適用於 Microsoft 365 的應用程式合規性自動化工具
在本文中,您將了解適用於 Microsoft 365 (ACAT) 的應用程式合規性自動化工具是什麼,以及它如何簡化合規性並取得Microsoft 365 認證。
注意事項
ACAT 目前處於公開預覽狀態,且僅支援建置在 Azure 上的應用程式。 在未來,它也會支援建置在其他雲端或不同雲端混合的應用程式。
注意事項
如果您想要提供意見反應給 ACAT 公開預覽,請完成此 表單。 一旦收到您的訊息,ACAT 產品小組就會儘快與您一起追蹤。
什麼是適用於 Microsoft 365 的應用程式合規性自動化工具
適用於 Microsoft 365 (ACAT) 的應用程式合規性自動化工具是 Azure 入口網站中的一項服務,可協助簡化任何取用Microsoft 365 客戶數據並透過合作夥伴中心發佈之應用程式的合規性旅程。 這是以應用程式為中心的合規性自動化工具,可協助您以更輕鬆且便利的方式完成Microsoft 365 認證。 在公開預覽中,ACAT 適用於在 Azure 上執行的應用程式。
使用此工具,您將能快速定義應用程式的合規性界限、自動監視合規性結果,並更輕鬆地完成合規性稽核。 合規性界限是雲端基礎結構,可支援應用程式的傳遞,以及應用程式可能與之通訊的任何後端系統。
除了提供更快速的Microsoft 365 認證追蹤之外,ACAT 還可協助您Microsoft 365 應用程式的各種合規性案例:
- Microsoft 365 認證責任的詳細檢視和補救步驟。
- 自動每日報告可協助您持續取得合規性結果。
- 安全性與合規性最佳做法,可作為應用程式生命週期早期階段的指引。
ACAT 的優點
以應用程式為中心的合規性旅程圖。
- ACAT 會報告應用程式雲端環境的合規性評量,您可以與目前的雲端基礎結構合規性策略整合。
- 即使在應用程式開發階段,開發人員也可以叫用 ACAT。
加速Microsoft 365 認證的程式。
- ACAT 會將特定Microsoft 365 認證控件完全自動化。
- 有持續成長的自動化清單正由Microsoft積極開發。
與 Microsoft 365 認證工作流程的原生整合。
- ACAT 已與合作夥伴中心完全整合,以Microsoft 365 認證用途。
讓您的應用程式或環境持續符合規範。
- ACAT 可確保合規性評量的每日更新,並根據您指定的觸發時間設定量身打造。
- ACAT 可讓您將合規性評量順暢地整合到 GitHub Actions 或其他 CI/CD 管線中,以確保持續監視。
ACAT 的概念
法規合規性報告
在 ACAT 中,您可以為其建立合規性報告來稽核應用程式的合規性狀態。 您可以藉由指定建置應用程式的 Azure 資源,來定義應用程式的合規性界限。 根據不同的開發環境和階段,為一個應用程式建立多個報表。
建立報表之後,ACAT 會開始收集您預先定義觸發時間的合規性數據,然後為您產生合規性結果作為報告。 同時,ACAT 會持續監視合規性報告的合規性變更,直到您選擇刪除報告為止。
Microsoft 365 認證控件
ACAT 會藉由自動化合規性控制來加速Microsoft 365 認證。 根據自動化狀態,ACAT 中定義了三種類型的合規性控件。
- 完全自動化的控制:ACAT 會完全自動化Microsoft認證控件。
- 部分自動化手動控制:ACAT 可以自動化Microsoft 365 認證控件的部分責任。 您必須遵循 ACAT 提供的指示來完成其餘責任。
- 完全手動控制:您必須遵循 ACAT 提供的指示來完成所有責任。
長期而言,ACAT 會持續改善 Microsoft 365 認證控件的自動化涵蓋範圍。
客戶責任
有一組客戶責任與每個需要滿足的控件相關聯。 這些是您在下列領域中所保留的責任:數據、端點、帳戶、存取管理等等。
手動客戶責任:您必須準備合規性辨識項,並將其上傳至ACAT。 當您提交 ACAT 報告時,ACAT 會將您的辨識項傳送至合作夥伴中心。
