Delen via

Aanbevolen methodes voor Microsoft Dynamics 365-beveiliging

  • Artikel

 

Gepubliceerd: januari 2017

Is van toepassing op: Dynamics 365 (on-premises), Dynamics CRM 2016

Internet Information Services (IIS) is een al lang bestaande webservice die wordt meegeleverd met Windows Server.Microsoft Dynamics 365 is afhankelijk van een efficiënte en veilige IIS-webservice. Denk aan het volgende:

  • In de configuratiebestanden machine.config en web.config kunt u instellen of foutopsporing is ingeschakeld, en ook of er gedetailleerde foutberichten naar de client worden verzonden. Zorg ervoor dat foutopsporing is uitgeschakeld op alle productieservers en dat er een algemeen foutbericht naar de client wordt verzonden als er een probleem optreedt. Hiermee voorkomt u dat overbodige informatie over de configuratie van de webserver naar de client wordt gestuurd.

  • Controleer of het nieuwste besturingssysteem en IIS-servicepacks en -updates zijn toegepast. Voor de nieuwste informatie raadpleegt u de Microsoft Security-website.

  • Installatie van Microsoft Dynamics CRM Server maakt toepassingengroepen, genaamd CRMAppPool en CRMDeploymentServiceAppPool, die functioneren met gebruikersreferenties die u opgeeft tijdens Setup. Voor het gebruik van een model met zo min mogelijk bevoegdheden raden we aan dat u afzonderlijke domeingebruikersaccounts voor deze groepen van toepassingen opgeeft in plaats van het netwerkserviceaccount te gebruiken. Daarnaast raden we aan dat er geen andere ASP.NET-verbonden toepassing onder deze toepassingengroepen worden geïnstalleerd. Zie Minimale machtigingen vereist voor Microsoft Dynamics CRM Setup en services voor informatie over de machtigingen die minimaal nodig zijn om deze onderdelen uit te voeren.

Belangrijk

  • Zorg ervoor dat alle websites die op dezelfde computer worden uitgevoerd als de Microsoft Dynamics 365-site ook toegang tot de Dynamics 365-database hebben.

  • Als u een domeingebruikersaccount gebruikt, dan moet u misschien vóór het uitvoeren van Installatie van Microsoft Dynamics CRM Server controleren of de SPN (Service Principal Name) juist is ingesteld voor dit account, en deze zo nodig juist instellen. Voor meer informatie over SPN's en hoe u deze kunt instellen, raadpleegt u SPN's gebruiken wanneer u webtoepassingen configureert die op IIS zijn gehost.

SPN-beheer (Service Principal Name) in Microsoft Dynamics 365

Het kenmerk SPN (Service Principal Name) is een kenmerk met meerdere waarden en zonder koppelingen dat is gebouwd op basis van de DNS-hostnaam. De SPN wordt gebruikt tijdens wederzijdse verificatie tussen de client en de server die als host voor een specifieke service fungeert. De client vindt een computeraccount op basis van de SPN van de service waarmee deze verbinding probeert te maken.

Het Microsoft Dynamics 365 Server-installatieprogramma distribueert functiespecifieke services en webtoepassingengroepen die fungeren onder gebruikersreferenties die tijdens Setup zijn opgegeven. Voor de volledige lijst van deze rollen en hun machtigingvereisten controleren, raadpleegt u Minimale machtigingen vereist voor Microsoft Dynamics CRM Setup en services.

Bij de distributie van een gehoste Microsoft Dynamics 365-infrastructuur zijn voor twee van deze rollen mogelijk extra overwegingen vereist:

  • Implementatiewebservice

  • Toepassingsservice

In webfarmscenario' s, zoals bij een gehost aanbod, wordt aanbevolen om verificatie in de kernelmodus ingeschakeld te laten. Daarnaast moet u om de volgende redenen zorgvuldig overwegen afzonderlijke domeingebruikersaccounts te gebruiken om deze services uit te voeren:

  • Afzonderlijke serviceaccounts voor deze serverfuncties maken het eenvoudiger om een hardwaretaakverdeling te implementeren.

  • De serverfunctie Implementatiewebservice vereist hogere machtigingen om organisaties in de Dynamics 365-database van gegevens te voorzien. Als u zich wilt houden aan een model met de minste machtigingen, is de veiligste aanpak voor de implementatie van SPNs in een gehoste Microsoft Dynamics 365-infrastructuur om de Implementatiewebservice te laten uitvoeren onder een ander domeingebruikersaccount dan de toepassingsservice.

Als u deze suggestie volgt om afzonderlijke domeinaccounts voor deze serverfuncties te gebruiken, moet u controleren of de SPN klopt voor elk account voordat u Installatie van Microsoft Dynamics CRM Server start. Hierdoor is het gemakkelijker voor u om de juiste SPN in te stellen wanneer dat nodig is.

Als verificatie in kernelmodus is ingeschakeld, dan worden de SPNs gedefinieerd voor het computeraccount, ongeacht het opgegeven serviceaccount. Wanneer u een webfarm implementeert, kunt u kernelmodusverificatie inschakelen en het lokale ApplicationHost.config-bestand wijzigen.

Als er toepassings- en configuratiewebservices op hetzelfde systeem worden uitgevoerd en de kernelmodusverificatie is uitgeschakeld, kunt u beide services configureren om te worden uitgevoerd onder hetzelfde domeingebruikersaccount om problemen met dubbele SPN's te voorkomen. Als kernelmodusverificatie niet kan worden ingeschakeld, dan installeert u de toepassings- en implementatiewebservices op afzonderlijke systemen. De SPNs moeten misschien toch handmatig worden gemaakt, omdat kernelmodusverificatie is uitgeschakeld.

Voor meer informatie over SPN's en hoe u deze kunt instellen, raadpleegt u 'SPN-controlelijst (Service Principal Name) voor Kerberos-verificatie met IIS 7.0/7.5'

Zie ook

Beveiligingsoverwegingen voor Microsoft Dynamics 365
Aanbevolen procedures voor het beheren van on-premises installaties van Microsoft Dynamics 365

© 2017 Microsoft. Alle rechten voorbehouden. Auteursrecht