Microsoft Dynamics 365 用オペレーティング システムとプラットフォーム技術のセキュリティに関する考慮事項
公開日: 2017年1月
対象: Dynamics 365 (on-premises)、Dynamics CRM 2016
広い意味において、セキュリティには脅威とアクセスとの間の妥協点を計画および考慮することが含まれます。 たとえば、コンピューターを金庫室で保管し、1 人のシステム管理者しか使用できないようにしたとします。 確かにセキュリティは確保されますが、他のコンピューターに接続されないため、実用的ではありません。 ビジネス ユーザーがインターネットや社内のイントラネットにアクセスする必要がある場合、ネットワークをセキュリティで保護するだけでなく、実用性についても検討する必要があります。
このトピックには、役に立つ情報と、コンピューティング環境のセキュリティを強化するために使用できる多くのリソースへのリンクがあります。 最終的に、Microsoft Dynamics 365 のデータ セキュリティは、オペレーティング システムとソフトウェア コンポーネントのセキュリティをまずどれだけ高めるかに大きく左右されるためです。
このトピックの内容
Windows Server のセキュリティ保護
SQL Server のセキュリティ保護
Exchange Server と Outlook のセキュリティ保護
モバイル デバイスのセキュリティ保護
Windows Server のセキュリティ保護
Microsoft Dynamics 365 の基盤となる Windows Server は、高度なネットワーク セキュリティを備えています。Active Directory と Active Directory フェデレーション サービス (AD FS) に統合された Kerberos バージョン 5 認証プロトコルでは、クレームベース認証を使用して Active Directory ドメインをフェデレーションできます。 両方とも強力な標準ベースの認証を提供します。 これらの認証標準では、ユーザー名とパスワードを組み合わせた単一のサインインを入力するだけで、ネットワーク全体のリソースにアクセスできます。 また、Windows Server にはネットワークのセキュリティをさらに強化するいくつかの機能も備えています。
これらの機能と Windows Server の展開のセキュリティを強化する方法の詳細については、次のリンクを参照してください。
Windows Server 2012
Windows エラー報告
Microsoft Dynamics 365 には Windows エラー報告 (WER) サービスが必要です。このサービスがインストールされていない場合は、セットアップによってインストールされます。WER サービスでは、IP アドレスなどの情報が収集されます。 これらの IP アドレスがユーザーの特定に使用されることはありません。WER サービスは、名前、住所、電子メール アドレス、コンピューター名を含む個人を特定できる情報 (PII) の収集を目的とするものではありません。 これらの情報がメモリに保持されたり、開いているファイルからデータとして収集されたりする可能性がありますが、Microsoft がそれらの情報をユーザーの特定に使用することはありません。 また、Microsoft Dynamics 365 アプリケーションと Microsoft との間で送信される情報の一部は、セキュリティで保護されない場合があります。 送信される情報の種類に関する詳細については、Microsoft エラー報告サービスのプライバシーに関する声明を参照してください。
ウイルス、マルウェア、および ID の保護
ウイルスまたはマルウェアからの ID およびシステムの保護を強化するには、以下のリソースを確認してください。
Microsoft セーフティとセキュリティ センター: コンピューターを最新に保ち、悪用、スパイウェア、およびウイルスから保護する方法についてのヒント、トレーニング、およびガイダンスを参照するホームページです。
セキュリティ TechCenter: このページには、コンピューターやアプリケーションを最新かつより安全に保つうえで役立つ、技術記事、ヒント集、更新プログラム、ツール、およびガイダンスへのリンクがあります。
更新プログラムの管理
Microsoft Dynamics 365 の更新プログラムには、セキュリティ、パフォーマンス、および機能の改善点などが含まれています。Microsoft Dynamics 365 アプリケーションに最新の更新プログラムを適用すると、システムを常に安定した状態で効率的に稼動させることができます。 更新プログラムを管理する方法の詳細については、以下をご覧ください。
SQL Server のセキュリティ保護
Microsoft Dynamics 365 は SQL Server に依存しているため、以下の手段を講じて SQL Server データベースのセキュリティを強化してください。
最新のオペレーティング システム、SQL Server サービス パック (SP)、および更新プログラムを適用します。 最新情報については、マイクロソフト セキュリティ Web ページを参照してください。
ファイル システム レベルのセキュリティを強化するために、SQL Server のすべてのデータおよびシステム ファイルを NTFS パーティションにインストールします。 これらのファイルは、NTFS アクセス許可を通じて管理者レベルまたはシステム レベルのユーザーのみが使用できるようにしてください。 これは、MSSQLSERVER サービスが実行されていない場合に、これらのファイルにアクセスするユーザーに対するセーフガードとなります。
