Автоматизация сертификации Microsoft 365 с помощью ACAT

Средство автоматизации соответствия приложений (ACAT) можно использовать для удовлетворения определенного набора необходимых элементов управления для сертификации Microsoft 365. В этой статье описывается, как реализовать ACAT в Центре партнеров и использовать оценки соответствия требованиям для ускорения сертификации Microsoft 365.

Примечание.

В настоящее время ACAT находится в общедоступной предварительной версии и поддерживает только приложения, созданные на основе Azure. Будущие обновления будут включать функции для приложений, созданных на основе размещенных облачных служб сторонних разработчиков. Чтобы получить отзыв о общедоступной предварительной версии ACAT, заполните эту форму. Специалист группы по продуктам ACAT будет следить за вами как можно скорее.

Создание первого отчета о соответствии требованиям для подключения ACAT

ACAT обеспечивает дополнительную видимость соответствия приложений с помощью пользовательских отчетов. Пользователи могут создавать отчеты на основе облачной инфраструктуры или определенной среды приложения, например рабочей, промежуточной и т. д.

• Поиск и запустите средство автоматизации соответствия приложений для Microsoft 365 в портал Azure.
• Выберите Reports в левой части экрана.

Перейдите в раздел Отчеты, чтобы создать новый отчет о соответствии.

• Выберите Create new report , чтобы создать свой первый отчет о соответствии.

  • Основы
    • Имя отчета. Отчет о соответствии должен иметь уникальное и ненупликативное имя в клиенте, состоящее из сочетания цифр, букв и символов подчеркивания. Рекомендуется включить в имя отчета конкретное имя приложения или среды.
    • Время триггера. ACAT ежедневно обновляет оценки соответствия для отчета, предоставляя возможность задать определенное время для обновлений оценок в указанном часовом поясе.
    • Ресурсы. Определите границу соответствия для отчета, выбрав ресурсы из облачной инфраструктуры. Используйте фильтры для поиска ресурсов по подписке, группе ресурсов, тегам и т. д.

  

  Базовая конфигурация для отчета о соответствии

  • Сертификация Microsoft 365
    • GUID предложения. Guid предложения служит уникальным идентификатором для предложения Marketplace в Центре партнеров Майкрософт и является ключом для подключения отчета о соответствии предложениям Marketplace. После подключения к предложениям Marketplace вы можете использовать отчет о соответствии требованиям, чтобы ускорить процесс сертификации Microsoft 365 для предложений Marketplace в Центре партнеров. Выберите Дополнительные сведения , чтобы получить GUID предложения приложения. Этот шаг необязателен во время создания первоначального отчета и может быть настроен при начале публикации приложения.

  

  Конфигурация для сертификации Microsoft 365

После подтверждения конфигурации и создания отчета о соответствии ACAT автоматически собирает данные, связанные с соответствием требованиям, из следующих источников:

• Включите Microsoft Defender для облака (бесплатный уровень) для своей подписки.
• Включите настраиваемые политики для подписки.

Примечание.

Позвольте ACAT создать первоначальные оценки соответствия для отчета в течение 24 часов на основе заданных настроек.

Аудит оценок соответствия с помощью отчета о соответствии

Просмотрите состояние отчетов о соответствии во время выполнения и проведите аудит оценок соответствия.

• Перейдите на страницу Reports слева, чтобы получить сводку существующих отчетов о соответствии.

  • Состояние времени выполнения показывает состояние последних обновлений для оценки соответствия:
    • Активный: оценки соответствия для этого отчета успешно обновлены.
    • Сбой: В ACAT произошел сбой при обновлении оценок соответствия во время последнего обновления. Сбои могут возникать из-за неправильной конфигурации подписки или системной проблемы с ACAT. Чтобы устранить проблему, ознакомьтесь с предоставленными рекомендациями по самостоятельному восстановлению.
    • Отключено. Отчет о соответствии был отключен (приостановлен) пользователем вручную. В настоящее время эта функция не включена в общедоступной предварительной версии.
  • Created At: в поле Created At отображается при создании отчета о соответствии.
  • Время последнего триггера и время следующего триггера: ACAT ежедневно обновляет оценки соответствия для отчетов. Время последнего триггера означает, когда было инициировано последнее обновление, а время следующего триггера — запланированное время для следующего обновления отчета.
  • Сертификация Microsoft 365. Проверьте состояние соответствия элементов управления, относящихся к сертификации Microsoft 365.

