Dynamics 365 Customer Engagement (on-premises)에 대한 보안 고려 사항
Dynamics 365 Customer Engagement (on-premises)는 배포를 보다 안전하게 해주는 방식으로 설계되었습니다. 이 섹션에서는 Dynamics 365 Customer Engagement (on-premises) 응용 프로그램에 대한 정보 및 최상의 방법을 제공합니다. 추가 정보:Microsoft Dynamics 365 보안 개요
어떤 종류의 서비스 계정을 선택해야 합니까?
Dynamics 365 Customer Engagement (on-premises) 서비스를 실행하도록 ID를 지정할 때 도메인 사용자 계정 또는 네트워크 서비스 계정을 선택할 수 있습니다.
서비스가 네트워크 서비스와 상호 작용하는 경우 파일 공유와 같은 도메인 리소스에 액세스하거나 다른 컴퓨터에 연결된 서버 연결을 사용하는 경우 최소 권한의 도메인 계정을 사용할 수 있습니다. 많은 서버 간 활동은 도메인 사용자 계정으로만 수행할 수 있으며, 가장 안전한 옵션을 제공할 수 있습니다. 이 계정은 사용자 환경에서 도메인 관리로 미리 만들어야 합니다.
노트
도메인 계정을 사용하도록 서비스를 구성 할 때 응용 프로그램에 대한 권한을 격리할 수 있지만, 암호를 수동으로 관리하거나 이러한 암호를 관리하기 위한 사용자 지정 솔루션을 만들어야 합니다. 여러 서버 응용 프로그램은 보안을 강화하기 위해 이 전략을 사용하지만 이 전략에는 추가 관리 및 복잡성이 필요합니다. 이러한 배포에서 서비스 관리자는 Kerberos 인증에 필요한 서비스 암호 및 SPN(서비스 사용자 이름)을 관리하는 등의 유지 관리 작업에 상당한 양의 시간을 사용합니다. 또한 이러한 유지 관리 작업은 서비스를 중단할 수 있습니다.
네트워크 서비스 계정은 도메인 사용자 그룹의 구성원보다 리소스 및 개체에 대한 액세스 권한이 더 많은 기본 제공 계정입니다. 네트워크 서비스 계정으로 실행되는 서비스는 <domain_name>\<computer_name>$ 형식의 컴퓨터 계정의 자격 증명을 사용하여 네트워크 리소스에 액세스합니다. 계정의 실제 이름은 NT AUTHORITY\NETWORK SERVICE입니다.
Microsoft Dynamics 365 설치 프로그램 및 서비스에 필요한 최소 권한
Dynamics 365 Customer Engagement (on-premises)은 해당 기능이 별개의 ID로 실행될 수 있도록 디자인되었습니다. 특정 기능을 작동하는 데 필요한 권한만 부여된 도메인 사용자 계정을 지정하면 시스템 보안 수준을 높이고 시스템이 악용될 가능성을 줄일 수 있습니다.
이 항목에서는 Dynamics 365 Customer Engagement (on-premises) 서비스 및 기능에 대해 사용자 계정에 필요한 최소 권한에 대해 설명합니다.
Microsoft Dynamics CRM Server 설치
데이터베이스 만들기를 포함하여 Dynamics 365 Server 설치 프로그램을 실행하는 데 사용되는 사용자 계정에는 다음과 같은 최소 권한이 필요합니다.
Active Directory 도메인 사용자 그룹의 구성원이어야 합니다. 기본적으로 Active Directory 사용자 및 컴퓨터는 새 사용자를 도메인 사용자 그룹에 추가합니다.
설치 프로그램이 실행되고 있는 로컬 컴퓨터에서 관리자 그룹의 구성원이어야 합니다.
로컬 프로그램 파일 폴더에 대한 읽기 및 쓰기 권한이 있어야 합니다.
