适用于 Microsoft 365 的应用合规性自动化工具

项目
12/22/2023

本文介绍适用于 Microsoft 365 (ACAT) 的应用合规性自动化工具，以及它如何简化合规性和获得 Microsoft 365 认证。

注意

ACAT 目前为公共预览版，仅支持基于 Azure 构建的应用。将来，它还将支持基于其他云或混合使用不同云构建的应用程序。

注意

若要向 ACAT 公共预览版提供反馈，请填写此表单。我们收到你的消息后，ACAT 产品团队将尽快跟进你。

什么是适用于 Microsoft 365 的应用合规性自动化工具

适用于 Microsoft 365 (ACAT) 的应用合规性自动化工具是Azure 门户中的一项服务，可帮助简化使用 Microsoft 365 客户数据并通过合作伙伴中心发布的任何应用的合规性旅程。它是一个以应用程序为中心的合规性自动化工具，可帮助你更轻松地完成 Microsoft 365 认证。在公共预览版中，ACAT 可用于在 Azure 上运行的应用。

借助此工具，你将能够快速定义应用程序的合规性边界、自动监视合规性结果，并更轻松地完成合规性审核。合规性边界是支持交付应用和应用可能与之通信的任何后端系统的云基础结构。

除了为 Microsoft 365 认证提供更快的跟踪外，ACAT 还可以在 Microsoft 365 应用程序的各种合规性方案中提供帮助：

Microsoft 365 认证职责的详细视图和修正步骤。
自动每日报告，可帮助你持续获取合规性结果。
可在应用程序生命周期的早期阶段用作指导的安全和合规性最佳做法。

ACAT 的优点

以应用程序为中心的合规性之旅。

ACAT 报告应用程序的云环境的合规性评估，你可以将其与当前的云基础结构合规性策略集成。
即使在应用开发阶段，开发人员也可以调用 ACAT。

加快获得 Microsoft 365 认证的过程。

ACAT 完全自动执行某些 Microsoft 365 认证控制措施。
Microsoft 正在积极开发不断增长的自动化列表。

与 Microsoft 365 认证工作流的本机集成。

ACAT 与合作伙伴中心完全集成，以实现 Microsoft 365 认证目的。

使应用程序或环境持续合规。

ACAT 确保每日更新符合性评估，并根据指定的触发时间设置对其进行定制。
ACAT 使你能够将合规性评估无缝集成到GitHub Actions或其他 CI/CD 管道中，确保持续监视。

ACAT 的概念

法规合规性报告

在 ACAT 中，可以通过为应用程序创建符合性报告来审核应用程序的符合性状态。可以通过指定生成应用程序的 Azure 资源来定义应用程序的符合性边界。根据不同的开发环境和阶段为一个应用程序创建多个报表。

创建报表后，ACAT 开始收集有关预定义触发时间的合规性数据，然后生成合规性结果作为报告。同时，ACAT 会持续监视合规性报告的符合性更改，直到你选择删除报告。

Microsoft 365 认证控制

ACAT 通过自动化合规性控制来加快 Microsoft 365 认证。根据自动化状态，ACAT 中定义了三种类型的合规性控制。

完全自动化控制：Microsoft 认证控制由 ACAT 完全自动化。
部分自动手动控制：ACAT 可以自动执行 Microsoft 365 认证控制的部分责任。你需要按照 ACAT 提供的说明完成剩余的职责。
完全手动控制：需要按照 ACAT 提供的说明完成所有职责。

从长远来看，ACAT 会持续提高 Microsoft 365 认证控件的自动化覆盖范围。

客户响应

有一组客户责任与需要满足的每个控件相关联。它们是你在以下领域保留的职责：数据、终结点、帐户、访问管理等。

ACAT 收集每个客户责任的数据，并返回评估结果。它还提供修正操作，这是我们的指南，可帮助你与 Microsoft 365 认证标准保持一致。

了解 Microsoft 365 认证控件的符合性状态

在法规合规性报告中，ACAT 定义了每个完全自动化控制和部分自动手动控制的客户责任。客户责任有两种符合性状态。

已通过：适用于此客户责任的云资源正常。
失败：至少有一个云资源不正常。可以按照修正步骤解决不正常的资源。
不适用：没有云资源适用于客户责任，或者根据此报表的应用程序配置，此客户责任被视为不适用。
需要应用合规性审查：手动收集证据并将其上传到此客户责任。在 Microsoft 合作伙伴网络中提交 Microsoft 365 认证请求后，分析师将进行彻底评审。

