Considérations relatives à la sécurité pour Dynamics 365 Customer Engagement (on-premises)

Article
12/13/2024

Dynamics 365 Customer Engagement (on-premises) est conçu de manière à rendre votre déploiement plus sécurisé. Cette section fournit des informations et répertorie les meilleures pratiques pour l’application Dynamics 365 Customer Engagement (on-premises). Plus d’informations : Vue d’ensemble de la sécurité de Microsoft Dynamics 365

Quel type compte de service dois-je choisir ?

Lorsque vous spécifiez une identité pour exécuter un service Dynamics 365 Customer Engagement (on-premises), vous pouvez choisir un compte d’utilisateur de domaine ou le compte Service Réseau.

Si le service interagit avec les services réseau, accès aux ressources de domaine comme des partages de fichiers ou s’il utilise des connexions à des serveurs liés à d’autres ordinateurs, vous pouvez utiliser un compte de domaine à peu de privilèges. De nombreuses activités de serveur à serveur peuvent être exécutées uniquement avec un compte d’utilisateur de domaine et offrent l’option la plus sécurisée. Ce compte doit être pré-créé par l’administrateur de domaine de votre environnement.

Note

Lorsque vous configurez un service pour utiliser un compte de domaine, vous pouvez isoler les privilèges de l’application, mais vous devez gérer manuellement les mots de passe ou créer une solution personnalisée pour gérer ces mots de passe. De nombreuses applications serveur utilisent cette stratégie pour améliorer la sécurité, mais cette stratégie nécessite une administration et une complexité supplémentaires. Dans ces déploiements, les administrateurs de service passent un temps considérable sur les tâches de maintenance comme la gestion des mots de passe et des noms principaux de services (SPN), qui sont requis pour l’authentification Kerberos. En outre, ces tâches de maintenance peuvent perturber le service.

Le compte Service Réseau est un compte intégré qui offre plus d’accès aux ressources et aux objets que des membres du groupe Utilisateurs du domaine. Les services s’exécutant comme le compte Service Réseau accèdent aux ressources réseau à l’aide des informations d’identification du compte ordinateur au format <domain_name>\<computer_name>$. Le nom actuel du compte est NT AUTHORITY\NETWORK SERVICE.

Autorisations minimales requises pour le programme d’installation et les services Microsoft Dynamics 365

Dynamics 365 Customer Engagement (on-premises) a été conçu de sorte que ses fonctions puissent s’exécuter sous des entités distinctes. En spécifiant un compte d’utilisateur de domaine ne disposant que des autorisations nécessaires pour activer une fonction spécifique, vous renforcez la sécurité du système et réduisez le risque d’une utilisation abusive.

Cette rubrique décrit les autorisations minimales requises par le compte d’utilisateur pour les services et fonctions Dynamics 365 Customer Engagement (on-premises).

Programme d’installation de Microsoft Dynamics CRM Server

Le compte d’utilisateur utilisé pour exécuter le programme d’installation de Dynamics 365 Server qui inclut la création de bases de données requiert les autorisations minimales suivantes :

Être membre du groupe Administrateurs du domaine Active Directory. Par défaut, Utilisateurs et ordinateurs Active Directory ajoute de nouveaux utilisateurs au groupe Utilisateurs du domaine.
Être un membre du groupe Administrateurs sur l’ordinateur local où le programme d’installation s’exécute.
Avoir les autorisations en lecture et en écriture sur le dossier des fichiers programmes locaux.
Être un membre du groupe Administrateurs sur l’ordinateur local où l’instance SQL Server est située et qui est utilisée pour stocker les bases de données Dynamics 365 Customer Engagement (on-premises).
Avoir l’appartenance sysadmin sysadmin sur l’instance SQL Server utilisée pour stocker les bases de données Dynamics 365 Customer Engagement (on-premises).
Disposer de l’autorisation de création d’unités d’organisation et de groupes de sécurité et d’ajout de membres à ces groupes dans Active Directory. Vous pouvez également utiliser un fichier de configuration Setup XML pour installer Dynamics 365 Server si les groupes de sécurité ont déjà été créés. Pour plus d’informations, voir Utiliser l’invite de commandes pour installer Microsoft Dynamics 365.
Si SQL Server Reporting Services est installé sur un autre serveur, vous devez ajouter le rôle Gestionnaire de contenu à la racine du compte d’utilisateur qui effectue l’installation. Vous devez également ajouter le rôle Administrateur système au niveau du site du compte d’utilisateur qui effectue l’installation.

