Prácticas recomendadas de seguridad de Dynamics 365 Customer Engagement (on-premises)
Internet Information Services (IIS) es un servicio web consolidado que se incluye con Windows Server. Dynamics 365 Customer Engagement (on-premises) depende de un servicio web IIS eficaz y seguro. Tenga en cuenta lo siguiente:
En los archivos de configuración
machine.configyweb.configpuede determinar si la depuración está habilitada y si se enviarán mensajes de error detallados al cliente. Debe asegurarse de que la depuración esté deshabilitada en todos los servidores de producción y de que se envíe un mensaje de error genérico al cliente en caso de que ocurra un problema. De esta manera se evita el envío de información innecesaria al cliente acerca de la configuración del servidor web.Asegúrese de que se han aplicado las actualizaciones y los Service Packs de IIS y el sistema operativo más recientes. Para obtener la información más reciente, vea el sitio web de Microsoft Security.
El programa de instalación de Dynamics 365 Server crea grupos de aplicaciones denominados CRMAppPool y CRMDeploymentServiceAppPool que trabajan con las credenciales de usuario que se especificaron durante la instalación. Para disponer de un modelo con menos privilegios, es recomendable que especifique cuentas de usuario de dominio diferentes para estos grupos de aplicaciones en lugar de usar la cuenta de Servicio de red. Además, se recomienda que ninguna otra aplicación con conexión a ASP.NET se instale en este grupo de aplicaciones. Para obtener más información acerca de los permisos mínimos necesarios para estos componentes, consulte Permisos mínimos requeridos para la instalación y los servicios de Microsoft Dynamics 365.
Importante
- Asegúrese de que todos los sitios web que se ejecutan en el mismo equipo que el sitio web de Dynamics 365 Customer Engagement (on-premises) también tienen acceso a la base de datos de Customer Engagement.
- Si usa una cuenta de usuario de dominio, antes de ejecutar el programa de instalación de Microsoft Dynamics 365 Server, debe comprobar si el nombre principal de servicio (SPN) está establecido correctamente para dicha cuenta y, si es necesario, debe establecer el SPN correcto. Para obtener más información acerca de los SPN y cómo establecerlos, consulte el tema Cómo usar SPN al configurar aplicaciones web que se hospedan en IIS.
Administración del nombre de entidad de seguridad de servicio en Microsoft Dynamics 365
El atributo de nombre principal de servicio (SPN) es un atributo multivalor no vinculado que se genera a partir del nombre de host DNS. El SPN se usa durante la autenticación mutua entre el cliente y el servidor que hospeda un servicio particular. El cliente encuentra una cuenta de equipo basada en el SPN del servicio al que se intenta conectar.
El instalador de Dynamics 365 Server implementa servicios específicos de roles y grupos de aplicaciones web que funcionan con las credenciales de usuario especificadas durante la instalación. Para revisar la lista completa de roles y los requisitos de permisos, consulte Permisos mínimos requeridos para la instalación y los servicios de Microsoft Dynamics 365.
Al implementar una infraestructura hospedada de Dynamics 365 Customer Engagement (on-premises), es posible que dos de estos roles requieran una mayor consideración:
Servicio web de implementación
Servicio de aplicaciones
En situaciones de granjas de servidores web, como es el caso de las ofertas hospedadas, se recomienda dejar la autenticación de modo kernel habilitada. Además, debería considerar el uso de cuentas de usuario de dominio independientes para ejecutar estos servicios porque:
Si tiene cuentas de servicio independientes para tales roles de servidor, esto facilita la implementación del equilibrio de carga del hardware.
El rol de servidor del servicio web de implementación requiere permisos elevados para aprovisionar las organizaciones en la base de datos de Customer Engagement. Si desea adherirse a un modelo con menos privilegios, el enfoque más seguro para implementar los SPN en una infraestructura hospedada de Dynamics 365 Customer Engagement (on-premises) implica tener el Deployment Web Service ejecutándose en una cuenta de usuario de dominio distinta de la del servicio de aplicación.
Si sigue esta recomendación de usar cuentas de dominio independientes para estos roles de servidor, debería asegurarse de que el SPN sea correcto para cada cuenta antes de iniciar la instalación de Dynamics 365 Server. De esta forma, le resultará más fácil establecer el SPN correcto cuando sea necesario.
Si se habilita la autenticación de modo kernel, se definirán los SPN para la cuenta del equipo, independientemente de la cuenta de servicio especificada. Al implementar una granja de servidores web, habilite la autenticación de modo kernel y cambie el archivo ApplicationHost.config local.
Si los servicios web de aplicación e implementación se ejecutan en el mismo sistema, y la autenticación de modo kernel está deshabilitada, podrá configurar los dos servicios para que se ejecuten bajo la misma cuenta de usuario de dominio para evitar problemas de SPN duplicados. Si la autenticación de modo kernel no se puede habilitar, instale los servicios web de aplicación e implementación en sistemas distintos. Es posible que los SPN aún tengan que crearse manualmente, ya que la autenticación de modo kernel está deshabilitada.
Vea también
Consideraciones de seguridad para Microsoft Dynamics 365
Procedimientos recomendados de administración de Microsoft Dynamics 365