通过

Microsoft Dynamics 365 安装后和配置准则

  • 项目

此节介绍安装完 Dynamics 365 Server 应用程序后,Dynamics 365 Customer Engagement (on-premises) 管理员应该考虑的一些任务。 本节并不是用于配置部署的一个详尽资源。 而是将本节的内容作为一个准则,用于根据组织的需求确定应该实施哪些最佳做法以及配置哪些功能。

复制您的组织加密密钥

所有使用数据加密的新的和升级组织都使用加密密钥来确保数据的安全,例如电子邮箱和 Yammer 账户的用户密码。 若要在重新部署或故障恢复后使用 Dynamics 365 Customer Engagement (on-premises),可能需要加密密钥。 强烈建议您制作加密密钥的副本,并将其保存在安全的地方。 详细信息:复制组织数据加密密钥

增强 Dynamics 365 客户端到服务器网络通信的安全性

无论采用哪种网络设计,确保贵组织的客户端到服务器的通信安全都是非常重要的。 在选择采用何种方法来保护数据时,建议您了解以下有关 Dynamics 365 Customer Engagement (on-premises) 网络通信和技术选择的信息,这些信息可以帮助您提高数据传输的安全性。

如果您已安装了 Dynamics 365 Customer Engagement (on-premises) 或已升级到 Dynamics 365 Server(不是为 HTTPS 配置),则 Dynamics 365 Customer Engagement (on-premises) 客户端到服务器的通信将不会被加密。 在使用仅支持 HTTP 的网站时,来自 Customer Engagement 客户端的信息将以明文形式传送,因此可能会受到恶意攻击(例如“中间人”类型的攻击),此类攻击通过添加脚本以执行恶意操作来破坏内容。

配置 Dynamics 365 for HTTPS

针对 HTTPS 配置网站将导致 Dynamics 365 Customer Engagement (on-premises) 应用程序中断,因此应计划在对用户的中断影响最小时进行配置。 针对 HTTPS 配置 Dynamics 365 Customer Engagement (on-premises) 的高级步骤如下所示:

  1. 在 Dynamics 365 部署管理器中,禁用运行 Web 应用程序服务器、组织 Web 服务、发现 Web 服务和部署 Web 服务角色的服务器。 如果这是完整服务器部署,则所有服务器角色都在同一台计算机上运行。 有关如何禁用服务器的信息,请参阅 Dynamics 365 Customer Engagement (on-premises) 部署管理器帮助。

  2. 配置安装了 Web 应用程序服务器角色的网站以使用 HTTP。 有关如何执行此操作的详细信息,请参阅“Internet Information Services (IIS) 管理器帮助”。

  3. 在部署管理器中设置绑定。 可在部署的属性页的Web 地址选项卡上完成此操作。 有关如何更改绑定的详细信息,请参阅 Microsoft Dynamics 365 部署属性

  4. 如果想要进一步保护其他 Customer Engagement 服务,并且使用单独的服务器角色安装 Dynamics 365 Customer Engagement (on-premises),请对其他服务器角色重复上述步骤。

将 Dynamics 365 配置为面向 Internet 的部署

在安装了所有 Dynamics 365 Server 角色后,可以配置部署,以便远程用户可以通过 Internet 连接到应用程序。 要完成此任务,启动规则部署管理器并完成配置基于声明的身份验证向导,然后完成面向 Internet 的部署配置向导。 或者,您也可以使用 Windows PowerShell 完成这些任务。 详细信息:Dynamics 365 Customer Engagement (on-premises) PowerShell 概述

重要提示

为了让适用于平板电脑的 Dynamics 365 成功连接到新的 Dynamics 365 Server 部署,您必须在运行 IIS 的服务器上运行 Dynamics 365 Server 应用程序的修复,在该服务器上成功完成面向 Internet 的部署配置向导之后,安装 Web 应用程序服务器角色。

添加或删除示例数据

示例数据可用于帮助您熟悉 Dynamics 365 Customer Engagement (on-premises) 的运行方式。 利用示例数据,可以处理记录,并查看记录彼此相关的情况,数据在图表中显示的情况,以及报表中的信息。

可以从 Customer Engagement 应用程序中添加或移除示例数据。 详细信息:添加或删除示例数据

完成新组织的配置任务。

在完成安装 Dynamics 365 Customer Engagement (on-premises) 之后,但在组织中的业务用户开始使用它之前,有一些基本任务需要 Customer Engagement 管理员完成。 这些任务包括定义业务部门和安全角色、添加用户和导入数据。

详细信息:设置 Dynamics 365 组织

导入应用和解决方案

您可使用 Sales 和 Field Service 应用。 详细信息:Dynamics 365 Customer Engagement (on-premises) 的可用应用

