次の方法で共有

Dynamics 365 Customer Engagement (on-premises) のセキュリティに関する考慮事項

  • [アーティクル]

Dynamics 365 Customer Engagement (on-premises) は、展開のセキュリティの保護をさらに強固にするように設計されています。 このセクションでは、Dynamics 365 Customer Engagement (on-premises) アプリケーションに関する情報とベスト プラクティスについて説明します。 詳細: Microsoft Dynamics 365 のセキュリティ概要

どのサービス アカウントを選択する必要がありますか。

Dynamics 365 Customer Engagement (on-premises) サービスを実行する ID を指定する場合は、ドメイン ユーザー アカウントまたはネットワーク サービス アカウントのいずれかを選択できます。

サービスがネットワーク サービス、ファイル共有などのアクセス ドメイン リソースと共に機能している場合、または別のコンピューターにリンクされたサーバー接続を使用している場合、ドメイン アカウントの最小特権を使用できます。 ドメイン ユーザー アカウントでのみ複数のサーバー間活動を実行します。これは、最も安全なオプションです。 このアカウントには、ドメイン管理で自分の環境で作成する必要があります。

Note

サービスがドメイン アカウントを使用するように構成する場合、アプリケーションの特権を分離できますが、手動でをパスワードを管理するかこれらのパスワードの管理にカスタム ソリューションを作成する必要があります。 多くのサーバー アプリケーションはこの対応策を使用してセキュリティを向上させますが、この対応策では追加的な管理と複雑さが要求されます。 これらの展開では、サービスの管理者はサービス パスワードや Kerberos 認証を必要とするサービス プリンシパル名 (SPNs) の管理などの保守タスクに相当の時間を費やします。 また、これらの保守タスクは、サービスを中断させます。

ネットワーク サービス アカウントは、ドメイン ユーザー グループのメンバーよりもリソースとオブジェクトへのより多くのアクセス権を持つ組み込みのアカウントです。 ネットワーク サービス アカウントとして実行するサービスは、コンピューター アカウントの資格情報を <domain_name>\<computer_name>$ 形式で使用して、ネットワークリソースにアクセスします。 アカウントの実際の名前は、NT AUTHORITY\NETWORK SERVICE です。

Minimum permissions required for Microsoft Dynamics 365 のセットアップおよびサービスに必要な最低限のアクセス許可

Dynamics 365 Customer Engagement (on-premises) は、その機能を別の ID で実行できるように設計されています。 ドメイン ユーザー アカウントに特定の機能を有効にするために必要なアクセス許可のみを付与することで、システムをセキュリティで保護して悪用される危険性を軽減します。

ここでは、Dynamics 365 Customer Engagement (on-premises) サービスおよび機能用のユーザー アカウントに最小限必要な権限について説明します。

Microsoft Dynamics CRM Server セットアップ

データベースの作成を含む Dynamics 365 Server セットアップを実行するために使用するユーザー アカウントには、少なくとも次の権限が必要です:

  • Active Directory Domain Users グループのメンバーである必要があります。 既定では、新しいユーザーは Active Directory ユーザーとコンピューターによって Domain Users グループに追加されます。

  • セットアップを実行するローカル コンピューターの管理者グループのメンバーである必要があります。

  • Local Program Files フォルダーに対する読み書き権限を持っている必要があります。

  • Dynamics 365 Customer Engagement (on-premises) データベースを格納する SQL Server のインスタンスが配置されるローカル コンピューターの Administrators グループのメンバーである必要があります。

  • Dynamics 365 Customer Engagement (on-premises) データベースを格納する SQL Server のインスタンスで sysadmin メンバーシップを持っている必要があります。

  • 組織単位とセキュリティ グループを作成し、Active Directory でこのグループにメンバーシップのアクセス許可を追加する必要があります。 セキュリティ グループが既に作成されている場合は、セットアップ XML 構成ファイルを使用して Dynamics 365 Server をインストールできます。 詳細については、 コマンド プロンプトを使って Microsoft Dynamics 365 をインストールする.を参照してください。

  • SQL Server Reporting Services が別のサーバーにインストールされている場合は、インストール用ユーザー アカウントのルート レベルでコンテンツ マネージャー ロールを追加する必要があります。 また、インストール用ユーザー アカウントのサイト規模レベルで、システム管理者ロールを追加する必要もあります。

Microsoft Dynamics 365 サービスおよび IIS アプリケーションのプール ID のアクセス許可

このセクションでは、Dynamics 365 Customer Engagement (on-premises) で使用される、サービスと IIS のアプリケーション プールに対してユーザー アカウントが必要とする最低限のアクセス許可を示します。

