エクスポート (0) 印刷
すべて展開

Microsoft Dynamics CRM 2011 のセキュリティに関する考慮事項

Microsoft Dynamics CRM 2011 には、展開のセキュリティを強化するいくつかの機能拡張が導入されています。このセクションでは、Microsoft Dynamics CRM アプリケーションに関する情報とベスト プラクティスについて説明します。

このトピックの内容

Microsoft Dynamics CRM のセットアップ、サービス、およびコンポーネントに必要な最小限のアクセス許可

Microsoft Dynamics CRM は、コンポーネントを別の ID で実行できるように設計されています。ドメイン ユーザー アカウントに特定のコンポーネントを有効にするために必要な権限のみを付与することで、システムをセキュリティで保護して悪用される危険性を軽減します。

ここでは、Microsoft Dynamics CRM サービスおよびコンポーネント用のユーザー アカウントに最小限必要な権限について説明します。

Microsoft Dynamics CRM Server セットアップ

Microsoft Dynamics CRM Server セットアップ の実行中にデータベースを作成する場合、セットアップを実行するユーザー アカウントには、少なくとも次の権限が必要です。

  • Active Directory Domain Users グループのメンバーである必要があります。既定では、新しいユーザーは Active Directory ユーザーとコンピューター によって Domain Users グループに追加されます。

  • セットアップ を実行するローカル コンピューターの Administrators グループのメンバーである必要があります。

  • Local Program Files フォルダーに対する読み書き権限を持っている必要があります。

  • Microsoft Dynamics CRM データベースを格納する SQL Server のインスタンスが配置されるローカル コンピューターの Administrators グループのメンバーである必要があります。

  • Microsoft Dynamics CRM データベースを格納する SQL Server のインスタンスで sysadmin メンバーシップを持っている必要があります。

  • Active Directory に組織およびセキュリティ グループの作成アクセス許可を持っている必要があります。セキュリティ グループが既に作成されている場合は、セットアップ XML 構成ファイルを使用して Microsoft Dynamics CRM Server 2011 をインストールできます。詳細については、『インストール ガイド』の「コマンド プロンプトを使用した Microsoft Dynamics CRM 2011 のインストール」を参照してください。

  • Microsoft SQL Server Reporting Services が別のサーバーにインストールされている場合は、インストール用ユーザー アカウントのルート レベルでコンテンツ マネージャー ロールを追加する必要があります。また、インストール用ユーザー アカウントのサイト規模レベルで、システム管理者ロールを追加する必要もあります。

サービスと CRMAppPool IIS アプリケーション プール ID のアクセス許可

Microsoft Dynamics CRM サービスと IIS アプリケーション プール用のユーザー アカウントには、次のアクセス許可が必要です。

Important重要
Microsoft Dynamics CRM サービスとアプリケーション プール (CRMAppPool) ID アカウントは Microsoft Dynamics CRM ユーザーとして構成しないでください。この構成にすると、認証の問題とアプリケーションの予期しない動作がすべての Microsoft Dynamics CRM ユーザーで発生する可能性があります。詳細については、「Problems in CRM when the CRMAppPool user account is a CRM user (CRMAppPool ユーザー アカウントが CRM ユーザーである場合の CRM の問題)」を参照してください。

管理されたサービス アカウント (Windows Server 2008 R2 で導入) で Microsoft Dynamics CRM サービスを実行することはできません。

Microsoft Dynamics CRM サンドボックス処理サービス

  • Domain Users メンバーシップ。

  • このアカウントには、ローカル セキュリティ ポリシーで "サービスとしてログオン" のアクセス許可が付与されている必要があります。

  • Trace (既定では Program Files\Microsoft Dynamics CRM\Trace にあります) と、ローカル コンピューター上の "ユーザー アカウント"%AppData% に対するフォルダーの読み取りおよび書き込みのアクセス許可。

  • Windows レジストリの HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSCRM サブキーに対する読み取りおよび書き込みのアクセス許可。

  • サービス アカウントには、それに関連付けられた Web サイトへのアクセスに使用する URL の SPN が必要となる場合があります。 サンドボックス処理サービス アカウントの SPN を設定するには、サービスを実行するコンピューター上のコマンド プロンプトで次のコマンドを実行します。

    SETSPN –a MSCRMSandboxService/<ComputerName> <service account>

Microsoft Dynamics CRM 非同期処理サービスおよび Microsoft Dynamics CRM 非同期処理サービス (メンテナンス) のサービス

  • Domain Users メンバーシップ。

  • Performance Log Users メンバーシップ。

  • このアカウントには、ローカル セキュリティ ポリシーで "サービスとしてログオン" のアクセス許可が付与されている必要があります。

  • Trace フォルダー (既定では \Program Files\Microsoft Dynamics CRM\ の下にあります) と、ローカル コンピューター上の "ユーザー アカウント"%AppData% に対するフォルダーの読み取りおよび書き込みのアクセス許可。

