Azure-Sicherheitsgrundwerte für Microsoft Fabric

Diese Sicherheitsgrundlinie wendet Anleitungen aus der Microsoft Cloud Security Benchmark Version 1.0 auf Microsoft Fabric an. Der Microsoft Cloud Security Benchmark enthält Empfehlungen dazu, wie Sie Ihre Cloudlösungen in Azure sichern können. Der Inhalt wird nach den Sicherheitssteuerelementen gruppiert, die durch den Microsoft Cloud Security Benchmark und die zugehörigen Anleitungen für Microsoft Fabric definiert sind.

Wenn ein Feature über relevante Azure-Richtliniendefinitionen verfügt, werden sie in diesem Basisplan aufgeführt, um die Einhaltung der Microsoft Cloud Security Benchmark-Kontrollen und -Empfehlungen zu messen. Einige Empfehlungen erfordern möglicherweise einen kostenpflichtigen Microsoft Defender-Plan, um bestimmte Sicherheitsszenarien zu aktivieren.

Netzwerksicherheit

Weitere Informationen finden Sie unter Microsoft Cloud Security Benchmark – Netzwerksicherheit.

NS-1: Einrichten von Netzwerksegmentierungsgrenzen

Leitfaden: Erstellen und Verwenden verwalteter privater Endpunkte für Notizbücher, Lakehouses und Spark-Auftragsdefinitionen, um eine sichere Verbindung mit Datenquellen hinter privaten Endpunkten herzustellen.

Verantwortung: Geteilt

NS-2: Sichern nativer Clouddienste mit Netzwerksteuerelementen

Leitfaden: Microsoft Fabric unterstützt das Verbinden Ihres Fabric-Mandanten oder -Arbeitsbereichs mit einem Endpunkt für private Links und das Deaktivieren des öffentlichen Internetzugriffs

• Private Links für den sicheren Zugriff auf Fabric
• Private Links für Fabric-Arbeitsbereiche
• Ausgehender Arbeitsbereichszugriffsschutz
• Firewall auf Arbeitsbereichsebene

HINWEIS: Microsoft Fabric ist ein SaaS-Dienst, der auf Microsoft Entra ID als Authentifizierungsanbieter basiert. Die Steuerung des eingehenden Netzwerkdatenverkehrs für einen SaaS-Dienst kann mithilfe von Microsoft Entra ID-Richtlinien für bedingten Zugriff erreicht werden.

Verantwortung: Geteilt

NS-3: Bereitstellen einer Firewall im Edgebereich des Unternehmensnetzwerks

Leitfaden: Microsoft Fabric als SaaS-Angebot, das in Azure Infrastructure gehostet wird, verfügt Microsoft über einige automatische Schutzmaßnahmen, die für bekannte gängige Angriffsvektoren integriert sind.

Verantwortung: Microsoft

NS-4: Bereitstellen von Angriffserkennungs-/Eindringschutzsystemen (Intrusion Detection/Intrusion Prevention Systems, IDS/IPS)

Leitfaden: Microsoft Fabric verfügt nicht über explizite integrierte Netzwerkangriffserkennungs- und Intrusion Prevention-Systeme (IDS/IPS). Microsoft Fabric ist ein Azure Core-Dienst, der auf Azure Foundation-Diensten basiert, die einige automatische Schutzmaßnahmen für bekannte gängige Angriffsvektoren sowie konfigurierbare Kundenoptionen aufweisen. Microsoft Fabric bietet Zugriff auf Aktivitäts- und Überwachungsprotokolle, die Kunden für die Aktivitätsüberwachung nutzen können:

• Nachverfolgen von Benutzeraktivitäten in Microsoft Fabric.

Verantwortung: Geteilt

NS-5: Bereitstellen von DDOS-Schutz

Leitfaden: Microsoft Fabric verfügt über einen integrierten DDoS-Schutz für häufige Angriffsszenarien. Diese werden von Microsoft verwaltet und gesteuert.

Verantwortung: Microsoft

NS-6: Bereitstellen einer Web Application Firewall

Leitfaden: Microsoft Fabric verfügt über integrierte WAF-Verwaltung und -Steuerung durch Microsoft.

Verantwortung: Microsoft

NS-7: Vereinfachen der Netzwerksicherheitskonfiguration [N/A]

Anleitung: N/A. Microsoft Fabric macht keine zugrunde liegenden Konfigurationen verfügbar; Diese Einstellungen werden von Microsoft verwaltet.

NS-8: Erkennen und Deaktivieren unsicherer Dienste und Protokolle [N/A]

Anleitung: N/A. Microsoft Fabric macht keine zugrunde liegenden Konfigurationen verfügbar; Diese Einstellungen werden von Microsoft verwaltet.

NS-9: Herstellen einer privaten lokalen oder Cloudnetzwerkverbindung

Leitfaden: Microsoft Fabric bietet Unterstützung für virtuelle Netzwerke und lokale Datengateways.

Verantwortung: Kunde

NS-10: Sicherstellen der Dns-Sicherheit (Domain Name System) [N/A]

Anleitung: N/A. Microsoft Fabric macht seine zugrunde liegenden DNS-Konfigurationen nicht verfügbar; Diese Einstellungen werden von Microsoft verwaltet.

Identitätsverwaltung

Weitere Informationen finden Sie unter Microsoft Cloud Security Benchmark – Identitätsverwaltung

IM-1: Verwenden eines zentralen Identitäts- und Authentifizierungssystems

Leitfaden: Microsoft Fabric ist in die Microsoft Entra-ID integriert, die der Standardmäßige Identitäts- und Zugriffsverwaltungsdienst von Azure ist. Sie sollten die Microsoft Entra-ID standardisieren, um die Identitäts- und Zugriffsverwaltung Ihrer Organisation zu steuern.

Die Sicherung der Microsoft Entra-ID sollte in der Cloudsicherheitspraxis Ihrer Organisation eine hohe Priorität haben. Die Microsoft Entra-ID bietet eine Identitätssicherheitsbewertung, mit der Sie den Identitätssicherheitsstatus im Verhältnis zu den Empfehlungen für bewährte Methoden von Microsoft bewerten können. Verwenden Sie die Bewertung, um zu ermitteln, wie genau Ihre Konfiguration empfehlungen für bewährte Methoden entspricht, und um Verbesserungen in Ihrem Sicherheitsstatus vorzunehmen.

Hinweis: Microsoft Entra-ID unterstützt externe Identitäten, mit denen Benutzer ohne ein Microsoft-Konto sich bei ihren Anwendungen und Ressourcen mit ihrer externen Identität anmelden können. Das Szenario für Microsoft Fabric-Benutzer finden Sie auf der folgenden B2B-Seite.