重要

  • Dynamics 365 Customer Engagement (on-premises) サービスとアプリケーション プール (CRMAppPool) ID アカウントは Dynamics 365 Customer Engagement (on-premises) ユーザーとして構成しないでください。 この構成にすると、認証の問題とアプリケーションの予期しない動作がすべての Dynamics 365 Customer Engagement (on-premises) ユーザーで発生する可能性があります。 詳細: CRMAppPool ユーザー アカウントが CRM ユーザーである場合の CRM の問題
  • 管理されたサービス アカウント (グループ管理されたサービス アカウント (gMSA) または単一管理されたサービス アカウント) と仮想アカウント (NT SERVICE,<SERVICENAME>) は、Dynamics 365 Customer Engagement (on-premises) サービスの実行に対してサポートされていません。

次のサブセクションで、各サービスまたはアプリケーション プール ID に必要なドメイン ユーザー アカウントのアクセス許可について説明します。

Microsoft Dynamics 365 サンドボックス処理サービス

Microsoft Dynamics 365 非同期処理サービスおよび Microsoft Dynamics 365 非同期処理サービス (メンテナンス) サービス

Microsoft Dynamics 365 監視サービス

Microsoft Dynamics 365 VSS ライター サービス

展開 Web サービス (CRMDeploymentServiceAppPool アプリケーション プール ID)

アプリケーション サービス (CRMAppPool IIS アプリケーション プール ID)

Microsoft Dynamics 365 サンドボックス処理サービス

  • Domain Users メンバーシップ。

  • このアカウントには、ローカル セキュリティ ポリシーで "サービスとしてログオン" のアクセス許可が付与されている必要があります。

  • トレース 上のフォルダー読み書きアクセス許可は、規定では \Program Files\Microsoft Dynamics 365\Trace、そしてローカル コンピューター上のユーザーアカウントの %AppData% フォルダにあります。

  • Windows レジストリの HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSCRM サブキーに対する読み取りアクセス許可。

  • サービス アカウントには、それに関連付けられた Web サイトへのアクセスに使用する URL の SPN が必要となる場合があります。 サンドボックス処理サービス アカウントの SPN を設定するには、サービスを実行するコンピューター上のコマンド プロンプトで次のコマンドを実行します。

    SETSPN –a MSCRMSandboxService/<ComputerName> <service account>

Microsoft Dynamics 365 非同期処理サービスおよび Microsoft Dynamics 365 非同期処理 (メンテナンス) サービス

  • Domain Users メンバーシップ。

  • PrivUserGroup および SQLAccessGroup のメンバーシップ。 既定では、これらのグループが作成され、Microsoft Dynamics 365 Server セットアップ中に適切なメンバーシップが付与されます。

  • 組み込みのローカル グループのパフォーマンス ログ ユーザー メンバーシップ。

  • このアカウントには、ローカル セキュリティ ポリシーで "サービスとしてログオン" のアクセス許可が付与されている必要があります。

  • 次のフォルダーに対する読み取りおよび書き込みのアクセス許可。

    • Trace フォルダー。 既定では、\Program Files\Microsoft Dynamics CRM\ 、そしてローカル コンピューター上のユーザー アカウント フォルダー %AppData% の下に配置されています。

    • CustomizationImport フォルダー。 既定では、\Program Files\Microsoft Dynamics CRM\ に配置されています。 これは、Dynamics 365 Customer Engagement Web サービスを使用する場合に、ソリューションのインポートに必要な場合があります。

  • Windows レジストリ内の HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSCRM および HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\MSCRMSandboxService サブキーに対するフル コントロールと書き込み DAC を除く、すべてのアクセス許可。

  • サービス アカウントには、それに関連付けられた Web サイトへのアクセスに使用する URL の SPN が必要となる場合があります。 非同期サービス アカウントの SPN を設定するには、サービスを実行するコンピューター上のコマンド プロンプトで次のコマンドを実行します。

    SETSPN –a MSCRMAsyncService/<ComputerName> <service account>

Microsoft Dynamics 365 監視サービス

  • Domain Users メンバーシップ。

  • このアカウントには、ローカル セキュリティ ポリシーで [Logon as service] アクセス許可が付与されている必要があります。

  • Microsoft Dynamics 365 監視サービスがフロント エンド サーバーのサーバー ロールでインストールされている場合は、サービスを実行しているコンピューター上のローカル管理者グループ メンバーは Web サイトやアプリケーション プールを監視することが必要になります。 詳細:個別に使用可能なサーバー ロール

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSCRMに対する読み取りアクセス許可

  • SQLAccessGroup のメンバーシップ。 既定では、このグループが作成され、Microsoft Dynamics 365 Server セットアップ中に適切なメンバーシップが付与されます。

