Automatizar a Certificação do Microsoft 365 com o ACAT
A Ferramenta de Automatização de Conformidade de Aplicações (ACAT) pode ser utilizada para cumprir um conjunto específico de controlos necessários para a Certificação do Microsoft 365. Este artigo descreve como implementar o ACAT no Centro de Parceiros e utilizar as avaliações de conformidade para agilizar a Certificação do Microsoft 365.
Observação
Atualmente, o ACAT está em pré-visualização pública e só suporta aplicações criadas no Azure. As atualizações futuras incluirão funcionalidades para aplicações criadas em serviços cloud não alojados na Microsoft. Para obter comentários sobre a pré-visualização pública do ACAT, preencha este formulário. Um especialista da equipa de produtos ACAT irá contactá-lo o mais rapidamente possível.
Criar o seu primeiro relatório de conformidade para integrar o ACAT
O ACAT proporciona uma visabilidade adicional à compatibilidade de uma aplicação através de relatórios personalizados. Os utilizadores podem criar relatórios com base na infraestrutura de cloud ou num ambiente específico de uma aplicação, por exemplo, produção, teste, etc.
- Pesquise e inicie a Ferramenta de Automatização de Conformidade de Aplicações para o Microsoft 365 no portal do Azure.
- Selecione
Reports
no lado esquerdo do ecrã.
Selecione
Create new report
para criar o seu primeiro relatório de conformidade.-
Noções básicas
- Nome do relatório: o relatório de conformidade tem de ter um nome exclusivo e não duplicado no inquilino, que consiste numa combinação de números, letras e carateres de sublinhado. É aconselhável incluir o nome específico da aplicação ou o nome do ambiente no nome do relatório.
- Hora do acionador: o ACAT efetua atualizações diárias de avaliações de compatibilidade para relatórios, proporcionando flexibilidade para definir uma hora específica para atualizar avaliações num fuso horário designado.
- Recursos: defina o limite de conformidade do relatório ao selecionar recursos da sua infraestrutura de cloud. Utilize os filtros para procurar recursos com base na subscrição, no grupo de recursos, nas etiquetas e muito mais.
-
Certificação Microsoft 365
- GUID da Oferta: o GUID da oferta serve como um identificador exclusivo para a oferta do marketplace no Centro de Parceiros da Microsoft e é a chave para ligar o relatório de conformidade às ofertas do marketplace. Depois de ligar a conformidade com as ofertas do marketplace, pode utilizar o relatório de conformidade para agilizar o processo de Certificação do Microsoft 365 para as ofertas do marketplace no Centro de Parceiros. Selecione saiba mais para obter o GUID da oferta da sua aplicação. Este passo é opcional durante a criação do relatório inicial e pode ser configurado quando começar a publicar a sua aplicação.
-
Noções básicas
Depois de confirmar a configuração e criar o relatório de conformidade, o ACAT recolhe automaticamente dados relacionados com a conformidade das seguintes origens:
- Ative o Microsoft Defender para Cloud (escalão gratuito) para a sua subscrição.
- Ative políticas personalizadas para a sua subscrição.
Observação
Aguarde 24 horas para que o ACAT gere as avaliações de compatibilidade iniciais do seu relatório com base nas suas preferências especificadas.
Auditar as avaliações de conformidade com o relatório de conformidade
Reveja o estado de tempo de execução dos relatórios de conformidade e realize auditorias sobre avaliações de compatibilidade.
Aceda à
Reports
esquerda para obter um resumo dos relatórios de conformidade existentes.-
O estado do tempo de execução mostra o estado das atualizações mais recentes para avaliações de compatibilidade:
- Ativo: as avaliações de compatibilidade deste relatório foram atualizadas com êxito.
- Falha: o ACAT encontrou uma falha na atualização das avaliações de compatibilidade durante a atualização mais recente. As falhas podem resultar de configurações de subscrição incorretas ou de um problema de sistema com o ACAT. Veja a documentação de orientação de recuperação automática fornecida para resolver o problema.
- Desativado: o relatório de conformidade tinha sido desativado (em pausa) manualmente pelo utilizador. Esta funcionalidade não está atualmente ativada na pré-visualização pública.
- Criado em: O Criado Em mostra quando o relatório de compatibilidade é criado.
- Hora do último acionador e Hora do acionador seguinte: o ACAT atualiza as avaliações de compatibilidade dos relatórios diariamente. A Hora do último acionador significa quando a última atualização foi iniciada, enquanto a hora do acionador Seguinte indica a hora agendada para a próxima atualização do relatório.
- Certificação do Microsoft 365: reveja o estado de conformidade dos controlos específicos da Certificação do Microsoft 365.
-
O estado do tempo de execução mostra o estado das atualizações mais recentes para avaliações de compatibilidade:
Além de aceder a resumos de alto nível de relatórios de conformidade existentes, pode analisar os detalhes de cada avaliação de compatibilidade. Selecione o nome do relatório para obter detalhes específicos da avaliação para uma auditoria mais detalhada.
