使用安全增强功能管理用户会话和访问

您可以使用安全增强功能来更好地保护 Dynamics 365 Customer Engagement (on-premises)。

用户会话超时管理

最大用户会话超过 24 小时将被移除。 这意味着不会强制用户使用其凭据登录来使用 Customer Engagement (on-premises) 以及每 24 小时在同一个浏览器会话中打开的其他 Microsoft 服务应用（如 Outlook）。

配置会话超时

1. 在 Customer Engagement (on-premises) 中，选择设置>管理>系统设置>常规选项卡。
2. 在设置会话超时下，设置应用于所有用户的值。

备注

默认值为：

• 最大会话时长：1440 分钟
• 最小会话时长：60 分钟
• 显示超时警告前还有多久会话到期：20 分钟

非活动超时

默认情况下，Customer Engagement (on-premises) 不强制执行非活动会话超时。 用户可保持应用程序登录状态，直到会话超时到期。 您可以更改此行为。

• 若要强制用户在预设置的非活动时间段后自动注销，管理员可以为 Customer Engagement (on-premises) 设置非活动超时时间段。 非活动会话到期后，应用程序将注销用户。

备注

以下应用程序中不强制执行非活动会话超时：

1. Dynamics 365 for Outlook
2. 适用于手机的 Dynamics 365 和适用于平板电脑的 Dynamics 365
3. 使用 WPF 浏览器的 Unified Service Desk 客户端（支持 Internet Explorer）
4. Live Assist（聊天）

Microsoft Internet Explorer 11 支持已弃用。 我们建议您使用 Microsoft Edge。 详细信息：弃用公告

若要为 Web 资源强制执行非活动会话超时，Web 资源的解决方案中需要包含 ClientGlobalContext.js.aspx 文件。

Customer Engagement (on-premises) 门户有自己的设置，用于独立于这些系统设置管理其会话超时和非活动超时。

配置非活动超时

1. 在 Customer Engagement (on-premises) 中，选择设置>管理>系统设置>常规选项卡。
2. 在设置非活动超时下，设置应用于所有用户的值。

备注

默认值为：

• 最小非活动持续时间：5 分钟
• 最大非活动持续时间：低于最大会话时长或 1440 分钟

为 Dynamics 365 for Customer Engagement (on-premises) 应用部署启用安全性增强的步骤

重要提示

从 Dynamics 365 for Customer Engagement 9.0 或更高版本开始，以下描述的 Dynamics 365 for Customer Engagement 应用软件开发工具包 (SDK) 步骤不再可用。

默认情况下，发货时已禁用了这些安全性增强。 使用下面列出的一个受支持的 Dynamics 365 for Customer Engagement (on-premises) 应用版本时，管理员可启用这些增强。

要求

这些安全性增强功能需要启用功能控制位 FCB.UCIInactivityTimeout 和基于声明的身份验证来进行用户身份验证。 可按照下面的两种方法之一配置基于声明的身份验证。

• 通过面向 Internet 的部署 (IFD)。 请参阅为 Microsoft Dynamics 365 for Customer Engagement 配置 IFD。
• 如果 Microsoft Dynamics 365 for Customer Engagement 应用部署在所有 Microsoft Dynamics 365 for Customer Engagement 应用用户所在的同一域中，或者用户位于受信任域中，则仅使用基于声明的身份验证。 请参阅配置基于声明的身份验证。

若要获取 SDK 示例代码（供参考，非配置和启用会话超时所必需）：

1. 使用管理员帐户访问 Dynamics 365 for Customer Engagement Server。
2. 打开浏览器会话并下载 Dynamics 365 for Customer Engagement 应用软件开发工具包 (SDK)。
3. 选择并运行 MicrosoftDynamics365SDK.exe。 这将提取下载的内容并在 Dynamics 365 for Customer Engagement Server 上创建一个 SDK 文件夹。
4. 打开 PowerShell 命令提示符。
5. 导航到下载的 SDK 文件夹。
6. 打开 SampleCode\PS 文件夹。

更新到受支持的本地部署版本后，按照下面的步骤启用安全增强。

用户会话超时

系统管理员现在可强制用户在设置的时间段后重新进行身份验证。 您可以为您的每个 Dynamics 365 for Customer Engagement 实例设置活动会话超时。 用户只能在会话持续期间保持登录应用程序。 会话到期后，用户需要使用自己的凭据再次登录。 管理员还可以要求用户在一段非活动时间后登录。 您可以为您的每个实例设置非活动超时。 这有助于防止恶意用户通过无人值守设备进行未经授权的访问。

启用用户会话超时

1. 启用会话超时：

   SetAdvancedSettings.ps1 -ConfigurationEntityName ServerSettings -SettingName AllowCustomSessionDuration -SettingValue true
   

2. 启用非活动超时：

   SetAdvancedSettings.ps1 -ConfigurationEntityName ServerSettings -SettingName AllowCustomInactivityDuration -SettingValue true
   

访问标记管理

为了在 Dynamics 365 for Customer Engagement 中更好地保护用户访问和数据隐私，用户在 Web 客户端中注销，然后需要返回应用程序时，需要在所有已打开的浏览器会话中重新输入其凭据。 Dynamics 365 for Customer Engagement 应用确保登录标记最初是为当前浏览器和计算机生成的。

启用访问标记管理

若要在默认情况下为所有组织启用，请在 PowerShell 中复制并运行以下命令：

SetAdvancedSettings.ps1 -ConfigurationEntityName ServerSettings -SettingName WSFedNonceCookieEnabled -SettingValue true

示例：

-或-

若要为单个组织启用，请在 PowerShell 中复制并运行以下命令：

SetAdvancedSettings.ps1 -ConfigurationEntityName Organization -SettingName WSFedNonceCookieEnabled -SettingValue true -Id <Your organization ID GUID>

若要获取 [您的组织的 ID GUID]，请打开 PowerShell，然后运行以下命令：

Add-PSSnapin Microsoft.Crm.PowerShell 
Get-CrmOrganization

示例：