自動化評定客戶責任:ACAT 可以收集每個責任的數據,並提供評定結果。 您必須補救資源,或提供額外的合規性辨識項來證明資源目前的狀態,以解決任何狀況不良的資源。
自動化辨識項集合客戶責任:對於包含 ACAT 自動化辨識項集合功能所支援資源的報表,ACAT 提供簡化的協助,透過直接的按下按鈕程式來準備合規性辨識項。 如果報表的資源清單缺少支援的資源,您仍會保留手動上傳合規性辨識項的選項。
自動化評定和自動化辨識項集合客戶責任都提供您補救動作,這是我們的指導方針,可協助您符合Microsoft 365 認證標準。
注意事項
自動評定客戶的責任會根據排定的觸發時間每天撤銷。 不過,自動化辨識項集合客戶責任只能按兩下 [依 ACAT 自動收集辨識項] 按鈕,視需要重新整理。
瞭解 Microsoft 365 認證控件的合規性狀態
在法規合規性報告中,ACAT 會定義每個完全自動化控制和部分自動化手動控制的客戶責任。 客戶責任有兩個合規性狀態。
- 通過:適用於此客戶責任的雲端資源狀況良好。
- 失敗:至少有一個雲端資源狀況不良。 您可以遵循補救步驟來解決狀況不良的資源。
- N/A:沒有雲端資源適用於客戶責任,或根據此報表的應用程式組態,將此客戶責任視為不適用。
- 需要應用程式合規性檢閱:您會手動收集辨識項,並將它上傳給此客戶責任。 當您在合作夥伴網路中提交Microsoft 365 認證要求之後,分析師將會進行徹底 Microsoft檢閱。
Microsoft 365 認證控件的合規性狀態取決於客戶責任的合規性狀態。
- 通過:此Microsoft 365 認證控件沒有客戶責任處於「失敗」或「需要應用程式合規性檢閱」狀態。
- 失敗:至少有一個客戶責任與此Microsoft 365 認證控制相關失敗。
- N/A:此Microsoft 365 認證控件的所有客戶責任都處於「N/A」狀態。
- 需要應用程式合規性檢閱:至少有一個客戶責任處於「需要應用程式合規性檢閱」狀態。 當您在合作夥伴網路中提交Microsoft 365 認證要求之後,分析師將會進行徹底 Microsoft檢閱。
常見問題集
什麼是手動控件和部分自動化控制項?
每個合規性控制都會連結到一組特定的客戶責任,ACAT 會據以收集合規性數據。 請務必注意,現在,ACAT 並未涵蓋Microsoft 365 認證 (的所有控件,不過正在努力擴充涵蓋範圍) 。 在部分自動化控制的情況下,ACAT 會自動化客戶責任的特定層面。 部分自動化控件的評定結果會對Microsoft 365 認證稽核造成影響,而您需要採取進一步的動作來滿足任何剩餘的需求。 不過,針對手動控制,ACAT 目前不會將任何客戶責任自動化。
如何知道控制項是否已完全自動化?
ACAT 會持續增強控件自動化。 以下是控制項自動化的目前狀態。
| 安全性網域 | 控件系列 | 控制編號 | ACAT 自動化狀態 |
|---|---|---|---|
| 作業安全性 | 認知訓練 | 控件 1 | 手動 |
| 作業安全性 | 惡意代碼防護 - 防病毒軟體 | 控件 2 | 全自動 |
| 作業安全性 | 惡意代碼保護 - 應用程控 | 控件 3 | 手動 |
| 作業安全性 | 修補程式管理 - 修補 & 風險排名 | 控件 4 | 手動 |
| 作業安全性 | 修補程式管理 - 修補 & 風險排名 | 控件 5 | 部分自動化 |
| 作業安全性 | 弱點掃描 | 控件 6 | 全自動 |
| 作業安全性 | 弱點掃描 | 控件 7 | 全自動 |
| 作業安全性 | 網路安全性控制 (NSC) | 控件8 | 部分自動化 |
| 作業安全性 | 網路安全性控制 (NSC) | 控件 9 | 部分自動化 |
| 作業安全性 | 變更控制件 | 控件 10 | 手動 |
| 作業安全性 | 變更控制件 | 控件 11 | 手動 |
| 作業安全性 | 安全軟體開發/部署 | 控件 12 | 手動 |
