Pertimbangan keselamatan untuk Dynamics 365 Customer Engagement (on-premises)

Artikel
03/22/2023

Dynamics 365 for Customer Engagement direka bentuk dengan cara yang membantu menjadikan penggunaan anda lebih selamat. Bahagian ini menyediakan maklumat dan amalan terbaik untuk aplikasi Dynamics 365 for Customer Engagement. Maklumat lanjut:Gambaran keseluruhan keselamatan untuk Microsoft Dynamics 365

Apakah jenis akaun perkhidmatan yang perlu saya pilih?

Apabila anda menentukan identiti untuk menjalankan perkhidmatan Dynamics 365 for Customer Engagement, anda boleh memilih sama ada akaun pengguna domain atau akaun Network Service.

Jika perkhidmatan berinteraksi dengan perkhidmatan rangkaian, mengakses sumber domain seperti perkongsian fail atau jika ia menggunakan sambungan pelayan terpaut ke komputer lain, anda boleh menggunakan akaun domain istimewa minimum. Banyak aktiviti pelayan ke pelayan boleh dilakukan hanya dengan akaun pengguna domain dan boleh menyediakan pilihan yang paling selamat. Akaun ini harus dibuat terlebih dahulu oleh pentadbir domain dalam persekitaran anda.

Nota

Apabila anda mengkonfigurasikan perkhidmatan untuk menggunakan akaun domain, anda boleh mengasingkan keistimewaan untuk aplikasi, tetapi mesti menguruskan kata laluan secara manual atau mencipta penyelesaian tersuai untuk menguruskan kata laluan ini. Banyak aplikasi pelayan menggunakan strategi ini untuk meningkatkan keselamatan, tetapi strategi ini memerlukan pentadbiran tambahan dan kerumitan. Dalam penggunaan ini, pentadbir perkhidmatan menghabiskan banyak masa untuk tugas penyelenggaraan seperti menguruskan kata laluan perkhidmatan dan nama utama perkhidmatan (SPN), yang diperlukan untuk pengesahan Kerberos. Di samping itu, tugas penyelenggaraan ini boleh mengganggu perkhidmatan.

Akaun Perkhidmatan Rangkaian ialah akaun terbina dalam yang mempunyai lebih banyak capaian kepada sumber dan objek daripada ahli kumpulan Pengguna Domain. Perkhidmatan yang berjalan sebagai akaun Network Service mengakses sumber rangkaian dengan menggunakan kelayakan akaun komputer dalam format < domain_name>\< computer_name>$. Nama sebenar akaun ialah NT AUTHORITY\NETWORK SERVICE.

Kebenaran minimum diperlukan untuk Microsoft Dynamics 365 Persediaan dan perkhidmatan

Dynamics 365 for Customer Engagement direka bentuk supaya ciri-cirinya boleh berjalan di bawah identiti yang berasingan. Dengan menentukan akaun pengguna domain yang hanya diberikan keizinan yang diperlukan untuk mendayakan ciri tertentu berfungsi, anda membantu melindungi sistem dan mengurangkan kemungkinan eksploitasi.

Topik ini menerangkan keizinan minimum yang diperlukan oleh akaun pengguna untuk perkhidmatan dan ciri Dynamics 365 for Customer Engagement.

Persediaan Microsoft Dynamics CRM Server

Akaun pengguna yang digunakan untuk menjalankan Persediaan Dynamics 365 Server yang termasuk penciptaan pangkalan data memerlukan keizinan minimum berikut:

Jadilah ahli kumpulan Pengguna Domain Active Directory. Secara lalai, Pengguna dan Komputer Active Directory menambah pengguna baru kepada kumpulan Pengguna Domain.
Jadilah ahli kumpulan Pentadbir pada komputer tempatan tempat Persediaan sedang berjalan.
Mempunyai folder Program Setempat membaca dan menulis kebenaran.
Jadilah ahli kumpulan Pentadbir pada komputer tempatan di mana kejadian SQL Server terletak yang akan digunakan untuk menyimpan pangkalan data Dynamics 365 for Customer Engagement.
Mempunyai keahlian sysadmin pada contoh SQL Server yang akan digunakan untuk menyimpan pangkalan data Dynamics 365 for Customer Engagement.
Mempunyai unit organisasi dan penciptaan kumpulan keselamatan dan menambah keizinan keahlian kepada kumpulan tersebut dalam Active Directory. Secara alternatif, anda boleh menggunakan fail konfigurasi Persediaan XML untuk memasang Dynamics 365 Server apabila kumpulan keselamatan telah dicipta. Untuk maklumat lanjut, lihat Gunakan Prompt Perintah untuk Memasang Microsoft Dynamics 365.
Jika Perkhidmatan Pelaporan SQL Server dipasang pada pelayan lain, anda mesti menambah peranan Pengurus Kandungan pada peringkat akar untuk memasang akaun pengguna. Anda juga mesti menambah Peranan Pentadbir Sistem di peringkat seluruh tapak untuk memasang akaun pengguna.

