使用 ACAT 自動化 Microsoft 365 認證

  • 發行項

應用程式合規性自動化工具 (ACAT) 可用來符合一組特定的 Microsoft 365 認證必要控件。 本文概述如何在合作夥伴中心實作 ACAT,並使用合規性評定來加速 Microsoft 365 認證。

注意事項

ACAT 目前處於公開預覽狀態,且僅支援建置在 Azure 上的應用程式。 未來的更新將包含建置在非 Microsoft 託管雲端服務上之應用程式的功能。 如需 ACAT 公開預覽的任何意見反應,請完成此 表單。 ACAT 產品小組專家會儘快與您一起追蹤。

建立您的第一個合規性報告以將 ACAT 上線

ACAT 可讓您透過自定義報告,為應用程式的合規性提供額外的可視性。 用戶可以根據雲端基礎結構或應用程式的特定環境來建立報表,例如生產環境、預備環境等等。

  • 在 Azure 入口網站 中 搜尋 並啟動適用於 Microsoft 365 的應用程式合規性自動化工具。
  • Reports 取畫面左側。

建立合規性報告

  • Create new report 取即可建立您的第一個合規性報告。

    • 基本概念
      • 報表名稱:合規性報告在租用戶內必須具有唯一且非重複的名稱,其中包含數位、字母和底線的組合。 建議您在報表名稱中包含特定的應用程式名稱或環境名稱。
      • 觸發時間:ACAT 會針對報表執行合規性評估的每日更新,提供彈性來設定特定時間,以便在指定的時區中重新整理評定。
      • 資源:從雲端基礎結構中選取資源,以定義報表的合規性界限。 利用篩選條件,根據訂用帳戶、資源群組、標籤等來搜尋資源。

    基本設定

    • Microsoft 365 認證
      • 供應專案 GUID:供應專案 GUID 可作為 Microsoft 合作夥伴中心市集供應專案的唯一標識符,而這是將合規性報告與市集供應項目連線 () 的關鍵。 將符合市集供應專案 () 連線之後,您可以使用合規性報告,在合作夥伴中心的市集供應專案 () 加速 Microsoft 365 認證程式。 選取 [深入瞭解] 以取得如何取得應用程式的供應專案 GUID。 在初始報表建立期間,此步驟是選擇性的,可在開始發佈應用程式時進行設定。

    Microsoft 365 認證設定

確認設定並建立合規性報告之後,ACAT 會自動從下列來源收集合規性相關數據:

  • 為您的訂用帳戶啟用雲端 (免費層) Microsoft Defender。
  • 為您的訂用帳戶啟用自定義原則。

注意事項

請允許 ACAT 根據指定的喜好設定,為報表產生初始合規性評定 24 小時。

使用您的合規性報告稽核合規性評估

檢閱合規性報告的運行時間狀態,並針對合規性評估進行稽核。

  • 移至 Reports 左側,以取得現有合規性報告的摘要。

    • 執行時間狀態 會顯示合規性評估的最新更新狀態:
      • 作用中:此報告的合規性評估已成功更新。
      • 失敗:ACAT 在最新重新整理期間更新合規性評估時發生失敗。 失敗可能是因為訂用帳戶設定不正確或 ACAT 的系統問題所導致。 請參閱提供的自我復原指引,以解決並解決問題。
      • 已停用:已停用合規性報告, (用戶手動暫停) 。 這項功能目前未在公開預覽中啟用。
    • 建立時間:建立合規性報告時顯示的 [在建立 建立]。
    • 上次觸發時間下一個觸發時間:ACAT 會每天更新報告的合規性評估。 上次觸發時間表示起始上次更新的時間,而下一個觸發時間則表示下一個報表更新的排程時間。
    • Microsoft 365 認證:檢閱 Microsoft 365 認證專屬控件的 合規性狀態

    合規性報告清單

除了存取現有合規性報告的高階摘要之外,您還可以深入瞭解每個合規性評估的詳細數據。 選取報表名稱,以擷取特定評定詳細數據,以進行更徹底的稽核。

合規性報告工具列

ACAT 提供工具列,可讓您執行下列動作:

  • 設定:修改合規性報告的組態。

    • 編輯基本資訊:編輯報表的基本組態。
    • 編輯資源:根據目前的雲端基礎結構新增或移除資源。
    • 編輯應用程式組態:編輯應用程式組態,讓報表與適當的控制集對齊。
    • 編輯 Microsoft 365 認證設定:設定供應專案 GUID,以將報表與 Microsoft 合作夥伴中心的市集供應專案建立關聯。
    • 設定辨識項存放庫:設定辨識項存放庫以儲存上傳的辨識項。

