ACAT를 사용하여 Microsoft 365 인증 자동화
ACAT(앱 준수 자동화 도구)는 Microsoft 365 인증에 필요한 특정 컨트롤 집합을 충족하는 데 사용할 수 있습니다. 이 문서에서는 ACAT를 사용하여 Microsoft 365 인증을 신속하게 처리하는 방법을 간략하게 설명합니다.
참고
ACAT는 현재 공개 미리 보기로 제공되며 Microsoft Azure 및 AWS(Amazon Web Services)에서 빌드된 앱만 지원합니다. 향후 업데이트에는 다른 클라우드에서 빌드된 앱에 대한 기능이 포함됩니다.
참고
ACAT 공개 미리 보기에 피드백을 제공하려면 이 양식을 작성하세요. ACAT 제품 팀은 메시지를 받으면 가능한 한 빨리 후속 조치를 취합니다.
ACAT 온보딩을 위한 첫 번째 준수 보고서 만들기
ACAT는 사용자 지정 보고를 통해 애플리케이션의 규정 준수에 대한 추가 가시성을 제공합니다. 사용자는 클라우드 인프라 또는 앱의 특정 환경(예: 프로덕션, 스테이징 등)을 기반으로 보고서를 만들 수 있습니다.
- Azure Portal Microsoft 365용 앱 준수 자동화 도구를 검색하고 시작합니다.
- 화면 왼쪽에서 를 선택합니다
Reports
.
를 선택하여
Create new report
첫 번째 준수 보고서를 만듭니다.-
기본 사항
- 보고서 이름: 준수 보고서에는 숫자, 문자 및 밑줄의 조합으로 구성된 테넌트 내에서 고유하고 중복되지 않는 이름이 있어야 합니다. 보고서 이름에 특정 앱 이름 또는 환경 이름을 포함하는 것이 좋습니다.
- 트리거 시간: ACAT는 보고서에 대한 규정 준수 평가의 매일 업데이트를 수행하여 지정된 표준 시간대에서 평가를 새로 고치는 특정 시간을 유연하게 설정할 수 있습니다.
- 리소스: 클라우드 인프라에서 리소스를 선택하여 보고서의 규정 준수 경계를 정의합니다. 필터를 활용하여 Azure에 대한 구독, 리소스 그룹, 태그 등과 같은 적절한 리소스를 검색하고 AWS에 대한 계정 ID 및 형식을 검색합니다.
팁
보고서에 대한 AWS 리소스를 선택하기 전에 AWS를 사용하여 새 연결을 만들 거나 AWS와의 기존 연결을 다시 사용해야 합니다.
-
Microsoft 365 인증
- 제품 GUID: 제품 GUID는 Microsoft 파트너 센터에서 마켓플레이스 제품에 대한 고유 식별자 역할을 하며, 준수 보고서를 마켓플레이스 제품과 연결하는 데 핵심적인 역할을 합니다. 준수 보고서를 마켓플레이스 제품과 연결한 후 규정 준수 보고서를 사용하여 파트너 센터에서 마켓플레이스 제품에 대한 Microsoft 365 인증 프로세스를 신속하게 처리할 수 있습니다. 자세한 정보에서 를 선택하여 앱의 제품 GUID를 가져오는 방법을 가져옵니다. 이 단계는 초기 보고서를 만드는 동안 선택 사항이며 앱 게시를 시작할 때 구성할 수 있습니다.
-
기본 사항
참고
구성을 확인하고 규정 준수 보고서를 만든 후 ACAT는 다음 작업을 자동으로 완료하여 규정 준수 관련 데이터를 수집합니다.
- 구독에 클라우드용 Microsoft Defender(무료 계층) 및 Automation 서비스(무료)를 사용하도록 설정합니다.
- 구독에 대한 사용자 지정 정책을 사용하도록 설정합니다.
참고
ACAT에서 지정된 기본 설정에 따라 보고서에 대한 초기 규정 준수 평가를 생성하는 데 24시간이 걸립니다.