Microsoft Dynamics 365 perkhidmatan dan kebenaran identiti kumpulan aplikasi IIS

Bahagian ini menyenaraikan keizinan minimum yang diperlukan oleh akaun pengguna domain untuk perkhidmatan dan aplikasi IIS yang digunakan oleh Dynamics 365 for Customer Engagement.

Penting

Akaun identiti perkhidmatan dan aplikasi Dynamics 365 for Customer Engagement (CRMAppPool) tidak boleh dikonfigurasi sebagai pengguna Dynamics 365 for Customer Engagement. Melakukannya boleh menyebabkan isu pengesahan dan tingkah laku yang tidak dijangka dalam aplikasi untuk semua pengguna Dynamics 365 for Customer Engagement. Maklumat lanjut:Masalah dalam CRM apabila akaun pengguna CRMAppPool adalah pengguna CRM
Akaun perkhidmatan terurus (akaun perkhidmatan terurus kumpulan (gMSA) atau akaun perkhidmatan terurus tunggal) dan akaun maya (NT SERVICE\,< SERVICENAME>) tidak disokong untuk menjalankan perkhidmatan Dynamics 365 for Customer Engagement.

Subseksyen berikut menerangkan keizinan akaun pengguna domain yang diperlukan untuk setiap perkhidmatan atau identiti kumpulan aplikasi:

Microsoft Dynamics Perkhidmatan Pemprosesan Kotak Pasir 365

Microsoft Dynamics 365 Perkhidmatan Pemprosesan Tidak Segerak dan Microsoft Dynamics 365 Perkhidmatan Pemprosesan Tidak Segerak (penyelenggaraan)

Microsoft Dynamics 365 Perkhidmatan Pemantauan

Microsoft Dynamics Perkhidmatan Penulis 365 VSS

Perkhidmatan Web Penggunaan (CRMDeploymentServiceAppPool Aplikasi Identiti Kumpulan)

Perkhidmatan Permohonan (identiti Kumpulan Aplikasi CRMAppPool IIS)

Microsoft Dynamics Perkhidmatan Pemprosesan Kotak Pasir 365

Keahlian Pengguna Domain.
Akaun tersebut mesti diberikan Log Masuk sebagai kebenaran perkhidmatan dalam Dasar Keselamatan Tempatan.
Folder membaca dan menulis kebenaran pada Jejak, secara lalai terletak di bawah \Fail Program\ 365\Jejak dan folder akaun Microsoft Dynamics pengguna pada %AppData% komputer tempatan.
Baca kebenaran untuk subkunci HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSCRM dalam daftaran Windows.
Akaun perkhidmatan mungkin memerlukan SPN untuk URL yang digunakan untuk mengakses laman web yang dikaitkan dengannya. Untuk mengesetkan SPN untuk akaun Perkhidmatan Pemprosesan Kotak Pasir, jalankan arahan berikut pada gesaan arahan pada komputer tempat perkhidmatan sedang berjalan.

