Dynamics 365 Customer Engagement (on-premises) 的安全性考量
Dynamics 365 Customer Engagement (on-premises) 是以有助於部署更加安全的方式而設計。 本節提供 Dynamics 365 Customer Engagement (on-premises) 應用程式的資訊和最佳作法。 其他資訊:Microsoft Dynamics 365 安全性概觀
我應該選取何種服務帳戶?
當您指定一個身分以執行 Dynamics 365 Customer Engagement (on-premises) 服務時,您可以選擇網域使用者帳戶或是網路服務帳戶。
如果服務使用網路服務,存取例如檔案共用存取網域資源,或將用來存取其他電腦的連結伺服器連線,您可以使用最低權限的網域帳戶。 許多伺服器對伺服器的活動只能用網域使用者帳戶執行,這可提供最安全的選項。 網域系統管理員應在您的環境中預先建立此帳戶。
Note
當您設定服務使用網域帳戶時,您可以獨立管理應用程式的權限,但是必須手動管理密碼,或建立一個解決方案來管理這些密碼。 許多伺服器應用程式使用這項策略強化安全性,但是這項策略需要其他的管理,也更加複雜。 在這些部署中,服務系統管理員在維護工作花費的時間量,例如管理服務密碼並為主要名稱 (SPN) 服務 (Kerberos 驗證需要)。 另外,這些維護工作會破壞服務。
網路服務帳戶是一個具有比網域使用者群組有更多存取資源和物件權限的固定帳戶。 使用電腦帳戶認證的 (格式為 <domain_name>\<computer_name>$) 以網路服務帳戶存取網路資源 的服務。 帳戶實際名稱是 NT AUTHORITY \ NETWORK SERVICE。
Microsoft Dynamics 365 安裝程式與服務所需的最低權限
Dynamics 365 Customer Engagement (on-premises) 的設計可讓其功能在不同的身分識別下執行。 將網域使用者帳戶指定為僅授與必要權限來允許特定功能運作,如此您可以確保系統的安全和降低盜用的可能性。
本主題說明 Dynamics 365 Customer Engagement (on-premises) 服務與功能的使用者帳戶所需的最低權限。
Microsoft Dynamics CRM Server 安裝程式
用以執行 Dynamics 365 Server 安裝程式,包括建立資料庫的使用者帳戶,需要下列最低權限:
屬於 Active Directory 網域使用者群組的成員。 根據預設,Active Directory 使用者和電腦會將使用者新增至網域使用者群組。
位於執行安裝程式之本機電腦,屬於「系統管理員」群組成員。
具有本機 Program Files 資料夾的讀取與寫入權限。
屬於 SQL Server 執行個體 (將用於儲存 Dynamics 365 Customer Engagement (on-premises) 資料庫) 所在本機電腦中系統管理員群組的成員。
在用於儲存 Dynamics 365 Customer Engagement (on-premises) 資料庫的 SQL Server 執行個體上擁有 sysadmin 成員資格。
擁有組織單位和安全性群組建立權限,並將成員資格權限新增至 Active Directory 中的這些群組。 或者,當已經建立安全性群組時,您可以使用安裝程式 XML 設定檔來安裝 Dynamics 365 Server。 如需詳細資訊,請參閱使用命令提示安裝 Microsoft Dynamics 365。
如果將 SQL Server Reporting Services 安裝在不同的伺服器,您必須在根層級下為安裝使用者帳戶新增內容管理員角色。 您也必須在網站層級新增系統管理員角色以安裝使用者帳戶。
Microsoft Dynamics 365 服務與 IIS 應用程式集區身分識別權限
本節列出網域使用者帳戶對 Dynamics 365 Customer Engagement (on-premises) 所用服務及 IIS 應用程式集區所需的最低權限。
重要
- Dynamics 365 Customer Engagement (on-premises) 服務及應用程式集區 (CRMAppPool) 身分識別帳戶不可設定為 Dynamics 365 Customer Engagement (on-premises) 使用者。 這樣做可能會對所有的 Dynamics 365 Customer Engagement (on-premises) 使用者造成應用程式的驗證問題與非預期行為。 其他資訊:當 CRMAppPool 使用者帳戶是 CRM 使用者時,CRM 會發生問題