• Mandantenverwaltung in Microsoft Entra ID

• Erstellen und Konfigurieren der Microsoft Entra ID-Instanz

• Identitätsanbieter für externe ID in Mitarbeitenden-Mandaten

• Was ist der Identity Secure Score in Azure Active Directory?

• Business to Business - Microsoft Fabric | Microsoft Learn

Verantwortung: Kunde

IM-2: Schutz von Identitäts- und Authentifizierungssystemen

Leitfaden: Sichern Sie Ihr Identitäts- und Authentifizierungssystem als eine hohe Priorität in der Cloudsicherheitspraxis Ihrer Organisation. Verwenden Sie microsoft Entra ID-Sicherheitsgrundwerte und die Microsoft Entra ID Identity Secure Score, um Ihren Sicherheitsstatus ihrer Microsoft Entra ID zu bewerten und Sicherheits- und Konfigurationslücken zu beheben.

• Microsoft Entra–Sicherheitsbetriebshandbuch – Microsoft Entra | Microsoft Learn

Verantwortung: Kunde

IM-3: Sicheres und automatisches Verwalten von Anwendungsidentitäten

Leitfaden: Verwenden Sie verwaltete Identitäten anstelle von Personalkonten für den Zugriff auf Ressourcen. Sie reduzieren die Gefährdung durch Anmeldeinformationen und unterstützen das automatische Rotieren von Anmeldeinformationen für mehr Sicherheit. Microsoft Fabric, Power BI und Power BI Embedded unterstützen die Verwendung von Arbeitsbereichsidentitäten und Dienstprinzipalen. Power BI Embedded unterstützt Dienstprinzipienprofile.

• Arbeitsbereichsidentität – Microsoft Fabric

• Automatisierung von Power BI Premium Arbeitsbereichen und semantischen Modellaufgaben mit Dienstprinzipalen

• Verwenden von Dienstprinzipalprofilen zum Verwalten von Kundendaten in Multitenant-Apps Power BI

Verantwortung: Kunde

IM-4: Authentifizieren von Servern und Diensten

Leitfaden: Authentifizieren von Remoteservern mithilfe von TLS, um vertrauenswürdige Verbindungen sicherzustellen. Clients überprüfen Serverzertifikate von vertrauenswürdigen Behörden. Kunden sollten sicherstellen, dass ihre Datenaufnahmeprozesse angemessen gesichert sind. Microsoft Fabric erzwingt TLS 1.2+ für alle Verbindungen.

• Daten während der Übertragung

Verantwortung: Kunde

IM-5: Verwendung von Single Sign-On (SSO) für den Zugriff auf Anwendungen

Leitfaden: Verwenden Sie einmaliges Anmelden (Single Sign-On, SSO), um die Benutzererfahrung für die Authentifizierung für Ressourcen einschließlich Anwendungen und Daten über Clouddienste und lokale Umgebungen hinweg zu vereinfachen.

• Worum handelt es sich beim einmaligen Anmelden? – Microsoft Entra ID

Microsoft Fabric verwendet Microsoft Entra-ID, um die Identitäts- und Zugriffsverwaltung für Azure-Ressourcen, Cloudanwendungen und lokale Anwendungen bereitzustellen. Dazu gehören Unternehmensidentitäten wie Mitarbeiter sowie externe Identitäten wie Partner, Lieferanten und Lieferanten. SSO ermöglicht es, den Zugriff auf die Daten und Ressourcen Ihrer Organisation sowohl lokal als auch in der Cloud zu verwalten und zu sichern.

Verantwortung: Kunde

IM-6: Verwenden sicherer Authentifizierungskontrollen

Leitfaden: Starke Authentifizierungskontrollen durchsetzen mit einem zentralen Identitäts- und Authentifizierungsverwaltungssystem für den kompletten Zugriff auf Ressourcen.

• Aktivieren von MFA in Azure

• Einführung in kennwortlose Authentifizierungsoptionen für Azure Active Directory

• Microsoft Entra ID-Standardkennwortrichtlinie

• Entfernen von ungültigen Kennwörtern mithilfe von Microsoft Entra ID Password Protection

• Blockieren älterer Authentifizierungsmethoden

Microsoft Fabric basiert auf der Microsoft Entra-ID, um Benutzer (oder Dienstprinzipale) zu authentifizieren. Bei der Authentifizierung erhalten Benutzer Zugriffstoken von der Microsoft Entra-ID.

• Grundlagen der Microsoft Fabric-Sicherheit – Authentifizierung

Verantwortung: Kunde

IM-7: Einschränken des Zugriffs auf Ressourcen basierend auf Bedingungen

Leitfaden: Überprüfen Sie explizit vertrauenswürdige Signale, um den Benutzerzugriff auf Ressourcen im Rahmen eines Zero-Trust-Zugriffsmodells zuzulassen oder zu verweigern. Der bedingte Zugriff von Microsoft Entra ID stellt sicher, dass Mandanten durch Erzwingen der Multifaktor-Authentifizierung sicher sind, sodass nur Intune-registrierte Geräte auf bestimmte Dienste zugreifen können und dabei die Benutzerstandorte und IP-Bereiche eingeschränkt werden.

• Bedingter Zugriff – Microsoft Fabric

Verantwortung: Kunde

IM-8: Einschränken der Offenlegung von Anmeldeinformationen und Geheimnissen

Anleitung: Eine Fabric-Arbeitsbereich-Identität ist ein Prinzipal eines verwalteten Dienstes ohne Anmeldeinformationen, der die Authentifizierung für Fabric-Elemente ermöglicht, indem er sie mit von Microsoft Entra unterstützten Ressourcen verbindet.

• Arbeitsbereichsidentität – Microsoft Fabric

Für Microsoft Fabric-Elemente wird empfohlen, den Anmeldeinformationsscanner zu implementieren, um Anmeldeinformationen in Ihrem Code zu identifizieren. Der Anmeldeinformationsscanner empfiehlt auch das Verschieben von ermittelten Anmeldeinformationen zu sichereren Speicherorten wie Azure Key Vault.

• Scannen von Microsoft Fabric-Elementen in Microsoft Purview

• Verbinden Sie sich mit Ihrem Microsoft Fabric-Mandanten in demselben Mandanten wie Microsoft Purview (Vorschau)

Für GitHub können Sie systemeigene geheime Scanfunktionen verwenden, um Anmeldeinformationen oder andere Arten von geheimen Schlüsseln im Code zu identifizieren.

