Visszajelzés

Biztonsági megfontolások a Dynamics 365 Customer Engagement (on-premises)

  • Cikk
  • 7 perc alatt elolvasható

Dynamics 365 for Customer Engagement úgy tervezték, hogy biztonságosabbá tegye az üzembe helyezést. Ez a szakasz az alkalmazással kapcsolatos információkat és ajánlott eljárásokat Dynamics 365 for Customer Engagement tartalmazza. További információ:A 365 Microsoft Dynamics biztonságának áttekintése

Milyen szolgáltatási fiókot válasszak?

Amikor megad egy szolgáltatást futtatni kívánt Dynamics 365 for Customer Engagement identitást, választhat tartományi felhasználói fiókot vagy hálózati szolgáltatásfiókot.

Ha a szolgáltatás együttműködik a hálózati szolgáltatásokkal, hozzáfér a tartományi erőforrásokhoz, például a fájlmegosztásokhoz, vagy ha csatolt kiszolgálói kapcsolatokat használ más számítógépekhez, akkor minimálisan privilegizált tartományfiókot használhat. Számos kiszolgáló-kiszolgáló tevékenység csak tartományi felhasználói fiókkal végezhető el, és a legbiztonságosabb lehetőséget biztosíthatja. Ezt a fiókot a tartományi rendszergazdának kell előre létrehoznia a környezetben.

Megjegyzés

Ha egy szolgáltatást tartományi fiók használatára konfigurál, elkülönítheti az alkalmazás jogosultságait, de manuálisan kell kezelnie a jelszavakat, vagy egyéni megoldást kell létrehoznia a jelszavak kezelésére. Számos kiszolgálóalkalmazás használja ezt a stratégiát a biztonság növelése érdekében, de ez a stratégia további adminisztrációt és összetettséget igényel. Ezekben az üzemelő példányokban a szolgáltatás rendszergazdái jelentős időt töltenek olyan karbantartási feladatokkal, mint például a kerberosi hitelesítéshez szükséges szolgáltatásjelszavak és egyszerű egyszerű szolgáltatásnevek (SPN-ek) kezelése. Ezenkívül ezek a karbantartási feladatok megzavarhatják a szolgáltatást.

A Hálózati szolgáltatás fiók egy beépített fiók, amely több hozzáféréssel rendelkezik az erőforrásokhoz és objektumokhoz, mint a Tartományfelhasználók csoport tagjai. A hálózati szolgáltatásfiókként futó szolgáltatások a számítógépfiók hitelesítő adatainak használatával férnek hozzá a hálózati erőforrásokhoz \ <domain_name><computer_name>$formátumban. A fiók tényleges neve NT AUTHORITY\NETWORK SERVICE.

A Microsoft Dynamics 365 telepítéséhez és szolgáltatásaihoz szükséges minimális engedélyek

Dynamics 365 for Customer Engagement úgy tervezték, hogy funkciói külön identitások alatt futhassanak. Ha olyan tartományi felhasználói fiókot ad meg, amely csak egy adott funkció működéséhez szükséges engedélyeket kapja meg, segít a rendszer biztonságossá tételében és a kihasználás valószínűségének csökkentésében.

Ez a témakör a felhasználói fiók által a szolgáltatásokhoz és szolgáltatásokhoz szükséges minimális engedélyeket Dynamics 365 for Customer Engagement ismerteti.

A Microsoft Dynamics CRM Server telepítője

A Dynamics 365 Server futtatásához használt felhasználói Beállítás fiók, amely magában foglalja az adatbázisok létrehozását, a következő minimális engedélyeket igényli:

  • Legyen tagja a Active Directory Tartományfelhasználók csoportnak. Alapértelmezés szerint Active Directory - felhasználók és számítógépek új felhasználókat ad hozzá a Tartományfelhasználók csoporthoz.

  • Legyen tagja a Rendszergazdák csoportnak azon a helyi számítógépen, amelyen a telepítő fut.

  • A Helyi programfájlok mappa olvasási és írási engedélyével rendelkezik.

