Sicherheitserweiterungen: Benutzersitzung und Zugriffsverwaltung
Sie können Sicherheitsverbesserungen verwenden, um die Apps zur Kundeninteraktion (Dynamics 365 Sales, Dynamics 365 Customer Service, Dynamics 365 Field Service, Dynamics 365 Marketing und Dynamics 365 Project Service Automation) besser zu schützen.
Verwaltung des Benutzersitzungstimeouts
Die maximale Benutzersitzungstimeout von 24 Stunden wird entfernt. Dies bedeutet, dass ein Benutzer nicht gezwungen ist, sich mit seinen Anmeldeinformationen anzumelden, um die Customer Engagement-Apps und andere Microsoft Service-Apps wie Outlook zu verwenden, die alle 24 Stunden in derselben Browsersitzung geöffnet wurden.
Einhalten der Microsoft Entra-Sitzungsrichtlinie
Standardmäßig nutzen die Apps zur Kundeninteraktion die Microsoft Entra Sitzungsrichtlinie, um die Zeitüberschreitung der Benutzersitzung zu verwalten. Apps für Apps zur Kundeninteraktion verwenden das ID-Token Microsoft Entra mit einem Anspruch auf ein Richtlinien-Prüfintervall (PCI). Jede Stunde wird stillschweigend im Hintergrund ein neues Microsoft Entra-ID-Token abgerufen und die Microsoft Entra-Instantrichtlinie wird erzwungen (von Microsoft Entra ID). Wenn beispielsweise ein Administrator ein Benutzerkonto deaktiviert oder löscht, die Benutzeranmeldung verhindert und ein Administrator oder Benutzer das Aktualisierungstoken widerruft, wird die Microsoft Entra-Sitzungsrichtlinie erzwungen.
Dieser Microsoft Entra-ID-Token-Aktualisierungszyklus wird im Hintergrund fortgesetzt, basierend auf den Microsoft Entra-Tokengültigkeitsdauer-Richtlinienkonfigurationen. Benutzer können weiterhin auf die Customer Engagement-Apps/Microsoft Dataverse-Daten zugreifen, ohne sich erneut authentifizieren zu müssen, bis die Richtlinie für die Lebensdauer des Microsoft Entra-Tokens ausläuft.
Notiz
- Das standardmäßige Microsoft Entra-Aktualisierungstoken läuft nach 90 Tagen ab. Diese Token-Lebensdauereigenschaften können konfiguriert werden. Ausführliche Informationen finden Sie unter Konfigurierbare Tokengültigkeitsdauern in Microsoft Entra ID.
- Die Microsoft Entra-Sitzungsrichtlinie wird umgangen und die maximale Benutzersitzungsdauer wird in den folgenden Szenarien wieder auf 24 Stunden zurückgesetzt:
- In einer Browsersitzung haben Sie zu Power Platform Admin Center gewechselt und eine Umgebung geöffnet, indem Sie manuell die Umgebungs-URL eingegeben haben (entweder in derselben Browserregisterkarte oder einer neuen Browserregisterkarte).
Um die Richtlinienumgehung und die maximale Benutzersitzung von 24 Stunden zu umgehen , öffnen Sie Umgebung über die Registerkarte Power Platform Admin Center Umgebungen , indem Sie die Option Öffnen verknüpfen auswählen. - Öffnen Sie in derselben Browsersitzung eine Umgebung mit Version 9.1.0.3647 oder höher und öffnen Sie dann eine frühere Version als Version 9.1.0.3647.
Um die Umgehung der Richtlinie und die Änderung der Benutzerdauer zu umgehen , öffnen Sie das zweite Umgebung in einer separaten Browsersitzung.
- In einer Browsersitzung haben Sie zu Power Platform Admin Center gewechselt und eine Umgebung geöffnet, indem Sie manuell die Umgebungs-URL eingegeben haben (entweder in derselben Browserregisterkarte oder einer neuen Browserregisterkarte).
Um Ihre Version zu bestimmen, melden Sie sich bei Apps zur Kundenbindung an, und wählen Sie oben rechts auf dem Bildschirm die Schaltfläche Einstellungen ()>Über.
Widerstandsfähigkeit bei Microsoft Entra-Ausfällen
Für den Fall, dass es zu zeitweiligen Microsoft Entra-Ausfällen kommt, können authentifizierte Benutzer weiterhin auf die Customer Engagement-Apps/Dataverse-Daten zugreifen, wenn die PCI-Ansprüche noch nicht abgelaufen sind oder der Benutzer bei der Authentifizierung die Option „Angemeldet bleiben“ gewählt hat.
Festlegen eines benutzerdefinierten Sitzungstimeouts für eine einzelne Umgebung
Bei Umgebungen, die unterschiedliche Sitzungstimeoutwerte erfordern, können Administratoren weiterhin das Sitzungstimeout und/oder das Inaktivitätstimeout in den Systemeinstellungen festlegen. Diese Einstellungen setzen die Standardrichtlinie für Microsoft Entra-Sitzungen außer Kraft und die Benutzer werden zur erneuten Authentifizierung an Microsoft Entra ID verwiesen, wenn diese Einstellungen abgelaufen sind.
