Microsoft 365 認證常見問題

簡介

以下是在啟動 Microsoft 365 認證時,ISV (獨立軟體廠商) ) 常見問題 (常見問題。 如果您有任何未涵蓋在此處的查詢,請透過 連絡 Microsoft 365 應用程式認證小組 AppCert@Microsoft.com 。 本檔是以 ISV 為目標,您可以在 Microsoft 365 應用程式合規性計畫頁面下找到 Microsoft 365 安全性與合規性計畫的一般資訊。

我尚未針對 PCI DSS、SOC 2 或 ISO 27001 等業界認可的架構通過稽核。 這是否表示我無法申請 Microsoft 365 認證?

否,取得其中一個業界辨識的架構不是 Microsoft 365 認證的需求。

我已針對業界辨識的架構通過外部稽核。 這是否會計入 Microsoft 365 認證?

簡短答案是 [是]。 Microsoft 365 認證規格目前接受 PCI DSS、SOC 2 和 ISO27001 外部架構的辨識項。 Microsoft 365 認證提交指南已對應這些現有外部架構的對齊位置;不過,我們發現在某些實例中,現有的標準/架構尚未適當地對齊。 因此,Microsoft 365 認證小組會檢閱所提供的標準/架構辨識項,並標示符合 Microsoft 365 認證內的控制項。

如果我們尚未進行外部 GDPR 評估,如何示範 GDPR 合規性?

Microsoft 不需要獨立檢閱 Microsoft 365 認證的 GDPR 一致性,因為這是我們將接受自我證明的案例,我們可以在未進行外部檢閱時獨立驗證。 由於這比稽核更是一項評量,而與在程式期間收集的辨識項有關, 檢閱隱私權原則和內部程式是我們取得 GDPR 控制的方式。 基於我們在 GDPR 控制項中所尋找的目的,主要牽涉到檢閱隱私權原則,以確保它們符合基本 GDPR 需求;例如,正在處理的個人資料、處理的合法性、指出資料主體許可權、使用者 (SAR) 的主體存取要求如何執行、ISV 如何處理 SAR、ISV 公司詳細資料和資料保留詳細資料。

我們已進行滲透測試;不過,我們沒有「乾淨」的滲透測試,因為我們尚未進行滲透重新測試。 我們需要進行重新測試並擁有乾淨的報告嗎?

Microsoft 365 認證規格不需要 ISV 進行滲透測試重新測試,可提供適當的補救辨識項來證明滲透測試報告中所識別的問題已修復。

某些要求的檔和辨識項是機密的,是否已) (DDA 的保密協定?

是,您提交的部分資訊會是公開資訊,有些可能是機密資訊。 如果您已備妥 Microsoft 現有的 NDA,則該 NDA 的條款將套用至您提交的機密資訊。 如果您沒有與 Microsoft 搭配運作的 NDA,您在合作夥伴中心內簽署的發行者合約機密性條款將會套用至該機密資訊。

如何在 Microsoft 365 認證評量中安全地傳輸敏感性檔和辨識項?

Microsoft 目前沒有安全地共用此資訊的平臺。 建議您透過任何已備妥的安全機制來共用此資訊。 許多 ISV 會利用 OneDrive,並將已驗證的連結分享給 Microsoft 365 認證小組。

我們剛剛實作一些額外的安全性程式來符合一些 Microsoft 365 認證控制項,這是否表示我們必須等候 12 個月,才能進行認證?

否,Microsoft 認可您可能需要開發額外的安全性程式,以橋接現有安全性程式與 Microsoft 365 認證預期之間的差距。 Microsoft 365 認證小組會檢閱新開發的已記載程式,並檢閱該程式已執行至少一次的辨識項。 不需要額外的歷史辨識項,因為這不適用於這些新開發的程式。 12 個月後,年度評定期間會開始評估歷史辨識項的範例。

我負責提供什麼?

在評定期間,認證分析師會檢閱提供的檔和辨識項,以評估您是否符合 Microsoft 365 認證控制項。 在這項工作中,Microsoft 365 認證小組會要求包含架構詳細資料、圖表、資料儲存體詳細資料、應用程式設計詳細資料、原則和處理檔、組態檔和螢幕擷取畫面的資訊。 在某些情況下,或如果您比較容易,可以安排螢幕共用會話來顯示認證分析師辨識項。 如果要使用現有的合規性架構來支援評定活動,則需要適當的檔來示範外部稽核員/評估人員已評估並確認是否已就緒。 當支援檔無法提供必要的敘述來確切示範如何符合外部安全性架構內的控制項時,Microsoft 365 認證小組將無法利用外部安全性架構來支援 Microsoft 365 認證評定。

取得認證需要我變更目前的基礎結構嗎?

