App Compliance Automation Tool für Microsoft 365
In diesem Artikel erfahren Sie, was das App Compliance Automation Tool für Microsoft 365 (ACAT) ist und wie es die Compliance vereinfacht und die Microsoft 365-Zertifizierung erhält.
Hinweis
ACAT befindet sich derzeit in der öffentlichen Vorschau und unterstützt nur Apps, die auf Azure basieren. In Zukunft wird es auch Anwendungen unterstützen, die auf anderen Clouds oder einer Mischung aus verschiedenen Clouds basieren.
Hinweis
Wenn Sie Feedback zur öffentlichen Vorschauversion von ACAT geben möchten, füllen Sie dieses Formular aus. Sobald wir Ihre Nachrichten erhalten, wird das ACAT-Produktteam so bald wie möglich mit Ihnen nachholen.
Was ist das App Compliance Automation Tool für Microsoft 365?
Das App Compliance Automation Tool für Microsoft 365 (ACAT) ist ein Dienst im Azure-Portal, der die Compliance-Journey für alle Apps vereinfacht, die Microsoft 365-Kundendaten nutzen und über Partner Center veröffentlicht werden. Es handelt sich um ein anwendungsorientiertes Tool zur Complianceautomatisierung, mit dem Sie die Microsoft 365-Zertifizierung einfacher und bequemer abschließen können. In der öffentlichen Vorschau ist ACAT für Apps verfügbar, die in Azure ausgeführt werden.
Mit diesem Tool können Sie schnell die Compliancegrenze für Ihre Anwendungen definieren, die Complianceergebnisse automatisch überwachen und die Complianceüberwachung einfacher abschließen. Die Compliancegrenze ist die Cloudinfrastruktur, die die Bereitstellung der App und aller Back-End-Systeme unterstützt, mit denen die App möglicherweise kommuniziert.
ACAT bietet nicht nur einen schnelleren Weg zur Microsoft 365-Zertifizierung, sie kann Ihnen auch in verschiedenen Complianceszenarien für Microsoft 365-Anwendungen helfen:
- Detaillierte Ansicht und Korrekturschritte für Microsoft 365-Zertifizierungsaufgaben.
- Automatische tägliche Berichte, die Ihnen helfen, kontinuierlich Complianceergebnisse zu erhalten.
- Bewährte Methoden für Sicherheit und Compliance, die als Leitfaden in der frühen Phase ihres Anwendungslebenszyklus verwendet werden können.
Vorteile von ACAT
Anwendungsorientierte Compliance-Journey.
- ACAT meldet Konformitätsbewertungen für die Cloudumgebung Ihrer Anwendungen, die Sie in Ihre aktuelle Compliancestrategie der Cloudinfrastruktur integrieren können.
- Entwickler können ACAT auch während der App-Entwicklungsphase aufrufen.
Beschleunigt den Prozess der Microsoft 365-Zertifizierung.
- ACAT automatisiert bestimmte Microsoft 365-Zertifizierungskontrollen vollständig.
- Es gibt eine ständig wachsende Automatisierungsliste, die von Microsoft aktiv entwickelt wird.
Native Integration in den Microsoft 365-Zertifizierungsworkflow.
- ACAT ist vollständig in Partner Center für microsoft 365-Zertifizierungszwecke integriert.
Halten Sie Ihre Anwendung oder Umgebung kontinuierlich konform.
- ACAT stellt tägliche Aktualisierungen von Compliancebewertungen sicher und passt sie an Ihre angegebene Triggerzeiteinstellung an.
- Mit ACAT können Sie Compliancebewertungen nahtlos in GitHub Actions oder andere CI/CD-Pipelines integrieren und so eine kontinuierliche Überwachung sicherstellen.