규정 준수 보고서를 사용하여 규정 준수 평가 감사
규정 준수 보고서의 런타임 상태 검토하고 규정 준수 평가에 대한 감사를 수행합니다.
왼쪽에서 으로
Reports
이동하여 기존 규정 준수 보고서에 대한 요약을 확인합니다.-
런타임 상태 준수 평가에 대한 최신 업데이트의 상태 보여 줍니다.
- 활성: 이 보고서에 대한 규정 준수 평가가 성공적으로 업데이트되었습니다.
- 실패: ACAT에서 가장 최근 새로 고침 중에 규정 준수 평가를 업데이트하는 데 실패했습니다. 오류는 잘못된 구독 구성 또는 ACAT의 시스템 문제에서 비롯될 수 있습니다. 문제를 해결하고 resolve 위해 제공된 자체 복구 지침을 참조하세요.
- 사용 안 함: 사용자가 준수 보고서를 수동으로 사용하지 않도록 설정(일시 중지)했습니다. 이 기능은 현재 공개 미리 보기에서 사용하도록 설정되지 않았습니다.
- 만든 날짜: 준수 보고서가 만들어지는 경우의 생성 날짜 표시입니다.
- 마지막 트리거 시간 및 다음 트리거 시간: ACAT는 매일 보고서에 대한 규정 준수 평가를 업데이트합니다. 마지막 트리거 시간은 마지막 업데이트가 시작된 시기를 나타내고, 다음 트리거 시간은 다음 보고서 업데이트의 예약된 시간을 나타냅니다.
- Microsoft 365 인증: Microsoft 365 인증과 관련된 컨트롤의 규정 준수 상태 검토합니다.
-
런타임 상태 준수 평가에 대한 최신 업데이트의 상태 보여 줍니다.
기존 규정 준수 보고서의 개략적인 요약에 액세스하는 것 외에도 각 규정 준수 평가의 세부 정보를 자세히 확인할 수 있습니다. 보고서 이름을 선택하여 보다 철저한 감사를 위해 특정 평가 세부 정보를 검색합니다.
ACAT는 다음 작업을 수행할 수 있는 도구 모음을 제공합니다.
설정: 준수 보고서의 구성을 수정합니다.
- 기본 정보 편집: 보고서의 기본 구성을 편집합니다.
- 리소스 편집: 현재 클라우드 인프라에 따라 리소스를 추가하거나 제거합니다.
- 애플리케이션 구성 편집: 애플리케이션 구성을 편집하여 보고서를 적절한 컨트롤 집합에 맞춥니다. ACAT는 구성에 따라 특정 컨트롤의 기본 상태 조정할 수 있습니다. 예를 들어 일부 컨트롤은 기본적으로 'N/A' 상태 변경될 수 있습니다.
- Microsoft 365 인증 구성 편집: Microsoft 파트너 센터의 마켓플레이스 제품과 보고서를 연결하도록 제품 GUID를 구성합니다.
- 증명 정보 리포지토리 구성: 업로드된 증거를 저장하도록 증거 리포지토리를 구성합니다.
보고서 다운로드: 공동 작업을 위해 파트너와 공유할 수 있는 규정 준수 보고서의 평가를 다운로드합니다.
- Microsoft 365 인증 검토(Analyst Edition)에 대한 평가 보고서: 이 PDF 보고서는 Microsoft 365 인증 컨트롤의 규정 준수 평가를 구성합니다. 파트너 센터에서 앱 준수의 초기 문서 단계에서 ACAT 규정 준수 보고서를 선택하면 검토를 위해 분석가에게 자동으로 전달됩니다. 또한 필요한 경우 증명 정보로 다운로드하여 수동으로 업로드할 수 있는 옵션이 있습니다.
- 엔지니어 협업을 위한 평가 보고서: 이 PDF 보고서는 Microsoft Certification 컨트롤을 기반으로 내부 정보를 사용하여 규정 준수 평가를 구성합니다. 규정 준수 감사 중에 내부 팀 협업에 활용됩니다.