若要符合 Microsoft 365 認證,不太可能需要對基礎結構進行重大變更。 這些控制項是以業界安全性最佳做法為基礎,而且很可能已經實作。 我們已在大部分情況下看到;ISV 必須更新內部程式,以橋接目前工作做法與 Microsoft 365 認證內所需專案之間的差距。 如果這是一個問題,Microsoft 建議您檢閱最新的 Microsoft 365 認證控制項,可在 Microsoft 365 認證提交指南中找到,以確保您目前部署的環境和工作作法符合定義的控制項。

Microsoft 是否有特定元件/基礎結構/軟體的建議,應該用來滿足認證需求?

Microsoft 未提供解決方案的特定建議,以符合 Microsoft 365 認證控制項。 您可以使用任何商業或開放原始碼供應專案,前提是它們受到主動支援和維護。

完成評定需要多久時間?

一般而言,評量可能需要平均 30 天才能完成,不過這取決於許多變數。 完成的時間長度可能會因:用來支援應用程式/增益集的裝載環境大小、支援應用程式/增益集的裝載環境類型,以及提示 ISV 回應辨識項要求的方式而有所不同。

我需要為此程式配置多少時間?

大部分的工作只是及時收集檔和辨識項。 在這之後,每週應該不需要超過數小時的時間來完成評定程式。 可能會影響所需時間的一些變數為:環境大小會影響收集要求辨識項所需的時間量,以及是否有任何外部安全性架構可以用來支援評估。 在外部安全性架構就緒且可以提供足夠的支援檔時,認證分析師可以使用這些外部評量來滿足 Microsoft 365 控制項的子集,而不需要提供其他辨識項。

為什麼評量有固定的 60 天時間範圍?

我們已設定評量可以執行的時間長度限制,因為已經收集的辨識項可能會因為評量所花費的時間越長而過時。 這是時間點評估,因此需要配置適當的期間來完成。 在您提交初始檔提交之後,我們會回應辨識項的要求。 60 天的期間會在您收到辨識項要求時開始。 您應該閱讀 Microsoft 365 認證提交指南 ,而且您應該確信在提交初始辨識項提交之前,可以符合所有控制項。

如果評量未在 60 天的時間範圍內完成,會發生什麼事?

可惜的是,如果評定未在 60 天的時間範圍內完成,Microsoft 會將評定標示為失敗。 此標記僅適用于內部統計資料,永遠不會發佈。 您將能夠立即重新開機評定程式,但系統會要求您重新傳送新辨識項以支援新的應用程式。

Microsoft 365 認證需要多少費用?

目前,您可以免費完成 Microsoft 365 認證。

此計畫下的滲透測試成本為何?

如果您的應用程式必須進行滲透測試,但這不是您安全性活動的一部分,則可以在 Microsoft 365 認證下完成滲透測試,並且是免費的。 滲透測試的範圍僅限於 Microsoft 365 認證範圍內的應用程式和支援基礎結構。

您是否有行銷資料可用來公告我們的應用程式已通過認證的事實?

我們目前不提供促銷或行銷資料。 雖然我們鼓勵您告訴客戶您的應用程式已收到 Microsoft 365 認證,但唯一可用的圖形將是 AppSource 和 Microsoft Docs 頁面中應用程式清單上顯示的圖形。 如果有任何行銷資料可供使用,我們將更新這份檔。

執行評量時,您要尋找哪一層辨識項?

在 Microsoft 365 認證評量期間提供的辨識項必須能夠提供足夠的保證,確保您符合所評估的特定 Microsoft 365 認證控制項。 辨識項的格式可以是組態檔、設定或辨識項的螢幕擷取畫面、原則/程式檔或螢幕共用會話,以向認證分析師示範辨識項。 以下是兩個範例:

評定活動:「示範防毒軟體正在所有取樣的系統元件上執行。」 – 針對此控制項,您可以從範例中支援防毒程式的每個裝置提供螢幕擷取畫面,其中顯示防毒程式正在執行,或者,如果您有防毒軟體的集中式管理主控台,您或許可以從該管理主控台進行示範。

評定活動:「示範如何識別新的安全性弱點。」 – 此控制項來自修補程式管理區段。 其目的是您有正式記載的程式,可瞭解如何識別新的安全性弱點。 這可能在您的原始程式碼內,但也必須在支援環境中,例如 Windows 弱點、Web 相依性內的弱點 (例如 AngularJS、JQuery 等) 。 您應該要遵循一個已記載的程式來識別新的安全性弱點,因此應該提供記載的程式檔。 除了檔之外,您還需要提供正在遵循程式的辨識項;例如,如果您使用 npm 稽核之類的專案來檢查弱點的相依性,則提供報告範例將會提供辨識項。 如果您使用多個進程,也就是針對不同的系統元件,則必須提供所有進程的辨識項。