Dynamics 365 Customer Engagement (on-premises) 데이터베이스를 저장하는 데 사용할 SQL Server 인스턴스가 있는 로컬 컴퓨터에서 관리자 그룹의 구성원이어야 합니다.
Dynamics 365 Customer Engagement (on-premises) 데이터베이스를 저장하는 데 사용할 SQL Server 인스턴스에 대한 sysadmin 멤버십이 있어야 합니다.
조직 구성 단위 및 보안 그룹을 만들고 구성원 자격 권한을 Active Directory의 이러한 그룹을 추가합니다. 또는 보안 그룹이 이미 만들어진 경우 설치 XML 구성 파일을 사용하여 Dynamics 365 Server를 설치할 수 있습니다. 자세한 내용은 명령 프롬프트를 사용하여 Microsoft Dynamics 365 설치를 참조하십시오.
SQL Server Reporting Service가 다른 서버에 설치된 경우 사용자 계정 설치를 위해 루트 수준에서 내용 관리자 역할을 추가해야 합니다. 또한 사용자 계정 설치를 위해 사이트 차원의 수준에서 System 관리자 역할을 추가해야 합니다.
Microsoft Dynamics 365 서비스 및 IIS 응용 프로그램 풀 ID 권한
이 섹션에는 Dynamics 365 Customer Engagement (on-premises)가 사용하는 서비스 및 IIS 애플리케이션 풀에 대해 도메인 사용자 계정에 필요한 최소 권한이 나열되어 있습니다.
중요
- Dynamics 365 Customer Engagement (on-premises) 서비스 및 애플리케이션 풀(CRMAppPool) ID 계정은 Dynamics 365 Customer Engagement (on-premises) 사용자로 구성하면 안 됩니다. 그렇지 않으면 모든 Dynamics 365 Customer Engagement (on-premises) 사용자에 대해 응용 프로그램에서 인증 문제 및 예기치 않은 동작이 발생할 수 있습니다. 추가 정보:CRMAppPool 사용자 계정이 CRM 사용자일 경우 CRM 문제
- 관리형 서비스 계정(gMSA(그룹 관리형 서비스 계정) 또는 단일 관리 서비스 계정)과 가상 계정(NT SERVICE\,<SERVICENAME>)은 Dynamics 365 Customer Engagement (on-premises) 서비스를 실행할 수 없습니다.
다음 하위 섹션에서는 각 서비스 또는 응용 프로그램 풀 ID에 필요한 도메인 사용자 계정 권한에 대해 설명합니다.
Microsoft Dynamics 365 샌드박스 처리 서비스
Microsoft Dynamics 365 비동기 처리 서비스 및 Microsoft Dynamics 365 비동기 처리 서비스(유지 관리) 서비스
Microsoft Dynamics 365 모니터링 서비스
Microsoft Dynamics 365 VSS 기록기 서비스
배포 웹 서비스(CRMDeploymentServiceAppPool 응용 프로그램 풀 ID)
응용 프로그램 서비스(CRMAppPool IIS 응용 프로그램 풀 ID)
Microsoft Dynamics 365 샌드박스 처리 서비스
도메인 사용자 구성원 자격
계정에 로컬 보안 정책의 서비스로 로그온 권한이 부여되어야 함
기본적으로 \Program Files\Microsoft Dynamics 365\Trace에 있는 Trace 및 로컬 컴퓨터의 사용자 계정 %AppData% 폴더에 대한 폴더 읽기 및 쓰기 권한.
Windows 레지스트리의 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSCRM 하위 키에 대한 읽기 권한
서비스 계정에는 연결된 웹 사이트에 액세스하기 위해 사용되는 URL에 대한 SPN이 필요할 수 있습니다. 샌드박스 처리 서비스 계정에 대한 SPN을 설정하려면 서비스가 실행되고 있는 컴퓨터의 명령 프롬프트에서 다음 명령을 실행합니다.
