Dynamics 365 Customer Engagement (on-premises) 內部部署管理最佳做法
只需依循一些簡單的管理規則,您就可以大幅提升 Dynamics 365 Customer Engagement (on-premises) 內部部署的安全性。
一般而言,Customer Engagement 使用者不必擁有網域的管理權限。 因此,所有 Customer Engagement 使用者帳戶都必須限制為「網域使用者」成員資格。 此外,根據最低權限原則,任何使用 Customer Engagement 系統的使用者也都必須有最小權限。 這要從網域層級開始著手。 必須建立網域使用者帳戶,並將其用於執行 Customer Engagement。 永遠不要使用網域使用者帳戶來執行 Customer Engagement。
將 Dynamics 365 Customer Engagement (on-premises) 部署管理員與系統管理員角色的數量限制在幾個負責變更規則的人員。 其他 SQL Server、Microsoft Exchange Server 或 Active Directory 系統管理員不需要是 Customer Engagement 使用者群組的成員。
請確定至少有兩位或三位受信任的人員具備部署系統管理員角色。 這可避免沒有主要部署系統管理員時發生的系統鎖定。
在某些組織中,系統和網域間重複使用密碼是常見的作法。 例如,負責兩個網域的系統管理員可能會使用相同密碼,在每個網域各建立一個網域系統管理員帳戶,甚至在整個網域的網域電腦中設定相同的本機系統管理員密碼。 在此情況下,對單一帳戶或電腦的危害可能會危及整個網域。 因此,密碼絕對不可以像這樣重複使用。
使用網域系統管理員帳戶做為常見服務 (如備份系統) 的服務帳戶也是常見的作法。 然而,使用網域系統管理員帳戶做為服務帳戶會導致安全性風險。 任何在電腦上具備系統管理權限的人都可輕易地取得密碼。 在此情況下,安全危機可能會危及整個網域。 永遠不要以網域系統管理員帳戶做為服務帳戶,而且應該盡可能限制服務帳戶的權限。
指定用以執行 Dynamics 365 Customer Engagement (on-premises) 服務的網域使用者帳戶不得同時設定為 Customer Engagement 使用者。 這可能會造成應用程式非預期的行為。