Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Von Bedeutung
Ab dem 3. Februar 2025 steht Dynamics 365 Fraud Protection nicht mehr zum Kauf zur Verfügung. Die Unterstützung für Betrugsschutz endet am 3. Februar 2026. Weitere Informationen finden Sie im Artikel Ende des Supports für Dynamics 365 Fraud Protection.
Dieser Artikel enthält Antworten auf häufig gestellte Fragen zur Sicherheitsbewertung in Microsoft Dynamics 365 Fraud Protection.
Authentifizierung und Verwaltung
Unterstützt die Anwendung oder der Dienst einmaliges Anmelden (Single Sign-On, SSO) über SAML (Security Assertion Markup Language) 1.1, SAML 2.0 oder Web Services Federation (WS-Fed)?
Ja.
- Portal: SPA – OAuth 2.0 und OpenID Connect mit Authentifizierungscodefluss mit PKCE über die MSAL v2-Bibliothek.
- Dienst-zu-Dienst-Back-End-API: OAuth 2.0
- Fingerabdruckdienst: Anonym
- Azure Stack: Sas-Token (Shared Access Signature) für den Speicher
Gibt es eine "Hintertür"-URL, mit der Benutzer oder Administratoren SSO umgehen können?
Nein.
Unterstützt die Anwendung die Okta-Integration (SSO-Plattform)?
Okta-Integration wird standardmäßig nicht unterstützt. Microsoft Entra unterstützt benutzerdefinierte Integrationen. Da der Händler den Mandanten besitzt, kann der Händler Microsoft Entra Identity-Integrationspunkte verwenden. Weitere Informationen finden Sie in der Microsoft Entra-Dokumentation.
Unterstützt die Anwendung oder der Dienst die zweistufige Authentifizierung (2FA)?
Ja. Der Händler kann 2FA in der Microsoft Entra-ID aktivieren.
Was ist die 2FA-Lösung?
Die 2FA-Lösung ist die mehrstufige Azure-Authentifizierung, ein Microsoft Entra-Feature. Weitere Informationen finden Sie unter How it works: Azure Multi-Factor Authentication.
Unterstützt die Anwendung Kennwörter auf Anwendungsebene?
Nein. Benutzer- und Anwendungsidentitäten werden im Microsoft Entra-Konto des Kunden verwaltet.
Welcher Hash- oder Verschlüsselungsalgorithmus wird zum Schutz von Kennwörtern verwendet?
Nicht zutreffend.
Wird das Hash-Salzen verwendet?
Nicht zutreffend.
Verwendet die Anwendung oder der Dienst die automatische Kontobereitstellung? Wenn ja, wie wird es erreicht (z. B. on-demand über SAML, automatisierte durch Kommas getrennte Werte [CSV]-Feed über sichere Übertragung oder API)?
Nein, und nicht zutreffend.
Beendet die Anwendung oder der Dienst den sofortigen Zugriff auf Benutzerkonten, einschließlich des Schließens von offenen Sitzungen?
Nein. Der Ablauf des Microsoft Entra-Tokens ist auf die Beendigung des Zugriffs durch den Benutzer abgestimmt, nicht auf die Sitzung.
Wenn die Kontokündigung nicht automatisch erfolgt, wird diese Aktion innerhalb einer Stunde nach einer Anforderung zur Beendigung des Kontozugriffs ausgeführt?
Ja, gemäß der Microsoft Entra-Richtlinie. Weitere Informationen finden Sie in der Microsoft Entra-Dokumentation.
Was ist das Leerlauftimeout der Sitzung der Anwendung?
Gemäß der Microsoft Entra-Richtlinie wird das Timeout für den Sitzungsleerlauf an dem Gültigkeitszeitraum des Tokens ausgerichtet.
Verwendet die Anwendung oder der Dienst einen automatischen Kontodeprovisionierungsprozess über eine API?
Nein.
Stellt die Anwendung oder der Dienst eine Dispositionsstrategie für Inhalte bereit, die beim Aufheben der Bereitstellung an das Konto eines Benutzers angefügt sind?
Nein. Nur Überwachungsprotokolle werden nachverfolgt und als Features gemäß den Richtlinien für Onlinedienste (ONLINE Services Terms, OST) und den Microsoft-Datenschutzbestimmungen aufbewahrt.
Lässt die Anwendung oder der Dienst dem Administrator die Autorisierung für Daten und Funktionen basierend auf Rollen und/oder Funktionen gemäß dem geringsten Berechtigungsmodell explizit zu?
Ja. Über Microsoft Entra-Rollen können Administratoren innerhalb ihres Mandanten Zugriff gewähren.
Eine minimale Erwartung ist die Unterstützung für die Administratorrolle, die Benutzerrolle, die schreibgeschützte Administratorrolle (Protokollrolle) und die nicht privilegierte Administratorrolle (kein Zugriff auf Inhalte). Stellen Sie diese Unterstützung bereit?