So kann dieses Verhalten geändert werden
- Um zu erzwingen, dass sich Benutzer nach einer bestimmten Zeit neu authentifizieren müssen, können Admins ein Sitzungs-Timeout für ihre individuellen Umgebungen festlegen. Benutzer können in der Anwendung nur für die Dauer einer Sitzung angemeldet bleiben. Die Verwendung meldet den Benutzer ab, wenn die Sitzung abgelaufen ist. Die Benutzer müssen sich mit ihren Anmeldeinformationen anmelden, um zu den Customer Engagement-Apps zurückzukehren.
Notiz
Benutzersitzungstimeout wird in den Folgenden nicht erzwungen:
- Dynamics 365 for Outlook
- Dynamics 365 für Smartphones und Dynamics 365 für Tablets
- Verwendung des Unified Service Desk-Clients WPF Browser (Internet Explorer wird unterstützt)
- Live Assist (Chat)
- Power Apps-Canvas-Apps
Sitzungstimeout konfigurieren
Wählen Sie im Power Platform-Admin-Center eine Umgebung aus.
Wählen Sie Einstellungen>Produkt>Sicherheit und Datenschutz aus.
Legen Sie Ablauf der Sitzung und Inaktivitätstimeout fest. Diese Einstellungen gelten für alle Benutzer.
Notiz
Das Sitzungstimeout ist eine serverseitige Funktion, die die Lebensdauer aller Sitzungen erzwingt. Die Standardwerte sind:
- Maximale Sitzungsdauer: 1440 Minuten
- Minimale Sitzungsdauer: 60 Minuten
- Wie lange vor Ablauf der Sitzung eine Timeoutwarnung angezeigt werden soll: 20 Minuten
- Die aktualisierten Einstellungen werden wirksam, wenn sich der Benutzer das nächste Mal bei der Anwendung anmeldet.
Inaktivitätstimeout
Standardmäßig erzwingen Apps zur Kundeninteraktion kein Timeout für Inaktivitätssitzungen. Ein Benutzer kann bei der Anwendung angemeldet bleiben, bis das Sitzungstimeout abläuft. Dieses Verhalten kann nicht geändert werden.
- Um zu erzwingen, dass sich Benutzer nach einer bestimmten Zeit der Inaktivität automatisch abmelden, können Admins für jede ihrer Umgebungen eine Zeitspanne für die Inaktivität festlegen. Die Verwendung meldet den Benutzer ab, wenn die Inaktivitätssitzung abgelaufen ist.
Notiz
Das Inaktivitätssitzungstimeout wird in den Folgenden nicht erzwungen:
- Dynamics 365 for Outlook
- Dynamics 365 für Smartphones und Dynamics 365 für Tablets
- Verwendung des Unified Service Desk-Clients WPF Browser (Internet Explorer wird unterstützt)
- Live Assist (Chat)
- Power Apps-Canvas-Apps
Um das Untätigkeitssitzungstimeout für Webressourcen zu erzwingen, müssen die Webressourcen die Datei ClientGlobalContext.js.aspx in der Lösung enthalten.
Das Dynamics 365-Portal hat eigene Einstellungen, um das Sitzungstimeout und das Inaktivitätssitzungstimeout zu verwalten, unabhängig von diesen Systemeinstellungen.
Inaktivitätstimeout konfigurieren
Wählen Sie im Power Platform-Admin-Center eine Umgebung aus.
Wählen Sie Einstellungen>Produkt>Sicherheit und Datenschutz aus.
Legen Sie Ablauf der Sitzung und Inaktivitätstimeout fest. Diese Einstellungen gelten für alle Benutzer.
Notiz
Bei Inaktivitäts-Timeout handelt es sich um eine clientseitige Funktion, bei der der Client basierend auf der Inaktivität die Entscheidung trifft, sich abzumelden. Die Standardwerte sind:
- Minimal zulässige Dauer der Untätigkeit: 5 Minuten
- Maximal zulässige Dauer der Untätigkeit: weniger als die maximale Sitzungsdauer oder 1440 Minuten
- Die aktualisierten Einstellungen werden wirksam, wenn sich der Benutzer das nächste Mal bei der Anwendung anmeldet.
Zugriffsverwaltung
Apps für Apps zur Kundeninteraktion verwenden Microsoft Entra ID als Identitätsprovider. Um den Zugriff des Benutzers auf Apps zur Kundeninteraktion zu sichern, wurde Folgendes implementiert:
- Um die Benutzer zur erneuten Authentifizierung zu zwingen, müssen sich die Benutzer mit ihren Anmeldeinformationen anmelden, nachdem sie sich innerhalb der Anwendung abgemeldet haben.
- Um zu verhindern, dass Benutzer Anmeldeinformationen für den Zugriff auf Apps zur Kundeninteraktion freigeben, wird das Benutzerzugriffstoken validiert, um sicherzustellen, dass der Benutzer, dem der Identitätsanbieter Zugriff gewährt hat, derselbe Benutzer ist, der auf Apps zur Kundeninteraktion zugreift.