Considérations relatives à la sécurité pour Microsoft Dynamics 365

  • Article

 

Date de publication : janvier 2017

S’applique à : Dynamics 365 (on-premises), Dynamics CRM 2016

Microsoft Dynamics 365 est conçu de manière à rendre votre déploiement plus sécurisé. Cette section fournit des informations et répertorie les meilleures pratiques pour l'application Microsoft Dynamics 365.Pour plus d'informations :Concepts de sécurité pour Microsoft Dynamics 365

Contenu de la rubrique

Quel type compte de service dois-je choisir ?

Autorisations minimales requises pour le programme d’installation et les services Microsoft Dynamics CRM

Fichiers d’installation Microsoft Dynamics CRM

Quel type compte de service dois-je choisir ?

Lorsque vous spécifiez une identité pour exécuter un service Microsoft Dynamics 365, vous pouvez choisir un compte d'utilisateur de domaine ou le compte Service Réseau.

Si le service interagit avec les services réseau, accès aux ressources de domaine comme des partages de fichiers ou s'il utilise des connexions à des serveurs liés à d'autres ordinateurs, vous pouvez utiliser un compte de domaine à peu de privilèges. De nombreuses activités de serveur à serveur peuvent être exécutées uniquement avec un compte d'utilisateur de domaine et offrent l'option la plus sécurisée. Ce compte doit être pré-créé par l'administration de domaine de votre environnement.

Notes

Lorsque vous configurez un service pour utiliser un compte de domaine, vous pouvez isoler les privilèges de l'application, mais vous devez gérer manuellement les mots de passe ou créer une solution personnalisée pour gérer ces mots de passe. De nombreuses applications serveur utilisent cette stratégie pour améliorer la sécurité, mais cette stratégie nécessite une administration et une complexité supplémentaires. Dans ces déploiements, les administrateurs de service passent un temps considérable sur les tâches de maintenance comme la gestion des mots de passe et des noms principaux de services (SPN), qui sont requis pour l'authentification Kerberos. En outre, ces tâches de maintenance peuvent perturber le service.

Le compte Service Réseau est un compte intégré qui offre plus d'accès aux ressources et aux objets que des membres du groupe Utilisateurs du domaine. Les services s'exécutant comme le compte Service Réseau accèdent aux ressources réseau à l'aide des informations d'identification du compte ordinateur au format <domain_name>\<computer_name>$. Le nom actuel du compte est NT AUTHORITY\NETWORK SERVICE.

Autorisations minimales requises pour le programme d’installation et les services Microsoft Dynamics CRM

Microsoft Dynamics 365 a été conçu de sorte que ses fonctions puissent s'exécuter sous des entités distinctes. En spécifiant un compte d'utilisateur de domaine ne disposant que des autorisations nécessaires pour activer une fonction spécifique, vous renforcez la sécurité du système et réduisez le risque d'une utilisation abusive.

Cette rubrique décrit les autorisations minimales requises par le compte d'utilisateur pour les services et fonctions Microsoft Dynamics 365.

Programme d’installation de Microsoft Dynamics CRM Server 2016

Le compte d’utilisateur utilisé pour exécuter l’Microsoft Dynamics CRM Server 2016Installation qui inclut la création de bases de données requiert les autorisations minimales suivantes :

  • Être un membre du groupe Administrateurs du domaine Active Directory. Par défaut, Utilisateurs et ordinateurs Active Directory ajoute de nouveaux utilisateurs au groupe Utilisateurs du domaine.

  • Être un membre du groupe Administrateurs sur l'ordinateur local où le programme d'installation s'exécute.

  • Avoir les autorisations en lecture et en écriture sur le dossier des fichiers programmes locaux.

  • Être un membre du groupe Administrateurs du domaine sur l'ordinateur local où une instance de SQL Server est située et qui sera utilisé pour stocker les bases de données Microsoft Dynamics 365.

  • Être membre de sysadmin sur l'instance de SQL Server qui sera utilisée pour stocker les bases de données Microsoft Dynamics 365.

  • Disposer de l'autorisation de création d'unités d'organisation et de groupes de sécurité et d'ajout de membres à ces groupes dans Active Directory. Vous pouvez également utiliser un fichier de configuration Setup XML pour installer Microsoft Dynamics CRM Server 2016 si les groupes de sécurité ont déjà été créés. Pour plus d'informations, voir Utiliser l'invite de commandes pour installer Microsoft Dynamics Server 365.

  • Si Microsoft SQL Server Reporting Services est installé sur un autre serveur, vous devez ajouter le rôle Gestionnaire de contenu à la racine du compte d'utilisateur qui effectue l'installation. Vous devez également ajouter le Rôle Administrateur système au niveau du site du compte d'utilisateur qui effectue l'installation.

Autorisations des services Microsoft Dynamics 365 et de l'identité du pool d'applications IIS

Cette section répertorie les autorisations minimales nécessaires aux comptes d'utilisateur de domaine pour les services et les pools d'applications IIS que Microsoft Dynamics 365 utilise.

