Feedback

Considerații de securitate pentru Dynamics 365 Customer Engagement (on-premises)

  • Articol
  • 9 minute de lectură

Dynamics 365 for Customer Engagement este proiectat într-un mod care vă ajută să vă faceți implementarea mai sigură. Această secțiune oferă informații și cele mai bune practici pentruDynamics 365 for Customer Engagement aplicarea. Informații suplimentare:Prezentare generală a securității pentru Microsoft Dynamics 365

Ce fel de cont de serviciu ar trebui să aleg?

Când specificați o identitate pentru a rula aDynamics 365 for Customer Engagement serviciu, puteți alege fie un cont de utilizator de domeniu, fie contul de serviciu de rețea.

Dacă serviciul interacționează cu serviciile de rețea, accesează resurse de domeniu, cum ar fi partajarea fișierelor sau dacă folosește conexiuni de server conectate la alte computere, puteți utiliza un cont de domeniu cu privilegii minime. Multe activități de la server la server pot fi efectuate numai cu un cont de utilizator de domeniu și pot oferi cea mai sigură opțiune. Acest cont ar trebui să fie pre-creat de administratorul de domeniu din mediul dumneavoastră.

Hinweis

Când configurați un serviciu pentru a utiliza un cont de domeniu, puteți izola privilegiile pentru aplicație, dar trebuie să gestionați manual parolele sau să creați o soluție personalizată pentru gestionarea acestor parole. Multe aplicații server folosesc această strategie pentru a spori securitatea, dar această strategie necesită administrare și complexitate suplimentare. În aceste implementări, administratorii de servicii petrec o cantitate considerabilă de timp pe sarcini de întreținere, cum ar fi gestionarea parolelor de serviciu și a numelor principale de servicii (SPN), care sunt necesare pentru autentificarea Kerberos. În plus, aceste sarcini de întreținere pot perturba serviciul.

Contul de serviciu de rețea este un cont încorporat care are mai mult acces la resurse și obiecte decât membrii grupului de utilizatori de domeniu. Serviciile care rulează ca cont de serviciu de rețea accesează resursele de rețea utilizând acreditările contului de computer în formatul <nume_domeniu>\<nume_computer>$. Numele real al contului este NT AUTHORITY\NETWORK SERVICE.

Permisiuni minime necesare pentru Microsoft Dynamics 365 Configurare și servicii

Dynamics 365 for Customer Engagement este conceput astfel încât caracteristicile sale să poată rula sub identități separate. Prin specificarea unui cont de utilizator de domeniu căruia i se acordă numai permisiunile necesare pentru a permite funcționarea unei anumite caracteristici, contribuiți la securizarea sistemului și la reducerea probabilității de exploatare.

Acest subiect descrie permisiunile minime necesare pentru contul de utilizatorDynamics 365 for Customer Engagement servicii și caracteristici.

Microsoft Dynamics CRM Server Configurare

Contul de utilizator folosit pentru a rula Dynamics 365 ServerInstalare care include crearea de baze de date necesită următoarele permisiuni minime:

  • Fii membru alActive Directory Grupul de utilizatori de domeniu. În mod implicit,Active Directory Users and Computers adaugă noi utilizatori la grupul Utilizatori de domeniu.

  • Fiți membru al grupului Administratori de pe computerul local pe care rulează programul de instalare.

  • Aveți permisiunea de citire și scriere a folderului Local Program Files.

  • Fiți membru al grupului Administratori de pe computerul local unde se află instanțaSQL Server se află care va fi folosit pentru a stocaDynamics 365 for Customer Engagement baze de date.

  • Aveți calitatea de administrator de sistem pe instanța deSQL Server care va fi folosit pentru a stocaDynamics 365 for Customer Engagement baze de date.

  • Creați unități organizaționale și grupuri de securitate și adăugați permisiunea de apartenență la acele grupuri Active Directory. Ca alternativă, puteți utiliza un fișier de configurare XML de configurare pentru a instala Dynamics 365 Server atunci când grupurile de securitate au fost deja create. Pentru mai multe informații, vezi Utilizați linia de comandă pentru a instala Microsoft Dynamics 365.

  • DacăSQL Server Reporting Services este instalat pe un alt server, trebuie să adăugați rolul Manager de conținut la nivelul rădăcină pentru contul de utilizator care instalează. De asemenea, trebuie să adăugațiRol de administrator de sistem la nivel de site pentru contul de utilizator care instalează.

Microsoft Dynamics 365 servicii și permisiuni de identificare a grupului de aplicații IIS

Această secțiune listează permisiunile minime pe care le necesită conturile de utilizator de domeniu pentru servicii șiIIS pool-uri de aplicații careDynamics 365 for Customer Engagement utilizări.

