Microsoft Dynamics 365 のセキュリティに関するベスト プラクティス
公開日: 2017年1月
対象: Dynamics 365 (on-premises)、Dynamics CRM 2016
インターネット インフォメーション サービス (IIS) は Windows Server に付属する完成した web サービスです。Microsoft Dynamics 365 は、効率的かつセキュリティで保護された IIS web サービスに依存しています。 次の点について検討してください。
machine.config および web.config 構成ファイルでは、デバッグを有効にするかどうか、また、詳細なエラー メッセージをクライアントに送信するかどうかを指定できます。 すべての運用サーバーでデバッグが無効になっていること、および問題が発生した場合にクライアントに一般的なエラー メッセージが送信されることを確認してください。 これにより、Web サーバーの構成に関する不要な情報がクライアントに送信されるのを防止します。
最新のオペレーティング システム、IIS Service Pack、および更新プログラムが適用されていることを確認します。 最新情報については、Microsoft セキュリティの Web サイトを参照してください。
Microsoft Dynamics CRM Server セットアップ によって、CRMAppPool と CRMDeploymentServiceAppPool と呼ばれるアプリケーション プールが作成されます。これらは、セットアップ中に指定されたユーザー資格情報の下で機能します。 最小の特権モデルを促進するために、これらのアプリケーション プールには、ネットワーク サービス アカウントではなく、個別のドメイン ユーザー アカウントを指定することをお勧めします。 また、これらのアプリケーション プールの下に他の ASP.NET 接続アプリケーションをインストールしないこともお勧めします。 これらのコンポーネントに必要な最低のアクセス許可の詳細については、「Microsoft Dynamics CRM のセットアップ、およびサービスのために最小限必要なアクセス許可」を参照してください。
重要
-
Microsoft Dynamics 365 Web サイトと同じコンピューターで実行されているすべての Web サイトが、Dynamics 365 のデータベースにもアクセスできるようにしてください。
-
ドメイン ユーザー アカウントを使用する場合は、Microsoft Dynamics CRM Server セットアップ を実行する前に、そのアカウントにサービス プリンシパル名 (SPN) が正しく設定されていることを確認し、必要に応じて正しい SPN を設定する必要があります。 SPN および SPN の設定方法の詳細については、「インターネット インフォメーション サービスでホストされている Web アプリケーションを構成するときに SPN を使用する方法」を参照してください。
Microsoft Dynamics 365 でのサービス プリンシパル名の管理
サービス プリンシパル名 (SPN) 属性は、DNS ホスト名から作成された、複数の値を持つリンクなしの属性です。 SPN は特定のサービスをホストするサーバーとクライアントの間の相互認証に使用されます。 クライアントは接続先のサービスの SPN に基づいてコンピューター アカウントを検索します。
Microsoft Dynamics 365 Server インストーラーでは、ロール固有のサービスと、セットアップで指定されたユーザー資格情報で動作する Web アプリケーション プールが展開されます。 これらのロールおよびアクセス許可の要件の完全な一覧を確認するには、Microsoft Dynamics CRM のセットアップ、およびサービスのために最小限必要なアクセス許可を参照してください。
ホストされた Microsoft Dynamics 365 インフラストラクチャを展開するとき、以下のうち 2 つの役割に追加の考慮事項が必要な場合があります。
展開 Web サービス
アプリケーション サービス
Web ファームのシナリオ (ホストされたサービスの場合など) では、カーネル モード認証を有効にしたままにすることをお勧めします。 また、以下の理由から、これらのサービスの実行に個別のドメイン ユーザー アカウントを使用することを綿密に検討する必要があります。
これらのサーバー ロールに個別のサービス アカウントを使用すると、ハードウェア負荷分散の実装が促進されます。
CRM 展開 Web サービスのサーバーの役割には、Dynamics 365 データベースで組織を準備する昇格されたアクセス許可が必要です。 最小限の特権モデルを維持する必要がある場合、ホストされた Microsoft Dynamics 365 インフラストラクチャで SPN を実装するための最も安全なアプローチでは、アプリケーション サービスとは異なるドメイン ユーザー アカウントで展開 Web サービスを実行します。
この推奨事項に従い、これらのサーバー ロールに異なるドメイン アカウントを使用する場合は、Microsoft Dynamics CRM Server セットアップ を開始する前に、各アカウントの SPN が正しいことを確認する必要があります。 これにより、必要に応じて適切な SPN を簡単に設定できるようになります。
カーネル モード認証が有効な場合は、指定したサービス アカウントに関係なく、コンピュータ アカウントに SPN が定義されます。 Web ファームを実装する場合は、カーネル モード認証を有効にし、ローカルの ApplicationHost.config ファイルを変更します。
アプリケーション サービスと展開 Web サービスが同じシステム上で実行していて、カーネル モード認証が無効の場合は、重複した SPN の問題を回避するため、それらの両方のサービスを同じドメイン ユーザー アカウントで実行するように構成できます。 カーネル モード認証を有効にできない場合、アプリケーション サービスと展開 Web サービスを別々のシステムにインストールします。 カーネル モード認証が無効であるため、SPN を手動で作成する必要がある場合があります。
SPN およびそれらの設定方法の詳細については、「Service Principal Name (SPN) checklist for Kerberos authentication with IIS 7.0/7.5 (IIS 7.0/7.5 での Kerberos 認証に関するサービス プリンシパル名 (SPN) チェック リスト)」を参照してください。
関連項目
Microsoft Dynamics 365 のセキュリティに関する考慮事項
Microsoft Dynamics 365 の設置型展開の管理に関するベスト プラクティス
© 2017 Microsoft. All rights reserved. 著作権