Automatiser la certification Microsoft 365 avec ACAT

L’outil ACAT (App Compliance Automation Tool) peut être utilisé pour répondre à un ensemble spécifique de contrôles requis pour la certification Microsoft 365. Cet article explique comment implémenter ACAT dans l’Espace partenaires et utiliser les évaluations de conformité pour accélérer la certification Microsoft 365.

Remarque

ACAT est actuellement en préversion publique et prend uniquement en charge les applications basées sur Azure. Les futures mises à jour incluront des fonctionnalités pour les applications basées sur des services cloud non hébergés par Microsoft. Pour tout commentaire sur la préversion publique d’ACAT, remplissez ce formulaire. Un spécialiste de l’équipe produit ACAT effectuera un suivi avec vous dès que possible.

Créer votre premier rapport de conformité pour intégrer ACAT

ACAT offre une visibilité supplémentaire à la conformité d’une application via des rapports personnalisés. Les utilisateurs peuvent créer des rapports basés sur l’infrastructure cloud ou un environnement spécifique d’une application, par exemple, production, préproduction, etc.

• Recherchez et lancez l’outil d’automatisation de la conformité des applications pour Microsoft 365 dans le portail Azure.
• Sélectionnez Reports sur le côté gauche de l’écran.

Accédez à Rapports pour créer un rapport de conformité

• Sélectionnez cette option Create new report pour créer votre premier rapport de conformité.

  • Concepts de base
    • Nom du rapport : le rapport de conformité doit avoir un nom unique et non redondant dans le locataire, composé d’une combinaison de chiffres, de lettres et de traits de soulignement. Il est recommandé d’inclure le nom de l’application ou de l’environnement spécifique dans le nom du rapport.
    • Heure de déclenchement : ACAT effectue des mises à jour quotidiennes des évaluations de conformité pour le rapport, offrant ainsi la flexibilité nécessaire pour définir une heure spécifique pour l’actualisation des évaluations dans un fuseau horaire désigné.
    • Ressources : définissez la limite de conformité de votre rapport en sélectionnant les ressources de votre infrastructure cloud. Utilisez les filtres pour rechercher des ressources en fonction de l’abonnement, du groupe de ressources, des étiquettes, etc.

  

  Configuration de base du rapport de conformité

  • Certification Microsoft 365
    • GUID de l’offre : le GUID de l’offre sert d’identificateur unique pour l’offre de la Place de marché dans l’Espace partenaires Microsoft, et il est essentiel de connecter le rapport de conformité à la ou aux offres de la Place de marché. Après avoir connecté la conformité à la ou aux offres de la Place de marché, vous pouvez utiliser le rapport de conformité pour accélérer le processus de certification Microsoft 365 pour vos offres de la Place de marché dans l’Espace partenaires. Sélectionnez En savoir plus pour obtenir le GUID de l’offre de votre application. Cette étape est facultative lors de la création du rapport initial et peut être configurée lorsque vous commencez à publier votre application.

  

  Configuration de la certification Microsoft 365

Après avoir confirmé la configuration et créé le rapport de conformité, ACAT collecte automatiquement les données relatives à la conformité à partir des sources suivantes :

• Activez Microsoft Defender pour le cloud (niveau gratuit) pour votre abonnement.
• Activez des stratégies personnalisées pour votre abonnement.

Remarque

Veuillez prévoir 24 heures pour qu’ACAT génère les évaluations de conformité initiales pour votre rapport en fonction de vos préférences spécifiées.

Auditer les évaluations de conformité avec votre rapport de conformité

Passez en revue l’état d’exécution des rapports de conformité et effectuez des audits sur les évaluations de conformité.

• Accédez à Reports gauche pour obtenir un résumé des rapports de conformité existants.

