다음을 통해 공유


Microsoft Dynamics 365에 대한 보안 고려 사항

 

게시 날짜: 2017년 1월

적용 대상: Dynamics 365 (on-premises), Dynamics CRM 2016

Microsoft Dynamics 365는 배포를 보다 안전하게 해주는 방식으로 설계되었습니다. 이 섹션에서는 Microsoft Dynamics 365 응용 프로그램에 대한 정보 및 최상의 방법을 제공합니다.추가 정보:Microsoft Dynamics 365 보안 개념

이 항목의 내용

어떤 종류의 서비스 계정을 선택해야 합니까?

Microsoft Dynamics CRM 설치 프로그램 및 서비스에 필요한 최소 권한

Microsoft Dynamics CRM 설치 파일

어떤 종류의 서비스 계정을 선택해야 합니까?

Microsoft Dynamics 365 서비스를 실행하도록 ID를 지정할 때 도메인 사용자 계정 또는 네트워크 서비스 계정을 선택할 수 있습니다.

서비스가 네트워크 서비스와 상호 작용하는 경우 파일 공유와 같은 도메인 리소스에 액세스하거나 다른 컴퓨터에 연결된 서버 연결을 사용하는 경우 최소 권한의 도메인 계정을 사용할 수 있습니다. 많은 서버 간 활동은 도메인 사용자 계정으로만 수행할 수 있으며, 가장 안전한 옵션을 제공할 수 있습니다. 이 계정은 사용자 환경에서 도메인 관리로 미리 만들어야 합니다.

참고

도메인 계정을 사용하도록 서비스를 구성 할 때 응용 프로그램에 대한 권한을 격리할 수 ​​있지만, 암호를 수동으로 관리하거나 이러한 암호를 관리하기 위한 사용자 지정 솔루션을 만들어야 합니다. 여러 서버 응용 프로그램은 보안을 강화하기 위해 이 전략을 사용하지만 이 전략에는 추가 관리 및 복잡성이 필요합니다. 이러한 배포에서 서비스 관리자는 Kerberos 인증에 필요한 서비스 암호 및 SPN(서비스 사용자 이름)을 관리하는 등의 유지 관리 작업에 상당한 양의 시간을 사용합니다. 또한 이러한 유지 관리 작업은 서비스를 중단할 수 있습니다.

네트워크 서비스 계정은 도메인 사용자 그룹의 구성원보다 리소스 및 개체에 대한 액세스 권한이 더 많은 기본 제공 계정입니다. 네트워크 서비스 계정으로 실행되는 서비스는 <domain_name>\<computer_name>$ 형식의 컴퓨터 계정의 자격 증명을 사용하여 네트워크 리소스에 액세스합니다. 계정의 실제 이름은 NT AUTHORITY\NETWORK SERVICE입니다.

Microsoft Dynamics CRM 설치 프로그램 및 서비스에 필요한 최소 권한

Microsoft Dynamics 365은 해당 기능이 별개의 ID로 실행될 수 있도록 디자인되었습니다. 특정 기능을 작동하는 데 필요한 권한만 부여된 도메인 사용자 계정을 지정하면 시스템 보안 수준을 높이고 시스템이 악용될 가능성을 줄일 수 있습니다.

이 항목에서는 Microsoft Dynamics 365 서비스 및 기능에 대해 사용자 계정에 필요한 최소 권한에 대해 설명합니다.

Microsoft Dynamics CRM Server 2016 설정

데이터베이스 만들기를 포함하여 Microsoft Dynamics CRM Server 2016설치을 실행하는 데 사용되는 사용자 계정에는 다음과 같은 최소 권한이 필요합니다.

  • Active Directory 도메인 사용자 그룹의 구성원이어야 합니다. 기본적으로 Active Directory 사용자 및 컴퓨터는 새 사용자를 도메인 사용자 그룹에 추가합니다.

  • 설치 프로그램이 실행되고 있는 로컬 컴퓨터에서 관리자 그룹의 구성원이어야 합니다.