可以使用解决方案扩展功能和用户界面。 定制员或开发人员可以解决方案形式分发其工作。 组织使用 Dynamics 365 Customer Engagement (on-premises) 导入解决方案。 在 Microsoft AppSource 中查找解决方案。

重要提示

导入解决方案或发布自定义项会干扰常规的系统操作。 建议您安排在解决方案对用户的干扰最小时导入解决方案。

有关如何导入解决方案的详细信息,请参阅导入、更新和导出解决方案

配置使用 OAuth 的 Windows Server for Dynamics 365 Customer Engagement (on-premises) 应用程序

以下信息描述了如何使用 AD FS 配置 Windows Server 以支持 Customer Engagement 应用程序,如适用于手机的 Dynamics 365、适用于平板电脑的 Dynamics 365、Dynamics 365 for Outlook、Microsoft Social Engagement 或其他需要 OAuth 支持的 Dynamics 365 for Customer Engagement 应用程序。

启用窗体身份验证

默认情况下,窗体身份验证在 intranet 区域是禁用的。 必须按照以下步骤启用窗体身份验证:

  1. 以管理员身份登录到 AD FS 服务器。

  2. 打开 ADFS 管理向导。

  3. 选择身份验证策略>主身份验证>全局设置>身份验证方法>编辑

  4. 选择(选中)Intranet 选项卡的基于身份验证的窗体

配置 OAuth 提供商

请遵循以下步骤来配置位于 Dynamics 365 Customer Engagement (on-premises) 的 OAuth 提供商:

  1. 以管理员身份登录到 Dynamics 365 Customer Engagement (on-premises) 服务器。

  2. 添加 Customer Engagement Windows PowerShell 管理单元 (Microsoft.Crm.PowerShell.dll)。 详细信息:使用 Windows PowerShell 管理部署

    Add-PSSnapin Microsoft.Crm.PowerShell

  3. 输入以下 Windows PowerShell 命令。

    
$ClaimsSettings = Get-CrmSetting -SettingType OAuthClaimsSettings  
$ClaimsSettings.Enabled = $true  
Set-CrmSetting -Setting $ClaimsSettings

注册客户端应用程序

客户端应用必须在 AD FS 注册。

  1. 以管理员身份登录到 AD FS 服务器。

  2. 在 PowerShell 窗口中,执行以下命令以注册适用于您的部署的每个应用程序。

    适用于 Apple iPhone、Android 和 Windows 的 Dynamics 365 (online) 版本 8.2 移动应用。

    Add-AdfsClient -ClientId ce9f9f18-dd0c-473e-b9b2-47812435e20d -Name "Microsoft Dynamics CRM for tablets and phones" -RedirectUri ms-app://s-1-15-2-2572088110-3042588940-2540752943-3284303419-1153817965-2476348055-1136196650/, ms-app://s-1-15-2-1485522525-4007745683-1678507804-3543888355-3439506781-4236676907-2823480090/, ms-app://s-1-15-2-3781685839-595683736-4186486933-3776895550-3781372410-1732083807-672102751/, ms-app://s-1-15-2-3389625500-1882683294-3356428533-41441597-3367762655-213450099-2845559172/, ms-auth-dynamicsxrm://com.microsoft.dynamics,ms-auth-dynamicsxrm://com.microsoft.dynamics.iphone.moca,ms-auth-dynamicsxrm://com.microsoft.dynamics.ipad.good,msauth://code/ms-auth-dynamicsxrm%3A%2F%2Fcom.microsoft.dynamics,msauth://code/ms-auth-dynamicsxrm%3A%2F%2Fcom.microsoft.dynamics.iphone.moca,msauth://code/ms-auth-dynamicsxrm%3A%2F%2Fcom.microsoft.dynamics.ipad.good,msauth://com.microsoft.crm.crmtablet/v%2BXU%2FN%2FCMC1uRVXXA5ol43%2BT75s%3D,msauth://com.microsoft.crm.crmphone/v%2BXU%2FN%2FCMC1uRVXXA5ol43%2BT75s%3D, urn:ietf:wg:oauth:2.0:oob

    Dynamics 365 for Outlook。

    Add-AdfsClient -ClientId  2f29638c-34d4-4cf2-a16a-7caf612cee15  -Name "Dynamics CRM Outlook Client" -RedirectUri app://6BC88131-F2F5-4C86-90E1-3B710C5E308C/

    Unified Service Desk 客户端。

    Add-AdfsClient -ClientId  4906f920-9f94-4f14-98aa-8456dd5f78a8  -Name "Dynamics 365 Unified Service Desk" -RedirectUri app://41889de4-3fe1-41ab-bcff-d6f0a6900264/

