Automatización de la certificación de Microsoft 365 con ACAT

La Herramienta de automatización de cumplimiento de aplicaciones (ACAT) se puede usar para cumplir un conjunto específico de controles necesarios para la certificación de Microsoft 365. En este artículo se describe cómo usar ACAT para acelerar la certificación de Microsoft 365.

Nota

ACAT está actualmente en versión preliminar pública y solo admite aplicaciones creadas en Microsoft Azure y Amazon Web Services (AWS). Las actualizaciones futuras incluirán la funcionalidad de las aplicaciones creadas en otras nubes.

Nota

Si desea proporcionar comentarios a la versión preliminar pública de ACAT, complete este formulario. El equipo de producto de ACAT le seguirá lo antes posible una vez que recibamos sus mensajes.

Creación del primer informe de cumplimiento para incorporar ACAT

ACAT proporciona visibilidad adicional sobre el cumplimiento de una aplicación a través de informes personalizados. Los usuarios pueden crear informes basados en la infraestructura en la nube o en un entorno específico de una aplicación, por ejemplo, producción, almacenamiento provisional, etc.

• Busque e inicie App Compliance Automation Tool para Microsoft 365 en Azure Portal.
• Seleccione Reports en el lado izquierdo de la pantalla.

Vaya a Informes para crear un nuevo informe de cumplimiento

• Seleccione esta opción Create new report para crear el primer informe de cumplimiento.

  • Conceptos básicos
    • Nombre del informe: el informe de cumplimiento debe tener un nombre único y noduplicativo dentro del inquilino, que consta de una combinación de números, letras y caracteres de subrayado. Es aconsejable incluir el nombre de la aplicación o el nombre del entorno específico en el nombre del informe.
    • Tiempo de activación: ACAT realiza actualizaciones diarias de las evaluaciones de cumplimiento para el informe, lo que proporciona la flexibilidad de establecer una hora específica para actualizar las evaluaciones en una zona horaria designada.
    • Recursos: defina el límite de cumplimiento del informe seleccionando los recursos de la infraestructura en la nube. Use los filtros para buscar los recursos adecuados, por ejemplo, la suscripción, el grupo de recursos, las etiquetas y mucho más para Azure, el identificador de cuenta y el tipo de AWS.

  Sugerencia

  Debe crear una nueva conexión con AWS o reutilizar la conexión existente con AWS antes de seleccionar los recursos de AWS para el informe.

  

  Configuración básica para el informe de cumplimiento

  • Certificación Microsoft 365
    • GUID de la oferta: el GUID de la oferta actúa como identificador único de la oferta de Marketplace en el Centro de partners de Microsoft y es la clave para conectar el informe de cumplimiento con las ofertas de Marketplace. Después de conectar el informe de cumplimiento con las ofertas de Marketplace, podría usar el informe de cumplimiento para acelerar el proceso de certificación de Microsoft 365 para las ofertas de Marketplace en el Centro de partners. Seleccione Más información para obtener el GUID de la oferta de la aplicación. Este paso es opcional durante la creación del informe inicial y se puede configurar al empezar a publicar la aplicación.

  

  Configuración de la certificación de Microsoft 365

Nota

Después de confirmar la configuración y crear el informe de cumplimiento, ACAT también completará estas acciones automáticamente para recopilar datos relacionados con el cumplimiento:

• Habilite el Microsoft Defender para la nube (nivel gratuito) y el servicio Automation (gratis) para su suscripción.
• Habilite directivas personalizadas para su suscripción.

Nota

Espere 24 horas para que ACAT genere las evaluaciones de cumplimiento iniciales para su informe en función de sus preferencias especificadas.

Auditoría de las evaluaciones de cumplimiento con el informe de cumplimiento

Revise el estado en tiempo de ejecución de los informes de cumplimiento y realice auditorías sobre las evaluaciones de cumplimiento.

• Vaya a Reports la izquierda para obtener un resumen de los informes de cumplimiento existentes.