  

  Список существующих отчетов о соответствии.

Помимо доступа к сводным данным о существующих отчетах о соответствии требованиям, вы можете углубиться в подробные сведения о каждой оценке соответствия. Выберите имя отчета, чтобы получить конкретные сведения об оценке для более тщательного аудита.

Панель инструментов для отчета о соответствии.

ACAT предоставляет панель инструментов, которая позволяет выполнять следующие действия:

• Параметры. Измените конфигурацию отчета о соответствии.

  • Изменение основных сведений. Измените базовую конфигурацию отчета.
  • Изменение ресурсов. Добавление или удаление ресурсов на основе текущей облачной инфраструктуры.
  • Изменить конфигурацию приложения. Измените конфигурацию приложения, чтобы согласовать отчет с соответствующим набором элементов управления.
  • Изменение конфигурации сертификации Microsoft 365: настройте guid предложения для связывания отчета с предложениями Marketplace в Центре партнеров Майкрософт.
  • Настройка репозитория доказательств. Настройте репозиторий доказательств для хранения отправленных доказательств.

  

• Скачать отчет. Скачайте оценки отчета о соответствии, которые можно предоставить партнерам для совместной работы.

  • Отчет об оценке для проверки сертификации Microsoft 365. Этот отчет в формате PDF упорядочивает оценки соответствия на основе Microsoft Certification элементов управления. Если он выбран для использования на этапе первоначального документа, он автоматически доставляется аналитику для проверки. Кроме того, вы можете скачать и вручную передать его в качестве доказательства, если это необходимо.
  • Отчет об оценке для совместной работы инженеров. В этом PDF-отчете организованы оценки соответствия с внутренней информацией на основе Microsoft Certification элементов управления. Он используется для внутренней совместной работы команды во время аудита соответствия требованиям.
  • Отчет об оценке для совместной работы инженеров. Этот отчет Excel содержит сведения об уровне ресурсов и соответствующие оценки соответствия для внутренней совместной работы команды во время аудита соответствия требованиям.
  • Инвентаризация облачной инфраструктуры. Этот отчет Excel содержит сведения о ресурсах этого отчета о соответствии, предоставляя полное описание облачной инвентаризации, связанной с приложением.

  

• Уведомления. Получайте уведомления об изменении параметров отчета о соответствии или об изменении состояния оценок управления. Узнайте больше о том, как получать уведомления с помощью веб-перехватчика.

• Интеграция с конвейером CI/CD. ACAT позволяет поддерживать непрерывное и автоматическое соответствие приложению за счет простой интеграции с конвейерами CI/CD. Узнайте больше об интеграции с конвейером GitHub Actions и о том, как интегрировать с другими конвейерами с помощью REST API.

• Отправка запроса на сертификацию в ACAT. Выполните быструю проверку, чтобы убедиться, что этот отчет готов к сертификации, и получить рекомендации по его использованию для сертификации в Центре партнеров.

  

  Отправка запроса на сертификацию с помощью ACAT.

ACAT позволяет углубиться в более подробные сведения об отчете и оценках соответствия.

• Essentials указывает состояние и параметры отчета о соответствии.

  

  Essentials отчета о соответствии.

• Оценки элементов управления — представление сертификации Microsoft 365

  • Оценки элементов управления организованы доменами безопасности сертификации Microsoft 365, семействами элементов управления и элементами управления.
    • Состояние соответствия требованиям можно проверить по ответственности клиента на уровне отдельного элемента управления.
    • В разделе "Ответственность клиента" выберите "Действия", чтобы получить доступ к состоянию соответствия связанных ресурсов и найти шаги по исправлению для всех неудачных ресурсов.
    • Используйте поиск и фильтры для поиска конкретных элементов управления в зависимости от ваших потребностей.
      • Поиск элементы управления по имени элемента управления или имени ответственности клиента.
      • Используется Control family для фильтрации по домену безопасности или семейству элементов управления.
      • Используйте Control status для фильтрации текущих сбоев соответствия требованиям.
  • Узнайте больше о состоянии соответствия требованиям для контроля и ответственности клиента.

  

  Оценки соответствия для отчета о соответствии требованиям.

Убедитесь, что надежный набор элементов управления является центральным элементом отчета о соответствии требованиям.

