Condividi tramite


Considerazioni sulla sicurezza per Microsoft Dynamics CRM

 

Data di pubblicazione: novembre 2016

Si applica a: Dynamics CRM 2015

Microsoft Dynamics 365 è progettato in modo da rendere la distribuzione più sicura. In questa sezione sono disponibili informazioni e procedure consigliate per l'applicazione Microsoft Dynamics 365.Ulteriori informazioni:Concetti relativi alla sicurezza per Microsoft Dynamics CRM

In questo argomento

Quale tipo di account di servizio è consigliabile scegliere?

Autorizzazioni minime necessarie per l'installazione e i servizi di Microsoft Dynamics CRM

File di installazione di Microsoft Dynamics CRM

Quale tipo di account di servizio è consigliabile scegliere?

Quando viene specificata un'identità per eseguire un servizio Microsoft Dynamics 365, è possibile scegliere un account utente di dominio oppure l'account del servizio di rete.

Se il servizio interagisce con i servizi di rete, accede alle risorse di dominio come le condivisioni di file o se utilizza le connessioni al server collegate in altri computer, è possibile utilizzare un account di dominio con privilegi minimi. Molti impegni tra server possono essere eseguiti solo con un account utente di dominio e possono offrire l'opzione più sicura. L'account deve essere creato in precedenza dall'amministrazione di dominio nell'ambiente.

Nota

Quando viene configurato un servizio per utilizzare un account di dominio, è possibile isolare i privilegi per l'applicazione, ma è necessario gestire manualmente le password oppure creare una soluzione personalizzata per la gestione di queste password. Molte applicazioni server utilizzano questa strategia per migliorare la protezione, ma questa strategia richiede un'ulteriore amministrazione e complessità. In queste distribuzioni, gli amministratori di servizio impiegano un tempo considerevole in attività di manutenzione come la gestione delle password di servizio e dei nomi SPN necessari per l'autenticazione Kerberos. Inoltre, le attività di manutenzione possono interrompere il servizio.

L'account del servizio di rete è un account predefinito che ha più accesso alle risorse e agli oggetti rispetto ai membri del gruppo degli utenti di dominio. I servizi in esecuzione come account del servizio di rete accedono alle risorse di rete utilizzando le credenziali dell'account del computer nel formato <domain_name>\<computer_name>$. Il nome effettivo dell'account è NT AUTHORITY\NETWORK SERVICE.

Autorizzazioni minime necessarie per l'installazione e i servizi di Microsoft Dynamics CRM

Microsoft Dynamics 365 è progettato in modo che le relative funzioni vengano eseguite con identità distinte. Se si specifica un account utente di dominio a cui sono concesse solo le autorizzazioni necessarie per abilitare un funzionamento particolare di una funzionalità specifica, è possibile proteggere il sistema e ridurre la probabilità di exploit.

In questo argomento vengono descritte le autorizzazioni minime richieste dall'account utente per i servizi e le funzionalità di Microsoft Dynamics 365.

Installazione del server Microsoft Dynamics CRM

L'account utente utilizzato per eseguire il programma di Installazione server Microsoft Dynamics CRM che include la creazione dei database richiede le autorizzazioni minime seguenti:

  • Appartenere al gruppo Domain Users di Active Directory. Per impostazione predefinita, Utenti e computer di Active Directory aggiunge nuovi utenti al gruppo Domain Users.

  • Appartenere al gruppo Administrators nel computer locale in cui viene eseguito il programma di installazione.

  • Disporre delle autorizzazioni di lettura e scrittura per la cartella Programmi locale.

  • Appartenere al gruppo degli amministratori nel computer locale in cui si trova l'istanza di SQL Server che verrà utilizzata per archiviare i database di Microsoft Dynamics 365.

  • Appartenere al ruolo sysadmin per l'istanza di SQL Server che verrà utilizzata per archiviare i database di Microsoft Dynamics 365.

  • Disporre dell'autorizzazione per la creazione di unità organizzative e gruppi di sicurezza e aggiungere le autorizzazioni di appartenenza ai gruppi in Active Directory. In alternativa è possibile utilizzare un file di configurazione XML per l'installazione del Server Microsoft Dynamics CRM dopo la creazione dei gruppi di sicurezza. Per ulteriori informazioni, vedere Utilizzare il prompt dei comandi per installare Server Microsoft Dynamics CRM nella Guida all'installazione.

  • Se Microsoft SQL Server Reporting Services è installato in un server diverso, è necessario aggiungere il ruolo Gestore contenuto al livello radice per l'installazione dell'account utente. È inoltre necessario aggiungere il Ruolo di amministratore di sistema a livello dell'intero sito per l'installazione dell'account utente.

Autorizzazioni per i servizi di Microsoft Dynamics CRM e l'identità del pool di applicazioni di IIS

In questa sezione vengono elencate le autorizzazioni minime che gli account utente di dominio richiedono per i servizi e i pool di applicazione IIS utilizzati da Microsoft Dynamics 365.

