Procedure consigliate per la sicurezza di Microsoft Dynamics 365

 

Data di pubblicazione: gennaio 2017

Si applica a: Dynamics 365 (on-premises), Dynamics CRM 2016

Internet Information Services (IIS) è un servizio Web avanzato incluso in Microsoft Windows Server. Un servizio Web IIS efficiente e sicuro è fondamentale per Microsoft Dynamics 365. Tenere presente quanto segue:

• Nei file di configurazione machine.config e web.config è possibile definire se la funzionalità di debug deve essere abilitata o meno, nonché stabilire se al client devono venire inviati messaggi di errore dettagliati. È necessario assicurarsi che la funzionalità di debug sia disabilitata per tutti i server di produzione e che in caso di problema ai client venga inviato un messaggio di errore generico. In questo modo si evita di inviare ai client informazioni non necessarie sulla configurazione del server Web.

• Verificare che siano applicati i Service Pack e gli aggiornamenti più recenti del sistema operativo e di IIS. Per informazioni aggiornate, vedere il sito Web Microsoft Security.

• Il programma di Installazione server Microsoft Dynamics CRM crea pool di applicazioni denominati CRMAppPool e CRMDeploymentServiceAppPool eseguiti con le credenziali utenti specificate durante l'installazione. Per agevolare l'adozione di un modello con privilegi minimi, è consigliabile specificare account utente distinti per questi pool di applicazioni anziché utilizzare l'account del servizio di rete. Inoltre, è consigliabile non installare altre applicazioni ASP.NET in tali pool di applicazioni. Per informazioni sulle autorizzazioni minime necessarie per questi componenti, vedere Autorizzazioni minime necessarie per l'installazione e i servizi di Microsoft Dynamics CRM.

Importante

• Accertarsi che tutti i siti Web in esecuzione nello stesso computer che esegue il sito Web di Microsoft Dynamics 365 abbiano accesso al database di Dynamics 365.

• Se si utilizza un account utente di dominio, prima di eseguire il programma di Installazione server Microsoft Dynamics CRM potrebbe essere necessario verificare che l'impostazione del nome dell'entità servizio (SPN) sia corretta per l'account ed eventualmente correggerla. Per ulteriori informazioni sui nomi delle entità servizio (SPN) e su come impostarli, vedere Come utilizzare SPN durante la configurazione di applicazioni Web ospitate su Internet Information Services.

Gestire il nome dell'entità servizio in Microsoft Dynamics 365

L'attributo nome dell'entità servizio (SPN) è un attributo a più valori non collegato generato dal nome host DNS. L'SPN viene utilizzato durante l'autenticazione reciproca tra il client e il server che ospita un determinato servizio. Il client trova un account computer basato sull'SPN del servizio a cui tenta di connettersi.

Il programma di installazione del server Server Microsoft Dynamics 365 distribuisce servizi specifici del ruolo e pool di applicazioni Web che funzionano con le credenziali utente specificate durante la Configurazione. Per esaminare l'elenco completo di tali ruoli e le autorizzazioni necessarie corrispondenti, vedere Autorizzazioni minime necessarie per l'installazione e i servizi di Microsoft Dynamics CRM.

Quando si distribuisce un'infrastruttura Microsoft Dynamics 365 ospitata, per due di questi ruoli può essere necessaria una considerazione ulteriore:

• Servizio Web di distribuzione

• Servizio dell'applicazione

In scenari Web farm, come nel caso delle soluzioni ospitate, è consigliabile lasciare l'autenticazione in modalità kernel abilitata. È inoltre consigliabile considerare di utilizzare account utente di dominio distinti per eseguire questi servizi perché:

• Avere account di servizio distinti per questi ruoli server facilita l'implementazione del bilanciamento del carico hardware.

• Il ruolo server Servizio Web di distribuzione richiede autorizzazioni elevate per eseguire il provisioning delle organizzazioni nel database di Dynamics 365. Se si desidera aderire a un modello a privilegi minimi, l'approccio più sicuro per l'implementazione delle entità servizio in un'infrastruttura di Microsoft Dynamics 365 ospitata implica che il Servizio Web di distribuzione venga eseguito con un account utente di dominio diverso da quello del servizio dell'applicazione.

Se si segue il suggerimento di utilizzare account di dominio distinti per questi ruoli server, sarà necessario controllare che l'entità servizio sia corretta per ogni account prima di avviare l'Installazione server Microsoft Dynamics CRM. In tal modo sarà più semplice impostare l'entità servizio corretta quando necessario.

Se l'autenticazione in modalità kernel è abilitata, verranno definite entità servizio per l'account computer, indipendentemente dall'account di servizio specificato. Quando si implementa una Web farm, abilitare l'autenticazione in modalità kernel e modificare il file locale ApplicationHost.config.

Se sullo stesso computer vengono eseguiti servizi Web di distribuzione e di applicazione e l'autenticazione in modalità kernel è disabilitata, è possibile configurare entrambi i servizi in modo che vengano eseguiti nello stesso dominio dell'account utente per evitare la duplicazione di entità servizio. Se l'autenticazione in modalità kernel non può essere abilitata, installare i servizi Web di distribuzione e di applicazione Web in computer distinti. Poiché l'autenticazione in modalità kernel è disabilitata, è possibile che sia necessario creare le entità servizio manualmente.

Per ulteriori informazioni sulle entità servizio e su come configurarle, vedere la pagina relativa all'elenco di controllo del nome dell'entità servizio (SPN) per l'autenticazione Kerberos con IIS 7.0/7.5

Vedere anche

Considerazioni sulla sicurezza per Microsoft Dynamics 365
Procedure consigliate di amministrazione per le distribuzioni locali di Microsoft Dynamics 365

© 2017 Microsoft. Tutti i diritti sono riservati. Copyright