App Compliance Automation Tool für Microsoft 365
In diesem Artikel erfahren Sie, was das App Compliance Automation Tool für Microsoft 365 (ACAT) ist und wie es die Compliance vereinfacht und die Microsoft 365-Zertifizierung erhält.
Hinweis
ACAT befindet sich derzeit in der öffentlichen Vorschau und unterstützt nur Apps, die auf Microsoft Azure und Amazon Web Services (AWS) basieren. Zukünftige Updates enthalten Funktionen für Apps, die in anderen Clouds erstellt wurden.
Hinweis
Wenn Sie Feedback zur öffentlichen Vorschauversion von ACAT geben möchten, füllen Sie dieses Formular aus. Sobald wir Ihre Nachrichten erhalten, wird das ACAT-Produktteam so bald wie möglich mit Ihnen nachholen.
Was ist das App Compliance Automation Tool für Microsoft 365?
App Compliance Automation Tool für Microsoft 365 (ACAT) ist ein Dienst in Azure-Portal, der die Compliance-Journey für jede App vereinfacht, die Microsoft 365-Kundendaten nutzt und über Partner Center veröffentlicht wird. Es handelt sich um ein anwendungsorientiertes Tool zur Complianceautomatisierung, mit dem Sie die Microsoft 365-Zertifizierung einfacher und bequemer abschließen können.
Mit diesem Tool können Sie schnell die Compliancegrenze für Ihre Anwendungen definieren, die Complianceergebnisse automatisch überwachen und die Complianceüberwachung einfacher abschließen. Die Compliancegrenze ist die Cloudinfrastruktur, die die Bereitstellung der App und aller Back-End-Systeme unterstützt, mit denen die App kommuniziert.
ACAT bietet nicht nur einen schnelleren Weg zur Microsoft 365-Zertifizierung, sie kann Ihnen auch in verschiedenen Complianceszenarien für Microsoft 365-Anwendungen helfen:
- Detaillierte Ansicht und Korrekturschritte für Microsoft 365-Zertifizierungsaufgaben.
- Automatische tägliche Berichte über Compliancebewertungen, um Ihre Anwendungen kontinuierlich konform zu halten.
- Bewährte Methoden für Sicherheit und Compliance, die als Leitfaden in der frühen Phase ihres Anwendungslebenszyklus verwendet werden können.
Vorteile von ACAT
Anwendungsorientierte Compliance-Journey.
- ACAT meldet Konformitätsbewertungen für die Cloudumgebung Ihrer Anwendungen, die Sie in Ihre aktuelle Compliancestrategie der Cloudinfrastruktur integrieren können.
- Entwickler können ACAT auch während der App-Entwicklungsphase aufrufen, um potenzielle Compliancerisiken in der frühen Phase zu identifizieren.
Beschleunigt den Prozess der Microsoft 365-Zertifizierung.
- ACAT automatisiert bestimmte Microsoft 365-Zertifizierungskontrollen vollständig.
- Es gibt eine ständig wachsende Automatisierungsliste, die von Microsoft aktiv entwickelt wird.
Native Integration in den Microsoft 365-Zertifizierungsworkflow.
- ACAT ist vollständig in Partner Center für microsoft 365-Zertifizierungszwecke integriert.
Halten Sie Ihre Anwendung oder Umgebung kontinuierlich konform.
- ACAT stellt tägliche Aktualisierungen von Compliancebewertungen sicher und passt sie an Ihre angegebene Triggerzeiteinstellung an.
- Mit ACAT können Sie Compliancebewertungen nahtlos in GitHub Actions oder andere CI/CD-Pipelines integrieren und so eine kontinuierliche Überwachung sicherstellen.
Konzepte von ACAT
Bericht zur Einhaltung gesetzlicher Bestimmungen
In ACAT können Sie die Compliance-status der Anwendung überwachen, indem Sie dafür einen Konformitätsbericht erstellen. Sie können die Compliancegrenze für Ihre Anwendung definieren, indem Sie die Cloudressourcen angeben, die die Anwendung erstellen. Erstellen Sie mehrere Berichte für eine Anwendung basierend auf verschiedenen Entwicklungsumgebungen und -phasen.
