次の方法で共有

ユーザーセッションとアクセス管理のセキュリティ強化

セキュリティ強化を使用して、Dynamics 365 Sales、Dynamics 365 Customer Service、Dynamics 365 Field Service、Dynamics 365 Marketing、Dynamics 365 Project Service Automationなどの顧客エンゲージメントアプリを保護できます。

ユーザー セッション タイムアウトの管理

ユーザーセッションの最大 24 時間のタイムアウトが削除されました。 その結果、ユーザーは、同じブラウザー セッション内で顧客エンゲージメント アプリやその他の Microsoft サービス アプリ (Outlook など) を引き続き使用するために、24 時間ごとに資格情報を使用してサインインする必要がなくなりました。

Microsoft Entraのセッション ポリシーを遵守する

既定では、顧客エンゲージメント アプリは、Microsoft Entra session ポリシーを使用して、ユーザー セッションのタイムアウトを管理します。 顧客エンゲージメント アプリは、ポリシー チェック間隔 (PCI) 要求でMicrosoft Entra ID トークンを使用します。 1 時間ごとに新しいMicrosoft Entra ID トークンがバックグラウンドで自動的にフェッチされ、Microsoft Entraインスタント ポリシーが (Microsoft Entra ID によって) 適用されます。 たとえば、管理者がユーザー アカウントを無効または削除し、ユーザーのサインインをブロックし、管理者またはユーザーが更新トークンを取り消すと、Microsoft Entra セッション ポリシーが適用されます。

このMicrosoft Entra IDトークン更新サイクルは、Microsoft Entra トークンの有効期間ポリシー構成に基づいてバックグラウンドで続行されます。 ユーザーは、Microsoft Entra トークンの有効期間ポリシーの有効期限が切れるまで、再認証する必要なく、引き続き顧客エンゲージメント アプリ/Microsoft Dataverse データにアクセスします。

注記

  • 既定のMicrosoft Entra更新トークンの有効期限は 90 日です。 このトークン有効期間プロパティを構成できます。 詳細については、「Microsoft Entra ID>を参照してください。
  • Microsoft Entra セッション ポリシーはバイパスされ、次のシナリオでは最大ユーザー セッション期間が 24 時間に戻されます。
    • ブラウザー セッションでは、Power Platform 管理センターに移動し、環境 URL で手動で入力して環境を開きました (同じブラウザー タブまたは新しいブラウザー タブで)。
      ポリシー バイパスおよび最大 24 時間のユーザー セッションを回避するには、開くリンクを選択して Power Platform 管理センターの 環境 タブを開きます。
    • 同じブラウザー セッションで、バージョン 9.1.0.3647 以上の環境を開いてから、9.1.0.3647 より前のバージョンを開きます。
      ポリシー バイパスとユーザー期間変更を回避するには、別個のブラウザー セッションで 2 番目の環境を開きます。

バージョンを確認するには、Customer Engagement アプリにサインインし、画面の右上にある 設定 ボタン >バージョン情報 を選択します。

Microsoft Entraの障害に対するレジリエンス

断続的なMicrosoft Entra停止が発生した場合でも、認証されたユーザーは、PCI 要求が有効なままであるか、認証中に "サインインしたままにする" ことを選択した場合でも、カスタマー エンゲージメント アプリと Dataverse データにアクセスできます。

個々の環境のカスタム セッション タイムアウトを設定する

異なるセッション タイムアウト値が必要な環境でも、管理者は、システム設定でセッション タイムアウトや非アクティブ タイムアウトを設定できます。 これらの設定は既定のMicrosoft Entra セッション ポリシーをオーバーライドし、これらの設定の有効期限が切れると、ユーザーはMicrosoft Entra ID再認証に送られます。

この動作を変更するには

事前に決められた時間の後にユーザーを再認証するよう強制するには、管理者は個別の環境ごとにセッション タイムアウトを設定できます。 ユーザーは、セッションの期間中にのみアプリケーションにサインインできます。 アプリケーションはセッションが期限切れになるとユーザーをサインアウトします。 ユーザーは、Customer Engagement アプリに戻るには資格情報でサインインする必要があります。

注記

ユーザー セッションのタイムアウトは、以下のアプリでは強制されません:

