Forbedringer af sikkerheden: Brugersessions- og adgangsstyring

Gælder for Dynamics 365 for Customer Engagement-apps, version 9.x
Gælder for Dynamics 365 for Customer Engagement (on-premises) apps, version 9.x

Som noget nyt i Customer Engagement til Dynamics 365 for Customer Engagement-apps version 9.0 kan du bruge de nye sikkerhedsforbedringer til bedre at beskytte Dynamics 365 for Customer Engagement-apps.

Vigtigt

Disse sikkerhedsforbedringer er også tilgængelige for:

  • Microsoft Dynamics CRM 2016 (i det lokale miljø, version 8.2)
    Du kan få funktionen ved at kontakte support.
  • Microsoft Dynamics CRM 2016 (i det lokale miljø, version 8.1)
    Du kan få funktionen ved at kontakte support.
  • Microsoft Dynamics CRM 2015 (lokal)
    Du kan få funktionen ved at kontakte support.

Du kan finde flere oplysninger om disse versioner under Forbedringer af sikkerheden: Brugersessions- og adgangsstyring

Timeout for brugersession

Som standard er der angivet en brugersessionstimeout på 24 timer i Dynamics 365 for Customer Engagement-apps. En bruger behøver ikke at logge på med sine legitimationsoplysninger i op til 24 timer, uanset om brugeren var aktiv eller inaktiv.

Du kan ændre denne funktionsmåde.

  • Hvis du vil gennemtvinge, at brugerne skal godkendes igen efter en forudbestemt tidsperiode, kan administratorer angive en sessionstimeout for de enkelte Dynamics 365 for Customer Engagement-forekomster. Brugerne kan kun forblive logget på programmet, så længe sessionen varer. Programmet logger brugeren af, når sessionen udløber. Brugerne skal logge på med deres legitimationsoplysninger for at vende tilbage til Dynamics 365 for Customer Engagement-apps.

Bemærk

Timeout for brugersession gennemtvinges ikke i følgende:

  1. Dynamics 365 for Outlook

  2. Dynamics 365 til telefoner og Dynamics 365 til tablets
  3. Unified Service Desk-klient ved hjælp af WPF-browser (Internet Explorer understøttes)
  4. Live Assist (chat)

Konfigurere sessionstimeout

  1. I Dynamics 365 for Customer Engagement-apps skal du vælge Indstillinger > Administration > Systemindstillinger > fanen Generelt.
  2. Under Angiv sessionstimeout skal du angive de værdier, der skal gælde for alle brugere.

Bemærk

Standardværdierne er:

  • Maksimal sessionslængde: 1440 minutter
  • Mindste sessionslængde: 60 minutter
  • Hvor lang tid før sessionen udløber, vil du have vist en advarsel om timeout: 20 minutter

Timeout ved inaktivitet

Som standard gennemtvinger Dynamics 365 for Customer Engagement-apps ikke en sessionstimeout på grund af inaktivitet. En bruger kan forblive logget på programmet, indtil timeout for sessionen udløber. Du kan ændre denne funktionsmåde.

  • For at gennemtvinge, at brugerne automatisk logges af efter en forudbestemt periode med inaktivitet, kan administratorer angive timeout for en periode med inaktivitet for hver af deres forekomster af Dynamics 365 for Customer Engagement. Programmet logger brugeren af, når inaktivitetssessionen udløber.

Bemærk

Timeout for session med inaktivitet gennemtvinges ikke i følgende:

  1. Dynamics 365 for Outlook

  2. Dynamics 365 til telefoner og Dynamics 365 til tablets
  3. Unified Service Desk-klient ved hjælp af WPF-browser (Internet Explorer understøttes)
  4. Live Assist (chat)

Hvis du vil gennemtvinge timeout for session uden aktivitet for Webressourcer, skal Webressourcer indeholde filen ClientGlobalContext.js.aspx i deres løsning.

Dynamics 365 for Customer Engagement-apps-portalen har sine egne indstillinger til administration af sessionstimeout og timeout ved inaktivitet, der er uafhængige af systemindstillingerne for timeout.

Konfigurere inaktivitetstimeout

  1. I Dynamics 365 for Customer Engagement-apps skal du vælge Indstillinger > Administration > Systemindstillinger > fanen Generelt.
  2. Under Angiv timeout ved inaktivitet skal du angive de værdier, der skal gælde for alle brugere.

Bemærk

Standardværdierne er:

  • Minimumvarighed af inaktivitet: 5 minutter
  • Maksimal varighed af inaktivitet: mindre end maksimal sessionslængde eller 1440 minutter

Adgangsstyring

Dynamics 365 for Customer Engagement-apps bruger Azure Active Directory som id-udbyder. For at sikre brugerens adgang til Dynamics 365 for Customer Engagement-apps er følgende blevet implementeret:

  • Hvis du vil gennemtvinge, at brugere skal godkendes igen, skal brugere logge på med deres legitimationsoplysninger, når de er logget af programmet.
  • For at forhindre, at brugere kan dele legitimationsoplysninger for at få adgang til Dynamics 365 for Customer Engagement-apps, valideres brugeradgangstokenet for at sikre, at den bruger, der har fået adgang af identitetsudbyderen, er den samme som den, der åbner Dynamics 365 for Customer Engagement-apps.

