Automatización de la certificación de Microsoft 365 con ACAT

  • Artículo

La Herramienta de automatización de cumplimiento de aplicaciones (ACAT) se puede usar para cumplir un conjunto específico de controles necesarios para la certificación de Microsoft 365. En este artículo se describe cómo implementar ACAT en el Centro de partners y usar las evaluaciones de cumplimiento para acelerar la certificación de Microsoft 365.

Nota:

ACAT está actualmente en versión preliminar pública y solo admite aplicaciones compiladas en Azure. Las actualizaciones futuras incluirán la funcionalidad de las aplicaciones basadas en servicios en la nube no hospedados por Microsoft. Para obtener comentarios sobre la versión preliminar pública de ACAT, complete este formulario. Un especialista en el equipo de productos de ACAT le seguirá lo antes posible.

Creación del primer informe de cumplimiento para incorporar ACAT

ACAT proporciona una mayor visibilidad en el cumplimiento de una aplicación a través de informes personalizados. Los usuarios pueden crear informes basados en la infraestructura en la nube o en un entorno específico de una aplicación, por ejemplo, producción, almacenamiento provisional, etc.

  • Búsqueda e inicie la Herramienta de automatización de cumplimiento de aplicaciones para Microsoft 365 en Azure Portal.
  • Seleccione Reports en el lado izquierdo de la pantalla.

Creación de un informe de cumplimiento

  • Seleccione esta opción Create new report para crear el primer informe de cumplimiento.

    • Conceptos básicos
      • Nombre del informe: el informe de cumplimiento debe tener un nombre único y noduplicativo dentro del inquilino, que consta de una combinación de números, letras y caracteres de subrayado. Es aconsejable incluir el nombre de la aplicación o el nombre del entorno específico en el nombre del informe.
      • Tiempo de activación: ACAT realiza actualizaciones diarias de las evaluaciones de cumplimiento para el informe, lo que proporciona la flexibilidad de establecer una hora específica para actualizar las evaluaciones en una zona horaria designada.
      • Recursos: defina el límite de cumplimiento del informe seleccionando los recursos de la infraestructura en la nube. Use los filtros para buscar recursos en función de la suscripción, el grupo de recursos, las etiquetas y mucho más.

    Configuración básica

    • Certificación Microsoft 365
      • GUID de la oferta: el GUID de la oferta actúa como identificador único de la oferta de Marketplace en el Centro de partners de Microsoft y es la clave para conectar el informe de cumplimiento con las ofertas de Marketplace. Después de conectar el cumplimiento con las ofertas de Marketplace, puede usar el informe de cumplimiento para acelerar el proceso de certificación de Microsoft 365 para las ofertas de Marketplace en el Centro de partners. Seleccione Más información para obtener el GUID de la oferta de la aplicación. Este paso es opcional durante la creación del informe inicial y se puede configurar al empezar a publicar la aplicación.

    Configuración de certificación de Microsoft 365

Después de confirmar la configuración y crear el informe de cumplimiento, ACAT recopila automáticamente datos relacionados con el cumplimiento de los siguientes orígenes:

Nota:

Espere 24 horas para que ACAT genere las evaluaciones de cumplimiento iniciales para su informe en función de sus preferencias especificadas.

Auditoría de las evaluaciones de cumplimiento con el informe de cumplimiento

Revise el estado en tiempo de ejecución de los informes de cumplimiento y realice auditorías sobre las evaluaciones de cumplimiento.

  • Vaya a Reports la izquierda para obtener un resumen de los informes de cumplimiento existentes.

    • El estado en tiempo de ejecución muestra el estado de las actualizaciones más recientes para las evaluaciones de cumplimiento:
      • Activo: las evaluaciones de cumplimiento de este informe se han actualizado correctamente.
      • Error: ACAT encontró un error al actualizar las evaluaciones de cumplimiento durante la actualización más reciente. Los errores pueden deberse a configuraciones de suscripción incorrectas o a un problema del sistema con ACAT. Consulte las instrucciones de recuperación automática proporcionadas para solucionar el problema y resolverlo.
      • Deshabilitado: el usuario ha deshabilitado (pausado) manualmente el informe de cumplimiento. Esta característica no está habilitada actualmente en versión preliminar pública.
    • Creado en: se crea en la presentación cuando se crea el informe de cumplimiento.
    • Hora del último desencadenador y Hora del siguiente desencadenador: ACAT actualiza las evaluaciones de cumplimiento de los informes diariamente. La hora del último desencadenador indica cuándo se inició la última actualización, mientras que la hora del desencadenador Siguiente indica la hora programada para la siguiente actualización del informe.
    • Certificación de Microsoft 365: revise el estado de cumplimiento de los controles específicos de la certificación de Microsoft 365.

