Automatisieren der Microsoft 365-Zertifizierung mit ACAT

Das App Compliance Automation Tool (ACAT) kann verwendet werden, um einen bestimmten Satz erforderlicher Steuerelemente für die Microsoft 365-Zertifizierung zu erfüllen. In diesem Artikel wird beschrieben, wie Sie ACAT in Partner Center implementieren und die Compliancebewertungen verwenden, um die Microsoft 365-Zertifizierung zu beschleunigen.

Hinweis

ACAT befindet sich derzeit in der öffentlichen Vorschau und unterstützt nur Anwendungen, die auf Azure basieren. Zukünftige Updates umfassen Funktionen für Apps, die auf nicht von Microsoft gehosteten Clouddiensten basieren. Um Feedback zur öffentlichen Vorschauversion von ACAT zu erhalten, füllen Sie bitte dieses Formular aus. Ein ACAT-Produktteam-Spezialist wird so bald wie möglich mit Ihnen nachholen.

Erstellen Ihres ersten Complianceberichts zum Onboarding von ACAT

ACAT bietet zusätzliche Visierbarkeit für die Compliance einer Anwendung durch benutzerdefinierte Berichte. Benutzer können Berichte basierend auf der Cloudinfrastruktur oder einer bestimmten Umgebung einer App erstellen, z. B. Produktion, Staging usw.

• Suchen und starten Sie das App Compliance Automation Tool für Microsoft 365 im Azure-Portal.
• Wählen Sie Reports auf der linken Seite des Bildschirms aus.

Wechseln Sie zu Berichte, um einen neuen Konformitätsbericht zu erstellen.

• Wählen Sie diese Option aus Create new report , um Ihren ersten Konformitätsbericht zu erstellen.

  • Grundlagen
    • Berichtsname: Der Kompatibilitätsbericht muss einen eindeutigen und nichtduplizierten Namen innerhalb des Mandanten haben, der aus einer Kombination aus Zahlen, Buchstaben und Unterstrichen besteht. Es empfiehlt sich, den spezifischen App- oder Umgebungsnamen in den Namen des Berichts einzufügen.
    • Triggerzeit: ACAT führt tägliche Aktualisierungen von Konformitätsbewertungen für Berichte durch und bietet so die Flexibilität, einen bestimmten Zeitpunkt für das Aktualisieren von Bewertungen in einer festgelegten Zeitzone festzulegen.
    • Ressourcen: Definieren Sie die Compliancegrenze für Ihren Bericht, indem Sie Ressourcen aus Ihrer Cloudinfrastruktur auswählen. Verwenden Sie die Filter, um Ressourcen basierend auf Abonnement, Ressourcengruppe, Tags und mehr zu durchsuchen.

  

  Grundlegende Konfiguration für den Konformitätsbericht

  • Microsoft 365-Zertifizierung
    • Angebots-GUID: Die Angebots-GUID dient als eindeutiger Bezeichner für das Marketplace-Angebot im Microsoft Partner Center und ist der Schlüssel zum Verbinden des Complianceberichts mit Marketplace-Angeboten. Nachdem Sie die Konformität mit Marketplace-Angeboten hergestellt haben, können Sie den Compliancebericht verwenden, um den Microsoft 365-Zertifizierungsprozess für Ihre Marketplace-Angebote im Partner Center zu beschleunigen. Wählen Sie Weitere Informationen aus, um zu erhalten, wie Sie die Angebots-GUID Ihrer App abrufen. Dieser Schritt ist während der ersten Berichtserstellung optional und kann konfiguriert werden, wenn Sie mit der Veröffentlichung Ihrer App beginnen.

  

  Konfiguration für die Microsoft 365-Zertifizierung

Nach der Bestätigung der Konfiguration und dem Erstellen des Konformitätsberichts sammelt ACAT automatisch Compliance-bezogene Daten aus den folgenden Quellen:

• Aktivieren Sie microsoft Defender für Cloud (Free-Tarif) für Ihr Abonnement.
• Aktivieren Sie benutzerdefinierte Richtlinien für Ihr Abonnement.