Autorisations des services Microsoft Dynamics 365 et de l’identité du pool d’applications IIS

Cette section répertorie les autorisations minimales nécessaires aux comptes d’utilisateur de domaine pour les services et les pools d’applications IIS que Dynamics 365 Customer Engagement (on-premises) utilise.

Important

Les comptes d’identité des services et des pools d’applications Dynamics 365 Customer Engagement (on-premises) (CRMAppPool) ne doivent pas être configurés en tant qu’utilisateur Dynamics 365 Customer Engagement (on-premises). Cela pourrait entraîner des problèmes d’authentification et un comportement inattendu de l’application pour tous les utilisateurs Dynamics 365 Customer Engagement (on-premises). Plus d’informations : Problèmes avec CRM lorsque le compte d’utilisateur CRMAppPool est un utilisateur CRM
Les comptes de services gérés (comptes de services gérés en tant que groupes (gMSA) ou comptes de services gérés seuls) et les comptes virtuels (NT SERVICE\,<NOM SERVICE>) ne sont pas pris en charge pour l’exécution des services Dynamics 365 Customer Engagement (on-premises).

Les sous-sections suivantes décrivent les autorisations de compte d’utilisateur de domaine requises pour chaque service ou identité de pool d’applications :

Service de traitement Bac à sable (sandbox) Microsoft Dynamics 365

Services Service de traitement asynchrone Microsoft Dynamics 365 et Service de traitement asynchrone Microsoft Dynamics 365 (maintenance)

Service de surveillance Microsoft Dynamics 365

Service Enregistreur VSS Microsoft Dynamics 365

Service Web de déploiement (identité du pool d’applications CRMDeploymentServiceAppPool)

Service d’application (Identité du pool d’applications IIS CRMAppPool)

Service de traitement Bac à sable (sandbox) Microsoft Dynamics 365

Membres utilisateurs du domaine.
Ce compte doit disposer de l’autorisation Ouvrir une session en tant que service dans la stratégie de sécurité locale.
Autorisations en lecture et en écriture sur le dossier Suivi, situé par défaut sous \Program Files\Microsoft Dynamics 365\Trace, et sur les dossiers %AppData% du compte d’utilisateur sur l’ordinateur local.
Autorisation en lecture sur la sous-clé HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSCRM dans le Registre Windows.
Le compte de service peut avoir besoin d’un SPN pour l’URL permettant d’accéder au site Web qui lui est associé. Pour définir ce SPN pour le compte Service de traitement Bac à sable (sandbox), exécutez la commande suivante à partir d’une invite de commandes sur l’ordinateur où s’exécute le service.

SETSPN –a MSCRMSandboxService/<ComputerName> <service account>

Service de traitement asynchrone Microsoft Dynamics 365 et services (maintenance) du Service de traitement asynchrone Microsoft Dynamics 365