- 受管理的服務帳戶 (群組管理的服務帳戶 gMSA 或單一受管理的服務帳戶) 與虛擬帳戶 (NT SERVICE\,<SERVICENAME>) 不支援執行 Dynamics 365 Customer Engagement (on-premises) 服務。
下列小節將說明每個服務或應用程式集區身分需要網域使用者帳戶權限:
Microsoft Dynamics 365 非同步處理服務與 Microsoft Dynamics 365 非同步處理服務 (維護) 服務
Microsoft Dynamics 365 VSS 寫入器服務
部署 Web 服務 (CRMDeploymentServiceAppPool 應用程式集區身分識別)
應用程式服務 (CRMAppPool IIS 應用程式集區身分識別)
Microsoft Dynamics 365 沙箱處理服務
網域使用者成員資格。
必須在「本機安全性原則」中授與該帳戶 以服務方式登入 權限。
追蹤的資料夾讀取與寫入權限,預設位於 \Program Files\Microsoft Dynamics 365\Trace 下,以及本機電腦上的使用者帳戶 %AppData% 資料夾下。
Windows 登錄中 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSCRM 子機碼的讀取權限。
服務帳戶可能需要用以存取與其關聯網站之 URL 的 SPN。 若要為沙箱處理服務帳戶設定 SPN,請在服務執行所在電腦的命令提示字元中執行下列命令。
SETSPN –a MSCRMSandboxService/<ComputerName> <service account>
Microsoft Dynamics 365 非同步處理服務與 Microsoft Dynamics 365 非同步處理服務 (維護) 服務
網域使用者成員資格。
PrivUserGroup 和 SQLAccessGroup 成員資格。 預設會在 Microsoft Dynamics 365 Server 安裝期間建立這些群組並授與適當的成員資格。
內建本機群組效能記錄使用者成員資格。
必須在「本機安全性原則」中授與該帳戶 以服務方式登入 權限。
下列資料夾的讀取與寫入權限。
Trace資料夾。 預設位於 \Program Files\Microsoft Dynamics CRM\ 下,以及本機電腦上的使用者帳戶%AppData%資料夾下。CustomizationImport資料夾。 預設位於 \Program Files\Microsoft Dynamics CRM\ 下。 當您使用 Dynamics 365 Customer Engagement Web 服務時,這可能進行解決方案匯入所需的資料夾。
除了 Windows 登錄的
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSCRM和HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\MSCRMSandboxService子機碼的完整控制權和寫入 DAC 以外,所有的存取權限。服務帳戶可能需要用以存取與其關聯網站之 URL 的 SPN。 若要為非同步服務帳戶設定 SPN,請在服務執行所在電腦的命令提示字元中執行下列命令。
SETSPN –a MSCRMAsyncService/<ComputerName> <service account>
Microsoft Dynamics 365 監視服務
網域使用者成員資格。
必須在「本機安全性原則」中授與該帳戶
Logon as service權限。如果 Microsoft Dynamics 365 監視服務是隨前端伺服器的伺服器角色一起安裝,服務執行所在的電腦必須有本機系統管理員群組成員資格,才能監控網站和應用程式集區。 其他資訊:可用的個別伺服器角色
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSCRM的讀取權限SQLAccessGroup 成員資格。 預設會在 Microsoft Dynamics 365 Server 安裝期間建立此群組,並授與其適當的成員資格。
服務帳戶可能需要用以存取與其關聯網站之 URL 的 SPN。
Microsoft Dynamics 365 VSS 寫入器服務
網域使用者成員資格。
必須在「本機安全性原則」中授與該帳戶