• GitHub-Geheimnisüberprüfung

• Verwenden von geheimen Azure Key Vault-Schlüsseln in Pipelineaktivitäten – Azure Data Factory | Microsoft Learn

Verantwortung: Kunde

IM-9: Sichern des Benutzerzugriffs auf vorhandene Anwendungen

Leitfaden: Microsoft Fabric unterstützt die Verbindung mit lokalen Datenquellen über das lokale Datengateway, die sichere Übertragung von Daten aus Ihrer lokalen Umgebung an Fabric-Elemente wie Dataflow Gen2 und Semantikmodelle.

• Was ist ein lokales Datengateway? Power BI

• Datenpipeline-Verbinder in Microsoft Fabric

• Zugreifen auf lokale Datenquellen in Data Factory für Microsoft Fabric

Verantwortung: Kunde

Privilegierter Zugriff

Weitere Informationen finden Sie unter Microsoft Cloud Security Benchmark – Privileged Access | Microsoft Learn

PA-1: Benutzer mit hohen Privilegien oder Administratorrechte trennen und einschränken.

Leitfaden: Stellen Sie sicher, dass Sie alle Microsoft Fabric-Konten mit hohen Geschäftlichen Auswirkungen wie Fabric oder globale Administratoren identifizieren. Beschränken Sie die Anzahl der privilegierten/administrativen Konten in Ihrer Microsoft Fabric-Kontrollebene, Verwaltungsebene und Daten/Workload-Ebene. Sie müssen alle Rollen mit direktem oder indirekten Administratorzugriff schützen. Erwägen Sie die Verwendung von Privileged Identity Management (PIM) und Dienstprinzipalen mit aufgabenspezifischen Berechtigungen (z. B. schreibgeschützter SPN-Zugriff auf Admin-APIs). Seien Sie umsichtig und sorgfältig, wenn Sie Einstellungen an Kapazitäts- und Arbeitsbereich-Administratoren delegieren

• Erste Schritte mit der Verwaltung des privilegierten Zugriffs

• Aktivieren der Dienstprinzipalauthentifizierung für Administrator-APIs in Microsoft Fabric

• Mandanteneinstellungen delegieren – Microsoft Fabric

Verantwortung: Kunde

PA-2: Vermeiden des ständigen Zugriffs für Benutzerkonten und Berechtigungen [N/A]

Leitfaden: N/A

PA-3: Verwalten des Lebenszyklus von Identitäten und Berechtigungen

Leitfaden: Verwenden Sie einen automatisierten Prozess oder eine andere geeignete technische Kontrolle, um Zugriffsberechtigungen für den Mandanten und seine Elemente zu überwachen und zu verwalten.

• Übersicht über die Metadatenüberprüfung – Microsoft Fabric | Microsoft Learn

• Berechtigungsmodell in Microsoft Fabric

Verantwortung: Kunde

PA-4: Regelmäßige Überprüfung und Abstimmung des Benutzerzugriffs

Leitfaden: Als Microsoft Fabric-Dienstadministrator können Sie die Verwendung für alle Fabric-Ressourcen auf Mandantenebene analysieren, indem Sie benutzerdefinierte Berichte basierend auf den Aktivitäts- oder Microsoft 365-Überwachungsprotokollen verwenden. Sie können die Aktivitäten mithilfe einer REST-API oder eines PowerShell-Cmdlets herunterladen. Sie können die Aktivitätsdaten auch nach Datumsbereich, Benutzer und Aktivitätstyp filtern.

Sie müssen diese Anforderungen erfüllen, um auf das Aktivitätsprotokoll zuzugreifen:

• Sie müssen entweder ein Globaler Administrator oder ein Fabric Dienst Mandant sein.

• Sie haben die Power BI-Verwaltungs-Cmdlets lokal installiert oder verwenden die Power BI-Verwaltungs-Cmdlets in Azure Cloud Shell.

Sobald diese Anforderungen erfüllt sind, können Sie die nachstehenden Anleitungen befolgen, um Benutzeraktivitäten in Fabric nachzuverfolgen:

• Nachverfolgen von Benutzeraktivitäten in Microsoft Fabric

Führen Sie regelmäßige Benutzerzugriffsüberprüfungen durch, um sicherzustellen, dass Berechtigungen basierend auf Benutzer- und Geschäftsfunktionen entsprechend festgelegt werden.

Verantwortung: Kunde

PA-5: Notfallzugriff einrichten [N/A]

Leitfaden: N/A

PA-6: Verwenden von Arbeitsstationen mit privilegiertem Zugriff

Leitfaden: Gesicherte, isolierte Arbeitsstationen sind für die Sicherheit vertraulicher Rollen wie Administratoren, Entwickler und kritischer Dienstanbieter von entscheidender Bedeutung. Verwenden Sie hochsichere Benutzerarbeitsstationen und/oder Azure Bastion für administrative Aufgaben im Zusammenhang mit der Verwaltung von Microsoft Fabric. Verwenden Sie Microsoft Entra-ID, Microsoft Defender Advanced Threat Protection (ATP) und/oder Microsoft Intune, um eine sichere und verwaltete Benutzerarbeitsstation für administrative Aufgaben bereitzustellen. Die gesicherten Arbeitsstationen können zentral verwaltet werden, um eine gesicherte Konfiguration zu erzwingen, einschließlich starker Authentifizierung, Software- und Hardwarebaselines, eingeschränktem logischem und Netzwerkzugriff.

Verwenden Sie Richtlinien für bedingten Zugriff, um hoch privilegierte Anmeldungen nur von kompatiblen Geräten in zulässigen IP-Bereichen zu erzwingen.

• Privilegierten Zugriff auf Arbeitsstationen verstehen

• Bereitstellen einer Arbeitsstation mit privilegiertem Zugriff

Verantwortung: Kunde

PA-7: Befolgen Sie das Prinzip der minimalen Verwaltung (Prinzip des geringsten Privilegs)

Anleitung: Befolgen Sie das Prinzip der beschränkten Verwaltung (minimalen Berechtigungen), um Berechtigungen auf feiner Ebene zu verwalten. Verwenden Sie Features wie die rollenbasierte Zugriffssteuerung (RBAC), um den Ressourcenzugriff über Rollenzuweisungen zu verwalten. Siehe Berechtigungsmodell in PA-3.

