共用方式為

Microsoft Dynamics CRM 安全性最佳作法

  • 發行項

 

發行︰ 2016年11月

適用於: Dynamics CRM 2015

Internet Information Services (IIS) 是 Windows Server 隨附的健全 Web 服務。Microsoft Dynamics 365 需要有效率且安全的 IIS Web 服務。 請考量下列各項:

  • 您可以在 machine.configweb.config 設定檔中決定是否要啟用偵錯,以及是否要將詳細的錯誤訊息傳送給用戶端。 您應該要確認所有生產伺服器已停用偵錯,且會在發生錯誤時傳送一般錯誤訊息給用戶端。 這樣可以避免非必要的網頁伺服器設定資訊被傳送至用戶端。

  • 確認已套用最新的作業系統和 IIS Service Pack 與更新。 如需最新的資訊,請參閱 Microsoft 安全性網站。

  • Microsoft Dynamics CRM Server 安裝程式 會建立稱為 CRMAppPoolCRMDeploymentServiceAppPool 的應用程式集區,這些集區會在期間於您指定的使用者認證下操作。 若要使用最低權限模式,我們建議您針對這些應用程式集區指定不同的網域使用者帳戶,而不是使用「網路服務」帳戶。 此外,建議您不要在這些應用程式集區下安裝與 ASP.NET 連線的應用程式。 如需這些元件所需的最低權限的相關資訊,請參閱 Microsoft Dynamics CRM 安裝程式與服務所需的最低權限

重要

  • 確定與 Microsoft Dynamics 365 網站在同一台電腦上執行的所有網站,都可以存取 Dynamics 365 資料庫。

  • 如果您使用網域使用者帳戶,執行 Microsoft Dynamics CRM Server 安裝程式之前,可能需要驗證該帳戶的服務主體名稱 (SPN) 設定正確,而且在需要時,設定正確的 SPN。 如需 SPN 及如何設定它們的詳細資訊,請參閱在 IIS 設定主控的 Web 應用程式時,如何使用 SPN

Microsoft Dynamics CRM 中的服務主體名稱管理

服務主體名稱 (SPN) 屬性是一個多重值且無連結的屬性,是從 DNS 主機名稱建置而來的。 在用戶端與裝載特殊服務的伺服器之間執行雙向驗證時會使用 SPN。 用戶端會根據其嘗試連線至服務的 SPN 來尋找電腦帳戶。

Microsoft Dynamics CRM Server 安裝程式會部署特定角色的服務和 Web 應用程式集區,讓您可以在 安裝程式 安裝期間指定的使用者認證下進行操作。 若要檢閱這些角色以及它們的使用權限要求的完整清單,請參閱 Microsoft Dynamics CRM 安裝程式與服務所需的最低權限

在部署已裝載的 Microsoft Dynamics 365 基礎結構時,其中兩個角色可能需要其他考量:

  • 部署 Web 服務

  • 應用程式服務

在 Web 伺服陣列案例中 (就和裝載的產品項目一樣),建議您讓核心模式的驗證保持啟用狀態。 此外,您應更進一步考量使用個別的網域使用者帳戶來執行這些服務,因為:

  • 讓這些伺服器角色擁有個別服務帳戶,有助於能實作硬體負載平衡。

  • 部署 Web 服務伺服器角色需要提高權限,才能在Dynamics 365 資料庫中佈建組織。 如果您想要繼承最低權限模型,在已裝載之 Microsoft Dynamics 365 基礎結構上實作 SPN 的最安全處理方式包含在「應用程式服務」以外的其他網域使用者帳戶下執行部署 Web 服務。

如果您遵循此建議,針對這些伺服器角色使用個別的網域帳戶,您應該在啟動 Microsoft Dynamics CRM Server 安裝程式之前,先檢查以確定每個帳戶的 SPN 是正確的。 這樣將能讓您能夠更輕易地視需要來設定正確的 SPN。

如果已啟用 [核心模式驗證],不論指定的服務帳戶為何,都將為機器帳戶定義 SPN。 當您實作 Web 伺服陣列時,請啟用核心模式驗證並變更區域 ApplicationHost.config 檔案。

如果應用程式和部署 Web 服務都是在相同的系統上執行,而且已停用 [核心模式驗證],則您可以同時設定這兩個服務,在相同的 domaikuser 帳戶下執行,以防止發生重複的 SPN 問題。 如果無法啟用核心模式驗證,請在個別系統上安裝 [應用程式] 和 [部署] Web 服務。 由於已停用核心模式驗證,所以可能仍須手動建立 SPN。

如需 SPN 及如何設定它們的詳細資訊,請參閱 Kerberos 驗證與 IIS 7.0/7.5 搭配使用的服務主體名稱 (SPN) 檢查清單

另請參閱

Microsoft Dynamics CRM 的安全性考量
Microsoft Dynamics CRM 內部部署管理最佳做法

© 2016 Microsoft Corporation. 著作權所有,並保留一切權利。 著作權