Importante

  • Gli account di identità del pool di applicazioni (CRMAppPool) e dei servizi di Microsoft Dynamics 365 non devono essere configurati come utente di Microsoft Dynamics 365. In caso contrario, possono verificarsi problemi di autenticazione e comportamenti imprevisti nell'applicazione per tutti gli utenti di Microsoft Dynamics 365.Ulteriori informazioni:Problemi in CRM se l'account utente CRMAppPool è un utente CRM

  • Gli account dei servizi gestiti (account di servizio gestiti dal gruppo (gMSA) o account di servizio gestiti singolarmente) e gli account virtuali (NT SERVICE\,<SERVICENAME>) non sono supportati per l'esecuzione di servizi Microsoft Dynamics 365.

Le seguenti sottosezioni descrivono le autorizzazioni dell'account utente di dominio necessarie per ogni identità del servizio o del pool di applicazioni:

Servizio di elaborazione in modalità sandbox di Microsoft Dynamics CRM

Servizio elaborazione eventi asincroni di Microsoft Dynamics CRM e Servizio elaborazione eventi asincroni di Microsoft Dynamics CRM (manutenzione)

Servizio di monitoraggio di Microsoft Dynamics CRM

Servizio VSS Writer di Microsoft Dynamics CRM.

Servizio Web di distribuzione (identità del pool di applicazioni CRMDeploymentServiceAppPool)

Servizio dell'applicazione (identità del pool di applicazioni di IIS CRMAppPool)

Servizio di elaborazione in modalità sandbox di Microsoft Dynamics CRM

  • Appartenenza al gruppo degli utenti di dominio.

  • All'account deve essere concessa l'autorizzazione all'accesso come servizio nei criteri di sicurezza locali.

  • Autorizzazioni di lettura e scrittura a livello di cartella per la cartella Trace, il cui percorso predefinito è \Programmi\Microsoft Dynamics CRM\Trace e la cartella %AppData% dell'account utente nel computer locale.

  • Autorizzazione di lettura per la sottochiave HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSCRM del Registro di sistema di Windows.

  • È possibile che per l'account di servizio sia necessario un nome di entità servizio per l'URL utilizzato per l'accesso al sito Web associato. Per impostare il nome di entità servizio per l'account del Servizio di elaborazione in modalità sandbox, eseguire il comando indicato di seguito al prompt dei comandi del computer che esegue il servizio.

    SETSPN –a MSCRMSandboxService/<ComputerName> <service account>

Servizio elaborazione eventi asincroni di Microsoft Dynamics CRM e Servizio elaborazione eventi asincroni di Microsoft Dynamics CRM (manutenzione)

  • Appartenenza al gruppo degli utenti di dominio.

  • Appartenenza a PrivUserGroup e SQLAccessGroup. Per impostazione predefinita, tali gruppi vengono creati e viene garantita un'appartenenza appropriate durante il programma di Installazione server Microsoft Dynamics CRM.

  • Appartenenza al gruppo Performance Log Users locale predefinito.

  • All'account deve essere concessa l'autorizzazione all'accesso come servizio nei criteri di sicurezza locali.

  • Leggere e scrivere le autorizzazioni nelle seguenti cartelle.

    • La cartella Trace. Per impostazione predefinita si trova in \Program Files\Microsoft Dynamics CRM\ e nella cartella %AppData% dell'account utente nel computer locale.

    • La cartella CustomizationImport. Per impostazione predefinita si trova in \Program Files\Microsoft Dynamics CRM\. Può essere necessario per l'importazione della soluzione quando si utilizza Microsoft Dynamics CRM SDK.

  • Tutte le autorizzazioni di accesso ad eccezione del controllo completo e del DAC di scrittura nelle sottochiavi HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSCRM e HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\MSCRMSandboxService in Registro di sistema di Windows.

  • È possibile che per l'account di servizio sia necessario un nome di entità servizio per l'URL utilizzato per l'accesso al sito Web associato. Per impostare il nome di entità servizio per l'account del Servizio asincrono, eseguire il comando indicato di seguito al prompt dei comandi del computer che esegue il servizio.

    SETSPN –a MSCRMAsyncService/<ComputerName> <service account>

Servizio di monitoraggio di Microsoft Dynamics CRM

  • Appartenenza al gruppo degli utenti di dominio.

  • All'account deve essere concessa l'autorizzazione a Logon as service nei criteri di sicurezza locali.

  • Se il servizio di monitoraggio di Microsoft Dynamics CRM è installato con il ruolo server Server front-end, l'appartenenza al gruppo di amministratori locali nel computer in cui il servizio è in esecuzione è necessaria per il monitoraggio del sito Web e dei pool di applicazioni.Ulteriori informazioni:Ruoli server individuali disponibili

  • Autorizzazioni di lettura a HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSCRM

  • Appartenenza a SQLAccessGroup. Per impostazione predefinita, questo gruppo viene creato e viene garantita un'appartenenza appropriate durante il programma di Installazione server Microsoft Dynamics CRM.

  • È possibile che per l'account di servizio sia necessario un nome di entità servizio per l'URL utilizzato per l'accesso al sito Web associato.

Servizio VSS Writer di Microsoft Dynamics CRM.