Verantwortung: Kunde

PA-8 Ermitteln des Zugriffsprozesses für die Unterstützung von Cloudanbietern

Leitfaden: Einrichten eines Genehmigungs- und Zugriffspfads zum Anfordern und Genehmigen von Supportanfragen von Anbietern und temporärem Zugriff auf Ihre Daten über einen sicheren Kanal. Verwenden Sie in Supportszenarien, in denen Microsoft auf Ihre Daten zugreifen muss, die Kunden-Lockbox, um jede von Microsoft vorgenommene Datenzugriffsanforderung zu überprüfen und zu genehmigen oder abzulehnen.

• Lockbox für Microsoft Fabric

Verantwortung: Kunde

Datenschutz

Weitere Informationen finden Sie unter Microsoft Cloud Security Benchmark – Datenschutz | Microsoft Learn

DP-1: Ermitteln, Klassifizieren und Bezeichnen vertraulicher Daten

Leitfaden: Verwenden von Vertraulichkeitsbezeichnungen aus Microsoft Purview Information Protection für Ihre Microsoft Fabric-Elemente, um Ihre vertraulichen Inhalte vor unbefugtem Datenzugriff und -leck zu schützen. Verwenden Sie Vertraulichkeitsbezeichnungen von Microsoft Purview Information Protection, um Ihre Berichte, Dashboards, Datasets, Datenflüsse und andere Elemente im Microsoft Fabric-Dienst zu klassifizieren und zu kennzeichnen und um Ihre vertraulichen Inhalte vor unbefugtem Datenzugriff und -leck zu schützen, wenn Inhalte aus Microsoft Fabric in Dateiformate exportiert werden, die Bezeichnungen wie Excel, PowerPoint und PDF-Dateien unterstützen.

• Anwenden von Empfindlichkeitsbezeichnungen in Power BI

• Anwenden von Vertraulichkeitsbezeichnungen auf Fabric-Elemente

Verantwortung: Kunde

DP-2: Überwachen von Anomalien und Bedrohungen für sensible Daten

Leitfaden: Verwenden Sie Microsoft Purview-Richtlinien zur Verhinderung von Datenverlust, um das Hochladen vertraulicher Daten zu erkennen und automatische Risikobehebungsprobleme auszulösen.

• Informationen zur Verhinderung von Datenverlust | Microsoft Learn

• Nachverfolgen von Benutzeraktivitäten in Power BI – Power BI | Microsoft Learn

• Verantwortung: Kunde

DP-3: Verschlüsseln Sie vertrauliche Daten während der Übertragung

Leitfaden: Stellen Sie sicher, dass alle Clients und Datenquellen, die über HTTP-Verkehr eine Verbindung mit Ihren Microsoft Fabric-Ressourcen herstellen, TLS v1.2 oder höher aushandeln können.

• Erzwingen der TLS-Versionsverwendung

• Informationen zur TLS-Sicherheit

Verantwortung: Kunde

DP-4: Aktivieren einer standardmäßigen Verschlüsselung für ruhende Daten

Leitfaden: Microsoft Fabric verschlüsselt alle Daten im Ruhezustand und während der Übertragung. Microsoft Fabric verwendet standardmäßig von Microsoft verwaltete Schlüssel, um Ihre Daten zu verschlüsseln.

Verantwortung: Microsoft

DP-5: Bei Bedarf die Option eines kundenseitig verwalteten Schlüssels für die Verschlüsselung ruhender Daten verwenden.

Leitfaden: Wenn dies für die Einhaltung gesetzlicher Vorschriften erforderlich ist, definieren Sie den Anwendungsfall und den Dienstumfang, in dem vom Kunden verwaltete Schlüsseloption erforderlich ist. Aktivieren und implementieren Sie die Verschlüsselung ruhender Daten mithilfe von vom Kunden verwalteten Schlüsseln im Microsoft Fabric-Dienst. Organisationen können ihre eigenen Schlüssel für die Verschlüsselung im Ruhezustand für importierte semantische Modelle verwenden, die in Arbeitsbereichen mit Premium-Kapazitäten gehostet werden.

• Verwenden eigener Verschlüsselungsschlüssel für Power BI

• Kundenverwaltete Schlüsselverschlüsselung (CMK) in Microsoft Fabric

Verantwortung: Kunde

DP-6: Verwenden eines Sicheren Schlüsselverwaltungsprozesses

Leitfaden: Verwenden eines sicheren Schlüsseltresordiensts für die Schlüsselgenerierung, -verteilung und -speicherung. Rotieren und widerrufen Sie Ihre Schlüssel nach dem festgelegten Zeitplan, wie es die geltenden Standards vorschreiben, und wenn ein Schlüssel abläuft oder kompromittiert wird.

• Generieren und Übertragen von HSM-geschützten Schlüsseln – BYOK – Azure Key Vault

HINWEIS: Power BI BYOK unterstützt den HSM-Schlüsselimport in AKV Premium.

Verantwortung: Kunde

DP-7: Verwenden eines sicheren Zertifikatverwaltungsprozesses [N/A]

Leitfaden: N/A

DP-8: Sicherstellen der Sicherheit des Schlüssel- und Zertifikat-Repositorys [N/A]

Leitfaden: N/A

Anlagenverwaltung

Weitere Informationen finden Sie unter Microsoft Cloud Security Benchmark – Asset Management | Microsoft Learn

AM-1: Nachverfolgen des Ressourcenbestands und der zugehörigen Risiken

Leitfaden: Als SaaS-Dienst wird das physische Inventar von Hardware und Geräten von Microsoft überwacht. Für die Überwachung von Fabric-Ressourcen verwenden Sie die Fabric Scanner-API zum Einrichten der Metadatenüberprüfung der Fabric-Elemente Ihrer Organisation.

• Ausführen der Metadatenüberprüfung – Microsoft Fabric | Microsoft Learn

Verantwortung: Geteilt

AM-2: Nur genehmigte Dienste verwenden

Leitfaden: Verwenden Sie Azure-Richtlinien, um zu steuern, wer Fabric-Kapazitäten bereitstellen kann. Stellen Sie sicher, dass nur genehmigte Microsoft Fabric-Workloads auf dem Mandanten verwendet werden können, indem Sie überwachen und einschränken, welche Workloads Benutzer im Mandanten erstellen und darauf zugreifen können. Verwenden Sie eine Kombination aus delegierten Steuerelementen von Mandant, Kapazität oder Arbeitsbereich-Admin, die diese Ebene der Steuerung ermöglichen.

