Consideraciones de seguridad para Microsoft Dynamics 365
Publicado: enero de 2017
Se aplica a: Dynamics 365 (on-premises), Dynamics CRM 2016
Microsoft Dynamics 365 está diseñado de una forma que aporta más seguridad a su implementación. En esta sección se ofrece información y las prácticas recomendadas para la aplicación de Microsoft Dynamics 365.Más información:Conceptos de seguridad para Microsoft Dynamics 365
En este tema
¿Qué tipo de cuenta de servicio debo elegir?
Permisos mínimos requeridos para la instalación y los servicios de Microsoft Dynamics CRM
Archivos de instalación de Microsoft Dynamics CRM
¿Qué tipo de cuenta de servicio debo elegir?
Cuando se especifica una identidad para ejecutar un servicio de Microsoft Dynamics 365, puede seleccionar una cuenta de usuario de dominio o la cuenta de servicio de red.
Si el servicio interactúa con los servicios de red, accede a recursos de dominio como recursos compartidos de archivos o si usa las conexiones de servidor vinculadas con otros equipos, puede usar una cuenta de dominio con privilegios mínimos. Muchas actividades entre servidores se pueden realizar solo con una cuenta de usuario de dominio y pueden proporcionar la opción sea más segura. La administración de dominios de su entorno debe crear previamente esta cuenta.
Nota
Cuando se configura un servicio para usar una cuenta de dominio, puede aislar los privilegios de la aplicación, pero debe administrar manualmente contraseñas o crear una solución personalizada para administrar estas contraseñas. Muchas aplicaciones de servidor siguen esta estrategia para mejorar la seguridad, pero esta estrategia requiere administración y complejidad adicionales. En estas implementaciones, los administradores de servicio dedican un período de tiempo considerable a tareas de mantenimiento como administrar las contraseñas de servicio y nombres de entidades de seguridad de servicio (SPN), que son necesarios para la autenticación Kerberos. Además, estas tareas de mantenimiento pueden interrumpir el servicio.
La cuenta de servicio de red es una cuenta integrada que tiene un mayor acceso a los recursos y objetos que los integrantes del grupo de usuarios de dominio. Los servicios que se ejecutan como recursos de red de acceso de la cuenta de servicio de red utilizando las credenciales de la cuenta del equipo en el formato <nombre_de_dominio>\<nombre_del_equipo>$. El nombre real de la cuenta es NT AUTHORITY\NETWORK SERVICE.
Permisos mínimos requeridos para la instalación y los servicios de Microsoft Dynamics CRM
Microsoft Dynamics 365 está diseñado para que sus características se puedan ejecutar con identidades diferentes. Para aumentar la seguridad del sistema y reducir las probabilidades de abuso, especifique una cuenta de usuario que solo tenga los permisos necesarios para habilitar el funcionamiento de una característica determinada.
En este tema se describen los permisos mínimos que necesita la cuenta de usuario para los servicios y características de Microsoft Dynamics 365.
Programa de instalación de Microsoft Dynamics CRM Server 2016
La cuenta de usuario utilizada para ejecutar el Microsoft Dynamics CRM Server 2016Programa de instalación, que incluye la creación de bases de datos, necesita los permisos mínimos siguientes:
Pertenecer al grupo Usuarios del dominio de Active Directory. De forma predeterminada, Usuarios y equipos de Active Directory agrega nuevos usuarios al grupo Usuarios del dominio.
Pertenecer al grupo de Administradores en el equipo local donde se está ejecutando el programa de instalación.
Tener permisos de lectura y escritura en la carpeta local Archivos de programa
Pertenecer al grupo de Administradores en el equipo local donde se encuentra la instancia de SQL Server que se usará para almacenar las bases de datos de Microsoft Dynamics 365
Ser integrante sysadmin en la instancia de SQL Server que se usará para almacenar las bases de datos de Microsoft Dynamics 365.
Tener permiso para crear unidades organizativas y grupos de seguridad y agregar pertenencia para los grupos de Active Directory. También puede usar un archivo de configuración XML del programa de instalación para instalar Microsoft Dynamics CRM Server 2016 cuando los grupos de seguridad ya hayan sido creados. Para obtener más información, vea Utilice el símbolo del sistema para instalar Microsoft Dynamics Server 365.
Si Microsoft SQL Server Reporting Services está instalado en un servidor diferente, deberá agregar el rol Administrador de contenido en el nivel de raíz para la cuenta de usuario de instalación. También deberá agregar el Rol de administrador del sistema en el nivel de ubicaciones para la cuenta de usuario de instalación.
Permisos de servicios de Microsoft Dynamics 365e identidad del grupo de aplicaciones de IIS
En esta sección se indican cuáles son los permisos mínimos que las cuentas de usuario de dominio requieren para los servicios y los grupos de aplicaciones de IIS que utiliza Microsoft Dynamics 365.
