Del via

Retningslinjer for konfiguration efter installation for Microsoft Dynamics 365

  • Artikel

I dette afsnit beskrives flere af de opgaver, som Dynamics 365 Customer Engagement (on-premises)-administratoren skal overveje, efter at Dynamics 365 Server-programmet er installeret. Dette afsnit er ikke ment som en udtømmende ressource til konfiguration af udrulninger. Brug i stedet afsnittet som en retningslinje, du kan bruge til at bestemme, hvilke bedste praksis og funktioner der skal konfigureres på baggrund af organisationens behov.

Kopiér organisationens krypteringsnøgle

Alle nye og opgraderede organisationer bruger datakryptering, som bruger en krypteringsnøgle til at beskytte data, f.eks brugeradgangskoder til mailpostkasser og Yammer-konti. Denne krypteringsnøgle kan være nødvendigt for at bruge Dynamics 365 Customer Engagement (on-premises) efter en geninstallation eller gendannelse efter nedbrud. Vi anbefaler kraftigt, at du opretter en kopi af krypteringsnøglen og gemmer den til et sikkert sted. Flere oplysninger: Kopiér din organisations datakrypteringsnøgle

Større sikkerhed i forbindelse med klient til server-netværkskommunikation i Dynamics 365

I forbindelse med ethvert netværksdesign er det vigtigt at tage hensyn til sikkerheden i forbindelse med virksomhedens klient til server-kommunikation. Når du træffer beslutninger, som vedrører beskyttelse af data, er det vigtigt, at du forstår de forskellige aspekter af netværkskommunikation i Dynamics 365 Customer Engagement (on-premises) og har indsigt i de teknologiindstillinger, der kan anvendes til at forbedre beskyttelsen af datatransmissioner.

Hvis du har installeret Dynamics 365 Customer Engagement (on-premises) eller opgraderet en Dynamics 365 Server, som ikke allerede er konfigureret til HTTPS, er klient til server-kommunikation i Dynamics 365 Customer Engagement (on-premises) ikke krypteret. Når du bruger et websted, der kun understøtter HTTP, overføres oplysninger fra Customer Engagement-klienter i klartekst, og derfor er de muligvis sårbare over for ondsindede angreb, f.eks. angreb af typen "man-in-the-middle", der kan kompromittere indhold ved at tilføje scripter, der udfører skadelige handlinger.

Konfigurerer Dynamics 365 for HTTPS

Hvis et websted konfigureres til HTTPS, medfører det en forstyrrelse i Dynamics 365 Customer Engagement (on-premises)-programmet, så planlæg konfigurationen, når den medfører mindst forstyrrelse for brugere. De overordnede trin til konfiguration af Dynamics 365 Customer Engagement (on-premises) til HTTPS er følgende:

  1. I Dynamics 365 Installationsstyring skal du deaktivere den server, hvor rollerne som webprogramserver, organisationswebtjeneste, registreringswebtjeneste og installationswebtjeneste kører. Hvis det drejer sig om en installation af en alt i én-server, kører alle serverroller på den samme computer. Du kan finde oplysninger om, hvordan du deaktiverer en server, i Hjælp til installationsstyring af Dynamics 365 Customer Engagement (on-premises).

  2. Konfigurer det websted, hvor webprogramserver-rollen er installeret for at bruge HTTPS. Du kan finde flere oplysninger om, hvad du skal gøre, i Hjælp til IIS (Internet Information Services).

  3. Angiv bindingen i Installationsstyring. Det kan du gøre under fanen Webadresse på siden Egenskaber for installationen. Du kan finde flere oplysninger om, hvordan du ændrer bindingerne, under Egenskaber for Microsoft Dynamics 365-installation.

  4. Hvis du vil gøre andre Customer Engagement-tjenester mere sikre, og Dynamics 365 Customer Engagement (on-premises) er installeret ved hjælp af separate serverroller, skal du gentage de forrige trin for de ekstra serverroller.