    Lista de informes de cumplimiento

Además de acceder a resúmenes de alto nivel de los informes de cumplimiento existentes, puede profundizar en los detalles de cada evaluación de cumplimiento. Seleccione el nombre del informe para recuperar detalles de evaluación específicos para una auditoría más exhaustiva.

Barra de herramientas del informe de cumplimiento

ACAT proporciona una barra de herramientas que le permite realizar las siguientes acciones:

  • Configuración: modifique la configuración del informe de cumplimiento.

    • Editar información básica: edite la configuración básica del informe.
    • Editar recursos: agregue o quite recursos en función de la infraestructura de nube actual.
    • Editar configuración de la aplicación: edite la configuración de la aplicación para alinear el informe con el conjunto de control adecuado.
    • Editar la configuración de certificación de Microsoft 365: configure los GUID de la oferta para asociar el informe con las ofertas de Marketplace en el Centro de partners de Microsoft.
    • Repositorio de evidencia de configuración: configure el repositorio de evidencias para almacenar la evidencia cargada.

    Configuración del informe

  • Descargar informe: descargue las evaluaciones del informe de cumplimiento que se pueden compartir con los asociados para la colaboración.

    • Informe de evaluación para la revisión de certificación de Microsoft 365: este informe PDF organiza las evaluaciones de cumplimiento basadas en controles de Microsoft Certification. Si se selecciona para su uso en la fase documento inicial, se entrega automáticamente al analista para su revisión. Además, tiene la opción de descargarlo y cargarlo manualmente como evidencia si es necesario.
    • Informe de evaluación para la colaboración de ingenieros: este informe PDF organiza las evaluaciones de cumplimiento con información interna basada en controles de Microsoft Certification. Se usa para la colaboración interna en equipo durante las auditorías de cumplimiento.
    • Informe de evaluación para la colaboración de ingenieros: este informe de Excel contiene información de nivel de recursos y las evaluaciones de cumplimiento correspondientes para la colaboración interna del equipo durante las auditorías de cumplimiento.
    • Inventario de infraestructura en la nube: este informe de Excel contiene los detalles de recursos de este informe de cumplimiento, lo que proporciona una descripción completa del inventario en la nube asociado a la aplicación.

    Descargar informes

  • Notificaciones: obtenga notificaciones del cambio de configuración del informe de cumplimiento o cambie el estado de las evaluaciones de control. Obtenga más información sobre cómo recibir notificaciones a través de webhook.

  • Integración con la canalización de CI/CD: ACAT le permite mantener el cumplimiento continuo y automatizado de la aplicación mediante la integración sin problemas con canalizaciones de CI/CD. Obtenga más información sobre cómo integrarse con Acciones de GitHub canalización y cómo integrarse con otras canalizaciones con las API REST.

  • Cómo enviar una solicitud de certificación con ACAT: realice una validación rápida para asegurarse de que este informe esté listo para la certificación y reciba instrucciones sobre cómo usarlo para la certificación en el Centro de partners.

    Guía para enviar la certificación con ACAT

ACAT le permite profundizar en más detalles sobre el informe y las evaluaciones de cumplimiento.

  • Essentials indica el estado y la configuración del informe de cumplimiento.

    Aspectos básicos del informe de cumplimiento

  • Evaluaciones de control: vista de certificación de Microsoft 365

    • Las evaluaciones de control están organizadas por dominios de seguridad de certificación de Microsoft 365, familias de control y controles.
      • Puede revisar el estado de cumplimiento por responsabilidad del cliente en el nivel de control individual.
      • En la sección responsabilidad del cliente, elija "Acciones" para acceder al estado de cumplimiento de los recursos asociados y detectar los pasos de corrección de los recursos con errores.
      • Use la búsqueda y los filtros para buscar controles específicos en función de sus necesidades.
        • Búsqueda los controles por nombre de control o nombre de responsabilidad del cliente.
        • Use Control family para filtrar por dominio de seguridad o familia de control.
        • Use Control status para filtrar los errores de cumplimiento actuales.
    • Obtenga más información sobre el estado de cumplimiento para el control y la responsabilidad del cliente.

