Microsoft 365 サーティフィケーション - 初期ドキュメント提出ガイド

最初のドキュメント提出は、認定資格の事前評価フェーズの一部です。 提供される情報は、認定アナリストに、評価の対象となるコントロールとシステム コンポーネントを特定するために必要な背景を提供します。 このドキュメントは、最初のドキュメントの提出に期待される内容の例としてのみ機能することを目的としています。 提供するドキュメントは、ソリューションの設計、実装、管理方法によって異なります。

アプリを実行するために使用されるホスティング環境またはサービス モデルは何ですか?

• サービスとしてのインフラストラクチャ (IaaS) は、クラウド サービス プロバイダーがインフラストラクチャ コンポーネントをホストするクラウド サービス モデルですが、ISV は、Virtual Machines/オペレーティング システム、データ ストア、ネットワーク コンポーネントなどのコンポーネントを個別にデプロイおよび管理する役割を引き続き担います。 その例としては、Azure Virtual Machine と Azure Disk Storage があります。
• サービスとしてのプラットフォーム (PaaS) は、インフラストラクチャ コンポーネントがクラウド サービス プロバイダーによって管理されるクラウド サービス モデルです。 ISV は、独自のアプリケーションとサービスのデプロイのみを担当します。 その例としては、Azure アプリ Services、Azure Functions、Azure CDN などがあります。
• このコンテキストでホストされる ISV は、クラウド サービス プロバイダーが使用されていないことを意味します。 ISV は、独自のサーバー、ディスク、ネットワークをオンプレミスで個別に物理的に管理します。
• このコンテキストのハイブリッドは、上記のモデルのうちの 1 つが使用されることを意味します。 たとえば、一部の ISV では、IaaS サービスと PaaS サービスの組み合わせを使用してアプリをサポートしたり、オンプレミスの ISV ホストコンポーネントを使用したり、クラウド サービス プロバイダーに他のコンポーネントをアウトソーシングしたりする場合があります。 その他のサービス モデルのいずれかを使用する場合は、[ハイブリッド] を選択します。

侵入テスト レポート

過去 12 か月以内に完了したことを示す日付を含む完全な侵入テスト レポートを含めます。

• このレポートは手動侵入テストから作成する必要があります。自動スキャン/テスト ツールの出力にすることはできません。
• このレポートには、アプリ/アドインの展開をサポートする環境と、アプリ/アドインの操作をサポートする追加の環境が含まれている必要があります。

システム コンポーネント インベントリ

サポート インフラストラクチャによって使用されるすべてのシステム コンポーネントの最新のインベントリ。 これは、評価フェーズの実行時のサンプリングに役立ちます。 環境に PaaS が含まれている場合は、使用されているすべての PaaS サービスの詳細を指定できる場合に便利です。

メモ： IaaS/PaaS には、ISV コントロールの下にあるハードウェアがありません。 この場合は、すべてのビジュアル リソースの一覧またはスクリーンショットを指定してください。

例:

資産名	資産の種類	説明	製造元	モデル
D212	Windows マシン	仮想コンピューター	該当なし	該当なし
LT101	ノート PC	ワークステーション	Microsoft	Surface 3
C2938	スイッチ	スイッチ	該当なし	該当なし
LXM2	Linux マシン	テスト マシン	該当なし	該当なし

ソフトウェア インベントリ

スコープ内環境内で使用されるすべてのソフトウェアとバージョンを含むすべてのソフトウェア資産の最新のインベントリ。

例:

ソフトウェア	発行者	バージョン	用途
Windows Server	Microsoft 2016	ビルド 14393	運用環境用のサーバー オペレーティング システム
Linux Ubuntu	該当なし	16.04 (Xenial)	DMZ 内で使用されているサーバー オペレーティング システム。
Esxi	Vmware	6.5.0 (ビルド 13004031)	仮想サーバーをサポートするために使用されます。
Mysql (Windows)	該当なし	8.0.2.1	チャット履歴を格納するデータベース サーバー。
Tomcat	Apache	7.0.92	カスタマー ポータル。
IIS	Microsoft	10.0	API をサポートします。

サード パーティの依存関係

現在実行中のバージョンのアプリ/アドインで使用されるすべての依存関係を示すドキュメント。

例:

Web の依存関係	使用中の現在のバージョン
Jquery	3.5.1
React	16.13.1
ブートス トラップ	.4.5.2
Express	4.17.1
Angular	10.0.14
AngularJS	1.8.0

パブリック IP アドレス

サポート インフラストラクチャで使用されるすべてのパブリック IP アドレスと URL の詳細。 これには、使用範囲を分割するために適切なセグメント化が実装されていない限り、環境に割り当てられたルーティング可能な完全な IP 範囲が含まれている必要があります (セグメント化の十分な証拠が必要になります)。

例:

URL	IP アドレス
https://portal.contoso.com	40.113.200.201
https://filesapi.contoso.com	40.113.200.201
https://customerapi.contoso.com	40.113.200.202
https://bot.contoso.com	40.113.200.202
N/A (ジャンプ サーバー)	40.113.200.200

リソース エンドポイント

API 名 エンドポイント アドレス Contoso Customer API https://customerapi.contoso.com Contoso Bot Service https://bot.contoso.com Contoso Files APIhttps://filesapi.contoso.com

内部開発されたリソース エンドポイントや外部リソース エンドポイントなど、アプリで使用されるすべての API エンドポイントの完全な一覧。 環境のスコープを理解するために、環境内の API エンドポイントの場所を指定します。

例:

API 名	エンドポイント アドレス
Contoso Customer API	https://customerapi.contoso.com
Contoso Bot Service	https://bot.contoso.com
Contoso Files API	https://filesapi.contoso.com
Microsoft Graph	https://graph.microsoft.com/v1.0/|

アーキテクチャ図

アプリ/アドインのサポート インフラストラクチャの概要を表す論理アーキテクチャ図。 これには、すべてのホスティング環境と、アプリ/アドインをサポートするサポート インフラストラクチャが含まれている必要があります。 この図では、認定アナリストがスコープ内のシステムを理解し、サンプリングを決定するのに役立つ、環境内のさまざまなサポート システム コンポーネントをすべて示す必要があります。 また、使用されるホスティング環境の種類も示します。ISV Hosted、IaaS、PaaS、または Hybrid。 PaaS が使用されている場合は、環境内でサポート サービスを提供するために使用されるさまざまな PaaS サービスを指定してください。

Data Flow図

次の詳細を示すフロー図:

• アプリ/アドインとの間のデータ フロー (顧客データを含む)。
• サポート インフラストラクチャ内のデータ フロー (該当する場合)
• 格納されるデータの場所と内容、外部サード パーティにデータを渡す方法 (サード パーティの詳細を含む)、オープン/パブリック ネットワークと保存中の転送中のデータの保護方法を示す図。

外部認定 (SOC2、PCI DSS、ISO27001) - 省略可能

SOC2、PCI DSS、または ISO27001 の認定を既に取得しており、認定されているアプリケーションの完全な範囲とサポート環境を含む過去 12 か月以内に発行されたレポートがある場合は、最初のドキュメントの提出時にこれを送信できます。 これを使用して、コントロールのサブセットを満たし、評価を迅速化しようとします。 ただし、これは Microsoft 365 認定資格を取得するために必要ありません。