Zarządzanie sesjami i dostępem za pomocą ulepszeń zabezpieczeń

Można użyć rozszerzeń zabezpieczeń w celu lepszego zabezpieczenia Dynamics 365 Customer Engagement (on-premises).

Zarządzanie limitem czasu sesji użytkownika

Maksymalny limit czasu sesji użytkownika wynoszący 24 godziny zostanie usunięty. Oznacza to, że użytkownik nie jest zmuszany do logowania się przy użyciu poświadczeń, aby używać Customer Engagement (on-premises) i innych aplikacji usług Microsoft, takich jak Outlook, które były otwierane w tej samej sesji przeglądarki co 24 godziny.

Skonfiguruj limit czasu sesji

1. W Customer Engagement (on-premises), wybierz Ustawienia>Administracja>Ustawienia systemu>Ogólne.
2. W obszarze Ustaw limit czasu sesji, ustaw wartości, które mają zastosowanie do wszystkich użytkowników.

Uwaga

Wartości domyślne to:

• Maksymalna długość sesji: 1440 minuty
• Minimalna długość sesji: 60 minut
• Na jak długo przed wygaśnięciem sesji wyświetlone ostanie ostrzeżenie dotyczące limitu czasu: 20 minut

Limit czasu braku aktywności

Domyślnie Customer Engagement (on-premises) nie wymusza limitu czasu braku aktywności sesji. Użytkownik może pozostać zalogowany w aplikacji do czasu wygaśnięcia sesji. Można zmienić to zachowanie.

• Aby wymusić na użytkownikach automatyczne wylogowywanie się po ustalonym okresie braku aktywności, Administratorzy mogą ustawić limit czasu braku aktywności dla Customer Engagement (on-premises). Aplikacja wylogowuje użytkownika po wygaśnięciu sesji braku aktywności.

Uwaga

Limit czasu braku aktywności sesji nie jest wymuszany w poniższych przypadkach:

1. Dynamics 365 for Outlook
2. Dynamics 365 na telefony i Dynamics 365 na tablety
3. Klient unified Service Desk za pomocą przeglądarki WPF (Internet Explorer jest obsługiwane)
4. Live Assist (rozmowa)

Pomoc techniczna dla Microsoft Internet Explorer 11 jest przestarzała. Zaleca się korzystanie z Microsoft Edge. Więcej informacji: Ogłoszenie dotyczące wycofywania

Aby wymusić limitu czasu braku aktywności sesji dla zasobów sieci Web, zasoby sieci Web muszą zawierać plik ClientGlobalContext.js.aspx w rozwiązaniu.

Portal Customer Engagement (on-premises) ma własne ustawienia służące do zarządzania limitem czasu sesji i braku aktywności niezależne od ustawień systemu.

Konfiguruj limit czasu braku aktywności

1. W Customer Engagement (on-premises), wybierz Ustawienia>Administracja>Ustawienia systemu>Ogólne.
2. W obszarze Ustaw limit czasu braku aktywności, ustaw wartości, które mają zastosowanie do wszystkich użytkowników.

Uwaga

Wartości domyślne to:

• Minimalny okres braku aktywności: 5 minut.
• Maksymalny czas braku aktywności: mniej niż Maksymalna długość sesji lub 1440 minut

Kroki umożliwiające włączenie ulepszeń zabezpieczeń dla wdrożeń aplikacji platformy Dynamics 365 for Customer Engagement (wersja lokalna)

Ważne

Od Dynamics 365 for Customer Engagement, wersja 9.0 lub wyższa kroki aplikacje Dynamics 365 for Customer Engagement, Zestaw do tworzenia oprogramowania (SDK) opisane poniżej nie są już dostępne.

Te ulepszenia zabezpieczeń są przesyłane domyślnie wyłączone. Administratorzy mogą włączyć te ulepszenia podczas używania jednej z obsługiwanych kompilacji aplikacji platformy Dynamics 365 for Customer Engagement (wersja lokalna) wymienionej poniżej.

