エクスポート (0) 印刷
すべて展開

Microsoft Dynamics CRM のセキュリティに関する考慮事項

適用対象: CRM 2015 on-prem

Microsoft Dynamics CRM は、展開のセキュリティの保護をさらに強固にするように設計されています。このセクションでは、Microsoft Dynamics CRM アプリケーションに関する情報とベスト プラクティスについて説明します。詳細 : Microsoft Dynamics CRM のセキュリティ概念

どのサービス アカウントを選択する必要がありますか。

Microsoft Dynamics CRM サービスを実行する ID を指定する場合は、ドメイン ユーザー アカウントまたはネットワーク サービス アカウントのいずれかを選択できます。

サービスがネットワーク サービス、ファイル共有などのアクセス ドメイン リソースと共に機能している場合、または別のコンピューターにリンクされたサーバー接続を使用している場合、ドメイン アカウントの最小特権を使用できます。ドメイン ユーザー アカウントでのみ複数のサーバー間活動を実行します。これは、最も安全なオプションです。このアカウントには、ドメイン管理で自分の環境で作成する必要があります。

noteメモ
サービスがドメイン アカウントを使用するように構成する場合、アプリケーションの特権を分離できますが、手動でをパスワードを管理するかこれらのパスワードの管理にカスタム ソリューションを作成する必要があります。多くのサーバー アプリケーションはこの対応策を使用してセキュリティを向上させますが、この対応策では追加的な管理と複雑さが要求されます。これらの展開では、サービスの管理者はサービス パスワードや Kerberos 認証を必要とするサービス プリンシパル名 (SPNs) の管理などの保守タスクに相当の時間を費やします。また、これらの保守タスクは、サービスを中断させます。

ネットワーク サービス アカウントは、ドメイン ユーザー グループのメンバーよりもリソースとオブジェクトへのより多くのアクセス権を持つ組み込みのアカウントです。ネットワーク サービス アカウントとして実行するサービスは、コンピューター アカウントの資格情報を <domain_name>\<computer_name>$ 形式で使用して、ネットワークリソースにアクセスします。アカウントの実際の名前は、NT AUTHORITY\NETWORK SERVICE です。

Microsoft Dynamics CRM のセットアップ、およびサービスに必要な最小限のアクセス許可

Microsoft Dynamics CRM は、その機能を別の ID で実行できるように設計されています。ドメイン ユーザー アカウントに特定の機能を有効にするために必要なアクセス許可のみを付与することで、システムをセキュリティで保護して悪用される危険性を軽減します。

ここでは、Microsoft Dynamics CRM サービスおよび機能用のユーザー アカウントに最小限必要な権限について説明します。

Microsoft Dynamics CRM Server セットアップ の実行中にデータベースを作成する場合、セットアップを実行するユーザー アカウントには、少なくとも次の権限が必要です。

  • Active Directory Domain Users グループのメンバーである必要があります。既定では、新しいユーザーは Active Directory ユーザーとコンピューター によって Domain Users グループに追加されます。

  • セットアップを実行するローカル コンピューターの管理者グループのメンバーである必要があります。

  • Local Program Files フォルダーに対する読み書き権限を持っている必要があります。

  • Microsoft Dynamics CRM データベースを格納する SQL Server のインスタンスが配置されるローカル コンピューターの Administrators グループのメンバーである必要があります。

  • Microsoft Dynamics CRM データベースを格納する SQL Server のインスタンスで sysadmin メンバーシップを持っている必要があります。

  • Active Directory に組織単位およびセキュリティ グループの作成アクセス許可を持っている必要があります。セキュリティ グループが既に作成されている場合は、セットアップ XML 構成ファイルを使用して Microsoft Dynamics CRM Server をインストールできます。詳細については、『インストール ガイド』の「コマンド プロンプトを使用した Microsoft Dynamics CRM Server のインストール」を参照してください。

  • Microsoft SQL Server Reporting Services が別のサーバーにインストールされている場合は、インストール用ユーザー アカウントのルート レベルでコンテンツ マネージャー ロールを追加する必要があります。また、インストール用ユーザー アカウントのサイト規模レベルで、システム管理者ロールを追加する必要もあります。

このセクションでは、Microsoft Dynamics CRM で使用される、サービスと IIS のアプリケーション プールに対してユーザー アカウントが必要とする最低のアクセス許可を示します。