    Evaluaciones de informes de cumplimiento

Asegúrese de que un conjunto de control sólido es el punto focal del informe de cumplimiento.

La certificación de Microsoft 365 incluye un conjunto de control adecuado en función de la configuración de la aplicación. Debe completar la configuración de la aplicación para alinear el informe con el conjunto de control adecuado antes de auditar las evaluaciones de cumplimiento.

Abordar los requisitos de control mediante el envío de pruebas para la solución de cumplimiento

Además de seguir los pasos de corrección para solucionar errores de cumplimiento, también puede cumplir los requisitos de cumplimiento mediante la carga de pruebas para su propia solución.

Para abordar los problemas de privacidad, debe configurar el repositorio de pruebas inicialmente. Cree o seleccione la cuenta de almacenamiento para almacenar pruebas de los controles de certificación de Microsoft 365 de forma segura. Una vez creada, la cuenta de almacenamiento se puede usar para todos los informes.

Después de configurar el repositorio de pruebas, si desea cumplir los requisitos de control manual o cumplir los criterios de control con su propia solución, puede cargar pruebas a la responsabilidad del cliente correspondiente. Después de cargar las pruebas en una responsabilidad del cliente, su estado de cumplimiento cambiará automáticamente a "Revisión de cumplimiento de la aplicación necesaria".

  • Seleccione Actions la responsabilidad del cliente.

  • Expanda .Upload evidence area

  • Examine y cargue los archivos de evidencia locales.

  • Envíe archivos de evidencia para almacenarlos en el repositorio de evidencias.

    Carga de pruebas

Uso del primer informe de cumplimiento con la auditoría de certificación de Microsoft 365

En la barra de herramientas del informe, al hacer clic en How to submit certifcation request with ACAT le guiará por todo el recorrido desde ACAT hasta la certificación de Microsoft 365.

Envío de la certificación con ACAT

En general, antes de usar el informe de cumplimiento con la certificación de Microsoft 365, debe configurar offer GUID para asociarlo a las ofertas de Marketplace. Hay dos opciones:

  • Durante el proceso de creación del informe de cumplimiento, configure el GUID de la oferta en Microsoft 365 Certification la pestaña .
  • Si ya se ha creado el informe de cumplimiento, vaya a Settings este informe de cumplimiento para configurar el GUID de la oferta.

Una vez configurado el GUID de la oferta, vaya al Centro de partners de Microsoft para iniciar la certificación de Microsoft 365.

  • En Initial Documentation seleccione para confirmar que usa ACAT.
  • Seleccione el informe de cumplimiento activo más actualizado para la auditoría.

La certificación de Microsoft 365 envía las evaluaciones de cumplimiento y las pruebas cargadas a los auditores de certificación automáticamente, lo que le ahorra tiempo y esfuerzo.

Nota:

Solo podría usar el informe de cumplimiento activo para la revisión de la certificación de Microsoft 365. Por lo tanto, al seleccionar un informe de cumplimiento en Partner Center durante el proceso de certificación de Microsoft 365, si el informe esperado no está en la lista, compruebe el estado en tiempo de ejecución del informe.

Nota:

Si ya cargó pruebas a las responsabilidades del cliente, cuando pase a Control Requirements la fase de certificación de Microsoft 365, ACAT entregará la evidencia cargada al analista para su revisión automáticamente.

Obtener información general de alto nivel de los informes de cumplimiento

Información general proporciona un estado de alto nivel para los informes de cumplimiento. Obtenga más información sobre el estado en tiempo de ejecución del informe de cumplimiento.

Introducción al estado en tiempo de ejecución

  • Informes de cumplimiento normativo activo: esta información general le proporciona el estado de cumplimiento de cada informe activo .

Introducción al estado de cumplimiento

Más información