Automatizzare la certificazione Microsoft 365 con ACAT

Lo strumento di automazione della conformità delle app (ACAT) può essere usato per soddisfare un set specifico di controlli necessari per la certificazione Microsoft 365. Questo articolo descrive come usare ACAT per accelerare la certificazione Microsoft 365.

Nota

ACAT è attualmente disponibile in anteprima pubblica e supporta solo le app basate su Microsoft Azure e Amazon Web Services (AWS). Gli aggiornamenti futuri includeranno funzionalità per le app basate su altri cloud.

Nota

Per inviare commenti e suggerimenti all'anteprima pubblica di ACAT, compilare questo modulo. Il team del prodotto ACAT seguirà l'utente il prima possibile una volta ricevuti i messaggi.

Creare il primo report di conformità per l'onboarding di ACAT

ACAT offre una maggiore visibilità sulla conformità di un'applicazione tramite la creazione di report personalizzati. Gli utenti possono creare report in base all'infrastruttura cloud o a un ambiente specifico di un'app, ad esempio produzione, gestione temporanea e così via.

• Cercare e avviare App Compliance Automation Tool per Microsoft 365 in portale di Azure.
• Selezionare Reports sul lato sinistro dello schermo.

Passare a Report per creare un nuovo report di conformità

• Selezionare questa opzione Create new report per creare il primo report di conformità.

  • Informazioni generali
    • Nome report: il report di conformità deve avere un nome univoco e non duplicativo all'interno del tenant, costituito da una combinazione di numeri, lettere e caratteri di sottolineatura. È consigliabile includere il nome dell'app o dell'ambiente specifico nel nome del report.
    • Tempo di attivazione: ACAT esegue aggiornamenti giornalieri delle valutazioni di conformità per il report, offrendo la flessibilità necessaria per impostare un orario specifico per l'aggiornamento delle valutazioni in un fuso orario designato.
    • Risorse: definire il limite di conformità per il report selezionando le risorse dall'infrastruttura cloud. Usare i filtri per cercare risorse appropriate, ad esempio sottoscrizione, gruppo di risorse, tag e altro ancora per Azure, ID account e tipo per AWS.

  Consiglio

  È necessario creare una nuova connessione con AWS o riutilizzare la connessione esistente con AWS prima di selezionare le risorse AWS per il report.

  

  Configurazione di base per il report di conformità

  • Certificazione Microsoft 365
    • GUID offerta: il GUID dell'offerta funge da identificatore univoco per l'offerta del marketplace nel Centro per i partner Microsoft ed è la chiave per connettere il report di conformità alle offerte del marketplace. Dopo aver collegato il report di conformità con le offerte del marketplace, è possibile usare il report di conformità per accelerare il processo di certificazione microsoft 365 per le offerte del marketplace nel Centro per i partner. Selezionare Altre informazioni per ottenere il GUID dell'offerta dell'app. Questo passaggio è facoltativo durante la creazione iniziale del report e può essere configurato all'inizio della pubblicazione dell'app.

  

  Configurazione per la certificazione Microsoft 365

Nota

Dopo aver confermato la configurazione e creato il report di conformità, ACAT completerà automaticamente anche queste azioni per raccogliere i dati correlati alla conformità:

• Abilitare il Microsoft Defender per il cloud (livello gratuito) e il servizio di automazione (gratuito) per la sottoscrizione.
• Abilitare i criteri personalizzati per la sottoscrizione.

Nota

Consentire 24 ore per ACAT per generare le valutazioni di conformità iniziali per il report in base alle preferenze specificate.

Controllare le valutazioni di conformità con il report di conformità

Esaminare lo stato di runtime dei report di conformità ed eseguire controlli sulle valutazioni di conformità.

• Passare a Reports sinistra per un riepilogo dei report di conformità esistenti.

  • Lo stato di runtime mostra lo stato degli aggiornamenti più recenti per le valutazioni di conformità:
    • Attivo: le valutazioni di conformità per questo report sono state aggiornate correttamente.
    • Non riuscito: ACAT ha rilevato un errore durante l'aggiornamento delle valutazioni di conformità durante l'aggiornamento più recente. Gli errori possono derivare da configurazioni di sottoscrizione non corrette o da un problema di sistema con ACAT. Fare riferimento alle linee guida per il ripristino automatico fornite per risolvere il problema.
    • Disabilitato: il report di conformità è stato disabilitato (sospeso) manualmente dall'utente. Questa funzionalità non è attualmente abilitata nell'anteprima pubblica.
  • Creato in: il valore Creato in mostra quando viene creato il report di conformità.
  • Ora ultimo trigger e Ora di attivazione successiva: ACAT aggiorna quotidianamente le valutazioni di conformità per i report. L'ora ultimo trigger indica quando è stato avviato l'ultimo aggiornamento, mentre l'ora del trigger Successivo indica l'ora pianificata per l'aggiornamento del report successivo.
  • Certificazione Microsoft 365: esaminare lo stato di conformità dei controlli specifici della certificazione Microsoft 365.

  

  Elenco dei report di conformità esistenti.

Oltre ad accedere a riepiloghi generali dei report di conformità esistenti, è possibile approfondire i dettagli di ogni valutazione di conformità. Selezionare il nome del report per recuperare dettagli di valutazione specifici per un controllo più approfondito.

Barra degli strumenti per il report di conformità.

ACAT fornisce una barra degli strumenti che consente di eseguire le azioni seguenti:

• Impostazioni: modificare la configurazione del report di conformità.

  • Modificare le informazioni di base: modificare la configurazione di base del report.
  • Modificare le risorse: aggiungere o rimuovere risorse in base all'infrastruttura cloud corrente.
  • Modificare la configurazione dell'applicazione: modificare la configurazione dell'applicazione per allineare il report al set di controlli appropriato. ACAT può modificare lo stato predefinito di alcuni controlli in base alla configurazione, ad esempio alcuni controlli possono essere modificati in stato "N/D" per impostazione predefinita.
  • Modificare la configurazione della certificazione Microsoft 365: configurare i GUID dell'offerta per associare il report alle offerte del Marketplace nel Centro per i partner Microsoft.
  • Repository di prove di configurazione: configurare il repository di evidenze per archiviare le prove caricate.

  

• Scarica report: scarica le valutazioni del report di conformità che possono essere condivise con i partner per la collaborazione.

  • Report di valutazione per la revisione della certificazione Microsoft 365 (Analyst Edition): questo report PDF organizza le valutazioni di conformità dei controlli di certificazione microsoft 365. Se si sceglie il report di conformità ACAT durante la fase documento iniziale di Conformità app nel Centro per i partner, viene recapitato automaticamente all'analista per la revisione. Inoltre, è possibile scaricarlo e caricarlo manualmente come prova, se necessario.
  • Report di valutazione per la collaborazione tra ingegneri: questo report PDF organizza le valutazioni di conformità con informazioni interne in base ai controlli Microsoft Certification. Viene usato per la collaborazione interna del team durante i controlli di conformità.
  • Report di valutazione per la collaborazione tra ingegneri: questo report di Excel contiene le informazioni a livello di risorsa e le valutazioni di conformità corrispondenti per la collaborazione interna del team durante i controlli di conformità.
  • Inventario dell'infrastruttura cloud: questo report di Excel contiene i dettagli delle risorse di questo report di conformità, fornendo una descrizione completa dell'inventario cloud associato all'applicazione.

  

• Notifiche: ottenere le notifiche delle modifiche delle impostazioni del report di conformità o controllare la modifica dello stato delle valutazioni. Altre informazioni su come ricevere notifiche tramite webhook.

• Integrazione con la pipeline CI/CD: ACAT consente di mantenere la conformità continua e automatizzata per l'applicazione integrandosi facilmente con le pipeline CI/CD. Altre informazioni su come eseguire l'integrazione con GitHub Actions pipeline e su come eseguire l'integrazione con altre pipeline con le API REST.

• Come inviare una richiesta di certificazione con ACAT: eseguire una convalida rapida per assicurarsi che questo report sia pronto per la certificazione e ricevere indicazioni su come usarlo per la certificazione nel Centro per i partner.

  

  Come inviare una richiesta di certificazione con ACAT.

• View Architecture Diagram (anteprima): ACAT genera il diagramma dell'architettura per il riferimento in base ai dati di Azure Resource Graph.