Wichtig

  • Dynamics 365 for Customer Engagement servicii și grup de aplicații (CRMAppPool) conturile de identitate nu trebuie configurate ca aDynamics 365 for Customer Engagement utilizator. Acest lucru poate cauza probleme de autentificare și comportament neașteptat în aplicație pentru toțiDynamics 365 for Customer Engagement utilizatorii. Informații suplimentare:Probleme în CRM când contul de utilizator CRMAppPool este un utilizator CRM
  • Conturi de servicii gestionate (conturi de servicii gestionate de grup (gMSA) sau conturi de servicii gestionate unic) și conturi virtuale (NT SERVICE\,<SERVICENAME>) nu sunt acceptate pentru alergareDynamics 365 for Customer Engagement Servicii.

Următoarele subsecțiuni descriu permisiunile de cont de utilizator de domeniu necesare pentru fiecare identitate de serviciu sau pool de aplicații:

Microsoft Dynamics 365 Serviciu de procesare Sandbox

Microsoft Dynamics 365 Serviciu de procesare asincronă și servicii Microsoft Dynamics 365 Serviciu de procesare asincronă (întreținere)

Microsoft Dynamics Serviciul de monitorizare 365

Microsoft Dynamics 365 Serviciu VSS Writer

Serviciu web de implementare (identitatea grupului de aplicații CRMDeploymentServiceAppPool)

Serviciu de aplicație (identitatea grupului de aplicații CRMAppPool IIS)

Microsoft Dynamics 365 Serviciu de procesare Sandbox

  • Calitatea utilizatorilor domeniului.

  • Acest cont trebuie acordat Conectare ca serviciu permisiunea din Politica locală de securitate.

  • Folder permisiunea de citire și scriere pe Urmă, situat în mod implicit sub \Program Files\Microsoft Dynamics 365\Trace și cont de utilizator %Datele aplicatiei% folderele de pe computerul local.

  • Citiți permisiunea pentru HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSCRM subcheie în Registry Windows.

  • Contul de serviciu poate necesita un SPN pentru adresa URL utilizată pentru a accesa site-ul web asociat cu el. Pentru a seta SPN-ul pentruServiciu de procesare sandbox cont, executați următoarea comandă la un prompt de comandă de pe computerul pe care rulează serviciul.

    SETSPN –a MSCRMSandboxService/<ComputerName> <service account>

Microsoft Dynamics 365 Serviciu de procesare asincronă și servicii Microsoft Dynamics 365 Serviciu de procesare asincronă (întreținere)

  • Calitatea utilizatorilor domeniului.

  • Apartenența la PrivUserGroup și SQLAccessGroup. În mod implicit, aceste grupuri sunt create și calitatea de membru adecvată este acordată în timpul Microsoft Dynamics 365 ServerInstalare.

  • Abonamentul utilizatorilor jurnal de performanță în grup local încorporat.

  • Acest cont trebuie acordat Conectare ca serviciu permisiunea din Politica locală de securitate.

  • Permisiune de citire și scriere în următoarele foldere.

    • TheTrace pliant. Situat implicit sub \Program Files\Microsoft Dynamics CRM\, și contul de utilizator%AppData% folderul de pe computerul local.

    • TheCustomizationImport pliant. Situat implicit sub \Program Files\Microsoft Dynamics CRM \. Acest lucru poate fi necesar pentru importul soluției atunci când utilizați Servicii web Dynamics 365 Customer Engagement.

  • Toate permisiunile de acces, cu excepția Control total și DAC de scriere înHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSCRM șiHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\MSCRMSandboxService subcheile în Registry Windows.

  • Contul de serviciu poate necesita un SPN pentru adresa URL utilizată pentru a accesa site-ul web asociat cu el. Pentru a seta SPN-ul pentruServiciu asincron cont, executați următoarea comandă la un prompt de comandă de pe computerul pe care rulează serviciul.

    SETSPN –a MSCRMAsyncService/<ComputerName> <service account>

Microsoft Dynamics Serviciul de monitorizare 365

  • Calitatea utilizatorilor domeniului.

  • Acest cont trebuie acordatLogon as service permisiunea din Politica locală de securitate.

  • Dacă serviciul de monitorizare Microsoft Dynamics 365 este instalat cu aServer Front End rol de server, apartenența la grupul de administrator local pe computerul pe care rulează serviciul este necesară pentru a monitoriza site-ul web și pool-urile de aplicații. Informații suplimentare:Roluri individuale de server disponibile

  • Citiți permisiunea pentruHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSCRM

  • Apartenența la SQLAccessGroup. În mod implicit, acest grup este creat și calitatea de membru adecvată este acordată în timpul Microsoft Dynamics 365 ServerInstalare.

  • Contul de serviciu poate necesita un SPN pentru adresa URL utilizată pentru a accesa site-ul web asociat cu el.

Microsoft Dynamics 365 Serviciu VSS Writer

  • Calitatea utilizatorilor domeniului.

