Delen via


Beveiligingsoverwegingen voor Microsoft Dynamics 365

 

Gepubliceerd: januari 2017

Is van toepassing op: Dynamics 365 (on-premises), Dynamics CRM 2016

Microsoft Dynamics 365 is op een bepaalde manier ontworpen die helpt uw installatie veiliger te maken. Dit gedeelte biedt informatie en aanbevolen methoden voor de Microsoft Dynamics 365-toepassing.Meer informatie:Beveiligingsconcepten voor Microsoft Dynamics 365

In dit onderwerp

Welk type serviceaccount moet ik gebruiken?

Minimale machtigingen vereist voor Microsoft Dynamics CRM Setup en services

Microsoft Dynamics CRM-installatiebestanden

Welk type serviceaccount moet ik gebruiken?

Als u een identiteit opgeeft voor het uitvoeren van een Microsoft Dynamics 365-service, kunt u een domeingebruikersaccount of het Network Service-account kiezen.

Als de service interactie heeft met met netwerkservices, toegang heeft tot domeinbronnen zoals bestandsshares of gebruikmaakt van gekoppelde serververbindingen met andere computers, kunt u een domeinaccount met minimale machtigingen gebruiken. Veel activiteiten van server tot server kunnen alleen worden uitgevoerd met een domeingebruikersaccount en kunnen de veiligste optie bieden. Dit account moet vooraf worden gemaakt door het domeinbeheer in uw omgeving.

Notitie

Wanneer u een service configureert om een domeinaccount te gebruiken, kunt u de bevoegdheden van de gebruikte toepassing isoleren, maar moet u handmatig wachtworden beheren of een aangepaste oplossing maken voor het beheren van deze wachtwoorden. Veel servertoepassingen gebruiken deze strategie om de beveiliging te verbeteren, maar voor deze strategie is extra beheer en complexiteit vereist. In deze installaties besteden de servicebeheerders een aanzienlijke hoeveelheid tijd aan onderhoudstaken zoals door het beheren van servicewachtwoorden en service principal name (SPN's), die zijn vereist voor Kerberos-verificatie. Bovendien kunnen deze onderhoudstaken de service onderbreken.

Het Network Service-account is een ingebouwd account dat toegang heeft tot meer bronnen en objecten dan de leden van de groep Domeingebruikers. Services die worden uitgevoerd als het Network Service-account hebben toegang tot netwerkbronnen aan de hand van de referenties van het computeraccount in de notatie <domeinnaam>\<computername>$. De feitelijke naam van het account is NT AUTHORITY\NETWORK SERVICE.

Minimale machtigingen vereist voor Microsoft Dynamics CRM Setup en services

Microsoft Dynamics 365 is zodanig ontworpen dat de functies ervan onder afzonderlijke identiteiten kunnen worden uitgevoerd. Door een domeingebruikersaccount op te geven die alleen de vereiste machtigingen heeft voor het inschakelen van een bepaalde functie, is het systeem veiliger en verkleint u de kans op misbruik.

In dit onderwerp worden de minimaal vereiste machtigingen beschreven voor het gebruikersaccount voor Microsoft Dynamics 365-services en -functies.

Installatie van Microsoft Dynamics CRM Server 2016

Voor het gebruikersaccount dat wordt gebruikt om Microsoft Dynamics CRM Server 2016Setup uit te voeren, waaronder het maken van databases, zijn minimaal de volgende machtigingen vereist:

  • Lid zijn van de groep Active Directory-domeingebruikers.Active Directory-gebruikers en -computers voegt nieuwe gebruikers standaard aan de groep domeingebruikers toe.

  • Lid zijn van de beheerdersgroep op de lokale computer waar Setup wordt uitgevoerd.

  • Lees- en schrijfmachtiging voor de map met lokale programmabestanden.

  • Lid zijn van de beheerdersgroep op de lokale computer waar het exemplaar van SQL Server zich bevindt dat wordt gebruikt om de Microsoft Dynamics 365-databases op te slaan.

  • sysadmin-lidmaatschap hebben voor het exemplaar van SQL Server dat wordt gebruikt om de Microsoft Dynamics 365-databases op te slaan.

  • Het maken van organisatie-eenheden en beveiligingsgroepen hebben, en lidmaatschapmachtigingen toevoegen aan deze groepen in Active Directory U kunt ook een Setup XML-configuratiebestand gebruiken om Microsoft Dynamics CRM Server 2016 te installeren wanneer er al beveiligingsgroepen zijn gemaakt. Zie De opdrachtprompt gebruiken voor de installatie van Microsoft Dynamics Server 365 voor meer informatie.

  • Als Microsoft SQL Server Reporting Services op een andere server is geïnstalleerd, moet u de rol Inhoudsbeheerder toevoegen op het hoofdniveau voor het installerende gebruikersaccount. U moet ook de Rol Systeembeheerder toevoegen op het sitebreed niveau voor het installerende gebruikersaccount.

Microsoft Dynamics 365-services en identiteitsmachtigingen voor IIS-toepassingengroep

Dit gedeelte geeft de minimale machtigingen aan die domeingebruikersaccounts nodig hebben voor de services en de IIS-groepen van toepassingen die door Microsoft Dynamics 365 worden gebruikt.