Konzepte von ACAT
Bericht zur Einhaltung gesetzlicher Bestimmungen
In ACAT können Sie den Konformitätsstatus der Anwendung überwachen, indem Sie einen Konformitätsbericht erstellen. Sie können die Compliancegrenze für Ihre Anwendung definieren, indem Sie die Azure-Ressourcen angeben, die die Anwendung erstellen. Erstellen Sie mehrere Berichte für eine Anwendung basierend auf verschiedenen Entwicklungsumgebungen und -phasen.
Nachdem der Bericht erstellt wurde, beginnt ACAT, die Konformitätsdaten für Ihre vordefinierte Triggerzeit zu sammeln, und generiert dann die Konformitätsergebnisse als Bericht für Sie. In der Zwischenzeit überwacht ACAT kontinuierlich die Complianceänderungen für Ihren Compliancebericht, bis Sie den Bericht löschen möchten.
Microsoft 365-Zertifizierungssteuerung
ACAT beschleunigt die Microsoft 365-Zertifizierung durch Automatisierung der Compliancekontrollen. Basierend auf dem Automatisierungsstatus gibt es drei Arten von Konformitätskontrollen, die in ACAT definiert sind.
- Vollständig automatisierte Kontrolle: Die Microsoft-Zertifizierungskontrolle wird vollständig von ACAT automatisiert.
- Teilweise automatisierte manuelle Steuerung: ACAT könnte Teilaufgaben der Microsoft 365-Zertifizierungssteuerung automatisieren. Sie müssen die Von ACAT bereitgestellten Anweisungen befolgen, um die verbleibenden Zuständigkeiten abzuschließen.
- Vollständige manuelle Kontrolle: Sie müssen die Anweisungen von ACAT befolgen, um alle Zuständigkeiten abzuschließen.
Langfristig verbessert ACAT die Automatisierungsabdeckung der Microsoft 365-Zertifizierungskontrollen kontinuierlich.
Verantwortlichkeit des Kunden
Jedem Steuerelement ist eine Reihe von Kundenzuständigkeiten zugeordnet, die erfüllt werden müssen. Sie sind Verantwortlichkeiten, die Sie in den folgenden Bereichen behalten: Daten, Endpunkte, Konto, Zugriffsverwaltung usw.
Manuelle Kundenverantwortung: Sie müssen Ihre Compliance-Nachweise vorbereiten und in ACAT hochladen. ACAT überträgt Dann Ihre Beweise an Partner Center, wenn Sie Ihren ACAT-Bericht übermitteln.
Automatisierte Bewertung der Kundenverantwortung: ACAT kann Daten für jede Verantwortung sammeln und ein Bewertungsergebnis bereitstellen. Sie müssen alle fehlerhaften Ressourcen beheben, indem Sie sie entweder korrigieren oder zusätzliche Konformitätsbeweise bereitstellen, um den aktuellen Zustand der Ressource zu rechtfertigen.
Automatisierte Beweissammlung für Kunden: Für Berichte, die Ressourcen enthalten, die von der automatisierten Beweissammlungsfunktion von ACAT unterstützt werden, bietet ACAT optimierte Unterstützung bei der Vorbereitung von Compliancebeweisen durch einen einfachen Klickprozess. Wenn in der Ressourcenliste des Berichts keine unterstützten Ressourcen vorhanden sind, behalten Sie weiterhin die Option zum manuellen Hochladen Ihrer Konformitätsbeweis bei.
Sowohl die automatisierte Bewertung als auch die automatisierte Beweissammlung von Kunden bieten Ihnen Abhilfemaßnahmen. Dies sind unsere Richtlinien, die Ihnen helfen, die Microsoft 365-Zertifizierungsstandards einzuhalten.
Hinweis
Kundenzuständigkeiten der automatisierten Bewertung werden täglich basierend auf der geplanten Triggerzeit verschoben. Die Kundenverantwortlichkeiten für die automatisierte Beweissammlung können jedoch nur bei Bedarf aktualisiert werden, indem Sie auf die Schaltfläche "Automatisierte Beweissammlung durch ACAT" klicken.