  • Legyen tagja annak a helyi számítógép rendszergazdái csoportjának, ahol az adatbázisok tárolására használt példány SQL ServerDynamics 365 for Customer Engagement található.

  • Az adatbázisok tárolására sysadmin tagsággal SQL ServerDynamics 365 for Customer Engagement rendelkezik.

  • Hozzanak létre szervezeti egységet és biztonsági csoportot, és adjanak hozzá tagsági engedélyt a csoporthoz a Active Directory programban. Másik lehetőségként telepítő XML-konfigurációs fájllal telepítheti a Dynamics 365 Servert, ha a biztonsági csoportokat már létrehozták. További információ: A parancssor használata a 365-ös Microsoft Dynamics telepítéséhez.

  • Ha SQL Server Jelentéskészítő szolgáltatások másik kiszolgálóra van telepítve, a tartalomkezelő szerepkört a telepítő felhasználói fiók gyökérszintjében kell hozzáadnia. A telepítő felhasználói fiókhoz a webhely egészére kiterjedő szinten is hozzá kell Rendszergazda szerepkör adnia.

Microsoft Dynamics 365 szolgáltatás és IIS-alkalmazáskészlet-azonosító engedélyek

Ez a szakasz azokat a minimális engedélyeket sorolja fel, amelyekre a tartományi felhasználói fiókoknak szükségük van a szolgáltatásokhoz és a IIS használt alkalmazáskészletekhez. Dynamics 365 for Customer Engagement

Fontos

  • Dynamics 365 for Customer Engagement A szolgáltatások és az alkalmazáskészlet (CRMAppPool) identitásfiókokat nem szabad Dynamics 365 for Customer Engagement felhasználóként konfigurálni. Ez hitelesítési problémákat és váratlan viselkedést okozhat az alkalmazásban minden Dynamics 365 for Customer Engagement felhasználó számára. További információ:Problémák a CRM-ben, amikor a CRMAppPool felhasználói fiók CRM-felhasználó
  • A felügyelt szolgáltatási fiókok (csoport által felügyelt szolgáltatásfiókok (gMSA) vagy egyszintű felügyelt szolgáltatási fiókok) és a virtuális fiókok (NT SERVICE \, <SERVICENAME>) nem támogatottak a szolgáltatások Dynamics 365 for Customer Engagement futtatásához.

A következő alszakaszok az egyes szolgáltatások vagy alkalmazáskészlet-identitásokhoz szükséges tartományi felhasználói fiókengedélyeket ismertetik:

Microsoft Dynamics 365 Sandbox feldolgozó szolgáltatás

Microsoft Dynamics 365 Aszinkron feldolgozási szolgáltatás és Microsoft Dynamics 365 Aszinkron feldolgozási szolgáltatás (karbantartás) szolgáltatások

Microsoft Dynamics 365 Monitoring szolgáltatás

Microsoft Dynamics 365 VSS Író szolgáltatás

Központi webszolgáltatás (CRMDeploymentServiceAppPool alkalmazáskészlet identitása)

Alkalmazásszolgáltatás (CRMAppPool IIS alkalmazáskészlet identitása)

Microsoft Dynamics 365 Sandbox feldolgozó szolgáltatás

  • Domain felhasználók tagsága.

  • Ezt a fiókot a helyi biztonsági házirendben szolgáltatásengedélyként kell megadni.

  • Mappa olvasási és írási engedélye a Nyomkövetés területen alapértelmezés szerint a · \Program Files\Microsoft Dynamics 365\Trace alatt található, és a felhasználói fiók %AppData% mappái a helyi számítógépen.

  • Olvassa el a HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSCRM alkulcs engedélyét a Windows beállításjegyzék.

  • Előfordulhat, hogy a szolgáltatásfiók számára egyszerű szolgáltatásnév szükséges a hozzá társított weboldal eléréséhez használt URL-címhez. A fiók SPN-jét a Sandbox Processing Service szolgáltatás futtatását szolgáló számítógép parancssorában futtassa a következő parancsot.