  • Appartenenza al gruppo degli utenti di dominio.

  • All'account deve essere concessa l'autorizzazione a Logon as service nei criteri di sicurezza locali.

  • Autorizzazioni di lettura a HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSCRM

  • Appartenenza a PrivUserGroup e SQLAccessGroup. Per impostazione predefinita, tali gruppi vengono creati e viene garantita un'appartenenza appropriate durante il programma di Installazione server Microsoft Dynamics CRM.

Servizio Web di distribuzione (identità del pool di applicazioni CRMDeploymentServiceAppPool)

  • Appartenenza al gruppo degli utenti di dominio.

  • All'account deve essere concessa l'autorizzazione a Logon as service nei criteri di sicurezza locali.

  • L'appartenenza al gruppo di amministratori locali nel computer in cui è in esecuzione SQL Server è necessaria per eseguire operazioni nel database dell'organizzazione (ad esempio, la creazione di una nuova organizzazione o l'importazione di una esistente).

  • Appartenenza al gruppo degli amministratori locali nel computer che esegue il Servizio Web di distribuzione.

  • Autorizzazioni di Sysadmin per l'istanza di SQL Server da utilizzare per la configurazione e l'organizzazione dei database.

  • Autorizzazioni di lettura e scrittura a livello di cartella per le cartelle Trace e CRMWeb, il cui percorso predefinito è \Program Files\Microsoft Dynamics CRM\ e la cartella %AppData% dell'account utente nel computer locale.

  • Tutte le autorizzazioni di accesso ad eccezione del controllo completo e del DAC di scrittura nelle sottochiavi HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSCRM e HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\MSCRMSandboxService in Registro di sistema di Windows.

  • Appartenenza a PrivUserGroup e SQLAccessGroup. Per impostazione predefinita, tali gruppi vengono creati e viene garantita un'appartenenza appropriate durante il programma di Installazione server Microsoft Dynamics CRM.

  • Appartenenza al gruppo CRM_WPG. Questo gruppo è utilizzato per i processi di lavoro di IIS. Il gruppo viene creato durante l'Installazione server Microsoft Dynamics CRM.

  • È possibile che per l'account di servizio sia necessario un nome di entità servizio per l'URL utilizzato per l'accesso al sito Web associato.

Servizio dell'applicazione (identità del pool di applicazioni di IIS CRMAppPool)

  • Appartenenza al gruppo degli utenti di dominio.

  • Appartenenza al gruppo Performance Log Users locale predefinito.

  • Autorizzazioni di lettura e scrittura a livello di cartella per le cartelle Trace e CRMWeb, il cui percorso predefinito è \Program Files\Microsoft Dynamics CRM\ e la cartella %AppData% dell'account utente nel computer locale.

  • Tutte le autorizzazioni di accesso ad eccezione del controllo completo e del DAC di scrittura nelle sottochiavi HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSCRM e HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\MSCRMSandboxService in Registro di sistema di Windows.

  • Appartenenza al gruppo CRM_WPG. Questo gruppo è utilizzato per i processi di lavoro di IIS. Il gruppo viene creato durante l'Installazione server Microsoft Dynamics CRM.

  • È possibile che per l'account di servizio sia necessario un nome di entità servizio per l'URL utilizzato per l'accesso al sito Web associato.

Identità del pool di applicazioni di IIS in esecuzione con autenticazione in modalità kernel e nomi dell'entità servizio

Per impostazione predefinita, i siti Web di IIS sono configurati per l'utilizzo dell'autenticazione in modalità kernel. Quando si esegue il sito Web Microsoft Dynamics 365 utilizzando l'autenticazione in modalità kernel, non è necessario configurare altri nomi delle entità servizio (SPN) per le identità del CRMAppPool.

Per determinare se la distribuzione di IIS richiede nomi delle entità servizio, vedere la pagina relativa all'elenco di controllo del nome dell'entità servizio (SPN) per l'autenticazione Kerberos con IIS 7.0/7.5.

File di installazione di Microsoft Dynamics CRM

Se si prevede di installare Microsoft Dynamics 365 da un percorso di rete, ad esempio da una condivisione di rete, è necessario verificare che siano state applicate le autorizzazioni corrette alla cartella, preferibilmente in un volume NTFS, in cui si trovano i file di installazione. Potrebbe essere necessario, ad esempio, concedere le autorizzazioni per la cartella solo ai membri del gruppo Domain Admins. In questo modo si può ridurre il rischio di attacchi ai file di installazione, che potrebbero comprometterli o alterarli. Per ulteriori informazioni su come impostare autorizzazioni per file e cartelle nel sistema operativo Windows, vedere la Guida di Windows.

Vedere anche

Pianificare la distribuzione di Microsoft Dynamics CRM 2015
Procedure consigliate per la sicurezza di Microsoft Dynamics CRM
Procedure consigliate di amministrazione per le distribuzioni locali di Microsoft Dynamics CRM
Porte di rete per Microsoft Dynamics CRM
Ruoli server di Microsoft Dynamics CRM

© 2016 Microsoft Corporation. Tutti i diritti sono riservati. Copyright