Microsoft Dynamics 365 のセキュリティに関する考慮事項

公開日: 2017年1月

対象: Dynamics 365 (on-premises)、Dynamics CRM 2016

Microsoft Dynamics 365 は、展開のセキュリティの保護をさらに強固にするように設計されています。 このセクションでは、Microsoft Dynamics 365 アプリケーションに関する情報とベスト プラクティスについて説明します。詳細:Microsoft Dynamics 365 のセキュリティ概念

このトピックの内容

どのサービス アカウントを選択する必要がありますか。

Microsoft Dynamics CRM のセットアップ、およびサービスのために最小限必要なアクセス許可

Microsoft Dynamics CRM のインストール ファイル

どのサービス アカウントを選択する必要がありますか。

Microsoft Dynamics 365 サービスを実行する ID を指定する場合は、ドメイン ユーザー アカウントまたはネットワーク サービス アカウントのいずれかを選択できます。

サービスがネットワーク サービス、ファイル共有などのアクセス ドメイン リソースと共に機能している場合、または別のコンピューターにリンクされたサーバー接続を使用している場合、ドメイン アカウントの最小特権を使用できます。 ドメイン ユーザー アカウントでのみ複数のサーバー間活動を実行します。これは、最も安全なオプションです。 このアカウントには、ドメイン管理で自分の環境で作成する必要があります。

ネットワーク サービス アカウントは、ドメイン ユーザー グループのメンバーよりもリソースとオブジェクトへのより多くのアクセス権を持つ組み込みのアカウントです。 ネットワーク サービス アカウントとして実行するサービスは、コンピューター アカウントの資格情報を <domain_name>\<computer_name>$ 形式で使用して、ネットワークリソースにアクセスします。 アカウントの実際の名前は、NT AUTHORITY\NETWORK SERVICE です。

Microsoft Dynamics CRM のセットアップ、およびサービスのために最小限必要なアクセス許可

Microsoft Dynamics 365 は、その機能を別の ID で実行できるように設計されています。 ドメイン ユーザー アカウントに特定の機能を有効にするために必要なアクセス許可のみを付与することで、システムをセキュリティで保護して悪用される危険性を軽減します。

ここでは、Microsoft Dynamics 365 サービスおよび機能用のユーザー アカウントに最小限必要な権限について説明します。

Microsoft Dynamics CRM Server 2016 セットアップ

Microsoft Dynamics CRM Server 2016セットアップ の実行中にデータベースを作成する場合、セットアップを実行するユーザー アカウントには、少なくとも次の権限が必要です。

• Active Directory Domain Users グループのメンバーである必要があります。 既定では、新しいユーザーは Active Directory ユーザーとコンピューター によって Domain Users グループに追加されます。

• セットアップを実行するローカル コンピューターの管理者グループのメンバーである必要があります。

• Local Program Files フォルダーに対する読み書き権限を持っている必要があります。

• Microsoft Dynamics 365 データベースを格納する SQL Server のインスタンスが配置されるローカル コンピューターの Administrators グループのメンバーである必要があります。

• Microsoft Dynamics 365 データベースを格納するために使用する SQL Server のインスタンスで、sysadmin メンバーシップを持っている必要があります。

• 組織単位とセキュリティ グループを作成し、Active Directory でこのグループにメンバーシップのアクセス許可を追加する必要があります。 セキュリティ グループが既に作成されている場合は、セットアップ XML 構成ファイルを使用して Microsoft Dynamics CRM Server 2016 をインストールできます。 詳細については、「コマンド プロンプトを使用した Microsoft Dynamics Server 365 のインストール」を参照してください。

• Microsoft SQL Server Reporting Services が別のサーバーにインストールされている場合は、インストール用ユーザー アカウントのルート レベルでコンテンツ マネージャー ロールを追加する必要があります。 また、インストール用ユーザー アカウントのサイト規模レベルで、システム管理者ロールを追加する必要もあります。

Microsoft Dynamics 365 サービスと IIS アプリケーション プール ID のアクセス許可

このセクションでは、Microsoft Dynamics 365 で使用される、サービスと IIS のアプリケーション プールに対してユーザー アカウントが必要とする最低のアクセス許可を示します。