Nachdem der Bericht erstellt wurde, beginnt ACAT mit der Erfassung der Konformitätsdaten für Ihre vordefinierte Triggerzeit und generiert dann die Konformitätsergebnisse als Bericht für Sie. In der Zwischenzeit überwacht ACAT kontinuierlich die Complianceänderungen für Ihren Compliancebericht, bis Sie den Bericht löschen möchten.
Microsoft 365-Zertifizierungssteuerung
ACAT beschleunigt die Microsoft 365-Zertifizierung durch Automatisierung der Compliancekontrollen. Basierend auf der Automatisierung status gibt es drei Arten von Compliance-Kontrollen, die in ACAT definiert sind.
- Vollständig automatisierte Kontrolle: Die Microsoft-Zertifizierungskontrolle wird vollständig von ACAT automatisiert.
- Teilweise automatisierte manuelle Steuerung: ACAT könnte Teilaufgaben der Microsoft 365-Zertifizierungssteuerung automatisieren. Sie müssen die Von ACAT bereitgestellten Anweisungen befolgen, um die verbleibenden Zuständigkeiten abzuschließen.
- Vollständige manuelle Kontrolle: Sie müssen die Anweisungen von ACAT befolgen, um alle Zuständigkeiten abzuschließen.
Langfristig verbessert ACAT die Automatisierungsabdeckung der Microsoft 365-Zertifizierungskontrollen kontinuierlich.
Verantwortlichkeit des Kunden
Jedem Steuerelement ist eine Reihe von Kundenzuständigkeiten zugeordnet, die erfüllt werden müssen. Sie sind Verantwortlichkeiten, die Sie in den folgenden Bereichen behalten: Daten, Endpunkte, Konto, Zugriffsverwaltung usw.
Manuelle Kundenverantwortung: Sie müssen Ihre Compliance-Nachweise vorbereiten und in ACAT hochladen. ACAT überträgt Dann Ihre Beweise an Partner Center, wenn Sie Ihren ACAT-Bericht übermitteln.
Automatisierte Bewertung der Kundenverantwortung: ACAT kann Daten für jede Verantwortung sammeln und ein Bewertungsergebnis bereitstellen. Sie müssen alle fehlerhaften Ressourcen beheben, indem Sie sie entweder korrigieren oder mehr Konformitätsnachweise bereitstellen, um den aktuellen Zustand der Ressource zu rechtfertigen.
Automatisierte Beweissammlung für Kunden: Für Berichte mit Ressourcen, die von der automatisierten Beweissammlungsfunktion von ACAT unterstützt werden, bietet ACAT optimierte Unterstützung bei der Vorbereitung von Compliancebeweisen durch einen einfachen Prozess zur Auswahl von Schaltflächen. Wenn in der Ressourcenliste des Berichts keine unterstützten Ressourcen vorhanden sind, behalten Sie weiterhin die Option zum manuellen Hochladen Ihrer Konformitätsbeweis bei.
Sowohl die automatisierte Bewertung als auch die automatisierte Beweissammlung von Kunden bieten Ihnen Abhilfemaßnahmen. Dies sind unsere Richtlinien, die Ihnen helfen, die Microsoft 365-Zertifizierungsstandards einzuhalten.
Hinweis
Kundenzuständigkeiten der automatisierten Bewertung werden täglich basierend auf der geplanten Triggerzeit verschoben. Die Kundenverantwortlichkeiten für die automatisierte Beweissammlung können jedoch nur bei Bedarf aktualisiert werden, indem Sie auf die Schaltfläche "Automatisierte Beweissammlung durch ACAT" klicken.
