FAQ zur Sicherheitsbewertung
Dieser Artikel enthält Antworten auf häufig gestellte Fragen zur Sicherheitsbewertung in Microsoft Dynamics 365 Fraud Protection.
Authentifizierung und Verwaltung
Unterstützt die Anwendung oder den Dienst Single Sign-On (SSO) über Security Assertion Markup Language (SAML) 1.1, SAML 2.0 oder Webdienstverbund (WS-Fed)?
Ja.
- Portal: SPA – OAuth 2.0 und OpenID Connect unter Verwendung des Authentifizierungscodeflows mit PKCE über die MSAL-v2-Bibliothek.
- Service-to-Service-Backend-API: OAuth 2.0
- Fingerabdruckservice: Anonym
- Azure-Stapel: Shared Access Signature Token (SAS) für die Speicherung
Gibt es eine „Hintertür“-URL, mit der Benutzer oder Administratoren SSO umgehen können?
Nein
Unterstützt die Anwendung die Okta-Integration (SSO-Plattform)?
Okta-Integration wird standardmäßig nicht unterstützt. Microsoft Entra unterstützt benutzerdefinierte Integrationen. Da der Händler den Mandanten besitzt, kann der Händler microsoft Entra Identity Integrationspunkte nutzen. Weitere Informationen finden Sie in der Microsoft Entra-Dokumentation.
Unterstützt die Anwendung oder der Dienst die Zwei-Faktor-Authentifizierung (2FA)?
Ja. Der Händler kann 2FA in der Microsoft Entra-ID aktivieren.
Wie lautet die 2FA-Lösung?
Die 2FA-Lösung ist die mehrstufige Azure-Authentifizierung, ein Microsoft Entra-Feature. Weitere Informationen finden Sie unter So funktioniert es: Azure Multi-Factor-Authentification.
Unterstützt die Anwendung Kennwörter auf Anwendungsebene?
Nein Benutzer- und Anwendungsidentitäten werden im Microsoft Entra-Konto des Kunden verwaltet.
Welcher Hash- oder Verschlüsselungsalgorithmus wird zum Schutz von Passwörtern verwendet?
Nicht zutreffend.
Wird Hash-Salting verwendet?
Nicht zutreffend.
Verwendet die Anwendung oder der Dienst die automatische Kontobereitstellung? Wenn dies so ist, wie wird dies erreicht (z. B. On-Demand über SAML, Feed mit automatisch durch Komma getrennten Werten [CSV] über sichere Übertragung oder API)?
Nein und nicht zutreffend.
Verwendet die Anwendung oder der Dienst die sofortige Beendigung des Kontozugriffs, einschließlich des Schließens offener Sitzungen?
Nein Der Ablauf des Microsoft Entra-Tokens ist an der Beendigung des Benutzerzugriffs ausgerichtet, nicht an der Sitzung.
Wenn die Kontoauflösung nicht automatisch erfolgt, wird diese Aktion innerhalb einer Stunde nach einer Anforderung zur Beendigung des Kontozugriffs ausgeführt?
Ja, pro Microsoft Entra-Richtlinie. Weitere Informationen finden Sie in der Microsoft Entra-Dokumentation.
Wie lange dauert die Sitzung im Leerlauf der Anwendung?
Gemäß der Microsoft Entra-Richtlinie wird das Timeout der Sitzung im Leerlauf an dem Gültigkeitszeitraum des Tokens ausgerichtet.
Verwendet die Anwendung oder der Dienst eine automatische Kontodeprovisionierung über eine API?
Nein
Bietet die Anwendung oder der Dienst eine Dispositionsstrategie für Inhalte, die bei der Deprovisionierung an das Konto eines Benutzers angehängt werden?
Nein Nur Überwachungsprotokolle werden gemäß den Onlinediensten (OST) und der Microsoft-Datenschutzerklärung nachverfolgt und als Funktionen gespeichert.
Erlaubt die Anwendung oder der Dienst dem Administrator, Daten und Funktionen basierend auf Rolle und/oder Funktion gemäß dem Modell mit den geringsten Berechtigungen explizit zu autorisieren?
Ja. Über Microsoft Entra-Rollen können Administratoren innerhalb ihres Mandanten Zugriff gewähren.
Eine Mindesterwartung ist die Unterstützung der Administratorrolle, der Benutzerrolle, der schreibgeschützten Administratorrolle (Protokollrolle) und der nicht privilegierten Administratorrolle (kein Zugriff auf Inhalte). Bieten Sie diese Unterstützung an?
Die Anwendung/der Dienst hat außer der Administratorrolle keine Rollen. Benutzer in der Administratorrolle sind dafür verantwortlich, zusätzliche Rollen innerhalb ihres Mandanten zu erstellen. Informationen zum Hinzufügen und Entfernen von Rollen finden Sie unter Konfigurieren Sie den Benutzerzugriff.
