Considerazioni sulla sicurezza per Dynamics 365 Customer Engagement (on-premises)

Articolo
05/09/2023

Dynamics 365 Customer Engagement (on-premises) è progettato in modo da rendere la distribuzione più sicura. In questa sezione sono disponibili informazioni e procedure consigliate per l'applicazione Dynamics 365 Customer Engagement (on-premises). Altre informazioni:Panoramica della sicurezza per Microsoft Dynamics 365

Quale tipo di account di servizio è consigliabile scegliere?

Quando viene specificata un'identità per eseguire un servizio Dynamics 365 Customer Engagement (on-premises), è possibile scegliere un account utente di dominio oppure l'account del servizio di rete.

Se il servizio interagisce con i servizi di rete, accede alle risorse di dominio come le condivisioni di file o se utilizza le connessioni al server collegate in altri computer, è possibile utilizzare un account di dominio con privilegi minimi. Molti impegni tra server possono essere eseguiti solo con un account utente di dominio e possono offrire l'opzione più sicura. L'account deve essere creato in precedenza dall'amministratore di dominio nell'ambiente.

Nota

Quando viene configurato un servizio per utilizzare un account di dominio, è possibile isolare i privilegi per l'applicazione, ma è necessario gestire manualmente le password oppure creare una soluzione personalizzata per la gestione di queste password. Molte applicazioni server utilizzano questa strategia per migliorare la protezione, ma questa strategia richiede un'ulteriore amministrazione e complessità. In queste distribuzioni, gli amministratori di servizio impiegano un tempo considerevole in attività di manutenzione come la gestione delle password di servizio e dei nomi SPN necessari per l'autenticazione Kerberos. Inoltre, le attività di manutenzione possono interrompere il servizio.

L'account del servizio di rete è un account predefinito che ha più accesso alle risorse e agli oggetti rispetto ai membri del gruppo degli utenti di dominio. I servizi in esecuzione come account del servizio di rete accedono alle risorse di rete utilizzando le credenziali dell'account del computer nel formato <domain_name>\<computer_name>$. Il nome effettivo dell'account è NT AUTHORITY\NETWORK SERVICE.

Autorizzazioni minime necessarie per l'installazione e i servizi di Microsoft Dynamics 365

Dynamics 365 Customer Engagement (on-premises) è progettato in modo che le relative funzioni vengano eseguite con identità distinte. Se si specifica un account utente di dominio a cui sono concesse solo le autorizzazioni necessarie per abilitare un funzionamento particolare di una funzionalità specifica, è possibile proteggere il sistema e ridurre la probabilità di exploit.

In questo argomento vengono descritte le autorizzazioni minime richieste dall'account utente per i servizi e le funzionalità di Dynamics 365 Customer Engagement (on-premises).

Installazione di Microsoft Dynamics CRM Server

L'account utente utilizzato per eseguire il programma di configurazione di Dynamics 365 Server che include la creazione dei database richiede le autorizzazioni minime seguenti:

Appartenere al gruppo Domain Users di Active Directory. Per impostazione predefinita, Utenti e computer di Active Directory aggiunge nuovi utenti al gruppo Domain Users.
Appartenere al gruppo Administrators nel computer locale in cui viene eseguito il programma di installazione.
Disporre delle autorizzazioni di lettura e scrittura per la cartella Programmi locale.
Appartenere al gruppo degli amministratori nel computer locale in cui si trova l'istanza di SQL Server che verrà utilizzata per archiviare i database di Dynamics 365 Customer Engagement (on-premises).
Appartenere al ruolo sysadmin per l'istanza di SQL Server che verrà utilizzata per archiviare i database di Dynamics 365 Customer Engagement (on-premises).
Disporre dell'autorizzazione per la creazione di unità organizzative e gruppi di sicurezza e aggiungere le autorizzazioni di appartenenza ai gruppi di Active Directory. In alternativa è possibile utilizzare un file di configurazione XML per l'installazione di Dynamics 365 Server dopo la creazione dei gruppi di sicurezza. Per ulteriori informazioni, vedi Utilizzare il prompt dei comandi per installare Microsoft Dynamics 365.
Se SQL Server Reporting Services è installato in un server diverso, è necessario aggiungere il ruolo Gestore contenuto al livello radice per l'installazione dell'account utente. È inoltre necessario aggiungere il ruolo Amministratore di sistema a livello dell'intero sito per l'installazione dell'account utente.

