Procedure consigliate per la sicurezza di Dynamics 365 Customer Engagement (on-premises)
Internet Information Services (IIS) è un servizio Web avanzato incluso in Windows Server. Un servizio Web IIS efficiente e sicuro è fondamentale per Dynamics 365 Customer Engagement (on-premises). Tenere presente quanto segue:
Nei file di configurazione
machine.configeweb.configè possibile definire se la funzionalità di debug deve essere abilitata o meno, nonché stabilire se al client devono venire inviati messaggi di errore dettagliati. È necessario assicurarsi che la funzionalità di debug sia disabilitata per tutti i server di produzione e che in caso di problema ai client venga inviato un messaggio di errore generico. In questo modo si evita di inviare ai client informazioni non necessarie sulla configurazione del server Web.Verificare che siano applicati i Service Pack IIS e gli aggiornamenti più recenti del sistema operativo. Per informazioni aggiornate, vedere il sito Web Microsoft Security.
La configurazione di Dynamics 365 Server crea pool di applicazioni denominati CRMAppPool e CRMDeploymentServiceAppPool che funzionano con le credenziali utente specificate durante la configurazione. Per agevolare l'adozione di un modello con privilegi minimi, è consigliabile specificare account utente distinti per questi pool di applicazioni anziché utilizzare l'account del servizio di rete. Inoltre, è consigliabile non installare altre applicazioni ASP.NET in tali pool di applicazioni. Per informazioni sulle autorizzazioni minime necessarie per questi componenti, vedi Autorizzazioni minime necessarie per l'installazione e i servizi di Microsoft Dynamics 365
Importante
- Accertati che tutti i siti Web in esecuzione nello stesso computer che esegue il sito Web di Dynamics 365 Customer Engagement (on-premises) abbiano accesso al database di Customer Engagement.
- Se si utilizza un account utente di dominio, prima di eseguire la configurazione di Microsoft Dynamics 365 Server potrebbe essere necessario verificare che l'impostazione del nome dell'entità servizio (SPN) sia corretta per l'account ed eventualmente correggerla. Per ulteriori informazioni sui nomi delle entità servizio (SPN) e su come impostarli, vedere Come utilizzare SPN durante la configurazione di applicazioni Web ospitate su Internet Information Services.
Gestire il nome dell'entità principale servizio in Microsoft Dynamics 365
L'attributo nome dell'entità servizio (SPN) è un attributo a più valori non collegato generato dal nome host DNS. L'SPN viene utilizzato durante l'autenticazione reciproca tra il client e il server che ospita un determinato servizio. Il client trova un account computer basato sull'SPN del servizio a cui tenta di connettersi.
Il programma di installazione di Dynamics 365 Server distribuisce servizi specifici del ruolo e pool di applicazioni Web che funzionano con le credenziali utente specificate durante la configurazione. Per esaminare l'elenco completo di tali ruoli e le autorizzazioni necessarie corrispondenti, vedi Autorizzazioni minime necessarie per l'installazione e i servizi di Microsoft Dynamics 365.
Quando si distribuisce un'infrastruttura Dynamics 365 Customer Engagement (on-premises) ospitata, per due di questi ruoli può essere necessaria una considerazione ulteriore:
Servizio Web di distribuzione
Servizio dell'applicazione
In scenari Web farm, come nel caso delle soluzioni ospitate, è consigliabile lasciare l'autenticazione in modalità kernel abilitata. È inoltre consigliabile considerare di utilizzare account utente di dominio distinti per eseguire questi servizi perché:
Avere account di servizio distinti per questi ruoli server facilita l'implementazione del bilanciamento del carico hardware.
Il ruolo server Deployment Web Service richiede autorizzazioni elevate per eseguire il provisioning delle organizzazioni nel database di Customer Engagement. Se si desidera aderire a un modello a privilegi minimi, l'approccio più sicuro per l'implementazione delle entità servizio in un'infrastruttura di Dynamics 365 Customer Engagement (on-premises) ospitata implica che il Servizio Web di distribuzione venga eseguito con un account utente di dominio diverso da quello del servizio dell'applicazione.
Se si segue il suggerimento di utilizzare account di dominio distinti per questi ruoli server, sarà necessario controllare che l'entità servizio sia corretta per ogni account prima di avviare l'installazione di Dynamics 365 Server. In tal modo sarà più semplice impostare l'entità servizio corretta quando necessario.
Se l'autenticazione in modalità kernel è abilitata, verranno definite entità servizio per l'account computer, indipendentemente dall'account di servizio specificato. Quando si implementa una Web farm, abilitare l'autenticazione in modalità kernel e modificare il file locale ApplicationHost.config.
Se sullo stesso computer vengono eseguiti servizi Web di distribuzione e di applicazione e l'autenticazione in modalità kernel è disabilitata, è possibile configurare entrambi i servizi in modo che vengano eseguiti nello stesso dominio dell'account utente per evitare la duplicazione di entità servizio. Se l'autenticazione in modalità kernel non può essere abilitata, installare i servizi Web di distribuzione e di applicazione Web in computer distinti. Poiché l'autenticazione in modalità kernel è disabilitata, è possibile che sia necessario creare le entità servizio manualmente.
Vedi anche
Considerazioni sulla sicurezza per Microsoft Dynamics 365
Procedure consigliate di gestione di Microsoft Dynamics 365