Grundlegendes zum Konformitätsstatus der Microsoft 365-Zertifizierungskontrollen
Im Bericht zur Einhaltung gesetzlicher Bestimmungen definiert ACAT die Zuständigkeiten des Kunden für jede vollständig automatisierte Steuerung und teilweise automatisierte manuelle Steuerung. Es gibt zwei Konformitätsstatus für die Kundenverantwortung.
- Bestanden: Die cloudbasierten Ressourcen, die für diese Kundenverantwortung gelten, sind fehlerfrei.
- Fehler: Mindestens eine Cloudressource ist fehlerhaft. Sie können die Korrekturschritte ausführen, um die fehlerhaften Ressourcen zu beheben.
- Nicht zutreffend: Es gelten keine Cloudressourcen für die Verantwortung des Kunden, oder diese Kundenverantwortung gilt basierend auf der Anwendungskonfiguration für diesen Bericht als nicht anwendbar.
- Überprüfung der App-Compliance erforderlich: Sie sammeln manuell Beweise und laden sie in diese Kundenverantwortung hoch. Ein Analyst führt eine gründliche Überprüfung durch, nachdem Sie die Microsoft 365-Zertifizierungsanforderung im Microsoft Partner Network eingereicht haben.
Die Konformitätsstatus der Microsoft 365-Zertifizierungskontrollen basieren auf den Compliancestatus der Kundenverantwortlichkeiten.
- Bestanden: Für diese Microsoft 365-Zertifizierungssteuerung ist keine Kundenverantwortung im Status "Fehler" oder "App-Konformitätsüberprüfung erforderlich" enthalten.
- Fehler: Mindestens eine Kundenverantwortung ist in Bezug auf diese Microsoft 365-Zertifizierungssteuerung fehlgeschlagen.
- Nicht hilfreich: Alle Kundenverantwortlichkeiten für diese Microsoft 365-Zertifizierungssteuerung befinden sich im Status "N/V".
- Überprüfung der App-Compliance erforderlich: Mindestens eine Kundenverantwortung befindet sich im Status "Überprüfung der App-Compliance erforderlich". Ein Analyst führt eine gründliche Überprüfung durch, nachdem Sie die Microsoft 365-Zertifizierungsanforderung im Microsoft Partner Network eingereicht haben.
Häufig gestellte Fragen
Was sind manuelle Steuerungen und teilweise automatisierte Steuerungen?
Jede Compliancekontrolle ist mit einer bestimmten Gruppe von Kundenzuständigkeiten verknüpft, wobei ACAT Compliancedaten entsprechend sammelt. Es ist wichtig zu beachten, dass ACAT jetzt nicht alle Kontrollen für die Microsoft 365-Zertifizierung abdeckt (obwohl anstrengungen unternommen werden, die Abdeckung zu erweitern). Bei teilweise automatisierten Kontrollen automatisiert ACAT bestimmte Aspekte der Kundenverantwortung. Die Bewertungsergebnisse einer teilweise automatisierten Kontrolle tragen zum Microsoft 365-Zertifizierungsaudit bei, und es sind weitere Maßnahmen ihrerseits erforderlich, um alle verbleibenden Anforderungen zu erfüllen. Für manuelle Kontrollen automatisiert ACAT derzeit jedoch keine Kundenverantwortlichkeiten.
Wie kann ich feststellen, ob die Steuerung vollständig automatisiert ist?
