Microsoft Dynamics 365 の設置型展開の管理に関するベストプラクティス

[アーティクル]
02/23/2018

公開日: 2017年1月

対象: Dynamics 365 (on-premises)、Dynamics CRM 2016

いくつかの簡単な管理規則に従うことで、Microsoft Dynamics 365 設置型展開のセキュリティを大幅に向上できます。

通常、Dynamics 365 ユーザーがドメイン上で管理者特権を持つ必要はありません。したがって、すべての Dynamics 365 ユーザーアカウントをドメインユーザーのメンバーシップに制限します。また、最小限の特権の原則に従って、Dynamics 365 システムを使用するすべてのユーザーの権限も最小限のものにします。まず、ドメインレベルから設定を始めます。Dynamics 365 の実行には、ドメインユーザーアカウントを作成して使用してください。ドメイン管理者アカウントは、Dynamics 365 の実行には一切使用しないでください。
Microsoft Dynamics 365展開管理者およびシステム管理者ロールの数を、ルールの変更を担当する 2 ～ 3 名のユーザーに限定します。SQL Server、Microsoft Exchange Server、または Active Directory の管理者である他のユーザーは、Dynamics 365 ユーザーグループのメンバーである必要はありません。
少なくとも 2 ～ 3 名の信頼できるユーザーに展開管理者ロールを割り当てる必要があります。こうしておくと、中心的な展開管理者が不在でもシステムは通常どおりに稼動します。
組織によっては、複数のシステムや複数のドメイン間でパスワードを再使用していることがあります。たとえば、2 つのドメインを担当する管理者が、それぞれのドメインで同じパスワードを使用するドメイン管理者アカウントを作成したり、ドメインコンピューター上にドメイン全体のパスワードと同じローカル管理者パスワードを設定したりすることもあります。このような場合、1 つのアカウントまたは 1 台のコンピューターのセキュリティが侵害されると、ドメイン全体のセキュリティが侵害される可能性があります。パスワードは、絶対にこのような方法で再使用しないでください。
また、ドメイン管理者アカウントを、バックアップシステムなどの共通サービスのサービスアカウントとして使用している事例もよく見られます。しかし、ドメイン管理者アカウントをサービスアカウントとして使用することには、セキュリティ上のリスクがあります。管理者権限があればどのユーザーでも、コンピューター上でパスワードを簡単に取得することができます。そのような場合、ドメイン全体でセキュリティが侵害されるおそれがあります。ドメイン管理者アカウントを絶対にサービスアカウントとして使用しないでください。また、サービスアカウントの特権はできる限り制限してください。
また、Microsoft Dynamics 365 サービスを実行するために指定されるドメインユーザーアカウントは、Dynamics 365 ユーザーとして構成する必要もあります。これに起因して、アプリケーションで予期しない動作が発生することがあります。

次の方法で共有

Microsoft Dynamics 365 の設置型展開の管理に関するベストプラクティス

関連項目

その他のリソース

次の方法で共有

Microsoft Dynamics 365 の設置型展開の管理に関するベスト プラクティス

関連項目

その他のリソース

Microsoft Dynamics 365 の設置型展開の管理に関するベストプラクティス