Considerações de segurança para o Dynamics 365 Customer Engagement (on-premises)
O Dynamics 365 Customer Engagement (on-premises) é criado de uma forma para ajudar a tornar sua implantação mais segura. Esta seção fornece informações e práticas recomendadas para o aplicativo Dynamics 365 Customer Engagement (on-premises). Mais informações: Visão geral de segurança do Microsoft Dynamics 365
O tipo de conta de serviço devo escolher?
Quando você especifica uma identidades para executar um serviço Dynamics 365 Customer Engagement (on-premises), selecione uma conta de usuário de domínio ou a conta de Serviço de rede.
Se o serviço interagir com os serviços de rede, acesse os recursos de domínio, como compartilhamento de arquivo ou, se usar as conexões do servidor vinculado para outros computadores, você pode usar uma conta de domínio privilegiada minimamente. Muitas atividades de servidor para servidor podem ser executadas apenas com uma conta de usuário de domínio e podem oferecer a opção mais segura. Essa conta deve ser pré-criada pelo administrador de domínio no seu ambiente.
Nota
Ao configurar um serviço para usar uma conta de domínio, é possível isolar os privilégios para o aplicativo, mas manualmente gerenciar senhas ou criar uma solução personalizada para gerenciar essas senhas. Muitos aplicativos de servidor usam essa estratégia para melhorar a segurança, mas essa estratégia exige administração e complexidade adicionais. Nessas implantações, os administradores de serviço passam um período considerável de tempo em tarefas de manutenção, como gerenciar senhas de serviço e os nomes principais de serviço (SPNs), que são necessários para autenticação Kerberos. Além disso, essas tarefas de manutenção podem interromper o serviço.
A conta de Serviço de rede interna é uma conta incorporada com mais acesso a recursos e objetos que membros do grupo de Usuários do domínio. Os serviços que são executados como conta de Serviço de rede acessam os recursos da rede usando as credenciais da conta do computador no formato <domain_name>\<computer_name>$. O nome real dessa conta é NT AUTHORITY\NETWORK SERVICE.
Permissões mínimas necessárias para Instalação e serviços do Microsoft Dynamics 365
O Dynamics 365 Customer Engagement (on-premises) foi projetado para que seus recursos possam ser executados em identidades separadas. Especificando uma conta de usuário de domínio que recebe somente as permissões necessárias para habilitar o funcionamento de um determinado recurso, é possível proteger o sistema e reduzir a probabilidade de exploração.
Este tópico descreve as permissões mínimas necessárias na conta de usuário para os serviços e recursos do Dynamics 365 Customer Engagement (on-premises).
Instalação do Microsoft Dynamics CRM Server
A conta de usuário usada para executar a Instalação do Dynamics 365 Server que inclui a criação de bancos de dados exige as seguintes permissões mínimas:
Ser membro do grupo Usuários do Domínio do Active Directory. Por padrão, Usuários e Computadores do Active Directory adiciona novos usuários ao grupo Usuários do Domínio.
Ser membro do grupo Administradores no computador local em que a Instalação está sendo executada.
Ter permissão de leitura e gravação na pasta local de Arquivos de Programas.
Ser membro do grupo Administradores no computador local em que está localizada a instância do SQL Server que será usada para armazenar os bancos de dados do Dynamics 365 Customer Engagement (on-premises).
Ter associação sysadmin na instância do SQL Server que será usada para armazenar os bancos de dados do Dynamics 365 Customer Engagement (on-premises).
É necessário ter permissão para criar uma unidade organizacional e um grupo de segurança e adicionar associação a esses grupos no Active Directory. Como alternativa, você pode usar um arquivo de configuração XML de Instalação para instalar o Dynamics 365 Server quando os grupos de segurança já tiverem sido criados. Para obter mais informações, consulte Usar o prompt de comando para instalar o Microsoft Dynamics 365.
Se o SQL Server Reporting Services estiver instalado em outro servidor, será necessário adicionar a função Gerenciador de Conteúdo no nível raiz para a conta de usuário que está sendo instalada. Também é necessário adicionar a função Administrador do Sistema no nível de todo o site para a conta de usuário que está sendo instalada.
Permissões de identidade dos serviços do Microsoft Dynamics 365 e do pool de aplicativos do IIS
Esta seção lista as permissões mínimas que as contas de usuário do domínio exigem para os serviços e os pools de aplicativos do IIS que o Dynamics 365 Customer Engagement (on-premises) usa.
