Dieser Artikel enthält eine Sicherheitscheckliste für wichtige Aktivitäten, die für die Aufrechterhaltung einer sicheren Power Platform-Umgebung unerlässlich sind. Er fasst die Artikel in diesem Abschnitt in einem Aktionsplan zusammen und deckt Aktivitäten wie Datenschutz, Bedrohungserkennung, Identitäts- und Zugriffsverwaltung sowie die Einhaltung gesetzlicher Standards ab. Anhand dieser Checkliste können Administratoren und Sicherheitsexperten sicherstellen, dass ihre Power Platform-Bereitstellungen robust, resilient und nach bewährten Methoden aufgebaut sind. Unabhängig davon, ob Sie neue Umgebungen einrichten oder vorhandene verbessern, hilft Ihnen dieser Leitfaden bei der Implementierung effektiver Sicherheitsmaßnahmen zum Schutz der Daten und Anwendungen Ihrer Organisation.
Sicherheitsstatusmanagement
| Erledigt? |
Task |
| ✓ |
Verstehen Sie die Verantwortlichkeiten des Dienstleisters als Datenverarbeiter und die Verantwortlichkeiten des Kunden als Eigentümer und Datenverantwortlicher. Stellen Sie sicher, dass beide Seiten die relevanten Gesetze und Vorschriften einhalten. Machen Sie sich mit der Architektur von Power Platform vertraut, einschließlich Umgebungen, Konnektoren, Dataverse, Power Apps, Power Automate und Copilot Studio. |
| ✓ |
Verstehen Sie Ihre Sicherheitsanforderungen, und bewerten Sie Ihre vorhandenen Sicherheitsmaßnahmen, Tools und Praktiken, um Lücken und verbesserungswürdige Bereiche zu identifizieren. Erstellen Sie einen Sicherheitsbasisplan, der sich an den Compliance-Anforderungen und Branchenstandards orientiert. |
| ✓ |
Konsultieren Sie die Seite „Sicherheit“ im Power Platform Admin Center, und arbeiten Sie die empfohlenen Maßnahmen zur Verbesserung der Sicherheitsbewertung durch. |
| ✓ |
Informieren Sie Ersteller und Entwickler über bewährt Methoden für Sicherheit, Compliance und Datenschutz. Stellen Sie sicher, dass Schulungsmaterialien über eine zentrale Quelle wie eine SharePoint-Site oder Wiki leicht zugänglich sind. |
| ✓ |
Erstellen Sie Pläne zum Umgang mit Vorfällen und testen Sie diese. Stellen Sie klare Rollen und Verantwortlichkeiten für den Umgang mit Sicherheitsvorfällen sicher. |
| ✓ |
Überprüfen und aktualisieren Sie regelmäßig Sicherheitsrichtlinien, um sie an sich ändernde Bedrohungen und Geschäftsanforderungen anzupassen. |
Bedrohungsschutz
| Erledigt? |
Task |
| ✓ |
Überwachen Sie Benutzeraktivitäten mithilfe von Power Platform Admin Center und Microsoft Sentinel. Führen Sie regelmäßige Audits durch, um Anomalien zu erkennen und die Einhaltung der Vorschriften sicherzustellen. |
| ✓ |
Konfigurieren Sie Microsoft Sentinel und richten Sie Warnungen für verdächtige Aktivitäten und Richtlinienverstöße ein. |
| ✓ |
Überwachen Sie Risikoereignisse im Zusammenhang mit der Identität bei potenziell kompromittierten Identitäten und beheben Sie diese Risiken. |
| ✓ |
Untersuchen Sie Sicherheitsvorfälle gründlich, um die Ursache und die Auswirkungen zu verstehen. Nutzen Sie die Erkenntnisse, um Strategien zur Erkennung und Reaktion auf Bedrohungen zu verbessern. |
| ✓ |
Erstellen Sie Pläne zum Umgang mit Vorfällen und testen Sie diese. Definieren Sie klare Rollen und Verantwortlichkeiten für den Umgang mit Sicherheitsvorfällen. |
Datenschutz und Privacy
| Erledigt? |
Task |
| ✓ |