Hinweis

Bitte lassen Sie ACAT 24 Stunden zeit, um die anfänglichen Konformitätsbewertungen für Ihren Bericht basierend auf Ihren angegebenen Einstellungen zu generieren.

Überwachen der Konformitätsbewertungen mit Ihrem Compliancebericht

Überprüfen Sie den Laufzeitstatus der Complianceberichte, und führen Sie Audits zu Compliancebewertungen durch.

• Auf der linken Seite können Reports Sie eine Zusammenfassung der vorhandenen Complianceberichte anzeigen.

  • Der Laufzeitstatus zeigt den Status der neuesten Updates für Konformitätsbewertungen an:
    • Aktiv: Die Konformitätsbewertungen für diesen Bericht wurden erfolgreich aktualisiert.
    • Fehler: Bei ACAT ist bei der Aktualisierung der Konformitätsbewertungen während der letzten Aktualisierung ein Fehler aufgetreten. Fehler können auf falsche Abonnementkonfigurationen oder ein Systemproblem mit ACAT zurückzuführen sein. Informationen zur Behebung und Behebung des Problems finden Sie im Leitfaden zur Selbstwiederherstellung.
    • Deaktiviert: Der Konformitätsbericht wurde vom Benutzer manuell deaktiviert (angehalten). Dieses Feature ist derzeit in der öffentlichen Vorschau nicht aktiviert.
  • Erstellt am: Die Erstellt bei wird angezeigt, wenn der Konformitätsbericht erstellt wird.
  • Zeitpunkt des letzten Triggers und Zeitpunkt des nächsten Triggers: ACAT aktualisiert täglich Konformitätsbewertungen für Berichte. Der Zeitpunkt des letzten Triggers gibt an, wann das letzte Update initiiert wurde, während die Nächste Triggerzeit den geplanten Zeitpunkt für das nächste Berichtsupdate angibt.
  • Microsoft 365-Zertifizierung: Überprüfen Sie den Konformitätsstatus von Kontrollen, die für die Microsoft 365-Zertifizierung spezifisch sind.

  

  Liste der vorhandenen Konformitätsberichte.

Neben dem Zugriff auf allgemeine Zusammenfassungen vorhandener Complianceberichte können Sie sich auch mit den Details der einzelnen Compliancebewertungen befassen. Wählen Sie den Berichtsnamen aus, um bestimmte Bewertungsdetails für eine gründlichere Überwachung abzurufen.

Symbolleiste für den Konformitätsbericht.

ACAT stellt eine Symbolleiste bereit, mit der Sie die folgenden Aktionen ausführen können:

• Einstellungen: Ändern Sie die Konfiguration des Konformitätsberichts.

  • Grundlegende Informationen bearbeiten: Bearbeiten Sie die grundlegende Konfiguration des Berichts.
  • Ressourcen bearbeiten: Sie können Ressourcen basierend auf der aktuellen Cloudinfrastruktur hinzufügen oder entfernen.
  • Anwendungskonfiguration bearbeiten: Bearbeiten Sie die Anwendungskonfiguration, um Den Bericht an dem entsprechenden Steuerelementsatz auszurichten.
  • Microsoft 365-Zertifizierungskonfiguration bearbeiten: Konfigurieren Sie Angebots-GUIDs, um den Bericht marketplace-Angeboten in Microsoft Partner Center zuzuordnen.
  • Konfigurationsbeweisrepository: Konfigurieren Sie das Beweisrepository zum Speichern hochgeladener Beweise.

  

• Bericht herunterladen: Laden Sie Bewertungen des Complianceberichts herunter, die für die Zusammenarbeit mit Partnern freigegeben werden können.