Important

  • Les comptes d'identité du pool d'applications (CRMAppPool) et des services Microsoft Dynamics 365 ne doivent pas être configurés en tant qu'utilisateur Microsoft Dynamics 365. Cela pourrait entraîner des problèmes d'authentification et un comportement inattendu de l'application pour tous les utilisateurs Microsoft Dynamics 365.Pour plus d'informations :Problèmes avec CRM lorsque le compte d'utilisateur CRMAppPool est un utilisateur CRM

  • Les comptes de services gérés (comptes de services gérés en tant que groupes (gMSA) ou comptes de services gérés seuls) et les comptes virtuels (NT SERVICE\,<NOM SERVICE>) ne sont pas pris en charge pour l'exécution des services Microsoft Dynamics 365.

Les sous-sections suivantes décrivent les autorisations de compte d'utilisateur de domaine requises pour chaque service ou identité de pool d'applications :

Service de traitement Bac à sable (sandbox) de Microsoft Dynamics 365

Service de traitement asynchrone Microsoft Dynamics 365 et Microsoft Dynamics 365 services (maintenance) du Service de traitement asynchrone

Service de surveillance de Microsoft Dynamics 365

Service Enregistreur VSS Microsoft Dynamics 365.

Service Web de déploiement (identité du pool d'applications CRMDeploymentServiceAppPool)

Service d'application (Identité du pool d'applications IIS CRMAppPool)

Service de traitement Bac à sable (sandbox) de Microsoft Dynamics 365

  • Membres utilisateurs du domaine.

  • Ce compte doit disposer de l'autorisation Ouvrir une session en tant que service dans la stratégie de sécurité locale.

  • Autorisations en lecture et en écriture sur le dossier Trace, situé par défaut sous \Program Files\Microsoft Dynamics 365\Trace, et sur les dossiers %AppData% du compte d’utilisateur sur l’ordinateur local.

  • Autorisation en lecture sur la sous-clé HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSCRM dans le Registre Windows.

  • Le compte de service peut avoir besoin d'un SPN pour l'URL permettant d'accéder au site Web qui lui est associé. Pour définir ce SPN pour le compte Service de traitement Bac à sable (sandbox), exécutez la commande suivante à partir d'une invite de commandes sur l'ordinateur où s'exécute le service.

    SETSPN –a MSCRMSandboxService/<ComputerName> <service account>

Service de traitement asynchrone Microsoft Dynamics 365 et Microsoft Dynamics 365 services (maintenance) du Service de traitement asynchrone

  • Membres utilisateurs du domaine.

  • Appartenance PrivUserGroup et SQLAccessGroup. Par défaut, ces groupes sont créés et l'appartenance adéquate est accordée pendant l'exécution du Programme d’installation de Microsoft Dynamics CRM Server.

  • Membre utilisateurs du journal de performances du groupe local intégré.

  • Ce compte doit disposer de l'autorisation Ouvrir une session en tant que service dans la stratégie de sécurité locale.

  • Autorisation en lecture et en écriture sur les dossiers suivants.

    • Dossier Trace. Il se trouve par défaut sous \Program Files\Microsoft Dynamics CRM\, et dans le dossier %AppData% du compte d'utilisateur sur l'ordinateur local.

    • Dossier CustomizationImport. Il se trouve par défaut sous \Program Files\Microsoft Dynamics CRM\. Il peut être requis pour l'importation de la solution lorsque vous utilisez le SDK de Microsoft Dynamics 365.

  • Toutes les autorisations d'accès sauf Contrôle total et Accès en écriture à la liste de contrôle d'accès aux sous-clés HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSCRM et HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\MSCRMSandboxService du Registre Windows.

  • Le compte de service peut avoir besoin d'un SPN pour l'URL permettant d'accéder au site Web qui lui est associé. Pour définir ce SPN pour le compte Service asynchrone, exécutez la commande suivante à partir d'une invite de commandes sur l'ordinateur où s'exécute le service.

    SETSPN –a MSCRMAsyncService/<ComputerName> <service account>

Service de surveillance de Microsoft Dynamics 365

  • Membres utilisateurs du domaine.

  • Ce compte doit disposer de l’autorisation Logon as service dans la stratégie de sécurité locale.

  • Si le service de surveillance Microsoft Dynamics 365 est installé avec un rôle serveur Serveur frontal, l'appartenance au groupe d'administrateurs local sur l'ordinateur où s'exécute le service est nécessaire pour surveiller les pools de sites Web et d'applications.Pour plus d'informations :Rôles serveur spécifiques disponibles

  • Autorisation de lecture sur HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSCRM

  • Appartenance SQLAccessGroup. Par défaut, ce groupe est créé et l'appartenance adéquate est accordée pendant l'exécution du Programme d’installation de Microsoft Dynamics CRM Server.

  • Le compte de service peut avoir besoin d'un SPN pour l'URL permettant d'accéder au site Web qui lui est associé.

