分享方式:

安全性增強功能:使用者工作階段與存取管理

  • 文章

您可以使用安全性增強功能加強客戶參與應用程式 (Dynamics 365 Sales、Dynamics 365 Customer Service、Dynamics 365 Field Service、Dynamics 365 Marketing 和 Dynamics 365 Project Service Automation) 的安全性。

使用者工作階段逾時管理

24 小時的使用者工作階段逾時上限已移除。 這表示不強制使用者每隔 24 小時使用其認證登入,以使用已在相同瀏覽器工作階段中開啟的客戶參與應用程式及其他 Microsoft 服務應用程式 (例如 Outlook)。

遵守 Microsoft Entra 工作階段原則

預設情況下,客戶參與應用程式利用 Microsoft Entra 工作階段原則管理使用者工作階段逾時。 客戶參與應用程式使用含原則檢查間隔 (PCI) 宣告的 Microsoft Entra 識別碼權杖。 每小時都會在背景以無訊息方式擷取新的 Microsoft Entra 識別碼權杖,並強制執行 Microsoft Entra 即時原則 (透過 Microsoft EntraID)。 例如,如果系統管理員停用或刪除使用者登入、封鎖使用者使其無法登入,以及系統管理員或使用者撤銷重新整理權杖時,就會強制執行 Microsoft Entra 工作階段原則。

此 Microsoft Entra 識別碼權杖重新整理週期會根據 Microsoft Entra 權杖存留期原則設定繼續在背景中進行。 使用者繼續存取客戶參與應用程式/Microsoft Dataverse 資料,在 Microsoft Entra 代用文字存留期原則到期之前,都不需要重新驗證。

Note

  • 預設 Microsoft Entra 重新整理權杖期限是 90 天。 您可以設定此權杖存留期屬性。 如需詳細資訊,請參閱 Microsoft Entra ID 中的可設定權杖存留期
  • 在下列案例中會略過 Microsoft Entra 工作階段原則,而且使用者工作階段期間上限會還原回 24 小時:
    • 在瀏覽器工作階段中,您進入 Power Platform 系統管理中心,並透過手動輸入環境 URL (在相同的瀏覽器索引標籤或新的瀏覽器索引標籤上) 開啟環境。
      以因應措施處理 原則略過和最多 24 小時的使用者工作階段,請從 Power Platform 系統管理中心的環境索引標籤,選取開啟連結,來打開環境。
    • 在相同的瀏覽器工作階段中,開啟 9.1.0.3647 版或更新版本環境,然後開啟比 9.1.0.3647 更舊的版本。
      若要避開原則略過和使用者期間變更,請在不同的瀏覽器工作階段中開啟第二個環境。

若要判斷您的版本,請登入 Customer Engagement 應用程式,然後在畫面右上角選取設定按鈕 (使用者設定檔 [設定] 按鈕。) >關於

Microsoft Entra 中斷恢復

Microsoft Entra 發生間歇性中斷情況時,如果 PCI 宣告尚未過期,或使用者已在驗證時選擇「保持登入」,已驗證的使用者可以繼續存取客戶參與應用程式/Dataverse。

設定每個環境的自訂工作階段逾時

對於需要不同工作階段逾時值的環境,系統管理員可以繼續在 [系統設定] 中設定工作階段逾時及/或非使用狀態逾時。 這些設定會覆寫預設 Microsoft Entra 工作階段原則,當這些設定到期時,系統會將使用者導向至 Microsoft Entra ID 進行重新驗證。

若要變更此行為

  • 若要強制在預定期間之後使用者重新驗證,系統管理員可以設定他們個別環境的工作階段逾時。 使用者只有在工作階段期間才能維持登入應用程式中的狀態。 工作階段過期時,應用程式會將使用者登出。 使用者必須使用自己的認證登入才能返回客戶參與應用程式。

Note

使用者工作階段逾時不會在下列項目中強制執行:

  1. Dynamics 365 for Outlook
  2. 行動電話用 Dynamics 365 和平板電腦用 Dynamics 365
  3. Unified Service Desk 用戶端使用 WPF瀏覽器 (支援 Internet Explorer)
  4. Live Assist (聊天)
  5. Power Apps 畫布應用程式

設定工作階段逾時

  1. 在 Power Platform 系統管理中心,選取環境。

  2. 選取設定>產品>隱私權 + 安全性

  3. 設定 工作階段到期時間非使用狀態逾時。 將這些設定套用至所有使用者。

Note

工作階段超時是一種伺服器端功能,其中會強制執行所有工作階段的存留時間。 預設值為:

  • 工作階段時間上限:1440 分鐘
  • 工作階段時間下限:60 分鐘
  • 工作階段過期之前多久時間顯示逾時警告:20 分鐘
  • 更新後的設定會在使用者下次登入應用程式時生效。

非使用狀態逾時

預設情況下,客戶參與應用程式不會強制非使用狀態的工作階段逾時。 使用者可以維持登入應用程式中的狀態,直到工作階段逾時過期為止。 您可以變更此行為。

  • 若要強制使用者在預定的一段非使用狀態時間之後自動登出,系統管理員可以設定他們每個環境的非使用狀態逾時。 非使用狀態工作階段過期時,應用程式會將使用者登出。

Note

非使用狀態工作階段逾時不會在下列項目中強制執行:

  1. Dynamics 365 for Outlook
  2. 行動電話用 Dynamics 365 和平板電腦用 Dynamics 365
  3. Unified Service Desk 用戶端使用 WPF瀏覽器 (支援 Internet Explorer)
  4. Live Assist (聊天)
  5. Power Apps 畫布應用程式

若要對 Web 資源強制非使用狀態工作階段逾時,Web 資源必須將 ClientGlobalContext.js.aspx 檔案包含在其解決方案中。

Dynamics 365 入口網站有其本身的設定可以管理其工作階段逾時及非使用狀態工作階段逾時,與這些系統設定無關。

設定非使用狀態逾時

  1. 在 Power Platform 系統管理中心,選取環境。

  2. 選取設定>產品>隱私權 + 安全性

  3. 設定 工作階段到期時間非使用狀態逾時。 將這些設定套用至所有使用者。

Note

不活躍超時是一種用戶端功能,其中用戶會根據欠缺活動,做出早期登出的決定。 預設值為:

  • 非使用狀態持續時間下限:5 分鐘
  • 非使用狀態持續時間上限:小於工作階段時間上限或 1440 分鐘
  • 更新後的設定會在使用者下次登入應用程式時生效。

存取管理

客戶參與應用程式使用 Microsoft Entra ID 作為身分識別提供者。 為了保護使用者存取客戶參與應用程式的安全,已實作項目如下:

  • 若要強制使用者重新驗證,使用者必須在他們從應用程式中登出之後使用其認證登入。
  • 為了預防使用者共用認證存取客戶參與應用程式,系統會驗證使用者存取權杖,確保身分識別提供者給予存取權的使用者與正在存取客戶參與應用程式的使用者是同一人。