  • 로컬 프로그램 파일 폴더에 대한 읽기 및 쓰기 권한이 있어야 합니다.

  • Microsoft Dynamics 365 데이터베이스를 저장하는 데 사용되는 SQL Server 인스턴스가 배치된 로컬 컴퓨터에서 관리자 그룹의 구성원이어야 합니다.

  • Microsoft Dynamics 365 데이터베이스를 저장하기 위해 사용되는 SQL Server 인스턴스에 대한 sysadmin 구성원 자격이 있어야 합니다.

  • 조직 구성 단위 및 보안 그룹을 만들고 구성원 자격 권한을 Active Directory의 이러한 그룹을 추가합니다. 또는 보안 그룹이 이미 만들어진 경우 설치 XML 구성 파일을 사용하여 Microsoft Dynamics CRM Server 2016를 설치할 수 있습니다. 자세한 내용은 명령 프롬프트를 사용하여 Microsoft Dynamics Server 365 설치을 참조하십시오.

  • Microsoft SQL Server Reporting Services가 다른 서버에 설치된 경우 사용자 계정 설치를 위해 루트 수준에서 내용 관리자 역할을 추가해야 합니다. 또한 사용자 계정 설치를 위해 사이트 차원의 수준에서 시스템 관리자 역할을 추가해야 합니다.

Microsoft Dynamics 365 서비스 및 IIS 응용 프로그램 풀 ID 권한

이 섹션에는 Microsoft Dynamics 365에서 사용하는 서비스 및 IIS 응용 프로그램 풀에 대해 도메인 사용자 계정에 필요한 최소 권한이 나와 있습니다.

중요

  • Microsoft Dynamics 365 서비스 및 응용 프로그램 풀(CRMAppPool) ID 계정은 Microsoft Dynamics 365 사용자로 구성하지 않아야 합니다. 그렇지 않으면 모든 Microsoft Dynamics 365 사용자에 대해 응용 프로그램에서 인증 문제 및 예기치 않은 동작이 발생할 수 있습니다.추가 정보:CRMAppPool 사용자 계정이 CRM 사용자일 경우 CRM 문제

  • 관리되는 서비스 계정(gMSA(그룹 관리 서비스 계정) 또는 단일 관리 서비스 계정)과 가상 계정(NT SERVICE\,<SERVICENAME>)은 Microsoft Dynamics 365 서비스를 실행할 수 없습니다.

다음 하위 섹션에서는 각 서비스 또는 응용 프로그램 풀 ID에 필요한 도메인 사용자 계정 권한에 대해 설명합니다.

Microsoft Dynamics 365 샌드박스 처리 서비스

Microsoft Dynamics 365 비동기 처리 서비스 및 Microsoft Dynamics 365 비동기 처리 서비스(유지 관리)

Microsoft Dynamics 365 모니터링 서비스

Microsoft Dynamics 365 VSS 기록기 서비스

배포 웹 서비스(CRMDeploymentServiceAppPool 응용 프로그램 풀 ID)

응용 프로그램 서비스(CRMAppPool IIS 응용 프로그램 풀 ID)

Microsoft Dynamics 365 샌드박스 처리 서비스

  • 도메인 사용자 구성원 자격

  • 계정에 로컬 보안 정책의 서비스로 로그온 권한이 부여되어야 함

  • 기본적으로 \Program Files\Microsoft Dynamics 365\Trace에 있는 Trace 및 로컬 컴퓨터의 사용자 계정 %AppData% 폴더에 대한 폴더 읽기 및 쓰기 권한

  • Windows 레지스트리의 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSCRM 하위 키에 대한 읽기 권한

  • 서비스 계정에는 연결된 웹 사이트에 액세스하기 위해 사용되는 URL에 대한 SPN이 필요할 수 있습니다.샌드박스 처리 서비스 계정에 대한 SPN을 설정하려면 서비스가 실행되고 있는 컴퓨터의 명령 프롬프트에서 다음 명령을 실행합니다.