• Konfigurieren und Verwalten von Azure-Richtlinien

• Ablehnen eines bestimmten Ressourcentyps mit Azure-Richtlinie

• Microsoft Fabric-Mandanteneinstellungen

• Mandanteneinstellungen delegieren – Microsoft Fabric | Microsoft Learn

Verantwortung: Kunde

AM-3: Gewährleisten von Sicherheit bei der Lebenszyklusverwaltung von Ressourcen

Leitfaden: Einrichten oder Aktualisieren von Sicherheitsrichtlinien/Prozessen des Lebenszyklusmanagements von Assets für potenziell stark wirkende Modifikationen. Zu diesen Änderungen gehören Änderungen an Zugriff, Datenempfindlichkeitsstufe, Netzwerkkonfiguration und Administratorberechtigungszuweisung an Microsoft Fabric-Mandanten, -Kapazitäten und -Arbeitsbereiche.

Identifizieren und Entfernen von Microsoft Fabric-Ressourcen, wenn sie nicht mehr benötigt werden.

• Löschen einer Azure-Ressourcengruppe und -Ressource

• Administrator-API: GetUnusedArtifactsAsAdmin

Verantwortung: Kunde

AM-4: Beschränken des Zugriffs auf die Ressourcenverwaltung

Leitfaden: Verwenden Sie das Prinzip der geringsten Berechtigungen, wenn Sie Mandanten, Arbeitsbereichen und Artefakten Benutzerberechtigungen zuweisen. Stellen Sie sicher, dass die Anzahl der Benutzer, die über hoch privilegierte Rollen verfügen, eingeschränkt ist. Beschränken Sie den Zugriff der Benutzer auf Microsoft Fabric-Verwaltungsfeatures, um versehentliche oder böswillige Änderungen der Elemente in Ihrem Microsoft Fabric-Mandanten zu vermeiden.

• Was ist die Microsoft Fabric-Verwaltung? – Microsoft Fabric | Microsoft Learn

• Arbeitsbereich-Administratoreinstellungen – Microsoft Fabric | Microsoft Learn

• Verwalten der Fabric-Kapazität – Microsoft Fabric | Microsoft Learn

• Rollen in Arbeitsbereichen in Microsoft Fabric – Microsoft Fabric | Microsoft Learn

• Verwalten von Sicherheitsrollen | Microsoft Learn

Verantwortung: Kunde

AM-5: Nur genehmigte Anwendungen auf virtuellen Computern verwenden [N/A]

Leitfaden: N/A

Protokollierung und Bedrohungserkennung

Weitere Informationen finden Sie im Microsoft Cloud Security Benchmark – Protokollierung und Bedrohungserkennung | Microsoft Learn

LT-1: Aktivieren von Funktionen für die Bedrohungserkennung

Leitfaden: Um Bedrohungserkennungsszenarien zu unterstützen, überwachen Sie alle bekannten Ressourcentypen auf bekannte und erwartete Bedrohungen und Anomalien. Konfigurieren Sie Ihre Warnungsfilter- und Analyseregeln, um qualitativ hochwertige Warnungen aus Protokolldaten, Agents oder anderen Datenquellen zu extrahieren, um falsch positive Ergebnisse zu reduzieren. Aktivitäts- und Microsoft 365-Protokollierung auf dem Microsoft Fabric-Mandanten sind standardmäßig aktiviert.

• Microsoft Purview Compliance Manager–Warnungen und Warnungsrichtlinien

• Überlegungen für DSPM für KI - Datensicherheit und Compliance-Schutz für Copilot

Verantwortung: Kunde

LT-2: Aktivieren der Bedrohungserkennung für Azure-Identitäts- und Zugriffsverwaltung

Leitfaden: Leiten Sie alle Protokolle von Microsoft Fabric an Ihr SIEM weiter, die zum Einrichten von benutzerdefinierten Bedrohungserkennungen verwendet werden können. Verwenden Sie außerdem Microsoft Defender für Cloud-Apps-Steuerelemente in Power BI, um anomaliebasierte Erkennung zu ermöglichen, indem Sie den Leitfaden "Verwenden von Microsoft Defender for Cloud Apps"-Steuerelementen in Power BI ausführen.

• Nachverfolgen von Benutzeraktivitäten in Power BI

• Suchen Sie Ihren Microsoft Sentinel-Datenkonnektor

Verantwortung: Kunde

LT-3: Aktivieren der Protokollierung für sicherheitsrelevante Untersuchungen

Leitfaden: Aktivitäts- und Überwachungsprotokolle in Microsoft Fabric sind standardmäßig aktiviert. Es stehen zusätzliche Protokollierungs- und Überwachungsoptionen zur Verfügung und können auf Arbeitsbereichsebene für Ressourcen mit hohem Wert konfiguriert werden.

• Was ist der Administratorüberwachungsarbeitsbereich?

• Übersicht über die Arbeitsbereichsüberwachung in Microsoft Fabric

• Verwendung von Azure Log Analytics in Power BI

• OneLake-Diagnoseprotokollierung

Verantwortung: Kunde

LT-4: Aktivieren der Netzwerkprotokollierung für sicherheitsrelevante Untersuchungen

Leitfaden: Microsoft Fabric ist ein vollständig verwaltetes SaaS-Angebot, und die zugrunde liegende Netzwerkkonfiguration und Protokollierung liegt in der Verantwortung von Microsoft. Für Kunden, die private Links verwenden, stehen einige Protokollierungs- und Überwachungsfunktionen zur Verfügung, die konfiguriert werden können.

• Private Link Protokollierung und Überwachung

Verantwortung: Geteilt

LT-5: Zentrale Verwaltung und Analyse von Sicherheitsprotokollen

Leitfaden: Microsoft Fabric zentralisiert Protokolle an zwei Stellen: das Power BI-Aktivitätsprotokoll und das einheitliche Überwachungsprotokoll. Diese Protokolle enthalten beide eine vollständige Kopie der Microsoft Fabric-Überwachungsdaten, aber es gibt mehrere wichtige Unterschiede, wie unten zusammengefasst.

Einheitliches Überwachungsprotokoll:

• Umfasst Ereignisse aus SharePoint Online, Exchange Online, Dynamics 365 und anderen Diensten zusätzlich zu den Power BI- und Microsoft Fabric-Überwachungsereignissen.

• Nur Benutzer mit View-Only Audit-Logs-Berechtigungen oder Audit-Logs-Zugriff, wie globale Administratoren und Auditoren, können darauf zugreifen.

• Globale Administratoren und Auditoren können das einheitliche Überwachungsprotokoll mithilfe des Microsoft Defender XDR-Portals und des Microsoft Purview-Portals durchsuchen.

• Globale Administratoren und Auditoren können Überwachungsprotokolleinträge mithilfe von Microsoft 365-Verwaltungs-APIs und Cmdlets herunterladen.