    Dynamics 365 Customer Engagement (on-premises) 开发人员工具。

    Add-AdfsClient -ClientId  2ad88395-b77d-4561-9441-d0e40824f9bc  -Name "Dynamics 365 Development Tools" -RedirectUri app://5d3e90d6-aa8e-48a8-8f2c-58b45cc67315/

  3. 若要注册 Dynamics 365 App for Outlook,在 Customer Engagement (on-premises) 中,转至设置>Dynamics 365 App for Outlook,在此处注册应用。

为 Dynamics 365 Server 启用 OAuth 后所需执行的步骤

启用 OAuth 并且已注册应用程序后,需要完成以下步骤:

删除网站身份验证提供程序

  1. 在 Web 应用程序服务器角色运行的 Dynamics 365 Server 上,打开 Internet Information Services (IIS) 管理器。

  2. 在左窗格中,在组织名称下,展开网站,然后选择 Microsoft Dynamics CRM

  3. 在中间窗格中双击身份验证

  4. 右键单击 Windows 身份验证,然后选择 提供程序。 对于列表中的每个提供程序,选择提供程序,选择删除,然后选择确定

  5. 在删除所有提供程序后,右键单击 Windows 身份验证,然后选择禁用

    删除网站提供程序。

  6. 重复前面的步骤从 ngaAppWebServices 网站文件夹中删除所有 Windows 身份验证提供程序。

将 AD FS 地址添加到客户端本地 Intranet 区域以避免客户端身份验证提示

  1. 在客户端计算机上,选择开始,输入 inetcpl.cpl,然后选择 Enter 以打开 Internet 属性
  2. 选择安全选项卡,选择本地 Intranet 区域,选择站点,然后选择高级
  3. 在 AD FS 地址中输入,选择添加,选择关闭,选择确定,然后再次选择确定

授予应用程序权限

在 AD FS 服务器上,在 Windows PowerShell 控制台中运行以下命令。 这在您使用 Windows Server 2016 AD FS 或更高版本时需要。

Grant-AdfsApplicationPermission -ClientRoleIdentifier "<client_id/org_id>" -ServerRoleIdentifier "<org_auth_url>"

重要提示

确保 org_auth_url 是完整且准确的 URL。 此外,还必须包含结尾正斜线 /。
例如:

Grant-AdfsApplicationPermission -ClientRoleIdentifier "806e5da7-0600-e611-80bf-6c3be5b27d7a" -ServerRoleIdentifier https://auth.contoso.com:444/

若要显示身份验证 URL,请运行此 PowerShell 命令:

 Get-ADFSRelyingPartyTrust

重新启动 AD FS

在 AD FS 服务器上,运行以下 PowerShell 命令以强制 AD FS 重新启动。

net stop adfssrv 
net start adfssrv

在联合服务器上启用设备注册服务 (DRS)

为了确保设备可以连接到您的部署,请按照此主题中的说明进行操作:通过设备注册服务配置联合服务器

使用证书 MMC 管理单元请求自定义证书

本节介绍如何生成可用于获取 Microsoft Dynamics 365 Customer Engagement on-premises 的 SSL 证书的自定义证书请求 (CSR)。

重要提示

要让基于声明的身份验证和面向 Internet 的部署正常工作,必须完成以下步骤。

  1. 使用属于本地管理员组成员的帐户登录到任何 Windows 计算机。
  2. 选择开始,键入 mmc.exe,然后按 ENTER。
  3. 在命令栏上选择文件,然后选择添加/删除管理单元
  4. 在可用管理单元列表中,选择证书,然后选择添加
  5. 选择计算机帐户,然后选择下一步
  6. 选择本地计算机,选择完成,然后选择确定

为打开本地计算机存储添加证书管理单元后,创建自定义证书请求。

  1. 在 MMC 控制台树中,展开证书(本地计算机)

  2. 右键单击个人,指向所有任务,指向高级操作,然后选择创建自定义请求

  3. 证书注册向导将打开。 选择下一步

  4. 选择证书注册策略页面上,选择自定义请求下的继续(不选择注册策略),然后选择下一步

  5. 模板选项旁边的自定义请求页面上,选择(无模板)旧密钥并选择 PKCS #10 请求格式选项,然后选择下一步选择创建自定义证书请求的选项

    重要提示

    不支持 CNG 证书。

  6. 证书信息页面上,展开详细信息,然后选择属性证书属性

  7. 常规选项卡上,输入易记名称(显示名称),然后选择应用

  8. 选择主题选项卡,然后添加证书的相关主题名称和备用名称。 一些公共证书颁发机构需要不同的主题值。 详细信息:证书主题和备用名称示例

  9. 添加所有相关值后,选择应用

  10. 选择扩展选项卡。

    1. 展开密钥使用,然后添加数据加密数字签名密钥加密作为选定选项
    2. 展开扩大密钥使用(应用程序策略),然后添加服务器身份验证客户端身份验证作为选定选项
    3. 选择应用

