适用于 Microsoft 365 的应用合规性自动化工具
本文介绍适用于 Microsoft 365 (ACAT) 的应用合规性自动化工具,以及它如何简化合规性并获取 Microsoft 365 认证。
注意
ACAT 目前为公共预览版,仅支持基于 Azure 构建的应用。 将来,它还将支持基于其他云或混合使用不同云构建的应用程序。
注意
若要向 ACAT 公共预览版提供反馈,请填写此 表单。 我们收到你的消息后,ACAT 产品团队将尽快跟进你。
什么是适用于 Microsoft 365 的应用合规性自动化工具
适用于 Microsoft 365 (ACAT) 的应用合规性自动化工具是 Azure 门户中的一项服务,可帮助简化使用 Microsoft 365 客户数据并通过合作伙伴中心发布的任何应用的合规性旅程。 它是一个以应用程序为中心的合规性自动化工具,可帮助你更轻松地完成 Microsoft 365 认证。 在公共预览版中,ACAT 可用于在 Azure 上运行的应用。
借助此工具,你将能够快速定义应用程序的合规性边界、自动监视合规性结果,并更轻松地完成合规性审核。 合规性边界是支持交付应用和应用可能与之通信的任何后端系统的云基础结构。
除了为 Microsoft 365 认证提供更快速的跟踪外,ACAT 还可以在Microsoft 365 应用程序的各种合规性方案中提供帮助:
- Microsoft 365 认证职责的详细视图和修正步骤。
- 自动每日报告,可帮助你持续获取合规性结果。
- 可在应用程序生命周期的早期阶段用作指导的安全和合规性最佳做法。
ACAT 的优点
以应用程序为中心的合规性之旅。
- ACAT 报告应用程序的云环境的合规性评估,你可以将其与当前的云基础结构合规性策略集成。
- 即使在应用开发阶段,开发人员也可以调用 ACAT。
加快获得 Microsoft 365 认证的过程。
- ACAT 完全自动执行某些Microsoft 365 认证控制。
- Microsoft正在积极开发不断增长的自动化列表。
与 Microsoft 365 认证工作流的本机集成。
- ACAT 与合作伙伴中心完全集成,用于 Microsoft 365 认证。
使应用程序或环境持续合规。
- ACAT 确保每日更新符合性评估,并根据指定的触发时间设置对其进行定制。
- ACAT 使你能够将合规性评估无缝集成到 GitHub Actions 或其他 CI/CD 管道中,确保持续监视。
ACAT 的概念
法规合规性报告
在 ACAT 中,可以通过为应用程序创建符合性报告来审核应用程序的符合性状态。 可以通过指定生成应用程序的 Azure 资源来定义应用程序的符合性边界。 根据不同的开发环境和阶段为一个应用程序创建多个报表。
创建报表后,ACAT 开始收集有关预定义触发时间的合规性数据,然后生成合规性结果作为报告。 同时,ACAT 会持续监视合规性报告的符合性更改,直到你选择删除报告。
Microsoft 365 认证控制
ACAT 通过自动化合规性控制来加快Microsoft 365 认证。 根据自动化状态,ACAT 中定义了三种类型的合规性控制。
- 完全自动化控制:Microsoft认证控制由 ACAT 完全自动化。
- 部分自动手动控制:ACAT 可以自动执行 Microsoft 365 认证控制的部分责任。 你需要按照 ACAT 提供的说明完成剩余的职责。
- 完全手动控制:需要按照 ACAT 提供的说明完成所有职责。
从长远来看,ACAT 会持续提高 Microsoft 365 认证控制措施的自动化覆盖范围。
客户响应
有一组客户责任与需要满足的每个控件相关联。 它们是你在以下领域保留的职责:数据、终结点、帐户、访问管理等。
手动客户责任:需要准备合规性证据并将其上传到 ACAT。 然后,当你提交 ACAT 报告时,ACAT 会将你的证据转移到合作伙伴中心。