Service Enregistreur VSS Microsoft Dynamics 365.

  • Membres utilisateurs du domaine.

  • Ce compte doit disposer de l’autorisation Logon as service dans la stratégie de sécurité locale.

  • Autorisation de lecture sur HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSCRM

  • Appartenance PrivUserGroup et SQLAccessGroup. Par défaut, ces groupes sont créés et l'appartenance adéquate est accordée pendant l'exécution du Programme d’installation de Microsoft Dynamics CRM Server.

Service Web de déploiement (identité du pool d'applications CRMDeploymentServiceAppPool)

  • Membres utilisateurs du domaine.

  • Ce compte doit disposer de l’autorisation Logon as service dans la stratégie de sécurité locale.

  • L'appartenance au groupe Administrateurs locaux sur l'ordinateur sur lequel SQL Server est installé est nécessaire pour réaliser des opérations sur la base de données de l'organisation (par exemple, importer une organisation ou en créer une nouvelle).

  • Membre du groupe Administrateurs locaux sur l'ordinateur où Service Web de déploiement s'exécute.

  • Autorisation Sysadmin sur l'instance SQL Server à utiliser pour la configuration et les bases de données de l'organisation.

  • Autorisations en lecture et en écriture sur les dossiers Trace et CRMWeb, situés par défaut sous \Program Files\Microsoft Dynamics CRM\, et sur le dossier %AppData% du compte d’utilisateur sur l’ordinateur local.

  • Toutes les autorisations d'accès sauf Contrôle total et Accès en écriture à la liste de contrôle d'accès aux sous-clés HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSCRM et HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\MSCRMSandboxService du Registre Windows.

  • Appartenance PrivUserGroup et SQLAccessGroup. Par défaut, ces groupes sont créés et l'appartenance adéquate est accordée pendant l'exécution du Programme d’installation de Microsoft Dynamics CRM Server.

  • Membre du groupe CRM_WPG. Ce groupe est utilisé pour les processus de travail IIS. Ce groupe est créé et le membre ajouté pendant l'exécution du Programme d’installation de Microsoft Dynamics CRM Server.

  • Le compte de service peut avoir besoin d'un SPN pour l'URL permettant d'accéder au site Web qui lui est associé.

Service d'application (Identité du pool d'applications IIS CRMAppPool)

  • Membres du groupe d'utilisateurs de domaine.

  • Membre utilisateurs du journal de performances du groupe local intégré.

  • Autorisations en lecture et en écriture sur les dossiers Trace et CRMWeb, situés par défaut sous \Program Files\Microsoft Dynamics CRM\, et sur le dossier %AppData% du compte d’utilisateur sur l’ordinateur local.

  • Toutes les autorisations d'accès sauf Contrôle total et Accès en écriture à la liste de contrôle d'accès aux sous-clés HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSCRM et HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\MSCRMSandboxService du Registre Windows.

  • Appartenance au groupe CRM_WPG. Ce groupe est utilisé pour les processus de travail IIS. Ce groupe est créé et le membre ajouté pendant l'exécution du Programme d’installation de Microsoft Dynamics CRM Server.

  • Le compte de service peut avoir besoin d'un SPN pour l'URL permettant d'accéder au site Web qui lui est associé.

Noms de principal du service et identités du pool d'applications IIS s'exécutant sous une authentification du mode noyau

Par défaut, les sites Web IIS sont configurés pour utiliser une authentification du mode noyau. Lorsque vous exécutez le site Web Microsoft Dynamics 365 à l'aide de l'authentification du mode noyau, il ne sera peut-être pas nécessaire de configurer des noms de principal du service (SPN) supplémentaires pour les identités CRMAppPool.

Pour déterminer si votre déploiement IIS requiert des SPN, voir la liste de vérification des noms de principal du service (SPN) pour l’authentification Kerberos avec IIS 7.0/7.5.

Fichiers d’installation Microsoft Dynamics CRM

Si vous prévoyez d'installer Microsoft Dynamics CRM 2016 depuis un emplacement réseau, tel qu'un partage réseau, vous devez vous assurer que des autorisations appropriées sont appliquées au dossier, de préférence sur un volume NTFS, où les fichiers d'installation sont situés. Par exemple, vous pouvez attribuer des autorisations sur ce dossier uniquement aux membres du groupe Admins du domaine. Cette pratique peut contribuer à réduire le risque d’attaques sur les fichiers d’installation qui pourraient les endommager ou les corrompre. Pour plus d’informations sur la définition d’autorisations sur des fichiers et des dossiers dans le système d’exploitation Windows, consultez l’aide Windows.

Voir aussi

Planification du déploiement de Microsoft Dynamics 365
Bonnes pratiques de sécurité pour Microsoft Dynamics 365
Meilleures pratiques d'administration pour les déploiements locaux de Microsoft Dynamics 365
Ports réseau pour Microsoft Dynamics 365
Rôles serveur de Microsoft Dynamics 365

© 2017 Microsoft. Tous droits réservés. Copyright