Meilleures pratiques d'administration pour les déploiements locaux de Microsoft Dynamics 365
Date de publication : janvier 2017
S’applique à : Dynamics 365 (on-premises), Dynamics CRM 2016
En respectant quelques règles d'administration simples, vous pouvez améliorer sensiblement la sécurité de votre déploiement local de Microsoft Dynamics 365 :
Généralement, il n'est pas nécessaire que les utilisateurs Dynamics 365 possèdent des privilèges administratifs sur le domaine. Dès lors, tous les comptes d'utilisateur Dynamics 365 doivent être limités aux privilèges accordés au type de compte Utilisateurs de domaine. En outre, en appliquant le principe de limitation des privilèges, quiconque utilise le système Dynamics 365ne doit posséder que les droits strictement nécessaires. Cela commence au niveau du domaine. Un compte d’utilisateur de domaine doit être créé et utilisé pour exécuter Dynamics 365. Les comptes d’administrateur de domaine ne doivent jamais être utilisés pour exécuter Dynamics 365.
Limitez le nombre de rôles Microsoft Dynamics 365Administrateur de déploiement et Administrateur système aux seules personnes chargées des modifications de règles. Les administrateurs de SQL Server, Microsoft Exchange Server ou Active Directory n'ont pas à être membres du groupe d'utilisateurs Dynamics 365.
Assurez-vous qu'au moins deux ou trois personnes de confiance bénéficient du rôle d'Administrateur de déploiement. Ceci permet d'éviter le verrouillage du système si l'Administrateur de déploiement principal n'est pas disponible.
Dans certaines organisations, il est courant de réutiliser des mots de passe dans différents systèmes et domaines. Ainsi, un administrateur responsable de deux domaines peut créer dans les deux des comptes d’administrateur qui utilisent le même mot de passe, voire définir des mots de passe d’administrateur local sur des ordinateurs de domaine qui sont identiques dans tout le domaine. Dans un tel cas, si un seul compte ou ordinateur venait à être compromis, c'est la sécurité de tout le domaine qui serait en jeu. Les mots de passe ne peuvent jamais être utilisés de la sorte.
Il est également assez habituel d’utiliser les comptes Administrateurs de domaine comme comptes de services courants tels que les systèmes de sauvegarde. Toutefois, l’utilisation de comptes Administrateurs de domaine comme comptes de service présente un risque de sécurité. Il est très facile pour quiconque possède des droits administratifs sur l'ordinateur, de récupérer le mot de passe. En conséquence, si un ordinateur est compromis, tout le domaine peut l'être. Les comptes de service ne doivent jamais être des comptes Administrateurs de domaine et doivent, dans la mesure du possible, disposer de privilèges limités.
Un compte d’utilisateur de domaine spécifié pour exécuter un service Microsoft Dynamics 365 ne doit pas être aussi configuré comme utilisateur Dynamics 365. Cela peut entraîner un comportement inattendu de l'application.
Voir aussi
Considérations relatives à la sécurité pour Microsoft Dynamics 365
Bonnes pratiques de sécurité pour Microsoft Dynamics 365
Ports réseau pour Microsoft Dynamics 365
Concepts de sécurité pour Microsoft Dynamics 365
© 2017 Microsoft. Tous droits réservés. Copyright