Dynamics 365 Customer Engagement (on-premises) 安全性最佳做法
Internet Information Services (IIS) 是 Windows Server 隨附的健全 Web 服務。 Dynamics 365 Customer Engagement (on-premises) 相依於有效率且安全的 IIS Web 服務。 請考量下列各項:
您可以在
machine.config與web.config設定檔中決定是否要啟用偵錯,以及是否要將詳細的錯誤訊息傳送給用戶端。 您應該要確認所有生產伺服器已停用偵錯,且會在發生錯誤時傳送一般錯誤訊息給用戶端。 這樣可以避免非必要的網頁伺服器設定資訊被傳送至用戶端。確認已套用最新的作業系統以及 IIS Service Pack 和更新。 如需最新的資訊,請參閱 Microsoft 安全性網站。
Dynamics 365 Server 安裝程式會建立稱為 CRMAppPool 和 CRMDeploymentServiceAppPool 的應用程式集區,這些集區在安裝期間指定的使用者認證下運作。 若要使用最低權限模式,我們建議您針對這些應用程式集區指定不同的網域使用者帳戶,而不是使用「網路服務」帳戶。 此外,建議您不要在這些應用程式集區下安裝與 ASP.NET 連線的應用程式。 如需這些元件所需的最低權限資訊,請參閱 Microsoft Dynamics 365 安裝程式及服務所需的最低權限。
重要
- 確定所有與 Dynamics 365 Customer Engagement (on-premises) 網站同在一台電腦上執行的網站都可以存取 Customer Engagement 資料庫。
- 如果您使用網域使用者帳戶,則執行 Microsoft Dynamics 365 Server 安裝程式之前,可能需要驗證該帳戶的服務主體名稱 (SPN) 設定正確,而且在需要時,設定正確的 SPN。 如需 SPN 及如何設定它們的詳細資訊,請參閱在 IIS 設定主控的 Web 應用程式時,如何使用 SPN。
Microsoft Dynamics 365 中的服務主體名稱管理
服務主體名稱 (SPN) 屬性是一個多重值且無連結的屬性,是從 DNS 主機名稱建置而來的。 在用戶端與裝載特殊服務的伺服器之間執行雙向驗證時會使用 SPN。 用戶端會根據其嘗試連線至服務的 SPN 來尋找電腦帳戶。
Dynamics 365 Server 安裝程式會部署可在安裝期間所指定之使用者認證下運作的角色特定服務和 Web 應用程式集區。 若要檢閱這些角色的完整清單和其權限需求,請參閱 Microsoft Dynamics 365 安裝程式及服務需要的最低權限。
在部署已裝載的 Dynamics 365 Customer Engagement (on-premises) 基礎結構時,其中兩個角色可能需要其他考量:
部署 Web 服務
應用程式服務
在 Web 伺服陣列案例中 (就和裝載的產品項目一樣),建議您讓核心模式的驗證保持啟用狀態。 此外,您應更進一步考量使用個別的網域使用者帳戶來執行這些服務,因為:
讓這些伺服器角色擁有個別服務帳戶,有助於能實作硬體負載平衡。
部署 Web 服務伺服器角色需要提高權限,才能在 Customer Engagement 資料庫中佈建組織。 如果您想要繼承最低權限模型,在託管 Dynamics 365 Customer Engagement (on-premises) 基礎結構上實作 SPN 的最安全方法,涉及在與應用程式服務不同的網域使用者帳戶下執行部署 Web 服務。
如果您遵循此建議,針對這些伺服器角色使用個別的網域帳戶,您應該在啟動 Dynamics 365 Server 安裝程式之前,先檢查以確定每個帳戶的 SPN 是正確的。 這樣將能讓您能夠更輕易地視需要來設定正確的 SPN。
如果已啟用 [核心模式驗證],不論指定的服務帳戶為何,都將為機器帳戶定義 SPN。 當您實作 Web 伺服陣列時,請啟用核心模式驗證並變更區域 ApplicationHost.config 檔案。
如果應用程式和部署 Web 服務都是在相同的系統上執行,而且已停用核心模式驗證,則您可以同時設定這兩個服務,在相同的網域使用者帳戶下執行,以防止發生重複的 SPN 問題。 如果無法啟用核心模式驗證,請在個別系統上安裝 [應用程式] 和 [部署] Web 服務。 由於已停用核心模式驗證,所以可能仍須手動建立 SPN。