Microsoft Dynamics CRM の設置型展開の管理に関するベスト プラクティス

 

公開日: 2016年11月

対象: Dynamics CRM 2015

いくつかの簡単な管理規則に従うことで、Microsoft Dynamics 365 設置型展開のセキュリティを大幅に向上できます。

  • 通常、Dynamics 365 ユーザーがドメイン上で管理者特権を持つ必要はありません。 したがって、すべての Dynamics 365 ユーザー アカウントをドメイン ユーザーのメンバーシップに制限します。 また、最小限の特権の原則に従って、Dynamics 365 システムを使用するすべてのユーザーの権限も最小限のものにします。 まず、ドメイン レベルから設定を始めます。Dynamics 365 の実行には、ドメイン ユーザー アカウントを作成して使用してください。 ドメイン管理者アカウントは、Dynamics 365 の実行には一切使用しないでください。

  • Microsoft Dynamics 365展開管理者 およびシステム管理者ロールの数を、ルールの変更を担当する 2 ~ 3 名のユーザーに限定します。SQL Server、Microsoft Exchange Server、または Active Directory の管理者である他のユーザーは、Dynamics 365 ユーザー グループのメンバーである必要はありません。

  • 少なくとも 2 ~ 3 名の信頼できるユーザーに展開管理者ロールを割り当てる必要があります。 こうしておくと、中心的な展開管理者が不在でもシステムは通常どおりに稼動します。

  • 組織によっては、複数のシステムや複数のドメイン間でパスワードを再使用していることがあります。 たとえば、2 つのドメインを担当する管理者が、それぞれのドメインで同じパスワードを使用するドメイン管理者アカウントを作成したり、ドメイン コンピューター上にドメイン全体のパスワードと同じローカル管理者パスワードを設定したりすることもあります。 このような場合、1 つのアカウントまたは 1 台のコンピューターのセキュリティが侵害されると、ドメイン全体のセキュリティが侵害される可能性があります。 パスワードは、絶対にこのような方法で再使用しないでください。

  • また、ドメイン管理者アカウントを、バックアップ システムなどの共通サービスのサービス アカウントとして使用している事例もよく見られます。 しかし、ドメイン管理者アカウントをサービス アカウントとして使用することには、セキュリティ上のリスクがあります。 管理者権限があればどのユーザーでも、コンピューター上でパスワードを簡単に取得することができます。 そのような場合、ドメイン全体でセキュリティが侵害されるおそれがあります。 ドメイン管理者アカウントを絶対にサービス アカウントとして使用しないでください。また、サービス アカウントの特権はできる限り制限してください。

  • また、Microsoft Dynamics 365 サービスを実行するために指定されるドメイン ユーザー アカウントは、Dynamics 365 ユーザーとして構成する必要もあります。 これに起因して、アプリケーションで予期しない動作が発生することがあります。

関連項目

Microsoft Dynamics CRM のセキュリティに関する考慮事項
Microsoft Dynamics CRM のセキュリティに関するベスト プラクティス
Microsoft Dynamics CRM のネットワーク ポート
Microsoft Dynamics CRM のセキュリティ概念

© 2016 Microsoft Corporation. All rights reserved. 著作権