Wenn die Anwendung Freigabeberechtigungen enthält, lässt die Anwendung oder der Dienst den Administrator Benutzeranforderungen auf zusätzlichen Zugriff auf Daten überprüfen?
Nicht zutreffend.
Ermöglicht die Anwendung oder der Dienst dem Administrator, zwischen Administratorbenutzern und regulären Benutzern zu unterscheiden?
Nein
Welche Rechte sind für die verschiedenen Rollen in der Anwendung oder im Dienst verfügbar?
Weitere Informationen finden Sie unter Benutzerrollen und -zugriff.
Überwachen
Enthält die Anwendung oder das Dienstprotokoll Informationen in einem branchenüblichen Ereignisformat wie CSV, Common Event Format (CEF) oder Syslog?
Protokolldaten werden vom Produkt nicht gemeinsam genutzt. Servicemetriken und Key Performance Indicators (KPIs) sind über Power BI Ansichten verfügbar.
Sammelt oder liefert die Anwendung oder der Dienst Daten über Benutzeranmeldung, Abmeldung, Kennwortänderungen und fehlgeschlagene Anmeldeversuche?
Ja. Weitere Informationen finden Sie unter Überwachungsaktivitätsberichte im Microsoft Entra-Portal.
Sammelt oder stellt die Anwendung oder der Dienst Überwachungsprotokolle von Administratoraktionen (Benutzerkonto Erstellen/Aktualisieren/Löschen) oder anwendungsspezifischen Aktionen bereit?
Die Anwendung verwaltet einen Überwachungsverlauf mit wichtigen Änderungen, z. B. Regel- oder Listenaktualisierungen. Benutzerkontenaktionen und der entsprechende Überwachungsverlauf werden über die Microsoft Entra-ID gesteuert. Weitere Informationen finden Sie in der Dokumentation zu Microsoft Entra-Berichten und -Überwachungen.
Informationen zur Microsoft Entra-Überwachung finden Sie in den wichtigsten Verzeichnisereignissen für anwendungsrolle und Gruppenmitgliedschaft in der Liste der Microsoft Entra-Überwachungsaktivitäten. Informationen zum Zugriff auf Audits über das Microsoft Entra-Portal finden Sie in den Überwachungsprotokollen in der Microsoft Entra-ID.
Sammelt oder stellt die Anwendung oder der Dienst Überwachungsprotokolle von Administratoraktionen (Erstellen/Lesen/Aktualisieren/Löschen von Dokument oder Inhalt) bereit?
Nicht zutreffend. Es wird nur die Administratorrolle unterstützt.
Sammelt oder stellt die Anwendung oder der Dienst Überwachungsprotokolle von Metadatenaktionen bereit (Erstellen/Lesen/Aktualisieren/Löschen von Dokument oder Inhalt)?
Ja. Die Anwendung verwaltet einen Überwachungsverlauf mit wichtigen Änderungen, wie Regeln oder Listen.
Kann Microsoft Überwachungspfade für Aktivitäten bereitstellen, die mit personenbezogenen Informationen (PII) durchgeführt werden?
Die einzige PII befindet sich im Überwachungsverlauf von Regel- und Listenänderungen. Dieser Verlauf ist schreibgeschützt und kann nicht geändert werden.
Kann Microsoft Store Protokolle und verschlüsselte Daten in Ruhe speichern?
Protokolle werden standardmäßig entsprechend der Microsoft Azure Onlinedienste-Richtlinie geführt.
Verfügt Microsoft über Prozeduen, um die Ausfallzeit der Kundeninstanz innerhalb eines angemessenen Zeitraums zu erkennen, zu melden und zu warnen, wenn die Instanz ausfällt?
Ja, erweiterte Überwachungs- und Warnfunktionen sind vorhanden.
Welche Informationen werden Kunden zur Validierung der Vereinbarung zum Servicelebel (SLA) zur Verfügung gestellt?
Als Kunde können Sie den Service von Server zu Server aufrufen und die SLA direkt überwachen.
Wie wird die Ausfallbenachrichtigung an Kunden gemeldet?
Es gibt keine proaktive Benachrichtigung über Ausfallzeiten, aber sie ist derzeit Teil der Roadmap. Kunden werden über Vorfälle informiert, die durch Alarmierung über den Standardkommunikationskanal entdeckt werden.
Business Continuity & Disaster Recovery
Ermöglicht die Anwendung oder der Dienst den Export unstrukturierter Daten in großen Mengen in einem nicht proprietären Format wie CSV?
Im Produkt können Benutzer aufgrund der Datenschutz-Grundverordnung (DSGVO) Daten gemäß den Richtlinien exportieren, die in der Compliance-Dokumentation beschrieben sind.
Behalten die unstrukturierten Daten Sicherheitszugriffskontrolllisten (ACLs) bei?
Nein Weitere Informationen finden Sie unter Datenbetreffanforderungen und die DSGVO und CCPA.
