可以使用安全增强功能来保护客户参与应用,例如Dynamics 365 Sales、Dynamics 365 Customer Service、Dynamics 365 Field Service、Dynamics 365市场营销和Dynamics 365 Project Service Automation。
用户会话超时管理
去除了 24 小时的用户会话最大超时时限。 因此,用户不再需要每隔 24 小时使用其凭据登录,以继续使用客户参与应用和其他Microsoft服务应用(如Outlook)在同一浏览器会话中。
遵循Microsoft Entra会话策略
默认情况下,客户参与应用使用 Microsoft Entra session 策略来管理用户会话超时。 客户参与应用将Microsoft Entra ID令牌与策略检查间隔(PCI)声明配合使用。 每小时都会在后台以静默方式提取新的 Microsoft Entra ID 令牌,并强制实施 Microsoft Entra 即时策略(由 Microsoft Entra ID 执行)。 例如,当管理员禁用或删除用户帐户、阻止用户登录以及管理员或用户撤销刷新令牌时,系统将强制实施Microsoft Entra会话策略。
根据Microsoft Entra令牌生存期策略配置,Microsoft Entra ID令牌的刷新周期在后台继续进行。 用户将继续访问客户参与应用/Microsoft Dataverse数据,而无需重新进行身份验证,直到Microsoft Entra令牌生存期策略过期。
备注
- 默认Microsoft Entra刷新令牌过期为 90 天。 此令牌生命周期属性可以配置。 有关详细信息,请参阅 Microsoft Entra ID 中的可配置令牌生存期。
- Microsoft Entra会话策略被绕过,在以下情况下,最大用户会话持续时间恢复为 24 小时:
- 在浏览器会话中,您转到 Power Platform 管理中心,通过手动键入环境 URL(在同一个浏览器选项卡或新浏览器选项卡上)打开环境。
若要解决策略绕过和最大 24 小时用户会话问题,从 Power Platform 管理中心环境选项卡通过选择打开链接打开环境。 - 在同一个浏览器会话中,打开版本 9.1.0.3647 或更高版本的环境,然后打开早期版本 9.1.0.3647。
若要解决策略绕过和用户持续时间更改问题,在单独的浏览器会话中打开第二个环境。
- 在浏览器会话中,您转到 Power Platform 管理中心,通过手动键入环境 URL(在同一个浏览器选项卡或新浏览器选项卡上)打开环境。
若要确定您的版本,请登录到 Customer Engagement 应用,然后在屏幕右上角选择设置按钮 >关于。
Microsoft Entra中断的复原能力
如果发生间歇性Microsoft Entra中断,经过身份验证的用户仍然可以访问客户参与应用和 Dataverse 数据(如果他们的 PCI 声明仍然有效,或者在身份验证期间选择“保持登录”。
为单个环境设置自定义会话超时
对于需要不同会话超时值的环境,管理员可以继续在“系统设置”中设置会话超时和/或不活动超时。 这些设置将覆盖默认Microsoft Entra会话策略,当用户设置过期时将定向到Microsoft Entra ID重新身份验证。
更改此行为
要强制用户在预定时间段后重新进行身份验证,管理员可以为其各个环境设置会话超时。 用户只能在会话期间保持登录状态。 会话到期后,应用程序将注销用户。 用户需要使用自己的凭据登录,才能返回客户互动应用。
备注
以下应用中不会强制执行用户会话超时:
- Dynamics 365 for Outlook
- 适用于手机和平板电脑的Dynamics 365
- 使用 WPF 浏览器的统一服务台客户端(支持Internet Explorer)
- Live Assist(聊天)
- Power Apps画布应用
配置会话超时
登录到 Power Platform 管理中心。
在导航窗格中,选择“ 管理”。
在管理窗格中,选择环境。
在环境页面上,选择一个环境。
在命令栏中,选择设置。
展开 “产品”,然后选择 “隐私 + 安全”。
打开 会话过期 设置。
在以下字段中输入值:
- 输入最大会话长度
- 您希望在会话到期前多久显示超时警告?
这些设置适用于所有用户。
选择“保存”。
备注
会话超时 是一项服务器端功能,用于强制执行所有会话的持续时间。 默认值为:
- 最大会话时长:1440 分钟
- 最小会话时长:60 分钟
- 显示超时警告前还有多久会话到期:20 分钟
更新的设置将在用户下次登录应用程序时生效。
非活动超时
默认情况下,客户互动应用不会强制执行非活动会话超时。 用户可保持应用程序登录状态,直到会话超时到期。 您可以更改此行为。
要强制用户在预定的不活动时间后自动注销,管理员可以为其每个环境设置不活动超时时间。 非活动会话到期后,应用程序将注销用户。
备注
以下应用中不会强制执行非活动会话超时:
- Dynamics 365 for Outlook
- 适用于手机和平板电脑的Dynamics 365
- 使用 WPF 浏览器的统一服务台客户端(支持Internet Explorer)
- Live Assist(聊天)
- Power Apps画布应用
若要为 Web 资源强制执行非活动会话超时,Web 资源的解决方案中需要包含 ClientGlobalContext.js.aspx 文件。
Dynamics 365门户有自己的设置,用于管理其会话超时和非活动会话超时,这与这些系统设置无关。
配置非活动超时
登录到 Power Platform 管理中心。
在导航窗格中,选择“ 管理”。
在管理窗格中,选择环境。
在环境页面上,选择一个环境。
在命令栏中,选择设置。
展开 “产品”,然后选择 “隐私 + 安全”。
打开 不活动超时 设置。
在以下字段中输入值:
- 超时前的不活动持续时间
- 您希望在会话到期前多久显示不活动警告?
这些设置适用于所有用户。
选择“保存”。
备注
非活动超时是一种客户端功能,客户端根据非活动状态简单决定注销。 默认值为:
- 最小非活动持续时间:5 分钟
- 最大非活动持续时间:低于最大会话时长或 1440 分钟
更新的设置将在用户下次登录应用程序时生效。
访问管理
客户参与应用使用Microsoft Entra ID作为标识提供者。 为了保护用户对 Customer Engagement 应用的访问,实施了以下措施:
- 若要强制用户重新进行身份验证,用户需要在注销应用程序后使用自己的凭据登录。
- 为了防止用户共享凭据以访问 Customer Engagement 应用,系统将验证用户访问令牌,以确保标识提供者向正在访问应用的同一用户授予访问权限。