使用安全性增強功能來管理使用者工作階段及存取
您可以使用安全性增強功能進一步保護 Dynamics 365 Customer Engagement (on-premises) 安全。
使用者工作階段逾時管理
24 小時的使用者工作階段逾時上限已移除。 這表示不強制使用者每隔 24 小時使用其認證登入,以使用已在相同瀏覽器工作階段中開啟的 Customer Engagement (on-premises) 及其他 Microsoft 服務應用程式 (例如 Outlook)。
設定工作階段逾時
- 在 Customer Engagement (on-premises) 中,選擇設定>管理>系統設定>一般索引標籤。
- 在設定工作階段逾時下,設定要套用至所有使用者的值。
Note
預設值為:
- 工作階段時間上限:1440 分鐘
- 工作階段時間下限:60 分鐘
- 工作階段過期之前多久時間顯示逾時警告:20 分鐘
非使用狀態逾時
根據預設,Customer Engagement (on-premises) 不會強制非使用狀態工作階段逾時。 使用者可以維持登入應用程式中的狀態,直到工作階段逾時過期為止。 您可以變更此行為。
- 若要強制使用者在預定的一段非使用狀態時間之後自動登出,系統管理員可以設定 Customer Engagement (on-premises) 的非使用狀態逾時。 非使用狀態工作階段過期時,應用程式會將使用者登出。
Note
非使用狀態工作階段逾時不會在下列項目中強制執行:
- Dynamics 365 for Outlook
- 行動電話用 Dynamics 365 和平板電腦用 Dynamics 365
- Unified Service Desk 用戶端使用 WPF瀏覽器 (支援 Internet Explorer)
- Live Assist (聊天)
Microsoft Internet Explorer 11 支援已被取代。 建議您使用 Microsoft Edge。 其他資訊:取代公告
若要對 Web 資源強制非使用狀態工作階段逾時,Web 資源必須將 ClientGlobalContext.js.aspx 檔案包含在其解決方案中。
Customer Engagement (on-premises) 入口網站有其本身的設定可以管理其工作階段逾時及非使用狀態工作階段逾時,與這些系統設定無關。
設定非使用狀態逾時
- 在 Customer Engagement (on-premises) 中,選擇設定>管理>系統設定>一般索引標籤。
- 在設定非使用狀態逾時下,設定要套用至所有使用者的值。
Note
預設值為:
- 非使用狀態持續時間下限:5 分鐘
- 非使用狀態持續時間上限:小於工作階段時間上限或 1440 分鐘
啟用 Dynamics 365 for Customer Engagement 應用程式 (內部部署) 部署安全性增強功能的步驟
重要
從 Dynamics 365 for Customer Engagement 9.0 版或更新版本開始,無法再使用下述 Dynamics 365 for Customer Engagement 應用程式軟體開發套件 (SDK) 步驟。
根據預設,這些增強功能在發行時已停用。 系統管理員可以使用下列其中一個支援的 Dynamics 365 for Customer Engagement 應用程式 (內部部署) 組建,啟用這些增強功能。
需求
這些安全性增強功能需要啟用功能控制位元 FCB.UCIInactivityTimeout,以及使用者驗證所需的宣告型驗證。 您可以使用下列兩種方式之一來設定宣告型驗證:
- 使用網際網路對向部署 (IFD)。 請參閱設定 Microsoft Dynamics 365 for Customer Engagement 的 IFD。
- 單獨使用宣告型驗證 (如果 Microsoft Dynamics 365 for Customer Engagement 應用程式是部署在所有 Microsoft Dynamics 365 for Customer Engagement 應用程式使用者所在的相同網域,或使用者是在信任網域中)。 請參閱設定宣告型驗證。
若要取得 SDK 範例程式碼 (僅供參考,不需要設定和啟用工作階段逾時):
- 使用系統管理員帳戶存取您的 Dynamics 365 for Customer Engagement Server。
- 開啟瀏覽器工作階段並下載 Dynamics 365 for Customer Engagement 應用程式軟體開發套件 (SDK)。
- 選取並執行 MicrosoftDynamics365SDK.exe。 這將會解壓縮下載檔,並在 Dynamics 365 for Customer Engagement Server 上建立 SDK 資料夾。
- 開啟 PowerShell 命令提示字元。
- 瀏覽至下載的 SDK 資料夾。
- 開啟 SampleCode\PS 資料夾。
更新為支援的內部部署版本之後,請依照下列步驟啟用安全性增強功能。
使用者工作階段逾時
系統管理員現在可以強制使用者在設定的期間之後重新驗證。 您可以設定每個 Dynamics 365 for Customer Engagement 執行個體的使用中工作階段逾時。 使用者只有在工作階段期間才能維持登入應用程式中的狀態。 工作階段過期後,使用者就必須使用其認證重新登入。 系統管理員也可以要求使用者在一段非使用狀態時間之後登入。 您可以設定每個執行個體的非使用狀態逾時。 這有助於防止惡意使用者未經授權從無人值守的裝置進行存取。
啟用使用者工作階段逾時
啟用工作階段逾時:
SetAdvancedSettings.ps1 -ConfigurationEntityName ServerSettings -SettingName AllowCustomSessionDuration -SettingValue true啟用非使用狀態逾時:
SetAdvancedSettings.ps1 -ConfigurationEntityName ServerSettings -SettingName AllowCustomInactivityDuration -SettingValue true
存取權杖管理
為了更妥善保護 Dynamics 365 for Customer Engagement 中的使用者存取及資料隱私權,當使用者登出網頁用戶端後還需要返回應用程式時,他們必須在所有已開啟的瀏覽器工作階段中重新輸入其認證。 Dynamics 365 for Customer Engagement 應用程式可確保登入權杖就是原先針對目前瀏覽器及電腦所產生的權杖。
啟用存取權杖管理
若要依預設為所有組織啟用,請複製此命令並於 PowerShell 中執行:
SetAdvancedSettings.ps1 -ConfigurationEntityName ServerSettings -SettingName WSFedNonceCookieEnabled -SettingValue true
範例:
-或-
若要為單一組織啟用,請複製此命令並於 PowerShell 中執行:
SetAdvancedSettings.ps1 -ConfigurationEntityName Organization -SettingName WSFedNonceCookieEnabled -SettingValue true -Id <Your organization ID GUID>
若要取得 [您的組織識別碼 GUID],請開啟 PowerShell 並執行下列命令:
Add-PSSnapin Microsoft.Crm.PowerShell
Get-CrmOrganization
範例:
