Compilare e gestire le valutazioni in Compliance Manager
Consiglio
Se non si è un cliente E5, usare la versione di valutazione delle soluzioni Microsoft Purview di 90 giorni per esplorare in che modo funzionalità aggiuntive di Purview possono aiutare l'organizzazione a gestire le esigenze di sicurezza e conformità dei dati. Iniziare ora dall'hub delle versioni di valutazione Portale di conformità di Microsoft Purview. Informazioni dettagliate sull'iscrizione e le condizioni di valutazione.
Le valutazioni di Compliance Manager consentono all'organizzazione di valutare la conformità con le normative di settore e regionali. La configurazione delle valutazioni più rilevanti per l'organizzazione può aiutare a implementare criteri e procedure operative per limitare il rischio di conformità. I modelli normativi pronti all'uso per oltre 360 normative contengono i controlli e le azioni di miglioramento necessari per completare la valutazione.
Consiglio
Ottenere una panoramica completa della conformità prima di distribuire i servizi Microsoft nell'organizzazione. Altre informazioni sulla conformità alla pre-distribuzione con Compliance Manager (anteprima).
Pagina Valutazioni
Nota
Nel nuovo portale di Microsoft Purview la pagina Valutazioni è disponibile nel riquadro di spostamento sinistro anziché come scheda nella parte superiore.
Tutte le valutazioni sono elencate nella pagina Valutazioni Compliance Manager. È possibile creare una valutazione che copra più servizi. Ad esempio, è possibile creare una singola valutazione GDPR dell'UE che copre Microsoft 365, Microsoft Azure, Amazon Web Services (AWS) e Google Cloud Platform (GCP). La pagina dei dettagli della valutazione mostra una suddivisione dell'avanzamento del controllo in base al servizio per consentire di valutare le operazioni in tutti i servizi. Altre informazioni sul monitoraggio dello stato di avanzamento della valutazione sono disponibili nella pagina dei dettagli della valutazione.
Importante
Le normative disponibili per l'uso dell'organizzazione per impostazione predefinita dipendono dal contratto di licenza. Esaminare i dettagli sulle licenze.
Il contatore Licenze di regolamentazione gratuite usate/Licenze di regolamento acquistate usate nella parte superiore della pagina mostra il numero di normative attualmente in uso rispetto al numero totale disponibile per l'uso da parte dell'organizzazione. Altre informazioni sulla disponibilità della regolamentazione.
Stato e dettagli della valutazione
La pagina delle valutazioni riepiloga le informazioni chiave su ogni valutazione:
- Valutazione: nome della valutazione.
-
Stato: vedere i tipi di stato riportati di seguito.
- Completa: tutti i controlli hanno lo stato "Passato" o almeno uno viene passato e il resto è "Fuori ambito".
- Incompleto: almeno un controllo ha lo stato "Non riuscito". Esaminare i controlli non riusciti e, all'interno di tali controlli, esaminare sia le azioni di miglioramento che le azioni Microsoft per visualizzare lo stato "Non riuscito".
- Nessuno: non tutti i controlli sono stati testati.
- In corso: le azioni di miglioramento hanno lo stato "In corso", "Credito parziale" o "Non rilevato".
- Stato: percentuale del lavoro eseguito verso il completamento, misurato in base al numero di controlli testati correttamente.
- Azioni di miglioramento: numero di azioni completate per soddisfare l'implementazione dei controlli.
- Azioni Microsoft: numero di azioni completate per soddisfare l'implementazione dei controlli Microsoft.
- Gruppo: nome del gruppo a cui appartiene la valutazione.
- Servizio: i servizi coperti dalla valutazione, ad esempio Microsoft 365, Microsoft Azure o altri servizi cloud.
- Regolamento: il modello normativo che funge da base per la valutazione.
Per filtrare la visualizzazione delle valutazioni:
- Selezionare Filtro nell'angolo in alto a sinistra dell'elenco delle valutazioni.
- Nel riquadro a comparsa Filtri controllare i criteri desiderati.
- Selezionare il pulsante Applica . Il riquadro dei filtri si chiude e viene visualizzata la visualizzazione filtrata.
È anche possibile modificare la visualizzazione per visualizzare le valutazioni per gruppo, prodotto o regolamento selezionando il tipo di raggruppamento dal menu a discesa Gruppo sopra l'elenco di valutazioni.