Wymaganie

Te funkcje poprawy zabezpieczeń wymagają włączenia Feature Control Bit FCB.UCIInactivityTimeout i uwierzytelniania opartego na oświadczeniach do uwierzytelniania użytkownika. Uwierzytelnianie oparte na oświadczeniach można skonfigurować na dwa sposoby:

• Za pomocą Wdrożenia internetowego (IFD). Zobacz Konfigurowanie IFD dla Microsoft Dynamics 365 for Customer Engagement.
• W przypadku uwierzytelniania opartego na oświadczeniach jeśli aplikacje Microsoft Dynamics 365 for Customer Engagement są wdrażane w tej samej domenie, w której znajdują się wszyscy użytkownicy aplikacji Microsoft Dynamics 365 for Customer Engagement, lub użytkownicy są w domenie zaufanej. Zobacz Skonfiguruj uwierzytelnianie oparte na oświadczeniach.

Aby uzyskać przykładowy kod SDK (dla odwołania, nie jest wymagany do konfigurowania i włączania limitu czasu sesji):

1. Uzyskaj dostęp do serwera Dynamics 365 for Customer Engagement za pomocą konta administratora.
2. Otwórz sesję przeglądarki i pobierz Software Development Kit (SDK) dla Dynamics 365 for Customer Engagement.
3. Wybierz i uruchom MicrosoftDynamics365SDK.exe. To wyodrębni pobrany plik i utworzy folder SDK na serwerze Dynamics 365 for Customer Engagement.
4. Otwórz wiersz polecenia programu PowerShell.
5. Przejdź do pobranego folderu SDK.
6. Otwórz folder SampleCode\PS.

Po uaktualnieniu do obsługiwanej wersja lokalnej wykonaj poniższe kroki, aby włączyć ulepszenia zabezpieczeń.

Limit czasu sesji użytkownika

Administratorzy systemu mogą teraz wymusić na użytkownikach ponowne uwierzytelnienie po określonym czasie. Przekroczenia limitu czasu sesji aktywnych można ustawić dla każdego wystąpienia Dynamics 365 for Customer Engagement. Użytkownicy mogą pozostać zalogowani w aplikacji przez czas trwania sesji. Po wygaśnięciu sesji, trzeba ponownie zalogować się przy użyciu swoich poświadczeń. Administratorzy systemu mogą także zażądać logowania dla użytkowników po upływie aktywności. Limit czasu braku aktywności można ustawić dla każdego wystąpienia. To pomaga uniknąć nieautoryzowanego dostępu przez złośliwych użytkowników z nienadzorowanego urządzenia.

Włącz limit czasu braku aktywności użytkownika

1. Włącz limit czasu sesji:

   SetAdvancedSettings.ps1 -ConfigurationEntityName ServerSettings -SettingName AllowCustomSessionDuration -SettingValue true
   

2. Włącz limit czasu braku aktywności:

   SetAdvancedSettings.ps1 -ConfigurationEntityName ServerSettings -SettingName AllowCustomInactivityDuration -SettingValue true
   

Zarządzanie tokenami dostępu

Dla lepszej ochrony prywatności dostępu i danych użytkownika w Dynamics 365 for Customer Engagement, gdy użytkownik wylogowuje się w kliencie sieci Web i musi powrócić do aplikacji, to musi ponownie wprowadzić swoje poświadczenia we wszystkich sesjach Otwórz przeglądarkę. Dynamics 365 for Customer Engagement gwarantuje, że token logowania pierwotnie został wygenerowany dla bieżącej przeglądarki i komputera.

Włącz zarządzanie tokenami dostępu

Aby włączyć dla wszystkich organizacji domyślnie, skopiuj i uruchom to polecenie w PowerShell:

SetAdvancedSettings.ps1 -ConfigurationEntityName ServerSettings -SettingName WSFedNonceCookieEnabled -SettingValue true

Przykład:

-LUB-

Aby włączyć dla pojedynczej organizacji, skopiuj i uruchom to polecenie w PowerShell:

SetAdvancedSettings.ps1 -ConfigurationEntityName Organization -SettingName WSFedNonceCookieEnabled -SettingValue true -Id <Your organization ID GUID>

Aby uzyskać [Identyfikator GUID organizacji], otwórz PowerShell, a uruchom następujące polecenie:

Add-PSSnapin Microsoft.Crm.PowerShell 
Get-CrmOrganization

Przykład: