Partager via

Automatiser la certification Microsoft 365 avec ACAT

  • Article

L’outil ACAT (App Compliance Automation Tool) peut être utilisé pour répondre à un ensemble spécifique de contrôles requis pour la certification Microsoft 365. Cet article explique comment utiliser ACAT pour accélérer la certification Microsoft 365.

Remarque

ACAT est actuellement en préversion publique et prend uniquement en charge les applications basées sur Microsoft Azure et Amazon Web Services (AWS). Les futures mises à jour incluront des fonctionnalités pour les applications basées sur d’autres clouds.

Remarque

Si vous souhaitez envoyer des commentaires à la préversion publique ACAT, remplissez ce formulaire. L’équipe produit ACAT effectuera un suivi avec vous dès que possible une fois que nous aurons obtenu vos messages.

Créer votre premier rapport de conformité pour intégrer ACAT

ACAT offre une visibilité supplémentaire sur la conformité d’une application via la création de rapports personnalisés. Les utilisateurs peuvent créer des rapports basés sur l’infrastructure cloud ou un environnement spécifique d’une application, par exemple, production, préproduction, etc.

  • Recherchez et lancez l’outil d’automatisation de la conformité des applications pour Microsoft 365 dans Portail Azure.
  • Sélectionnez Reports sur le côté gauche de l’écran.

Créer un rapport de conformité

  • Sélectionnez cette option Create new report pour créer votre premier rapport de conformité.

    • Concepts de base
      • Nom du rapport : le rapport de conformité doit avoir un nom unique et non redondant dans le locataire, composé d’une combinaison de chiffres, de lettres et de traits de soulignement. Il est recommandé d’inclure le nom de l’application ou de l’environnement spécifique dans le nom du rapport.
      • Heure de déclenchement : ACAT effectue des mises à jour quotidiennes des évaluations de conformité pour le rapport, offrant ainsi la flexibilité nécessaire pour définir une heure spécifique pour l’actualisation des évaluations dans un fuseau horaire désigné.
      • Ressources : définissez la limite de conformité de votre rapport en sélectionnant les ressources de votre infrastructure cloud. Utilisez les filtres pour rechercher les ressources appropriées, par exemple l’abonnement, le groupe de ressources, les étiquettes, etc. pour Azure, l’ID de compte et le type pour AWS.

    Conseil

    Vous devez créer une connexion avec AWS ou réutiliser la connexion existante avec AWS avant de sélectionner les ressources AWS pour le rapport.

    Configuration de base

    • Certification Microsoft 365
      • GUID de l’offre : le GUID de l’offre sert d’identificateur unique pour l’offre de la Place de marché dans l’Espace partenaires Microsoft, et il est essentiel de connecter le rapport de conformité aux offres de la Place de marché. Après avoir connecté le rapport de conformité aux offres de la Place de marché, vous pouvez utiliser le rapport de conformité pour accélérer le processus de certification Microsoft 365 pour vos offres de la Place de marché dans l’Espace partenaires. Sélectionnez En savoir plus pour obtenir le GUID de l’offre de votre application. Cette étape est facultative lors de la création du rapport initial et peut être configurée lorsque vous commencez à publier votre application.

    Configuration de la certification Microsoft 365

Remarque

Après avoir confirmé la configuration et créé le rapport de conformité, ACAT effectue également ces actions automatiquement pour collecter des données relatives à la conformité :

  • Activez le Microsoft Defender pour le cloud (niveau gratuit) et le service Automation (gratuit) pour votre abonnement.
  • Activez des stratégies personnalisées pour votre abonnement.

Remarque

Veuillez prévoir 24 heures pour qu’ACAT génère les évaluations de conformité initiales pour votre rapport en fonction de vos préférences spécifiées.

Auditer les évaluations de conformité avec votre rapport de conformité

Passez en revue les status d’exécution des rapports de conformité et effectuez des audits sur les évaluations de conformité.

  • Accédez à Reports gauche pour obtenir un résumé des rapports de conformité existants.

    • La status d’exécution affiche les status des mises à jour les plus récentes pour les évaluations de conformité :
      • Actif : les évaluations de conformité de ce rapport ont été correctement mises à jour.
      • Échec : ACAT a rencontré un échec lors de la mise à jour des évaluations de conformité lors de l’actualisation la plus récente. Les échecs peuvent provenir de configurations d’abonnement incorrectes ou d’un problème système avec ACAT. Reportez-vous aux conseils de récupération automatique fournis pour résoudre le problème.
      • Désactivé : le rapport de conformité a été désactivé (suspendu) manuellement par l’utilisateur. Cette fonctionnalité n’est actuellement pas activée en préversion publique.
    • Created At : l’affichage Créé à lors de la création du rapport de conformité.
    • Heure du dernier déclencheur et Heure du déclencheur suivant : ACAT met à jour les évaluations de conformité pour les rapports quotidiennement. L’heure du dernier déclencheur indique le moment où la dernière mise à jour a été lancée, tandis que l’heure du déclencheur Suivant indique l’heure planifiée pour la prochaine mise à jour du rapport.
    • Certification Microsoft 365 : passez en revue les status de conformité des contrôles spécifiques à la certification Microsoft 365.

    Liste des rapports de conformité

En plus d’accéder aux résumés généraux des rapports de conformité existants, vous pouvez explorer les détails de chaque évaluation de conformité. Sélectionnez le nom du rapport pour récupérer des détails d’évaluation spécifiques pour un audit plus approfondi.

Barre d’outils rapport de conformité

ACAT fournit une barre d’outils qui vous permet d’effectuer les actions suivantes :

  • Paramètres : modifiez la configuration du rapport de conformité.

    • Modifier les informations de base : modifiez la configuration de base du rapport.
    • Modifier des ressources : ajoutez ou supprimez des ressources en fonction de l’infrastructure cloud actuelle.
    • Modifier la configuration de l’application : modifiez la configuration de l’application pour aligner votre rapport sur le jeu de contrôles approprié. ACAT peut ajuster la status par défaut de certains contrôles en fonction de votre configuration. Par exemple, certains contrôles peuvent être modifiés en « N/A » status par défaut.
    • Modifier la configuration de la certification Microsoft 365 : configurez des GUID d’offre pour associer le rapport aux offres de la Place de marché dans l’Espace partenaires Microsoft.
    • Référentiel de preuves de configuration : configurez le référentiel de preuves pour stocker les preuves chargées.

    Paramètres de rapport

  • Télécharger le rapport : téléchargez les évaluations du rapport de conformité qui peuvent être partagées avec des partenaires à des fins de collaboration.

    • Rapport d’évaluation pour la révision de la certification Microsoft 365 (édition Analyste) : ce rapport PDF organise les évaluations de conformité par les contrôles de certification Microsoft 365. Si vous choisissez le rapport de conformité ACAT pendant la phase De document initial de conformité des applications dans l’Espace partenaires, il est automatiquement remis à l’analyste pour révision. En outre, vous avez la possibilité de le télécharger et de le charger manuellement en tant que preuve si nécessaire.
    • Rapport d’évaluation pour la collaboration des ingénieurs : ce rapport PDF organise les évaluations de conformité avec des informations internes basées sur des contrôles Microsoft Certification. Il est utilisé pour la collaboration d’équipe interne lors des audits de conformité.
    • Rapport d’évaluation pour la collaboration des ingénieurs : ce rapport Excel contient des informations au niveau des ressources et des évaluations de conformité correspondantes pour la collaboration d’équipe interne lors des audits de conformité.
    • Inventaire de l’infrastructure cloud : ce rapport Excel contient les détails des ressources de ce rapport de conformité, fournissant une description complète de l’inventaire cloud associé à votre application.

    Télécharger des rapports

  • Notifications : recevez des notifications de modification des paramètres de rapport de conformité ou contrôlez les évaluations status modification. En savoir plus sur la façon de recevoir des notifications via le webhook.

  • Intégration au pipeline CI/CD : ACAT vous permet de maintenir une conformité continue et automatisée pour votre application en s’intégrant en toute transparence aux pipelines CI/CD. En savoir plus sur l’intégration à GitHub Actions pipeline et sur l’intégration à d’autres pipelines avec des API REST.

  • Comment soumettre une demande de certification avec ACAT : Effectuez une validation rapide pour vérifier si ce rapport est prêt pour la certification et recevoir des conseils sur la façon de l’utiliser pour la certification dans l’Espace partenaires.

    Conseils sur la soumission de la certification avec ACAT

  • Afficher le diagramme d’architecture (préversion) : ACAT génère le diagramme d’architecture pour votre référence en fonction des données Azure Resource Graph.

ACAT vous permet d’examiner plus en détail le rapport et les évaluations de conformité.

  • Essentials indique le status et les paramètres du rapport de conformité.

    Éléments essentiels du rapport de conformité

  • Évaluations de contrôle - Vue de certification Microsoft 365

    • Les évaluations des contrôles sont organisées par domaines de sécurité de la certification Microsoft 365, familles de contrôles et contrôles.
      • Vous pouvez examiner la conformité status par responsabilité du client au niveau du contrôle individuel.
      • Dans la section Responsabilité du client, choisissez « Actions » pour accéder à la status de conformité des ressources associées et découvrir les étapes de correction des ressources ayant échoué.
      • Utilisez la recherche et les filtres pour rechercher des contrôles spécifiques en fonction de vos besoins.
        • Recherchez les contrôles par nom de contrôle ou par nom de responsabilité client.
        • Utilisez Control family pour filtrer par domaine de sécurité ou famille de contrôle.
        • Utilisez Control status pour filtrer les échecs de conformité actuels.
        • Utilisez Customer responsibility type pour filtrer par type CR automatisé ACAT.
        • Utilisez Cloud environment pour exclure la responsabilité du client pour un environnement cloud spécifique.
    • En savoir plus sur les status de conformité pour le contrôle et la responsabilité du client.

    Évaluations des rapports de conformité

Vérifier qu’un jeu de contrôles robuste est le point central de votre rapport de conformité

La certification Microsoft 365 propose un ensemble de contrôles approprié en fonction de la configuration de l’application. Vous devez terminer la configuration de l’application pour aligner votre rapport sur le jeu de contrôles approprié avant d’auditer les évaluations de conformité.

Répondre aux exigences de contrôle en soumettant des preuves pour votre solution de conformité

En plus de suivre les étapes de correction pour résoudre les échecs de conformité, vous pouvez également répondre aux exigences de conformité en chargeant des preuves pour votre propre solution.

Pour résoudre les problèmes de confidentialité, vous devez configurer initialement le référentiel de preuves. Créez ou sélectionnez le compte de stockage pour stocker les preuves des contrôles de certification Microsoft 365 de manière sécurisée. Une fois créé, le compte de stockage peut être utilisé pour tous les rapports.

Après avoir configuré le référentiel de preuves, si vous souhaitez répondre aux exigences de contrôle manuel ou répondre aux critères de contrôle avec votre propre solution, vous pouvez charger les preuves dans la responsabilité du client respectif. Après avoir chargé les preuves dans une responsabilité client, son status de conformité passe automatiquement à « Examen de conformité des applications requis ».

  • Sélectionnez Actions Responsabilité du client.

  • Développez la Upload evidence zone.

  • Parcourez et chargez vos fichiers de preuve locaux.

  • Envoyez des fichiers de preuve pour les stocker dans le référentiel de preuves.

    Charger des preuves

Pour les responsabilités client de collecte de preuves automatisées, si ACAT identifie les ressources prises en charge dans la liste des ressources de votre rapport ACAT, vous n’avez pas besoin de préparer les preuves manuellement. Au lieu de cela, ACAT peut résumer les données de conformité dans un fichier de preuve ACAT et les charger dans votre référentiel de preuves.

  • Sélectionnez une responsabilité client de collecte de preuves automatisée.
  • Sélectionnez Actions Responsabilité du client.
  • Développez la Remediation steps zone et passez en revue les types de ressources pris en charge qui peuvent être collectés en tant que preuves.
  • Développez la Upload evidence zone, puis sélectionnez le Collect evidence by ACAT bouton . Après la collecte des preuves, la preuve collectée par ACAT apparaît dans la liste des fichiers ci-dessous.
  • Passez en revue les preuves collectées par ACAT et chargez d’autres preuves si nécessaire.