Valutazione predefinita della baseline di protezione dei dati
Per iniziare, Microsoft offre una valutazione predefinita della baseline di protezione dei dati inclusa a tutti i livelli di sottoscrizione. Questa valutazione di base include un set di controlli per le normative e gli standard chiave per la protezione dei dati e la governance generale dei dati. Questa linea di base trae elementi principalmente da NIST CSF (National Institute of Standards and Technology Cybersecurity Framework) e ISO (International Organization for Standardization), così come da FedRAMP (Federal Risk and Authorization Management Program) e GDPR (General Data Protection Regulation of the European Union).
Questa valutazione viene usata per calcolare il punteggio di conformità iniziale la prima volta che si arriva a Compliance Manager, prima di configurare qualsiasi altra valutazione. Compliance Manager raccoglie i segnali iniziali dalle soluzioni Microsoft 365. Si vedrà a colpo d'occhio le prestazioni dell'organizzazione rispetto agli standard e alle normative di protezione dei dati principali e verranno visualizzate le azioni di miglioramento suggerite da intraprendere. Compliance Manager diventa più utile durante la compilazione e la gestione di valutazioni personalizzate per soddisfare le esigenze specifiche dell'organizzazione.
Valutazioni per le normative sull'intelligenza artificiale
Compliance Manager offre quattro modelli normativi Premium per aiutare l'organizzazione a valutare, implementare e rafforzare la conformità alle normative sull'IA. Le normative sull'intelligenza artificiale elencate di seguito sono allineate ai requisiti di conformità, ad esempio il monitoraggio delle interazioni con intelligenza artificiale e la prevenzione della perdita di dati nelle applicazioni di intelligenza artificiale:
- Legge sull'intelligenza artificiale dell'UE
- ISO/IEC 23894:2023
- ISO/IEC 42001:2023
- NIST AI Risk Management Framework (RMF) 1.0
Dove trovarli
Nella pagina Normative di Compliance Manager le normative sull'intelligenza artificiale sono elencate nell'intestazione Modelli di intelligenza artificiale Premium . Tutte le altre normative Premium sono elencate nell'intestazione Modelli Premium . L'uso di un regolamento sull'intelligenza artificiale conta per le licenze Premium acquistate. Altre informazioni sulla disponibilità della regolamentazione e sulle licenze.
Come usarli
La sezione Raccomandazionidell'hub microsoft Purview per intelligenza artificiale fornisce assistenza guidata sull'uso delle normative sull'intelligenza artificiale. L'hub di intelligenza artificiale visualizza le interazioni recenti con i dati sensibili e consiglia azioni da intraprendere per mantenere la conformità alle normative sull'intelligenza artificiale.
Passaggi iniziali prima di creare valutazioni
Di seguito sono elencati i dettagli sui passaggi e le informazioni che consentono di prepararsi per la creazione di una valutazione:
- Pianificare una strategia di raggruppamento per le valutazioni.
- Comprendere i modelli normativi, che contengono i controlli e le raccomandazioni sulle azioni per le valutazioni.
- Configurare i connettori se si valutano i servizi non Microsoft.
Gruppi per le valutazioni
Quando si crea una valutazione, è necessario assegnarla a un gruppo. Gruppi sono contenitori che consentono di organizzare le valutazioni in modo logico, ad esempio in base all'anno o alla regolamentazione, o in base alle divisioni o alle aree geografiche dell'organizzazione. Per questo motivo è consigliabile pianificare una strategia di raggruppamento prima di creare valutazioni. Di seguito sono riportati esempi di due gruppi e le relative valutazioni sottostanti:
-
Valutazione FFIEC IS 2020
- FFIEC IS
-
Valutazioni della privacy e della sicurezza dei dati
- ISO 27001:2013
- ISO 27018:2014
Valutazioni diverse all'interno di un gruppo o di gruppi possono condividere azioni di miglioramento. Le azioni di miglioramento possono essere modifiche apportate all'interno di soluzioni tecniche mappate al tenant, ad esempio l'attivazione dell'autenticazione a due fattori o le azioni non tecniche eseguite all'esterno del sistema, ad esempio l'istituzione di un nuovo criterio dell'area di lavoro. Eventuali aggiornamenti nei dettagli o nello stato che si apportano a un'azione di miglioramento tecnico verranno raccolti dalle valutazioni di tutti i gruppi. Gli aggiornamenti delle azioni di miglioramento non tecnici verranno riconosciuti dalle valutazioni all'interno del gruppo in cui vengono applicati. In questo modo è possibile implementare un'azione di miglioramento e soddisfare diversi requisiti contemporaneamente.
Cosa sapere quando si usano i gruppi
- È possibile creare un gruppo durante il processo di creazione di una valutazione.
- Gruppi non possono essere entità autonome. Un gruppo deve contenere almeno una valutazione.
- I nomi dei gruppi devono essere univoci all'interno dell'organizzazione.
- Gruppi non hanno proprietà di sicurezza. Tutte le autorizzazioni sono associate alle valutazioni.
- Dopo aver aggiunto una valutazione a un gruppo, il raggruppamento non può essere modificato.
- Se si aggiunge una nuova valutazione a un gruppo esistente, le informazioni comuni delle valutazioni in tale gruppo vengono copiate nella nuova valutazione.If you add a new assessment to an existing group, common information from assessments in that group are copied to the new assessment.
- I controlli di valutazione correlati in valutazioni diverse all'interno dello stesso gruppo vengono aggiornati automaticamente al termine.
- Gruppi può contenere valutazioni per la stessa certificazione o regolamentazione, ma ogni gruppo può contenere una sola valutazione per una coppia di prodotti-certificazione specifica. Ad esempio, un gruppo non può contenere due valutazioni per Office 365 e NIST CSF. Un gruppo può contenere più valutazioni per lo stesso prodotto solo se la certificazione o il regolamento corrispondente per ognuno di essi è diverso.
- L'eliminazione di una valutazione interrompe la relazione tra tale valutazione e il gruppo.
- Gruppi non può essere eliminato.
Configurare i connettori
Compliance Manager ha un set integrato di connettori per creare valutazioni che coprono servizi non Microsoft come Salesforce e Zoom. Per altre informazioni e avviare il processo di installazione, vedere Uso dei connettori .
Creare valutazioni
Per creare e modificare una valutazione, un utente deve avere un ruolo di Compliance Manager Administration, Compliance Manager Assessor o Global Administrator.To create and modify an assessment, a user must hold a role of Compliance Manager Administration, Compliance Manager Assessor, or Global Administrator. Altre informazioni su ruoli e autorizzazioni.
Importante
Microsoft consiglia di usare i ruoli con il minor numero di autorizzazioni. Ridurre al minimo il numero di utenti con il ruolo Amministratore globale consente di migliorare la sicurezza per l'organizzazione. Altre informazioni sui ruoli e le autorizzazioni di Microsoft Purview.
Prima di iniziare a creare una valutazione, assicurarsi di sapere a quale gruppo assegnare o di essere pronti a creare un nuovo gruppo per questa valutazione. Leggere i dettagli su gruppi e valutazioni. Per creare una valutazione, si usa un processo guidato per selezionare un regolamento e designare i servizi.
Nota
La possibilità di creare valutazioni personalizzate viene temporaneamente sospesa durante l'aggiornamento e la semplificazione del processo. Altre informazioni.
Creare una valutazione usando un processo guidato
Nella pagina Valutazioni selezionare Aggiungi valutazione per iniziare la creazione guidata della valutazione.
Nella pagina Basa la valutazione su un regolamento selezionare Seleziona regolamento per scegliere il modello normativo per la valutazione. Verrà visualizzata la pagina a comparsa Seleziona regolamento .
Usare la casella di ricerca per trovare il regolamento desiderato, quindi selezionare la bolla di controllo a sinistra del nome del regolamento. Selezionare Salva, confermare la selezione e quindi selezionare Avanti.
Nella pagina Aggiungi nome e gruppo immettere i valori nei campi seguenti:
- Nome valutazione: i nomi della valutazione devono essere univoci. Se il nome corrisponde a un'altra valutazione in qualsiasi gruppo, viene visualizzato un errore che chiede di creare un nome diverso.
-
Gruppo di valutazione: assegnare la valutazione a un gruppo in uno dei due modi seguenti:
- Usare il gruppo esistente per assegnarlo a un gruppo creato. o
- Creare un nuovo gruppo a cui si assegnerà la valutazione. Immettere un nome per questo gruppo. È anche possibile copiare dati da un gruppo esistente, ad esempio dettagli di implementazione e test e documenti, selezionando le caselle appropriate.
Al termine, selezionare Avanti.
Nella pagina Seleziona servizi specificare a quali servizi si applica questa valutazione (altre informazioni sul supporto multicloud) usando il comando Seleziona servizi . Il riquadro a comparsa mostra quali servizi sono disponibili per la regolamentazione scelta. Posizionare un controllo accanto ai servizi desiderati, quindi selezionare Aggiungi. Quindi, scegliere Avanti.
