Consideraciones de seguridad para Dynamics 365 Customer Engagement (on-premises)

Artículo
05/10/2023

Dynamics 365 Customer Engagement (on-premises) está diseñado de una forma que aporta más seguridad a su implementación. En esta sección se ofrece información y las prácticas recomendadas para la aplicación de Dynamics 365 Customer Engagement (on-premises). Más información: Información general de la seguridad de Microsoft Dynamics 365

¿Qué tipo de cuenta de servicio debo elegir?

Cuando se especifica una identidad para ejecutar un servicio de Dynamics 365 Customer Engagement (on-premises), puede seleccionar una cuenta de usuario de dominio o la cuenta de servicio de red.

Si el servicio interactúa con los servicios de red, accede a recursos de dominio como recursos compartidos de archivos o si usa las conexiones de servidor vinculadas con otros equipos, puede usar una cuenta de dominio con privilegios mínimos. Muchas actividades entre servidores se pueden realizar solo con una cuenta de usuario de dominio y pueden proporcionar la opción sea más segura. El administrador de dominios de su entorno debe crear previamente esta cuenta.

Nota

Cuando se configura un servicio para usar una cuenta de dominio, puede aislar los privilegios de la aplicación, pero debe administrar manualmente contraseñas o crear una solución personalizada para administrar estas contraseñas. Muchas aplicaciones de servidor siguen esta estrategia para mejorar la seguridad, pero esta estrategia requiere administración y complejidad adicionales. En estas implementaciones, los administradores de servicio dedican un período de tiempo considerable a tareas de mantenimiento como administrar las contraseñas de servicio y nombres de entidades de seguridad de servicio (SPN), que son necesarios para la autenticación Kerberos. Además, estas tareas de mantenimiento pueden interrumpir el servicio.

La cuenta de servicio de red es una cuenta integrada que tiene un mayor acceso a los recursos y objetos que los integrantes del grupo de usuarios de dominio. Los servicios que se ejecutan como recursos de red de acceso de la cuenta de servicio de red utilizando las credenciales de la cuenta del equipo en el formato <domain_name>\<computer_name>$. El nombre real de la cuenta es NT AUTHORITY\NETWORK SERVICE.

Permisos mínimos requeridos para la instalación y los servicios de Microsoft Dynamics 365

Dynamics 365 Customer Engagement (on-premises) está diseñado para que sus características se puedan ejecutar con identidades diferentes. Para aumentar la seguridad del sistema y reducir las probabilidades de abuso, especifique una cuenta de usuario que solo tenga los permisos necesarios para habilitar el funcionamiento de una característica determinada.

En este tema se describen los permisos mínimos que necesita la cuenta de usuario para los servicios y características de Dynamics 365 Customer Engagement (on-premises).

Programa de instalación de Microsoft Dynamics CRM Server

La cuenta de usuario utilizada para ejecutar el programa de instalación de Dynamics 365 Server que incluye la creación de bases de datos, necesita los permisos mínimos siguientes:

Pertenecer al grupo Usuarios del dominio de Active Directory. De forma predeterminada, los usuarios y equipos de Active Directory agregan nuevos usuarios al grupo Usuarios del dominio.
Pertenecer al grupo de Administradores en el equipo local donde se está ejecutando el programa de instalación.
Tener permisos de lectura y escritura en la carpeta local Archivos de programa
Pertenecer al grupo de Administradores en el equipo local donde se encuentra la instancia de SQL Server que se usará para almacenar las bases de datos de Dynamics 365 Customer Engagement (on-premises).
Ser integrante sysadmin en la instancia de SQL Server que se usará para almacenar las bases de datos de Dynamics 365 Customer Engagement (on-premises).
Tener permiso para crear unidades organizativas y grupos de seguridad y agregar pertenencia para los grupos de Active Directory. También puede usar un archivo de configuración XML del programa de instalación para instalar Dynamics 365 Server cuando los grupos de seguridad ya hayan sido creados. Para obtener más información, consulte Utilizar el símbolo del sistema para instalar Microsoft Dynamics 365.
Si SQL Server Reporting Services está instalado en un servidor diferente, deberá agregar el rol Administrador de contenido en el nivel de raíz para la cuenta de usuario de instalación. También deberá agregar el rol Administrador del sistema en todo el nivel de ubicación para la cuenta de usuario de instalación.