    SETSPN –a MSCRMSandboxService/<ComputerName> <service account>

Microsoft Dynamics 365 Aszinkron feldolgozási szolgáltatás és Microsoft Dynamics 365 Aszinkron feldolgozási szolgáltatás (karbantartás) szolgáltatások

  • Domain felhasználók tagsága.

  • PrivUserGroup és SQLAccessGroup tagság. Alapértelmezés szerint ezek a csoportok létrejönnek, és a megfelelő tagság a Microsoft Dynamics 365 ServerBeállítás.

  • Beépített helyi csoport Teljesítménynapló-felhasználók tagsága.

  • Ezt a fiókot a helyi biztonsági házirendben szolgáltatásengedélyként kell megadni.

  • Olvasási és írási engedély a következő mappákban.

    • A Trace mappa. Alapértelmezés szerint a \Program Files\Microsoft Dynamics CRM \ és a helyi számítógép felhasználói %AppData% fiókmappája alatt található.

    • A CustomizationImport mappa. Alapértelmezés szerint a \Program Files\Microsoft Dynamics CRM alatt \ található. Erre szükség lehet a megoldás importálásához a Dynamics 365 Customer Engagement Web Services.

  • Minden hozzáférési engedély, kivéve a Teljes vezérlést és a DAC HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSCRM``HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\MSCRMSandboxService írását a Windows beállításjegyzék.

  • Előfordulhat, hogy a szolgáltatásfiók számára egyszerű szolgáltatásnév szükséges a hozzá társított weboldal eléréséhez használt URL-címhez. A fiók SPN-jét a Aszinkron szolgáltatás szolgáltatás futtatását szolgáló számítógép parancssorában futtassa a következő parancsot.

    SETSPN –a MSCRMAsyncService/<ComputerName> <service account>

Microsoft Dynamics 365 Monitoring szolgáltatás

  • Domain felhasználók tagsága.

  • Ezt a fiókot meg kell adni a Logon as service helyi biztonsági házirendben.

  • Ha a Microsoft Dynamics 365 figyelési szolgáltatás Előtér-kiszolgáló kiszolgálói szerepkörrel van telepítve, a webhely és az alkalmazáskészletek figyeléséhez helyi rendszergazdai csoporttagság szükséges azon a számítógépen, amelyen a szolgáltatás fut. További információ:Elérhető egyéni kiszolgálói szerepkörök

  • Olvassa el az engedélyt aHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSCRM

  • SQLAccessGroup tagság. Alapértelmezés szerint ez a csoport létrejön, és a megfelelő tagság a Microsoft Dynamics 365 ServerBeállítás.

  • Előfordulhat, hogy a szolgáltatásfiók számára egyszerű szolgáltatásnév szükséges a hozzá társított weboldal eléréséhez használt URL-címhez.

Microsoft Dynamics 365 VSS Író szolgáltatás

  • Domain felhasználók tagsága.

  • Ezt a fiókot meg kell adni a Logon as service helyi biztonsági házirendben.

  • Ezt a fiókot csoporttagságnak kell biztosítani Backup Operators a szolgáltatást üzemeltető kiszolgálón.

  • Olvassa el az engedélyt aHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSCRM

  • PrivUserGroup és SQLAccessGroup tagság. Alapértelmezés szerint ezek a csoportok létrejönnek, és a megfelelő tagság a Microsoft Dynamics 365 ServerBeállítás.

Központi webszolgáltatás (CRMDeploymentServiceAppPool alkalmazáskészlet identitása)

  • Domain felhasználók tagsága.

  • Ezt a fiókot meg kell adni a Logon as service helyi biztonsági házirendben.

  • A helyi rendszergazdai csoporttagság azon a számítógépen, ahol SQL Server fut, a szervezeti adatbázis műveleteinek végrehajtásához (például új vagy importáló szervezet létrehozásához) szükséges.

  • Helyi rendszergazdai csoporttagság azon a számítógépen, amelyen Központi telepítési webszolgáltatás fut.

  • Sysadmin engedély a SQL Server konfigurációs és szervezeti adatbázisokhoz használandó példányon.