- Se il servizio desiderato non è elencato, è possibile aggiungerlo come nuovo servizio. Quando si aggiunge un nuovo servizio, viene usata la versione universale del regolamento sottostante ed è possibile eseguire operazioni manuali di implementazione e test. Per aggiungere un nuovo servizio:
- Nella pagina Seleziona servizi selezionare Aggiungi nuovo servizio.
- Immettere un nome e una descrizione per il servizio.
- Selezionare Aggiungi. Il servizio è elencato nella sezione Servizio della pagina dei dettagli della valutazione.
- Se il servizio desiderato non è elencato, è possibile aggiungerlo come nuovo servizio. Quando si aggiunge un nuovo servizio, viene usata la versione universale del regolamento sottostante ed è possibile eseguire operazioni manuali di implementazione e test. Per aggiungere un nuovo servizio:
Se è stato selezionato un servizio con più sottoscrizioni coperte da Microsoft Defender per Cloud, si arriva a un passaggio secondario per Selezionare le sottoscrizioni del servizio. Selezionare Gestisci sottoscrizioni. Nel riquadro a comparsa una scheda per ogni servizio visualizza un elenco di tutte le sottoscrizioni all'interno di tale servizio. Tutte le sottoscrizioni sono selezionate per impostazione predefinita, ma è possibile rimuoverle selezionando la X accanto al nome. Nella pagina Seleziona servizi selezionare Avanti.
Rivedere e completare: Esaminare tutte le selezioni e apportare le modifiche necessarie. Quando si è soddisfatti delle impostazioni, selezionare Crea valutazione.
La schermata successiva conferma che la valutazione è stata creata. Quando si seleziona Fine, viene visualizzata la pagina dei dettagli della nuova valutazione. Se viene visualizzata una schermata Valutazione non riuscita dopo aver selezionato Crea valutazione, selezionare Riprova per ricreare la valutazione.
Modificare una valutazione
Dopo aver creato una valutazione, è possibile modificarla per aggiornarne il nome e aggiungere o rimuovere servizi e sottoscrizioni. Per aggiornare una valutazione:
Nella pagina dei dettagli della valutazione selezionare i puntini di sospensione nell'angolo in alto a destra e selezionare Modifica valutazione. Verrà visualizzata la procedura guidata per l'aggiornamento della valutazione.
È possibile aggiornare il nome della valutazione nella pagina Aggiorna nome valutazione oppure lasciarlo così come è, quindi selezionare Avanti.
Nella pagina Seleziona servizi aggiungere o rimuovere servizi e quindi selezionare Avanti.
Nella pagina Seleziona sottoscrizioni del servizio selezionare Gestisci sottoscrizioni per apportare modifiche alle sottoscrizioni. Quindi, scegliere Avanti.
Esaminare gli aggiornamenti e quindi selezionare Modifica valutazione per salvare le modifiche.
Monitorare lo stato di avanzamento e i controlli della valutazione
Ogni valutazione ha una pagina dei dettagli che fornisce una visualizzazione immediata dei progressi nel completamento della valutazione. La pagina mostra le prestazioni dei servizi e lo stato dei controlli e delle azioni di miglioramento. Espandere la sezione Panoramica sul lato sinistro della pagina per visualizzare i dettagli di base sulla valutazione, inclusi il gruppo, la regolamentazione, i servizi associati, lo stato di completamento e una descrizione.
La scheda Stato mostra la percentuale di avanzamento verso il completamento della valutazione. L'indicatore di stato visualizza una suddivisione che mostra il numero di punti ottenuti all'interno di ogni servizio coperto dalla valutazione. Per ottenere informazioni dettagliate su ogni servizio , vedere i dettagli del servizio. Vedere tutti i controlli all'interno della valutazione e il relativo stato corrente nella scheda Controlli. Accedere rapidamente allo stato di tutte le azioni di miglioramento per la valutazione della scheda Azioni di miglioramento. Le azioni gestite da Microsoft per la valutazione sono elencate nella scheda Azioni Microsoft.
Valutazione dello stato di avanzamento per servizio
La sezione Servizio nella scheda Stato della valutazione consente di comprendere come si sta andando rispetto a un regolamento con ognuno dei servizi singolarmente, anche a livello di sottoscrizione e collettivamente all'interno dell'organizzazione. La valutazione ottiene i dati sulle sottoscrizioni disponibili e sullo stato dell'azione di miglioramento da Microsoft Defender per il cloud. Eventuali errori associati all'accessibilità della sottoscrizione devono essere risolti in Defender for Cloud. Per altre informazioni, vedere Configurare le impostazioni cloud .