Belangrijk

  • Microsoft Dynamics 365-serviceaccounts en -identiteitsaccounts van de toepassingengroep (CRMAppPool) moeten niet worden geconfigureerd als Microsoft Dynamics 365-gebruiker. Dit kan leiden tot verificatieproblemen en onverwacht gedrag van de toepassing voor alle Microsoft Dynamics 365-gebruikers.Meer informatie:Problemen in CRM als het CRMAppPool-gebruikersaccount een CRM-gebruiker is

  • Beheerde serviceaccounts (groep-beheerde serviceaccounts (gMSA) of enig-beheerde serviceaccounts) en de SERVICE\ virtueel accounts (NT,<SERVICENAME>) wordt niet ondersteund voor het uitvoeren van Microsoft Dynamics 365-services.

De volgende subsecties bevatten een beschrijving van de machtigingen voor domeingebruikersaccounts die zijn vereist voor elke service of de identiteit van elke groep van toepassingen:

Microsoft Dynamics 365 Sandboxverwerkingsservice

Microsoft Dynamics 365-service voor asynchrone verwerking en Microsoft Dynamics 365-service voor asynchrone verwerking (onderhoud)

Microsoft Dynamics 365 Bewakingsservice

Microsoft Dynamics 365 VSS Writer-service.

Configuratiewebservice (identiteit van de CRMDeploymentServiceAppPool-toepassingengroep)

Toepassingservice (identiteit van de CRMAppPool IIS-toepassingengroep)

Microsoft Dynamics 365 Sandboxverwerkingsservice

  • Lidmaatschap Domeingebruikers.

  • Dit account moet de machtiging Aanmelden als service krijgen in het lokale beveiligingsbeleid.

  • Lees- en schrijfmachtiging voor de map Trace, standaard onder \Program Files\Microsoft Dynamics 365\Trace en %AppData%-gebruikersaccountmappen op de lokale computer.

  • Leesmachtiging voor de subsleutel HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSCRM in het Windows-register.

  • Het serviceaccount kan een SPN nodig hebben voor de URL die wordt gebruikt voor toegang tot de website die eraan is gekoppeld. Als u de SPN wilt instellen voor het Sandboxverwerkingsservice-account, voert u de volgende opdracht uit bij een opdrachtprompt op de computer waar de service wordt uitgevoerd.

    SETSPN –a MSCRMSandboxService/<ComputerName> <service account>

Microsoft Dynamics 365-service voor asynchrone verwerking en Microsoft Dynamics 365-service voor asynchrone verwerking (onderhoud)

  • Lidmaatschap Domeingebruikers.

  • Lidmaatschap van PrivUserGroup en SQLAccessGroup. Standaard worden deze groepen gemaakt en wordt het juiste lidmaatschap verleend tijdens Installatie van Microsoft Dynamics CRM Server.

  • Ingebouwd lidmaatschap van de lokale groep Prestatielogboekgebruikers.

  • Dit account moet de machtiging Aanmelden als service krijgen in het lokale beveiligingsbeleid.

  • Lees- en schrijfmachtiging voor de volgende mappen.

    • De map Trace. Standaard bevindt deze zich onder de map \Program Files\Microsoft Dynamics CRM\ en het gebruikersaccount %AppData% op de lokale computer.

    • De map CustomizationImport. Standaard bevindt deze zich onder \Program Files\Microsoft Dynamics CRM\. Dit kan vereist zijn voor oplossingsimport wanneer u de Microsoft Dynamics 365 SDK gebruikt.

  • Alle toegangsmachtigingen behalve Volledige controle en DAC schrijven voor de subsleutels HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSCRM en HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\MSCRMSandboxService in het Windows-register.

  • Het serviceaccount kan een SPN nodig hebben voor de URL die wordt gebruikt voor toegang tot de website die eraan is gekoppeld. Als u de SPN wilt instellen voor het Asynchrone service-account, voert u de volgende opdracht uit bij een opdrachtprompt op de computer waar de service wordt uitgevoerd.

    SETSPN –a MSCRMAsyncService/<ComputerName> <service account>

Microsoft Dynamics 365 Bewakingsservice

  • Lidmaatschap Domeingebruikers.

  • Dit account moet de machtiging Logon as service krijgen in het lokale beveiligingsbeleid.

  • Als de Microsoft Dynamics 365-bewakingsservice is geïnstalleerd met een Front-endserver-serverfunctie, is lidmaatschap van de lokale groep beheerders vereist op de computer waar de service wordt uitgevoerd, om de website en de groepen van toepassingen te controleren.Meer informatie:Afzonderlijke serverfuncties

  • Leesmachtiging voor HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSCRM

  • Lidmaatschap van SQLAccessGroup. Standaard wordt deze groep gemaakt en wordt het juiste lidmaatschap verleend tijdens Installatie van Microsoft Dynamics CRM Server.

  • Het serviceaccount kan een SPN nodig hebben voor de URL die wordt gebruikt voor toegang tot de website die eraan is gekoppeld.