SETSPN –a MSCRMSandboxService/<ComputerName> <service account>

Microsoft Dynamics 365 Perkhidmatan Pemprosesan Tidak Segerak dan Microsoft Dynamics 365 Perkhidmatan Pemprosesan Tidak Segerak (penyelenggaraan)

Keahlian Pengguna Domain.
Keahlian PrivUserGroup dan SQLAccessGroup. Secara lalai, kumpulan ini dicipta dan keahlian yang sesuai diberikan semasa Microsoft Dynamics 365 Server Persediaan.
Keahlian Pengguna Log Prestasi kumpulan tempatan terbina dalam.
Akaun tersebut mesti diberikan Log Masuk sebagai kebenaran perkhidmatan dalam Dasar Keselamatan Tempatan.
Baca dan tulis kebenaran pada folder berikut.
- Folder Trace. Secara lalai terletak di bawah \Fail Program\ CRM\Microsoft Dynamics, dan folder akaun %AppData% pengguna pada komputer tempatan.
- Folder CustomizationImport. Secara lalai terletak di bawah \Fail Program\ CRM\Microsoft Dynamics. Ini mungkin diperlukan untuk import penyelesaian apabila anda menggunakan Perkhidmatan Web Dynamics 365 Customer Engagement.
Semua kebenaran akses kecuali Kawalan Penuh dan Tulis DAC kepada HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSCRMHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\MSCRMSandboxService dan subkunci dalam pendaftaran Windows.
Akaun perkhidmatan mungkin memerlukan SPN untuk URL yang digunakan untuk mengakses laman web yang dikaitkan dengannya. Untuk mengesetkan SPN untuk akaun Perkhidmatan Asynchronous, jalankan arahan berikut pada gesaan arahan pada komputer tempat perkhidmatan sedang berjalan.

SETSPN –a MSCRMAsyncService/<ComputerName> <service account>

Microsoft Dynamics 365 Perkhidmatan Pemantauan

Keahlian Pengguna Domain.
Akaun tersebut mesti diberikan Logon as service kebenaran dalam Dasar Keselamatan Tempatan.
Microsoft Dynamics Jika Perkhidmatan Pemantauan 365 dipasang dengan peranan pelayan Front End Server, keahlian kumpulan pentadbir tempatan pada komputer di mana perkhidmatan sedang berjalan diperlukan untuk memantau laman web dan kumpulan aplikasi. Maklumat lanjut:Peranan pelayan individu yang tersedia
Baca kebenaran kepadaHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSCRM
Keahlian SQLAccessGroup. Secara lalai, kumpulan ini dicipta dan keahlian yang sesuai diberikan semasa Microsoft Dynamics 365 Server Persediaan.
Akaun perkhidmatan mungkin memerlukan SPN untuk URL yang digunakan untuk mengakses laman web yang dikaitkan dengannya.

Microsoft Dynamics Perkhidmatan Penulis 365 VSS

Keahlian Pengguna Domain.
Akaun tersebut mesti diberikan Logon as service kebenaran dalam Dasar Keselamatan Tempatan.
Akaun itu mesti diberikan keahlian Backup Operators kumpulan di pelayan yang mengehoskan perkhidmatan ini.
Baca kebenaran kepadaHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSCRM
Keahlian PrivUserGroup dan SQLAccessGroup. Secara lalai, kumpulan ini dicipta dan keahlian yang sesuai diberikan semasa Microsoft Dynamics 365 Server Persediaan.

Perkhidmatan Web Penggunaan (CRMDeploymentServiceAppPool Aplikasi Identiti Kumpulan)

Keahlian Pengguna Domain.
Akaun tersebut mesti diberikan Logon as service kebenaran dalam Dasar Keselamatan Tempatan.
Keahlian kumpulan pentadbir tempatan pada komputer yang menjalankan SQL Server diperlukan untuk melaksanakan operasi pangkalan data organisasi (seperti mencipta organisasi baru atau import).
Keahlian kumpulan pentadbir tempatan pada komputer yang menjalankan Perkhidmatan Web Penggunaan.
Keizinan Sysadmin pada kejadian SQL Server yang akan digunakan untuk pangkalan data konfigurasi dan organisasi.
Folder membaca dan menulis kebenaran pada dan folder, secara lalai terletak di bawah \Fail Program\ CRM\Trace, dan CRMWebMicrosoft Dynamics folder akaun %AppData% pengguna pada komputer tempatan.
Semua kebenaran akses kecuali Kawalan Penuh dan Tulis DAC kepada HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSCRMHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\MSCRMSandboxService dan subkunci dalam pendaftaran Windows.
Keahlian PrivUserGroup dan SQLAccessGroup. Secara lalai, kumpulan ini dicipta dan keahlian yang sesuai diberikan semasa Microsoft Dynamics 365 Server Persediaan.
CRM_WPG keahlian kumpulan. Kumpulan ini digunakan untuk proses pekerja IIS. Kumpulan dicipta dan keahlian ditambahkan semasa Microsoft Dynamics 365 Server Persediaan.
Akaun perkhidmatan mungkin memerlukan SPN untuk URL yang digunakan untuk mengakses laman web yang dikaitkan dengannya.