Selezionare il comando Visualizza dettagli servizio , che si trova accanto o sotto il grafico della barra di stato Valutazione o nella barra dei comandi in alto a destra, per visualizzare un riquadro a comparsa con altri dettagli. Il riquadro a comparsa Visualizza i dettagli del servizio elenca ogni servizio e il relativo stato di avanzamento verso il completamento della valutazione. Selezionando Visualizza accanto a un nome di servizio viene visualizzato un altro riquadro che elenca ogni sottoscrizione all'interno del servizio e il relativo stato.
Nel pannello dei dettagli di un servizio viene visualizzato l'elenco delle sottoscrizioni all'interno del servizio coperte dalla valutazione. Il contatore dello stato del servizio indica il numero di punti ottenuti finora dalle azioni di miglioramento relative al servizio per la valutazione rispetto al numero totale di punti raggiungibili.
È possibile aggiungere altre sottoscrizioni al servizio che la valutazione deve coprire modificando la valutazione.
Scheda Controlli
Nella scheda Controlli vengono visualizzate informazioni dettagliate per ogni controllo nella valutazione. Il grafico Disaggregazione stato controllo mostra lo stato dei controlli per famiglia (ad esempio Gestione configurazione e Risposta agli eventi imprevisti) in modo da poter vedere a colpo d'occhio quali raggruppamenti di controlli richiedono attenzione. Nella tabella sottostante il grafico di suddivisione sono elencati tutti i controlli. È possibile filtrare l'elenco in base alla famiglia di controlli, allo stato e al servizio. La tabella mostra i dettagli seguenti su ogni controllo:
- Titolo del controllo
-
Stato: stato del test delle azioni di miglioramento all'interno del controllo:
- Superato: tutte le azioni di miglioramento hanno lo stato di test "passato" o almeno uno viene passato e il resto è "fuori ambito".
- Fallito Almeno un'azione di miglioramento ha lo stato di test "non riuscito".
- Nessuno: tutte le azioni di miglioramento non sono state testate.
- Fuori ambito: tutte le azioni di miglioramento non rientrano nell'ambito di questa valutazione.
- In corso: le azioni di miglioramento hanno uno stato diverso da quello elencato in precedenza, che potrebbe includere "in corso", "credito parziale" o "non rilevato".
- ID controllo: il numero di identificazione del controllo, assegnato dal relativo regolamento, standard o criterio corrispondente.
- Punti ottenuti: il numero di punti ottenuti completando le azioni, in base al numero totale raggiungibile.
- Azioni di miglioramento: numero di azioni completate dal numero totale da eseguire.
- Azioni Microsoft: numero di azioni completate da Microsoft.
Selezionare un controllo dall'elenco per visualizzarne la pagina dei dettagli. Un grafico indica lo stato del test delle azioni di miglioramento all'interno del controllo. Una tabella sotto il grafico elenca le azioni di miglioramento per tale controllo. Selezionare un'azione di miglioramento dall'elenco per esaminare la pagina dei dettagli dell'azione di miglioramento, da cui è possibile gestire l'implementazione e i test. Ottenere informazioni dettagliate sull'uso delle azioni di miglioramento.
Scheda Azioni di miglioramento
Nella scheda Azioni di miglioramento nella pagina dei dettagli della valutazione sono elencate tutte le azioni di miglioramento per il controllo. Il grafico a barre di stato descrive in dettaglio lo stato di test aggregato delle azioni di miglioramento nella valutazione, in modo da poter misurare rapidamente ciò che è stato testato e cosa deve ancora essere fatto. Passare il puntatore del mouse o selezionare un'etichetta di stato del test per evidenziare solo tale stato sulla barra.
Sotto la barra, una tabella elenca tutte le azioni e i dettagli chiave, tra cui: servizio, stato del test, numero di punti potenziali e ottenuti, normative e standard associati, soluzione applicabile, tipo di azione e famiglia di controlli.
Filtrare in base al servizio per visualizzare le azioni correlate a un servizio e il relativo stato di avanzamento. Nella tabella selezionare un'azione di miglioramento per passare alla relativa pagina dei dettagli, da cui è possibile gestire l'implementazione e i test. Ottenere informazioni dettagliate sull'uso delle azioni di miglioramento.