次のサブセクションで、各サービスまたはアプリケーション プール ID に必要なドメイン ユーザー アカウントのアクセス許可について説明します。

Microsoft Dynamics 365 サンドボックス処理サービス

Microsoft Dynamics 365 非同期処理サービスおよび Microsoft Dynamics 365 非同期処理サービス (メンテナンス) サービス

Microsoft Dynamics 365 監視サービス

Microsoft Dynamics 365 VSS Writer サービス

展開 Web サービス (CRMDeploymentServiceAppPool アプリケーション プール ID)

アプリケーション サービス (CRMAppPool IIS アプリケーション プール ID)

Microsoft Dynamics 365 サンドボックス処理サービス

• Domain Users メンバーシップ。

• このアカウントには、ローカル セキュリティ ポリシーで "サービスとしてログオン" のアクセス許可が付与されている必要があります。

• Trace (既定では \Program Files\Microsoft Dynamics 365\Trace にあります) とローカル コンピューター上のユーザー アカウント %AppData% フォルダーに対する、フォルダー読み書きアクセス許可。

• Windows レジストリの HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSCRM サブキーに対する読み取りおよび書き込みのアクセス許可。

• サービス アカウントには、それに関連付けられた Web サイトへのアクセスに使用する URL の SPN が必要となる場合があります。サンドボックス処理サービス アカウントの SPN を設定するには、サービスを実行するコンピューター上のコマンド プロンプトで次のコマンドを実行します。

  SETSPN –a MSCRMSandboxService/<ComputerName> <service account>

Microsoft Dynamics 365 非同期処理サービスおよび Microsoft Dynamics 365 非同期処理サービス (メンテナンス) サービス

• Domain Users メンバーシップ。

• PrivUserGroup や SQLAccessGroup のメンバーシップ。 既定では、これらのグループは Microsoft Dynamics CRM Server セットアップ中に作成されて適切なメンバーシップが付与されます。

• 組み込みのローカル グループのパフォーマンス ログ ユーザー メンバーシップ。

• このアカウントには、ローカル セキュリティ ポリシーで "サービスとしてログオン" のアクセス許可が付与されている必要があります。

• 次のフォルダーに対する読み取りおよび書き込みのアクセス許可。

  • Trace フォルダー。 既定では、\Program Files\Microsoft Dynamics CRM\ と、ローカル コンピューター上のユーザー アカウント %AppData% フォルダーの下に配置されます。

  • CustomizationImport フォルダー。 既定では、\Program Files\Microsoft Dynamics CRM\ の下に配置されます。 これは、Microsoft Dynamics 365 SDK を使用するとき、ソリューションのインポートに必要な場合があります。

• Windows レジストリ 内の HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSCRM および HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\MSCRMSandboxService サブキーに対するフル コントロールと書き込み DAC を除く、すべてのアクセス許可。

• サービス アカウントには、それに関連付けられた Web サイトへのアクセスに使用する URL の SPN が必要となる場合があります。非同期サービス アカウントの SPN を設定するには、サービスを実行するコンピューター上のコマンド プロンプトで次のコマンドを実行します。

  SETSPN –a MSCRMAsyncService/<ComputerName> <service account>

Microsoft Dynamics 365 監視サービス

• Domain Users メンバーシップ。

• このアカウントには、ローカル セキュリティ ポリシーで [Logon as service] アクセス許可が付与されている必要があります。

• Microsoft Dynamics 365 監視サービスが フロント エンド サーバー のサーバーの役割でインストールされている場合、Web サイトやアプリケーション プールを監視するため、サービスを実行しているコンピューターのローカル管理者グループのメンバーシップが必要です。詳細:個別に使用可能なサーバーの役割

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSCRMに対する読み取りアクセス許可

• SQLAccessGroup メンバーシップ。 既定では、このグループは Microsoft Dynamics CRM Server セットアップ中に作成されて適切なメンバーシップが付与されます。

• サービス アカウントには、それに関連付けられた Web サイトへのアクセスに使用する URL の SPN が必要となる場合があります。

Microsoft Dynamics 365 VSS Writer サービス

• Domain Users メンバーシップ。

• このアカウントには、ローカル セキュリティ ポリシーで [Logon as service] アクセス許可が付与されている必要があります。

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSCRMに対する読み取りアクセス許可

• PrivUserGroup や SQLAccessGroup のメンバーシップ。 既定では、これらのグループは Microsoft Dynamics CRM Server セットアップ中に作成されて適切なメンバーシップが付与されます。