Grundlegendes zur Compliance status der Microsoft 365-Zertifizierungskontrollen
Im Bericht zur Einhaltung gesetzlicher Bestimmungen definiert ACAT die Zuständigkeiten des Kunden für jede vollständig automatisierte Steuerung und teilweise automatisierte manuelle Steuerung. Es gibt zwei Konformitätsstatus für die Kundenverantwortung.
- Bestanden: Die cloudbasierten Ressourcen, die für diese Kundenverantwortung gelten, sind fehlerfrei.
- Fehler: Mindestens eine Cloudressource ist fehlerhaft. Sie können die Korrekturschritte ausführen, um die fehlerhaften Ressourcen zu beheben.
- Nicht zutreffend: Es gelten keine Cloudressourcen für die Verantwortung des Kunden, oder diese Kundenverantwortung gilt basierend auf der Anwendungskonfiguration für diesen Bericht als nicht anwendbar.
- Überprüfung der App-Compliance erforderlich: Sie sammeln manuell Beweise und laden sie in diese Kundenverantwortung hoch. Ein Analyst führt eine gründliche Überprüfung durch, nachdem Sie die Microsoft 365-Zertifizierungsanforderung im Microsoft Partner Network eingereicht haben.
Die Konformitätsstatus der Microsoft 365-Zertifizierungskontrollen basieren auf den Compliancestatus der Kundenverantwortlichkeiten.
- Bestanden: Im status für dieses Microsoft 365-Zertifizierungssteuerelement ist keine Kundenverantwortung im status "Fehler" oder "Überprüfung der App-Compliance erforderlich" enthalten.
- Fehler: Mindestens eine Kundenverantwortung ist in Bezug auf diese Microsoft 365-Zertifizierungssteuerung fehlgeschlagen.
- Nicht zu erfahren: Alle Kundenverantwortlichkeiten für diese Microsoft 365-Zertifizierungssteuerung befinden sich im "N/A"-status.
- Überprüfung der App-Compliance erforderlich: Mindestens eine Kundenverantwortung ist im status "Überprüfung der App-Compliance erforderlich". Ein Analyst führt eine gründliche Überprüfung durch, nachdem Sie die Microsoft 365-Zertifizierungsanforderung im Microsoft Partner Network eingereicht haben.
Häufig gestellte Fragen
Was sind manuelle Steuerungen und teilweise automatisierte Steuerungen?
Jede Compliancekontrolle ist mit einer bestimmten Gruppe von Kundenzuständigkeiten verknüpft, wobei ACAT Compliancedaten entsprechend sammelt. Es ist wichtig zu beachten, dass ACAT jetzt nicht alle Kontrollen für die Microsoft 365-Zertifizierung abdeckt (obwohl anstrengungen unternommen werden, die Abdeckung zu erweitern). Bei teilweise automatisierten Kontrollen automatisiert ACAT bestimmte Aspekte der Kundenverantwortung. Die Bewertungsergebnisse einer teilweise automatisierten Kontrolle tragen zum Microsoft 365-Zertifizierungsaudit bei, und es sind weitere Maßnahmen ihrerseits erforderlich, um alle verbleibenden Anforderungen zu erfüllen. Für manuelle Kontrollen automatisiert ACAT derzeit jedoch keine Kundenverantwortlichkeiten.
Wie kann ich feststellen, ob die Steuerung vollständig automatisiert ist?
ACAT verbessert die Steuerungsautomatisierung kontinuierlich. Hier sehen Sie die aktuellen status der Steuerungsautomatisierung.