  • El estado en tiempo de ejecución muestra el estado de las actualizaciones más recientes para las evaluaciones de cumplimiento:
    • Activo: las evaluaciones de cumplimiento de este informe se han actualizado correctamente.
    • Error: ACAT encontró un error al actualizar las evaluaciones de cumplimiento durante la actualización más reciente. Los errores pueden deberse a configuraciones de suscripción incorrectas o a un problema del sistema con ACAT. Consulte las instrucciones de recuperación automática proporcionadas para solucionar el problema y resolverlo.
    • Deshabilitado: el usuario ha deshabilitado (pausado) manualmente el informe de cumplimiento. Esta característica no está habilitada actualmente en versión preliminar pública.
  • Creado en: se crea en la presentación cuando se crea el informe de cumplimiento.
  • Hora del último desencadenador y Hora del siguiente desencadenador: ACAT actualiza las evaluaciones de cumplimiento de los informes diariamente. La hora del último desencadenador indica cuándo se inició la última actualización, mientras que la hora del desencadenador Siguiente indica la hora programada para la siguiente actualización del informe.
  • Certificación de Microsoft 365: revise el estado de cumplimiento de los controles específicos de la certificación de Microsoft 365.

  

  Lista de informes de cumplimiento existentes.

Además de acceder a resúmenes de alto nivel de los informes de cumplimiento existentes, puede profundizar en los detalles de cada evaluación de cumplimiento. Seleccione el nombre del informe para recuperar detalles de evaluación específicos para una auditoría más exhaustiva.

Barra de herramientas para el informe de cumplimiento.

ACAT proporciona una barra de herramientas que le permite realizar las siguientes acciones:

• Configuración: modifique la configuración del informe de cumplimiento.

  • Editar información básica: edite la configuración básica del informe.
  • Editar recursos: agregue o quite recursos en función de la infraestructura de nube actual.
  • Editar configuración de la aplicación: edite la configuración de la aplicación para alinear el informe con el conjunto de control adecuado. ACAT puede ajustar el estado predeterminado de determinados controles en función de la configuración, por ejemplo, algunos controles pueden cambiarse al estado "N/A" de forma predeterminada.
  • Editar la configuración de certificación de Microsoft 365: configure los GUID de la oferta para asociar el informe con las ofertas de Marketplace en el Centro de partners de Microsoft.
  • Repositorio de evidencia de configuración: configure el repositorio de evidencias para almacenar la evidencia cargada.

  

• Descargar informe: descargue las evaluaciones del informe de cumplimiento que se pueden compartir con los asociados para la colaboración.

  • Informe de evaluación de la revisión de certificación de Microsoft 365 (Analyst Edition): este informe PDF organiza las evaluaciones de cumplimiento por parte de los controles de certificación de Microsoft 365. Si elige el informe de cumplimiento de ACAT durante la fase de documento inicial de Cumplimiento de aplicaciones en el Centro de partners, se entrega automáticamente al analista para su revisión. Además, tiene la opción de descargarlo y cargarlo manualmente como evidencia si es necesario.
  • Informe de evaluación para la colaboración de ingenieros: este informe PDF organiza las evaluaciones de cumplimiento con información interna basada en controles de Microsoft Certification. Se usa para la colaboración interna en equipo durante las auditorías de cumplimiento.
  • Informe de evaluación para la colaboración de ingenieros: este informe de Excel contiene información de nivel de recursos y las evaluaciones de cumplimiento correspondientes para la colaboración interna del equipo durante las auditorías de cumplimiento.
  • Inventario de infraestructura en la nube: este informe de Excel contiene los detalles de recursos de este informe de cumplimiento, lo que proporciona una descripción completa del inventario en la nube asociado a la aplicación.

  

• Notificaciones: obtenga notificaciones del cambio de configuración del informe de cumplimiento o cambie el estado de las evaluaciones de control. Obtenga más información sobre cómo recibir notificaciones a través de webhook.

• Integración con la canalización de CI/CD: ACAT le permite mantener el cumplimiento continuo y automatizado de la aplicación mediante la integración sin problemas con canalizaciones de CI/CD. Obtenga más información sobre cómo integrarse con Acciones de GitHub canalización y cómo integrarse con otras canalizaciones con las API REST.

• Cómo enviar una solicitud de certificación con ACAT: realice una validación rápida para asegurarse de que este informe esté listo para la certificación y reciba instrucciones sobre cómo usarlo para la certificación en el Centro de partners.

  

  Cómo enviar una solicitud de certificación con ACAT.

• Ver diagrama de arquitectura (versión preliminar): ACAT genera el diagrama de arquitectura para la referencia en función de los datos de Azure Resource Graph.