• Speichert Überwachungsdaten für 180 Tage.

• Speichert Überwachungsdaten, auch wenn der Mandant in eine andere Azure-Region verschoben wird.

Power BI-Aktivitätsprotokoll:

• Umfasst nur die Microsoft Fabric- und Power BI-Überwachungsereignisse.

• Globale Administratoren und Microsoft Fabric-Dienstadministratoren haben Zugriff.

• Globale Administratoren und Microsoft Fabric-Dienstadministratoren können Aktivitätsprotokolleinträge mithilfe einer Power BI-REST-API und eines Verwaltungs-Cmdlets herunterladen.

• Speichert Aktivitätsdaten für 30 Tage.

• Speichert Aktivitätsdaten nicht, wenn der Mandant in eine andere Azure-Region verschoben wird.

Weitere Informationen finden Sie in den folgenden Referenzen:

• Vorgangsliste in Microsoft Fabric

• Nachverfolgen von Benutzeraktivitäten in Microsoft Fabric

Verantwortung: Kunde

LT-6: Konfigurieren der Aufbewahrung von Protokollspeichern

Leitfaden: Konfigurieren Sie Ihre Speicheraufbewahrungsrichtlinien für Ihre Überwachungsprotokolle gemäß Ihren Compliance-, Regulierungs- und Geschäftsanforderungen.

• Verwalten von Aufbewahrungsrichtlinien für Überwachungsprotokolle

Verantwortung: Kunde

LT-7: Verwenden genehmigter Zeitsynchronisierungsquellen

Leitfaden: Microsoft Fabric unterstützt nicht das Konfigurieren eigener Zeitsynchronisierungsquellen. Der Microsoft Fabric-Dienst basiert auf Microsoft-Zeitsynchronisierungsquellen und wird kunden nicht für die Konfiguration verfügbar gemacht.

Verantwortung: Microsoft

Reaktion auf Vorfälle

Microsoft Cloud Security Benchmark – Reaktion auf Vorfälle | Microsoft Learn

IR-1: Vorbereitung – Plan für Vorfallsreaktion und Bearbeitungsprozess aktualisieren

Leitfaden: Aktualisieren Sie den Vorfallreaktionsprozess Ihrer Organisation, um die Behandlung von Vorfällen in Microsoft Fabric einzubeziehen. Passen Sie basierend auf den verwendeten Microsoft Fabric-Workloads und Ihren Anwendungen, die auf Microsoft Fabric basieren, den Plan für die Reaktion auf Vorfälle und playbook an, um sicherzustellen, dass sie verwendet werden können, um auf den Vorfall in der Cloudumgebung zu reagieren.

• Implementieren von Sicherheit in der gesamten Unternehmensumgebung

• Referenzhandbuch zur Reaktion auf Vorfälle

• NIST SP800-61 Leitfaden zur Behandlung von Sicherheitsvorfällen

• Vorfall Antwort Übersicht

Verantwortung: Kunde

IR-2: Vorbereitung – Einrichten von Ereignisbenachrichtigungen

Leitfaden: Einrichten von Kontaktinformationen zu Sicherheitsvorfällen in Microsoft Defender für Cloud. Diese Kontaktinformationen werden von Microsoft verwendet, um Sie zu kontaktieren, wenn das Microsoft Security Response Center (MSRC) feststellt, dass Auf Ihre Daten von einer rechtswidrigen oder nicht autorisierten Partei zugegriffen wurde. Sie haben auch Optionen zum Anpassen von Vorfallwarnungen und Benachrichtigungen in verschiedenen Azure-Diensten basierend auf Ihren Anforderungen an die Reaktion auf Vorfälle.

• Einrichten des Microsoft Defender für die Cloud-Sicherheitskontakte

Verantwortung: Kunde

IR-3: Erkennung und Analyse – Erstellen von Vorfällen basierend auf Warnungen mit hoher Qualität

Leitfaden: Microsoft Defender für Cloud bietet qualitativ hochwertige Warnungen in vielen Azure-Ressourcen. Sie können den Microsoft Defender für Cloud-Datenconnector verwenden, um die Warnungen an Microsoft Sentinel zu streamen. Mit Microsoft Sentinel können Sie erweiterte Warnungsregeln erstellen, um Vorfälle automatisch für eine Untersuchung zu generieren.

Exportieren Sie Ihre Microsoft Defender für Cloud-Warnungen und Empfehlungen mithilfe des Exportfeatures, um Risiken für Microsoft Fabric und andere Azure-Ressourcen zu identifizieren. Exportieren Sie Warnungen und Empfehlungen entweder manuell oder kontinuierlich.

• Konfigurieren des Exports

• So streamen Sie Warnungen in Microsoft Sentinel

Verantwortung: Kunde

IR-4: Erkennung und Analyse - Untersuchen eines Vorfalls

Leitfaden: Verstehen, wie Sie standardmäßig auf Microsoft Fabric-Aktivitäts- und Überwachungsprotokolle zugreifen und diese verwenden. Aktivieren Sie die optionale Protokollierung für Ressourcen mit hohem Wert (siehe LT-3). Erwägen Sie, Ihre Protokolle nach Microsoft Sentinel zu exportieren. Nutzen Sie Protokolle, die von Diensten bereitgestellt werden, die von Microsoft Fabric in z. B. Microsoft Entra ID integriert werden. HINWEIS: Die Benutzeranmeldung bei Power BI oder Fabric in den Aktivitätsprotokollen wird nicht nachverfolgt; Überwachungsprotokolle erfassen Dienstanmeldungen. Die Datensatztypkategorie unterscheidet sich (z. B. PowerBIAudit für Power BI- und Microsoft Fabric-Ereignisse und AzureActiveDirectoryStsLogon zum Nachverfolgen von Dienstanmeldungen).

• Untersuchen von Vorfällen mit Microsoft Sentinel

• Erfahren Sie mehr über die Details zur Anmeldeprotokollaktivität – Microsoft Entra ID | Microsoft Learn

• Durchsuchen des Überwachungsprotokolls

• Konfigurieren von Richtlinienindikatoren im Insider-Risikomanagement

Verantwortung: Kunde

IR-5: Erkennung und Analyse – Priorisieren von Vorfällen

Leitfaden: Microsoft Defender für Cloud weist jeder Warnung einen Schweregrad zu, damit Sie zuerst priorisieren können, welche Warnungen untersucht werden sollen. Der Schweregrad basiert darauf, wie sicher sich Microsoft Defender für Cloud bei der Feststellung oder Analyse fühlt, die zur Ausgabe der Warnung verwendet wird, sowie auf dem Grad der Gewissheit, dass es böswillige Absichten hinter der Aktivität gab, die zur Warnung führte.