Scheda Azioni Microsoft
La scheda Azioni Microsoft viene visualizzata per le valutazioni basate su modelli che supportano i prodotti Microsoft. Elenca tutte le azioni nella valutazione gestite da Microsoft. L'elenco mostra i dettagli chiave dell'azione, tra cui: servizio, stato del test, punti che contribuiscono al punteggio di conformità complessivo, normative e standard associati, soluzione applicabile, tipo di azione e famiglia di controlli. Selezionare un'azione di miglioramento per visualizzarne la pagina dei dettagli.
Concedere all'utente l'accesso alle singole valutazioni
Quando si assegna agli utenti un ruolo di Compliance Manager nel Portale di conformità di Microsoft Purview, possono visualizzare o modificare i dati all'interno di tutte le valutazioni per impostazione predefinita (esaminare i tipi di ruolo di Compliance Manager). È possibile limitare l'accesso degli utenti solo a determinate valutazioni gestendo i ruoli utente dall'interno di una valutazione. Limitare l'accesso in questo modo può contribuire a garantire che gli utenti che svolgono un ruolo nella supervisione della conformità con specifiche normative o standard abbiano accesso solo ai dati e alle informazioni di cui hanno bisogno per svolgere i propri compiti. È anche possibile impostare l'accesso degli utenti per le normative, consentendo agli utenti di accedere a tutte le valutazioni create per tale regolamento.
Agli utenti esterni che necessitano di accesso per il controllo o altri scopi può essere assegnato anche un ruolo per la visualizzazione delle valutazioni e la modifica dei dati di test. È possibile fornire l'accesso a un utente esterno assegnando loro un ruolo di Microsoft Entra. Altre informazioni sull'assegnazione dei ruoli.
Passaggi per la concessione dell'accesso
Seguire la procedura per concedere all'utente l'accesso a una valutazione.
Nella pagina Valutazioni individuare la valutazione a cui si vuole concedere l'accesso. Selezionarlo per aprire la pagina dei dettagli.
Nell'angolo in alto a destra selezionare Gestisci accesso utente.
Viene visualizzato il riquadro a comparsa Gestisci accesso utente . Ha tre schede, una per ogni ruolo di lettori, valutatori e collaboratori. Passare alla scheda per il ruolo che l'utente deve mantenere per questa valutazione. Gli utenti che attualmente hanno accesso alla valutazione avranno una casella blu con un segno di spunta a sinistra del nome.
Selezionare il comando + Aggiungi per la scheda del ruolo attivata: Aggiungi lettore o Aggiungi valutatore o Aggiungi collaboratore.
Viene visualizzato un altro riquadro a comparsa che elenca tutti gli utenti dell'organizzazione. È possibile selezionare la casella di controllo accanto al nome utente da aggiungere oppure immetterne il nome nella barra di ricerca e selezionare l'utente da questa casella. È possibile selezionare più utenti contemporaneamente.
Dopo aver effettuato tutte le selezioni, selezionare Aggiungi.
Nota
Se si assegna un ruolo a un utente che ha già un ruolo esistente, la nuova assegnazione di ruolo scelta sostituirà il ruolo esistente. In questo caso, verrà visualizzata una casella di conferma che chiede di confermare la modifica del ruolo.
Il riquadro a comparsa si chiude e si torna alla pagina dei dettagli della valutazione. Un messaggio di conferma nella parte superiore conferma la nuova assegnazione di ruolo per tale valutazione.
Passaggi per la rimozione dell'accesso
È possibile rimuovere l'accesso di un utente alle singole valutazioni seguendo la procedura seguente:
Nella pagina dei dettagli della valutazione selezionare Gestisci accesso utente.
Nel riquadro a comparsa Gestisci accesso utente passare alla scheda corrispondente al ruolo dell'utente che si vuole rimuovere.
Trovare l'utente di cui si vuole rimuovere il ruolo. Controllare il cerchio a sinistra del nome, quindi selezionare il comando Rimuovi appena sotto la scheda del ruolo. Per rimuovere tutti gli utenti contemporaneamente, selezionare il comando Rimuovi tutto senza controllare il cerchio accanto al nome di ogni utente.
Viene visualizzata una finestra di dialogo Rimuovi accesso? in cui viene richiesto di confermare la rimozione. Selezionare Rimuovi accesso per confermare la rimozione del ruolo.
Selezionare Salva nel riquadro a comparsa. I ruoli degli utenti verranno ora rimossi dalla valutazione.