自动评估客户责任:ACAT 可以收集有关每个责任的数据,并提供评估结果。 需要通过修正任何不正常的资源或提供额外的符合性证据来证明资源的当前状态。
自动收集证据客户责任:对于包含 ACAT 自动证据收集功能支持的资源的报告,ACAT 通过简单的按钮单击过程提供简化的帮助来准备合规性证据。 如果报表的资源列表缺少支持的资源,你仍保留手动上传合规性证据的选项。
自动评估和自动证据收集客户职责都为你提供了修正操作,这是我们的指南,可帮助你与 Microsoft 365 认证标准保持一致。
注意
根据计划的触发时间,每天对客户责任进行自动评估。 但是,只能通过单击“自动收集 ACAT 的证据”按钮按需刷新自动证据收集客户责任。
了解 Microsoft 365 认证控件的符合性状态
在法规合规性报告中,ACAT 定义了每个完全自动化控制和部分自动手动控制的客户责任。 客户责任有两种符合性状态。
- 已通过:适用于此客户责任的云资源正常。
- 失败:至少有一个云资源不正常。 可以按照修正步骤解决不正常的资源。
- 不适用:没有云资源适用于客户责任,或者根据此报表的应用程序配置,此客户责任被视为不适用。
- 需要应用合规性审查:手动收集证据并将其上传到此客户责任。 在 Microsoft 合作伙伴网络中提交 Microsoft 365 认证请求后,分析师将进行彻底评审。
Microsoft 365 认证控制措施的合规性状态取决于客户责任的合规性状态。
- 已通过:此Microsoft 365 认证控制没有客户责任处于“失败”或“需要应用合规性审查”状态。
- 失败:对于此Microsoft 365 认证控制,至少有一个客户责任失败。
- 不适用:此Microsoft 365 认证控制的所有客户责任都处于“不适用”状态。
- 需要应用合规性评审:至少有一个客户责任处于“需要应用合规性审查”状态。 在 Microsoft 合作伙伴网络中提交 Microsoft 365 认证请求后,分析师将进行彻底评审。
常见问题
什么是手动控件和部分自动化控件?
每个合规性控制都链接到一组特定的客户责任,ACAT 会相应地收集合规性数据。 请务必注意,现在,ACAT 并未涵盖Microsoft 365 认证 (的所有控制措施,尽管正在努力扩大) 覆盖范围。 对于部分自动化控制,ACAT 自动执行客户责任的特定方面。 部分自动化控制的评估结果有助于Microsoft 365 认证审核,并且需要采取进一步措施来满足任何剩余要求。 但是,对于手动控制,ACAT 目前不会自动执行任何客户责任。
如何知道控件是否完全自动化?
ACAT 持续增强控制自动化。 下面是控制自动化的当前状态。
| 安全域 | 控件系列 | 控制编号 | ACAT 自动化状态 |
|---|---|---|---|
| 操作安全性 | 认知培训 | 控制 1 | 手动 |
| 操作安全性 | 恶意软件防护 - 防病毒 | 控制 2 | 全自动 |
| 操作安全性 | 恶意软件防护 - 应用程序控制 | 控制 3 | 手动 |
| 操作安全性 | 修补程序管理 - 修补 & 风险排名 | 控制 4 | 手动 |
| 操作安全性 | 修补程序管理 - 修补 & 风险排名 | 控制 5 | 部分自动 |
| 操作安全性 | 漏洞扫描 | 控制 6 | 全自动 |
| 操作安全性 | 漏洞扫描 | 控制 7 | 全自动 |
| 操作安全性 | 网络安全控制 (NSC) | 控件 8 | 部分自动 |
| 操作安全性 | 网络安全控制 (NSC) | 控制 9 | 部分自动 |
| 操作安全性 | 更改控件 | 控件 10 | 手动 |
| 操作安全性 | 更改控件 | 控制 11 | 手动 |
| 操作安全性 | 保护软件开发/部署 | 控件 12 | 手动 |
| 操作安全性 | 保护软件开发/部署 | 控件 13 | 部分自动 |