Perkhidmatan Permohonan (identiti Kumpulan Aplikasi CRMAppPool IIS)

Keahlian kumpulan Pengguna Domain.
Keahlian Pengguna Log Prestasi kumpulan tempatan terbina dalam.
Folder membaca dan menulis kebenaran pada dan folder, secara lalai terletak di bawah \Fail Program\ CRM\Trace, dan CRMWebMicrosoft Dynamics folder akaun %AppData% pengguna pada komputer tempatan.
Semua kebenaran akses kecuali Kawalan Penuh dan Tulis DAC kepada HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSCRMHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\MSCRMSandboxService dan subkunci dalam pendaftaran Windows.
CRM_WPG keahlian kumpulan. Kumpulan ini digunakan untuk proses pekerja IIS. Kumpulan dicipta dan keahlian ditambahkan semasa Microsoft Dynamics 365 Server Persediaan.
Akaun perkhidmatan mungkin memerlukan SPN untuk URL yang digunakan untuk mengakses laman web yang dikaitkan dengannya.

Identiti Kumpulan Aplikasi IIS berjalan di bawah pengesahan Kernel-Mode dan SPN

Secara lalai, laman web IIS dikonfigurasikan untuk menggunakan pengesahan Kernel-Mode. Apabila anda menjalankan laman web Dynamics 365 for Customer Engagement menggunakan pengesahan Kernel-Mode, anda mungkin tidak perlu mengkonfigurasikan nama prinsipal perkhidmatan tambahan (SPN) untuk identiti CRMAppPool.

Untuk maklumat lanjut tentang melihat, memadam dan mendaftarkan SPN menggunakan SetSPN.exe, lihat Sintaks SetSPN Nama Utama Perkhidmatan (SPN).

Microsoft Dynamics 365 fail pemasangan

Jika anda merancang untuk memasang Dynamics 365 dari lokasi pada rangkaian, seperti bahagian rangkaian, anda mesti memastikan bahawa keizinan yang betul digunakan pada folder, sebaik-baiknya pada volum NTFS, di mana fail pemasangan terletak. Contohnya, anda mungkin ingin membenarkan hanya ahli keizinan kumpulan Pentadbir Domain untuk folder tersebut. Amalan ini dapat membantu mengurangkan risiko serangan pada fail pemasangan yang boleh menjejaskan atau mengubahnya. Untuk maklumat lanjut tentang cara mengesetkan kebenaran pada fail dan folder pada sistem pengendalian Windows, lihat Bantuan Windows.

Lihat Juga

Merancang Penggunaan Anda untuk Microsoft Dynamics amalan terbaik keselamatan 365 365
Microsoft Dynamics

Kongsi melalui

Pertimbangan keselamatan untuk Dynamics 365 Customer Engagement (on-premises)

Apakah jenis akaun perkhidmatan yang perlu saya pilih?

Kebenaran minimum diperlukan untuk Microsoft Dynamics 365 Persediaan dan perkhidmatan

Persediaan Microsoft Dynamics CRM Server

Microsoft Dynamics 365 perkhidmatan dan kebenaran identiti kumpulan aplikasi IIS

Microsoft Dynamics Perkhidmatan Pemprosesan Kotak Pasir 365

Microsoft Dynamics 365 Perkhidmatan Pemprosesan Tidak Segerak dan Microsoft Dynamics 365 Perkhidmatan Pemprosesan Tidak Segerak (penyelenggaraan)

Microsoft Dynamics 365 Perkhidmatan Pemantauan

Microsoft Dynamics Perkhidmatan Penulis 365 VSS

Perkhidmatan Web Penggunaan (CRMDeploymentServiceAppPool Aplikasi Identiti Kumpulan)

Perkhidmatan Permohonan (identiti Kumpulan Aplikasi CRMAppPool IIS)

Identiti Kumpulan Aplikasi IIS berjalan di bawah pengesahan Kernel-Mode dan SPN

Microsoft Dynamics 365 fail pemasangan

Lihat Juga

Sumber tambahan