Konfigurere en installation af Dynamics 365 med adgang via internettet

Når alle Dynamics 365 Server-roller er installeret, kan du konfigurere installationen, så fjernbrugere kan oprette forbindelse til programmet via internettet. Du kan starte regelinstallationsstyring og fuldføre Konfigurer kravsbaseret godkendelse efterfulgt af guiden Konfiguration af installation med adgang via internet. Alternativt kan du udføre disse opgaver ved hjælp af Windows PowerShell. Flere oplysninger: Oversigt over Dynamics 365 Customer Engagement (on-premises) PowerShell

Vigtigt

Hvis Dynamics 365 til tablets skal kunne oprette forbindelse til en ny installation af Dynamics 365 Server for Customer Engagement, skal du køre en reparation af Dynamics 365 Server-applikation for Customer Engagement på den server, der kører IIS, og hvor Web Application Server-rollen er installeret, når guiden Konfiguration af installation med adgang via internet er fuldført.

Tilføje eller fjerne eksempeldata

Der findes eksempeldata, der kan hjælpe dig med at blive fortrolig med, hvordan Dynamics 365 Customer Engagement (on-premises) fungerer. Du kan bruge eksempeldataene til at arbejde med poster og se, hvordan de er relateret til hinanden, hvordan data vises i diagrammerne, og hvilke oplysninger der findes i rapporterne.

Der kan tilføjes eller fjernes eksempeldata fra Customer Engagement-programmet. Flere oplysninger:Tilføje eller fjerne eksempeldata

Fuldføre konfigurationsopgaver for nye organisationer

Når du har installeret Dynamics 365 Customer Engagement (on-premises), men før erhvervsbrugerne i organisationen går i gang med at bruge programmet, er der nogle grundlæggende opgaver, som du som Customer Engagement-administrator skal udføre. Disse opgaver omfatter definition af afdelinger og sikkerhedsroller, tilføjelse af brugere og import af data.

Flere oplysninger: Konfigurere en Dynamics 365-organisation

Import af apps og løsninger

Sales- og Field Service-apps er tilgængelige for dig. Flere oplysninger: Tilgængelige apps til Dynamics 365 Customer Engagement (on-premises)

Du kan bruge løsninger til at udvide funktionaliteten og brugergrænsefladen. Tilpassere og udviklere distribuerer deres produkter som løsninger. Organisationer bruger Dynamics 365 Customer Engagement (on-premises) til at importere løsningen. Find en løsning i Microsoft AppSource.

Vigtigt

Når du importerer en løsning eller udgiver tilpasninger, kan der opstå konflikter med den normale systemdrift. Vi anbefaler, at du planlægger import af løsninger, så det forstyrrer brugerne mindst muligt.

Du kan finde flere oplysninger om, hvordan du importerer en løsning, under Import, opdatering og eksport af en løsning.

Konfigurer Windows Server for Dynamics 365 Customer Engagement (on-premises)-applikationer, der bruger OAuth

I følgende oplysninger beskrives, hvordan du kan konfigurere Windows Server med AD FS til at understøtte Customer Engagement-programmer som Dynamics 365 til telefoner, Dynamics 365 til tablets, Dynamics 365 for Outlook, Microsoft Social Engagement eller andre Dynamics 365 for Customer Engagement-programmer, der skal have OAuth-support.

Aktivere formulargodkendelse

Som standard er formulargodkendelse deaktiveret i intranetzonen. Du skal aktivere formulargodkendelse ved at udføre disse trin:

  1. Log på AD FS-serveren som administrator.

  2. Åbn ADFS-administrationsguiden.

  3. Vælg Godkendelsespolitikker>Primær godkendelse>Globale indstillinger>Godkendelsesmetoder>Rediger.

  4. Vælg (markér) Formularbaseret godkendelse på fanen Intranet.

Konfigurere OAuth-provideren

Følg disse trin for at konfigurere OAuth-provideren i Dynamics 365 Customer Engagement (on-premises).