    報告設定

  • 下載報告:下載可與合作夥伴共用以共同作業的合規性報告評量。

    • Microsoft 365 認證檢閱的評定報告:此 PDF 報告會根據 Microsoft Certification 控件來組織合規性評估。 如果在初始檔階段中選取要使用,則會自動將它傳遞給分析師以供檢閱。 此外,您可以視需要選擇下載並手動上傳做為辨識項。
    • 工程師共同作業的評定報告:此 PDF 報告會根據 Microsoft Certification 控件,使用內部資訊來組織合規性評估。 其會在合規性稽核期間用於內部小組共同作業。
    • 工程師共同作業的評估報告:此 Excel 報告包含資源層級資訊,以及合規性稽核期間內部小組共同作業的對應合規性評估。
    • 雲端基礎結構清查:此 Excel 報告包含此合規性報告的資源詳細數據,提供與應用程式相關聯之雲端清查的完整描述。

    下載報表

  • 通知:取得合規性報告設定變更或控制評估狀態變更的通知。 深入瞭解 如何透過 Webhook 接收通知

  • 與 CI/CD 管線整合:ACAT 可讓您順暢地與 CI/CD 管線整合,以維護應用程式持續且自動化的合規性。 深入瞭解如何與 GitHub Actions 管線整合,以及如何與其他管線與 REST API 整合

  • 如何使用 ACAT 提交認證要求:執行快速驗證,以確保此報告是否已備妥認證,並收到如何在合作夥伴中心將它用於認證的指引。

    使用 ACAT 提交認證的指引

ACAT 可讓您深入瞭解有關報告和合規性評估的詳細數據。

  • Essentials 表示合規性報告的狀態和設定。

    合規性報告基本資訊

  • 控件評定 - Microsoft 365 認證檢視

    • 控件評量是由 Microsoft 365 認證安全性網域、控件系列和控件所組織。
      • 您可以在個別控制層級依客戶責任檢閱合規性狀態。
      • 在 [客戶責任] 區段中,選擇 [動作] 來存取相關聯資源的合規性狀態,並探索任何失敗資源的補救步驟。
      • 根據您的需求,使用搜尋和篩選來尋找特定控制件。
        • 依控件名稱或客戶責任名稱 搜尋 控制件。
        • 使用 Control family 來依安全性網域或控制系列進行篩選。
        • 使用 Control status 來篩選目前的合規性失敗。
    • 深入瞭解 控件和客戶責任的合規性狀態

    合規性報告評定

確定健全的控制集是合規性報告的焦點

根據應用程式組態,Microsoft 365 認證會提供適當的控制集。 在稽核合規性評估之前,您必須先完成應用程式組態,以將報表與適當的控制集對齊。

提交合規性解決方案的辨識項來解決控制需求

除了遵循補救步驟來解決合規性失敗之外,您也可以上傳您自己解決方案的辨識項來滿足合規性需求。

若要解決隱私權問題,您必須一開始設定辨識項存放庫。 建立或選取記憶體帳戶,以安全地儲存 Microsoft 365 認證控件的辨識項。 建立之後,記憶體帳戶即可用於所有報表。

設定辨識項存放庫之後,如果您想要滿足手動控制需求,或符合您自己解決方案的控制準則,您可以將辨識項上傳至個別的客戶責任。 將辨識項上傳至客戶責任之後,其合規性狀態會自動變更為「需要應用程式合規性檢閱」。

  • 選取 Actions 客戶責任。

  • Upload evidence area展開 。

  • 流覽並上傳本機辨識項檔案。

  • 提交辨識項檔案以將它們儲存至辨識項存放庫。

    上傳辨識項

使用您的第一個合規性報告搭配 Microsoft 365 認證稽核

在報表工具列上 How to submit certifcation request with ACAT ,按兩下 即可引導您完成從 ACAT 到 Microsoft 365 認證的整個旅程。

使用 ACAT 提交認證

一般而言,在搭配 Microsoft 365 認證使用合規性報告之前,您必須 offer GUID 先設定 ,使其與您的市集供應專案產生關聯。 其中有兩個選項:

  • 在合規性報告的建立程式中,於索引標籤中 Microsoft 365 Certification 設定供應專案 GUID。
  • 如果已建立合規性報告,請移至 Settings 此合規性報告以設定供應專案 GUID。

設定供應專案 GUID 之後,請移至 Microsoft 合作夥伴中心 來起始 Microsoft 365 認證。

  • 在 [Initial Documentation] 中,確認您使用的是 ACAT。
  • 針對稽核選取最新的 使用 中合規性報告。

Microsoft 365 認證會自動將合規性評定和上傳的辨識項提交給認證稽核員,為您節省時間和精力。

注意事項

您只能針對 Microsoft 365 認證檢閱使用 作用中的 合規性報告。 因此,在 Microsoft 365 認證程式期間於 中選取合規性報告 Partner Center 時,如果預期的報表不在清單中,請檢查報表的運行時間狀態。

注意事項

如果您已將辨識項上傳至客戶責任,當您移至 Control Requirements Microsoft 365 認證階段時,ACAT 會將上傳的辨識項自動傳遞給分析師進行檢閱。

取得合規性報告的高階概觀

概觀 提供合規性報告的高階狀態。 深入瞭解 合規性報告的運行時間狀態

運行時間狀態概觀

  • 主動式法規合規性報告:此概觀會提供每個作用中報表的合規性狀態

合規性狀態概觀

深入了解