Membres utilisateurs du domaine.
Membre de PrivUserGroup et SQLAccessGroup. Par défaut, ces groupes sont créés et l’appartenance adéquate est accordée pendant l’exécution du programme d’installation de Microsoft Dynamics 365 Server.
Membre utilisateurs du journal de performances du groupe local intégré.
Ce compte doit disposer de l’autorisation Ouvrir une session en tant que service dans la stratégie de sécurité locale.
Autorisation en lecture et en écriture sur les dossiers suivants.
- Dossier Trace. Il se trouve par défaut sous \Program Files\Microsoft Dynamics CRM\, et sur le dossier %AppData% du compte d’utilisateur sur l’ordinateur local.
- Dossier CustomizationImport. Il se trouve par défaut sous \Program Files\Microsoft Dynamics CRM\. Cela peut être nécessaire pour l’importation de la solution lorsque vous utilisez les services Web Dynamics 365 Customer Engagement.
Toutes les autorisations d’accès sauf Contrôle total et Accès en écriture à la liste de contrôle d’accès aux sous-clés HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSCRM et HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\MSCRMSandboxService du Registre Windows.
Le compte de service peut avoir besoin d’un SPN pour l’URL permettant d’accéder au site Web qui lui est associé. Pour définir ce SPN pour le compte Service asynchrone, exécutez la commande suivante à partir d’une invite de commandes sur l’ordinateur où s’exécute le service.

SETSPN –a MSCRMAsyncService/<ComputerName> <service account>

Service de surveillance Microsoft Dynamics 365

Membres utilisateurs du domaine.
Ce compte doit disposer de l’autorisation Logon as service dans la stratégie de sécurité locale.
Si le service de surveillance Microsoft Dynamics 365 est installé avec un rôle serveur Serveur frontal, l’appartenance au groupe d’administrateurs locaux sur l’ordinateur où s’exécute le service est nécessaire pour surveiller les groupes de sites Web et d’applications. Plus d’informations : Rôles serveur individuels disponibles
Autorisation de lecture sur HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSCRM
Membre de SQLAccessGroup. Par défaut, ce groupe est créé et l’appartenance adéquate est accordée pendant l’exécution du programme d’installation de Microsoft Dynamics 365 Server.
Le compte de service peut avoir besoin d’un SPN pour l’URL permettant d’accéder au site Web qui lui est associé.

Service Enregistreur VSS Microsoft Dynamics 365

Membres utilisateurs du domaine.
Ce compte doit disposer de l’autorisation Logon as service dans la stratégie de sécurité locale.
Ce compte doit être membre du groupe Backup Operators sur le serveur hébergeant ce service.
Autorisation de lecture sur HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSCRM
Membre de PrivUserGroup et SQLAccessGroup. Par défaut, ces groupes sont créés et l’appartenance adéquate est accordée pendant l’exécution du programme d’installation de Microsoft Dynamics 365 Server.

Service Web de déploiement (identité du pool d’applications CRMDeploymentServiceAppPool)

Membres utilisateurs du domaine.
Ce compte doit disposer de l’autorisation Logon as service dans la stratégie de sécurité locale.
L’appartenance au groupe d’administrateurs locaux sur l’ordinateur sur lequel SQL Server est installé est nécessaire pour réaliser des opérations sur la base de données de l’organisation (par exemple, importer une organisation ou en créer une nouvelle).
L’appartenance au groupe des administrateurs locaux sur l’ordinateur où le Service Web de déploiement s’exécute.
Autorisation Sysadmin sur l’instance SQL Server à utiliser pour la configuration et les bases de données de l’organisation.
Autorisations en lecture et en écriture sur les dossiers Trace et CRMWeb, situés par défaut sous \Program Files\Microsoft Dynamics CRM\, et sur le dossier %AppData% du compte d’utilisateur sur l’ordinateur local.
Toutes les autorisations d’accès sauf Contrôle total et Accès en écriture à la liste de contrôle d’accès aux sous-clés HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSCRM et HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\MSCRMSandboxService du Registre Windows.
Membre de PrivUserGroup et SQLAccessGroup. Par défaut, ces groupes sont créés et l’appartenance adéquate est accordée pendant l’exécution du programme d’installation de Microsoft Dynamics 365 Server.
Membre du groupe CRM_WPG. Ce groupe est utilisé pour les processus de travail IIS. Ce groupe est créé et le membre ajouté pendant l’exécution du programme d’installation de Microsoft Dynamics 365 Server.
Le compte de service peut avoir besoin d’un SPN pour l’URL permettant d’accéder au site Web qui lui est associé.