Сертификация Microsoft 365 имеет соответствующий набор элементов управления в зависимости от конфигурации приложения. Необходимо завершить настройку приложения, чтобы согласовать отчет с соответствующим набором элементов управления, прежде чем выполнять аудит оценок соответствия.

• Если вы не завершите настройку приложения для отчета, в соответствующих обязанностях клиента отобразится предупреждающее сообщение, которое указывает на параметры конфигурации приложения.

  

  Предупреждающее сообщение и рекомендации по настройке приложения.

• Вы также можете изменить application configuration параметр из Settings параметра на панели инструментов отчета.

  

  Параметр конфигурации приложения.

Выполнение требований к управлению путем отправки доказательств для решения по соответствию требованиям

Помимо выполнения действий по исправлению для устранения сбоев соответствия требованиям, вы также можете выполнить требования к соответствию, отправив доказательства для собственного решения.

Чтобы решить проблемы конфиденциальности, сначала необходимо настроить репозиторий доказательств. Создайте или выберите учетную запись хранения, чтобы безопасно хранить доказательства для элементов управления сертификацией Microsoft 365. После создания учетную запись хранения можно использовать для всех отчетов.

• Если вы не настроите репозиторий доказательств, при нажатии на Actions любую ответственность клиента и появлении предупреждающего сообщения в разделе Отправка доказательств вы перейдете к соответствующим параметрам отчета.

  

  Предупреждающее сообщение и рекомендации по репозиторию доказательств.

• Вы также можете изменить evidence repository параметр из Settings параметра на панели инструментов отчета.

  

  Настройка параметра репозитория доказательств.

Если после настройки репозитория подтверждений вы хотите выполнить требования к ручному управлению или выполнить критерии управления с помощью собственного решения, вы можете отправить свидетельство в соответствии с ответственностью клиента. После отправки доказательств ответственности клиента состояние соответствия требованиям автоматически изменится на "Требуется проверка соответствия приложений".

• Выберите Actions ответственность клиента.

• Разверните .Upload evidence area

• Просмотрите и отправьте локальные файлы доказательств.

• Отправьте файлы доказательств, чтобы сохранить их в репозитории доказательств.

  

  Просмотр и отправка доказательств.

Использование первого отчета о соответствии с аудитом сертификации Microsoft 365

На панели инструментов отчета вы перейдете по How to submit certifcation request with ACAT пути от ACAT до сертификации Microsoft 365.

Как правило, перед использованием отчета о соответствии сертификации Microsoft 365 необходимо настроить offer GUID так, чтобы связать его с предложениями Marketplace. Возможны два варианта:

• Во время создания отчета о соответствии настройте GUID предложения на вкладке Microsoft 365 Certification .
• Если отчет о соответствии уже создан, перейдите к этому отчету Settings о соответствии, чтобы настроить GUID предложения.

После настройки GUID предложения перейдите в Центр партнеров Майкрософт , чтобы инициировать сертификацию Microsoft 365.

• Выберите Initial DocumentationДа , чтобы убедиться, что вы используете ACAT.
• Выберите самый актуальный активный отчет о соответствии для аудита.

Сертификация Microsoft 365 автоматически передает аудиторам сертификации оценки соответствия и переданные доказательства, экономя время и усилия.

Примечание.

Отчет о соответствии требованиям можно использовать только для проверки сертификации Microsoft 365. Поэтому при выборе отчета о соответствии в Partner Center процессе сертификации Microsoft 365, если ожидаемый отчет отсутствует в списке, проверка состояние отчета во время выполнения.

Примечание.

Если вы уже отправили доказательства для ответственности клиента, то при переходе к этапу Control Requirements сертификации Microsoft 365 ACAT автоматически предоставит аналитику переданные доказательства для проверки.

Получение общих сведений о отчетах о соответствии требованиям

Обзор предоставляет высокий уровень состояния отчетов о соответствии требованиям. Дополнительные сведения о состоянии отчета о соответствии во время выполнения.

Общие сведения о состоянии выполнения отчета о соответствии.

• Активные отчеты о соответствии нормативным требованиям. В этом обзоре приведены сведения о состоянии соответствия для каждого активного отчета.

Обзор состояния соответствия для активных отчетов о соответствии требованиям.

Дополнительные сведения

• Дополнительные сведения о сертификации Microsoft 365
• Непрерывное обеспечение соответствия приложений с помощью ACAT
• Руководство по устранению неполадок для ACAT