Die Anwendung/der Dienst hat keine Rollen außer der Administratorrolle. Benutzer in der Administratorrolle sind für das Erstellen zusätzlicher Rollen innerhalb ihres Mandanten verantwortlich. Informationen zum Hinzufügen und Entfernen von Rollen finden Sie unter Konfigurieren des Benutzerzugriffs.
Wenn in der Anwendung Freigabeberechtigungen vorhanden sind, lässt die Anwendung oder der Dienst den Administrator Benutzeranforderungen auf zusätzlichen Zugriff auf Daten überprüfen?
Nicht zutreffend.
Ermöglicht die Anwendung oder der Dienst dem Administratorbenutzer die Unterscheidung von Administratorbenutzern und regulären Benutzern?
Nein.
Welche Rechte stehen für die verschiedenen Rollen in der Anwendung oder dem Dienst zur Verfügung?
Weitere Informationen finden Sie unter Benutzerrollen und Zugriff.
Überwachung
Protokolliert die Anwendungs- oder Dienstprotokollinformationen in einem branchenüblichen Ereignisformat, z. B. CSV, Common Event Format (CEF) oder Syslog?
Protokolldaten werden nicht vom Produkt freigegeben. Dienstmetriken und Key Performance Indicators (KPIs) sind über Power BI-Ansichten verfügbar.
Sammelt oder stellt die Anwendung oder der Dienst Daten zur Benutzeranmeldung, Abmeldung, Kennwortänderungen und fehlgeschlagenen Anmeldeversuchen bereit?
Ja. Weitere Informationen finden Sie unter Überwachungsaktivitätsberichte im Microsoft Entra-Portal.
Sammelt oder stellt die Anwendung oder der Dienst Überwachungsprotokolle von Administratoraktionen (Benutzerkonto erstellen/aktualisieren/löschen) oder anwendungsspezifische Aktionen bereit?
Die Anwendung verwaltet einen Überwachungsverlauf von wichtigen Änderungen, z. B. Regel- oder Listenaktualisierungen. Benutzerkontenaktionen und der entsprechende Überwachungsverlauf werden über die Microsoft Entra-ID gesteuert. Weitere Informationen finden Sie in der Dokumentation zu Microsoft Entra-Berichten und -Überwachungen.
Informationen zur Microsoft Entra-Auditierung finden Sie in den zentralen Verzeichnisereignissen für Anwendungsrolle und Gruppenmitgliedschaft in der Liste der Microsoft Entra-Auditaktivitäten. Informationen zum Zugriff auf Audits über das Microsoft Entra-Portal finden Sie in den Überwachungsprotokollen in der Microsoft Entra-ID.
Sammelt oder stellt der Dienst Überwachungsprotokolle von Benutzeraktionen (Dokument- oder Inhaltserstellung/Lese-/Aktualisierung/Löschvorgang) bereit?
Nicht zutreffend. Nur die Administratorrolle wird unterstützt.
Erfasst oder stellt der Dienst Überwachungsprotokolle von Metadatenaktionen bereit (Erstellen/Lesen/Aktualisieren/Löschen)?
Ja. Ein Prüfverlauf der wesentlichen Änderungen, wie etwa Listen- und Regeländerungen, wird geführt.
Kann Microsoft Überwachungspfade für alle Aktivitäten bereitstellen, die für personenbezogene Informationen (PII) ausgeführt werden?
Die einzige PII befindet sich im Audit-Verlauf von Änderungen an Regeln und Listen. Dieser Verlauf ist schreibgeschützt und kann nicht geändert werden.
Können Protokolle und verschlüsselte Daten im Ruhezustand von Microsoft gespeichert werden?
Protokolle werden gemäß der standardmäßigen Richtlinie für Microsoft Azure Online Services verwaltet.
Verfügt Microsoft über Verfahren zum Erkennen, Melden und Warnen bei Ausfallzeiten der Kundeninstanz innerhalb eines angemessenen Zeitraums, wenn die Instanz ausgefallen ist?
Ja, erweiterte Überwachungs- und Warnungsfunktionen sind vorhanden.
Welche Informationen werden Kunden zur Überprüfung des ausgehandelten Servicelevelvertrags (SLA) zur Verfügung gestellt?
Als Kunde können Sie Server-zu-Server-Aufrufe an den Dienst tätigen und die SLA direkt überwachen.
Wie wird die Benachrichtigung über Ausfallzeiten an Kunden gemeldet?
Es ist keine proaktive Benachrichtigung über Ausfallzeiten vorhanden, aber sie ist derzeit Teil der Roadmap. Kunden werden über alle Vorfälle benachrichtigt, die durch Alerts über den Standardkommunikationskanal festgestellt werden.
Geschäftskontinuität und Katastrophenwiederherstellung
Ermöglicht die Anwendung oder der Dienst unstrukturierte Daten in einem Massenexport in einem nicht proprietären Format, z. B. CSV?
Im Produkt ermöglicht die Datenschutz-Grundverordnungs-Funktion (DSGVO) Benutzern das Exportieren von Daten gemäß den in der Compliancedokumentation beschriebenen Richtlinien.
Behält die unstrukturierte Daten die Zugriffssteuerungslisten (Access Control Lists, ACLs) bei?