  • L’état au moment de l’exécution affiche l’état des mises à jour les plus récentes pour les évaluations de conformité :
    • Actif : les évaluations de conformité de ce rapport ont été correctement mises à jour.
    • Échec : ACAT a rencontré un échec lors de la mise à jour des évaluations de conformité lors de l’actualisation la plus récente. Les échecs peuvent provenir de configurations d’abonnement incorrectes ou d’un problème système avec ACAT. Reportez-vous aux conseils de récupération automatique fournis pour résoudre le problème.
    • Désactivé : le rapport de conformité a été désactivé (suspendu) manuellement par l’utilisateur. Cette fonctionnalité n’est actuellement pas activée en préversion publique.
  • Created At : l’affichage Créé à lors de la création du rapport de conformité.
  • Heure du dernier déclencheur et Heure du déclencheur suivant : ACAT met à jour les évaluations de conformité pour les rapports quotidiennement. L’heure du dernier déclencheur indique le moment où la dernière mise à jour a été lancée, tandis que l’heure du déclencheur Suivant indique l’heure planifiée pour la prochaine mise à jour du rapport.
  • Certification Microsoft 365 : passez en revue l’état de conformité des contrôles spécifiques à La certification Microsoft 365.

  

  Liste des rapports de conformité existants.

En plus d’accéder aux résumés généraux des rapports de conformité existants, vous pouvez explorer les détails de chaque évaluation de conformité. Sélectionnez le nom du rapport pour récupérer des détails d’évaluation spécifiques pour un audit plus approfondi.

Barre d’outils du rapport de conformité.

ACAT fournit une barre d’outils qui vous permet d’effectuer les actions suivantes :

• Paramètres : modifiez la configuration du rapport de conformité.

  • Modifier les informations de base : modifiez la configuration de base du rapport.
  • Modifier des ressources : ajoutez ou supprimez des ressources en fonction de l’infrastructure cloud actuelle.
  • Modifier la configuration de l’application : modifiez la configuration de l’application pour aligner votre rapport sur le jeu de contrôles approprié.
  • Modifier la configuration de la certification Microsoft 365 : configurez des GUID d’offre pour associer le rapport aux offres de la Place de marché dans l’Espace partenaires Microsoft.
  • Référentiel de preuves de configuration : configurez le référentiel de preuves pour stocker les preuves chargées.

  

• Télécharger le rapport : téléchargez les évaluations du rapport de conformité qui peuvent être partagées avec des partenaires à des fins de collaboration.

  • Rapport d’évaluation pour la révision de la certification Microsoft 365 : ce rapport PDF organise les évaluations de conformité en fonction des contrôles de certification Microsoft. S’il est sélectionné pour une utilisation dans la phase Document initial, il est automatiquement remis à l’analyste pour révision. En outre, vous avez la possibilité de le télécharger et de le charger manuellement en tant que preuve si nécessaire.
  • Rapport d’évaluation pour la collaboration des ingénieurs : ce rapport PDF organise les évaluations de conformité avec des informations internes basées sur les contrôles de certification Microsoft. Il est utilisé pour la collaboration d’équipe interne lors des audits de conformité.
  • Rapport d’évaluation pour la collaboration des ingénieurs : ce rapport Excel contient des informations au niveau des ressources et des évaluations de conformité correspondantes pour la collaboration d’équipe interne lors des audits de conformité.
  • Inventaire de l’infrastructure cloud : ce rapport Excel contient les détails des ressources de ce rapport de conformité, fournissant une description complète de l’inventaire cloud associé à votre application.

  

• Notifications : recevez des notifications concernant la modification des paramètres du rapport de conformité ou la modification de l’état des évaluations de contrôle. En savoir plus sur la façon de recevoir des notifications via le webhook.

• Intégration au pipeline CI/CD : ACAT vous permet de maintenir une conformité continue et automatisée pour votre application en s’intégrant en toute transparence aux pipelines CI/CD. En savoir plus sur l’intégration avec le pipeline GitHub Actions et l’intégration à d’autres pipelines avec des API REST.

• Comment soumettre une demande de certification avec ACAT : Effectuez une validation rapide pour vérifier si ce rapport est prêt pour la certification et recevoir des conseils sur la façon de l’utiliser pour la certification dans l’Espace partenaires.