展開 Web サービス (CRMDeploymentServiceAppPool アプリケーション プール ID)

• Domain Users メンバーシップ。

• このアカウントには、ローカル セキュリティ ポリシーで [Logon as service] アクセス許可が付与されている必要があります。

• SQL Server を実行するコンピューターでのローカル管理者グループのメンバーシップは、組織のデータベースの操作 (組織の新規作成やインポートなど) を実行するために必要です。

• 展開 Web サービス を実行しているコンピューターのローカル管理者グループのメンバーシップ。

• 構成データベースと組織のデータベースとして使用する SQL Server のインスタンスに対する Sysadmin アクセス許可。

• Trace および CRMWeb フォルダー (既定では \Program Files\Microsoft Dynamics CRM\ の下にあります) と、ローカル コンピューター上のユーザー アカウント %AppData% フォルダーに対する、フォルダーの読み書きアクセス許可。

• Windows レジストリ 内の HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSCRM および HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\MSCRMSandboxService サブキーに対するフル コントロールと書き込み DAC を除く、すべてのアクセス許可。

• PrivUserGroup や SQLAccessGroup のメンバーシップ。 既定では、これらのグループは Microsoft Dynamics CRM Server セットアップ中に作成されて適切なメンバーシップが付与されます。

• CRM_WPG グループ メンバーシップ。 このグループは IIS ワーカー プロセスで使用されます。 このグループは Microsoft Dynamics CRM Server セットアップ の実行中に作成されてメンバーシップが追加されます。

• サービス アカウントには、それに関連付けられた Web サイトへのアクセスに使用する URL の SPN が必要となる場合があります。

アプリケーション サービス (CRMAppPool IIS アプリケーション プール ID)

• Domain Users グループ メンバーシップ。

• 組み込みのローカル グループのパフォーマンス ログ ユーザー メンバーシップ。

• Trace および CRMWeb フォルダー (既定では \Program Files\Microsoft Dynamics CRM\ の下にあります) と、ローカル コンピューター上のユーザー アカウント %AppData% フォルダーに対する、フォルダーの読み書きアクセス許可。

• Windows レジストリ 内の HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSCRM および HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\MSCRMSandboxService サブキーに対するフル コントロールと書き込み DAC を除く、すべてのアクセス許可。

• CRM_WPG グループ メンバーシップ。 このグループは IIS ワーカー プロセスで使用されます。 このグループは Microsoft Dynamics CRM Server セットアップ の実行中に作成されてメンバーシップが追加されます。

• サービス アカウントには、それに関連付けられた Web サイトへのアクセスに使用する URL の SPN が必要となる場合があります。

カーネル モード認証で実行する IIS アプリケーション プール ID と SPN

既定で、IIS の Web サイトは、カーネル モード認証を使用するように構成されています。 カーネル モード認証を使用して Microsoft Dynamics 365 Web サイトを実行するときは、CRMAppPool ID に追加のサービス プリンシパル名 (SPN) を構成する必要がない場合があります。

IIS 展開で SPN が必要であるかどうかを判断する方法については、「IIS 7.0/7.5 での Kerberos 認証に関するサービス プリンシパル名 (SPN) チェックリスト」を参照してください。

Microsoft Dynamics CRM のインストール ファイル

Microsoft Dynamics CRM 2016 をネットワーク共有などのネットワーク上の場所からインストールする場合は、インストール ファイルがあるフォルダー (NTFS ボリュームにあるのが望ましい) に対して適切なアクセス許可が適用されている必要があります。 たとえば、Domain Admins グループのメンバーだけがそのフォルダーへのアクセス許可を持つようにする必要があります。 このような対策を講じることで、インストール ファイルが悪用または改ざんされるリスクを抑えることができます。 Windows オペレーティング システム上のファイルやフォルダーに対するアクセス許可の設定方法の詳細については、Windows のヘルプを参照してください。

関連項目

Microsoft Dynamics 365 の展開計画
Microsoft Dynamics 365 のセキュリティに関するベスト プラクティス
Microsoft Dynamics 365 の設置型展開の管理に関するベスト プラクティス
Microsoft Dynamics 365 のネットワーク ポート
Microsoft Dynamics 365 サーバーの役割

© 2017 Microsoft. All rights reserved. 著作権