SETSPN –a MSCRMSandboxService/<ComputerName> <service account>
Microsoft Dynamics 365 비동기 처리 서비스 및 Microsoft Dynamics 365 비동기 처리 서비스(유지 관리) 서비스
도메인 사용자 구성원 자격
PrivUserGroup 및 SQLAccessGroup 구성원 자격. 기본적으로 Microsoft Dynamics 365 Server 설치 중에 이러한 그룹이 만들어지고 적절한 구성원 자격이 부여됩니다.
기본 제공 로컬 그룹 성능 로그 사용자 구성원 자격입니다.
계정에 로컬 보안 정책의 서비스로 로그온 권한이 부여되어야 함
다음 폴더에 있는 읽기 및 쓰기 권한.
Trace폴더. 기본적으로 \Program Files\Microsoft Dynamics CRM\ 아래와 로컬 컴퓨터의 사용자 계정%AppData%폴더에 있습니다.CustomizationImport폴더. 기본적으로 \Program Files\Microsoft Dynamics CRM\ 아래 있습니다. 이는 Dynamics 365 Customer Engagement 웹 서비스를 사용할 때 솔루션 가져오기에 필요할 수 있습니다.
Windows registry에서 전체 제어 권한과
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSCRM및HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\MSCRMSandboxService하위 키에 대한 DAC 쓰기를 제외한 모든 액세스 권한.서비스 계정에는 연결된 웹 사이트에 액세스하기 위해 사용되는 URL에 대한 SPN이 필요할 수 있습니다. 비동기 서비스 계정에 대한 SPN을 설정하려면 서비스가 실행되고 있는 컴퓨터의 명령 프롬프트에서 다음 명령을 실행합니다.
SETSPN –a MSCRMAsyncService/<ComputerName> <service account>
Microsoft Dynamics 365 모니터링 서비스
도메인 사용자 구성원 자격
해당 계정에 로컬 보안 정책의
Logon as service권한이 부여되어야 합니다.Microsoft Dynamics 365 모니터링 서비스가 프런트 엔드 서버 서버 역할을 사용하여 설치된 경우 웹 사이트 및 응용 프로그램 풀을 모니터링하려면 서비스가 실행되는 컴퓨터에 로컬 관리자 그룹 구성원 자격이 있어야 합니다. More information:사용 가능한 개별 서버 역할
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSCRM에 대한 읽기 권한SQLAccessGroup 구성원 자격. 기본적으로 Microsoft Dynamics 365 Server 설치 중에 이러한 그룹이 만들어지고 적절한 구성원 자격이 부여됩니다.
서비스 계정에는 연결된 웹 사이트에 액세스하기 위해 사용되는 URL에 대한 SPN이 필요할 수 있습니다.
Microsoft Dynamics 365 VSS 기록기 서비스
도메인 사용자 구성원 자격
해당 계정에 로컬 보안 정책의
Logon as service권한이 부여되어야 합니다.이 계정은 이 서비스를 호스팅하는 서버에서
Backup Operators그룹의 구성원 자격을 부여 받아야 합니다.HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSCRM에 대한 읽기 권한PrivUserGroup 및 SQLAccessGroup 구성원 자격. 기본적으로 Microsoft Dynamics 365 Server 설치 중에 이러한 그룹이 만들어지고 적절한 구성원 자격이 부여됩니다.
배포 웹 서비스(CRMDeploymentServiceAppPool 응용 프로그램 풀 ID)
도메인 사용자 구성원 자격
해당 계정에 로컬 보안 정책의
Logon as service권한이 부여되어야 합니다.새 조직 만들기 또는 조직 가져오기와 같은 조직 데이터베이스 작업을 수행하려면 SQL Server가 실행 중인 컴퓨터의 로컬 관리자 그룹 구성원 자격이 필요합니다.
배포 웹 서비스가 실행 중인 컴퓨터의 로컬 관리자 그룹 구성원.
