันสูงสุด หรือ 1440 นาที
  • การตั้งค่าที่มีการปรับปรุงจะมีผลในครั้งต่อไปที่ผู้ใช้ลงชื่อเข้าใช้แอปพลิเคชัน

การจัดการการเข้าถึง

แอปการมีส่วนร่วมของลูกค้าใช้ Microsoft Entra ID เป็นผู้ให้บริการข้อมูลประจำตัว หากต้องการรักษาความปลอดภัยในการเข้าถึงแอปการมีส่วนร่วมของลูกค้า ของผู้ใช้ ให้ดำเนินการดังต่อไปนี้:

  • หากต้องการบังคับให้ผู้ใช้ยืนยันตัวตนใหม่ ผู้ใช้จำเป็นต้องเข้าสู่ระบบด้วยข้อมูลประจำตัวหลังจากที่พวกเขาออกจากระบบโปรแกรมประยุกต์
  • หากต้องการป้องกันผู้ใช้จากการใช้ข้อมูลประจำตัวร่วมกันในการเข้าถึงแอปการมีส่วนร่วมของลูกค้า จะมีการตรวจสอบโทเค็นการเข้าถึงของผู้ใช้เพื่อรับรองว่าผู้ใช้ที่ได้รับสิทธิ์การเข้าถึงโดยตัวให้บริการข้อมูลเอกลักษณ์เป็นบุคคลเดียวกับที่กำลังเข้าถึงแอปการมีส่วนร่วมของลูกค้า