다음을 통해 공유

Microsoft Dynamics 365의 효율적인 보안 방법

  • 아티클

 

게시 날짜: 2017년 1월

적용 대상: Dynamics 365 (on-premises), Dynamics CRM 2016

IIS(인터넷 정보 서비스)는 Windows Server에 포함된 뛰어난 웹 서비스 기능입니다.Microsoft Dynamics 365에는 효율적이고 안전한 IIS 웹 서비스가 사용됩니다. 다음을 고려하십시오.

  • machine.configweb.config 구성 파일에서 디버깅이 사용되는지 여부와 자세한 오류 메시지가 클라이언트로 전송되는지 여부를 확인할 수 있습니다. 모든 프로덕션 서버에서는 디버깅이 사용되지 않도록 설정해야 하며 문제가 발생하는 경우 일반 오류 메시지가 클라이언트로 전송되도록 해야 합니다. 이렇게 하면 웹 서버 구성에 대한 불필요한 정보가 클라이언트로 전송되지 않습니다.

  • 최신 운영 체제 및 IIS 서비스 팩과 업데이트를 적용해야 합니다. 최신 정보는 Microsoft 보안 웹 사이트를 참조하십시오.

  • Microsoft Dynamics CRM Server 설정은 설치 중에 지정하는 사용자 자격 증명으로 작동하는 CRMAppPoolCRMDeploymentServiceAppPool이라는 응용 프로그램 풀을 만듭니다. 최소 권한 모델을 이용하려면 이러한 응용 프로그램 풀에 대해 네트워크 서비스 계정을 사용하는 대신 별도의 도메인 사용자 계정을 지정하는 것이 좋습니다. 또한 다른 ASP.NET 연결 응용 프로그램을 이러한 응용 프로그램 풀에 설치하지 않는 것이 좋습니다. 이러한 구성 요소에 필요한 최소 권한에 대한 자세한 내용은 Microsoft Dynamics CRM 설치 프로그램 및 서비스에 필요한 최소 권한을 참조하십시오.

중요

  • Microsoft Dynamics 365 웹 사이트와 동일한 컴퓨터에서 실행되는 모든 웹 사이트는 Dynamics 365 데이터베이스에도 액세스할 수 있습니다.

  • 도메인 사용자 계정을 사용하는 경우 Microsoft Dynamics CRM Server 설정을 실행하기 전에 해당 계정에 대해 SPN(서비스 사용자 이름)이 올바르게 설정되었는지 확인하고 필요한 경우 올바른 SPN을 설정해야 할 수 있습니다. SPN에 대한 자세한 내용 및 설정 방법은 IIS에서 호스팅되는 웹 응용 프로그램을 구성할 때 SPN을 사용하는 방법을 참조하십시오.

Microsoft Dynamics 365의 서비스 계정 이름 관리

SPN(서비스 사용자 이름) 특성은 연결되지 않은 다중 값 특성으로서 DNS 호스트 이름을 기반으로 만들어집니다. SPN은 특정 서비스를 호스팅하는 서버와 클라이언트 간의 상호 인증에 사용됩니다. 클라이언트는 연결하려는 서비스의 SPN에 따라 컴퓨터 계정을 찾습니다.

Microsoft Dynamics 365 Server 설치 관리자는 설치 중에 지정된 사용자 자격 증명으로 실행되는 역할별 서비스 및 웹 응용 프로그램 풀을 배포합니다. 이러한 역할 및 권한 요구 사항의 전체 목록을 검토하려면 Microsoft Dynamics CRM 설치 프로그램 및 서비스에 필요한 최소 권한을 참조하십시오.

호스트형 Microsoft Dynamics 365 인프라를 배포할 때는 이러한 역할 중 두 가지에 대해 추가로 고려할 사항이 있습니다.

  • 배포 웹 서비스

  • 응용 프로그램 서비스

호스트형 서비스와 같은 웹 팜 시나리오에서는 커널 모드 인증을 설정해 두는 것이 좋습니다. 또한 다음과 같은 이유로 인해 별도의 도메인 사용자 계정을 사용하여 이러한 서비스를 실행하는 방법을 고려해야 합니다.

  • 이러한 서비스 역할에 대해 별도의 서비스 계정을 사용하면 하드웨어 부하 분산을 구현할 수 있습니다.

  • 배포 웹 서비스 서버 역할에는 Dynamics 365 데이터베이스에 조직을 프로비전하기 위한 승격된 권한이 필요합니다. 최소 권한 모델을 유지하려는 경우 호스트형 Microsoft Dynamics 365 인프라에 SPN을 구현하는 가장 안전한 접근 방식은 응용 프로그램 서비스와 다른 도메인 서비스 계정으로 배포 웹 서비스를 실행하는 것입니다.

이 권장 사항에 따라 이러한 서비스 역할에 대해 별도의 도메인 계정을 사용하는 경우 각 계정의 SPN이 올바른지 확인한 후에 Microsoft Dynamics CRM Server 설정을 시작해야 합니다. 이렇게 하면 필요할 때 더욱 쉽게 올바른 SPN을 설정할 수 있습니다.

커널 모드 인증을 설정하면 지정된 서비스 계정에 관계없이 컴퓨터 계정에 대해 SPN이 정의됩니다. 웹 팜을 구현할 때 커널 모드 인증을 사용하고 로컬 ApplicationHost.config 파일을 변경합니다.

응용 프로그램과 배포 웹 서비스가 동일한 시스템에서 실행되고 있으며 커널 모드 인증이 해제된 경우에는 두 서비스가 동일한 도메인 사용자 계정으로 실행되도록 구성하여 중복 SPN 문제를 방지할 수 있습니다. 커널 모드 인증을 사용할 수 없는 경우 응용 프로그램과 배포 웹 서비스를 별도의 시스템에 설치합니다. 이 경우에도 커널 모드 인증이 해제되어 있으므로 SPN을 수동으로 만들어야 합니다.

SPN과 SPN 설정 방법에 대한 자세한 내용은 IIS 7.0/7.5에서 Kerberos 인증을 위한 SPN(서비스 계정 이름) 확인 목록을 참조하십시오.

참고 항목

Microsoft Dynamics 365에 대한 보안 고려 사항
Microsoft Dynamics 365의 온-프레미스 배포를 위한 효율적인 관리 방법

© 2017 Microsoft. All rights reserved. 저작권 정보