O ACAT fornece uma barra de ferramentas que lhe permite realizar as seguintes ações:
Definições: modifique a configuração do relatório de conformidade.
- Editar informações básicas: edite a configuração básica do relatório.
- Editar recursos: adicione ou remova recursos com base na infraestrutura de cloud atual.
- Editar configuração da aplicação: edite a configuração da aplicação para alinhar o relatório com o conjunto de controlo adequado.
- Editar a configuração da Certificação do Microsoft 365: configure GUIDs de oferta para associar o relatório a ofertas do Marketplace no Centro de Parceiros da Microsoft.
- Configurar o repositório de provas: configure o repositório de provas para armazenar as provas carregadas.
Transferir relatório: transfira avaliações do relatório de conformidade que podem ser partilhadas com parceiros para colaboração.
- Relatório de avaliação da Revisão da Certificação do Microsoft 365: este relatório PDF organiza as avaliações de compatibilidade com base nos controlos de Certificação da Microsoft. Se for selecionada para utilização na fase Documento Inicial, é entregue automaticamente ao analista para revisão. Além disso, tem a opção de transferir e carregá-la manualmente como prova, se necessário.
- Relatório de avaliação para colaboração de engenheiros: este relatório PDF organiza as avaliações de compatibilidade com informações internas com base nos controlos de Certificação da Microsoft. É utilizado para colaboração interna em equipa durante auditorias de conformidade.
- Relatório de avaliação para colaboração de engenheiros: este relatório do Excel contém informações ao nível dos recursos e avaliações de conformidade correspondentes para colaboração interna em equipa durante auditorias de conformidade.
- Inventário da infraestrutura de cloud: este relatório do Excel contém os detalhes de recursos deste relatório de conformidade, fornecendo uma descrição abrangente do inventário da cloud associado à sua aplicação.
Notificações: obtenha notificações sobre a alteração das definições do relatório de compatibilidade ou a alteração do estado das avaliações de controlo. Saiba mais sobre como receber notificações através do webhook.
Integração com o pipeline CI/CD: o ACAT permite-lhe manter a conformidade contínua e automatizada para a sua aplicação ao integrar de forma totalmente integrada com pipelines de CI/CD. Saiba mais sobre como integrar com o pipeline do GitHub Actions e como integrar com outros pipelines com APIs REST.
Como submeter um pedido de certificação com a ACAT: execute uma validação rápida para garantir que este relatório está pronto para certificação e receba orientações sobre como utilizá-lo para certificação no Centro de Parceiros.
O ACAT permite-lhe aprofundar mais detalhes sobre as avaliações de relatórios e conformidade.
O Essentials indica o estado e as definições do relatório de conformidade.
Avaliações de controlo - Vista de Certificação do Microsoft 365
- As avaliações de controlo são organizadas por domínios de segurança de Certificação do Microsoft 365, famílias de controlo e controlos.
- Pode rever o estado de conformidade por responsabilidade do cliente ao nível do controlo individual.
- Na secção responsabilidade do cliente, selecione "Ações" para aceder ao estado de conformidade dos recursos associados e detetar os passos de remediação para quaisquer recursos com falhas.
- Utilize a pesquisa e os filtros para localizar controlos específicos com base nas suas necessidades.
- Pesquise os controlos por nome de controlo ou nome de responsabilidade do cliente.
- Utilize
Control family
para filtrar por domínio de segurança ou família de controlo. - Utilize
Control status
para filtrar as falhas de conformidade atuais. - Utilize
Customer responsibility type
para filtrar por tipo de CR automatizado ACAT.
- Saiba mais sobre o estado de conformidade do controlo e da responsabilidade do cliente.
- As avaliações de controlo são organizadas por domínios de segurança de Certificação do Microsoft 365, famílias de controlo e controlos.
Certifique-se de que um conjunto de controlo robusto é o ponto focal do relatório de conformidade
A Certificação do Microsoft 365 apresenta um conjunto de controlo adequado consoante a configuração da aplicação. Tem de concluir a configuração da aplicação para alinhar o relatório com o conjunto de controlo adequado antes de auditar as avaliações de compatibilidade.
Se não concluir a configuração da aplicação para o relatório, tal resultará numa mensagem de aviso apresentada na responsabilidade correspondente do cliente, orientando-o para as definições de configuração da aplicação.
Também pode editar a
application configuration
definição a partir da opçãoSettings
na barra de ferramentas do relatório.
Resolva os requisitos de controlo ao submeter provas para a sua solução de conformidade
Além de seguir os passos de remediação para resolver falhas de conformidade, também pode cumprir os requisitos de conformidade ao carregar provas para a sua própria solução.