Importante
- As contas de identidade de pool de aplicativos e serviços (CRMAppPool) do Dynamics 365 Customer Engagement (on-premises) não devem ser configuradas como um usuário do Dynamics 365 Customer Engagement (on-premises). Fazer isso pode causar problemas de autenticação e comportamento inesperado no aplicativo para todos os usuários do Dynamics 365 Customer Engagement (on-premises). Mais informações:Problemas no CRM quando a conta de usuário CRMAppPool é um usuário do CRM
- As contas de serviço gerenciadas (contas de serviço gerenciadas por grupo (gMSA) ou contas de serviço gerenciadas individualmente) e contas virtuais (NT SERVICE\<SERVICENAME>) não têm suporte para a execução de serviços do Dynamics 365 Customer Engagement (on-premises).
As seguintes subseções descrevem as permissões de conta de usuário de domínio necessárias para cada serviço ou identidade do pool de aplicativos:
Serviço de Processamento em Área Restrita do Microsoft Dynamics 365
Serviço de Monitoramento do Microsoft Dynamics 365
Serviço de Gravador VSS do Microsoft Dynamics 365
Serviço Web de Implantação (identidade de Pool de Aplicativos CRMDeploymentServiceAppPool)
Serviço de Aplicativo (identidade de Pool de Aplicativos CRMAppPool IIS)
Serviço de Processamento em Área Restrita do Microsoft Dynamics 365
Associação aos Usuários do Domínio.
Essa conta precisa receber a permissão Fazer logon como serviço na Política de Segurança Local.
Permissão de leitura e gravação da pasta Rastrear, por padrão localizada em \Arquivos de Programa\Microsoft Dynamics 365\Rastrear e das pastas %AppData% da conta do usuário no computador local.
Permissão de leitura da subchave HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSCRM no Registro do Windows.
A conta de serviço poderá precisar de um SPN para a URL usada no acesso ao site associado a ela. Para definir o SPN para a conta do Serviço de Processamento em Área Restrita, execute o seguinte comando em um prompt de comando no computador em que o serviço está sendo executado.
SETSPN –a MSCRMSandboxService/<ComputerName> <service account>
Serviço de Processamento Assíncrono do Microsoft Dynamics 365 e Serviço de Processamento Assíncrono do Microsoft Dynamics 365 (manutenção)
Associação aos Usuários do Domínio.
Associação do PrivUserGroup e SQLAccessGroup. Por padrão, esses grupos são criados e a associação adequada é concedida durante a Instalação do Microsoft Dynamics 365 Server.
Associação aos usuários do log de desempenho do grupo local integrado.
Essa conta precisa receber a permissão Fazer logon como serviço na Política de Segurança Local.
Permissão de leitura e gravação nas pastas a seguir.
A pasta
Trace
. Por padrão, localizado em \Program Files\Microsoft Dynamics CRM\, e a pasta%AppData%
da conta de usuário no computador local.A pasta
CustomizationImport
. Por padrão, localizado em \Program Files\Microsoft Dynamics CRM\. Pode ser necessário para a importação da solução quando você usa o Dynamics 365 Customer Engagement Web Services.
Todas as permissões de acesso, exceto Controle Total e Gravar DAC, às subchaves
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSCRM
eHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\MSCRMSandboxService
no Registro do Windows.A conta de serviço poderá precisar de um SPN para a URL usada no acesso ao site associado a ela. Para definir o SPN para a conta de Serviço Assíncrono, execute o seguinte comando em um prompt de comando no computador em que o serviço está sendo executado.
SETSPN –a MSCRMAsyncService/<ComputerName> <service account>
Serviço de Monitoramento do Microsoft Dynamics 365
Associação aos Usuários do Domínio.
Essa conta precisa receber a permissão
Logon as service
na Política de Segurança Local.Se o Serviço de Monitoramento do Microsoft Dynamics 365 for instalado com uma função de servidor Servidor Front-end, a associação do grupo de administrador local no computador onde serviço está sendo executado será necessária para monitorar o site e os pools de aplicativos. Mais informações:Funções de servidor individuais disponíveis
Permissão de leitura para
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSCRM
Associação do SQLAccessGroup. Por padrão, esse grupo é criado e a associação adequada é concedida durante a Instalação do Microsoft Dynamics 365 Server.
A conta de serviço poderá precisar de um SPN para a URL usada no acesso ao site associado a ela.
Serviço Gravador VSS do Microsoft Dynamics 365
Associação aos Usuários do Domínio.