| 作業安全性 | 安全軟體開發/部署 | 控件 13 | 部分自動化 |
| 作業安全性 | 帳戶管理 | 控件 14 | 部分自動化 |
| 作業安全性 | 帳戶管理 | 控件 15 | 部分自動化 |
| 作業安全性 | 帳戶管理 | 控件 16 | 部分自動化 |
| 作業安全性 | 安全性事件記錄、檢閱和警示 | 控件 17 | 全自動 |
| 作業安全性 | 安全性事件記錄、檢閱和警示 | 控件 18 | 全自動 |
| 作業安全性 | 安全性事件記錄、檢閱和警示 | 控件 19 | 手動 |
| 作業安全性 | 安全性事件記錄、檢閱和警示 | 控件 20 | 全自動 |
| 作業安全性 | 資訊安全性風險管理 | 控件 21 | 手動 |
| 作業安全性 | 資訊安全性風險管理 | 控件 22 | 手動 |
| 作業安全性 | 資訊安全性風險管理 | 控件 23 | 手動 |
| 作業安全性 | 資訊安全性風險管理 | 控件 24 | 手動 |
| 作業安全性 | 安全性事件回應 | 控件 25 | 手動 |
| 作業安全性 | 安全性事件回應 | 控件 26 | 手動 |
| 作業安全性 | 安全性事件回應 | 控件 27 | 手動 |
| 作業安全性 | 商務持續性計劃 (BCP) 和災害復原計劃 | 控件 28 | 部分自動化 |
| 作業安全性 | 商務持續性計劃 (BCP) 和災害復原計劃 | 控件 29 | 部分自動化 |
| 作業安全性 | 商務持續性計劃 (BCP) 和災害復原計劃 | 控件 30 | 手動 |
| 數據處理安全性 & 隱私權 | 傳輸中的數據 | 控件 1 | 全自動 |
| 數據處理安全性 & 隱私權 | 傳輸中的數據 | 控件 2 | 全自動* |
| 數據處理安全性 & 隱私權 | 待用數據 | 控件 3 | 全自動 |
| 數據處理安全性 & 隱私權 | 數據保留、備份和處置 | 控件 4 | 手動 |
| 數據處理安全性 & 隱私權 | 數據保留、備份和處置 | 控件 5 | 手動 |
| 數據處理安全性 & 隱私權 | 數據保留、備份和處置 | 控件 6 | 部分自動化 |
| 數據處理安全性 & 隱私權 | 數據保留、備份和處置 | 控件 7 | 部分自動化 |
| 數據處理安全性 & 隱私權 | 數據存取管理 | 控件8 | 部分自動化 |
| 數據處理安全性 & 隱私權 | 數據存取管理 | 控件 9 | 手動 |
| 數據處理安全性 & 隱私權 | 隱私權 | 控件 10 | 手動 |
| 數據處理安全性 & 隱私權 | 隱私權 | 控件 11 | 部分自動化 |
| 數據處理安全性 & 隱私權 | GDPR | 控件 12 | 部分自動化 |
| 數據處理安全性 & 隱私權 | GDPR | 控件 13 | 手動 |
| 數據處理安全性 & 隱私權 | HIPAA | 控件 14 | 手動 |
| 數據處理安全性 & 隱私權 | HIPAA | 控件 15 | 手動 |
注意事項
ACAT 自動化狀態表示 ACAT 可協助您為控件準備合規性辨識項的自動化範圍。
- 手動:您必須手動準備此控件下每個客戶責任的所有合規性辨識項。
- 部分自動化:此控件混合了客戶責任,包括自動化評定、自動化辨識項收集,以及手動客戶責任。 您必須補救任何失敗的客戶責任,並利用自動化辨識項收集功能來收集辨識項。 如需手動責任,請務必提供必要的合規性辨識項,並將其上傳至 ACAT。
- 完全自動化:此控制措施下的所有客戶責任都是自動化評估客戶責任或自動化辨識項收集客戶責任。
我根據補救建議進行了建議的變更,但控件仍然失敗
採取更正動作來解決失敗之後,請允許 ACAT 時間擷取已更新的評估結果以取得控制狀態。 評定會根據您預先決定的觸發時間,每隔 24 小時執行一次。
如何在認證程式中使用合規性報告?
ACAT 與 合作夥伴中心 緊密整合,以完成您的Microsoft 365 認證旅程。 深入瞭解 如何使用合規性報告來加速Microsoft 365 認證