  • Mappa olvasási és írási engedélye a Trace mappákon, alapértelmezés szerint a CRMWeb \Program Files\Microsoft Dynamics CRM \ és a helyi számítógép felhasználói %AppData% fiókmappája alatt található.

  • Minden hozzáférési engedély, kivéve a Teljes vezérlést és a DAC HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSCRM``HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\MSCRMSandboxService írását a Windows beállításjegyzék.

  • PrivUserGroup és SQLAccessGroup tagság. Alapértelmezés szerint ezek a csoportok létrejönnek, és a megfelelő tagság a Microsoft Dynamics 365 ServerBeállítás.

  • CRM_WPG csoporttagság. Ez a csoport IIS a munkavégző folyamatokhoz használatos. A csoport létrejön, és a tagság a Microsoft Dynamics 365 ServerBeállítás.

  • Előfordulhat, hogy a szolgáltatásfiók számára egyszerű szolgáltatásnév szükséges a hozzá társított weboldal eléréséhez használt URL-címhez.

Alkalmazásszolgáltatás (CRMAppPool IIS alkalmazáskészlet identitása)

  • Tartományi felhasználók csoporttagság.

  • Beépített helyi csoport Teljesítménynapló-felhasználók tagsága.

  • Mappa olvasási és írási engedélye a Trace mappákon, alapértelmezés szerint a CRMWeb \Program Files\Microsoft Dynamics CRM \ és a helyi számítógép felhasználói %AppData% fiókmappája alatt található.

  • Minden hozzáférési engedély, kivéve a Teljes vezérlést és a DAC HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSCRM``HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\MSCRMSandboxService írását a Windows beállításjegyzék.

  • CRM_WPG csoporttagság. Ez a csoport az IIS-munkavégző folyamatokhoz használatos. A csoport létrejön, és a tagság a Microsoft Dynamics 365 ServerBeállítás.

  • Előfordulhat, hogy a szolgáltatásfiók számára egyszerű szolgáltatásnév szükséges a hozzá társított weboldal eléréséhez használt URL-címhez.

Kernel módú hitelesítés és SPN-ek alatt futó IIS-alkalmazáskészlet-identitások

Alapértelmezés szerint a IIS webhelyek kernelmódú hitelesítés használatára vannak konfigurálva. Ha a Dynamics 365 for Customer Engagement webhelyet kernelmódú hitelesítéssel futtatja, előfordulhat, hogy nem kell további egyszerű egyszerűnév-neveket (SPN-eket) konfigurálnia az CRMAppPool identitásokhoz.

Az SPN-ek SetSPN.exe használatával történő megtekintéséről, törléséről és regisztrálásáról a Service Principal Names (SPNs) SetSPN Syntax című témakörben talál további információt.

Microsoft Dynamics 365 telepítőfájl

Ha a Dynamics 365-öt a hálózat egy helyéről, például hálózati megosztásról szeretné telepíteni, győződjön meg arról, hogy a megfelelő engedélyeket alkalmazza a mappára, lehetőleg egy NTFS-köteten, ahol a telepítőfájlok találhatók. Előfordulhat például, hogy csak a Tartományi rendszergazdák csoport tagjainak szeretné engedélyezni a mappa engedélyeit. Ez a gyakorlat segíthet csökkenteni a telepítőfájlok elleni támadások kockázatát, amelyek veszélyeztethetik vagy megváltoztathatják őket. A Windows operációs rendszeren lévő fájlok és mappák engedélyeinek beállításáról a Windows súgójában talál további információt.

Lásd még

A Microsoft Dynamics telepítésének megtervezése 365
Microsoft Dynamics 365 biztonsági ajánlott eljárás

Megjegyzés

Megosztja velünk a dokumentációja nyelvi preferenciáit? Rövid felmérés elvégzése. (ne feledje, hogy ez a felmérés angol nyelvű)

A felmérés elvégzése körülbelül hét percet vesz igénybe. Semmilyen személyes adatot nem gyűjtünk (adatvédelmi nyilatkozat).