Considerações de segurança para o Microsoft Dynamics 365
Publicado: janeiro de 2017
Aplicável a: Dynamics 365 (on-premises), Dynamics CRM 2016
O Microsoft Dynamics 365 é criado de uma forma para ajudar a tornar sua implantação mais segura. Esta seção fornece informações e práticas recomendadas para o aplicativo Microsoft Dynamics 365.Para obter mais informações:Conceitos de segurança para Microsoft Dynamics 365
Neste tópico
O tipo de conta de serviço devo escolher?
Permissões mínimas necessárias para instalação e serviços do Microsoft Dynamics CRM
Arquivos de instalação do Microsoft Dynamics CRM
O tipo de conta de serviço devo escolher?
Quando você especifica uma identidades para executar um serviço Microsoft Dynamics 365, selecione uma conta de usuário de domínio ou a conta de Serviço de rede.
Se o serviço interagir com os serviços de rede, acesse os recursos de domínio, como compartilhamento de arquivo ou, se usar as conexões do servidor vinculado para outros computadores, você pode usar uma conta de domínio privilegiada minimamente. Muitas atividades de servidor para servidor podem ser executadas apenas com uma conta de usuário de domínio e podem oferecer a opção mais segura. Essa conta deve ser pré-criada pela administração de domínio no seu ambiente.
Observação
Ao configurar um serviço para usar uma conta de domínio, é possível isolar os privilégios para o aplicativo, mas manualmente gerenciar senhas ou criar uma solução personalizada para gerenciar essas senhas. Muitos aplicativos de servidor usam essa estratégia para melhorar a segurança, mas essa estratégia exige administração e complexidade adicionais. Nessas implantações, os administradores de serviço passam um período considerável de tempo em tarefas de manutenção, como gerenciar senhas de serviço e os nomes principais de serviço (SPNs), que são necessários para autenticação Kerberos. Além disso, essas tarefas de manutenção podem interromper o serviço.
A conta de Serviço de rede interna é uma conta incorporada com mais acesso a recursos e objetos que membros do grupo de Usuários do domínio. Os serviços que são executados como conta de Serviço de rede acessam os recursos da rede usando as credenciais da conta do computador no formato <domain_name>\<computer_name>$. O nome real dessa conta é NT AUTHORITY\NETWORK SERVICE.
Permissões mínimas necessárias para instalação e serviços do Microsoft Dynamics CRM
O Microsoft Dynamics 365 foi projetado para que seus recursos possam ser executados em identidades separadas. Especificando uma conta de usuário de domínio que recebe somente as permissões necessárias para habilitar o funcionamento de um determinado recurso, é possível proteger o sistema e reduzir a probabilidade de exploração.
Este tópico descreve as permissões mínimas necessárias na conta de usuário para os serviços e recursos do Microsoft Dynamics 365.
Instalação do Microsoft Dynamics CRM Server 2016
A conta de usuário utilizada para executar o Microsoft Dynamics CRM Server 2016Instalação que inclui a criação de bancos de dados exige as seguintes permissões mínimas:
Ser membro do grupo Usuários do Domínio do Active Directory. Por padrão, Usuários e Computadores do Active Directory adiciona novos usuários ao grupo Usuários do Domínio.
Ser membro do grupo Administradores no computador local em que a Instalação está sendo executada.
Ter permissão de leitura e gravação na pasta local de Arquivos de Programas.
Ser membro do grupo Administradores no computador local em que está localizada a instância do SQL Server que será usada para armazenar os bancos de dados do Microsoft Dynamics 365.
Ter associação do tipo sysadmin na instância do SQL Server que será usada para armazenar os bancos de dados do Microsoft Dynamics 365.
É necessário ter permissão para criar uma unidade organizacional e grupo de segurança e adicionar associação nesses grupos do Active Directory. Como alternativa, você pode usar um arquivo de configuração XML de Instalação para instalar o Microsoft Dynamics CRM Server 2016 quando os grupos de segurança já tiverem sido criados. Para obter mais informações, consulte Usar o prompt de comando para instalar o Microsoft Dynamics Server 365.
Se o Microsoft SQL Server Reporting Services estiver instalado em um servidor diferente, será necessário adicionar a função Gerenciador de Conteúdo no nível raiz para a conta de usuário que está sendo instalada. Também é necessário adicionar a função Função Administrador do Sistema no nível de todo o site para a conta de usuário que está sendo instalada.