Ebenso erstellt Microsoft Sentinel Warnungen und Vorfälle mit einem zugewiesenen Schweregrad und anderen Details basierend auf Analyseregeln. Verwenden Sie Analyseregelvorlagen, und passen Sie die Regeln entsprechend den Anforderungen Ihrer Organisation an, um die Priorisierung von Vorfällen zu unterstützen. Verwenden Sie Automatisierungsregeln in Microsoft Sentinel, um die Reaktion auf Bedrohungen zu verwalten und zu koordinieren, um die Teameffizienz und Effektivität Ihres Sicherheitsvorgangs zu maximieren, einschließlich kategorisieren von Vorfällen, um sie zu klassifizieren.

• Sicherheitswarnungen in Microsoft Defender für Cloud

• Erstellen von Vorfällen aus Microsoft-Sicherheitswarnungen

Verantwortung: Kunde

IR-6: Eingrenzung, Beseitigung und Wiederherstellung: Automatisieren der Incidentbehandlung

Leitfaden: Verwenden Sie Workflowautomatisierungsfeatures in Microsoft Defender für Cloud und Microsoft Sentinel, um Aktionen automatisch auszulösen oder ein Playbook auszuführen, um auf eingehende Sicherheitswarnungen zu reagieren. Playbooks ergreifen Aktionen, z. B. das Senden von Benachrichtigungen, das Deaktivieren von Konten und das Isolieren problematischer Netzwerke.

Azure-Implementierung und zusätzlicher Kontext:

• Konfigurieren der Workflowautomatisierung im Security Center

• Einrichten automatisierter Bedrohungsantworten in Microsoft Defender für Cloud

• Einrichten automatisierter Bedrohungsantworten in Microsoft Sentinel

Verantwortung: Kunde

IR-7: Aktivitäten nach einem Vorfall – Erfahrungen sammeln und Beweise aufbewahren

Leitfaden: Verwenden Sie das Ergebnis der Lessons-Learned-Aktivität, um Ihren Plan für die Vorfallreaktion und das Playbook (z. B. ein Microsoft Sentinel-Playbook) zu aktualisieren und Erkenntnisse wieder in Ihre Umgebungen (z. B. Protokollierung und Bedrohungserkennung zur Schließung von Protokollierungslücken) zu integrieren, um Ihre zukünftige Fähigkeit zur Erkennung, Reaktion und Handhabung von Vorfällen in Microsoft Fabric zu verbessern.

Bewahren Sie die während der "Erkennung und Analyse – Untersuchen eines Vorfallschritts" gesammelten Nachweise auf, z. B. Protokolle im Speicher, z. B. ein Azure Storage-Konto zur unveränderlichen Aufbewahrung.

• Vorfallreaktionsprozess – Bereinigung nach dem Vorfall

Verantwortung: Kunde

Status- und Sicherheitsrisikoverwaltung

Weitere Informationen finden Sie unter Microsoft Cloud Security Benchmark – Haltungs- und Sicherheitsrisikomanagement | Microsoft Learn

PV-1: Definieren und Einrichten sicherer Konfigurationen

Leitfaden: Verwenden Sie den Microsoft Fabric Microsoft Cloud Security Benchmark-Basisplan, um Ihre Konfigurationsbasiswerte für jede Workload zu definieren. In der Microsoft Fabric-Sicherheitsdokumentation finden Sie Informationen zu Sicherheitskontrollen und Konfigurationen, die möglicherweise in Microsoft Fabric-Ressourcen erforderlich sind.

• Microsoft Fabric-Sicherheit

Verantwortung: Kunde

PV-2: Überwachen und Erzwingen sicherer Konfigurationen

Leitfaden: Verwenden Sie Microsoft Defender für Cloud zum Konfigurieren der Azure-Richtlinie zum Überwachen und Erzwingen von Konfigurationen Ihrer Microsoft Fabric Azure-Ressourcen. Verwenden Sie Azure Monitor, um Warnungen zu erstellen, wenn für die Ressourcen eine Konfigurationsabweichung erkannt wurde.

Verwenden Sie Azure-Richtlinien, z. B. [Verweigern]-Regeln, um eine sichere Konfiguration über Azure-Ressourcen hinweg zu erzwingen.

Für die Ressourcenkonfigurationsüberwachung und -erzwingung, die von Der Azure-Richtlinie nicht unterstützt wird, müssen Sie möglicherweise benutzerdefinierte Skripts schreiben oder Tools von Drittanbietern verwenden, um die Konfigurationsüberwachung und -erzwingung zu implementieren. Überwachen Sie Ihre Microsoft Fabric-Instanz mithilfe der Admin-REST-APIs.

• Grundlegendes zu Azure-Richtlinieneffekten

• Erstellen und Verwalten von Richtlinien zum Erzwingen der Compliance

• Abrufen von Compliancedaten von Azure-Ressourcen

• Administrator – REST-API (Power BI Power BI REST-APIs)

• Microsoft Fabric-REST-APIs für die Automatisierung

Verantwortung: Kunde

PV-3: Definieren und Einrichten sicherer Konfigurationen für Computeressourcen

Leitfaden: Stellen Sie sicher, dass nur autorisierte Mitarbeiter Microsoft Fabric-Computeressourcen wie Spark-Aufträge bereitstellen, verwalten und darauf zugreifen können. Andernfalls ist Microsoft Fabric ein vollständig verwaltetes SaaS-Angebot, die zugrunde liegenden Computeressourcen des Diensts werden von Microsoft gesichert und verwaltet.

• Empfehlung für die Sicherheitskonfiguration für Computeressourcen

Verantwortung: Geteilt

PV-4: Überwachen und Erzwingen sicherer Konfigurationen für Computeressourcen

Leitfaden: Microsoft Fabric ist ein vollständig verwaltetes SaaS-Angebot, die zugrunde liegenden Computeressourcen des Diensts werden von Microsoft gesichert und verwaltet.

Verantwortung: Microsoft

PV-5: Durchführen von Sicherheitsrisikobewertungen

Leitfaden: Microsoft-Sicherheitsteams, Drittanbieter und Entwicklungsteams führen regelmäßige strenge Sicherheitsrisikentests und -bewertungen von Microsoft Fabric-Produkten und -Diensten gemäß den Anforderungen erreichter Zertifizierungsstandards und SDL-Praktiken durch. Kunden können sich entscheiden, ihre eigene Sicherheitsrisikobewertung für Microsoft Fabric-Ressourcen auf allen Ebenen nach einem festen Zeitplan oder bei Bedarf durchzuführen.

