ACAT를 사용하여 Microsoft 365 인증 자동화
ACAT(앱 준수 자동화 도구)는 Microsoft 365 인증에 필요한 특정 컨트롤 집합을 충족하는 데 사용할 수 있습니다. 이 문서에서는 파트너 센터에서 ACAT를 구현하고 규정 준수 평가를 사용하여 Microsoft 365 인증을 신속하게 수행하는 방법을 간략하게 설명합니다.
참고
ACAT는 현재 공개 미리 보기로 제공되며 Azure에서 빌드된 애플리케이션만 지원합니다. 향후 업데이트에는 비 Microsoft 호스팅 클라우드 서비스를 기반으로 하는 앱에 대한 기능이 포함됩니다. ACAT 공개 미리 보기에 대한 피드백은 이 양식을 작성하세요. ACAT 제품 팀 전문가가 가능한 한 빨리 후속 조치를 취합니다.
ACAT 온보딩을 위한 첫 번째 준수 보고서 만들기
ACAT는 사용자 지정 보고를 통해 애플리케이션 준수에 추가된 비자를 제공합니다. 사용자는 클라우드 인프라 또는 앱의 특정 환경(예: 프로덕션, 스테이징 등)을 기반으로 보고서를 만들 수 있습니다.
- Azure Portal Microsoft 365용 앱 준수 자동화 도구를 Search 시작합니다.
- 화면 왼쪽에서 를 선택합니다
Reports.
를 선택하여
Create new report첫 번째 준수 보고서를 만듭니다.- 기본 사항
- 보고서 이름: 준수 보고서에는 숫자, 문자 및 밑줄의 조합으로 구성된 테넌트 내에서 고유하고 중복되지 않는 이름이 있어야 합니다. 보고서 이름에 특정 앱 이름 또는 환경 이름을 포함하는 것이 좋습니다.
- 트리거 시간: ACAT는 보고서에 대한 규정 준수 평가의 일일 업데이트를 수행하여 지정된 표준 시간대에서 평가를 새로 고치는 특정 시간을 유연하게 설정할 수 있습니다.
- 리소스: 클라우드 인프라에서 리소스를 선택하여 보고서의 규정 준수 경계를 정의합니다. 필터를 활용하여 구독, 리소스 그룹, 태그 등을 기반으로 리소스를 검색합니다.
- Microsoft 365 인증
- 제품 GUID: 제품 GUID는 Microsoft 파트너 센터에서 마켓플레이스 제품에 대한 고유 식별자 역할을 하며, 준수 보고서를 마켓플레이스 제품과 연결하는 데 핵심적인 역할을 합니다. 마켓플레이스 제품과 규정 준수를 연결한 후 준수 보고서를 사용하여 파트너 센터에서 마켓플레이스 제품에 대한 Microsoft 365 인증 프로세스를 신속하게 처리할 수 있습니다. 자세한 정보에서 를 선택하여 앱의 제품 GUID를 가져오는 방법을 가져옵니다. 이 단계는 초기 보고서를 만드는 동안 선택 사항이며 앱 게시를 시작할 때 구성할 수 있습니다.
- 기본 사항
구성을 확인하고 규정 준수 보고서를 만든 후 ACAT는 다음 원본에서 규정 준수 관련 데이터를 자동으로 수집합니다.
- 구독에 클라우드용 Microsoft Defender(무료 계층)를 사용하도록 설정합니다.
- 구독에 대한 사용자 지정 정책을 사용하도록 설정합니다.
참고
ACAT에서 지정된 기본 설정에 따라 보고서에 대한 초기 규정 준수 평가를 생성하는 데 24시간이 걸립니다.
규정 준수 보고서를 사용하여 규정 준수 평가 감사
규정 준수 보고서의 런타임 상태 검토하고 규정 준수 평가에 대한 감사를 수행합니다.
왼쪽에서 으로
Reports이동하여 기존 규정 준수 보고서에 대한 요약을 확인합니다.- 런타임 상태 준수 평가에 대한 최신 업데이트의 상태 보여 줍니다.
- 활성: 이 보고서에 대한 규정 준수 평가가 성공적으로 업데이트되었습니다.
- 실패: ACAT에서 가장 최근 새로 고침 중에 규정 준수 평가를 업데이트하는 데 실패했습니다. 오류는 잘못된 구독 구성 또는 ACAT의 시스템 문제에서 비롯될 수 있습니다. 문제를 해결하고 resolve 위해 제공된 자체 복구 지침을 참조하세요.
- 사용 안 함: 사용자가 준수 보고서를 수동으로 사용하지 않도록 설정(일시 중지)했습니다. 이 기능은 현재 공개 미리 보기에서 사용하도록 설정되지 않았습니다.
- 만든 날짜: 준수 보고서가 만들어지는 경우의 생성 날짜 표시입니다.
- 마지막 트리거 시간 및 다음 트리거 시간: ACAT는 매일 보고서에 대한 규정 준수 평가를 업데이트합니다. 마지막 트리거 시간은 마지막 업데이트가 시작된 시기를 나타내고, 다음 트리거 시간은 다음 보고서 업데이트의 예약된 시간을 나타냅니다.
- Microsoft 365 인증: Microsoft 365 인증과 관련된 컨트롤의 규정 준수 상태 검토합니다.
- 런타임 상태 준수 평가에 대한 최신 업데이트의 상태 보여 줍니다.
기존 규정 준수 보고서의 개략적인 요약에 액세스하는 것 외에도 각 규정 준수 평가의 세부 정보를 자세히 확인할 수 있습니다. 보고서 이름을 선택하여 보다 철저한 감사를 위해 특정 평가 세부 정보를 검색합니다.
ACAT는 다음 작업을 수행할 수 있는 도구 모음을 제공합니다.
설정: 준수 보고서의 구성을 수정합니다.
- 기본 정보 편집: 보고서의 기본 구성을 편집합니다.
- 리소스 편집: 현재 클라우드 인프라에 따라 리소스를 추가하거나 제거합니다.
- 애플리케이션 구성 편집: 애플리케이션 구성을 편집하여 보고서를 적절한 컨트롤 집합에 맞춥니다.
- Microsoft 365 인증 구성 편집: Microsoft 파트너 센터의 마켓플레이스 제품과 보고서를 연결하도록 제품 GUID를 구성합니다.
- 증명 정보 리포지토리 구성: 업로드된 증거를 저장하도록 증거 리포지토리를 구성합니다.
보고서 다운로드: 공동 작업을 위해 파트너와 공유할 수 있는 규정 준수 보고서의 평가를 다운로드합니다.
- Microsoft 365 인증 검토에 대한 평가 보고서: 이 PDF 보고서는 Microsoft Certification 컨트롤에 따라 규정 준수 평가를 구성합니다. 초기 문서 단계에서 사용하도록 선택된 경우 검토를 위해 분석가에게 자동으로 전달됩니다. 또한 필요한 경우 증명 정보로 다운로드하여 수동으로 업로드할 수 있는 옵션이 있습니다.
- 엔지니어 협업을 위한 평가 보고서: 이 PDF 보고서는 Microsoft Certification 컨트롤을 기반으로 내부 정보를 사용하여 규정 준수 평가를 구성합니다. 규정 준수 감사 중에 내부 팀 협업에 활용됩니다.
- 엔지니어 공동 작업을 위한 평가 보고서: 이 Excel 보고서에는 규정 준수 감사 중에 내부 팀 협업을 위한 리소스 수준 정보 및 해당 규정 준수 평가가 포함되어 있습니다.
- 클라우드 인프라 인벤토리: 이 Excel 보고서에는 애플리케이션과 연결된 클라우드 인벤토리에 대한 포괄적인 설명을 제공하는 이 규정 준수 보고서의 리소스 세부 정보가 포함되어 있습니다.
알림: 규정 준수 보고서 설정 변경에 대한 알림을 받거나 변경 상태 평가를 제어합니다. 웹후크를 통해 알림을 받는 방법에 대해 자세히 알아봅니다.
CI/CD 파이프라인과의 통합: ACAT를 사용하면 CI/CD 파이프라인과 원활하게 통합하여 애플리케이션에 대한 연속적이고 자동화된 규정 준수를 유지할 수 있습니다. GitHub Actions 파이프라인과 통합하는 방법 및 REST API와 다른 파이프라인과 통합하는 방법에 대해 자세히 알아봅니다.
ACAT를 사용하여 인증 요청을 제출하는 방법: 신속한 유효성 검사를 수행하여 이 보고서가 인증 준비가 되었는지 확인하고 파트너 센터에서 인증에 활용하는 방법에 대한 지침을 받습니다.
ACAT를 사용하면 보고서 및 규정 준수 평가에 대한 자세한 내용을 자세히 확인할 수 있습니다.
Essentials 준수 보고서의 상태 및 설정을 나타냅니다.
제어 평가 - Microsoft 365 인증 보기
- 제어 평가는 Microsoft 365 인증 보안 도메인, 제어 패밀리 및 컨트롤에 의해 구성됩니다.
- 개별 제어 수준에서 고객의 책임에 따라 규정 준수 상태 검토할 수 있습니다.
- 고객 책임 섹션에서 '작업'을 선택하여 연결된 리소스의 규정 준수 상태 액세스하고 실패한 리소스에 대한 수정 단계를 검색합니다.
- 검색 및 필터를 사용하여 필요에 따라 특정 컨트롤을 찾습니다.
- 컨트롤 이름 또는 고객 책임 이름으로 컨트롤을 Search.
- 보안 도메인 또는 제어 패밀리별로 필터링하는 데 사용합니다
Control family. - 를 사용하여
Control status현재 규정 준수 실패를 필터링합니다.
- 제어 및 고객 책임에 대한 규정 준수 상태 대해 자세히 알아봅니다.
- 제어 평가는 Microsoft 365 인증 보안 도메인, 제어 패밀리 및 컨트롤에 의해 구성됩니다.
강력한 제어 집합이 규정 준수 보고서의 초점인지 확인합니다.
Microsoft 365 인증은 애플리케이션 구성에 따라 적절한 제어 집합을 제공합니다. 규정 준수 평가를 감사하기 전에 보고서를 적절한 컨트롤 집합에 맞추려면 애플리케이션 구성을 완료해야 합니다.
보고서에 대한 애플리케이션 구성을 완료하지 않으면 해당 고객 책임에 경고 메시지가 표시되어 애플리케이션 구성 설정으로 안내됩니다.
보고서 도구 모음의
application configuration옵션에서Settings설정을 편집할 수도 있습니다.
규정 준수 솔루션에 대한 증거를 제출하여 제어 요구 사항 해결
규정 준수 실패를 해결하기 위한 수정 단계를 따르는 것 외에도 자체 솔루션에 대한 증거를 업로드하여 규정 준수 요구 사항을 충족할 수도 있습니다.
개인 정보 보호 문제를 해결하려면 처음에 증거 리포지토리를 구성해야 합니다. Microsoft 365 인증 컨트롤에 대한 증거를 안전하게 저장할 스토리지 계정을 만들거나 선택합니다. 만든 후에는 스토리지 계정을 모든 보고서에 사용할 수 있습니다.
증거 리포지토리를
Actions구성하지 않으면 고객 책임을 클릭하고 증거 업로드 섹션에서 경고 메시지가 표시되면 해당 보고서 설정으로 안내합니다.보고서 도구 모음의
evidence repository옵션에서Settings설정을 편집할 수도 있습니다.
증거 리포지토리를 구성한 후 수동 제어 요구 사항을 충족하거나 자체 솔루션으로 제어 조건을 충족하려는 경우 해당 고객 책임에 증거를 업로드할 수 있습니다. 고객의 책임에 증거를 업로드하면 규정 준수 상태 자동으로 '앱 준수 검토 필요'로 변경됩니다.
고객 책임에 대해 선택합니다
Actions.를 확장합니다
Upload evidence area.로컬 증거 파일을 찾아 업로드합니다.
증거 파일을 제출하여 증거 리포지토리에 저장합니다.
Microsoft 365 인증 감사에서 첫 번째 규정 준수 보고서 사용
보고서 도구 모음에서 How to submit certifcation request with ACAT 를 클릭하면 ACAT에서 Microsoft 365 인증으로의 전체 과정을 안내합니다.
일반적으로 규정 준수 보고서를 Microsoft 365 인증과 함께 사용하기 전에 을 구성 offer GUID 하여 마켓플레이스 제품과 연결해야 합니다. 다음 두 가지 옵션이 있습니다.
- 규정 준수 보고서를 만드는 동안 탭에서
Microsoft 365 Certification제품 GUID를 구성합니다. - 준수 보고서가 이미 만들어진 경우 이 준수 보고서로
Settings이동하여 제품 GUID를 구성합니다.
제품 GUID가 구성되면 Microsoft 파트너 센터로 이동하여 Microsoft 365 인증을 시작합니다.
- 에서
Initial Documentation예를 선택하여 ACAT를 사용하고 있는지 확인합니다. - 감사에 대한 최신 활성 준수 보고서를 선택합니다.
Microsoft 365 인증은 규정 준수 평가 및 업로드된 증거를 인증 감사관에게 자동으로 제출하여 시간과 노력을 절약합니다.
참고
Microsoft 365 인증 검토에는 활성 규정 준수 보고서만 사용할 수 있습니다. 따라서 Microsoft 365 인증 프로세스 중에 에서 Partner Center 준수 보고서를 선택할 때 예상 보고서가 목록에 없는 경우 보고서의 런타임 상태 검사.
참고
고객 책임에 대한 증거를 이미 업로드한 경우 Microsoft 365 인증 단계로 전환 Control Requirements 하면 ACAT는 분석가에게 업로드된 증거를 자동으로 검토하도록 전달합니다.
규정 준수 보고서에 대한 개략적인 개요 가져오기
개요는 규정 준수 보고서에 대한 높은 수준의 상태 제공합니다. 준수 보고서의 런타임 상태 대해 자세히 알아봅니다.
- 활성 규정 준수 보고서: 이 개요는 각 활성 보고서에 대한 규정 준수 상태 제공합니다.
활성 규정 준수 보고서에 대한 규정 준수 상태 개요입니다.