ACAT le permite profundizar en más detalles sobre el informe y las evaluaciones de cumplimiento.

• Essentials indica el estado y la configuración del informe de cumplimiento.

  

  Essentials del informe de cumplimiento.

• Evaluaciones de control: vista de certificación de Microsoft 365

  • Las evaluaciones de control están organizadas por dominios de seguridad de certificación de Microsoft 365, familias de control y controles.
    • Puede revisar el estado de cumplimiento por responsabilidad del cliente en el nivel de control individual.
    • En la sección responsabilidad del cliente, elija "Acciones" para acceder al estado de cumplimiento de los recursos asociados y detectar los pasos de corrección de los recursos con errores.
    • Use la búsqueda y los filtros para buscar controles específicos en función de sus necesidades.
      • Busque en los controles por nombre de control o nombre de responsabilidad del cliente.
      • Use Control family para filtrar por dominio de seguridad o familia de control.
      • Use Control status para filtrar los errores de cumplimiento actuales.
      • Use Customer responsibility type para filtrar por tipo de CR automatizado de ACAT.
      • Use Cloud environment para filtrar la responsabilidad del cliente para un entorno de nube específico.
  • Obtenga más información sobre el estado de cumplimiento para el control y la responsabilidad del cliente.

  

  Evaluaciones de cumplimiento para el informe de cumplimiento.

Asegúrese de que un conjunto de control sólido es el punto focal del informe de cumplimiento.

La certificación de Microsoft 365 incluye un conjunto de control adecuado en función de la configuración de la aplicación. Debe completar la configuración de la aplicación para alinear el informe con el conjunto de control adecuado antes de auditar las evaluaciones de cumplimiento.

• Si no completa la configuración de la aplicación para el informe, se mostrará un mensaje de advertencia en la responsabilidad del cliente correspondiente, que le guía a los valores de configuración de la aplicación.

  

  Mensaje de advertencia e instrucciones sobre la configuración de la aplicación.

• También puede editar la application configuration configuración desde la Settings opción de la barra de herramientas del informe.

  

  Configuración de la aplicación.

Abordar los requisitos de control mediante el envío de pruebas para la solución de cumplimiento

Además de seguir los pasos de corrección para solucionar errores de cumplimiento, también puede cumplir los requisitos de cumplimiento mediante la carga de pruebas para su propia solución.

Para abordar los problemas de privacidad, debe configurar el repositorio de pruebas inicialmente. Cree o seleccione la cuenta de almacenamiento para almacenar pruebas de los controles de certificación de Microsoft 365 de forma segura. Una vez creada, la cuenta de almacenamiento se puede usar para todos los informes.

• Si no configura el repositorio de evidencias, hacer clic en Actions para cualquier responsabilidad del cliente y encontrar un mensaje de advertencia en la sección Cargar evidencia le guiará a la configuración del informe correspondiente.

  

  Mensaje de advertencia e instrucciones sobre el repositorio de evidencias.

• También puede editar la evidence repository configuración desde la Settings opción de la barra de herramientas del informe.

  

  Configuración de la configuración del repositorio de evidencias.

Después de configurar el repositorio de pruebas, si desea cumplir los requisitos de control manual o cumplir los criterios de control con su propia solución, puede cargar pruebas a la responsabilidad del cliente correspondiente. Después de cargar las pruebas en una responsabilidad del cliente, su estado de cumplimiento cambiará automáticamente a "Revisión de cumplimiento de la aplicación necesaria".

• Seleccione Actions la responsabilidad del cliente.

• Expanda el Upload evidence área.

• Examine y cargue los archivos de evidencia locales.

• Envíe archivos de evidencia para almacenarlos en el repositorio de evidencias.

  

  Examinar y cargar pruebas.

En el caso de las responsabilidades automatizadas de los clientes de recopilación de evidencias, si ACAT identifica los recursos admitidos en la lista de recursos del informe de ACAT, no es necesario preparar las pruebas manualmente. En su lugar, ACAT puede resumir los datos de cumplimiento en un archivo de evidencia de ACAT y cargarlos en el repositorio de pruebas.