Service d’application (Identité du pool d’applications IIS CRMAppPool)

Membres du groupe d’utilisateurs de domaine.
Membre utilisateurs du journal de performances du groupe local intégré.
Membre du groupe Administrateurs locaux sur l’ordinateur où le service application s’exécute.
Autorisations en lecture et en écriture sur les dossiers Trace et CRMWeb, situés par défaut sous \Program Files\Microsoft Dynamics CRM\, et sur le dossier %AppData% du compte d’utilisateur sur l’ordinateur local.
Toutes les autorisations d’accès sauf Contrôle total et Accès en écriture à la liste de contrôle d’accès aux sous-clés HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSCRM et HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\MSCRMSandboxService du Registre Windows.
Membre de PrivUserGroup et SQLAccessGroup. Par défaut, ces groupes sont créés et l’appartenance adéquate est accordée pendant l’exécution du programme d’installation de Microsoft Dynamics 365 Server.
Membre du groupe CRM_WPG. Ce groupe est utilisé pour les processus de travail IIS. Ce groupe est créé et le membre ajouté pendant l’exécution du programme d’installation de Microsoft Dynamics 365 Server.
Le compte de service peut avoir besoin d’un SPN pour l’URL permettant d’accéder au site Web qui lui est associé.

Noms de principal du service et identités du pool d’applications IIS s’exécutant sous une authentification du mode noyau

Par défaut, les sites Web IIS sont configurés pour utiliser une authentification du mode noyau. Lorsque vous exécutez le site Web Dynamics 365 Customer Engagement (on-premises) à l’aide de l’authentification du mode noyau, il ne sera peut-être pas nécessaire de configurer des noms de principal du service (SPN) supplémentaires pour les identités CRMAppPool.

Pour plus d’informations sur l’affichage, la suppression et l’enregistrement des SPN à l’aide de SetSPN.exe, consultez la section Syntaxe SetSPN des noms principaux de service (SPN) .

Fichiers d’installation Microsoft Dynamics 365

Si vous prévoyez d’installer Dynamics 365 depuis un emplacement réseau, tel qu’un partage réseau, vous devez vous assurer que des autorisations appropriées sont appliquées au dossier, de préférence sur un volume NTFS, où les fichiers d’installation sont situés. Par exemple, vous pouvez attribuer des autorisations sur ce dossier uniquement aux membres du groupe Admins du domaine. Cette pratique peut contribuer à réduire le risque d’attaques sur les fichiers d’installation qui pourraient les endommager ou les corrompre. Pour plus d’informations sur la définition d’autorisations sur des fichiers et des dossiers dans le système d’exploitation Windows, consultez l’aide Windows.

Voir aussi

Planification de votre déploiement de Microsoft Dynamics 365
Meilleures pratiques de sécurité Microsoft Dynamics 365

Partager via

Considérations relatives à la sécurité pour Dynamics 365 Customer Engagement (on-premises)

Quel type compte de service dois-je choisir ?

Autorisations minimales requises pour le programme d’installation et les services Microsoft Dynamics 365

Programme d’installation de Microsoft Dynamics CRM Server

Autorisations des services Microsoft Dynamics 365 et de l’identité du pool d’applications IIS

Service de traitement Bac à sable (sandbox) Microsoft Dynamics 365

Service de traitement asynchrone Microsoft Dynamics 365 et services (maintenance) du Service de traitement asynchrone Microsoft Dynamics 365

Service de surveillance Microsoft Dynamics 365

Service Enregistreur VSS Microsoft Dynamics 365

Service Web de déploiement (identité du pool d’applications CRMDeploymentServiceAppPool)

Service d’application (Identité du pool d’applications IIS CRMAppPool)

Noms de principal du service et identités du pool d’applications IIS s’exécutant sous une authentification du mode noyau

Fichiers d’installation Microsoft Dynamics 365

Voir aussi

Commentaires

Ressources supplémentaires