  11. 选择私钥选项卡。

    1. 展开加密服务提供程序,然后选择 Microsoft RSA Schannel 加密提供程序(加密)
    2. 展开密钥选项,然后将密钥大小设置为 2048(或更大)并选择使私钥可导出选项。
    3. 展开密钥类型,然后选择 Exchange
    4. 选择应用密钥类型的认证属性

  12. 查看所有选项卡,确保选择或输入所有必需的选项。 验证后选择确定

  13. 此时会显示证书注册页面。 选择下一步

  14. 保存离线请求的位置页面上,输入保存请求文件的完整路径,确保文件格式设置为 Base 64。 选择完成

现在您将有 BASE 64 格式的 CSR,您可以将其转发给外部或内部证书颁发机构进行签名。

重要提示

不包含私钥。 这可以避免在转移到证书颁发机构时私钥泄漏。

您的提供商将提供证书的签名版本,包括私钥和有效负载。 您收到的证书必须导入回您创建证书请求的同一台计算机。

导入然后导出收到的证书

将证书导入本地证书存储(个人),请求将自动完成。 这样会合并私钥和公钥。 从证书 MMC 管理单元,右键单击个人文件夹中的证书文件夹,指向所有任务,然后选择导入浏览到并选择证书,然后按照证书导入向导中的步骤导入证书。

最后,您导出证书。

  1. 在证书 MMC 管理单元中,右键单击证书,指向所有任务,然后选择导出
  2. 证书导出向导上,选择下一步,然后选择是,导出私钥。 选择下一步
  3. 导出文件格式页面上,保留所有默认设置,然后选择下一步证书导出格式
  4. 安全性页面上,选择密码
    1. 输入将作为您的私钥的密码。 确保将该信息保存在安全的地方。
    2. 加密选择 AES256-SHA256
    3. 选择下一步
  5. 输入您要保存证书的文件夹路径,证书将以 PFX 格式保存。
  6. 选择下一步,然后选择完成

现在您可以使用 Dynamics 365 Customer Engagement (on-premises) 的 PFX 证书以及 AD FS 等其他应用程序。

重要提示

如果您的证书颁发机构不接受旧类型证书请求,请确保满足除加密服务提供程序 (CSP) 之外的所有要求。 您可以在提升的命令 shell 中运行以下 Certutil.exe,以使用所需的提供程序重新导入 PFX。

certutil -csp "Microsoft RSA SChannel Cryptographic Provider" -importpfx <drive><name of cert>.pfx AT_KEYEXCHANGE

证书主题和备用名称示例

主题名称示例。

类型​​ 输入的值 使用者名称
国家/地区 DE C=DE
区域 慕尼黑 L=慕尼黑
组织 Contoso Ltd O=Contoso Ltd
部门 IT OU=IT
巴伐利亚 S=巴伐利亚
通用名称 *.contoso.com1 CN=*.contoso.com1

1使用通配符。 建议使用通配符证书,因为它覆盖为域创建的所有 DNS 值。

证书主题名称示例

对于主题备用名称 (SAN),确保包括您需要的所有 DNS 值。 例如,名为 Contoso 的虚构公司的备用名称 DNS 类型值可能是:auth.contoso.com、dev.contoso.com、internalcrm.contoso.com、adfs.contoso.com、crmorg1.contoso.com、crmorg2.contoso.com 等。

证书主题备用名称示例

为 SQL Server AlwaysOn 配置数据库

虽然下面引用的文章适用于较低版本的 Dynamics 365 Customer Engagement (on-premises),您仍然可以使用类似步骤为 SQL Server AlwaysOn 配置 Dynamics 365 Customer Engagement (on-premises) 版本 9 组织数据库和配置数据库。

重要提示

下面的文章链接中步骤 4 下的为所有辅助副本中的 Microsoft Dynamics 365 安全组创建 SQL 登录下介绍如何创建 MSCRMSqlClrLogin SQL 登录的最终任务不适用于此版本,在配置 Dynamics 365 Customer Engagement (on-premises) 版本 9 数据库以使用 SQL Server AlwaysOn 时应忽略这些任务。
MSCRMSqlClrLogin SQL 登录、其非对称密钥和 Microsoft.Crm.SqlClr.Helper.dll 不需要 Dynamics 365 Customer Engagement (on-premises) 版本 9。

详细信息:为 SQL Server AlwaysOn 故障转移设置配置数据库和组织数据库

用户培训和采用

详细信息:Microsoft Dynamics 365 培训与采用套件

另请参见

安装本地 Dynamics 365
操作 Microsoft Dynamics 365