ACAT verbessert die Steuerungsautomatisierung kontinuierlich. Hier sehen Sie den aktuellen Status der Steuerungsautomatisierung.
| Sicherheitsdomäne | Steuerelementfamilie | Kontrollnummer | ACAT-Automatisierungsstatus |
|---|---|---|---|
| Betriebssicherheit | Bewusstseinstraining | Steuerelement 1 | Manuell |
| Betriebssicherheit | Schutz vor Schadsoftware – Anti-Virus | Steuerelement 2 | Vollautomatisiert |
| Betriebssicherheit | Schutz vor Schadsoftware – Anwendungssteuerung | Steuerung 3 | Manuell |
| Betriebssicherheit | Patchverwaltung – Patching & Risk Ranking | Steuerung 4 | Manuell |
| Betriebssicherheit | Patchverwaltung – Patching & Risk Ranking | Steuerung 5 | Teilweise automatisiert |
| Betriebssicherheit | Prüfung auf Schwachstellen | Steuerung 6 | Vollautomatisiert |
| Betriebssicherheit | Prüfung auf Schwachstellen | Steuerung 7 | Vollautomatisiert |
| Betriebssicherheit | Netzwerksicherheitskontrollen (Network Security Controls, NSC) | Steuerung 8 | Teilweise automatisiert |
| Betriebssicherheit | Netzwerksicherheitskontrollen (Network Security Controls, NSC) | Steuerelement 9 | Teilweise automatisiert |
| Betriebssicherheit | Änderungssteuerung | Steuerelement 10 | Manuell |
| Betriebssicherheit | Änderungssteuerung | Steuerelement 11 | Manuell |
| Betriebssicherheit | Sichere Softwareentwicklung/-bereitstellung | Steuerelement 12 | Manuell |
| Betriebssicherheit | Sichere Softwareentwicklung/-bereitstellung | Steuerelement 13 | Teilweise automatisiert |
| Betriebssicherheit | Kontoverwaltung | Steuerelement 14 | Teilweise automatisiert |
| Betriebssicherheit | Kontoverwaltung | Steuerelement 15 | Teilweise automatisiert |
| Betriebssicherheit | Kontoverwaltung | Steuerung 16 | Teilweise automatisiert |
| Betriebssicherheit | Sicherheitsereignisprotokollierung, Überprüfung und Warnung | Steuerelement 17 | Vollautomatisiert |
| Betriebssicherheit | Sicherheitsereignisprotokollierung, Überprüfung und Warnung | Steuerelement 18 | Vollautomatisiert |
| Betriebssicherheit | Sicherheitsereignisprotokollierung, Überprüfung und Warnung | Steuerung 19 | Manuell |
| Betriebssicherheit | Sicherheitsereignisprotokollierung, Überprüfung und Warnung | Steuerelement 20 | Vollautomatisiert |
| Betriebssicherheit | Informationssicherheits-Risikomanagement | Steuerelement 21 | Manuell |
| Betriebssicherheit | Informationssicherheits-Risikomanagement | Steuerelement 22 | Manuell |
| Betriebssicherheit | Informationssicherheits-Risikomanagement | Steuerelement 23 | Manuell |
| Betriebssicherheit | Informationssicherheits-Risikomanagement | Steuerelement 24 | Manuell |
| Betriebssicherheit | Reaktion auf Sicherheitsvorfälle | steuern 25 | Manuell |
| Betriebssicherheit | Reaktion auf Sicherheitsvorfälle | Steuerelement 26 | Manuell |
| Betriebssicherheit | Reaktion auf Sicherheitsvorfälle | Steuerelement 27 | Manuell |
| Betriebssicherheit | Business Continuity Plan (BCP) und Notfallwiederherstellungsplan | Steuerelement 28 | Teilweise automatisiert |
| Betriebssicherheit | Business Continuity Plan (BCP) und Notfallwiederherstellungsplan | Steuerelement 29 | Teilweise automatisiert |
| Betriebssicherheit | Business Continuity Plan (BCP) und Notfallwiederherstellungsplan | Steuerelement 30 | Manuell |