Trin til aktivering af forbedringer af sikkerheden for installationer af Dynamics 365 for Customer Engagement-apps (i det lokale miljø)

Disse sikkerhedsforbedringer er som standard deaktiveret ved leveringen. Administratorer kan aktivere disse forbedringer, når de bruger et af de understøttede builds af Dynamics 365 for Customer Engagement-apps (i det lokale miljø), der er vist nedenfor.

Bemærk

Dette gælder for kunder med følgende versioner af Dynamics 365 for Customer Engagement:

  • Microsoft Dynamics CRM 2016 (i det lokale miljø, version 8.2)
    Funktionen er inkluderet i denne opdatering.
  • Microsoft Dynamics CRM 2016 (i det lokale miljø, version 8.1)
    Du kan få funktionen ved at kontakte support.
  • Microsoft Dynamics CRM 2015 (lokal)
    Du kan få funktionen ved at kontakte support.

Krav Disse funktioner til forbedring af sikkerheden kræver kravsbaseret godkendelse ved brugergodkendelse. Du kan konfigurere kravsbaseret godkendelse på en af to måder:

Sådan hentes SDK eksempelkode (som reference, er ikke påkrævet for at konfigurere og aktivere sessionstimeout):

  1. Få adgang til Dynamics 365 for Customer Engagement Server ved hjælp af administratorkontoen.
  2. Åbn en browsersession, og download Dynamics 365 for Customer Engagement-apps Software Development Kit (SDK).
  3. Vælg og kør MicrosoftDynamics365SDK.exe. Det hentede program pakkes ud, og der oprettes en SDK-mappe på Dynamics 365 for Customer Engagement Server.
  4. Åbn en PowerShell-kommandoprompt.
  5. Naviger til den hentede SDK-mappe.
  6. Åbn mappen SampleCode\PS.

Når du har opdateret til en understøttet version i det lokale miljø, skal du følge nedenstående trin for at aktivere forbedringer af sikkerheden.

Timeout for brugersession

Systemadministratorer kan nu gennemtvinge, at brugerne skal godkende igen efter en bestemt periode. Du kan angive en aktiv sessionstimeout for de enkelte forekomster af Dynamics 365 for Customer Engagement. Brugerne kan kun forblive logget på programmet, så længe sessionen varer. Når sessionen er udløbet, skal de logge på igen med deres legitimationsoplysninger. Systemadministratorer kan også kræve, at brugerne logger på efter en periode med inaktivitet. Du kan angive en sessionstimeout på grund af inaktivitet for de enkelte forekomster. Det er med til at forhindre, at en ondsindet bruger kan få uautoriseret adgang fra en ikke-overvåget enhed.

Aktivere timeout for brugersession

  1. Aktivere sessionstimeout:

    SetAdvancedSettings.ps1 -ConfigurationEntityName ServerSettings -SettingName AllowCustomSessionDuration -SettingValue true
    
  2. Aktivér inaktivitetstimeout:

    SetAdvancedSettings.ps1 -ConfigurationEntityName ServerSettings -SettingName AllowCustomInactivityDuration -SettingValue true
    

Administration af adgangstokens

For bedre at beskytte brugeradgang og beskyttelse af personlige oplysninger i Dynamics 365 for Customer Engagement skal en bruger, der logger af i webklienten og har brug for at vende tilbage til programmet, angive sine legitimationsoplysninger igen i alle åbne browsersessioner. Dynamics 365 for Customer Engagement-apps sikrer, at logon-tokenet oprindeligt blev oprettet til den aktuelle browser og computer.

Aktivere administration af adgangstokens

Du kan aktivere for alle organisationer som standard ved at kopiere og køre følgende kommando i PowerShell:

SetAdvancedSettings.ps1 -ConfigurationEntityName ServerSettings -SettingName WSFedNonceCookieEnabled -SettingValue true

Eksempel:

SetAdvancedSettings.ps1

Eller:

Du kan aktivere for en enkelt organisation ved at kopiere og køre følgende kommando i PowerShell:

SetAdvancedSettings.ps1 -ConfigurationEntityName Organization -SettingName WSFedNonceCookieEnabled -SettingValue true -Id <Your organization ID GUID>

For at få [dit organisations-ID GUID] skal du åbne PowerShell og køre følgende:

Add-PSSnapin Microsoft.Crm.PowerShell 
Get-CrmOrganization

Eksempel:

Eksempel organisations-id

Du kan finde flere oplysninger under Get-CrmOrganization.