Collecter automatiquement des preuves

Remarque

Pour différentes responsabilités client, ACAT peut collecter des preuves pour différents types de ressources. Toutefois, si ACAT n’identifie aucune ressource prise en charge dans votre rapport, vous devez préparer et charger manuellement les preuves de conformité dans ACAT. Pour obtenir des instructions plus détaillées, reportez-vous à la Remediation Steps section relative à chaque action de responsabilité du client.

Attention

Pour des raisons de confidentialité, ACAT ne peut pas actualiser automatiquement les preuves collectées. Si des modifications sont apportées à la ressource cible après la collecte des preuves, il est nécessaire de passer en revue les responsabilités du client concernées et de cliquer à nouveau sur le bouton Collecter les preuves par ACAT pour mettre à jour les preuves collectées par ACAT.

Utiliser votre premier rapport de conformité avec l’audit de certification Microsoft 365

Dans la barre d’outils du rapport, le fait de cliquer sur How to submit certifcation request with ACAT vous guide tout au long du parcours de l’ACAT à la certification Microsoft 365.

Envoyer la certification avec ACAT

En général, avant d’utiliser le rapport de conformité avec la certification Microsoft 365, vous devez configurer le offer GUID pour l’associer à vos offres de la Place de marché. Il existe deux options :

  • Pendant le processus de création du rapport de conformité, configurez le GUID de l’offre dans l’onglet Microsoft 365 Certification .
  • Si le rapport de conformité est déjà créé, accédez à Settings ce rapport de conformité pour configurer le GUID de l’offre.

Une fois le GUID de l’offre configuré, accédez à l’Espace partenaires Microsoft pour lancer la certification Microsoft 365.

  • Sélectionnez Initial DocumentationOui pour confirmer que vous utilisez ACAT.
  • Sélectionnez le rapport de conformité actif le plus à jour pour l’audit.

La certification Microsoft 365 envoie automatiquement les évaluations de conformité et vos preuves chargées aux auditeurs de certification, ce qui vous fait gagner du temps et des efforts.

Remarque

Vous pouvez utiliser uniquement le rapport de conformité actif pour la révision de la certification Microsoft 365. Par conséquent, lors de la sélection d’un rapport de conformité dans Partner Center pendant le processus de certification Microsoft 365, si le rapport attendu ne figure pas dans la liste, veuillez case activée la status d’exécution du rapport.

Remarque

Si vous avez déjà chargé les preuves sur les responsabilités du client, lorsque vous passez à Control Requirements la phase de certification Microsoft 365, ACAT les remet automatiquement à l’analyste pour révision.

Obtenir une vue d’ensemble générale de vos rapports de conformité

Vue d’ensemble fournit un status de haut niveau pour vos rapports de conformité. En savoir plus sur les status de conformité au moment de l’exécution.

Vue d’ensemble des status d’exécution

  • Rapports de conformité réglementaire actifs : cette vue d’ensemble vous donne les status de conformité pour chaque rapport actif.

Vue d’ensemble des status de conformité

Connecter d’autres environnements avec ACAT

En plus d’Azure, vous pouvez également connecter d’autres environnements avec ACAT, par exemple en connectant AWS pour une application basée à la fois sur Azure et AWS, en connectant GitHub pour permettre à ACAT de vous aider à collecter automatiquement des preuves, etc. ACAT vous amène à Microsoft Defender pour que cloud termine la connexion.

Se connecter avec AWS

  • Accédez à Environment settings sur la gauche pour parcourir toutes les connexions existantes.
  • Sélectionnez Add environment , puis choisissez Amazon Web Services de créer un connecteur avec AWS. Pour plus d’informations, consultez Connecter des comptes AWS à Microsoft Defender pour le cloud.
  • Une fois ce connecteur prêt, vous pouvez sélectionner des ressources AWS lors de la création du rapport de conformité.

En savoir plus