Nein. Weitere Informationen finden Sie unter Anträge betroffener Personen sowie unter DSGVO und CCPA.
Ermöglicht die Anwendung oder der Dienst das Exportieren von Datenbanken in massenweise in einem nicht proprietären Format?
Nein.
Gibt es eine dokumentierte Sicherungsrichtlinie?
Eine Multi-Region-Datenreplikations- und Resilienzstrategie ist vorhanden. Weitere Informationen zur Sicherungs- und Wiederherstellungsfunktion finden Sie unter Onlinesicherung und On-Demand-Datenwiederherstellung in Azure Cosmos DB.
Verfügt die Anwendung oder der Dienst über einen dokumentierten Notfallwiederherstellungsplan?
Weitere Informationen zum Microsoft Enterprise Business Continuity Management(EBCM)-Plan finden Sie im Whitepaper "Enterprise Business Continuity Management Program". (Die Anmeldung ist erforderlich.)
Datensicherheit
Kann Microsoft die Anwendungsinstanz im Falle eines Sicherheitsvorfalls deaktivieren?
Ja.
Schützt die Anwendung oder der Dienst Daten mithilfe der TLS-Verschlüsselung (Transport Layer Security)?
Ja.
Welche TLS-Verschlüsselungsebene wird verwendet?
TLS 1.2.
Was sind die Verfahren, mit denen Kunden auf die Ressourcen zugreifen können, die zur Durchführung von Sicherheitsdurchdringungsscans erforderlich sind?
Unternehmen, externe und rechtliche Angelegenheiten (CELA) sowie Sicherheitsgenehmigungen von Microsoft sind erforderlich.
Hat die Anwendung oder der Dienst einen aktuellen (weniger als drei Monate alten) Netzwerksicherheitstest von Drittanbietern?
Ja. Azure führt diesen Test regelmäßig aus.
Hat die Anwendung oder der Dienst einen aktuellen (weniger als drei Monate alten) Penetrationstest für Anwendungen von Drittanbietern?
Ja. Dieser Test wird auf Anfrage bereitgestellt.
Verwendet die Anwendung oder der Dienst eine sichere Kommunikationsmethode, z. B. TLS?
Ja.
Verfügt die Anwendung oder der Dienst über einen mobilen Client?
Betrugsschutz ist ein webbasiertes Software-as-a-Service (SaaS)-Angebot.
Kann die Anwendung eingeschränkt werden, damit nur Datenverkehr von vertrauenswürdigen Netzwerken möglich ist?
Die Anwendung kann nicht über die Benutzeroberfläche (UI) eingeschränkt werden. Dies kann jedoch durch manuelle Konfiguration eingeschränkt werden.
Verfügt die Anwendung über Datenverkehrsberichte und die Möglichkeit, über normalen Datenverkehr zu informieren?
Ja. Diese Funktionen sind über interne Warnungen und Überwachung verfügbar. Weitere Informationen finden Sie unter API-Aufrufüberwachung.
Unterstützt die Infrastruktur standardmäßig keine Verschlüsselung im Ruhezustand, wird durch die Anwendung oder den Dienst ermöglicht, dass ruhende Daten in einem verschlüsselten Format gespeichert werden?
Alle Daten werden im Ruhezustand verschlüsselt. Weitere Informationen finden Sie unter Datenverschlüsselung in Azure Cosmos DB.
Verfügt das System über einen allgemeinen Aufbewahrungszeitplan, sodass Daten nach einem Bestimmten Zeitraum gelöscht werden?
Ja. Weitere Informationen finden Sie in den Richtlinien für Onlinedienste (ONLINE Services Terms, OST).
Verwaltung
Haben Sie ein gut definiertes Sicherheitsprogramm?
Ja. Weitere Informationen finden Sie unter Microsoft Security Development Lifecycle (SDL).
Hat Microsoft Richtlinien zur Informationssicherheit eingerichtet?
Ja. Weitere Informationen finden Sie im Microsoft Security Development Lifecycle (SDL).
Verfügt Microsoft über einen Überwachungsbericht von Drittanbietern für Die Sicherheit und Richtlinien für Rechenzentren, auf die ich zugreifen kann?
Ja. Weitere Informationen finden Sie im Microsoft Service Trust Portal.
Hat die Anwendung oder der Dienst die Cloud Security Alliance CCM-Selbstbewertung abgeschlossen? Wenn ja, kann ich darauf zugreifen?
Ja. Besuchen Sie das Microsoft Service Trust Portal.
Verfügt Microsoft über ein aktuelles Dokument für die Änderungsverwaltungsrichtlinie?
Ja.
Verfügt die Anwendung oder der Dienst über eine etablierte Vorfallreaktions- und Triagerichtlinie und etablierte Prozesse?
Ja.
Weitere Ressourcen
Häufig gestellte Fragen zum Dienst
Häufig gestellte Fragen zu rechtlichen Aspekten
Häufig gestellte Fragen zu Datenschutz und Sicherheit
Häufig gestellte Fragen zur Datenbewahrung