  • サービス アカウントには、それに関連付けられた Web サイトへのアクセスに使用する URL の SPN が必要となる場合があります。

Microsoft Dynamics 365 VSS ライター サービス

  • Domain Users メンバーシップ。

  • このアカウントには、ローカル セキュリティ ポリシーで [Logon as service] アクセス許可が付与されている必要があります。

  • そのアカウントには、このサービスをホストしているサーバーで Backup Operators グループのメンバーシップを付与する必要があります。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSCRMに対する読み取りアクセス許可

  • PrivUserGroup および SQLAccessGroup のメンバーシップ。 既定では、これらのグループが作成され、Microsoft Dynamics 365 Server セットアップ中に適切なメンバーシップが付与されます。

展開 Web サービス (CRMDeploymentServiceAppPool アプリケーション プール ID)

  • Domain Users メンバーシップ。

  • このアカウントには、ローカル セキュリティ ポリシーで [Logon as service] アクセス許可が付与されている必要があります。

  • SQL Server を実行するコンピューターでのローカル管理者グループのメンバーシップは、組織のデータベースの操作 (組織の新規作成やインポートなど) を実行するために必要です。

  • 展開 Web サービスを実行するコンピューターのローカル管理者グループのメンバーシップ。

  • 構成と組織のデータベースとして使用する SQL Server のインスタンスに対する Sysadmin 権限。

  • Trace および CRMWeb フォルダーのフォルダーの読取りおよび書き込み許可は、規定では \Program Files\Microsoft Dynamics CRM\ の下、そしてローカル コンピューター上のユーザーアカウント %AppData% フォルダーにあります。

  • Windows レジストリ内の HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSCRM および HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\MSCRMSandboxService サブキーに対するフル コントロールと書き込み DAC を除く、すべてのアクセス許可。

  • PrivUserGroup および SQLAccessGroup のメンバーシップ。 既定では、これらのグループが作成され、Microsoft Dynamics 365 Server セットアップ中に適切なメンバーシップが付与されます。

  • CRM_WPG グループ メンバーシップ。 このグループは IIS ワーカー プロセスで使用されます。 このグループが作成され、Microsoft Dynamics 365 Server セットアップの実行中にメンバーシップが追加されます。

  • サービス アカウントには、それに関連付けられた Web サイトへのアクセスに使用する URL の SPN が必要となる場合があります。

アプリケーション サービス (CRMAppPool IIS アプリケーション プール ID)

  • Domain Users グループ メンバーシップ。

  • 組み込みのローカル グループのパフォーマンス ログ ユーザー メンバーシップ。

  • アプリケーション サービスを実行しているコンピューターのローカル管理者グループのメンバーシップ。

  • Trace および CRMWeb フォルダーのフォルダーの読取りおよび書き込み許可は、規定では \Program Files\Microsoft Dynamics CRM\ の下、そしてローカル コンピューター上のユーザーアカウント %AppData% フォルダーにあります。

  • Windows レジストリ内の HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSCRM および HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\MSCRMSandboxService サブキーに対するフル コントロールと書き込み DAC を除く、すべてのアクセス許可。

  • PrivUserGroup および SQLAccessGroup のメンバーシップ。 既定では、これらのグループが作成され、Microsoft Dynamics 365 Server セットアップ中に適切なメンバーシップが付与されます。

  • CRM_WPG グループ メンバーシップ。 このグループは IIS ワーカー プロセスで使用されます。 このグループが作成され、Microsoft Dynamics 365 Server セットアップの実行中にメンバーシップが追加されます。

  • サービス アカウントには、それに関連付けられた Web サイトへのアクセスに使用する URL の SPN が必要となる場合があります。

カーネル モード認証で実行する IIS アプリケーション プール ID と SPN

既定で、IIS の Web サイトは、カーネル モード認証を使用するように構成されています。 カーネル モード認証を使用して Dynamics 365 Customer Engagement (on-premises) Web サイトを実行するときは、CRMAppPool ID に追加のサービス プリンシパル名 (SPN) を構成する必要がない場合があります。

SetSPN.exe を使用して SPN を表示、削除、登録する方法の詳細については、サービス プリンシパル名 (SPN) の SetSPN 構文を参照してください。

Microsoft Dynamics 365 インストール ファイル

Dynamics 365 をネットワーク共有などのネットワーク上の場所からインストールする場合は、インストール ファイルがあるフォルダー (NTFS ボリュームにあるのが望ましい) に対して適切なアクセス許可が適用されている必要があります。 たとえば、Domain Admins グループのメンバーだけがそのフォルダーへのアクセス許可を持つようにする必要があります。 このような対策を講じることで、インストール ファイルが悪用または改ざんされるリスクを抑えることができます。 Windows オペレーティング システム上のファイルやフォルダーに対するアクセス許可の設定方法の詳細については、Windows のヘルプを参照してください。

関連項目

Microsoft Dynamics 365 の展開を計画する
Microsoft Dynamics 365 のセキュリティに関するベストプラクティス