- 엔지니어 공동 작업을 위한 평가 보고서: 이 Excel 보고서에는 규정 준수 감사 중에 내부 팀 협업을 위한 리소스 수준 정보 및 해당 규정 준수 평가가 포함되어 있습니다.
- 클라우드 인프라 인벤토리: 이 Excel 보고서에는 애플리케이션과 연결된 클라우드 인벤토리에 대한 포괄적인 설명을 제공하는 이 규정 준수 보고서의 리소스 세부 정보가 포함되어 있습니다.
알림: 규정 준수 보고서 설정 변경에 대한 알림을 받거나 변경 상태 평가를 제어합니다. 웹후크를 통해 알림을 받는 방법에 대해 자세히 알아봅니다.
CI/CD 파이프라인과의 통합: ACAT를 사용하면 CI/CD 파이프라인과 원활하게 통합하여 애플리케이션에 대한 연속적이고 자동화된 규정 준수를 유지할 수 있습니다. GitHub Actions 파이프라인과 통합하는 방법 및 REST API와 다른 파이프라인과 통합하는 방법에 대해 자세히 알아봅니다.
ACAT를 사용하여 인증 요청을 제출하는 방법: 신속한 유효성 검사를 수행하여 이 보고서가 인증 준비가 되었는지 확인하고 파트너 센터에서 인증에 활용하는 방법에 대한 지침을 받습니다.
아키텍처 다이어그램 보기(미리 보기): ACAT는 Azure Resource Graph 데이터를 기반으로 참조에 대한 아키텍처 다이어그램을 생성합니다.
ACAT를 사용하면 보고서 및 규정 준수 평가에 대한 자세한 내용을 자세히 확인할 수 있습니다.
Essentials 준수 보고서의 상태 및 설정을 나타냅니다.
제어 평가 - Microsoft 365 인증 보기
- 제어 평가는 Microsoft 365 인증 보안 도메인, 제어 패밀리 및 컨트롤에 의해 구성됩니다.
- 개별 제어 수준에서 고객의 책임에 따라 규정 준수 상태 검토할 수 있습니다.
- 고객 책임 섹션에서 '작업'을 선택하여 연결된 리소스의 규정 준수 상태 액세스하고 실패한 리소스에 대한 수정 단계를 검색합니다.
- 검색 및 필터를 사용하여 필요에 따라 특정 컨트롤을 찾습니다.
- 컨트롤 이름 또는 고객 책임 이름으로 컨트롤을 검색합니다.
- 보안 도메인 또는 제어 패밀리별로 필터링하는 데 사용합니다
Control family
. - 를 사용하여
Control status
현재 규정 준수 실패를 필터링합니다. - 를 사용하여
Customer responsibility type
ACAT 자동화 CR 형식으로 필터링합니다. - 를 사용하여
Cloud environment
특정 클라우드 환경에 대한 고객 책임을 필터링합니다.
- 제어 및 고객 책임에 대한 규정 준수 상태 대해 자세히 알아봅니다.
- 제어 평가는 Microsoft 365 인증 보안 도메인, 제어 패밀리 및 컨트롤에 의해 구성됩니다.
강력한 제어 집합이 규정 준수 보고서의 초점인지 확인합니다.
Microsoft 365 인증은 애플리케이션 구성에 따라 적절한 제어 집합을 제공합니다. 규정 준수 평가를 감사하기 전에 보고서를 적절한 컨트롤 집합에 맞추려면 애플리케이션 구성을 완료해야 합니다.
보고서에 대한 애플리케이션 구성을 완료하지 않으면 해당 고객 책임에 경고 메시지가 표시되어 애플리케이션 구성 설정으로 안내됩니다.
보고서 도구 모음의
application configuration
옵션에서Settings
설정을 편집할 수도 있습니다.
규정 준수 솔루션에 대한 증거를 제출하여 제어 요구 사항 해결
규정 준수 실패를 해결하기 위한 수정 단계를 따르는 것 외에도 자체 솔루션에 대한 증거를 업로드하여 규정 준수 요구 사항을 충족할 수도 있습니다.