Autorizzazioni per i servizi di Microsoft Dynamics 365 e l'identità del pool di applicazioni di IIS

In questa sezione vengono elencate le autorizzazioni minime che gli account utente di dominio richiedono per i servizi e i pool di applicazione IIS utilizzati da Dynamics 365 Customer Engagement (on-premises).

Importante

Gli account di identità del pool di applicazioni (CRMAppPool) e dei servizi di Dynamics 365 Customer Engagement (on-premises) non devono essere configurati come utente di Dynamics 365 Customer Engagement (on-premises). In caso contrario, possono verificarsi problemi di autenticazione e comportamenti imprevisti nell'applicazione per tutti gli utenti di Dynamics 365 Customer Engagement (on-premises). Altre informazioni: Problemi in CRM se l'account utente CRMAppPool è un utente CRM
Gli account dei servizi gestiti (account di servizio gestiti dal gruppo (gMSA) o account di servizio gestiti singolarmente) e gli account virtuali (NT SERVICE\,<SERVICENAME>) non sono supportati per l'esecuzione di servizi Dynamics 365 Customer Engagement (on-premises).

Le seguenti sottosezioni descrivono le autorizzazioni dell'account utente di dominio necessarie per ogni identità del servizio o del pool di applicazioni:

Servizio di elaborazione in modalità sandbox di Microsoft Dynamics 365

Servizio elaborazione eventi asincroni di Microsoft Dynamics 365 e Servizio elaborazione eventi asincroni di Microsoft Dynamics 365 (manutenzione)

Servizio di monitoraggio di Microsoft Dynamics 365

Servizio VSS Writer di Microsoft Dynamics 365

Servizio Web di distribuzione (identità del pool di applicazioni CRMDeploymentServiceAppPool)

Servizio dell'applicazione (identità del pool di applicazioni di IIS CRMAppPool)

Servizio di elaborazione in modalità sandbox di Microsoft Dynamics 365

Appartenenza al gruppo degli utenti di dominio.
All'account deve essere concessa l'autorizzazione all'accesso come servizio nei criteri di sicurezza locali.
Autorizzazioni di lettura e scrittura a livello di cartella per la cartella Trace, il cui percorso predefinito è \Program Files\Microsoft Dynamics 365\Trace e la cartella %AppData% dell'account utente nel computer locale.
Autorizzazione di lettura per la sottochiave HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSCRM del Registro di sistema di Windows.
È possibile che per l'account di servizio sia necessario un nome di entità servizio per l'URL utilizzato per l'accesso al sito Web associato. Per impostare il nome di entità servizio per l'account del servizio di elaborazione Sandbox, eseguire il comando indicato di seguito al prompt dei comandi del computer che esegue il servizio.

SETSPN –a MSCRMSandboxService/<ComputerName> <service account>

Servizio elaborazione eventi asincroni di Microsoft Dynamics 365 e Servizio elaborazione eventi asincroni di Microsoft Dynamics 365 (manutenzione)