ACAT consente di approfondire altri dettagli sul report e sulle valutazioni di conformità.

• Essentials indica lo stato e le impostazioni del report di conformità.

  

  Essentials del report di conformità.

• Valutazioni di controllo - Visualizzazione Certificazione Microsoft 365

  • Le valutazioni dei controlli sono organizzate dai domini di sicurezza della certificazione Microsoft 365, dalle famiglie di controlli e dai controlli.
    • È possibile esaminare lo stato di conformità in base alla responsabilità del cliente a livello di controllo individuale.
    • Nella sezione Responsabilità del cliente scegliere "Azioni" per accedere allo stato di conformità delle risorse associate e individuare i passaggi di correzione per le risorse non riuscite.
    • Usare la ricerca e i filtri per trovare controlli specifici in base alle proprie esigenze.
      • Cercare i controlli in base al nome del controllo o al nome della responsabilità del cliente.
      • Usare Control family per filtrare in base al dominio di sicurezza o alla famiglia di controlli.
      • Usare Control status per filtrare gli errori di conformità correnti.
      • Usare Customer responsibility type per filtrare in base al tipo di cr automatizzato ACAT.
      • Usare Cloud environment per filtrare la responsabilità del cliente per un ambiente cloud specifico.
  • Altre informazioni sullo stato di conformità per il controllo e la responsabilità del cliente.

  

  Valutazioni di conformità per il report di conformità.

Assicurarsi che un set di controlli affidabile sia il punto focale del report di conformità

La certificazione Microsoft 365 offre un set di controlli appropriato a seconda della configurazione dell'applicazione. È necessario completare la configurazione dell'applicazione per allineare il report al set di controlli appropriato prima di controllare le valutazioni di conformità.

• Se non si completa la configurazione dell'applicazione per il report, viene visualizzato un messaggio di avviso nella responsabilità del cliente corrispondente, che guida l'utente alle impostazioni di configurazione dell'applicazione.

  

  Messaggio di avviso e indicazioni sulla configurazione dell'applicazione.

• È anche possibile modificare l'impostazione application configuration dall'opzione Settings sulla barra degli strumenti del report.

  

  Impostazione di configurazione dell'applicazione.

Risolvere i requisiti di controllo inviando prove per la soluzione di conformità

Oltre a seguire i passaggi di correzione per risolvere gli errori di conformità, è anche possibile soddisfare i requisiti di conformità caricando le prove per la propria soluzione.

Per risolvere i problemi di privacy, è necessario configurare inizialmente il repository di prove. Creare o selezionare l'account di archiviazione per archiviare le prove per i controlli di certificazione Microsoft 365 in modo sicuro. Dopo la creazione, l'account di archiviazione può essere usato per tutti i report.

• Se non si configura il repository di prove, fare clic su Actions per verificare la responsabilità del cliente e visualizzare un messaggio di avviso nella sezione Upload Evidence (Carica prova) guiderà l'utente alle impostazioni del report corrispondenti.

  

  Messaggio di avviso e indicazioni sul repository di prove.

• È anche possibile modificare l'impostazione evidence repository dall'opzione Settings sulla barra degli strumenti del report.

  

  Configurazione dell'impostazione del repository di evidenze.

Dopo aver configurato il repository di prove, se si desidera soddisfare i requisiti di controllo manuale o soddisfare i criteri di controllo con la propria soluzione, è possibile caricare le prove per la rispettiva responsabilità del cliente. Dopo aver caricato le prove per una responsabilità del cliente, il relativo stato di conformità cambierà automaticamente in "Verifica della conformità delle app richiesta".

• Selezionare Actions in base alla responsabilità del cliente.

• Espandere l'area Upload evidence .

• Esplorare e caricare i file di prova locali.

• Inviare i file di prova per archiviarli nel repository di prove.

  

  Esplorare e caricare le prove.

Per le responsabilità dei clienti per la raccolta automatica delle prove, se ACAT identifica le risorse supportate nell'elenco di risorse del report ACAT, non è necessario preparare manualmente le prove. ACAT può invece riepilogare i dati di conformità in un file di prova ACAT e caricarli nel repository di prove.