  1. Log på Dynamics 365 Customer Engagement (on-premises)-serveren som administrator.

  2. Tilføj snap-in Customer EngagementWindows PowerShell (Microsoft.Crm.PowerShell.dll). Flere oplysninger: Administrer installationen ved hjælp af Windows PowerShell

    Add-PSSnapin Microsoft.Crm.PowerShell

  3. Angiv følgende kommandoer i Windows PowerShell.

    
$ClaimsSettings = Get-CrmSetting -SettingType OAuthClaimsSettings  
$ClaimsSettings.Enabled = $true  
Set-CrmSetting -Setting $ClaimsSettings

Registrer klientprogrammerne

Klientprogrammerne skal registreres med AD FS.

  1. Log på AD FS-serveren som en administrator.

  2. I et PowerShell-vindue skal du køre følgende kommandoer for at registrere hvert program, der gælder for installationen.

    Dynamics 365 (online), version 8.2-mobilapps til Apple iPhone Android og Windows.

    Add-AdfsClient -ClientId 00001111-aaaa-2222-bbbb-3333cccc4444 -Name "Microsoft Dynamics CRM for tablets and phones" -RedirectUri ms-app://s-1-15-2-2572088110-3042588940-2540752943-3284303419-1153817965-2476348055-1136196650/, ms-app://s-1-15-2-1485522525-4007745683-1678507804-3543888355-3439506781-4236676907-2823480090/, ms-app://s-1-15-2-3781685839-595683736-4186486933-3776895550-3781372410-1732083807-672102751/, ms-app://s-1-15-2-3389625500-1882683294-3356428533-41441597-3367762655-213450099-2845559172/, ms-auth-dynamicsxrm://com.microsoft.dynamics,ms-auth-dynamicsxrm://com.microsoft.dynamics.iphone.moca,ms-auth-dynamicsxrm://com.microsoft.dynamics.ipad.good,msauth://code/ms-auth-dynamicsxrm%3A%2F%2Fcom.microsoft.dynamics,msauth://code/ms-auth-dynamicsxrm%3A%2F%2Fcom.microsoft.dynamics.iphone.moca,msauth://code/ms-auth-dynamicsxrm%3A%2F%2Fcom.microsoft.dynamics.ipad.good,msauth://com.microsoft.crm.crmtablet/v%2BXU%2FN%2FCMC1uRVXXA5ol43%2BT75s%3D,msauth://com.microsoft.crm.crmphone/v%2BXU%2FN%2FCMC1uRVXXA5ol43%2BT75s%3D, urn:ietf:wg:oauth:2.0:oob

    Dynamics 365 for Outlook.

    Add-AdfsClient -ClientId  11112222-bbbb-3333-cccc-4444dddd5555  -Name "Dynamics CRM Outlook Client" -RedirectUri app://22223333-cccc-4444-dddd-5555eeee6666/

    Unified Service Desk-klient.

    Add-AdfsClient -ClientId  33334444-dddd-5555-eeee-6666ffff7777  -Name "Dynamics 365 Unified Service Desk" -RedirectUri app://44445555-eeee-6666-ffff-7777aaaa8888/

    Dynamics 365 Customer Engagement (on-premises)-udviklerværktøjer.

    Add-AdfsClient -ClientId  55556666-ffff-7777-aaaa-8888bbbb9999  -Name "Dynamics 365 Development Tools" -RedirectUri app://66667777-aaaa-8888-bbbb-9999cccc0000/

  3. For at registrere Dynamics 365 App for Outlook skal du i Customer Engagement (on-premises) gå til Indstillinger>Dynamics 365 App for Outlook og registrere appen der.