| 操作安全性 | 帐户管理 | 控件 14 | 部分自动 |
| 操作安全性 | 帐户管理 | 控制措施 15 | 部分自动 |
| 操作安全性 | 帐户管理 | 控件 16 | 部分自动 |
| 操作安全性 | 安全事件日志记录、查看和警报 | 控件 17 | 全自动 |
| 操作安全性 | 安全事件日志记录、查看和警报 | 控制措施 18 | 全自动 |
| 操作安全性 | 安全事件日志记录、查看和警报 | 控制措施 19 | 手动 |
| 操作安全性 | 安全事件日志记录、查看和警报 | 控制 20 | 全自动 |
| 操作安全性 | 信息安全风险管理 | 控制 21 | 手动 |
| 操作安全性 | 信息安全风险管理 | 控制措施 22 | 手动 |
| 操作安全性 | 信息安全风险管理 | 控件 23 | 手动 |
| 操作安全性 | 信息安全风险管理 | 控制 24 | 手动 |
| 操作安全性 | 安全事件响应 | 控制措施 25 | 手动 |
| 操作安全性 | 安全事件响应 | 控件 26 | 手动 |
| 操作安全性 | 安全事件响应 | 控制措施 27 | 手动 |
| 操作安全性 | 业务连续性计划 (BCP) 和灾难恢复计划 | 控件 28 | 部分自动 |
| 操作安全性 | 业务连续性计划 (BCP) 和灾难恢复计划 | 控制措施 29 | 部分自动 |
| 操作安全性 | 业务连续性计划 (BCP) 和灾难恢复计划 | 控制措施 30 | 手动 |
| 数据处理安全 & 隐私 | 传输中的数据 | 控制 1 | 全自动 |
| 数据处理安全 & 隐私 | 传输中的数据 | 控制 2 | 全自动* |
| 数据处理安全 & 隐私 | 静态数据 | 控制 3 | 全自动 |
| 数据处理安全 & 隐私 | 数据保留、备份和处置 | 控制 4 | 手动 |
| 数据处理安全 & 隐私 | 数据保留、备份和处置 | 控制 5 | 手动 |
| 数据处理安全 & 隐私 | 数据保留、备份和处置 | 控制 6 | 部分自动 |
| 数据处理安全 & 隐私 | 数据保留、备份和处置 | 控制 7 | 部分自动 |
| 数据处理安全 & 隐私 | 数据访问管理 | 控件 8 | 部分自动 |
| 数据处理安全 & 隐私 | 数据访问管理 | 控制 9 | 手动 |
| 数据处理安全 & 隐私 | 隐私 | 控件 10 | 手动 |
| 数据处理安全 & 隐私 | 隐私 | 控制 11 | 部分自动 |
| 数据处理安全 & 隐私 | GDPR | 控件 12 | 部分自动 |
| 数据处理安全 & 隐私 | GDPR | 控件 13 | 手动 |
| 数据处理安全 & 隐私 | HIPAA | 控件 14 | 手动 |
| 数据处理安全 & 隐私 | HIPAA | 控制措施 15 | 手动 |
注意
ACAT 自动化状态表示 ACAT 可帮助你为控件准备合规性证据的自动化范围。
- 手动:需要为此控制下的每个客户责任手动准备所有合规性证据。
- 部分自动化:此控制措施混合了客户职责,包括自动评估、自动证据收集和手动客户责任。 你需要修正任何失败的客户责任,并利用自动证据收集功能进行证据收集。 对于手动责任,请确保提供必要的合规性证据并将其上传到 ACAT。
- 完全自动化:此控制下的所有客户责任要么是自动评估客户责任,要么是自动收集证据的客户责任。
我根据修正建议进行了建议的更改,但控件仍然失败
采取纠正措施解决失败后,请让 ACAT 时间检索控制状态的更新评估结果。 根据预先确定的触发时间,每 24 小时进行一次评估。
如何在认证过程中使用合规性报告?
ACAT 与 合作伙伴中心 无缝集成,以完成 Microsoft 365 认证之旅。 详细了解 如何使用合规性报告来加速Microsoft 365 认证