Erstellen Sie Datenrichtlinien, um den Datenfluss zwischen Connectors und Umgebungen zu steuern. Überprüfen und aktualisieren Sie datenrichtlinien regelmäßig, um die Sicherheitsanforderungen zu erfüllen. |
| ✓ |
Erwägen Sie die Verwendung kundenseitig verwalteter Schlüssel für zusätzliche Kontrolle über die Verschlüsselung. |
| ✓ |
Berücksichtigen Sie Datenschutzaspekte bei der Konzeption und Entwicklung von Anwendungen. Stellen Sie sicher, dass der Datenschutz ein grundlegender Aspekt Ihres Entwicklungsprozesses ist. |
| ✓ |
Konfigurieren Sie die Mandantenisolierung, um den Datenzugriff zwischen verschiedenen Mandanten zu steuern und einzuschränken. |
| ✓ |
Evaluieren und konfigurieren Sie Netzwerksicherheitsfunktionen wie IP-Firewall und Virtual Network. |
| ✓ |
Richten Sie Microsoft Purview ein, um sensible Daten in Ihrer Power Platform-Umgebung zu ermitteln, zu klassifizieren und zu verwalten. |
| ✓ |
Verwenden Sie das in Dataverse integrierte RBAC-Sicherheitsmodell, um Benutzerberechtigungen und den Zugriff auf Daten effektiv zu verwalten. Implementieren Sie Sicherheit auf Feldebene, hierarchische Sicherheit und teambasierte Sicherheit, um den Datenschutz zu verbessern. |
Identitäts- und Zugriffsverwaltung
| Erledigt? |
Task |
| ✓ |
Erstellen Sie eine Identitätsverwaltungsstrategie, die Benutzerzugriff, Dienstkonten, Anwendungsbenutzer, Verbundanforderungen für einmaliges Anmelden und Richtlinien für bedingten Zugriff abdeckt. |
| ✓ |
Erstellen Sie Richtlinien für den Zugriff von Administratoren für verschiedene Administratorrollen auf der Plattform, z. B. Dienstadministrator und Microsoft 365-Administrator. |
| ✓ |
Sie müssen über die erforderlichen Steuerelemente verfügen, um den Zugriff auf bestimmte Umgebungen zu verwalten. |
| ✓ |
Weisen Sie Rollen und Berechtigungen basierend auf dem Prinzip der geringsten Rechte zu. Verwenden Sie Sicherheitsrollen, um den Zugriff effizient zu verwalten. |
Compliance
| Erledigt? |
Task |
| ✓ |
Ermitteln Sie, welche regulatorischen Standards für Ihre Organisation gelten (z. B. DSGVO, HIPAA, CCPA, PCI-Datensicherheitsstandard). Verstehen Sie die spezifischen Anforderungen und Verpflichtungen der einzelnen Vorschriften. |
| ✓ |
Überwachen Sie Benutzeraktivitäten mithilfe von Power Platform Admin Center und Microsoft Sentinel. Führen Sie regelmäßige Audits durch, um Anomalien zu erkennen und die Einhaltung gesetzlicher Standards sicherzustellen. |
| ✓ |
Informieren Sie Ersteller und Entwickler über gesetzliche Anforderungen und bewährt Methoden für Compliance. |
| ✓ |
Führen Sie detaillierte Aufzeichnungen über Compliance-Bemühungen, einschließlich Richtlinien, Verfahren und Überwachungsprotokolle. Stellen Sie sicher, dass die Dokumentation aktuell und für behördliche Audits leicht verfügbar ist. |
Workload-Sicherheit
| Erledigt? |
Task |
| ✓ |
Wenden Sie Sicherheitsrichtlinien auf Ihre Architektur an, um die Vertraulichkeit, Integrität und Verfügbarkeit Ihrer Daten und Systeme zu wahren. Schauen Sie sich die Sicherheitsempfehlungen in der Anleitung zu Power Platform Well-Architected an, um sicherzustellen, dass Ihre Workload neben der Erfüllung von Geschäftszielen widerstandsfähig gegen Angriffe ist und die miteinander verbundenen Sicherheitsprinzipien Vertraulichkeit, Integrität und Verfügbarkeit (auch bekannt als CIA-Triade) berücksichtigt. |