Nødvendige trin efter aktivering af OAuth for Dynamics 365 Server

Når OAuth er aktiveret, og du har registreret dine applikationer, er det nødvendigt at udføre følgende trin:

Fjerne udbydere af webstedsgodkendelse

  1. Åbn Internet Information Services (IIS) Manager i den Dynamics 365 Server, hvor webprogrammets serverrolle kører.

  2. Udvid Websteder i venstre rude under organisationens navn, og vælg derefter Microsoft Dynamics CRM.

  3. Dobbeltklik på Godkendelse i den midterste rude.

  4. Højreklik på Windows-godkendelse, og vælg Udbydere. For hver udbyder på listen skal du markere udbyderen, vælge Fjern og derefter vælge OK.

  5. Når alle udbydere er fjernet, skal du højreklikke på Windows-godkendelse og derefter vælge Deaktiver.

    Fjern udbyder af websted.

  6. Gentag de forrige trin for at fjerne alle udbydere af Windows-godkendelse fra webstedsmapperne nga og AppWebServices.

Føj AD FS-adressen til klientens lokale intranetzone for at undgå prompter om klientgodkendelse

  1. Vælg Start på klientcomputeren, angiv inetcpl.cpl, og vælg Enter for at åbne Internetegenskaber.
  2. Vælg fanen Sikkerhed, vælg zonen Lokalt intranet, vælg Websteder, og vælg derefter Avanceret.
  3. Angiv AD FS-adressen, vælg Tilføj, vælg Luk, vælg OK, og vælg derefter OK igen.

Tildel app-tilladelse

Kør følgende kommando i en Windows PowerShell-konsollen på AD FS-serveren. Dette er påkrævet, hvis du bruger Windows Server 2016 AD FS eller senere versioner.

Grant-AdfsApplicationPermission -ClientRoleIdentifier "<client_id/org_id>" -ServerRoleIdentifier "<org_auth_url>"

Vigtigt

Kontrollér, at org_auth_url er en fuldstændig og nøjagtig URL-adresse. Du skal også inkludere en efterfølgende skråstreg /.
Eksempel:

Grant-AdfsApplicationPermission -ClientRoleIdentifier "806e5da7-0600-e611-80bf-6c3be5b27d7a" -ServerRoleIdentifier https://auth.contoso.com:444/

Hvis du vil have vist URL-adressen til godkendelse, skal du køre denne PowerShell-kommando:

 Get-ADFSRelyingPartyTrust

Genstart AD FS

Kør følgende kommandoer i PowerShell for at tvinge AD FS til at genstarte på AD FS-serveren.

net stop adfssrv 
net start adfssrv

Aktivér DRS (Device Registration Service) på samlingsserveren

Hvis du vil sikre dig, at enheder kan oprette forbindelse til din udrulning, skal du følge vejledningen i dette emne: Konfigurere en samlingsserver med Device Registration Service.

Anmod om brugerdefinerede certifikater ved hjælp af Certifikater MMC-snap-in

Dette afsnit beskriver, hvordan man genererer en brugerdefineret certifikatanmodning (CSR), der kan bruges til at opnå et SSL-certifikat for Microsoft Dynamics 365 Customer Engagement det lokale miljø.

Vigtigt

Det er obligatorisk, at nedenstående trin udføres, for at kravbaseret godkendelse og den internetvendte implementering skal fungere.

  1. Log ind på enhver Windows-computer med en konto, der er medlem af den lokale administratorergruppe.
  2. Vælg Start, skriv mmc.exe, og tryk derefter på ENTER.
  3. Vælg Filer på kommandolinjen, og vælg derefter Tilføj/Fjern snap-in.
  4. Vælg Certifikater på listen over tilgængelige snap-ins, og vælg derefter Tilføj.
  5. Vælg Computerkonto, og vælg derefter Næste.
  6. Vælg Lokal computer, vælg Afslut, og vælg derefter OK.