Permissões de identidade dos serviços do Microsoft Dynamics 365 e do pool de aplicativos do IIS
Esta seção lista as permissões mínimas que as contas de usuário do domínio exigem para os serviços e os pools de aplicativos do IIS que o Microsoft Dynamics 365 usa.
Importante
-
As contas de identidade de pool de aplicativos e serviços (CRMAppPool) do Microsoft Dynamics 365 não devem ser configuradas como um usuário do Microsoft Dynamics 365. Fazer isso pode causar problemas de autenticação e comportamento inesperado no aplicativo para todos os usuários do Microsoft Dynamics 365.Para obter mais informações:Problemas no CRM quando a conta de usuário CRMAppPool é um usuário CRM
-
As contas de serviço gerenciadas (contas de serviço gerenciadas grupo (gMSA) ou contas de serviço gerenciadas) e contas virtuais (NT SERVICE\,<SERVICENAME>),não é suportado para a execução de serviços do Microsoft Dynamics 365.
As seguintes subseções descrevem as permissões de conta de usuário de domínio necessárias para cada serviço ou identidade do pool de aplicativos:
Microsoft Dynamics 365 Serviço de Processamento em Área Restrita
Serviço de Processamento Assíncrono do Microsoft Dynamics 365 e Serviço de Processamento Assíncrono do Microsoft Dynamics 365 (manutenção)
Microsoft Dynamics 365 Serviço de Monitoramento
Serviço de Gravador VSS do Microsoft Dynamics 365
Serviço Web de Implantação (identidade de Pool de Aplicativos CRMDeploymentServiceAppPool)
Serviço de Aplicativo (identidade de Pool de Aplicativos CRMAppPool IIS)
Microsoft Dynamics 365 Serviço de Processamento em Área Restrita
Associação aos Usuários do Domínio.
Essa conta precisa receber a permissão Fazer logon como serviço na Política de Segurança Local.
Permissão de leitura e gravação da pasta em Trace, localizada por padrão em \Program Files\Microsoft Dynamics 365\Trace, e as pastas da conta de usuário %AppData% no computador local.
Permissão de leitura da subchave HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSCRM no Registro do Windows.
A conta de serviço poderá precisar de um SPN para a URL usada no acesso ao site associado a ela. Para definir o SPN para a conta de Serviço de Processamento em Área Restrita, execute o seguinte comando em um prompt de comando no computador em que o serviço está sendo executado.
SETSPN –a MSCRMSandboxService/<ComputerName> <service account>
Serviço de Processamento Assíncrono do Microsoft Dynamics 365 e Serviço de Processamento Assíncrono do Microsoft Dynamics 365 (manutenção)
Associação aos Usuários do Domínio.
Associação do tipo PrivUserGroup e SQLAccessGroup. Por padrão, esses grupos são criados e a associação adequada é concedida durante Instalação do Servidor do Microsoft Dynamics CRM.
Associação aos usuários do log de desempenho do grupo local integrado.
Essa conta precisa receber a permissão Fazer logon como serviço na Política de Segurança Local.
Permissão de leitura e gravação nas pastas a seguir.
A pasta Trace. Por padrão, localizado em \Program Files\Microsoft Dynamics CRM\, e a pasta %AppData% da conta de usuário no computador local.
A pasta CustomizationImport. Por padrão, localizado em \Program Files\Microsoft Dynamics CRM\. Isso pode ser necessário para a importação da solução quando você usa o SDK do Microsoft Dynamics 365.
Todas as permissões de acesso, exceto Controle Total e Gravar DAC, às subchaves HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSCRM e HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\MSCRMSandboxService no Registro do Windows.
A conta de serviço poderá precisar de um SPN para a URL usada no acesso ao site associado a ela. Para definir o SPN para a conta de Serviço Assíncrono, execute o seguinte comando em um prompt de comando no computador em que o serviço está sendo executado.
SETSPN –a MSCRMAsyncService/<ComputerName> <service account>
Microsoft Dynamics 365 Serviço de Monitoramento
Associação aos Usuários do Domínio.
Essa conta precisa receber a permissão Logon as service na Política de Segurança Local.
Se o Serviço de Monitoramento do Microsoft Dynamics 365 for instalado com uma função de servidor Servidor Front-end, a associação do grupo do administrador local no computador onde serviço está sendo executado será necessária para monitorar o site da Web e os pools de aplicativos.Para obter mais informações:Funções de servidor individuais disponíveis
Permissão de leitura para HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSCRM
Associação do tipo SQLAccessGroup Por padrão, esse grupo é criado e a associação adequada é concedida durante Instalação do Servidor do Microsoft Dynamics CRM.