| Datenverarbeitung Sicherheit & Datenschutz | Daten während der Übertragung | Steuerelement 1 | Vollautomatisiert |
| Datenverarbeitung Sicherheit & Datenschutz | Daten während der Übertragung | Steuerelement 2 | Vollautomatisiert* |
| Datenverarbeitung Sicherheit & Datenschutz | Ruhende Daten | Steuerung 3 | Vollautomatisiert |
| Datenverarbeitung Sicherheit & Datenschutz | Datenaufbewahrung, Sicherung und Entsorgung | Steuerung 4 | Manuell |
| Datenverarbeitung Sicherheit & Datenschutz | Datenaufbewahrung, Sicherung und Entsorgung | Steuerung 5 | Manuell |
| Datenverarbeitung Sicherheit & Datenschutz | Datenaufbewahrung, Sicherung und Entsorgung | Steuerung 6 | Teilweise automatisiert |
| Datenverarbeitung Sicherheit & Datenschutz | Datenaufbewahrung, Sicherung und Entsorgung | Steuerung 7 | Teilweise automatisiert |
| Datenverarbeitung Sicherheit & Datenschutz | Datenzugriffsverwaltung | Steuerung 8 | Teilweise automatisiert |
| Datenverarbeitung Sicherheit & Datenschutz | Datenzugriffsverwaltung | Steuerelement 9 | Manuell |
| Datenverarbeitung Sicherheit & Datenschutz | Datenschutz | Steuerelement 10 | Manuell |
| Datenverarbeitung Sicherheit & Datenschutz | Datenschutz | Steuerelement 11 | Teilweise automatisiert |
| Datenverarbeitung Sicherheit & Datenschutz | DSGVO | Steuerelement 12 | Teilweise automatisiert |
| Datenverarbeitung Sicherheit & Datenschutz | DSGVO | Steuerelement 13 | Manuell |
| Datenverarbeitung Sicherheit & Datenschutz | HIPAA | Steuerelement 14 | Manuell |
| Datenverarbeitung Sicherheit & Datenschutz | HIPAA | Steuerelement 15 | Manuell |
Hinweis
ACAT Automation Status gibt an, welchen Automatisierungsumfang ACAT Ihnen dabei helfen kann, den Konformitätsbeweis für ein Steuerelement vorzubereiten.
- Manuell: Sie müssen alle Compliance-Nachweise für jede Kundenverantwortung unter dieser Kontrolle manuell vorbereiten.
- Teilautomatisiert: Dieses Steuerelement umfasst eine Mischung aus Kundenzuständigkeiten, einschließlich automatisierter Bewertungen, automatisierter Beweissammlung und manueller Kundenzuständigkeit. Sie müssen alle fehlgeschlagenen Kundenzuständigkeiten beheben und das Feature für die automatisierte Beweissammlung für die Beweissammlung nutzen. Stellen Sie für manuelle Zuständigkeiten sicher, dass Sie die erforderlichen Compliance-Nachweise bereitstellen und in die ACAT hochladen.
- Vollständig automatisiert: Alle Kundenverantwortlichkeiten, die dieser Kontrolle unterliegen, sind entweder die Verantwortlichkeiten des Kunden für die automatisierte Bewertung oder die automatisierte Beweissammlung des Kunden.
Ich habe die vorgeschlagenen Änderungen basierend auf dem Korrekturvorschlag vorgenommen, aber das Steuerelement schlägt immer noch fehl.
Nachdem Sie Korrekturmaßnahmen ergriffen haben, um den Fehler zu beheben, lassen Sie ACAT Zeit, um aktualisierte Bewertungsergebnisse für den Kontrollstatus abzurufen. Die Bewertungen werden alle 24 Stunden gemäß Ihrer vorgegebenen Triggerzeit durchgeführt.
Wie wird der Compliancebericht im Zertifizierungsprozess verwendet?
ACAT ist nahtlos in Partner Center integriert, um Ihre Microsoft 365-Zertifizierungsjourney abzuschließen. Erfahren Sie mehr über die Verwendung von Complianceberichten, um die Microsoft 365-Zertifizierung zu beschleunigen.