  

  Comment envoyer une demande de certification avec ACAT.

ACAT vous permet d’examiner plus en détail le rapport et les évaluations de conformité.

• Essentials indique l’état et les paramètres du rapport de conformité.

  

  Éléments essentiels du rapport de conformité.

• Évaluations de contrôle - Vue de certification Microsoft 365

  • Les évaluations des contrôles sont organisées par domaines de sécurité de la certification Microsoft 365, familles de contrôles et contrôles.
    • Vous pouvez examiner l’état de conformité par responsabilité du client au niveau du contrôle individuel.
    • Dans la section Responsabilité du client, choisissez « Actions » pour accéder à l’état de conformité des ressources associées et découvrir les étapes de correction des ressources ayant échoué.
    • Utilisez la recherche et les filtres pour rechercher des contrôles spécifiques en fonction de vos besoins.
      • Recherchez les contrôles par nom de contrôle ou par nom de responsabilité client.
      • Utilisez Control family pour filtrer par domaine de sécurité ou famille de contrôle.
      • Utilisez Control status pour filtrer les échecs de conformité actuels.
      • Utilisez Customer responsibility type pour filtrer par type CR automatisé ACAT.
  • En savoir plus sur l’état de conformité pour le contrôle et la responsabilité du client.

  

  Évaluations de conformité pour le rapport de conformité.

Vérifier qu’un jeu de contrôles robuste est le point central de votre rapport de conformité

La certification Microsoft 365 propose un ensemble de contrôles approprié en fonction de la configuration de l’application. Vous devez terminer la configuration de l’application pour aligner votre rapport sur le jeu de contrôles approprié avant d’auditer les évaluations de conformité.

• Si vous ne terminez pas la configuration de l’application pour le rapport, un message d’avertissement s’affiche dans la responsabilité du client correspondant, vous guidant vers les paramètres de configuration de l’application.

  

  Message d’avertissement et conseils sur la configuration de l’application.

• Vous pouvez également modifier le application configuration paramètre à partir de l’option Settings de la barre d’outils rapport.

  

  Paramètre de configuration de l’application.

Répondre aux exigences de contrôle en soumettant des preuves pour votre solution de conformité

En plus de suivre les étapes de correction pour résoudre les échecs de conformité, vous pouvez également répondre aux exigences de conformité en chargeant des preuves pour votre propre solution.

Pour résoudre les problèmes de confidentialité, vous devez configurer initialement le référentiel de preuves. Créez ou sélectionnez le compte de stockage pour stocker les preuves des contrôles de certification Microsoft 365 de manière sécurisée. Une fois créé, le compte de stockage peut être utilisé pour tous les rapports.

• Si vous ne configurez pas le référentiel de preuves, en cliquant sur la Actions responsabilité du client et en rencontrant un message d’avertissement dans la section Charger la preuve, vous accédez aux paramètres de rapport correspondants.

  

  Message d’avertissement et conseils sur le référentiel de preuves.

• Vous pouvez également modifier le evidence repository paramètre à partir de l’option Settings de la barre d’outils du rapport.

  

  Configuration du paramètre de référentiel de preuves.

Après avoir configuré le référentiel de preuves, si vous souhaitez répondre aux exigences de contrôle manuel ou répondre aux critères de contrôle avec votre propre solution, vous pouvez charger les preuves dans la responsabilité du client respectif. Après avoir chargé les preuves dans une responsabilité client, son état de conformité passe automatiquement à « Examen de conformité des applications requis ».

• Cliquez Actions sur Responsabilité du client.

• Développez la Upload evidence zone.

• Parcourez et chargez vos fichiers de preuve locaux.

• Envoyez des fichiers de preuve pour les stocker dans le référentiel de preuves.

  

  Parcourir et charger des preuves.