Para resolver problemas de privacidade, tem de configurar o repositório de provas inicialmente. Crie ou selecione a conta de armazenamento para armazenar provas de controlos de Certificação do Microsoft 365 de forma segura. Depois de criada, a conta de armazenamento pode ser utilizada para todos os relatórios.
Se não configurar o repositório de provas, clicar em
Actions
para qualquer responsabilidade do cliente e encontrar uma mensagem de aviso na secção Carregar Provas irá guiá-lo para as definições de relatório correspondentes.Também pode editar a
evidence repository
definição a partir da opçãoSettings
na barra de ferramentas do relatório.
Depois de configurar o repositório de provas, se quiser cumprir os requisitos de controlo manual ou cumprir os critérios de controlo com a sua própria solução, pode carregar provas para a respetiva responsabilidade do cliente. Depois de carregar as provas para uma responsabilidade do cliente, o respetivo estado de conformidade será alterado automaticamente para "Revisão da conformidade da aplicação necessária".
Clique
Actions
na responsabilidade do cliente.Expanda a
Upload evidence
área.Procure e carregue os seus ficheiros de provas locais.
Submeta ficheiros de provas para armazená-los no repositório de provas.
Para responsabilidades automatizadas de recolha de provas do cliente, se o ACAT identificar os recursos suportados na lista de recursos do seu relatório ACAT, não precisa de preparar as provas manualmente. Em vez disso, o ACAT pode resumir os dados de conformidade num ficheiro de provas ACAT e carregá-lo para o seu repositório de provas.
- Selecione uma responsabilidade automatizada do cliente de recolha de provas.
- Clique
Actions
na responsabilidade do cliente. - Expanda a
Remediation steps
área e reveja os tipos de recursos suportados que podem ser recolhidos como prova. - Expanda a
Upload evidence
área e clique noCollect evidence by ACAT
botão . Após a recolha de provas, as provas recolhidas pelo ACAT serão apresentadas na lista de ficheiros abaixo. - Reveja as provas recolhidas pela ACAT e carregue provas adicionais, se necessário.
Observação
Para diferentes responsblities de clientes, o ACAT pode recolher provas de diferentes tipos de recursos. No entanto, se o ACAT não identificar quaisquer recursos suportados no seu relatório, terá de preparar e carregar manualmente as provas de conformidade para o ACAT. Para obter instruções mais detalhadas, consulte a Remediation Steps
secção para cada ação de responsabilidade do cliente.
Cuidado
Devido a considerações de privacidade, o ACAT não consegue atualizar automaticamente as provas recolhidas. Se existirem alterações ao recurso de destino após a recolha de provas, é necessário rever as responsabilidades dos clientes afetados e clicar novamente no botão Recolher provas por ACAT para atualizar as provas recolhidas pela ACAT.
Utilizar o seu primeiro relatório de conformidade com a auditoria de Certificação do Microsoft 365
Na barra de ferramentas do relatório, clicar em How to submit certifcation request with ACAT
orienta-o durante todo o percurso desde a Certificação ACAT até à Certificação do Microsoft 365.
Em geral, antes de utilizar o relatório de conformidade com a Certificação do Microsoft 365, tem de configurar o para o offer GUID
associar às ofertas do marketplace. Há duas opções:
- Durante o processo de criação do relatório de conformidade, configure o GUID da oferta no
Microsoft 365 Certification
separador. - Se o relatório de conformidade já estiver criado, aceda a
Settings
este relatório de conformidade para configurar o GUID da oferta.
Assim que o GUID da oferta estiver configurado, aceda ao Centro de Parceiros da Microsoft para iniciar a Certificação do Microsoft 365.
- Em
Initial Documentation
selecione Sim para confirmar que está a utilizar o ACAT. - Selecione o relatório de conformidade ativo mais atualizado para a auditoria.
A Certificação do Microsoft 365 submete as avaliações de conformidade e as provas carregadas aos auditores de certificação automaticamente, poupando-lhe tempo e esforço.
Observação
Só pode utilizar o relatório de conformidade ativo para a revisão da Certificação do Microsoft 365. Assim, ao selecionar um relatório de conformidade no Partner Center
durante o processo de Certificação do Microsoft 365, se o relatório esperado não estiver na lista, verifique o estado de tempo de execução do relatório.
Observação
Se já tiver carregado provas para as responsabilidades do cliente, quando passar à Control Requirements
fase da Certificação do Microsoft 365, a ACAT irá entregar as provas carregadas ao analista para revisão automaticamente.
Obter uma descrição geral de alto nível dos seus relatórios de conformidade
Descrição geral fornece um estado de alto nível para os seus relatórios de conformidade. Saiba mais sobre o estado de tempo de execução do relatório de conformidade.
- Relatórios de Conformidade Regulamentar Ativa: esta descrição geral fornece-lhe o estado de conformidade de cada relatório Ativo .