| Sicherheitsdomäne | Steuerelementfamilie | Kontrollnummer | ACAT-Automatisierungsstatus | ACAT Automation-Status für AWS |
|---|---|---|---|---|
| Betriebssicherheit | Bewusstseinstraining | Steuerelement 1 | Manuell | Manuell |
| Betriebssicherheit | Schutz vor Schadsoftware – Anti-Virus | Steuerelement 2 | Vollautomatisiert | Teilweise automatisiert |
| Betriebssicherheit | Schutz vor Schadsoftware – Anwendungssteuerung | Steuerung 3 | Manuell | Manuell |
| Betriebssicherheit | Patchverwaltung – Patching & Risk Ranking | Steuerung 4 | Manuell | Manuell |
| Betriebssicherheit | Patchverwaltung – Patching & Risk Ranking | Steuerung 5 | Teilweise automatisiert | Teilweise automatisiert |
| Betriebssicherheit | Prüfung auf Schwachstellen | Steuerung 6 | Vollautomatisiert | Teilweise automatisiert |
| Betriebssicherheit | Prüfung auf Schwachstellen | Steuerung 7 | Vollautomatisiert | Vollautomatisiert |
| Betriebssicherheit | Netzwerksicherheitskontrollen (Network Security Controls, NSC) | Steuerung 8 | Teilweise automatisiert | Manuell |
| Betriebssicherheit | Netzwerksicherheitskontrollen (Network Security Controls, NSC) | Steuerelement 9 | Teilweise automatisiert | Automatisierte Beweissammlung |
| Betriebssicherheit | Änderungssteuerung | Steuerelement 10 | Manuell | Manuell |
| Betriebssicherheit | Änderungssteuerung | Steuerelement 11 | Automatisierte Beweissammlung | Automatisierte Beweissammlung |
| Betriebssicherheit | Sichere Softwareentwicklung/-bereitstellung | Steuerelement 12 | Manuell | Manuell |
| Betriebssicherheit | Sichere Softwareentwicklung/-bereitstellung | Steuerelement 13 | Teilweise automatisiert | Teilweise automatisiert |
| Betriebssicherheit | Kontoverwaltung | Steuerelement 14 | Teilweise automatisiert | Teilweise automatisiert |
| Betriebssicherheit | Kontoverwaltung | Steuerelement 15 | Teilweise automatisiert | Teilweise automatisiert |
| Betriebssicherheit | Kontoverwaltung | Steuerung 16 | Teilweise automatisiert | Teilweise automatisiert |
| Betriebssicherheit | Sicherheitsereignisprotokollierung, Überprüfung und Warnung | Steuerelement 17 | Vollautomatisiert | Teilweise automatisiert |
| Betriebssicherheit | Sicherheitsereignisprotokollierung, Überprüfung und Warnung | Steuerelement 18 | Vollautomatisiert | Teilweise automatisiert |
| Betriebssicherheit | Sicherheitsereignisprotokollierung, Überprüfung und Warnung | Steuerung 19 | Manuell | Manuell |
| Betriebssicherheit | Sicherheitsereignisprotokollierung, Überprüfung und Warnung | Steuerelement 20 | Vollautomatisiert | Teilweise automatisiert |
| Betriebssicherheit | Informationssicherheits-Risikomanagement | Steuerelement 21 | Manuell | Manuell |
| Betriebssicherheit | Informationssicherheits-Risikomanagement | Steuerelement 22 | Manuell | Manuell |
| Betriebssicherheit | Informationssicherheits-Risikomanagement | Steuerelement 23 | Manuell | Manuell |
| Betriebssicherheit | Informationssicherheits-Risikomanagement | Steuerelement 24 | Manuell | Manuell |
| Betriebssicherheit | Reaktion auf Sicherheitsvorfälle | Steuerelement 25 | Manuell | Manuell |
| Betriebssicherheit | Reaktion auf Sicherheitsvorfälle | Steuerelement 26 | Manuell | Manuell |
| Betriebssicherheit | Reaktion auf Sicherheitsvorfälle | Steuerelement 27 | Manuell | Manuell |
| Betriebssicherheit | Business Continuity Plan (BCP) und Notfallwiederherstellungsplan | Steuerelement 28 | Automatisierte Beweissammlung | Manuell |