구성 및 조직 데이터베이스에 대해 사용할 SQL Server 인스턴스에 대한 sysadmin 권한
기본적으로 \Program Files\Microsoft Dynamics CRM\에 있는
Trace및CRMWeb폴더 및 로컬 컴퓨터의 사용자 계정%AppData%폴더에 대한 폴더 읽기 및 쓰기 권한Windows registry에서 전체 제어 권한과
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSCRM및HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\MSCRMSandboxService하위 키에 대한 DAC 쓰기를 제외한 모든 액세스 권한.PrivUserGroup 및 SQLAccessGroup 구성원 자격. 기본적으로 Microsoft Dynamics 365 Server 설치 중에 이러한 그룹이 만들어지고 적절한 구성원 자격이 부여됩니다.
CRM_WPG 그룹 구성원 자격. 이 그룹은 IIS 작업자 프로세스에 사용됩니다. Microsoft Dynamics 365 Server 설치 중에 그룹이 만들어지고 구성원 자격이 추가됩니다.
서비스 계정에는 연결된 웹 사이트에 액세스하기 위해 사용되는 URL에 대한 SPN이 필요할 수 있습니다.
응용 프로그램 서비스(CRMAppPool IIS 응용 프로그램 풀 ID)
도메인 사용자 그룹 구성원 자격입니다.
기본 제공 로컬 그룹 성능 로그 사용자 구성원 자격입니다.
애플리케이션 서비스가 실행되는 컴퓨터의 로컬 관리자 그룹 구성원 자격
기본적으로 \Program Files\Microsoft Dynamics CRM\에 있는
Trace및CRMWeb폴더 및 로컬 컴퓨터의 사용자 계정%AppData%폴더에 대한 폴더 읽기 및 쓰기 권한Windows registry에서 전체 제어 권한과
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSCRM및HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\MSCRMSandboxService하위 키에 대한 DAC 쓰기를 제외한 모든 액세스 권한.PrivUserGroup 및 SQLAccessGroup 구성원 자격. 기본적으로 Microsoft Dynamics 365 Server 설치 중에 이러한 그룹이 만들어지고 적절한 구성원 자격이 부여됩니다.
CRM_WPG 그룹 구성원 자격. 이 그룹은 IIS 작업자 프로세스에 사용됩니다. Microsoft Dynamics 365 Server 설치 중에 그룹이 만들어지고 구성원 자격이 추가됩니다.
서비스 계정에는 연결된 웹 사이트에 액세스하기 위해 사용되는 URL에 대한 SPN이 필요할 수 있습니다.
커널 모드 인증 및 SPN으로 실행되는 IIS 응용 프로그램 풀 ID
기본적으로 IIS 웹 사이트는 커널 모드 인증을 사용하도록 구성됩니다. 커널 모드 인증을 사용하여 Dynamics 365 Customer Engagement (on-premises) 웹 사이트를 실행할 때 CRMAppPool ID에 대한 추가 SPN(서비스 사용자 이름)을 구성할 필요가 없을 수 있습니다.
SetSPN.exe를 사용하여 SPN을 보고, 삭제하고, 등록하는 방법에 대한 자세한 내용은 서비스 사용자 이름(SPN) SetSPN 구문을 참조하세요.
Microsoft Dynamics 365 설치 파일
네트워크 공유와 같은 네트워크상의 위치에서 Dynamics 365를 설치하려면 설치 파일이 있는 폴더에 적절한 사용 권한을 적용해야 하며, 가능하면 NTFS 볼륨에 설치하는 것이 좋습니다. 예를 들어 Domain Admins 그룹의 구성원만 해당 폴더에 대한 권한을 갖도록 허용할 수 있습니다. 이 방법을 사용하면 설치 파일을 훼손하거나 변경하려는 공격 위험을 줄일 수 있습니다. Windows 운영 체제의 파일 및 폴더에서 사용 권한을 설정하는 방법에 대한 자세한 내용은 Windows 도움말을 참조하십시오.