    SETSPN –a MSCRMSandboxService/<ComputerName> <service account>

Microsoft Dynamics 365 비동기 처리 서비스 및 Microsoft Dynamics 365 비동기 처리 서비스(유지 관리)

  • 도메인 사용자 구성원 자격

  • PrivUserGroup 및 SQLAccessGroup 구성원 자격. 기본적으로 Microsoft Dynamics CRM Server 설정 중에 이러한 그룹이 만들어지고 적절한 구성원 자격이 부여됩니다.

  • 기본 제공 로컬 그룹 성능 로그 사용자 구성원 자격입니다.

  • 계정에 로컬 보안 정책의 서비스로 로그온 권한이 부여되어야 함

  • 다음 폴더에 있는 읽기 및 쓰기 권한.

    • Trace 폴더. 기본적으로 \Program Files\Microsoft Dynamics CRM\ 아래 및 로컬 컴퓨터의 사용자 계정 %AppData% 폴더에 있습니다.

    • CustomizationImport 폴더. 기본적으로 \Program Files\Microsoft Dynamics CRM\ 아래 있습니다.Microsoft Dynamics 365 SDK를 사용할 때 솔루션 가져오기에 필요할 수 있습니다.

  • Windows 레지스트리에서 전체 제어 권한과 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSCRMHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\MSCRMSandboxService 하위 키에 대한 DAC 쓰기를 제외한 모든 액세스 권한.

  • 서비스 계정에는 연결된 웹 사이트에 액세스하기 위해 사용되는 URL에 대한 SPN이 필요할 수 있습니다.비동기 서비스 계정에 대한 SPN을 설정하려면 서비스가 실행되고 있는 컴퓨터의 명령 프롬프트에서 다음 명령을 실행합니다.

    SETSPN –a MSCRMAsyncService/<ComputerName> <service account>

Microsoft Dynamics 365 모니터링 서비스

  • 도메인 사용자 구성원 자격

  • 해당 계정에 로컬 보안 정책의 Logon as service 권한이 부여되어야 합니다.

  • Microsoft Dynamics 365 모니터링 서비스가 프런트 엔드 서버 서버 역할을 사용하여 설치된 경우 웹 사이트 및 응용 프로그램 풀을 모니터링하려면 서비스가 실행되는 컴퓨터에 로컬 관리자 그룹 구성원 자격이 있어야 합니다.추가 정보:사용 가능한 개별 서버 역할

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSCRM에 대한 읽기 권한

  • SQLAccessGroup 구성원 자격. 기본적으로 Microsoft Dynamics CRM Server 설정 중에 이러한 그룹이 만들어지고 적절한 구성원 자격이 부여됩니다.

  • 서비스 계정에는 연결된 웹 사이트에 액세스하기 위해 사용되는 URL에 대한 SPN이 필요할 수 있습니다.

Microsoft Dynamics 365 VSS 기록기 서비스

  • 도메인 사용자 구성원 자격

  • 해당 계정에 로컬 보안 정책의 Logon as service 권한이 부여되어야 합니다.

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSCRM에 대한 읽기 권한

  • PrivUserGroup 및 SQLAccessGroup 구성원 자격. 기본적으로 Microsoft Dynamics CRM Server 설정 중에 이러한 그룹이 만들어지고 적절한 구성원 자격이 부여됩니다.

배포 웹 서비스(CRMDeploymentServiceAppPool 응용 프로그램 풀 ID)

  • 도메인 사용자 구성원 자격

  • 해당 계정에 로컬 보안 정책의 Logon as service 권한이 부여되어야 합니다.

  • 새 조직 만들기 또는 조직 가져오기와 같은 조직 데이터베이스 작업을 수행하려면 SQL Server가 실행 중인 컴퓨터의 로컬 관리자 그룹 구성원 자격이 필요합니다.