| Betriebssicherheit | Business Continuity Plan (BCP) und Notfallwiederherstellungsplan | Steuerelement 29 | Automatisierte Beweissammlung | Manuell |
| Betriebssicherheit | Business Continuity Plan (BCP) und Notfallwiederherstellungsplan | Steuerelement 30 | Manuell | Manuell |
| Datenverarbeitung Sicherheit & Datenschutz | Daten während der Übertragung | Steuerelement 1 | Vollautomatisiert | Vollautomatisiert |
| Datenverarbeitung Sicherheit & Datenschutz | Daten während der Übertragung | Steuerelement 2 | Vollautomatisiert | Vollautomatisiert |
| Datenverarbeitung Sicherheit & Datenschutz | Ruhende Daten | Steuerung 3 | Vollautomatisiert | Vollautomatisiert |
| Datenverarbeitung Sicherheit & Datenschutz | Datenaufbewahrung, Sicherung und Entsorgung | Steuerung 4 | Manuell | Manuell |
| Datenverarbeitung Sicherheit & Datenschutz | Datenaufbewahrung, Sicherung und Entsorgung | Steuerung 5 | Manuell | Manuell |
| Datenverarbeitung Sicherheit & Datenschutz | Datenaufbewahrung, Sicherung und Entsorgung | Steuerung 6 | Automatisierte Beweissammlung | Manuell |
| Datenverarbeitung Sicherheit & Datenschutz | Datenaufbewahrung, Sicherung und Entsorgung | Steuerung 7 | Teilweise automatisiert | Manuell |
| Datenverarbeitung Sicherheit & Datenschutz | Datenzugriffsverwaltung | Steuerung 8 | Automatisierte Beweissammlung | Manuell |
| Datenverarbeitung Sicherheit & Datenschutz | Datenzugriffsverwaltung | Steuerelement 9 | Manuell | Manuell |
| Datenverarbeitung Sicherheit & Datenschutz | Datenschutz | Steuerelement 10 | Manuell | Manuell |
| Datenverarbeitung Sicherheit & Datenschutz | Datenschutz | Steuerelement 11 | Automatisierte Beweissammlung | Manuell |
| Datenverarbeitung Sicherheit & Datenschutz | DSGVO | Steuerelement 12 | Automatisierte Beweissammlung | Manuell |
| Datenverarbeitung Sicherheit & Datenschutz | DSGVO | Steuerelement 13 | Manuell | Manuell |
| Datenverarbeitung Sicherheit & Datenschutz | HIPAA | Steuerelement 14 | Manuell | Manuell |
| Datenverarbeitung Sicherheit & Datenschutz | HIPAA | Steuerelement 15 | Manuell | Manuell |
Hinweis
ACAT Automation Status gibt an, welchen Automatisierungsumfang ACAT Ihnen dabei helfen kann, den Konformitätsbeweis für ein Steuerelement vorzubereiten.
- Manuell: Sie müssen alle Compliance-Nachweise für jede Kundenverantwortung unter dieser Kontrolle manuell vorbereiten.
- Teilautomatisiert: Dieses Steuerelement umfasst eine Mischung aus Kundenzuständigkeiten, einschließlich automatisierter Bewertungen, automatisierter Beweissammlung und manueller Kundenzuständigkeit. Sie müssen alle fehlgeschlagenen Kundenzuständigkeiten beheben und das Feature für die automatisierte Beweissammlung für die Beweissammlung nutzen. Stellen Sie für manuelle Zuständigkeiten sicher, dass Sie die erforderlichen Compliance-Nachweise bereitstellen und in die ACAT hochladen.
- Vollständig automatisiert: Alle Kundenverantwortlichkeiten, die dieser Kontrolle unterliegen, sind entweder die Verantwortlichkeiten des Kunden für die automatisierte Bewertung oder die automatisierte Beweissammlung des Kunden.
Warum ist die Kundenverantwortung fehlgeschlagen?
Es gibt mehrere mögliche Gründe für eine fehlgeschlagene Kundenverantwortung:
- Es wird dringend empfohlen, zuerst die Anwendungskonfigurationseinstellungen abzuschließen, da ACAT die Standard-status bestimmter Steuerelemente basierend auf Ihrer Konfiguration anpasst.