Permisos de servicios de Microsoft Dynamics 365 e identidad del grupo de aplicaciones de IIS

En esta sección se indican cuáles son los permisos mínimos que las cuentas de usuario de dominio requieren para los servicios y los grupos de aplicaciones de IIS que utiliza Dynamics 365 Customer Engagement (on-premises).

Importante

Los servicios de Dynamics 365 Customer Engagement (on-premises) y las cuentas de identidad del grupo de aplicaciones (CRMAppPool) no deben configurarse como un usuario de Dynamics 365 Customer Engagement (on-premises). Hacerlo podría provocar problemas de autenticación y un comportamiento inesperado en la aplicación para todos los usuarios de Dynamics 365 Customer Engagement (on-premises). Más información:Problemas en CRM cuando la cuenta de usuario CRMAppPool es un usuario de CRM
Las cuentas de servicio administradas (cuentas de servicio administradas por grupos (gMSA) o cuentas de servicio administradas individualmente) y las cuentas virtuales (NT SERVICE\,<SERVICENAME>) no se admiten para ejecutar servicios de Dynamics 365 Customer Engagement (on-premises).

Las siguientes subsecciones describen los permisos de las cuentas de usuario de dominio necesarios para cada identidad del servicio o el grupo de aplicaciones:

Servicio de procesamiento de espacios aislados de Microsoft Dynamics 365

Servicio de procesamiento asincrónico de Microsoft Dynamics 365 y servicios (mantenimiento) del servicio de procesamiento asincrónico de Microsoft Dynamics 365

Servicio de supervisión de Microsoft Dynamics 365

Servicio VSS Writer de Microsoft Dynamics 365

Servicio web de implementación (identidad del grupo de aplicaciones CRMDeploymentServiceAppPool)

Servicio de aplicación (identidad del grupo de aplicaciones CRMAppPool de IIS)

Servicio de procesamiento de espacios aislados de Microsoft Dynamics 365

Pertenencia a Usuarios de dominio.
Debe concederse el permiso Inicio de sesión como servicio a esa cuenta en la directiva de seguridad local.
Permisos de lectura y escritura en la carpeta Trace, que se encuentra de forma predeterminada en \Program Files\Microsoft Dynamics 365\Trace y en las carpetas %AppData% de cuenta de usuario en el equipo local.
Permiso de lectura en la subclave HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSCRM del registro de Windows.
La cuenta de servicio podría necesitar un SPN para la dirección URL usada para acceder al sitio web que está asociado a ella. Para establecer el SPN para la cuenta de servicio de procesamiento de espacios aislados, ejecute el comando siguiente en el símbolo del sistema del equipo donde se ejecuta el servicio.

SETSPN –a MSCRMSandboxService/<ComputerName> <service account>

Servicio de procesamiento asincrónico de Microsoft Dynamics 365 y servicios (mantenimiento) de procesamiento asincrónico de Microsoft Dynamics 365