Appartenenza al gruppo degli utenti di dominio.
Appartenenza a SQLAccessGroup e PrivUserGroup. Per impostazione predefinita, tali gruppi vengono creati e viene garantita un'appartenenza appropriate durante il programma di installazione di Microsoft Dynamics 365 Server.
Appartenenza al gruppo Performance Log Users locale predefinito.
All'account deve essere concessa l'autorizzazione all'accesso come servizio nei criteri di sicurezza locali.
Leggere e scrivere le autorizzazioni nelle seguenti cartelle.
- La cartella Trace. Per impostazione predefinita si trova in \Programmi\Microsoft Dynamics CRM\ e nella cartella %AppData% dell'account utente nel computer locale.
- La cartella CustomizationImport. Il cui percorso predefinito è \Programmi\Microsoft Dynamics CRM\. Ciò potrebbe essere necessario per l'importazione della soluzione quando utilizzi i servizi Web di Dynamics 365 Customer Engagement.
Tutte le autorizzazioni di accesso ad eccezione del controllo completo e del DAC di scrittura nelle sottochiavi HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSCRM e HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\MSCRMSandboxService nel Registro di sistema Windows.
È possibile che per l'account di servizio sia necessario un nome di entità servizio per l'URL utilizzato per l'accesso al sito Web associato. Per impostare il nome di entità servizio per l'account del servizio asincrono, eseguire il comando indicato di seguito al prompt dei comandi del computer che esegue il servizio.

SETSPN –a MSCRMAsyncService/<ComputerName> <service account>

Servizio di monitoraggio Microsoft Dynamics 365

Appartenenza al gruppo degli utenti di dominio.
All'account deve essere concessa l'autorizzazione a Logon as service nei criteri di sicurezza locali.
Se il servizio di monitoraggio di Microsoft Dynamics 365 è installato con il ruolo server front-end, l'appartenenza al gruppo di amministratori locali nel computer in cui il servizio è in esecuzione è necessaria per il monitoraggio del sito Web e dei pool di applicazioni. Altre informazioni:Ruoli server individuali disponibili
Autorizzazioni di lettura a HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSCRM
Appartenenza a SQLAccessGroup. Per impostazione predefinita, questo gruppo viene creato e viene garantita un'appartenenza appropriate durante il programma di installazione di Microsoft Dynamics 365 Server.
È possibile che per l'account di servizio sia necessario un nome di entità servizio per l'URL utilizzato per l'accesso al sito Web associato.

Servizio Microsoft Dynamics 365 VSS Writer

Appartenenza al gruppo degli utenti di dominio.
All'account deve essere concessa l'autorizzazione a Logon as service nei criteri di sicurezza locali.
A tale account deve essere garantita l'iscrizione al gruppo Backup Operators sul server che ospita questo servizio.
Autorizzazioni di lettura a HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSCRM
Appartenenza a SQLAccessGroup e PrivUserGroup. Per impostazione predefinita, tali gruppi vengono creati e viene garantita un'appartenenza appropriate durante il programma di installazione di Microsoft Dynamics 365 Server.

Servizio Web di distribuzione (identità del pool di applicazioni CRMDeploymentServiceAppPool)

Appartenenza al gruppo degli utenti di dominio.
All'account deve essere concessa l'autorizzazione a Logon as service nei criteri di sicurezza locali.
L'appartenenza al gruppo di amministratori locali nel computer in cui è in esecuzione SQL Server è necessaria per eseguire operazioni nel database dell'organizzazione (ad esempio, la creazione di una nuova organizzazione o l'importazione di una esistente).
Appartenere al gruppo di amministratori locale nel computer in cui viene eseguito il Servizio Web di distribuzione.
Autorizzazioni di amministratore di sistema per l'istanza di SQL Server da utilizzare per la configurazione e l'organizzazione dei database.
Autorizzazioni di lettura e scrittura a livello di cartella per le cartelle Trace e CRMWeb, il cui percorso predefinito è \Programmi\Microsoft Dynamics CRM\ e la cartella %AppData% dell'account utente nel computer locale.
Tutte le autorizzazioni di accesso ad eccezione del controllo completo e del DAC di scrittura nelle sottochiavi HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSCRM e HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\MSCRMSandboxService nel Registro di sistema Windows.
Appartenenza a SQLAccessGroup e PrivUserGroup. Per impostazione predefinita, tali gruppi vengono creati e viene garantita un'appartenenza appropriate durante il programma di installazione di Microsoft Dynamics 365 Server.
Appartenenza al gruppo CRM_WPG. Questo gruppo è utilizzato per i processi di lavoro di IIS. Il gruppo viene creato durante l'installazione di Microsoft Dynamics 365 Server.
È possibile che per l'account di servizio sia necessario un nome di entità servizio per l'URL utilizzato per l'accesso al sito Web associato.