Når du har tilføjet snap-in'en Certifikater, som din lokale computerbutik skal åbne, skal du oprette en brugerdefineret certifikatanmodning.

  1. Udvid Certificates (Local Computer) i MMC-konsoltræet.

  2. Højreklik Personlig, peg på Alle opgaver, peg på Avanceret betjening, og vælg derefter Opret brugerdefineret anmodning.

  3. Guiden Certifikattilmelding åbnes. Vælg Næste.

  4. På siden Vælg certifikattilmeldingspolitik, skal du vælge Fortsæt uden tilmeldingspolitik under Tilpasset anmodning , og vælg derefter Næste.

  5. På siden Tilpasset anmodning ud for indstillingerne Skabelon skal du vælge (Ingen skabelon) Ældre nøgle og vælge anmodningsformatindstillingen PKCS #10, og vælg derefter Næste. Vælg muligheder for at oprette den brugerdefinerede certifikatanmodning

    Vigtigt

    CNG-certifikater understøttes ikke.

  6. På siden Certifikatoplysninger skal du udvide Detaljer og derefter vælge Egenskaber. Certifikategenskaber

  7. På fanen Generelt skal du indtaste Brugervenligt navn (visningsnavn) og derefter vælge Anvend.

  8. Vælg fanen Emne, og føj de relevante emnenavne og alternative navne til certifikatet. Nogle offentlige certifikatmyndigheder kræver forskellige emneværdier. Flere oplysninger: Eksempler på certifikatemne og alternative navne

  9. Vælg Anvend, når du har tilføjet alle relevante værdier.

  10. Vælg fanen Udvidelser.

    1. Udvid Nøglebrug og derefter TilføjDatakryptering, Digital signatur og Nøglekryptering som de valgte muligheder.
    2. Udvid Udvidet nøglebrug (applikationspolitikker) og derefter TilføjServergodkendelse og Klientgodkendelse som de valgte muligheder.
    3. Vælg Anvend.

  11. Vælg fanen Privat nøgle.

    1. Udvid Cryptographic Service Provider, og vælg derefter Microsoft RSA Schannel Cryptographic Provider (Encryption)
    2. Udvid Nøglemuligheder, og indstil derefter Nøglestørrelse til 2048 (eller højere), og vælg indstillingen Gør privat nøgle eksporterbar.
    3. Udvid Nøgletype, og vælg derefter Exchange.
    4. Vælg Anvend. Certificerede egenskaber for nøgletype

  12. Gennemgå alle faner for at sikre, at alle nødvendige indstillinger er valgt eller indtastet. Vælg OK efter bekræftelse.

  13. Siden Certifikattilmelding vises. Vælg Næste.

  14. På siden Hvor vil du gemme offlineanmodningen skal du indtaste den fulde sti for at gemme anmodningsfilen og sikre, at Filformat er indstillet til Base 64. Vælg Udfør.

Nu vil du have en CSR i BASE 64-format, som du kan videresende til en ekstern eller intern certifikatmyndighed til underskrift.

Vigtigt

Der er ingen privat nøgle inkluderet. Det undgår enhver kompromittering af den private nøgle ved overførsel til en certifikatmyndighed.

Din udbyder vil levere en underskrevet version af certifikatet inklusive den private nøgle og nyttelasten. Det certifikat, du modtager, skal importeres tilbage på den samme maskine, hvor du oprettede certifikatanmodningen.

Importér og eksportér det modtagne certifikat

Importer certifikatet til det lokale certifikatlager (Personligt), og anmodningen vil automatisk blive gennemført. Hvis du gør det, flettes den private og offentlige nøgle. Højreklik på mappen Certifikater fra MMC-snap-in'en Certifikater i mappen Personlig, peg på Alle opgaver, og vælg derefter Importer. Gennemse til og vælg certifikatet, og følg trinene i Certifikatimportguiden for at importere det.

Til sidst eksporterer du certifikatet.