  • Bewertungsbericht zur Überprüfung der Microsoft 365-Zertifizierung: In diesem PDF-Bericht werden die Konformitätsbewertungen basierend auf den Microsoft-Zertifizierungskontrollen organisiert. Wenn sie für die Verwendung in der Phase "Anfangsdokument" ausgewählt wurde, wird es automatisch zur Überprüfung an den Analysten übermittelt. Darüber hinaus haben Sie die Möglichkeit, es herunterzuladen und bei Bedarf manuell als Beweis hochzuladen.
  • Bewertungsbericht für die Zusammenarbeit von Technikern: Dieser PDF-Bericht organisiert die Compliancebewertungen mit internen Informationen, die auf Microsoft-Zertifizierungskontrollen basieren. Es wird für die interne Teamzusammenarbeit bei Compliance-Audits verwendet.
  • Bewertungsbericht für die Zusammenarbeit von Technikern: Dieser Excel-Bericht enthält Informationen auf Ressourcenebene und entsprechende Konformitätsbewertungen für die interne Teamzusammenarbeit während Compliance-Audits.
  • Cloudinfrastrukturinventur: Dieser Excel-Bericht enthält die Ressourcendetails dieses Complianceberichts und enthält eine umfassende Beschreibung des Cloudbestands, der Ihrer Anwendung zugeordnet ist.

  

• Benachrichtigungen: Erhalten Sie Benachrichtigungen über die Änderung der Konformitätsberichtseinstellungen oder die Änderung des Status der Bewertungen. Erfahren Sie mehr über das Empfangen von Benachrichtigungen per Webhook.

• Integration mit CI/CD-Pipeline: Mit ACAT können Sie die kontinuierliche und automatisierte Compliance für Ihre Anwendung durch nahtlose Integration in CI/CD-Pipelines gewährleisten. Erfahren Sie mehr über die Integration in die GitHub Actions-Pipeline und die Integration in andere Pipelines mit REST-APIs.

• Übermitteln einer Zertifizierungsanforderung mit ACAT: Führen Sie eine schnelle Überprüfung durch, um sicherzustellen, dass dieser Bericht für die Zertifizierung bereit ist, und erhalten Sie Anleitungen zur Verwendung für die Zertifizierung in Partner Center.

  

  Übermitteln einer Zertifizierungsanforderung mit ACAT

Mit ACAT können Sie ausführlichere Informationen zum Bericht und zu Konformitätsbewertungen erhalten.

• Essentials gibt den Status und die Einstellungen des Konformitätsberichts an.

  

  Grundlagen des Complianceberichts.

• Kontrollbewertungen – Microsoft 365-Zertifizierungsansicht

  • Kontrollbewertungen werden nach Microsoft 365-Zertifizierungssicherheitsdomänen, Kontrollfamilien und Kontrollen organisiert.
    • Sie können den Compliancestatus nach Kundenverantwortung auf der ebene der einzelnen Kontrolle überprüfen.
    • Wählen Sie im Abschnitt "Kundenverantwortung" die Option "Aktionen" aus, um auf den Konformitätsstatus der zugeordneten Ressourcen zuzugreifen und Korrekturschritte für fehlerhafte Ressourcen zu ermitteln.
    • Verwenden Sie Such- und Filterfunktionen, um bestimmte Steuerelemente basierend auf Ihren Anforderungen zu finden.
      • Durchsuchen Sie die Steuerelemente nach Steuerelementname oder Kundenverantwortungsname.
      • Verwenden Sie Control family , um nach Sicherheitsdomäne oder Steuerungsfamilie zu filtern.
      • Verwenden Sie Control status , um nach aktuellen Konformitätsfehlern zu filtern.
      • Verwenden Sie Customer responsibility type , um nach dem automatisierten ACAT-CR-Typ zu filtern.
  • Erfahren Sie mehr über den Konformitätsstatus für das Steuerelement und die Kundenverantwortung.

  

  Konformitätsbewertungen für den Compliancebericht.

Stellen Sie sicher, dass ein robuster Kontrollsatz der Schwerpunkt Ihres Complianceberichts ist.