Pertenencia a Usuarios de dominio.
Pertenencia al grupo PrivUserGroup y SQLAccessGroup. De forma predeterminada, estos grupos se crean y se les concede la pertenencia adecuada durante el programa de instalación de Microsoft Dynamics 365 Server.
Suscripción a grupo local integrado Usuarios del registro de rendimiento.
Debe concederse el permiso Inicio de sesión como servicio a esa cuenta en la directiva de seguridad local.
Permisos de lectura y escritura en las siguientes carpetas.
- La carpeta Trace. De forma predeterminada se encuentra en \Program Files\Microsoft Dynamics CRM\, y en la carpeta %AppData% de la cuenta de usuario en el equipo local.
- La carpeta CustomizationImport. De forma predeterminada se encuentra en \Program Files\Microsoft Dynamics CRM\. Esto puede ser necesario para la importación de soluciones cuando utiliza los servicios web de Dynamics 365 Customer Engagement.
Todos los permisos de acceso excepto Control completo y DAC escritura en las subclaves HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSCRM y HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\MSCRMSandboxService en el registro de Windows.
La cuenta de servicio podría necesitar un SPN para la dirección URL usada para acceder al sitio web que está asociado a ella. Para establecer el SPN para la cuenta de servicio asincrónico, ejecute el comando siguiente en el símbolo del sistema del equipo donde se ejecuta el servicio.

SETSPN –a MSCRMAsyncService/<ComputerName> <service account>

Servicio de supervisión de Microsoft Dynamics 365

Pertenencia a Usuarios de dominio.
Debe concederse el permiso Logon as service a esa cuenta en la directiva de seguridad local.
Si el Servicio de supervisión de Microsoft Dynamics 365 se instala con un rol de servidor de servidor front-end, la pertenencia al grupo local de administradores en el equipo donde se ejecuta el servicio es necesaria para supervisar el sitio web y grupos de aplicaciones. Más información: Roles de servidor individuales disponibles
Permiso de lectura en HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSCRM
Pertenencia a SQLAccessGroup. De forma predeterminada, este grupo se crea y se le concede la pertenencia adecuada durante la instalación de Microsoft Dynamics 365 Server.
La cuenta de servicio podría necesitar un SPN para la dirección URL usada para acceder al sitio web que está asociado a ella.

Servicio VSS Writer de Microsoft Dynamics 365

Pertenencia a Usuarios de dominio.
Debe concederse el permiso Logon as service a esa cuenta en la directiva de seguridad local.
Debe concederse a esta cuenta la pertenencia al grupo Backup Operators en el servidor que aloja este servicio.
Permiso de lectura en HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSCRM
Pertenencia al grupo PrivUserGroup y SQLAccessGroup. De forma predeterminada, estos grupos se crean y se les concede la pertenencia adecuada durante el programa de instalación de Microsoft Dynamics 365 Server.

Servicio web de implementación (identidad del grupo de aplicaciones CRMDeploymentServiceAppPool)

Pertenencia a Usuarios de dominio.
Debe concederse el permiso Logon as service a esa cuenta en la directiva de seguridad local.
La pertenencia al grupo de administradores locales en el equipo donde se ejecuta SQL Server es necesaria para realizar operaciones de bases de datos de organización (como crear una organización nueva o importarla).
Pertenecer al grupo de administradores locales en el equipo local donde se ejecuta el servicio web de implementación.
Permiso de sysadmin en la instancia de SQL Server que se usará para las bases de datos de configuración y organización.
Permiso de lectura y escritura en las carpetas Trace y CRMWeb, que se encuentra de forma predeterminada en \Program Files\Microsoft Dynamics CRM\ y la carpeta %AppData% de la cuenta de usuario en el equipo local.
Todos los permisos de acceso excepto Control completo y DAC escritura en las subclaves HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSCRM y HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\MSCRMSandboxService en el registro de Windows.
Pertenencia al grupo PrivUserGroup y SQLAccessGroup. De forma predeterminada, estos grupos se crean y se les concede la pertenencia adecuada durante el programa de instalación de Microsoft Dynamics 365 Server.
Pertenencia al grupo CRM_WPG. Este grupo se usa para los procesos de trabajo de IIS. Durante la instalación de Microsoft Dynamics 365 Server se crea el grupo y se agrega la pertenencia.
La cuenta de servicio podría necesitar un SPN para la dirección URL usada para acceder al sitio web que está asociado a ella.