Informazioni su come ottenere un'ampia visualizzazione di tutti gli utenti con accesso alle valutazioni.
Nota su più ruoli
Un utente può avere un ruolo che si applica a una valutazione, mantenendo al tempo stesso un altro ruolo che si applica in modo generale all'accesso complessivo di Compliance Manager.
- Ad esempio, se è stato assegnato a un utente un ruolo lettore di Compliance Manager in Portale di conformità di Microsoft Purview Autorizzazioni, è anche possibile assegnare a tale utente un ruolo di valutatore di Compliance Manager per una valutazione specifica. In effetti, l'utente ha i due ruoli contemporaneamente, ma la loro capacità di modificare i dati è limitata alla valutazione a cui è stato assegnato il ruolo Assessor .
- La rimozione di un ruolo basato sulla valutazione non rimuoverà il ruolo complessivo di Compliance Manager dell'utente, se disponibile. Se si vuole modificare il ruolo complessivo di un utente, è necessario modificarlo dalla pagina Autorizzazioni nel Portale di conformità di Microsoft Purview.
Per una singola valutazione, un utente può avere un solo ruolo basato sulla valutazione alla volta.
- Ad esempio, se un utente ha un ruolo di lettore per una valutazione GDPR e si vuole modificarlo in un ruolo di collaboratore, è prima necessario rimuovere il ruolo lettore e quindi riassegnare il ruolo di lettore.
Nota
Gli amministratori le cui autorizzazioni per Compliance Manager sono state impostate in Microsoft Entra ID non verranno visualizzate nel riquadro a comparsa Gestisci accesso utente. Ciò significa che se un utente ha accesso a una o più valutazioni e il suo ruolo è Amministratore globale, Amministratore conformità, Amministratore dei dati di conformità o Amministratore della sicurezza, non verrà visualizzato in questo riquadro. Altre informazioni sull'impostazione delle autorizzazioni e dei ruoli di Compliance Manager.
Accettare gli aggiornamenti alle valutazioni
Quando un aggiornamento è disponibile per una valutazione, viene visualizzata una notifica e si ha la possibilità di accettare l'aggiornamento o rinviarlo per un secondo momento. Aggiornamenti sono disponibili per le valutazioni in base ai modelli normativi forniti in Compliance Manager. Se l'organizzazione usa modelli universali per valutare altri prodotti, l'ereditarietà potrebbe non essere supportata.
Cosa causa un aggiornamento
Un aggiornamento della valutazione si verifica quando sono presenti modifiche di modello sottostanti che influiscono sull'assegnazione dei punteggi. Le modifiche possono comportare la modifica del mapping dei controlli o altre indicazioni in base alle modifiche normative o ai prodotti. Gli aggiornamenti della valutazione possono provenire dall'organizzazione e da Microsoft.
Se Microsoft aggiorna un modello di Compliance Manager esteso, la valutazione eredita tali aggiornamenti dopo che sono stati accettati. La valutazione mantiene gli altri attributi applicati alla valutazione quando è stata estesa.
Le valutazioni personalizzate create non ricevono aggiornamenti dei modelli da Microsoft. Le valutazioni personalizzate possono ricevere aggiornamenti delle azioni di miglioramento, ma tutti gli aggiornamenti Microsoft per controllare il mapping tra valutazioni e azioni di miglioramento non si applicano ai modelli personalizzati.
Nota
Aggiornamenti alle valutazioni si applicano solo a livello di gruppo. Se sono presenti due valutazioni basate sullo stesso modello che esistono in due gruppi diversi, ogni valutazione avrà una notifica di aggiornamento in sospeso ed è necessario accettare l'aggiornamento a ogni valutazione nel rispettivo gruppo singolarmente.
Dove vengono visualizzate le notifiche di aggiornamento della valutazione
La pagina dei dettagli della valutazione mostra anche un'etichetta aggiornamento in sospeso accanto alla valutazione con un aggiornamento. Selezionare la valutazione per accedere alla relativa pagina dei dettagli.
Un messaggio nella parte superiore della pagina dei dettagli della valutazione mostra che è disponibile un aggiornamento per tale valutazione. Selezionare il pulsante Rivedi aggiornamento nel banner per esaminare le modifiche specifiche e accettare o rinviare l'aggiornamento.