• Microsoft Cloud Penetration Testing Einsatzregeln

Verantwortung: Microsoft

PV-6: Schnelle und automatische Behebung von Sicherheitsrisiken

Leitfaden: Microsoft Fabric ist ein vollständig verwaltetes SaaS-Angebot, die zugrunde liegenden Computeressourcen des Diensts werden von Microsoft gescannt und verwaltet.

Verantwortung: Microsoft

PV-7: Regelmäßig Red Team-Operationen durchführen

Leitfaden: Führen Sie nach Bedarf Penetrationstests oder rote Teamaktivitäten für Ihre Implementierung und Verwendung von Microsoft Fabric-Ressourcen durch, und stellen Sie die Behebung aller kritischen Sicherheitsergebnisse sicher. Als vollständig verwaltetes SaaS-Angebot führt Microsoft Fabric regelmäßige Penetrationstests durch; es liegt jedoch in der Verantwortung des Kunden, Implementierungen zu sichern.

Befolgen Sie die Microsoft Cloud Penetration Testing Rules of Engagement, um sicherzustellen, dass Ihre Penetrationstests nicht gegen Microsoft-Richtlinien verstoßen. Verwenden Sie die Strategie und Ausführung von Red Teaming und Live Site Penetrationstests für von Microsoft verwaltete Cloudinfrastruktur, -Dienste und -Anwendungen.

• Einsatzregeln für Penetrationstests

• Microsoft Cloud Red Teaming

• Technischer Leitfaden zu Tests und Bewertungen der Informationssicherheit

Verantwortung: Geteilt

Endpunktsicherheit

Weitere Informationen finden Sie unter Microsoft Cloud Security Benchmark – Endpunktsicherheit | Microsoft Learn

Leitfaden: Microsoft Fabric stellt keine vom Kunden zugänglichen Computeressourcen bereit, die Kunden zum Konfigurieren des Endpunkterkennungs- und Reaktionsschutzes (Endpoint Detection and Response, EDR) erfordern. Die zugrunde liegende Infrastruktur für Microsoft Fabric wird von Microsoft verarbeitet, einschließlich Anti-Malware- und EDR-Behandlung.

Weitere Informationen finden Sie im Azure Security Benchmark: Netzwerksicherheit

Verantwortung: Microsoft

Sicherung und Wiederherstellung

Weitere Informationen finden Sie unter Microsoft Cloud Security Benchmark – Sicherung und Wiederherstellung | Microsoft Learn

BR-1: Sicherstellen regelmäßiger automatisierter Sicherungen

Leitfaden: Power BI ist ein vollständig verwalteter Dienst, der integriert ist. Es stehen zusätzliche Sicherungsoptionen für hochwertige Power BI-Ressourcen zur Verfügung. Darüber hinaus stehen umfassendere Microsoft Fabric-Sicherungsoptionen zur Verfügung: Zuverlässigkeit in Microsoft Fabric | Microsoft Learn.

Fabric bietet erfahrungsspezifische Anleitungen für die Sicherung und Notfallwiederherstellung von Daten und Prozessen, die innerhalb und außerhalb von OneLake gespeichert sind.

Wenn Daten in OneLake gespeichert werden: Fabric bietet eine regionsübergreifende Replikation für in OneLake gespeicherte Daten. Kunden können dieses Feature basierend auf ihren Anforderungen an Georedundanz aktivieren oder deaktivieren. In einem regionalen Notfallszenario garantiert Fabric den Datenzugriff mit bestimmten Einschränkungen. Während die Erstellung oder Änderung neuer Elemente nach dem Failover eingeschränkt ist, bleibt der primäre Fokus auf der Sicherstellung, dass vorhandene Daten in OneLake weiterhin zugänglich und intakt bleiben. Fabric bietet eine strukturierte Reihe von Anweisungen, die Kunden durch den Wiederherstellungsvorgang für Daten führen.

Wenn Daten außerhalb von OneLake gespeichert werden: Kunden müssen kritische Daten und Prozesse, die außerhalb von OneLake gespeichert sind, in eine andere Region kopieren, um ihren Notfallwiederherstellungsplan auszurichten.

Power BI enthält standardmäßig die Notfallwiederherstellung, ohne dass eine Aktivierung erforderlich ist. Power BI verwendet die georedundante Azure Storage-Replikation und die georedundante Azure SQL-Replikation , um sicherzustellen, dass Sicherungsinstanzen in anderen Regionen vorhanden sind, um eine höhere Verfügbarkeit und ein verringertes Risiko zu gewährleisten. Während Unterbrechungen bleiben Power BI-Elemente (semantische Modelle, Berichte, Dashboards) im schreibgeschützten Modus zugänglich und unterstützen fortlaufende Analysen und Entscheidungsfindung.

• Erfahrungsspezifische Anleitungen für Sicherung und Notfallwiederherstellung

• Sichern und Wiederherstellen von Power BI Premium-Semantikmodellen

BR-2: Schützen von Sicherungs- und Wiederherstellungsdaten

Leitfaden: Power BI ist ein vollständig verwalteter Dienst mit integriertem BCDR, das von Microsoft verwaltet wird. Fabric bietet eine strukturierte Reihe von Anweisungen, die Kunden durch den Wiederherstellungsvorgang für Daten führen.

• Spezifische Anleitungen zur Microsoft Fabric-Notfallwiederherstellung

• Zuverlässigkeit in Microsoft Fabric

Verantwortung: Geteilt

BR-3: Backups überwachen

Leitfaden: Power BI ist ein vollständig verwalteter Dienst mit integriertem BCDR, das von Microsoft verwaltet wird. Power BI- und Microsoft Fabric-Elementsicherungen, die vom Kunden konfiguriert wurden, sollten vom Kunden verwaltet und überwacht werden.

Verantwortung: Geteilt

BR-4: Regelmäßiges Testen der Sicherung

Leitfaden: Power BI ist ein vollständig verwalteter Dienst mit integriertem BCDR, das von Microsoft verwaltet wird. Das Microsoft-Entwicklungsteam führt regelmäßige BCDR-Tests durch; Kunden können das BCDR-Ereignis nicht simulieren und microsoft-eigene Sicherungen ihrer Mandantendaten testen. Vom Kunden erstellte und eigene Sicherungen wie z. B. vom Kunden erstellte Sicherungen von semantischen Modellen und Sicherungen von Microsoft Fabric-Elementen liegen in der Verantwortung des Kunden.

Verantwortung: Geteilt