Prácticas recomendadas de administración para implementaciones locales de Dynamics 365 Customer Engagement (on-premises)
Puede mejorar de forma notable la seguridad del entorno de Dynamics 365 Customer Engagement (on-premises) local siguiendo algunas sencillas reglas de administración.
Normalmente, no es necesario que los usuarios de Customer Engagement tengan privilegios administrativos en el dominio. Por lo tanto, se debe restringir la pertenencia de todas las cuentas de usuario de Customer Engagement a Usuarios del dominio. Además, siguiendo el principio del menor privilegio, cualquier persona que use Customer Engagement debe tener los derechos mínimos. Dichos derechos empiezan en el nivel de dominio. Es necesario crear una cuenta de usuario de dominio y debe usarse para ejecutar Customer Engagement. Las cuentas del administrador de dominio nunca se deben usar para ejecutar Customer Engagement.
Limite el número de roles de Administrador de implementación y administrador del sistema de Dynamics 365 Customer Engagement (on-premises) a un número reducido de usuarios responsables de los cambios de reglas. No es necesario que los demás administradores de SQL Server, Microsoft Exchange Server o Active Directory sean integrantes del grupo de usuarios de Customer Engagement.
Asegúrese de que al menos dos o tres personas de confianza tengan el rol Administrador de implementaciones. De esta manera se evita que el sistema se bloquee si el Administrador de implementaciones principal no está disponible.
En algunas organizaciones, una práctica habitual es reutilizar contraseñas en distintos sistemas y dominios. Por ejemplo, un administrador responsable de dos dominios puede crear en cada uno cuentas de Administrador de dominio que usen la misma contraseña, e incluso definir, en todo el dominio, contraseñas iguales de administrador local en los equipos del dominio. En este caso, una situación de riesgo en una sola cuenta u equipo puede hacer que se ponga en peligro todo el dominio. Nunca deben reutilizarse las contraseñas de esta forma.
También es normal usar las cuentas de administrador de dominio como cuentas de servicio para servicios comunes, como las copias de seguridad. No obstante, es un riesgo para la seguridad usar las cuentas de Administrador de dominio como cuentas de servicio. Cualquier persona que tenga derechos administrativos sobre el equipo puede recuperar la contraseña rápidamente. En este caso, se puede poner en riesgo todo el dominio. Las cuentas de servicio nunca deben ser cuentas de administrador de dominio y deben tener los privilegios restringidos al máximo.
Asimismo, no se debe configurar como usuario de Customer Engagement una cuenta de usuario de dominio que esté configurada para ejecutar Dynamics 365 Customer Engagement (on-premises). Esto podría provocar un comportamiento inesperado en la aplicación.