低レベルの特権を持つドメイン アカウントを使用します。 または、SQL Server サービスに対して、ネットワーク サービス アカウントまたはローカル システム アカウントを指定します。 ただし、アクセス許可が少ないドメイン ユーザー アカウントで SQL Server サービスを実行できるため、これらのアカウントを使用しないようお勧めします。 ドメイン ユーザー アカウントには、ドメイン内で最低限の権限を持たせるようにします。これにより、セキュリティ侵害が発生した場合にサーバーへの攻撃を (停止させるのではなく) 封じ込めます。 つまり、ドメイン ユーザー アカウントには、ドメインのローカル ユーザー レベルのアクセス許可のみを与えてください。 サービス実行のために Domain Administrator アカウントを使用して SQL Server がインストールされている場合、SQL Server の侵害によりドメイン全体が侵害されます。 この設定を変更する必要がある場合は、SQL Server Management Studio を使用してください。そうすることで、ファイルのアクセス制御リスト (ACL)、レジストリ、およびユーザーの権利も自動的に変更されます。
SQL Server は Windows 認証または SQL Server のいずれかの資格情報を持つユーザーを認証するため、シングル サインオンの利便性と最も強力なセキュリティで保護された認証であることから、Windows 認証を使用することをお勧めします。
少なくとも、サインインの失敗の監査は有効にしてください。 既定では、SQL Server システムの監査は無効であり、どの状態も監査されません。 そのため、侵入検知は困難で、攻撃者は足跡を隠蔽しやすくなります。
レポート サーバー管理者は RDL サンドボックスを有効にして、レポート サーバーに対するアクセスを制限する必要があります。詳細:「RDL サンドボックスの有効化と無効化」を参照してください
既定のデータベースとして master データベースを使用するように各 SQL のログオンを構成します。 ユーザーには master データベースに対する権限はありませんが、ベスト プラクティスとしては、SQL ログオン (SYSADMIN ロールを使用するもの以外) ごとに既定値を変更し、OrganizationName_MSCRM を既定のデータベースとして使用するようにしてください。詳細:SQL Server のセキュリティ保護
Exchange Server と Outlook のセキュリティ保護
次の検討事項は、Microsoft Exchange Server または Microsoft Dynamics 365 環境内での Exchange Server に関するものです。
Exchange Server には、インフラストラクチャをきめ細かく管理するための高度なメカニズムが含まれています。 とりわけ、管理グループを使用して、サーバー、コネクタ、ポリシーなどの Exchange Server オブジェクトを収集し、これらの管理グループ上で ACL を変更して特定のユーザーだけにアクセスを許可することができます。 たとえば、Microsoft Dynamics 365 管理者に対して、アプリケーションに直接影響のあるサーバーに対する制御権限を許可することができます。 管理グループを効率的に実装するときは、Microsoft Dynamics 365 管理者には職務の実行に必要な権限だけを与えます。
多くの場合、Microsoft Dynamics 365 ユーザー用の組織単位 (OU) を別に作成し、その OU に対する限定された管理者権限を Microsoft Dynamics 365 管理者に付与すると便利です。 管理者はその OU のユーザーに対しては変更を実行できますが、OU 外のユーザーに対しては変更を実行できません。
承認されていない電子メール中継に対しては、必ず適切な保護策を講じてください。 電子メール中継を使用すると、SMTP クライアントは SMTP サーバーを使用して電子メール メッセージをリモート ドメインに転送することができます。 既定では、Microsoft Exchange Server は電子メール中継を禁止するように構成されています。 構成する設定は、メッセージ フローや、インターネット サービス プロバイダー (ISP) の電子メール サーバーの構成方法によって異なります。 ただし、ここでは、いったん電子メール中継の設定をロックダウンした後、設定を徐々に開放して電子メールが正常に送受信されるようにしていくことが最も良い方法です。 詳細については、Exchange Server のヘルプを参照してください。
転送用メールボックスの監視を使用する場合、E-mail Router は Exchange Server または POP3 準拠メールボックスが必要です。 このメールボックスにアクセス許可を設定し、他のユーザーがサーバー側のルールを追加できないように禁止することをお勧めします。Exchange Server メールボックスの詳細は、「受信者のアクセス許可」を参照してください。
Microsoft Dynamics 365E-mail Router サービスはローカル システム アカウントで実行します。 このアカウントで実行すると、E-mail Router は指定されたユーザーのメールボックスにアクセスし、そのメールボックス内の電子メールを処理できます。
Exchange Server をより強力なセキュリティで保護する方法の詳細については、「展開のセキュリティ チェックリストDeployment Security Checklist」を参照してください。
モバイル デバイスのセキュリティ保護
増加するモバイル人口を組織がサポートするにつれ、強力なセキュリティが必要になります。 スマート フォンやタブレット PC などのモバイル デバイスのベスト プラクティスを実装するうえで役立つリソースを以下に示します。
Configuration Manager および Windows Intune を使用してモバイル デバイスを管理する方法
セキュリティに関する考慮事項 (Microsoft Surface)
ビジネスでの iOS (iPad および iPhone)
関連項目
Microsoft Dynamics 365 の展開計画
使用している電子メール システムと Microsoft Dynamics 365 の統合 (同期)
電話とタブレット PC の設定および管理
Microsoft Dynamics 365 のセキュリティに関する考慮事項
© 2017 Microsoft. All rights reserved. 著作権