Microsoft Dynamics 365 VSS Writer-service.

  • Lidmaatschap Domeingebruikers.

  • Dit account moet de machtiging Logon as service krijgen in het lokale beveiligingsbeleid.

  • Leesmachtiging voor HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSCRM

  • Lidmaatschap van PrivUserGroup en SQLAccessGroup. Standaard worden deze groepen gemaakt en wordt het juiste lidmaatschap verleend tijdens Installatie van Microsoft Dynamics CRM Server.

Configuratiewebservice (identiteit van de CRMDeploymentServiceAppPool-toepassingengroep)

  • Lidmaatschap Domeingebruikers.

  • Dit account moet de machtiging Logon as service krijgen in het lokale beveiligingsbeleid.

  • Het lidmaatschap van de lokale groep Administrators op de computer waarop SQL Server wordt uitgevoerd is vereist voor het uitvoeren van bewerkingen in de database van de organisatie (zoals het maken van nieuwe organisaties of het importeren van organisaties).

  • Lidmaatschap van de lokale groep Administrators op de computer waarop Implementatiewebservice wordt uitgevoerd.

  • Machtiging Sysadmin op het exemplaar van SQL Server dat moet worden gebruikt voor de configuratie- en organisatiedatabases.

  • Machtiging voor het lezen en schrijven van de mappen Trace en CRMWeb, standaard onder \Program Files\Microsoft Dynamics CRM\ en de %AppData%-gebruikersaccountmap op de lokale computer.

  • Alle toegangsmachtigingen behalve Volledige controle en DAC schrijven voor de subsleutels HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSCRM en HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\MSCRMSandboxService in het Windows-register.

  • Lidmaatschap van PrivUserGroup en SQLAccessGroup. Standaard worden deze groepen gemaakt en wordt het juiste lidmaatschap verleend tijdens Installatie van Microsoft Dynamics CRM Server.

  • Lidmaatschap van de groep CRM_WPG. Deze groep wordt gebruikt voor IIS-werkprocessen. De groep wordt gemaakt en het lidmaatschap wordt toegevoegd tijdens Installatie van Microsoft Dynamics CRM Server.

  • Het serviceaccount kan een SPN nodig hebben voor de URL die wordt gebruikt voor toegang tot de website die eraan is gekoppeld.

Toepassingservice (identiteit van de CRMAppPool IIS-toepassingengroep)

  • Lidmaatschap van groep Domeingebruikers.

  • Ingebouwd lidmaatschap van de lokale groep Prestatielogboekgebruikers.

  • Machtiging voor het lezen en schrijven van de mappen Trace en CRMWeb, standaard onder \Program Files\Microsoft Dynamics CRM\ en de %AppData%-gebruikersaccountmap op de lokale computer.

  • Alle toegangsmachtigingen behalve Volledige controle en DAC schrijven voor de subsleutels HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSCRM en HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\MSCRMSandboxService in het Windows-register.

  • Groepslidmaatschap van CRM_WPG. Deze groep wordt gebruikt voor IIS-werkprocessen. De groep wordt gemaakt en het lidmaatschap wordt toegevoegd tijdens Installatie van Microsoft Dynamics CRM Server.

  • Het serviceaccount kan een SPN nodig hebben voor de URL die wordt gebruikt voor toegang tot de website die eraan is gekoppeld.

Identiteiten van de IIS-toepassingengroep die worden uitgevoerd onder kernelmodusverificatie en SPN's

IIS-websites worden standaard geconfigureerd voor het gebruik van kernelmodusverificatie. Als u de Microsoft Dynamics 365-website uitvoert met kernelmodusverificatie, hoeft u mogelijk geen extra SPN's (Service Principal Names) te configureren voor de identiteiten van de CRMAppPool.

Als u wilt bepalen of voor uw IIS-installatie SPN's nodig zijn, raadpleegt u SPN-controlelijst (Service Principal Name) voor Kerberos-verificatie met IIS 7.0/7.5.

Microsoft Dynamics CRM-installatiebestanden

Als u van plan bent Microsoft Dynamics CRM 2016 te installeren vanaf een locatie op het netwerk, zoals een netwerkshare, moet u controleren of de juiste machtigingen zijn ingesteld voor de map waar de installatiebestanden zich bevinden (bij voorkeur op een NTFS-volume). U wilt misschien alleen leden van de domeinbeheerdersgroep machtigingen voor de map geven. Deze methode kan de kans op aanvallen op de installatiebestanden verminderen, waardoor ze kunnen worden geopend of gewijzigd. Voor meer informatie over het instellen van machtigingen op bestanden en mappen op het Microsoftbesturingssysteem raadpleegt u de Windows Help.

Zie ook

De installatie plannen van Microsoft Dynamics 365
Aanbevolen methodes voor Microsoft Dynamics 365-beveiliging
Aanbevolen procedures voor het beheren van on-premises installaties van Microsoft Dynamics 365
Netwerkpoorten voor Microsoft Dynamics 365
Microsoft Dynamics 365-serverfuncties

© 2017 Microsoft. Alle rechten voorbehouden. Auteursrecht