Important重要
  • Microsoft Dynamics CRM サービスとアプリケーション プール (CRMAppPool) ID アカウントは Microsoft Dynamics CRM ユーザーとして構成しないでください。この構成にすると、認証の問題とアプリケーションの予期しない動作がすべての Microsoft Dynamics CRM ユーザーで発生する可能性があります。詳細 : CRMAppPool ユーザー アカウントが CRM ユーザーである場合の CRM の問題

  • 管理されたサービス アカウント (グループ管理されたサービス アカウント (gMSA) または単一管理されたサービス アカウント) と仮想アカウント (NT SERVICE\、<SERVICENAME>) は、Microsoft Dynamics CRM サービスの実行に対してサポートされていません。

次のサブセクションで、各サービスまたはアプリケーション プール ID に必要なドメイン ユーザー アカウントのアクセス許可について説明します。

Microsoft Dynamics CRM サンドボックス処理サービス

Microsoft Dynamics CRM 非同期処理サービスおよび Microsoft Dynamics CRM 非同期処理サービス (メンテナンス) のサービス

Microsoft Dynamics CRM 監視サービス

Microsoft Dynamics CRM VSS Writer サービス

展開 Web サービス (CRMDeploymentServiceAppPool アプリケーション プール ID)

アプリケーション サービス (CRMAppPool IIS アプリケーション プール ID)

Microsoft Dynamics CRM サンドボックス処理サービス

  • Domain Users メンバーシップ。

  • このアカウントには、ローカル セキュリティ ポリシーで "サービスとしてログオン" のアクセス許可が付与されている必要があります。

  • Trace (既定では Program Files\Microsoft Dynamics CRM\Trace にあります) と、ローカル コンピューター上の "ユーザー アカウント"%AppData% に対するフォルダーの読み取りおよび書き込みのアクセス許可。

  • Windows レジストリの HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSCRM サブキーに対する読み取りおよび書き込みのアクセス許可。

  • サービス アカウントには、それに関連付けられた Web サイトへのアクセスに使用する URL の SPN が必要となる場合があります。 サンドボックス処理サービス アカウントの SPN を設定するには、サービスを実行するコンピューター上のコマンド プロンプトで次のコマンドを実行します。

    SETSPN –a MSCRMSandboxService/<ComputerName> <service account>

Microsoft Dynamics CRM 非同期処理サービスおよび Microsoft Dynamics CRM 非同期処理サービス (メンテナンス) のサービス

  • Domain Users メンバーシップ。

  • PrivUserGroup および SQLAccessGroup のメンバーシップ。既定では、これらのグループは Microsoft Dynamics CRM Server セットアップ中に作成されて適切なメンバーシップが付与されます。

  • 組み込みのローカル グループのパフォーマンス ログ ユーザー メンバーシップ。

  • このアカウントには、ローカル セキュリティ ポリシーで "サービスとしてログオン" のアクセス許可が付与されている必要があります。

  • Trace フォルダー (既定では \Program Files\Microsoft Dynamics CRM\ の下にあります) と、ローカル コンピューター上の "ユーザー アカウント"%AppData% に対するフォルダーの読み取りおよび書き込みのアクセス許可。

  • Windows レジストリ の HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSCRMHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\MSCRMSandboxService サブキーに対する読み取りおよび書き込みアクセス許可。

  • サービス アカウントには、それに関連付けられた Web サイトへのアクセスに使用する URL の SPN が必要となる場合があります。 非同期サービス アカウントの SPN を設定するには、サービスを実行するコンピューター上のコマンド プロンプトで次のコマンドを実行します。

    SETSPN –a MSCRMAsyncService/<ComputerName> <service account>

Microsoft Dynamics CRM 監視サービス

  • Domain Users メンバーシップ。

  • このアカウントには、ローカル セキュリティ ポリシーで [Logon as service] アクセス許可が付与されている必要があります。

  • Microsoft Dynamics CRM 監視サービスが フロント エンド サーバー のサーバーの役割でインストールされている場合、Web サイトやアプリケーション プールを監視するため、サービスを実行しているコンピューターのローカル管理者グループのメンバーシップが必要です。詳細 : 個別に使用可能なサーバーの役割

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSCRMに対する読み取りアクセス許可

  • SQLAccessGroup のメンバーシップ。既定では、このグループは Microsoft Dynamics CRM Server セットアップ中に作成されて適切なメンバーシップが付与されます。

  • サービス アカウントには、それに関連付けられた Web サイトへのアクセスに使用する URL の SPN が必要となる場合があります。

Microsoft Dynamics CRM VSS Writer サービス

  • Domain Users メンバーシップ。

  • このアカウントには、ローカル セキュリティ ポリシーで [Logon as service] アクセス許可が付与されている必要があります。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSCRMに対する読み取りアクセス許可