  1. OutlookのDynamics 365
  2. スマートフォン用のDynamics 365とタブレット用のDynamics 365
  3. WPF ブラウザーを使用した Unified Service Desk クライアント (Internet Explorerがサポートされています)
  4. Live Assist (チャット)
  5. Power Apps Canvas アプリ

セッション タイムアウトの設定

  1. Power Platform 管理センターにサインインします。

  2. ナビゲーション ウィンドウで、[管理] を選択 します

  3. 管理ウィンドウで環境を選択します。

  4. 環境ページで、環境を選択します。

  5. コマンド バーで、設定を選択します。

  6. 製品 を展開し、プライバシー + セキュリティ を選択します。

  7. セッションの有効期限 設定をオンにします。

  8. 以下のフィールドに値を入力します:

    • セッションの最大長を入力します
    • セッションが期限切れになるどれぐらい前にタイムアウトの警告が表示されますか?

    これらの設定はすべてのユーザーに適用されます。

  9. 保存を選びます。

注記

セッション タイムアウト は、すべてのセッションの有効期間が適用されるサーバー側の機能です。 既定値:

  • セッションの最大長: 1440 分
  • セッションの最小長: 60 分
  • セッションが期限切れになるどれぐらい前にタイムアウトの警告を表示するか: 20 分

更新された設定は、次回アプリケーションにサインインしたときに有効になります。

非操作時のタイムアウト

既定では、Customer Engagement アプリは非アクティブ セッション タイムアウトを強制しません。 ユーザーは、セッション タイムアウトになるまでアプリケーションにログオンしていることができます。 この動作は変更することができます。

事前に決められた非アクティブな時間の後にユーザーが自動でサインアウトされるよう強制するには、管理者は個別の環境ごとに非アクティブ タイムアウトの時間を設定できます。 アプリケーションは非アクティブ セッションが期限切れになるとユーザーをサインアウトします。

注記

非アクティブ セッションのタイムアウトは、以下のアプリでは強制されません:

  • OutlookのDynamics 365
  • スマートフォン用のDynamics 365とタブレット用のDynamics 365
  • WPF ブラウザーを使用した Unified Service Desk クライアント (Internet Explorerがサポートされています)
  • Live Assist (チャット)
  • Power Apps Canvas アプリ

Web リソースで非アクティブ セッション タイムアウトを適用するには、Web リソースのソリューションに ClientGlobalContext.js.aspx ファイルを含める必要があります。

Dynamics 365 ポータルには、これらのシステム設定とは無関係に、セッション タイムアウトと非アクティブ セッション タイムアウトを管理するための独自の設定があります。

非アクティブ タイムアウトの設定

  1. Power Platform 管理センターにサインインします。

  2. ナビゲーション ウィンドウで、[管理] を選択 します

  3. 管理ウィンドウで環境を選択します。

  4. 環境ページで、環境を選択します。

  5. コマンド バーで、設定を選択します。

  6. 製品 を展開し、プライバシー + セキュリティ を選択します。

  7. 非アクティブ タイムアウトの設定をオンにします。

  8. 以下のフィールドに値を入力します:

    • タイムアウトするまでの非アクティブな期間
    • セッションが期限切れになるどれぐらい前に非アクティブの警告を表示しますか?

    これらの設定はすべてのユーザーに適用されます。

  9. 保存を選びます。

注記

非アクティブ タイムアウト は、クライアントが非アクティブに基づいてプリミティブにサインアウトすることを決定するクライアント側の機能です。 既定値:

  • 非アクティブの最短期間: 5 分
  • 非アクティブの最長期間: セッションの最大長未満または 1440 分

更新された設定は、次回アプリケーションにサインインしたときに有効になります。

アクセス管理

顧客エンゲージメント アプリは、ID プロバイダーとしてMicrosoft Entra IDを使用します。 ユーザーによる Customer Engagement アプリへのアクセスを保護するため、以下の対策が実装されています:

  • ユーザーの再認証を強制するために、ユーザーがアプリケーション内でサインアウトした場合、資格情報でサインインすることが求められます。
  • カスタマー エンゲージメント アプリにアクセスするためにユーザーが認証情報を共有することを防ぐために、システムはユーザー アクセス トークンを検証し、ID プロバイダがアプリにアクセスしているユーザーと同じユーザーにアクセスを許可していることを確認します。
  • Last updated on