Servizio dell'applicazione (identità del pool di applicazioni di IIS CRMAppPool)

Appartenenza al gruppo degli utenti di dominio.
Appartenenza al gruppo Performance Log Users locale predefinito.
Appartenenza al gruppo degli amministratori locali nel computer che esegue il Servizio dell'applicazione.
Autorizzazioni di lettura e scrittura a livello di cartella per le cartelle Trace e CRMWeb, il cui percorso predefinito è \Programmi\Microsoft Dynamics CRM\ e la cartella %AppData% dell'account utente nel computer locale.
Tutte le autorizzazioni di accesso ad eccezione del controllo completo e del DAC di scrittura nelle sottochiavi HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSCRM e HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\MSCRMSandboxService nel Registro di sistema Windows.
Appartenenza a SQLAccessGroup e PrivUserGroup. Per impostazione predefinita, tali gruppi vengono creati e viene garantita un'appartenenza appropriate durante il programma di installazione di Microsoft Dynamics 365 Server.
Appartenenza al gruppo CRM_WPG. Questo gruppo è utilizzato per i processi di lavoro di IIS. Il gruppo viene creato durante l'installazione di Microsoft Dynamics 365 Server.
È possibile che per l'account di servizio sia necessario un nome di entità servizio per l'URL utilizzato per l'accesso al sito Web associato.

Identità del pool di applicazioni di IIS in esecuzione con autenticazione in modalità kernel e nomi dell'entità servizio

Per impostazione predefinita, i siti Web di IIS sono configurati per l'utilizzo dell'autenticazione in modalità kernel. Quando si esegue il sito Web Dynamics 365 Customer Engagement (on-premises) utilizzando l'autenticazione in modalità kernel, non è necessario configurare altri nomi delle entità servizio (SPN) per le identità del CRMAppPool.

Per ulteriori informazioni su visualizzazione, eliminazione e registrazione di SPN utilizzando SetSPN.exe, vedereSintassi SetSPN di nomi SPN

File di installazione di Microsoft Dynamics 365

Se si prevede di installare Dynamics 365 da un percorso di rete, ad esempio da una condivisione di rete, è necessario verificare che siano state applicate le autorizzazioni corrette alla cartella, preferibilmente in un volume NTFS, in cui si trovano i file di installazione. Potrebbe essere necessario, ad esempio, concedere le autorizzazioni per la cartella solo ai membri del gruppo Domain Admins. In questo modo si può ridurre il rischio di attacchi ai file di installazione, che potrebbero comprometterli o alterarli. Per ulteriori informazioni su come impostare autorizzazioni per file e cartelle nel sistema operativo Windows, vedere la Guida di Windows.

Vedi anche

Pianificazione della distribuzione di Microsoft Dynamics 365
Procedure consigliate di Microsoft Dynamics 365

Considerazioni sulla sicurezza per Dynamics 365 Customer Engagement (on-premises)

Quale tipo di account di servizio è consigliabile scegliere?

Autorizzazioni minime necessarie per l'installazione e i servizi di Microsoft Dynamics 365

Installazione di Microsoft Dynamics CRM Server

Autorizzazioni per i servizi di Microsoft Dynamics 365 e l'identità del pool di applicazioni di IIS

Servizio di elaborazione in modalità sandbox di Microsoft Dynamics 365

Servizio elaborazione eventi asincroni di Microsoft Dynamics 365 e Servizio elaborazione eventi asincroni di Microsoft Dynamics 365 (manutenzione)

Servizio di monitoraggio Microsoft Dynamics 365

Servizio Microsoft Dynamics 365 VSS Writer

Servizio Web di distribuzione (identità del pool di applicazioni CRMDeploymentServiceAppPool)

Servizio dell'applicazione (identità del pool di applicazioni di IIS CRMAppPool)

Identità del pool di applicazioni di IIS in esecuzione con autenticazione in modalità kernel e nomi dell'entità servizio

File di installazione di Microsoft Dynamics 365

Vedi anche

Risorse aggiuntive