Servicio de aplicación (identidad del grupo de aplicaciones CRMAppPool de IIS)

Pertenencia al grupo Usuarios del dominio.
Suscripción a grupo local integrado Usuarios del registro de rendimiento.
Pertenencia al grupo local de administradores en el equipo donde se ejecuta el servicio de aplicación.
Permiso de lectura y escritura en las carpetas Trace y CRMWeb, que se encuentra de forma predeterminada en \Program Files\Microsoft Dynamics CRM\ y la carpeta %AppData% de la cuenta de usuario en el equipo local.
Todos los permisos de acceso excepto Control completo y DAC escritura en las subclaves HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSCRM y HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\MSCRMSandboxService en el registro de Windows.
Pertenencia al grupo PrivUserGroup y SQLAccessGroup. De forma predeterminada, estos grupos se crean y se les concede la pertenencia adecuada durante el programa de instalación de Microsoft Dynamics 365 Server.
Pertenencia al grupo CRM_WPG. Este grupo se usa para los procesos de trabajo de IIS. Durante la instalación de Microsoft Dynamics 365 Server se crea el grupo y se agrega la pertenencia.
La cuenta de servicio podría necesitar un SPN para la dirección URL usada para acceder al sitio web que está asociado a ella.

Identidades de grupo de aplicaciones de ISS que se ejecutan con autenticación de modo kernel y SPN

De forma predeterminada, los sitios web de IIS están configurados para que usen la autenticación de modo kernel. Es posible que, al ejecutar el sitio web Dynamics 365 Customer Engagement (on-premises) mediante la autenticación de modo kernel, no necesite configurar nombres de entidad de seguridad de servicio (SPN) para las identidades de CRMAppPool.

Para obtener más información acerca de ver, eliminar, y registrar SPN con SetSPN.exe, consulte. Sintaxis de Nombres de entidad de seguridad de servicio de (SPN) SetSPN

Archivos de instalación de Microsoft Dynamics 365

Si tiene previsto instalar Dynamics 365 desde una ubicación de la red (por ejemplo, un recurso compartido de red), debe asegurarse de que se aplican los permisos adecuados a la carpeta donde se ubican los archivos de instalación, preferiblemente en un volumen NTFS. Por ejemplo, quizás desee otorgar permisos en la carpeta solo a los miembros del grupo Administradores de dominio. De esta forma, ayuda a reducir el riesgo de ataques contra los archivos de instalación que pudieran ponerlos en riesgo o modificarlos. Para obtener más información acerca de cómo establecer permisos para archivos y carpetas en el sistema operativo Windows, consulte la Ayuda de Windows.

Vea también

Planificación de la implementación de Microsoft Dynamics 365
Prácticas recomendadas de Microsoft Dynamics 365

Consideraciones de seguridad para Dynamics 365 Customer Engagement (on-premises)

¿Qué tipo de cuenta de servicio debo elegir?

Permisos mínimos requeridos para la instalación y los servicios de Microsoft Dynamics 365

Programa de instalación de Microsoft Dynamics CRM Server

Permisos de servicios de Microsoft Dynamics 365 e identidad del grupo de aplicaciones de IIS

Servicio de procesamiento de espacios aislados de Microsoft Dynamics 365

Servicio de procesamiento asincrónico de Microsoft Dynamics 365 y servicios (mantenimiento) de procesamiento asincrónico de Microsoft Dynamics 365

Servicio de supervisión de Microsoft Dynamics 365

Servicio VSS Writer de Microsoft Dynamics 365

Servicio web de implementación (identidad del grupo de aplicaciones CRMDeploymentServiceAppPool)

Servicio de aplicación (identidad del grupo de aplicaciones CRMAppPool de IIS)

Identidades de grupo de aplicaciones de ISS que se ejecutan con autenticación de modo kernel y SPN

Archivos de instalación de Microsoft Dynamics 365

Vea también

Recursos adicionales