La pagina dei dettagli della valutazione potrebbe anche elencare le azioni di miglioramento con accanto un'etichetta di aggiornamento in sospeso . Tali aggiornamenti sono destinati a modifiche specifiche alle azioni di miglioramento e devono essere accettati separatamente. Per altre informazioni, vedere Accettare gli aggiornamenti alle azioni di miglioramento .
Rivedere l'aggiornamento per accettare o rinviare
Quando si seleziona Rivedi aggiornamento nella pagina dei dettagli della valutazione, sul lato destro dello schermo viene visualizzato un riquadro a comparsa. Il riquadro a comparsa fornisce i dettagli chiave seguenti sull'aggiornamento in sospeso:
- Titolo del modello
- Origine dell'aggiornamento (Microsoft, l'organizzazione o un utente specifico)
- Data di creazione dell'aggiornamento
- Panoramica dell'aggiornamento
- Dettagli specifici sulle modifiche, tra cui l'impatto sul punteggio di conformità, la quantità di progressi verso il completamento della valutazione e il numero specifico di modifiche alle azioni e ai controlli di miglioramento.
Se si seleziona il comando Modello aggiornato , viene scaricato un file di Excel contenente i dati di controllo per la versione del modello con gli aggiornamenti in sospeso. Se si seleziona il comando Modello corrente , viene scaricato un file del modello esistente senza gli aggiornamenti.
Per accettare l'aggiornamento e apportare le modifiche alla valutazione, selezionare Accetta aggiornamento. Le modifiche accettate sono permanenti.
Se si seleziona Annulla, l'aggiornamento non verrà applicato alla valutazione. Tuttavia, si continua a visualizzare la notifica Aggiornamento in sospeso fino a quando non si accetta l'aggiornamento.
Perché è consigliabile accettare gli aggiornamenti: l'accettazione degli aggiornamenti consente di avere le indicazioni più aggiornate sull'uso delle soluzioni e sull'esecuzione di azioni di miglioramento appropriate per soddisfare i requisiti della certificazione in uso.
Motivo per cui si potrebbe voler rinviare un aggiornamento: se si sta completando una valutazione, è possibile assicurarsi di aver completato il lavoro prima di accettare un aggiornamento alla valutazione che potrebbe interrompere il mapping dei controlli. È possibile rinviare l'aggiornamento per un secondo momento selezionando Annulla nel riquadro a comparsa Revisione aggiornamento.
Esportare un report di valutazione
È possibile esportare una valutazione in un file di Excel per gli stakeholder della conformità nell'organizzazione o per revisori esterni e autorità di regolamentazione. Nella pagina dei dettagli della valutazione selezionare le azioni di esportazione nell'angolo in alto a destra della pagina, che crea un file di Excel che è possibile salvare e condividere. Il report è uno snapshot della valutazione a partire dalla data e dall'ora dell'esportazione. Contiene i dettagli per i controlli gestiti sia dall'utente che da Microsoft, inclusi lo stato dell'implementazione, la data di test e i risultati dei test.
Eliminare una valutazione
L'eliminazione di una valutazione lo rimuove dall'elenco nella pagina delle valutazioni. Prendere nota di questi punti importanti relativi all'eliminazione delle valutazioni:
- L'eliminazione di una valutazione è permanente; non è possibile recuperarlo. Se si vuole usare di nuovo la stessa valutazione, è necessario ricrearla.
- Se le azioni di miglioramento nella valutazione non vengono visualizzate in altre valutazioni, vengono eliminate quando la valutazione viene eliminata.
- È consigliabile esportare un report della valutazione prima di eliminarlo definitivamente.
Per eliminare una valutazione, seguire questa procedura:
Nella pagina Valutazioni selezionare la valutazione da eliminare.
Nella pagina dei dettagli della valutazione selezionare Elimina valutazione nell'angolo superiore destro dello schermo. Se questa opzione non viene visualizzata, selezionare i puntini di sospensione (...) nell'angolo superiore destro e quindi selezionare Elimina valutazione dall'elenco.
Viene visualizzata una finestra che chiede di confermare che si vuole eliminare definitivamente la valutazione. Selezionare Elimina valutazione per chiudere la finestra. Viene visualizzata una finestra di conferma che indica che la valutazione è stata eliminata da Compliance Manager.
Nota
Non è possibile eliminare tutte le valutazioni. Per il corretto funzionamento di Compliance Manager, le organizzazioni hanno bisogno di almeno una valutazione. Se la valutazione che si vuole eliminare è l'unica, aggiungere un'altra valutazione prima di eliminare l'altra valutazione.