  • Windows レジストリの HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSCRM および HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\MSCRMSandboxService サブキーに対する読み取りおよび書き込みのアクセス許可。

  • サービス アカウントには、それに関連付けられた Web サイトへのアクセスに使用する URL の SPN が必要となる場合があります。

展開 Web サービス (CRMDeploymentServiceAppPool アプリケーション プール ID)

  • Domain Users メンバーシップ。

  • このアカウントには、ローカル セキュリティ ポリシーで "サービスとしてログオン" のアクセス許可が付与されている必要があります。

  • 組織データベースの操作 (組織の新規作成やインポートなど) を実行するためにローカル管理者グループのメンバーシップが必要になるのは、次の条件に該当する場合だけです。

    • 組織データベース用に指定された Microsoft SQL Server データベースが、展開 Web サービス サーバーの役割を持つコンピューターと同じコンピューター上にある。

    • Web アプリケーション サーバー のサーバーの役割が、展開 Web サービス のサーバーの役割と同じコンピューターで実行されている。

  • 展開 Web サービス を実行しているコンピューターのローカル管理者グループのメンバーシップ。

  • SQL Server を実行しているコンピューターのローカル管理者グループのメンバーシップ。

  • 構成データベースと組織のデータベースとして使用する SQL Server のインスタンスに対する Sysadmin 権限。

  • Trace および CRMWeb フォルダー (既定では \Program Files\Microsoft Dynamics CRM\ の下にあります) と、ローカル コンピューター上の "ユーザー アカウント"%AppData% に対するフォルダーの読み取りおよび書き込みのアクセス許可。

  • Windows レジストリの HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSCRM および HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\MSCRMSandboxService サブキーに対する読み取りおよび書き込みのアクセス許可。

  • CRM_WPG グループ メンバーシップ。このグループは IIS ワーカー プロセスで使用されます。このグループは Microsoft Dynamics CRM Server セットアップ の実行中に作成されてメンバーシップが追加されます。

  • サービス アカウントには、それに関連付けられた Web サイトへのアクセスに使用する URL の SPN が必要となる場合があります。

アプリケーション サービス (CRMAppPool IIS アプリケーション プール ID)

  • Active Directory Domain Users グループのメンバー。

  • Active Directory Performance Log Users グループのメンバー。

  • Trace および CRMWeb フォルダー (既定では \Program Files\Microsoft Dynamics CRM\ の下にあります) と、ローカル コンピューター上の "ユーザー アカウント"%AppData% に対するフォルダーの読み取りおよび書き込みのアクセス許可。

  • Windows レジストリの HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSCRM および HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\MSCRMSandboxService サブキーに対する読み取りおよび書き込みのアクセス許可。

  • CRM_WPG グループ メンバーシップ。このグループは IIS ワーカー プロセスで使用されます。このグループは Microsoft Dynamics CRM Server セットアップ の実行中に作成されてメンバーシップが追加されます。

  • サービス アカウントには、それに関連付けられた Web サイトへのアクセスに使用する URL の SPN が必要となる場合があります。

カーネル モード認証で実行する IIS アプリケーション プール ID と SPN

既定で、IIS 7.0 および IIS 7.5 の Web サイトは、カーネル モード認証を使用するように構成されています。カーネル モード認証を使用して Microsoft Dynamics CRM Web サイト Web サイトを実行するときは、CRMAppPool ID に追加のサービス プリンシパル名 (SPN) を構成する必要がない場合があります。

IIS 展開で SPN が必要であるかどうかを判断する方法については、「Service Principal Name (SPN) checklist for Kerberos authentication with IIS 7.0/7.5 (IIS 7.0/7.5 での Kerberos 認証に関するサービス プリンシパル名 (SPN) チェック リスト)」を参照してください。

Microsoft Dynamics CRM のインストール ファイル

Microsoft Dynamics CRM をネットワーク共有などのネットワーク上の場所からインストールする場合は、インストール ファイルがあるフォルダー (NTFS ボリュームにあるのが望ましい) に対して適切なアクセス許可が適用されている必要があります。たとえば、Domain Admins グループのメンバーだけがそのフォルダーへのアクセス許可を持つようにする必要があります。このような対策を講じることで、インストール ファイルが悪用または改ざんされるリスクを抑えることができます。Windows オペレーティング システムのファイルとフォルダーに対するアクセス許可の設定方法詳細情報:Windows のヘルプを参照してください。

関連項目

この記事について Microsoft にコメントを送信する

© 2012 Microsoft Corporation. All rights reserved.
この情報は役に立ちましたか。
(残り 1500 文字)
フィードバックをいただき、ありがとうございました
表示:
© 2014 Microsoft