Microsoft 365 认证控制措施的合规性状态取决于客户责任的合规性状态。

已通过：对于此 Microsoft 365 认证控制，客户没有责任处于“失败”或“需要应用合规性审查”状态。
失败：对于此 Microsoft 365 认证控制，至少有一个客户责任失败。
不适用：此 Microsoft 365 认证控制的所有客户责任都处于“不适用”状态。
需要应用合规性评审：至少有一个客户责任处于“需要应用合规性审查”状态。在 Microsoft 合作伙伴网络中提交 Microsoft 365 认证请求后，分析师将进行彻底评审。

常见问题

什么是手动控件和部分自动化控件？

每个合规性控制都链接到一组特定的客户责任，ACAT 会相应地收集合规性数据。请务必注意，现在，ACAT 并未涵盖 Microsoft 365 认证 (但正在努力扩大覆盖范围) 。对于部分自动化控制，ACAT 自动执行客户责任的特定方面。部分自动化控件的评估结果有助于 Microsoft 365 认证审核，需要你采取进一步措施来满足任何剩余要求。但是，对于手动控制，ACAT 目前不会自动执行任何客户责任。

如何知道控件是否完全自动化？

ACAT 持续增强控制自动化。下面是控制自动化的当前状态。

安全域	控件系列	控制编号	ACAT 自动化状态
操作安全性	认知培训	控制 1	手动
操作安全性	恶意软件防护 - 防病毒	控制 2	全自动
操作安全性	恶意软件防护 - 应用程序控制	控制 3	手动
操作安全性	修补程序管理 - 修补 & 风险排名	控制 4	手动
操作安全性	修补程序管理 - 修补 & 风险排名	控制 5	手动
操作安全性	漏洞扫描	控制 6	全自动
操作安全性	漏洞扫描	控制 7	全自动
操作安全性	网络安全控制 (NSC)	控件 8	部分自动
操作安全性	网络安全控制 (NSC)	控制 9	部分自动
操作安全性	更改控件	控件 10	手动
操作安全性	更改控件	控制 11	手动
操作安全性	保护软件开发/部署	控件 12	手动
操作安全性	保护软件开发/部署	控件 13	手动
操作安全性	帐户管理	控件 14	部分自动
操作安全性	帐户管理	控制措施 15	手动
操作安全性	帐户管理	控件 16	手动
操作安全性	安全事件日志记录、查看和警报	控件 17	部分自动
操作安全性	安全事件日志记录、查看和警报	控制措施 18	全自动
操作安全性	安全事件日志记录、查看和警报	控制措施 19	手动
操作安全性	安全事件日志记录、查看和警报	控制 20	手动
操作安全性	信息安全风险管理	控制 21	手动
操作安全性	信息安全风险管理	控制措施 22	手动
操作安全性	信息安全风险管理	控件 23	手动
操作安全性	信息安全风险管理	控制 24	手动
操作安全性	安全事件响应	控制措施 25	手动
操作安全性	安全事件响应	控件 26	手动
操作安全性	安全事件响应	控制措施 27	手动
操作安全性	业务连续性计划 (BCP) 和灾难恢复计划	控件 28	手动
操作安全性	业务连续性计划 (BCP) 和灾难恢复计划	控制措施 29	手动
操作安全性	业务连续性计划 (BCP) 和灾难恢复计划	控制措施 30	手动
数据处理安全 & 隐私	传输中的数据	控制 1	全自动
数据处理安全 & 隐私	传输中的数据	控制 2	手动
数据处理安全 & 隐私	静态数据	控制 3	全自动
数据处理安全 & 隐私	数据保留、备份和处置	控制 4	手动
数据处理安全 & 隐私	数据保留、备份和处置	控制 5	手动
数据处理安全 & 隐私	数据保留、备份和处置	控制 6	手动
数据处理安全 & 隐私	数据保留、备份和处置	控制 7	手动
数据处理安全 & 隐私	数据访问管理	控件 8	手动
数据处理安全 & 隐私	数据访问管理	控制 9	手动
数据处理安全 & 隐私	隐私	控件 10	手动
数据处理安全 & 隐私	隐私	控制 11	手动
数据处理安全 & 隐私	GDPR	控件 12	手动
数据处理安全 & 隐私	GDPR	控件 13	手动
数据处理安全 & 隐私	HIPAA	控件 14	手动
数据处理安全 & 隐私	HIPAA	控制措施 15	手动

我根据修正建议进行了建议的更改，但控件仍然失败

采取纠正措施解决失败后，请让 ACAT 时间检索控制状态的更新评估结果。根据预先确定的触发时间，每 24 小时进行一次评估。

如何在认证过程中使用合规性报告？

ACAT 与合作伙伴中心无缝集成，以完成 Microsoft 365 认证之旅。详细了解如何使用合规性报告来加速 Microsoft 365 认证