Die Microsoft 365-Zertifizierung bietet je nach Anwendungskonfiguration einen geeigneten Kontrollsatz. Sie müssen die Anwendungskonfiguration abschließen, um Ihren Bericht an den entsprechenden Kontrollsatz anzupassen, bevor Sie die Konformitätsbewertungen überwachen.

• Wenn Sie die Anwendungskonfiguration für den Bericht nicht abschließen, führt dies zu einer Warnmeldung, die in der entsprechenden Kundenverantwortung angezeigt wird und Sie zu den Anwendungskonfigurationseinstellungen führt.

  

  Warnmeldung und Anleitungen zur Anwendungskonfiguration.

• Sie können die application configuration Einstellung auch über die Settings Option auf der Berichtssymbolleiste bearbeiten.

  

  Anwendungskonfigurationseinstellung.

Erfüllen sie die Kontrollanforderungen, indem Sie Nachweise für Ihre Compliancelösung übermitteln.

Zusätzlich zur Ausführung der Korrekturschritte zur Behebung von Compliancefehlern können Sie auch Complianceanforderungen erfüllen, indem Sie Beweise für Ihre eigene Lösung hochladen.

Um Datenschutzprobleme zu beheben, müssen Sie zunächst das Beweisrepository konfigurieren. Erstellen Oder wählen Sie das Speicherkonto aus, um Beweise für Microsoft 365-Zertifizierungssteuerelemente sicher zu speichern. Nach der Erstellung kann das Speicherkonto für alle Berichte verwendet werden.

• Wenn Sie das Beweisrepository nicht konfigurieren, klicken Sie auf für Actions eine Kundenverantwortung und erhalten eine Warnmeldung im Abschnitt Beweis hochladen, um die entsprechenden Berichtseinstellungen anzuzeigen.

  

  Warnmeldung und Anleitung zum Beweisrepository.

• Sie können die evidence repository Einstellung auch über die Settings Option auf der Berichtssymbolleiste bearbeiten.

  

  Konfiguration der Einstellung des Beweisrepositorys.

Wenn Sie nach dem Konfigurieren des Beweisrepositorys manuelle Kontrollanforderungen erfüllen oder Kontrollkriterien mit Ihrer eigenen Lösung erfüllen möchten, können Sie Beweise in die jeweilige Kundenverantwortung hochladen. Nach dem Hochladen von Beweisen in eine Kundenverantwortung ändert sich der Konformitätsstatus automatisch in "Überprüfung der App-Compliance erforderlich".

• Klicken Sie Actions auf Kundenverantwortung.

• Erweitern Sie den Upload evidence Bereich.

• Durchsuchen Sie Ihre lokalen Beweisdateien, und laden Sie sie hoch.

• Übermitteln Sie Beweisdateien, um sie im Beweisrepository zu speichern.

  

  Durchsuchen und Hochladen von Beweisen.

Wenn ACAT unterstützte Ressourcen in der Ressourcenliste Ihres ACAT-Berichts identifiziert, müssen Sie für die automatisierte Beweissammlung keine Beweise manuell vorbereiten, wenn ACAT unterstützte Ressourcen identifiziert. Stattdessen kann ACAT die Compliancedaten in einer ACAT-Beweisdatei zusammenfassen und in Ihr Beweisrepository hochladen.

• Wählen Sie eine automatisierte Beweissammlung aus, die vom Kunden verantwortlich ist.
• Klicken Sie Actions auf Kundenverantwortung.
• Erweitern Sie den Remediation steps Bereich, und überprüfen Sie die unterstützten Ressourcentypen, die als Nachweise gesammelt werden können.
• Erweitern Sie den Upload evidence Bereich, und klicken Sie auf die Collect evidence by ACAT Schaltfläche. Nach der Beweissammlung werden die von ACAT gesammelten Beweise in der Dateiliste unten angezeigt.
• Überprüfen Sie die von ACAT gesammelten Beweise, und laden Sie bei Bedarf zusätzliche Beweise hoch.