  • 배포 웹 서비스가 실행되는 컴퓨터의 로컬 관리자 그룹 구성원 자격

  • 구성 및 조직 데이터베이스에 대해 사용할 SQL Server 인스턴스에 대한 Sysadmin 권한

  • 기본적으로 \Program Files\Microsoft Dynamics CRM\에 있는 TraceCRMWeb 폴더 및 로컬 컴퓨터의 사용자 계정 %AppData% 폴더에 대한 폴더 읽기 및 쓰기 권한

  • Windows 레지스트리에서 전체 제어 권한과 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSCRMHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\MSCRMSandboxService 하위 키에 대한 DAC 쓰기를 제외한 모든 액세스 권한.

  • PrivUserGroup 및 SQLAccessGroup 구성원 자격. 기본적으로 Microsoft Dynamics CRM Server 설정 중에 이러한 그룹이 만들어지고 적절한 구성원 자격이 부여됩니다.

  • CRM_WPG 그룹 구성원 자격. 이 그룹은 IIS 작업자 프로세스에 사용됩니다.Microsoft Dynamics CRM Server 설정 중에 그룹이 만들어지고 구성원 자격이 추가됩니다.

  • 서비스 계정에는 연결된 웹 사이트에 액세스하기 위해 사용되는 URL에 대한 SPN이 필요할 수 있습니다.

응용 프로그램 서비스(CRMAppPool IIS 응용 프로그램 풀 ID)

  • 도메인 사용자 그룹 구성원 자격입니다.

  • 기본 제공 로컬 그룹 성능 로그 사용자 구성원 자격입니다.

  • 기본적으로 \Program Files\Microsoft Dynamics CRM\에 있는 TraceCRMWeb 폴더 및 로컬 컴퓨터의 사용자 계정 %AppData% 폴더에 대한 폴더 읽기 및 쓰기 권한

  • Windows 레지스트리에서 전체 제어 권한과 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSCRMHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\MSCRMSandboxService 하위 키에 대한 DAC 쓰기를 제외한 모든 액세스 권한.

  • CRM_WPG 그룹 구성원 자격. 이 그룹은 IIS 작업자 프로세스에 사용됩니다.Microsoft Dynamics CRM Server 설정 중에 그룹이 만들어지고 구성원 자격이 추가됩니다.

  • 서비스 계정에는 연결된 웹 사이트에 액세스하기 위해 사용되는 URL에 대한 SPN이 필요할 수 있습니다.

커널 모드 인증 및 SPN으로 실행되는 IIS 응용 프로그램 풀 ID

기본적으로 IIS 웹 사이트는 커널 모드 인증을 사용하도록 구성됩니다. 커널 모드 인증을 사용하여 Microsoft Dynamics 365 웹 사이트를 실행할 때는 CRMAppPool ID에 대해 추가 SPN(서비스 사용자 이름)을 구성할 필요가 없습니다.

IIS 배포에 SPN이 필요한지 여부를 확인하려면 IIS 7.0/7.5에서 Kerberos 인증을 위한 SPN(서비스 사용자 이름) 확인 목록(영문일 수 있음)을 참조하십시오.

Microsoft Dynamics CRM 설치 파일

네트워크 공유와 같은 네트워크상의 위치에서 Microsoft Dynamics CRM 2016을 설치하려면 설치 파일이 있는 폴더에 적절한 사용 권한을 적용해야 하며, 가능하면 NTFS 볼륨에 설치하는 것이 좋습니다. 예를 들어 Domain Admins 그룹의 구성원만 해당 폴더에 대한 권한을 갖도록 허용할 수 있습니다. 이 방법을 사용하면 설치 파일을 훼손하거나 변경하려는 공격 위험을 줄일 수 있습니다. Windows 운영 체제의 파일 및 폴더에서 사용 권한을 설정하는 방법에 대한 자세한 내용은 Windows 도움말을 참조하십시오.

참고 항목

Microsoft Dynamics 365 배포 계획
Microsoft Dynamics 365의 효율적인 보안 방법
Microsoft Dynamics 365의 온-프레미스 배포를 위한 효율적인 관리 방법
Microsoft Dynamics 365의 네트워크 포트
Microsoft Dynamics 365 서버 역할

© 2017 Microsoft. All rights reserved. 저작권 정보