Dynamics 365 Customer Engagement (on-premises) のセキュリティに関するベスト プラクティス

Internet Information Services (IIS) は Windows Server に付属する完成した web サービスです。 Dynamics 365 Customer Engagement (on-premises) は、効率的かつセキュリティで保護された IIS web サービスに依存しています。 次の点について検討してください。

• machine.config および web.config 構成ファイルでは、デバッグを有効にするかどうか、また、詳細なエラー メッセージをクライアントに送信するかどうかを指定できます。 すべての運用サーバーでデバッグが無効になっていること、および問題が発生した場合にクライアントに一般的なエラー メッセージが送信されることを確認してください。 これにより、Web サーバーの構成に関する不要な情報がクライアントに送信されるのを防止します。

• 最新のオペレーティング システム、IIS Service Pack、および更新プログラムが適用されていることを確認します。 最新情報については、Microsoft セキュリティの Web サイトを参照してください。

• Dynamics 365 Server のセットアップによって、セットアップ時に指定するユーザー資格情報の下で動作する CRMAppPool および CRMDeploymentServiceAppPool と呼ばれるアプリケーション プールが作成されます。 最小の特権モデルを促進するために、これらのアプリケーション プールには、ネットワーク サービス アカウントではなく、個別のドメイン ユーザー アカウントを指定することをお勧めします。 また、これらのアプリケーション プールの下に他の ASP.NET 接続アプリケーションをインストールしないこともお勧めします。 これらのコンポーネントに必要な最低限のアクセス許可についての詳細は、Microsoft Dynamics 365 の設定とサービスのために最低限必要な権限を参照してください。

重要

• Dynamics 365 Customer Engagement (on-premises) Web サイトと同じコンピューターで実行されているすべての Web サイトが、Customer Engagement のデータベースにもアクセスできるようにしてください。
• ドメイン ユーザー アカウントを使用する場合は、Microsoft Dynamics 365 Server セットアップを実行する前に、そのアカウントにサービス プリンシパル名 (SPN) が正しく設定されていることを確認し、必要に応じて正しい SPN を設定する必要があります。 SPN および SPN の設定方法の詳細については、「How to use SPNs when you configure Web applications that are hosted on IIS (IIS でホストされている Web アプリケーションを構成するときに SPN を使用する方法)」を参照してください。

Microsoft Dynamics 365 でのサービス プリンシパル名の管理

サービス プリンシパル名 (SPN) 属性は、DNS ホスト名から作成された、複数の値を持つリンクなしの属性です。 SPN は特定のサービスをホストするサーバーとクライアントの間の相互認証に使用されます。 クライアントは接続先のサービスの SPN に基づいてコンピューター アカウントを検索します。

Dynamics 365 Server インストーラーでは、ロール固有のサービスと、セットアップ時に指定されたユーザー資格情報で動作する Web アプリケーション プールが展開されます。 これらのロールおよびアクセス許可要件の全一覧を確認するには、Microsoft Dynamics 365 設定およびサービスに最低限必要な権限を参照してください。

ホストされた Dynamics 365 Customer Engagement (on-premises) インフラストラクチャを展開するとき、以下のうち 2 つの役割に追加の考慮事項が必要な場合があります。

• 展開 Web サービス

• アプリケーション サービス

Web ファームのシナリオ (ホストされたサービスの場合など) では、カーネル モード認証を有効にしたままにすることをお勧めします。 また、以下の理由から、これらのサービスの実行に個別のドメイン ユーザー アカウントを使用することを綿密に検討する必要があります。

• これらのサーバー ロールに個別のサービス アカウントを使用すると、ハードウェア負荷分散の実装が促進されます。

• 展開 Web サービスのサーバー ロールには、Customer Engagement データベースで組織を準備する昇格されたアクセス許可が必要です。 最小限の特権モデルを維持する必要がある場合、ホストされた Dynamics 365 Customer Engagement (on-premises) インフラストラクチャで SPN を実装するための最も安全なアプローチでは、アプリケーション サービスとは異なるドメイン ユーザー アカウントで展開 Web サービスを実行します。

この推奨事項に従い、これらのサーバー ロールに異なるドメイン アカウントを使用する場合は、Dynamics 365 Server のセットアップを開始する前に、各アカウントの SPN が正しいことを確認する必要があります。 これにより、必要に応じて適切な SPN を簡単に設定できるようになります。

カーネル モード認証が有効な場合は、指定したサービス アカウントに関係なく、コンピュータ アカウントに SPN が定義されます。 Web ファームを実装する場合は、カーネル モード認証を有効にし、ローカルの ApplicationHost.config ファイルを変更します。

アプリケーション サービスと展開 Web サービスが同じシステム上で実行していて、カーネル モード認証が無効の場合は、重複した SPN の問題を回避するため、それらの両方のサービスを同じドメイン ユーザー アカウントで実行するように構成できます。 カーネル モード認証を有効にできない場合、アプリケーション サービスと展開 Web サービスを別々のシステムにインストールします。 カーネル モード認証が無効であるため、SPN を手動で作成する必要がある場合があります。

関連項目

Microsoft Dynamics 365 のセキュリティに関する考慮事項
Microsoft Dynamics 365 管理に関するベスト プラクティス