Pour les responsabilités client de collecte de preuves automatisées, si ACAT identifie les ressources prises en charge dans la liste des ressources de votre rapport ACAT, vous n’avez pas besoin de préparer les preuves manuellement. Au lieu de cela, ACAT peut résumer les données de conformité dans un fichier de preuve ACAT et les charger dans votre référentiel de preuves.

• Sélectionnez une responsabilité client de collecte de preuves automatisée.
• Cliquez Actions sur Responsabilité du client.
• Développez la Remediation steps zone et passez en revue les types de ressources pris en charge qui peuvent être collectés en tant que preuves.
• Développez la Upload evidence zone, puis cliquez sur le Collect evidence by ACAT bouton . Après la collecte des preuves, la preuve collectée par ACAT apparaît dans la liste des fichiers ci-dessous.
• Examinez les preuves collectées par ACAT et chargez des preuves supplémentaires si nécessaire.

Collecte automatique des preuves par ACAT.

Remarque

Pour différentes responsabilités client, ACAT peut collecter des preuves pour différents types de ressources. Toutefois, si ACAT n’identifie aucune ressource prise en charge dans votre rapport, vous devez préparer et charger manuellement les preuves de conformité dans ACAT. Pour obtenir des instructions plus détaillées, reportez-vous à la Remediation Steps section relative à chaque action de responsabilité du client.

Attention

Pour des raisons de confidentialité, ACAT ne peut pas actualiser automatiquement les preuves collectées. Si des modifications sont apportées à la ressource cible après la collecte des preuves, il est nécessaire de passer en revue les responsabilités du client concernées et de cliquer à nouveau sur le bouton Collecter les preuves par ACAT pour mettre à jour les preuves collectées par ACAT.

Utiliser votre premier rapport de conformité avec l’audit de certification Microsoft 365

Dans la barre d’outils du rapport, le fait de cliquer sur How to submit certifcation request with ACAT vous guide tout au long du parcours de l’ACAT à la certification Microsoft 365.

En général, avant d’utiliser le rapport de conformité avec la certification Microsoft 365, vous devez configurer le offer GUID pour l’associer à vos offres de la Place de marché. Il existe deux options :

• Pendant le processus de création du rapport de conformité, configurez le GUID de l’offre dans l’onglet Microsoft 365 Certification .
• Si le rapport de conformité est déjà créé, accédez à Settings ce rapport de conformité pour configurer le GUID de l’offre.

Une fois le GUID de l’offre configuré, accédez à l’Espace partenaires Microsoft pour lancer la certification Microsoft 365.

• Sélectionnez Initial DocumentationOui pour confirmer que vous utilisez ACAT.
• Sélectionnez le rapport de conformité actif le plus à jour pour l’audit.

La certification Microsoft 365 envoie automatiquement les évaluations de conformité et vos preuves chargées aux auditeurs de certification, ce qui vous fait gagner du temps et des efforts.

Remarque

Vous pouvez utiliser uniquement le rapport de conformité actif pour la révision de la certification Microsoft 365. Par conséquent, lorsque vous sélectionnez un rapport de conformité dans Partner Center pendant le processus de certification Microsoft 365, si le rapport attendu ne figure pas dans la liste, vérifiez l’état d’exécution du rapport.

Remarque

Si vous avez déjà chargé les preuves sur les responsabilités du client, lorsque vous passez à Control Requirements la phase de certification Microsoft 365, ACAT les remet automatiquement à l’analyste pour révision.

Obtenir une vue d’ensemble générale de vos rapports de conformité

Vue d’ensemble fournit un état de haut niveau pour vos rapports de conformité. En savoir plus sur l’état au moment de l’exécution du rapport de conformité.

Vue d’ensemble de l’état d’exécution du rapport de conformité.

• Rapports de conformité réglementaire actifs : cette vue d’ensemble vous donne l’état de conformité de chaque rapport actif .

Vue d’ensemble de l’état de conformité pour les rapports de conformité actifs.

En savoir plus

• En savoir plus sur la certification Microsoft 365
• Maintenir la conformité de l’application en continu avec ACAT
• Guide de résolution des problèmes pour ACAT