Importante
-
Los servicios de Microsoft Dynamics 365 y las cuentas de identidad del grupo de aplicaciones (CRMAppPool) no deben configurarse como un usuario de Microsoft Dynamics 365. Hacerlo podría provocar problemas de autenticación y un comportamiento inesperado en la aplicación para todos los usuarios de Microsoft Dynamics 365.Más información:Problemas en CRM cuando la cuenta de usuario CRMAppPool es un usuario de CRM.
-
Las cuentas de servicio administradas (cuentas de servicio administradas por grupos (gMSA) o cuentas de servicio administradas individualmente) y las cuentas virtuales (NT SERVICE\,<SERVICENAME>) no se admiten para ejecutar servicios de Microsoft Dynamics 365.
Las siguientes subsecciones describen los permisos de las cuentas de usuario de dominio necesarios para cada identidad del servicio o el grupo de aplicaciones:
Microsoft Dynamics 365 Servicio de procesamiento de espacios aislados
Servicios (mantenimiento) Servicio de procesamiento asincrónico de Microsoft Dynamics 365 y Servicio de procesamiento asincrónico de Microsoft Dynamics 365
Microsoft Dynamics 365 Servicio de supervisión
Servicio VSS Writer de Microsoft Dynamics 365.
Servicio web de implementación (identidad del grupo de aplicaciones CRMDeploymentServiceAppPool)
Servicio de aplicación (identidad del grupo de aplicaciones CRMAppPool de IIS)
Microsoft Dynamics 365 Servicio de procesamiento de espacios aislados
Pertenencia a Usuarios de dominio.
Debe concederse el permiso Inicio de sesión como servicio a esa cuenta en la directiva de seguridad local.
Permisos de lectura y escritura en la carpeta Trace, que se encuentra de forma predeterminada en \Archivos de programa\Microsoft Dynamics 365\Trace y en la carpeta %AppData% de la cuenta de usuario en el equipo local.
Permisos de lectura en la subclave HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSCRM del Registro de Windows.
La cuenta de servicio podría necesitar un SPN para la dirección URL usada para acceder al sitio web que está asociado a ella. Para establecer el SPN para la cuenta de Servicio de procesamiento de espacios aislados, ejecute el comando siguiente en el símbolo del sistema del equipo donde se ejecuta el servicio.
SETSPN –a MSCRMSandboxService/<ComputerName> <service account>
Servicios (mantenimiento) Servicio de procesamiento asincrónico de Microsoft Dynamics 365 y Servicio de procesamiento asincrónico de Microsoft Dynamics 365
Pertenencia a Usuarios de dominio.
Pertenencia a PrivUserGroup y SQLAccessGroup. De forma predeterminada, estos grupos se crean y se les concede la pertenencia adecuada durante Programa de instalación de Microsoft Dynamics CRM Server.
Suscripción a grupo local integrado Usuarios del registro de rendimiento.
Debe concederse el permiso Inicio de sesión como servicio a esa cuenta en la directiva de seguridad local.
Permisos de lectura y escritura en las siguientes carpetas.
La carpeta Trace. De forma predeterminada se encuentra en \Program Files\Microsoft Dynamics CRM\, y la carpeta de cuenta de usuario %AppData% en el equipo local.
La carpeta CustomizationImport. De forma predeterminada se encuentra en \Program Files\Microsoft Dynamics CRM\. Esto se puede requerir para la importación de la solución cuando se usa SDK de Microsoft Dynamics 365.
Todos los permisos de acceso excepto Control completo y DAC escritura en las subclaves HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSCRM y HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\MSCRMSandboxService en Registro de Windows.
La cuenta de servicio podría necesitar un SPN para la dirección URL usada para acceder al sitio web que está asociado a ella. Para establecer el SPN para la cuenta de Servicio asincrónico, ejecute el comando siguiente en el símbolo del sistema del equipo donde se ejecuta el servicio.
SETSPN –a MSCRMAsyncService/<ComputerName> <service account>
Microsoft Dynamics 365 Servicio de supervisión
Pertenencia a Usuarios de dominio.
Debe concederse el permiso Logon as service a esa cuenta en la directiva de seguridad local.
Si el Servicio de supervisión de Microsoft Dynamics 365 se instala con un rol de servidor de Servidor front-end, la pertenencia al grupo local de administradores en el equipo donde se ejecuta el servicio es necesaria para supervisar el sitio web y grupos de aplicaciones.Más información:Roles de servidor individuales disponibles
Permiso de lectura en HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSCRM
Pertenencia a SQLAccessGroup. De forma predeterminada, este grupo se crea y se le concede la pertenencia adecuada durante Programa de instalación de Microsoft Dynamics CRM Server.