  • PrivUserGroup および SQLAccessGroup のメンバーシップ。既定では、これらのグループは Microsoft Dynamics CRM Server セットアップ中に作成されて適切なメンバーシップが付与されます。

展開 Web サービス (CRMDeploymentServiceAppPool アプリケーション プール ID)

  • Domain Users メンバーシップ。

  • このアカウントには、ローカル セキュリティ ポリシーで [Logon as service] アクセス許可が付与されている必要があります。

  • SQL Server を実行するコンピューターでのローカル管理者グループのメンバーシップは、組織のデータベースの操作 (組織の新規作成やインポートなど) を実行するために必要です。

  • 展開 Web サービス を実行しているコンピューターのローカル管理者グループのメンバーシップ。

  • 構成データベースと組織のデータベースとして使用する SQL Server のインスタンスに対する Sysadmin 権限。

  • Trace および CRMWeb フォルダー (既定では \Program Files\Microsoft Dynamics CRM\ の下にあります) と、ローカル コンピューター上の "ユーザー アカウント"%AppData% に対するフォルダーの読み取りおよび書き込みのアクセス許可。

  • Windows レジストリ の HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSCRMHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\MSCRMSandboxService サブキーに対する読み取りおよび書き込みアクセス許可。

  • PrivUserGroup および SQLAccessGroup のメンバーシップ。既定では、これらのグループは Microsoft Dynamics CRM Server セットアップ中に作成されて適切なメンバーシップが付与されます。

  • CRM_WPG グループ メンバーシップ。このグループは IIS ワーカー プロセスで使用されます。このグループは Microsoft Dynamics CRM Server セットアップ の実行中に作成されてメンバーシップが追加されます。

  • サービス アカウントには、それに関連付けられた Web サイトへのアクセスに使用する URL の SPN が必要となる場合があります。

アプリケーション サービス (CRMAppPool IIS アプリケーション プール ID)

  • Domain Users グループ メンバーシップ。

  • 組み込みのローカル グループのパフォーマンス ログ ユーザー メンバーシップ。

  • Trace および CRMWeb フォルダー (既定では \Program Files\Microsoft Dynamics CRM\ の下にあります) と、ローカル コンピューター上の "ユーザー アカウント"%AppData% に対するフォルダーの読み取りおよび書き込みのアクセス許可。

  • Windows レジストリ の HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSCRMHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\MSCRMSandboxService サブキーに対する読み取りおよび書き込みアクセス許可。

  • CRM_WPG グループ メンバーシップ。このグループは IIS ワーカー プロセスで使用されます。このグループは Microsoft Dynamics CRM Server セットアップ の実行中に作成されてメンバーシップが追加されます。

  • サービス アカウントには、それに関連付けられた Web サイトへのアクセスに使用する URL の SPN が必要となる場合があります。

カーネル モード認証で実行する IIS アプリケーション プール ID と SPN

既定で、IIS の Web サイトは、カーネル モード認証を使用するように構成されています。カーネル モード認証を使用して Microsoft Dynamics CRM Web サイトを実行するときは、CRMAppPool ID に追加のサービス プリンシパル名 (SPN) を構成する必要がない場合があります。

IIS 展開で SPN が必要であるかどうかを判断する方法については、「Service Principal Name (SPN) checklist for Kerberos authentication with IIS 7.0/7.5 (IIS 7.0/7.5 での Kerberos 認証に関するサービス プリンシパル名 (SPN) チェック リスト)」を参照してください。

Microsoft Dynamics CRM のインストール ファイル

Microsoft Dynamics CRM をネットワーク共有などのネットワーク上の場所からインストールする場合は、インストール ファイルがあるフォルダー (NTFS ボリュームにあるのが望ましい) に対して適切なアクセス許可が適用されている必要があります。たとえば、Domain Admins グループのメンバーだけがそのフォルダーへのアクセス許可を持つようにする必要があります。このような対策を講じることで、インストール ファイルが悪用または改ざんされるリスクを抑えることができます。Windows オペレーティング システム上のファイルやフォルダーに対するアクセス許可の設定方法の詳細については、Windows のヘルプを参照してください。

関連項目

Send comments about this article to Microsoft.

© 2014 Microsoft Corporation. All rights reserved.
この情報は役に立ちましたか。
(残り 1500 文字)
フィードバックをいただき、ありがとうございました

コミュニティの追加

追加
表示:
© 2015 Microsoft