Logon as service權限。該帳戶必須被授予託管此服務之伺服器上的
Backup Operators群組的成員身份。HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSCRM的讀取權限PrivUserGroup 和 SQLAccessGroup 成員資格。 預設會在 Microsoft Dynamics 365 Server 安裝期間建立這些群組並授與適當的成員資格。
部署 Web 服務 (CRMDeploymentServiceAppPool 應用程式集區身分識別)
網域使用者成員資格。
必須在「本機安全性原則」中授與該帳戶
Logon as service權限。在執行 SQL Server 的電腦上需要本機系統管理員群組成員資格來執行組織資料庫作業 (例如建立新組織或匯入組織)。
部署 Web 服務執行所在電腦上的本機系統管理員群組成員資格。
要用於設定及組織資料庫之 SQL Server 執行個體上的 Sysadmin 權限。
Trace和CRMWeb資料夾的資料夾讀取與寫入權限,預設位於 \Program Files\Microsoft Dynamics CRM\ 下,以及本機電腦上的使用者帳戶%AppData%資料夾下。除了 Windows 登錄的
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSCRM和HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\MSCRMSandboxService子機碼的完整控制權和寫入 DAC 以外,所有的存取權限。PrivUserGroup 和 SQLAccessGroup 成員資格。 預設會在 Microsoft Dynamics 365 Server 安裝期間建立這些群組並授與適當的成員資格。
CRM_WPG 群組成員資格。 這個群組用於 IIS 工作者處理序。 Microsoft Dynamics 365 Server 安裝期間會建立群組並新增成員資格。
服務帳戶可能需要用以存取與其關聯網站之 URL 的 SPN。
應用程式服務 (CRMAppPool IIS 應用程式集區身分識別)
網域使用者群組成員資格。
內建本機群組效能記錄使用者成員資格。
應用程式服務執行所在電腦的本機系統管理員群組成員資格。
Trace和CRMWeb資料夾的資料夾讀取與寫入權限,預設位於 \Program Files\Microsoft Dynamics CRM\ 下,以及本機電腦上的使用者帳戶%AppData%資料夾下。除了 Windows 登錄的
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSCRM和HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\MSCRMSandboxService子機碼的完整控制權和寫入 DAC 以外,所有的存取權限。PrivUserGroup 和 SQLAccessGroup 成員資格。 預設會在 Microsoft Dynamics 365 Server 安裝期間建立這些群組並授與適當的成員資格。
CRM_WPG 群組成員資格。 這個群組用於 IIS 工作者處理序。 Microsoft Dynamics 365 Server 安裝期間會建立群組並新增成員資格。
服務帳戶可能需要用以存取與其關聯網站之 URL 的 SPN。
在核心模式驗證與 SPN 下執行的 IIS 應用程式集區身分識別
根據預設,IIS 網站會設定成使用核心模式驗證。 當您使用核心模式驗證執行 Dynamics 365 Customer Engagement (on-premises) 網站時,您可能不需要為 CRMAppPool 身分識別設定其他服務主體名稱 (SPN)。
有關使用 SetSPN.exe 查看、刪除和註冊SPN的詳細資訊,請參閱 服務主體名稱 (SPN) SetSPN 語法。
Microsoft Dynamics 365 安裝檔案
如果您計劃從網路位置 (如網路共用) 安裝 Dynamics 365,則必須確認該資料夾已套用正確的權限,資料夾最好位於安裝檔案所在的 NTFS 磁碟區。 例如,只允許網域系統管理員群組的成員擁有該資料夾的權限。 此作法可降低安裝檔案受攻擊而導致洩露或變更的風險。 如需如何在 Windows 作業系統的檔案和資料夾設定權限的詳細資訊,請參閱 Windows 說明。
請參閱
規劃您的 Microsoft Dynamics 365 部署
Microsoft Dynamics 365 安全性最佳做法