• Selezionare una responsabilità del cliente per la raccolta automatica delle prove.
• Selezionare Actions in base alla responsabilità del cliente.
• Espandere l'area Remediation steps ed esaminare i tipi di risorse supportati che possono essere raccolti come prova.
• Espandere l'area Upload evidence e selezionare il Collect evidence by ACAT pulsante. Dopo la raccolta delle prove, l'evidenza raccolta da ACAT verrà visualizzata nell'elenco di file seguente.
• Esaminare le prove raccolte da ACAT e caricare altre prove, se necessario.

Raccogliere automaticamente le prove da ACAT.

Nota

Per responsabilità dei clienti diverse, ACAT può raccogliere prove per diversi tipi di risorse. Tuttavia, se ACAT non identifica le risorse supportate nel report, sarà necessario preparare e caricare manualmente le prove di conformità in ACAT. Per istruzioni più dettagliate, vedere la Remediation Steps sezione relativa a ogni azione di responsabilità del cliente.

Attenzione

A causa di considerazioni sulla privacy, ACAT non può aggiornare automaticamente le prove raccolte. In caso di modifiche alla risorsa di destinazione dopo la raccolta delle prove, è necessario esaminare le responsabilità dei clienti interessati e fare di nuovo clic sul pulsante Raccogli prove da ACAT per aggiornare le prove raccolte da ACAT.

Usare il primo report di conformità con il controllo della certificazione Microsoft 365

Sulla barra degli strumenti del report, fare clic su How to submit certifcation request with ACAT questa guida per l'intero percorso da ACAT a Certificazione Microsoft 365.

In generale, prima di usare il report di conformità con la certificazione Microsoft 365, è necessario configurare per offer GUID associarlo alle offerte del marketplace. Esistono due opzioni:

• Durante il processo di creazione del report di conformità, configurare il GUID dell'offerta nella Microsoft 365 Certification scheda .
• Se il report di conformità è già stato creato, passare a Settings questo report di conformità per configurare il GUID dell'offerta.

Dopo aver configurato il GUID dell'offerta, passare al Centro per i partner Microsoft per avviare la certificazione Microsoft 365.

• In Initial Documentation selezionare Sì per confermare l'uso di ACAT.
• Selezionare il report di conformità attivo più aggiornato per il controllo.

La certificazione Microsoft 365 invia automaticamente le valutazioni di conformità e le prove caricate ai revisori della certificazione, risparmiando tempo e impegno.

Nota

È possibile usare il report di conformità attivo solo per la verifica della certificazione di Microsoft 365. Pertanto, quando si seleziona un report di conformità in Partner Center durante il processo di certificazione di Microsoft 365, se il report previsto non è incluso nell'elenco, controllare lo stato di runtime del report.

Nota

Se sono già state caricate prove per le responsabilità del cliente, quando si passa alla Control Requirements fase di certificazione Microsoft 365, ACAT fornirà automaticamente le prove caricate all'analista per la revisione.

Ottenere una panoramica generale dei report di conformità

Panoramica fornisce uno stato generale per i report di conformità. Altre informazioni sullo stato di esecuzione del report di conformità.

Panoramica dello stato di runtime del report di conformità.

• Report di conformità alle normative attive: questa panoramica offre lo stato di conformità per ogni report attivo .

Panoramica dello stato di conformità per i report di conformità attivi.

Connettere altri ambienti con ACAT

Oltre ad Azure, è anche possibile connettere altri ambienti ad ACAT, ad esempio la connessione di AWS per l'applicazione basata su Azure e AWS, la connessione di GitHub per consentire ad ACAT di raccogliere le prove automaticamente e così via. ACAT consente di Microsoft Defender per il completamento della connessione da parte di Cloud.

Connettersi con AWS

• Passare a Environment settings a sinistra per esplorare tutte le connessioni esistenti.
• Selezionare Add environment e quindi scegliere Amazon Web Services di creare un connettore con AWS. È anche possibile ottenere altri dettagli da Connettere gli account AWS a Microsoft Defender per il cloud.
• Quando questo connettore è pronto, è possibile selezionare le risorse AWS durante la creazione del report di conformità.

Ulteriori informazioni

• Altre informazioni sulla certificazione Microsoft 365
• Mantenere l'applicazione conforme in modo continuo con ACAT
• Guida alla risoluzione dei problemi per ACAT