安全性增强:用户会话和访问管理

可使用安全性增强更好地保护客户互动应用(Dynamics 365 Sales、Dynamics 365 Customer Service、Dynamics 365 Field Service、Dynamics 365 Marketing 和 Dynamics 365 Project Service Automation)。

用户会话超时管理

最大用户会话超过 24 小时将被移除。 这意味着用户不会被迫使用其凭据登录,才能使用每 24 小时在同一浏览器会话中打开的客户互动应用和其他 Microsoft 服务应用(如 Outlook)。

遵守 Microsoft Entra 会话策略

默认情况下,客户互动应用利用 Microsoft Entra 会话策略来管理用户会话超时。 客户互动应用使用具有 Policy Check Interval (PCI) 声明的 Microsoft Entra ID 令牌。 每小时将在后台静默获取新 Microsoft Entra ID 令牌,并强制执行 Microsoft Entra 即时策略(由 Microsoft Entra ID)。 例如,如果管理禁用或删除用户帐户、阻止用户登录,管理员或用户调用刷新令牌,将强制执行 Microsoft Entra 会话策略。

此 Microsoft Entra ID 令牌刷新周期将基于 Microsoft Entra 令牌生命周期策略配置会在后台继续。 用户可以继续访问客户互动应用/Microsoft Dataverse 数据,而无需重新进行身份验证,直到 Microsoft Entra 令牌生命周期策略到期。

备注

  • 默认的 Microsoft Entra 刷新令牌期限为 90 天。 此令牌生命周期属性可以配置。 有关详细信息,请参阅 Microsoft Entra ID 中的可配置令牌生命周期
  • 在以下情况下,Microsoft Entra 会话策略被绕过,最大用户会话持续时间恢复为 24 小时:
    • 在浏览器会话中,您转到 Power Platform 管理中心,通过手动键入环境 URL(在同一个浏览器选项卡或新浏览器选项卡上)打开环境。
      要解决 策略绕过和最多 24 小时用户会话,请选择 Power Platform Open 链接,从 管理中心 环境 选项卡打开环境。
    • 在同一个浏览器会话中,打开版本 9.1.0.3647 或更高版本的环境,然后打开早期版本 9.1.0.3647。
      要解决 策略绕过和用户持续时间更改问题,请在单独的浏览器会话中打开第二个环境。

若要确定您的版本,请登录到客户互动应用,在屏幕右上角,选择设置按钮 (用户配置文件设置按钮。) >关于

恢复 Microsoft Entra 中断

在出现间歇性的 Microsoft Entra 中断情况下,如果 PCI 声明未过期或用户在身份验证期间选择了“保持登录”,经过身份验证的用户可以继续访问客户互动应用/Dataverse 数据。

为单个环境设置自定义会话超时

对于需要不同会话超时值的环境,管理员可以继续在“系统设置”中设置会话超时和/或不活动超时。 这些设置将替代默认的 Microsoft Entra 会话策略,当这些设置过期时,用户将被定向到 Microsoft Entra ID 重新进行身份验证。

更改此行为

  • 若要强制用户在预设时间段后进行身份验证,管理员可为单独环境设置会话超时。 用户只能在会话持续期间保持在应用程序内的登录。 会话到期后,应用程序将注销用户。 用户需要使用自己的凭据登录,才能返回客户互动应用。

备注

以下应用程序中不强制执行用户会话超时:

  1. Dynamics 365 for Outlook
  2. 适用于手机的 Dynamics 365 和适用于平板电脑的 Dynamics 365
  3. 使用 WPF 浏览器的 Unified Service Desk 客户端(支持 Internet Explorer)
  4. Live Assist(聊天)
  5. Power Apps 画布应用

配置会话超时

  1. 在 Power Platform 管理中心,选择一个环境。

  2. 选择设置>产品>隐私 + 安全性

  3. 设置会话到期不活动超时。 这些设置适用于所有用户。

备注

会话超时 是一项服务器端功能,其中所有会话的生命周期都是强制性的。 默认值为:

  • 最大会话时长:1440 分钟
  • 最小会话时长:60 分钟
  • 显示超时警告前还有多久会话到期:20 分钟
  • 更新的设置将在用户下次登录应用程序时生效。

非活动超时

默认情况下,客户互动应用不强制执行非活动会话超时。 用户可保持应用程序登录状态,直到会话超时到期。 您可以更改此行为。

  • 若还要强制用户在预设置的非活动时间段后自动注销,管理员可以为每个环境设置非活动超时时间段。 非活动会话到期后,应用程序将注销用户。

备注

以下应用程序中不强制执行非活动会话超时:

  1. Dynamics 365 for Outlook
  2. 适用于手机的 Dynamics 365 和适用于平板电脑的 Dynamics 365
  3. 使用 WPF 浏览器的 Unified Service Desk 客户端(支持 Internet Explorer)
  4. Live Assist(聊天)
  5. Power Apps 画布应用

若要为 Web 资源强制执行非活动会话超时,Web 资源的解决方案中需要包含 ClientGlobalContext.js.aspx 文件。

Dynamics 365 门户有自己的设置,用于独立于这些系统设置管理其会话超时和非活动超时。

配置非活动超时

  1. 在 Power Platform 管理中心,选择一个环境。

  2. 选择设置>产品>隐私 + 安全性

  3. 设置会话到期不活动超时。 这些设置适用于所有用户。

备注

不活动超时 是一项客户端功能,其中客户端根据不活动状态决定是否以原始方式注销。 默认值为:

  • 最小非活动持续时间:5 分钟
  • 最大非活动持续时间:低于最大会话时长或 1440 分钟
  • 更新的设置将在用户下次登录应用程序时生效。

访问管理

客户互动应用使用 Microsoft Entra ID 作为其身份提供程序。 为了保护用户对客户互动应用的访问,实施了以下措施:

  • 若要强制用户重新进行身份验证,用户需要在注销应用程序后使用自己的凭据登录。
  • 为了防止用户共享客户互动应用的访问凭据,将验证用户的访问标记以确保身份提供程序为其提供了访问权限的用户是访问客户互动应用的同一位用户。