Visszajelzés

Biztonsági ajánlott eljárások Dynamics 365 Customer Engagement (on-premises)

  • Cikk
  • 3 perc alatt elolvasható

Internet Information Services (IIS) egy érett webszolgáltatás, amely szerepel a Windows Server. Dynamics 365 for Customer Engagement hatékony és biztonságos IIS webszolgáltatástól függ. A következőket kell fontolóra venni:

  • A machine.config és web.config konfigurációs fájlokban meghatározhatja, hogy engedélyezve van-e a hibakeresés, és ha részletes hibaüzeneteket küld az ügyfélnek. Győződjön meg arról, hogy a hibakeresés minden éles kiszolgálón le van tiltva, és hogy probléma esetén általános hibaüzenetet küld az ügyfélnek. Ezzel elkerülhető, hogy szükségtelen információ kerüljön az ügyfélnek küldött webkiszolgáló-konfigurációról.

  • Győződjön meg arról, hogy a legújabb operációs rendszer, IIS szervizcsomagok és frissítések vannak alkalmazva. A legfrissebb információkért tekintse meg a Microsoft Security webhelyet.

  • A Dynamics 365 Server telepítője a telepítés során megadott felhasználói hitelesítő adatok alapján hívott CRMAppPool alkalmazáskészleteket hoz CRMDeploymentServiceAppPool létre. A legkevésbé privilegizált modell megkönnyítése érdekében javasoljuk, hogy a Hálózati szolgáltatás fiók használata helyett külön tartományi felhasználói fiókokat adjon meg ezekhez az alkalmazáskészletekhez. Ezenkívül azt javasoljuk, hogy ezek alatt az alkalmazáskészletek alatt ne legyen más ASP.NET csatlakoztatott alkalmazás telepítve. Az összetevőkhöz szükséges minimális engedélyekről a Microsoft Dynamics 365 telepítéséhez és szolgáltatásaihoz szükséges minimális engedélyek című témakörben talál.

Fontos

  • Győződjön meg arról, hogy a webhelyhez ugyanazon a számítógépen futó összes Dynamics 365 for Customer Engagement webhely hozzáfér az Customer Engagement adatbázishoz.
  • Ha tartományi felhasználói fiókot használ, a futtatás előtt Microsoft Dynamics 365 ServerBeállítás előfordulhat, hogy ellenőriznie kell, hogy a szolgáltatásnévnév (SPN) megfelelően van-e beállítva az adott fiókhoz, és szükség esetén be kell állítania a megfelelő SPN-t. Az SPN-ekről és azok beállításáról további információt a SPN-ek használata az IIS-en tárolt webalkalmazások konfigurálásakor című témakörben talál.

Az egyszerű szolgáltatásnév-kezelés Microsoft Dynamics 365

A szolgáltatásnévnév (SPN) attribútum egy többértékű, nem összekapcsolt attribútum, amely a DNS-állomás nevéből épül fel. Az SPN-t az ügyfél és az adott szolgáltatást üzemeltető kiszolgáló közötti kölcsönös hitelesítés során használják. Az ügyfél megkeres egy számítógépfiókot annak a szolgáltatásnak az SPN-je alapján, amelyhez csatlakozni próbál.

A Dynamics 365 Server telepítő szerepkör-specifikus szolgáltatásokat és webalkalmazás-készleteket telepít, amelyek a Beállítás. Ezeknek a szerepköröknek és engedélykövetelményeiknek a teljes listájának áttekintéséhez olvassa el a Microsoft Dynamics 365 telepítéséhez és szolgáltatásaihoz szükséges minimális engedélyek című témakört.

Hosztolt infrastruktúra üzembe helyezésekor Dynamics 365 for Customer Engagement a szerepkörök közül kettő további megfontolást igényelhet:

  • Központi telepítési webszolgáltatás

  • Alkalmazás szolgáltatás

A webfarm-forgatókönyvekben, mint a hosztolt ajánlatok esetében, a javaslat az, hogy hagyja engedélyezve a kernel módú hitelesítést. Ezenkívül alaposan fontolja meg külön tartományi felhasználói fiókok használatát a szolgáltatások futtatásához, mert:

  • A kiszolgálói szerepkörök külön szervizfiókjai megkönnyítik a hardveres terheléselosztás megvalósítását.

  • A Központi telepítési webszolgáltatás kiszolgálói szerepkör emelt szintű engedélyeket igényel az adatbázis szervezeteinek kiépítéséhez. Customer Engagement Ha egy legkevésbé privilegizált modellt szeretne betartani, a legbiztonságosabb módszer az SPN-ek hosztolt infrastruktúrában történő megvalósításához Dynamics 365 for Customer Engagement az, ha a Központi telepítési webszolgáltatás futtatás az Alkalmazásszolgáltatástól eltérő tartományfelhasználói fiók alatt fut.

Ha a Dynamics 365 Server telepítő telepítése előtt ellenőrizze, hogy az SPN minden fiókhoz megfelelő-e. Ez megkönnyíti a megfelelő SPN beállítását, ha szükséges.

Ha a kernelmódú hitelesítés engedélyezve van, a rendszer a megadott szolgáltatási fióktól függetlenül meghatározza a gépfiók SPN-eit. Webfarm implementálásakor engedélyezze a kernelmódú hitelesítést, és módosítsa a helyi ApplicationHost.config fájlt.

Ha az alkalmazás- és üzembe helyezési webszolgáltatások ugyanazon a rendszeren futnak, és a kernel módú hitelesítés le van tiltva, mindkét szolgáltatást úgy konfigurálhatja, hogy ugyanazon tartományi felhasználói fiók alatt fusson, hogy megakadályozza az ismétlődő SPN-problémákat. Ha nem tudja engedélyezni a kernel módú hitelesítést, telepítse az alkalmazás és az üzembe helyezés webszolgáltatásokat külön rendszerekre. Előfordulhat, hogy az SPN-eket továbbra is manuálisan kell létrehozni, mivel a kernel módú hitelesítés le van tiltva.

Lásd még

Biztonsági megfontolások a 365 Microsoft Dynamics
Microsoft Dynamics 365 adminisztrációs legjobb gyakorlat

Megjegyzés

Megosztja velünk a dokumentációja nyelvi preferenciáit? Rövid felmérés elvégzése. (ne feledje, hogy ez a felmérés angol nyelvű)

A felmérés elvégzése körülbelül hét percet vesz igénybe. Semmilyen személyes adatot nem gyűjtünk (adatvédelmi nyilatkozat).