  • Acest cont trebuie acordatLogon as service permisiunea din Politica locală de securitate.

  • Contului respectiv trebuie să i se acorde calitatea de membruBackup Operators grup pe serverul care găzduiește acest serviciu.

  • Citiți permisiunea pentruHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSCRM

  • Apartenența la PrivUserGroup și SQLAccessGroup. În mod implicit, aceste grupuri sunt create și calitatea de membru adecvată este acordată în timpul Microsoft Dynamics 365 ServerInstalare.

Serviciu web de implementare (identitatea grupului de aplicații CRMDeploymentServiceAppPool)

  • Calitatea utilizatorilor domeniului.

  • Acest cont trebuie acordatLogon as service permisiunea din Politica locală de securitate.

  • Apartenența la grupul de administratori locali pe computerul undeSQL Server rulează este necesar pentru a efectua operațiuni de bază de date a organizației (cum ar fi crearea unei noi organizații sau importarea unei organizații).

  • Apartenența la grupul de administratori locali pe computerul în careDeployment Web Service rulează.

  • Permisiune de administrator de sistem pe instanța deSQL Server pentru a fi utilizate pentru bazele de date de configurare și organizare.

  • Folder permisiunea de citire și scriere peTrace șiCRMWeb foldere, localizate implicit sub \Program Files\Microsoft Dynamics CRM\, și contul de utilizator%AppData% folderul de pe computerul local.

  • Toate permisiunile de acces, cu excepția Control total și DAC de scriere înHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSCRM șiHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\MSCRMSandboxService subcheile în Registry Windows.

  • Apartenența la PrivUserGroup și SQLAccessGroup. În mod implicit, aceste grupuri sunt create și calitatea de membru adecvată este acordată în timpul Microsoft Dynamics 365 ServerInstalare.

  • Apartenența la grup CRM_WPG. Acest grup este folosit pentruIIS procesele muncitorilor. Grupul este creat și calitatea de membru este adăugată în timpul Microsoft Dynamics 365 ServerInstalare.

  • Contul de serviciu poate necesita un SPN pentru adresa URL utilizată pentru a accesa site-ul web asociat cu el.

Serviciu de aplicație (identitatea grupului de aplicații CRMAppPool IIS)

  • Apartenența la un grup de utilizatori de domeniu.

  • Abonamentul utilizatorilor jurnal de performanță în grup local încorporat.

  • Folder permisiunea de citire și scriere peTrace șiCRMWeb foldere, localizate implicit sub \Program Files\Microsoft Dynamics CRM\, și contul de utilizator%AppData% folderul de pe computerul local.

  • Toate permisiunile de acces, cu excepția Control total și DAC de scriere înHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSCRM șiHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\MSCRMSandboxService subcheile în Registry Windows.

  • Apartenența la grup CRM_WPG. Acest grup este utilizat pentru procesele de lucru IIS. Grupul este creat și calitatea de membru este adăugată în timpul Microsoft Dynamics 365 ServerInstalare.

  • Contul de serviciu poate necesita un SPN pentru adresa URL utilizată pentru a accesa site-ul web asociat cu el.

Identități Pool de aplicații IIS care rulează sub autentificare în modul Kernel și SPN

În mod implicit,IIS site-urile web sunt configurate să utilizeze autentificarea în modul Kernel. Când rulațiDynamics 365 for Customer Engagement site-ul web utilizând autentificarea în modul Kernel, este posibil să nu fie nevoie să configurați nume de principal de serviciu (SPN) suplimentare pentruCRMAppPool identități.

Pentru mai multe informații despre vizualizarea, ștergerea și înregistrarea SPN-urilor folosind SetSPN.exe, consultați Nume principale de servicii (SPN) SetSPN Syntax.

Microsoft Dynamics 365 fișiere de instalare

Dacă intenționați să instalați Dynamics 365 dintr-o locație din rețea, cum ar fi o partajare de rețea, trebuie să vă asigurați că permisiunile corecte sunt aplicate folderului, de preferință pe un volum NTFS, unde se află fișierele de instalare. De exemplu, este posibil să doriți să permiteți numai membrilor grupului Administratori de domeniu permisiunile pentru folder. Această practică poate ajuta la reducerea riscului de atacuri asupra fișierelor de instalare care le pot compromite sau modifica. Pentru mai multe informații despre cum să setați permisiunile pentru fișiere și foldere pe sistemul de operare Windows, consultați Ajutor Windows.

Vedeți și

Planificarea implementării Microsoft Dynamics 365
Microsoft Dynamics 365 cele mai bune practici de securitate

Hinweis

Ne puteți spune care preferințele dvs. lingvistice pentru documentație? Răspundeți la un chestionar scurt. (rețineți că acest chestionar este în limba engleză)

Chestionarul va dura aproximativ șapte minute. Nu sunt colectate date personale (angajament de respectare a confidențialității).