- Bei manuellen Kundenverantwortungsfällen wird die Standard-status als Erinnerung auf "fehlgeschlagen" festgelegt, um den Beispielbeweisleitfaden zu befolgen, um Beweise manuell zu sammeln und hochzuladen.
- Für fälle der kundenverantwortlichen automatisierten Beweissammlung können Sie die ACAT-Lösung
Remidiation stepsfür jede Kundenverantwortung übernehmen und dann ACAT auslösen, um beweise automatisch zu sammeln. Alternativ können Sie den Beispielbeweisleitfaden befolgen, um Beweise manuell für Ihre eigene Lösung zu sammeln und hochzuladen. - Bei automatisierten Bewertungsfällen in Kundenverantwortung können Sie entweder die ACAT-Lösungen in
Remidiation stepsfür jede Kundenverantwortung befolgen oder den Beispielbeweisleitfaden befolgen, um Beweise manuell für Ihre eigene Lösung zu sammeln und hochzuladen.
Tipp
Das Beheben aller Fehler in ACAT ist nicht obligatorisch. Sie können die "fehlgeschlagene" status in ACAT beibehalten und stattdessen Ihre eigenen Nachweise in Partner Center hochladen, nachdem Sie eine Zertifizierungsüberprüfung initiiert haben. Auf diese Weise können Sie alle Probleme oder Fragen zur spezifischen Kontrolle zuerst mit Ihrem Prüfer besprechen.
Warum zeigt ACAT eine Warnmeldung an, in der ich aufgefordert wird, Änderungen an den Anwendungskonfigurationseinstellungen zu bestätigen?
Die application configuration Einstellung ist wichtig, da ACAT die Standard-status bestimmter Steuerelemente basierend auf Ihrer Konfiguration anpasst, z. B. werden einige Steuerelemente standardmäßig in "N/A" geändert, status.
Wenn Sie die application configuration Einstellungen ändern, überprüft ACAT diese anhand der von Ihnen ausgewählten Cloudressourcen und zeigt eine Warnmeldung an, wenn Ihre Konfiguration möglicherweise falsch ist. Der Zertifizierungsprüfer überprüft diese Einstellungen auch während der Initial Document Submission Phase der Microsoft 365-Zertifizierung.
Ich habe die vorgeschlagenen Änderungen basierend auf dem Korrekturvorschlag vorgenommen, aber das Steuerelement schlägt immer noch fehl.
Nachdem Sie Korrekturmaßnahmen ergriffen haben, um den Fehler zu beheben, lassen Sie ACAT Zeit, um aktualisierte Bewertungsergebnisse für die Steuerung status abzurufen. Die Bewertungen werden alle 24 Stunden gemäß Ihrer vorgegebenen Triggerzeit durchgeführt.
Wird der Beweis in ACAT gespeichert?
Bevor Sie Beweise manuell in ACAT hochladen oder ACAT erlauben, Beweise automatisch zu sammeln, werden Sie aufgefordert, Ihr eigenes Speicherkonto als Beweisrepository über die Evidence Repository Einstellung zu konfigurieren. Alle Beweise werden in Ihrem angegebenen Speicherkonto gespeichert. Nachdem Sie die Microsoft 365-Zertifizierungsüberprüfung im Partner Center übermittelt und einen bestimmten ACAT-Bericht ausgewählt haben, hilft ACAT bei der Übermittlung des ACAT-Complianceberichts, automatisch gesammelten Beweisen und manuell hochgeladenen Beweisen an den Zertifizierungsprüfer.
Wie wird der Compliancebericht im Zertifizierungsprozess verwendet?
ACAT ist nahtlos in Partner Center integriert, um Ihre Microsoft 365-Zertifizierungsjourney abzuschließen. Erfahren Sie mehr über die Verwendung von Complianceberichten, um die Microsoft 365-Zertifizierung zu beschleunigen.