Ermöglicht die Anwendung oder der Dienst den Export von Datenbanken in großen Mengen in einem nicht proprietären Format?
Nein
Gibt es eine dokumentierte Sicherungsrichtlinie?
Eine Datenreplikations- und Ausfallsicherheitsstrategie für mehrere Regionen ist vorhanden. Weitere Informationen zur Sicherungs- und Wiederherstellungsfunktion finden Sie unter Online-Sicherung und On-Demand-Datenwiederherstellung in Azure Cosmos DB.
Verfügt die Anwendung oder der Dienst über einen dokumentierten Notfallwiederherstellungsplan?
Weitere Informationen zum Microsoft Enterprise Business Continuity Management (EBCM) Plan finden Sie im Whitepaper zum Enterprise Business Continuity Management-Programm. (Anmeldung erforderlich.)
Datensicherheit
Kann Microsoft die Anwendungsinstanz im Falle eines Sicherheitsvorfalls deaktivieren?
Ja.
Schützt die Anwendung oder der Dienst Daten mithilfe der Transport Layer Security (TLS) Verschlüsselung?
Ja.
Welche TLS-Verschlüsselungsstufe wird verwendet?
TLS 1.2.
Wie können Kunden Zugriff auf die Ressourcen erhalten, die für das Scannen der Sicherheitsdurchdringung erforderlich sind?
Unternehmens-, externe und rechtliche Angelegenheiten (CELA) und Sicherheitsgenehmigung von Microsoft sind erforderlich.
Verfügt die Anwendung oder der Dienst über einen kürzlich durchgeführten (weniger als drei Monate alten) Penetrationstest für die Netzwerksicherheit von Drittanbietern?
Ja. Azure führt diesen Test regelmäßig durch.
Verfügt die Anwendung oder der Dienst über einen kürzlich durchgeführten (weniger als drei Monate alten) Penetrationstest für die Anwendungssicherheit von Drittanbietern?
Ja. Dieser Test wird auf Anfrage zur Verfügung gestellt.
Verwendet die Anwendung oder der Dienst eine sichere Kommunikationsmethode wie TLS?
Ja.
Hat die Anwendung oder der Dienst einen mobilen Client?
Fraud Protection ist ein webbasiertes Software-as-a-Service (SaaS) Angebot..
Kann die Anwendung so eingeschränkt werden, dass nur Datenverkehr von vertrauenswürdigen Netzwerken zugelassen wird?
Die Anwendung kann nicht über die Benutzeroberfläche eingeschränkt werden. Sie kann jedoch durch manuelle Konfiguration eingeschränkt werden.
Verfügt die Anwendung über Verkehrsmeldungen und die Möglichkeit, auf normalen Verkehr aufmerksam zu machen?
Ja. Diese Funktionen sind durch interne Alarmierung und Überwachung verfügbar. Weitere Informationen finden Sie unter API_Call-Überwachung.
Wenn die Infrastruktur standardmäßig keine Verschlüsselung in Ruhe unterstützt, ermöglicht die Anwendung oder der Dienst die Speicherung von Daten in Ruhe in einem verschlüsselten Format?
Alle Daten werden im Ruhezustand verschlüsselt. Weitere Informationen finden Sie unter Datenverschlüsselung in Azure Cosmos DB.
Verfügt das System über einen allgemeinen Aufbewahrungsplan, sodass Daten nach einer bestimmten Zeit gelöscht werden?
Ja. Weitere Informationen finden Sie in den Richtlinien für Bestimmungen für Onlinedienste (OST).
Governance
Haben Sie ein genau definiertes Sicherheitsprogramm?
Ja. Weitere Informationen finden Sie unter Microsoft Security Development Lifecycle (SDL).
Hat Microsoft Richtlinien zur Informationssicherheit festgelegt?
Ja. Weitere Informationen finden Sie unter Microsoft Security Development Lifecycle (SDL).
Verfügt Microsoft über einen Überwachungsbericht eines Drittanbieters für die Sicherheit und Richtlinien von Rechenzentren, auf die ich zugreifen kann?
Ja. Weitere Informationen finden Sie im Microsoft Service Trust Portal.
Hat die Anwendung oder der Dienst die Selbstbewertung der Cloud Security Alliance CCM abgeschlossen? Wenn ja, kann ich darauf zugreifen?
Ja. Besuchen Sie das Microsoft Service Trust Portal.
Verfügt Microsoft über ein aktuelles Dokument zur Änderungsverwaltungsrichtlinie?
Ja.
Verfügt die Anwendung oder der Dienst über eine festgelegte Richtlinie zur Reaktion auf Vorfälle und zur Ermittlung von Vorfällen sowie über festgelegte Prozesse?
Ja.
Zusätzliche Ressourcen
Häufig gestellte Fragen zum Dienst
Häufig gestellte Fragen zu rechtlichen Überlegungen
FAQ zu Sicherheit und Privatsphäre
Häufig gestellte Fragen zur Datenresidenz