Dynamics 365 Customer Engagement (on-premises) 的内部部署管理最佳实践
您只需遵循某些简单的管理规则,就可以显著提高 Dynamics 365 Customer Engagement (on-premises) 内部部署环境的安全性。
通常,Customer Engagement 用户不需要对域具有管理特权。 因此,应将所有 Customer Engagement 用户帐户限制为域用户成员。 此外,遵照最低特权原则,使用 Customer Engagement 系统的所有用户都应具有最低权限。 这从域级别开始。 您应创建域用户帐户,并使用该帐户来运行 Customer Engagement。 永远不应使用域管理员帐户来运行 Customer Engagement。
将 Dynamics 365 Customer Engagement (on-premises) 部署管理员和系统管理员角色的数量限制为少数几个负责更改规则的人员。 SQL Server、Microsoft Exchange Server 或 Active Directory 管理员等其他人员不必是 Customer Engagement 用户组的成员。
确保至少有两名或三名受信任人员具有部署管理员角色。 这可以避免主要部署管理员繁忙时导致系统锁定。
有些组织通常习惯在系统和域中重复使用密码。 例如,负责两个域的管理员可能会在每个域中创建使用相同密码的域管理员帐户,甚至可能在域中的各台计算机上设置相同的本地管理员密码。 在这种情况下,一旦某个帐户或计算机的密码泄漏便会危及整个域的安全。 因此,切勿如此重复使用密码。
组织还习惯将域管理员帐户用作提供普通服务(如备份系统)的服务帐户。 但是,将域管理员帐户用作服务帐户会带来安全风险。 具有计算机管理权限的任何人都能轻松地获得密码。 在这种情况下,可能会危及整个域的安全。 因此,不应将域管理员帐户用作服务帐户,而且应尽可能地限制这些帐户的特权。
也不能将指定运行 Dynamics 365 Customer Engagement (on-premises) 服务的域用户帐户配置为 Customer Engagement 用户。 这可能导致应用程序出现异常行为。