次の方法で共有

ユーザーセッションとアクセス管理のセキュリティ強化

セキュリティ拡張機能を使用して、Dynamics 365 Sales、Dynamics 365 Customer Service、Dynamics 365 Field Service、Dynamics 365 Marketing、Dynamics 365 Project Service Automation などの Customer Engagement アプリを保護できます。

ユーザー セッション タイムアウトの管理

ユーザーセッションの最大 24 時間のタイムアウトが削除されました。 その結果、ユーザーは、同じブラウザ セッション内で顧客エンゲージメント アプリや Outlook などの他の Microsoft のサービスアプリを使用するために、24 時間ごとに認証情報でサインインする必要がなくなりました。

Microsoft Entra セッション ポリシーの履行

既定では、Customer Engagement アプリはユーザーセ ッションのタイムアウトを管理するために Microsoft Entra セッション ポリシーを使用します。 Customer Engagement アプリは、ポリシー チェック間隔 (PCI) のクレームで Microsoft Entra ID トークンを使用します。 毎時間、新しい Microsoft Entra ID トークンがバッググラウンドで自動的に取得され、Microsoft Entra インスタント ポリシーが適用されます (Microsoft Entra ID により)。 たとえば、管理者がユーザー アカウントを無効化または削除し、そのユーザーのサインインをブロックし、管理者またはユーザーが更新トークンを取り消すと、システムは Microsoft Entra セッション ポリシーを実施します。

この Microsoft Entra ID トークンの更新サイクルは、Microsoft Entra トークン有効期間ポリシー構成に基づいてバックグラウンドで続行されます。 ユーザーは、Microsoft Entra トークン有効期間ポリシーの期限が切れるまで、再認証しなくても Customer Engagement アプリ/Microsoft Dataverse データにアクセスし続けることができます。

Note

  • 既定の Microsoft Entra 更新トークンの有効期限は 90 日間です。 このトークン有効期間プロパティを構成できます。 詳細については、Microsoft Entra ID の構成可能なトークン有効期間を参照してください。
  • 次のシナリオでは、Microsoft Entra セッション ポリシーはバイパスされ、ユーザー セッションの最大期間が 24 時間に戻ります。
    • ブラウザー セッションでは、Power Platform 管理センターに移動し、環境 URL で手動で入力して環境を開きました (同じブラウザー タブまたは新しいブラウザー タブで)。
      ポリシー バイパスおよび最大 24 時間のユーザー セッションを回避するには、開くリンクを選択して Power Platform 管理センターの 環境 タブを開きます。
    • 同じブラウザー セッションで、バージョン 9.1.0.3647 以上の環境を開いてから、9.1.0.3647 より前のバージョンを開きます。
      ポリシー バイパスとユーザー期間変更を回避するには、別個のブラウザー セッションで 2 番目の環境を開きます。

バージョンを確認するには、Customer Engagement アプリにサインインし、画面の右上にある 設定 ボタン >バージョン情報 を選択します。

Microsoft Entra の機能停止に対する弾力性

断続的な Microsoft Entra の停止が発生した場合でも、PCI クレームが有効なままであるか、認証時に「サインイン状態を維持する」をオプトインしていれば、認証されたユーザーはCustomer Engagementアプリや Dataverse データにアクセスできます。

個々の環境のカスタム セッション タイムアウトを設定する

異なるセッション タイムアウト値が必要な環境でも、管理者は、システム設定でセッション タイムアウトや非アクティブ タイムアウトを設定できます。 これらの設定は、既定の Microsoft Entra セッション ポリシーを上書きし、これらの設定の有効期限が切れたときに再認証されるようにユーザーが Microsoft Entra ID に指示されます。

この動作を変更するには

事前に決められた時間の後にユーザーを再認証するよう強制するには、管理者は個別の環境ごとにセッション タイムアウトを設定できます。 ユーザーは、セッションの期間中にのみアプリケーションにサインインできます。 アプリケーションはセッションが期限切れになるとユーザーをサインアウトします。 ユーザーは、Customer Engagement アプリに戻るには資格情報でサインインする必要があります。

Note

ユーザー セッションのタイムアウトは、以下のアプリでは強制されません:

  1. Dynamics 365 for Outlook
  2. 電話用 Dynamics 365 およびタブレット PC 用 Dynamics 365
  3. WPF ブラウザ (Internet Explorer がサポートされています) を使用する Unified Service Desk クライアント
  4. Live Assist (チャット)
  5. Power Apps キャンバス アプリ

セッション タイムアウトの設定

  1. Power Platform 管理センター にサインインします。

  2. ナビゲーション ウィンドウで、管理 を選択します。

  3. 管理ウィンドウで環境を選択します。

  4. 環境ページで、環境を選択します。

  5. コマンド バーで、設定を選択します。

  6. 製品 を展開し、プライバシー + セキュリティ を選択します。

  7. セッションの有効期限 設定をオンにします。

  8. 以下のフィールドに値を入力します:

    • セッションの最大長を入力します
    • セッションが期限切れになるどれぐらい前にタイムアウトの警告が表示されますか?

    これらの設定はすべてのユーザーに適用されます。

  9. 保存を選択します。

Note

セッション タイムアウト は、すべてのセッションの有効期間が適用されるサーバー側の機能です。 既定値:

  • セッションの最大長: 1440 分
  • セッションの最小長: 60 分
  • セッションが期限切れになるどれぐらい前にタイムアウトの警告を表示するか: 20 分

更新された設定は、次回アプリケーションにサインインしたときに有効になります。

非アクティブ タイムアウト

既定では、Customer Engagement アプリは非アクティブ セッション タイムアウトを強制しません。 ユーザーは、セッション タイムアウトになるまでアプリケーションにログオンしていることができます。 この動作は変更することができます。

事前に決められた非アクティブな時間の後にユーザーが自動でサインアウトされるよう強制するには、管理者は個別の環境ごとに非アクティブ タイムアウトの時間を設定できます。 アプリケーションは非アクティブ セッションが期限切れになるとユーザーをサインアウトします。

Note

非アクティブ セッションのタイムアウトは、以下のアプリでは強制されません:

  • Dynamics 365 for Outlook
  • 電話用 Dynamics 365 およびタブレット PC 用 Dynamics 365
  • WPF ブラウザ (Internet Explorer がサポートされています) を使用する Unified Service Desk クライアント
  • Live Assist (チャット)
  • Power Apps キャンバス アプリ

Web リソースで非アクティブ セッション タイムアウトを適用するには、Web リソースのソリューションに ClientGlobalContext.js.aspx ファイルを含める必要があります。

Dynamics 365 ポータルには、これらのシステム設定とは別に、セッション タイムアウトと非アクティブ セッション タイムアウトを管理するための独自の設定があります。

非アクティブ タイムアウトの設定

  1. Power Platform 管理センター にサインインします。

  2. ナビゲーション ウィンドウで、管理 を選択します。

  3. 管理ウィンドウで環境を選択します。

  4. 環境ページで、環境を選択します。

  5. コマンド バーで、設定を選択します。

  6. 製品 を展開し、プライバシー + セキュリティ を選択します。

  7. 非アクティブ タイムアウトの設定をオンにします。

  8. 以下のフィールドに値を入力します:

    • タイムアウトするまでの非アクティブな期間
    • セッションが期限切れになるどれぐらい前に非アクティブの警告を表示しますか?

    これらの設定はすべてのユーザーに適用されます。

  9. 保存を選択します。

Note

非アクティブ タイムアウト は、クライアントが非アクティブに基づいてプリミティブにサインアウトすることを決定するクライアント側の機能です。 既定値:

  • 非アクティブの最短期間: 5 分
  • 非アクティブの最長期間: セッションの最大長未満または 1440 分

更新された設定は、次回アプリケーションにサインインしたときに有効になります。

アクセス管理

Customer engagement アプリは、Microsoft Entra ID を ID プロバイダーとして使用します。 ユーザーによる Customer Engagement アプリへのアクセスを保護するため、以下の対策が実装されています:

  • ユーザーの再認証を強制するために、ユーザーがアプリケーション内でサインアウトした場合、資格情報でサインインすることが求められます。
  • カスタマー エンゲージメント アプリにアクセスするためにユーザーが認証情報を共有することを防ぐために、システムはユーザー アクセス トークンを検証し、ID プロバイダがアプリにアクセスしているユーザーと同じユーザーにアクセスを許可していることを確認します。
  • Last updated on