La cuenta de servicio podría necesitar un SPN para la dirección URL usada para acceder al sitio web que está asociado a ella.
Servicio VSS Writer de Microsoft Dynamics 365.
Pertenencia a Usuarios de dominio.
Debe concederse el permiso Logon as service a esa cuenta en la directiva de seguridad local.
Permiso de lectura en HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSCRM
Pertenencia a PrivUserGroup y SQLAccessGroup. De forma predeterminada, estos grupos se crean y se les concede la pertenencia adecuada durante Programa de instalación de Microsoft Dynamics CRM Server.
Servicio web de implementación (identidad del grupo de aplicaciones CRMDeploymentServiceAppPool)
Pertenencia a Usuarios de dominio.
Debe concederse el permiso Logon as service a esa cuenta en la directiva de seguridad local.
La pertenencia al grupo de administradores locales en el equipo donde se ejecuta SQL Server es necesaria para realizar operaciones de bases de datos de organización (como crear una organización nueva o importarla).
Pertenencia al grupo local de administradores en el equipo donde se ejecuta el Servicio web de implementación.
Permiso de Sysadmin en la instancia de SQL Server que se usará para las bases de datos de configuración y organización.
Permiso de lectura y escritura en las carpetas Trace y CRMWeb, que se encuentra de forma predeterminada en \Program Files\Microsoft Dynamics CRM\ y la carpeta %AppData% de la cuenta de usuario en el equipo local.
Todos los permisos de acceso excepto Control completo y DAC escritura en las subclaves HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSCRM y HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\MSCRMSandboxService en Registro de Windows.
Pertenencia a PrivUserGroup y SQLAccessGroup. De forma predeterminada, estos grupos se crean y se les concede la pertenencia adecuada durante Programa de instalación de Microsoft Dynamics CRM Server.
Pertenencia al grupo CRM_WPG. Este grupo se usa para los procesos de trabajo de IIS. Durante la Programa de instalación de Microsoft Dynamics CRM Server se crea el grupo y se agrega la pertenencia.
La cuenta de servicio podría necesitar un SPN para la dirección URL usada para acceder al sitio web que está asociado a ella.
Servicio de aplicación (identidad del grupo de aplicaciones CRMAppPool de IIS)
Pertenencia al grupo Usuarios del dominio.
Suscripción a grupo local integrado Usuarios del registro de rendimiento.
Permiso de lectura y escritura en las carpetas Trace y CRMWeb, que se encuentra de forma predeterminada en \Program Files\Microsoft Dynamics CRM\ y la carpeta %AppData% de la cuenta de usuario en el equipo local.
Todos los permisos de acceso excepto Control completo y DAC escritura en las subclaves HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSCRM y HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\MSCRMSandboxService en Registro de Windows.
Pertenencia al grupo CRM_WPG. Este grupo se usa para los procesos de trabajo de IIS. Durante el Programa de instalación de Microsoft Dynamics CRM Server se crea el grupo y se agrega la pertenencia.
La cuenta de servicio podría necesitar un SPN para la dirección URL usada para acceder al sitio web que está asociado a ella.
Identidades de grupo de aplicaciones de ISS que se ejecutan con autenticación de modo kernel y SPN
De forma predeterminada, los sitios web de IIS están configurados para que usen la autenticación de modo kernel. Es posible que, al ejecutar el sitio web Microsoft Dynamics 365 mediante la autenticación de modo kernel, no necesite configurar nombres de entidad de seguridad de servicio (SPN) para las identidades de CRMAppPool.
Para determinar si su implementación de IIS requiere SPN, vea el tema de la lista de comprobación de Nombre de entidad de seguridad de servicio (SPN) para la autenticación Kerberos con IIS 7.0/7.5.
Archivos de instalación de Microsoft Dynamics CRM
Si tiene previsto instalar Microsoft Dynamics CRM 2016 desde una ubicación de la red (por ejemplo, un recurso compartido de red), debe asegurarse de que se aplican los permisos adecuados a la carpeta donde se ubican los archivos de instalación, preferiblemente en un volumen NTFS. Por ejemplo, quizás desee otorgar permisos en la carpeta solo a los miembros del grupo Administradores de dominio. De esta forma, ayuda a reducir el riesgo de ataques contra los archivos de instalación que pudieran ponerlos en riesgo o modificarlos. Para obtener más información acerca de cómo establecer permisos para archivos y carpetas en el sistema operativo Windows, consulte la Ayuda de Windows.
Ver también
Planeamiento de la implementación de Microsoft Dynamics 365
Prácticas recomendadas de seguridad de Microsoft Dynamics 365
Prácticas recomendadas de administración para implementaciones locales de Microsoft Dynamics 365
Puertos de red para Microsoft Dynamics 365
Roles de servidor de Microsoft Dynamics 365
© 2017 Microsoft. Todos los derechos reservados. Copyright