A conta de serviço poderá precisar de um SPN para a URL usada no acesso ao site associado a ela.
Serviço de Gravador VSS do Microsoft Dynamics 365
Associação aos Usuários do Domínio.
Essa conta precisa receber a permissão Logon as service na Política de Segurança Local.
Permissão de leitura para HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSCRM
Associação do tipo PrivUserGroup e SQLAccessGroup. Por padrão, esses grupos são criados e a associação adequada é concedida durante Instalação do Servidor do Microsoft Dynamics CRM.
Serviço Web de Implantação (identidade de Pool de Aplicativos CRMDeploymentServiceAppPool)
Associação aos Usuários do Domínio.
Essa conta precisa receber a permissão Logon as service na Política de Segurança Local.
A associação do grupo de administradores locais no computador onde o SQL Server está em execução é necessária para realizar as operações de banco de dados da organização (como criar nova ou importar organização).
Associação do grupo de administradores locais no computador em que o Serviço Web de Implantação está sendo executado.
A permissão Sysadmin na instância do SQL Server a ser usada para a configuração e a organização dos bancos de dados.
Permissão de leitura e gravação da pasta, nas pastas Trace e CRMWeb, por padrão localizadas em \Program Files\Microsoft Dynamics CRM\, e a pasta da conta do usuário %AppData% no computador local.
Todas as permissões de acesso, exceto Controle Total e Gravar DAC, às subchaves HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSCRM e HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\MSCRMSandboxService no Registro do Windows.
Associação do tipo PrivUserGroup e SQLAccessGroup. Por padrão, esses grupos são criados e a associação adequada é concedida durante Instalação do Servidor do Microsoft Dynamics CRM.
Associação do grupo CRM_WPG. Esse grupo é usado para processos de trabalho do IIS. O grupo é criado e a associação é adicionada durante a Instalação do Servidor do Microsoft Dynamics CRM.
A conta de serviço poderá precisar de um SPN para a URL usada no acesso ao site associado a ela.
Serviço de Aplicativo (identidade de Pool de Aplicativos CRMAppPool IIS)
Associação ao grupo de Usuários do Domínio.
Associação aos usuários do log de desempenho do grupo local integrado.
Permissão de leitura e gravação da pasta, nas pastas Trace e CRMWeb, por padrão localizadas em \Program Files\Microsoft Dynamics CRM\, e a pasta da conta do usuário %AppData% no computador local.
Todas as permissões de acesso, exceto Controle Total e Gravar DAC, às subchaves HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSCRM e HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\MSCRMSandboxService no Registro do Windows.
Associação de grupo CRM_WPG Esse grupo é usado para processos de trabalho do IIS. O grupo é criado e a associação é adicionada durante a Instalação do Servidor do Microsoft Dynamics CRM.
A conta de serviço poderá precisar de um SPN para a URL usada no acesso ao site associado a ela.
Identidades de Pool de Aplicativos do IIS executadas em autenticação de modo Kernel e SPNs
Por padrão, os sites do IIS são configurados para usar autenticação de modo Kernel. Quando você executa o site do Microsoft Dynamics 365 usando a autenticação de modo Kernel, pode não ser necessário configurar nomes principais de serviço adicionais para as identidades do CRMAppPool.
Para determinar se a implantação do IIS exige SPNs, consulte Lista de verificação de SPNs (Nomes Principais de Serviço) para autenticação Kerberos com IIS 7.0/7.5.
Arquivos de instalação do Microsoft Dynamics CRM
Se você planeja instalar o Microsoft Dynamics CRM 2016 de um local da rede, como um compartilhamento de arquivos, deve assegurar que as permissões corretas estejam aplicadas à pasta, de preferência em um volume NTFS, em que estão localizados os arquivos de instalação. Por exemplo, talvez você queira atribuir somente a membros do grupo Admins. do Domínio permissões para a pasta. Essa prática pode ajudar a reduzir o risco de ataques nos arquivos de instalação que podem comprometê-los ou alterá-los. Para obter mais informações sobre como definir permissões em arquivos e pastas nos sistemas operacionais Windows, consulte a Ajuda do Windows.
Confira Também
Planejamento da implantação do Microsoft Dynamics 365
Práticas recomendadas de segurança do Microsoft Dynamics 365
Práticas recomendadas de administração para implantações locais do Microsoft Dynamics 365
Portas de rede para o Microsoft Dynamics 365
Funções de servidor do Microsoft Dynamics 365
© 2017 Microsoft. Todos os direitos reservados. Direitos autorais