  1. Højreklik på certifikatet i mappen Certifikater fra MMC-snap-in'en, peg på Alle opgaver, og vælg derefter Eksporter.
  2. Guiden Certifikateksport vælg Næste, og vælg derefter Ja, eksporter den private nøgle. Vælg Næste.
  3. På siden Eksporter filformat skal du lade alle standardindstillingerne være og derefter vælge Næste. Certifikateksportformat
  4. Vælg Adgangskode på siden Sikkerhed.
    1. Indtast en adgangskode, der vil være din private nøgle. Sørg for at gemme disse oplysninger på et sikkert sted.
    2. Vælg Kryptering som AES256-SHA256.
    3. Vælg Næste.
  5. Indtast mappestien, hvor du vil gemme certifikatet, som vil blive gemt i PFX-format.
  6. Vælg Næste, og vælg derefter Udfør.

Nu kan du bruge PFX-certifikatet til Dynamics 365 Customer Engagement (on-premises) og andre applikationer såsom AD FS også.

Vigtigt

Hvis din certifikatmyndighed ikke accepterer certifikatanmodninger af ældre type, skal du sørge for at opfylde alle krav undtagen kryptografisk tjenesteudbyder (CSP). Du kan køre nedenstående Certutil.exe i en forhøjet kommandoskal for at genimportere PFX'en med den nødvendige udbyder.

certutil -csp "Microsoft RSA SChannel Cryptographic Provider" -importpfx <drive><name of cert>.pfx AT_KEYEXCHANGE

Eksempler på certifikatemne og alternative navne

Eksempler på emnenavn.

Type Angivet værdi Emnenavn
Land DE C=DE
Lokalitet München L=München
Organisation Contoso Ltd O=Contoso Ltd
Afdeling It OU=IT
State Bayern S: Bayern
Almindeligt navn *.contoso.com1 CN=*.contoso.com1

1 Bruger jokertegn. Et wildcard-certifikat anbefales, da det dækker alle DNS-værdier, der er oprettet for domænet.

Eksempler på certifikatets emnenavn

For emnet alternative navne (SAN) skal du sørge for at dække alle DNS-værdier, du har brug for. Alternative navne-DNS-typeværdier for det fiktive firma ved navn Contoso kan f.eks. være: auth.contoso.com, dev.contoso.com, internalcrm.contoso.com, adfs.contoso.com, crmorg1.contoso.com, crmorg2.contoso.com, osv.

Eksempler på certifikatemne og alternative navne

Konfiguration af databaser til SQL Server AlwaysOn

Selvom den artikel, der henvises til nedenfor, gælder for en tidligere version af Dynamics 365 Customer Engagement (on-premises), kan du bruge lignende trin til at konfigurere Dynamics 365 Customer Engagement (on-premises) version 9-organisations- og konfigurationsdatabaserne til SQL Server AlwaysOn.

Vigtigt

De endelige opgaver under trin 4 linket nedenfor, der beskriver, hvordan Oprettelse af MSCRMSqlClrLogin SQL-logon under Opret SQL-logon til Microsoft Dynamics 365-sikkerhedsgrupper på alle sekundære replikaer, ikke gælder for denne version og skal ignoreres, når du konfigurerer Dynamics 365 Customer Engagement (on-premises), version 9-databaser, så SQL Server AlwaysOn bruges.
MSCRMSqlClrLogin SQL-logon, den asymmetriske nøgle til det og Microsoft.Crm.SqlClr.Helper.dll kræves ikke sammen med Dynamics 365 Customer Engagement (on-premises), version 9.

Flere oplysninger: Angive konfigurations- og organisationsdatabaser for SQL Server AlwaysOn failover

Brugeruddannelse og -indføring

Flere oplysninger: Uddannelses- og indføringspakke til Microsoft Dynamics 365

Se også

Installere Dynamics 365 til det lokale miljø
Betjening af Microsoft Dynamics 365