Feedback

Cele mai bune practici de securitate pentru Dynamics 365 Customer Engagement (on-premises)

  • Articol
  • 3 minute de lectură

Internet Information Services (IIS) este un serviciu web matur care este inclus cu Windows Server. Dynamics 365 for Customer Engagement depinde de un eficient și sigurIIS serviciu web. Aveți în vedere următoarele:

  • Înmachine.config șiweb.config fișierele de configurare puteți determina dacă depanarea este activată și, de asemenea, dacă mesajele de eroare detaliate sunt trimise clientului. Ar trebui să vă asigurați că depanarea este dezactivată pe toate serverele de producție și că un mesaj de eroare generic este trimis clientului dacă apare o problemă. Acest lucru evită trimiterea către client a informațiilor inutile despre configurația serverului web.

  • Asigurați-vă că cel mai recent sistem de operare șiIIS se aplică pachete de servicii și actualizări. Pentru cele mai recente informații, consultați Securitate Microsoft site-ul web.

  • Dynamics 365 Server Setup creează pool-uri de aplicații numite CRMAppPool și CRMDeploymentServiceAppPool care funcționează sub acreditările de utilizator pe care le specificați în timpul instalării. Pentru a facilita un model cel mai puțin privilegiat, vă recomandăm să specificați conturi de utilizator de domeniu separate pentru aceste pool-uri de aplicații în loc să utilizați contul de serviciu de rețea. În plus, vă recomandăm să nu fie altaASP.NET - aplicația conectată să fie instalată sub aceste pool-uri de aplicații. Pentru informații despre permisiunile minime necesare pentru aceste componente, consultați Permisiuni minime necesare pentru Microsoft Dynamics 365 Configurare și servicii.

Wichtig

  • Asigurați-vă că toate site-urile web care rulează pe același computer cuDynamics 365 for Customer Engagement site-ul web au, de asemenea, acces laCustomer Engagement Bază de date.
  • Dacă utilizați un cont de utilizator de domeniu, înainte de a rulaMicrosoft Dynamics 365 ServerInstalare, poate fi necesar să verificați dacă numele principal al serviciului (SPN) este setat corect pentru acel cont și, dacă este necesar, să setați SPN-ul corect. Pentru mai multe informații despre SPN-uri și despre cum să le setați, consultați Cum să utilizați SPN-urile atunci când configurați aplicații Web care sunt găzduite pe IIS.

Gestionarea numelui principal al serviciului în Microsoft Dynamics 365

Atributul nume principal de serviciu (SPN) este un atribut cu mai multe valori, nelegat, care este construit din numele gazdei DNS. SPN-ul este utilizat în timpul autentificării reciproce între client și serverul care găzduiește un anumit serviciu. Clientul găsește un cont de computer pe baza SPN-ului serviciului la care încearcă să se conecteze.

TheDynamics 365 Server programul de instalare implementează servicii specifice rolului și pool-uri de aplicații web care funcționează sub acreditările de utilizator specificate în timpul Instalare. Pentru a examina lista completă a acestor roluri și cerințele lor de permisiune, consultați Permisiuni minime necesare pentru Microsoft Dynamics 365 Configurare și servicii.

Când implementați un găzduitDynamics 365 for Customer Engagement infrastructură, două dintre aceste roluri pot necesita o considerație suplimentară:

  • Deployment Web Service

  • Serviciul de aplicații

În scenariile de fermă web, așa cum este cazul unei oferte găzduite, recomandarea este să lăsați activată autentificarea în modul kernel. În plus, ar trebui să luați în considerare îndeaproape utilizarea conturilor de utilizator de domeniu separate pentru a rula aceste servicii, deoarece:

  • Având conturi de serviciu separate pentru aceste roluri de server facilitează posibilitatea de a implementa echilibrarea sarcinii hardware.

  • TheDeployment Web Service rolul de server necesită permisiuni ridicate pentru a furniza organizații înCustomer Engagement Bază de date. Dacă doriți să aderați la un model cel mai puțin privilegiat, cea mai sigură abordare pentru implementarea SPN-urilor într-un sistem găzduit.Dynamics 365 for Customer Engagement infrastructura presupune a aveaDeployment Web Service rulează sub un alt cont de utilizator de domeniu decât Serviciul de aplicație.

Dacă urmați această sugestie de a utiliza conturi de domeniu separate pentru aceste roluri de server, ar trebui să verificați pentru a vă asigura că SPN-ul este corect pentru fiecare cont înainte de a începe Dynamics 365 Server Setup. Acest lucru vă va face mai ușor să setați SPN-ul corect atunci când este necesar.

Dacă autentificarea în modul kernel este activată, SPN-urile vor fi definite pentru contul de mașină, indiferent de contul de serviciu specificat. Când implementați o fermă web, activați autentificarea în mod kernel și modificați localul ApplicationHost.config fişier.

Dacă aplicația și serviciile web de implementare rulează pe același sistem și autentificarea în modul kernel este dezactivată, puteți configura ambele servicii să ruleze sub același cont de utilizator de domeniu pentru a preveni problemele SPN duplicate. Dacă nu puteți activa autentificarea în modul kernel, instalați serviciile web Aplicație și implementare pe sisteme separate. Este posibil ca SPN-urile să fie încă create manual, deoarece autentificarea în modul kernel este dezactivată.

Vedeți și

Considerații de securitate pentru Microsoft Dynamics 365
Microsoft Dynamics 365 cele mai bune practici de administrare

Hinweis

Ne puteți spune care preferințele dvs. lingvistice pentru documentație? Răspundeți la un chestionar scurt. (rețineți că acest chestionar este în limba engleză)

Chestionarul va dura aproximativ șapte minute. Nu sunt colectate date personale (angajament de respectare a confidențialității).