Essa conta precisa receber a permissão
Logon as service
na Política de Segurança Local.Essa conta deve receber a associação do grupo de
Backup Operators
no servidor que hospeda este serviço.Permissão de leitura para
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSCRM
Associação do PrivUserGroup e SQLAccessGroup. Por padrão, esses grupos são criados e a associação adequada é concedida durante a Instalação do Microsoft Dynamics 365 Server.
Serviço Web de Implantação (identidade de Pool de Aplicativos CRMDeploymentServiceAppPool)
Associação aos Usuários do Domínio.
Essa conta precisa receber a permissão
Logon as service
na Política de Segurança Local.A associação do grupo de administradores locais no computador onde o SQL Server está em execução é necessária para realizar as operações de banco de dados da organização (como criar nova ou importar organização).
Associação do grupo de administradores locais no computador em que o Serviço Web de Implantação está sendo executado.
Permissão Sysadmin na instância do SQL Server que será usada para os bancos de dados de configuração e de organização.
Permissão de leitura e gravação da pasta, nas pastas
Trace
eCRMWeb
, por padrão localizadas em \Arquivos de Programa\Microsoft Dynamics CRM\, e a pasta%AppData%
da conta do usuário no computador local.Todas as permissões de acesso, exceto Controle Total e Gravar DAC, às subchaves
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSCRM
eHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\MSCRMSandboxService
no Registro do Windows.Associação do PrivUserGroup e SQLAccessGroup. Por padrão, esses grupos são criados e a associação adequada é concedida durante a Instalação do Microsoft Dynamics 365 Server.
Associação do grupo CRM_WPG. Esse grupo é usado para processos de trabalho do IIS. O grupo é criado e a associação é adicionada durante a Instalação do Microsoft Dynamics 365 Server.
A conta de serviço poderá precisar de um SPN para a URL usada no acesso ao site associado a ela.
Serviço de Aplicativo (identidade de Pool de Aplicativos CRMAppPool IIS)
Associação ao grupo de Usuários do Domínio.
Associação aos usuários do log de desempenho do grupo local integrado.
Associação do grupo de administradores locais no computador no qual o Serviço de Aplicativo está em execução.
Permissão de leitura e gravação da pasta, nas pastas
Trace
eCRMWeb
, por padrão localizadas em \Arquivos de Programa\Microsoft Dynamics CRM\, e a pasta%AppData%
da conta do usuário no computador local.Todas as permissões de acesso, exceto Controle Total e Gravar DAC, às subchaves
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSCRM
eHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\MSCRMSandboxService
no Registro do Windows.Associação do PrivUserGroup e SQLAccessGroup. Por padrão, esses grupos são criados e a associação adequada é concedida durante a Instalação do Microsoft Dynamics 365 Server.
Associação do grupo CRM_WPG. Esse grupo é usado para processos de trabalho do IIS. O grupo é criado e a associação é adicionada durante a Instalação do Microsoft Dynamics 365 Server.
A conta de serviço poderá precisar de um SPN para a URL usada no acesso ao site associado a ela.
Identidades de Pool de Aplicativos do IIS executadas em autenticação de modo Kernel e SPNs
Por padrão, os sites do IIS são configurados para usar autenticação do modo Kernel. Ao executar o site do Dynamics 365 Customer Engagement (on-premises) usando a autenticação de modo Kernel, talvez você não precise configurar nomes de entidade de serviço (SPNs) adicionais para as identidades do CRMAppPool.
Para obter mais informações sobre como visualizar, excluir e registrar SPNs usando SetSPN.exe, consulte Nomes de entidades de serviço (SPNs) Sintaxe SetSPN.
Arquivos de instalação do Microsoft Dynamics 365
Se você planeja instalar o Dynamics 365 de um local da rede, como um compartilhamento de rede, deve assegurar que as permissões corretas sejam aplicadas à pasta, de preferência em um volume NTFS, em que estão localizados os arquivos de instalação. Por exemplo, talvez você queira atribuir somente a membros do grupo Admins. do Domínio permissões para a pasta. Essa prática pode ajudar a reduzir o risco de ataques nos arquivos de instalação que podem comprometê-los ou alterá-los. Para obter mais informações sobre como definir permissões em arquivos e pastas nos sistemas operacionais Windows, consulte a Ajuda do Windows.
Consulte também
Planejando a implantação do Microsoft Dynamics 365
Práticas recomendadas de segurança do Microsoft Dynamics 365