Automatisches Sammeln von Beweisen durch ACAT.

Hinweis

Für unterschiedliche Kundenverantwortungen kann ACAT Nachweise für verschiedene Arten von Ressourcen sammeln. Wenn ACAT jedoch keine unterstützten Ressourcen in Ihrem Bericht identifiziert, müssen Sie den Konformitätsbeweis manuell vorbereiten und in ACAT hochladen. Ausführlichere Anweisungen finden Sie im Remediation Steps Abschnitt für jede Kundenverantwortungsaktion.

Achtung

Aus Datenschutzgründen kann ACAT die gesammelten Beweise nicht automatisch aktualisieren. Sollten nach der Beweiserhebung Änderungen an der Zielressource vorgenommen werden, müssen Sie die betroffenen Kundenzuständigkeiten überprüfen und erneut auf die Schaltfläche Beweis durch ACAT sammeln klicken, um die von ACAT gesammelten Beweise zu aktualisieren.

Verwenden Ihres ersten Complianceberichts mit der Microsoft 365-Zertifizierungsüberwachung

Wenn Sie auf der Berichtssymbolleiste auf How to submit certifcation request with ACAT klicken, werden Sie durch den gesamten Weg von ACAT zur Microsoft 365-Zertifizierung geführt.

Im Allgemeinen müssen Sie vor der Verwendung des Complianceberichts mit der Microsoft 365-Zertifizierung konfigurieren, um es offer GUID Ihren Marketplace-Angeboten zuzuordnen. Es gibt zwei Möglichkeiten:

• Konfigurieren Sie während des Erstellungsprozesses des Konformitätsberichts die Angebots-GUID auf der Microsoft 365 Certification Registerkarte.
• Wenn der Konformitätsbericht bereits erstellt wurde, wechseln Sie zu Settings diesem Konformitätsbericht, um die Angebots-GUID zu konfigurieren.

Nachdem die Angebots-GUID konfiguriert wurde, wechseln Sie zum Microsoft Partner Center , um die Microsoft 365-Zertifizierung zu initiieren.

• Initial Documentation Wählen Sie in Ja aus, um zu bestätigen, dass Sie ACAT verwenden.
• Wählen Sie den aktuellen aktiven Compliancebericht für die Überwachung aus.

Die Microsoft 365-Zertifizierung übermittelt die Konformitätsbewertungen und Ihre hochgeladenen Nachweise automatisch an die Zertifizierungsprüfer, wodurch Sie Zeit und Aufwand sparen.

Hinweis

Sie konnten nur den aktiven Compliancebericht für die Microsoft 365-Zertifizierungsüberprüfung verwenden. Wenn Sie also während des Microsoft 365-Zertifizierungsprozesses einen Compliancebericht in Partner Center auswählen und der erwartete Bericht nicht in der Liste enthalten ist, überprüfen Sie den Laufzeitstatus des Berichts.

Hinweis

Wenn Sie bereits Beweise für die Verantwortung des Kunden hochgeladen haben, übermittelt ACAT beim Wechsel zur Control Requirements Phase der Microsoft 365-Zertifizierung die hochgeladenen Beweise automatisch zur Überprüfung an den Analysten.

Verschaffen Sie sich einen allgemeinen Überblick über Ihre Complianceberichte.

Die Übersicht enthält einen allgemeinen Status für Ihre Complianceberichte. Erfahren Sie mehr über den Laufzeitstatus des Konformitätsberichts.

Übersicht über den Laufzeitstatus des Complianceberichts.

• Aktive Berichte zur Einhaltung gesetzlicher Bestimmungen: Diese Übersicht enthält den Konformitätsstatus für jeden aktiven Bericht.

Übersicht über den Konformitätsstatus für aktive Complianceberichte.

Weitere Informationen

• Weitere Informationen zur Microsoft 365-Zertifizierung
• Kontinuierliche Einhaltung der Anwendungskompatibilität mit ACAT
• Leitfaden zur Problembehandlung für ACAT