• Seleccione una responsabilidad del cliente de recopilación automatizada de evidencias.
• Seleccione Actions la responsabilidad del cliente.
• Expanda el área y revise los Remediation steps tipos de recursos admitidos que se pueden recopilar como evidencia.
• Expanda el Upload evidence área y seleccione el Collect evidence by ACAT botón . Después de la recopilación de evidencias, la evidencia recopilada por ACAT aparecerá en la lista de archivos siguiente.
• Revise las pruebas recopiladas por ACAT y cargue más evidencias si es necesario.

Recopilación automática de pruebas por parte de ACAT.

Nota

Para las diferentes responsabilidades de los clientes, ACAT puede recopilar pruebas de los diferentes tipos de recursos. Sin embargo, si ACAT no identifica los recursos admitidos en el informe, deberá preparar y cargar manualmente las pruebas de cumplimiento en ACAT. Para obtener instrucciones más detalladas, consulte la Remediation Steps sección para cada acción de responsabilidad del cliente.

Precaución

Debido a la consideración de privacidad, ACAT no puede actualizar automáticamente las pruebas recopiladas. En caso de que se produzcan cambios en el recurso de destino una vez recopiladas las pruebas, es necesario revisar las responsabilidades del cliente afectado y hacer clic de nuevo en el botón Recopilar evidencia por ACAT para actualizar las pruebas recopiladas por ACAT.

Uso del primer informe de cumplimiento con la auditoría de certificación de Microsoft 365

En la barra de herramientas del informe, al hacer clic en How to submit certifcation request with ACAT le guiará por todo el recorrido desde ACAT hasta la certificación de Microsoft 365.

En general, antes de usar el informe de cumplimiento con la certificación de Microsoft 365, debe configurar offer GUID para asociarlo a las ofertas de Marketplace. Hay dos opciones:

• Durante el proceso de creación del informe de cumplimiento, configure el GUID de la oferta en Microsoft 365 Certification la pestaña .
• Si ya se ha creado el informe de cumplimiento, vaya a Settings este informe de cumplimiento para configurar el GUID de la oferta.

Una vez configurado el GUID de la oferta, vaya al Centro de partners de Microsoft para iniciar la certificación de Microsoft 365.

• En Initial Documentation seleccione Sí para confirmar que usa ACAT.
• Seleccione el informe de cumplimiento activo más actualizado para la auditoría.

La certificación de Microsoft 365 envía las evaluaciones de cumplimiento y las pruebas cargadas a los auditores de certificación automáticamente, lo que le ahorra tiempo y esfuerzo.

Nota

Solo podría usar el informe de cumplimiento activo para la revisión de la certificación de Microsoft 365. Por lo tanto, al seleccionar un informe de cumplimiento en Partner Center durante el proceso de certificación de Microsoft 365, si el informe esperado no está en la lista, compruebe el estado en tiempo de ejecución del informe.

Nota

Si ya cargó pruebas a las responsabilidades del cliente, cuando pase a Control Requirements la fase de certificación de Microsoft 365, ACAT entregará la evidencia cargada al analista para su revisión automáticamente.

Obtener información general de alto nivel de los informes de cumplimiento

Información general proporciona un estado de alto nivel para los informes de cumplimiento. Obtenga más información sobre el estado en tiempo de ejecución del informe de cumplimiento.

Información general sobre el estado en tiempo de ejecución del informe de cumplimiento.

• Informes de cumplimiento normativo activo: esta información general le proporciona el estado de cumplimiento de cada informe activo .

Información general sobre el estado de cumplimiento de los informes de cumplimiento activos.

Conexión de otros entornos con ACAT

Además de Azure, también podría conectar otros entornos con ACAT, por ejemplo, conectar AWS para una aplicación basada en Azure y AWS, conectar GitHub para permitir que ACAT le ayude a recopilar pruebas automáticamente, etc. ACAT le lleva a Microsoft Defender for Cloud para completar la conexión.

Conexión con AWS

• Vaya a Environment settings la izquierda para examinar todas las conexiones existentes.
• Seleccione Add environment y, a continuación, elija Amazon Web Services crear un conector con AWS. También puede obtener más detalles de Conexión de cuentas de AWS a Microsoft Defender for Cloud.
• Una vez que este conector esté listo, puede seleccionar recursos de AWS al crear el informe de cumplimiento.

Más información

• Más información sobre la certificación de Microsoft 365
• Mantener la conformidad de la aplicación continuamente con ACAT
• Guía de solución de problemas de ACAT