개인 정보 보호 문제를 해결하려면 처음에 증거 리포지토리를 구성해야 합니다. Microsoft 365 인증 컨트롤에 대한 증거를 안전하게 저장할 스토리지 계정을 만들거나 선택합니다. 만든 후에는 스토리지 계정을 모든 보고서에 사용할 수 있습니다.
증거 리포지토리를
Actions
구성하지 않으면 고객 책임을 클릭하고 증거 업로드 섹션에서 경고 메시지가 표시되면 해당 보고서 설정으로 안내합니다.보고서 도구 모음의
evidence repository
옵션에서Settings
설정을 편집할 수도 있습니다.
증거 리포지토리를 구성한 후 수동 제어 요구 사항을 충족하거나 자체 솔루션으로 제어 조건을 충족하려는 경우 해당 고객 책임에 증거를 업로드할 수 있습니다. 고객의 책임에 증거를 업로드하면 규정 준수 상태 자동으로 '앱 준수 검토 필요'로 변경됩니다.
고객 책임에 대해 선택합니다
Actions
.영역을 확장합니다
Upload evidence
.로컬 증거 파일을 찾아 업로드합니다.
증거 파일을 제출하여 증거 리포지토리에 저장합니다.
자동화된 증거 수집 고객 책임의 경우 ACAT가 ACAT 보고서의 리소스 목록에서 지원되는 리소스를 식별하는 경우 증거를 수동으로 준비할 필요가 없습니다. 대신 ACAT는 규정 준수 데이터를 ACAT 증거 파일로 요약하고 증거 리포지토리에 업로드할 수 있습니다.
- 자동화된 증거 수집 고객 책임을 선택합니다.
- 고객 책임에 대해 선택합니다
Actions
. - 영역을
Remediation steps
확장하고 증거로 수집할 수 있는 지원되는 리소스 유형을 검토합니다. -
Upload evidence
영역을 확장하고 단추를 선택합니다Collect evidence by ACAT
. 증거 수집 후 ACAT에서 수집한 증거가 아래 파일 목록에 표시됩니다. - ACAT에서 수집한 증거를 검토하고 필요한 경우 더 많은 증거를 업로드합니다.
참고
다른 고객 지원의 경우 ACAT는 다양한 유형의 리소스에 대한 증거를 수집할 수 있습니다. 그러나 ACAT가 보고서에서 지원되는 리소스를 식별하지 않는 경우 준수 증거를 수동으로 준비하고 ACAT에 업로드해야 합니다. 자세한 지침은 각 고객 책임 작업에 대한 섹션을 참조 Remediation Steps
하세요.
주의
개인 정보 보호 고려 사항으로 인해 ACAT는 수집된 증거를 자동으로 새로 고칠 수 없습니다. 증거가 수집된 후 대상 리소스가 변경될 경우 영향을 받는 고객 책임을 검토하고 ACAT로 증거 수집 단추를 다시 클릭하여 ACAT에서 수집한 증거를 업데이트해야 합니다.
Microsoft 365 인증 감사에서 첫 번째 규정 준수 보고서 사용
보고서 도구 모음에서 How to submit certifcation request with ACAT
를 클릭하면 ACAT에서 Microsoft 365 인증으로의 전체 과정을 안내합니다.
일반적으로 규정 준수 보고서를 Microsoft 365 인증과 함께 사용하기 전에 을 구성 offer GUID
하여 마켓플레이스 제품과 연결해야 합니다. 다음 두 가지 옵션이 있습니다.
- 규정 준수 보고서를 만드는 동안 탭에서
Microsoft 365 Certification
제품 GUID를 구성합니다. - 준수 보고서가 이미 만들어진 경우 이 준수 보고서로
Settings
이동하여 제품 GUID를 구성합니다.
제품 GUID가 구성되면 Microsoft 파트너 센터로 이동하여 Microsoft 365 인증을 시작합니다.
- 에서
Initial Documentation
예를 선택하여 ACAT를 사용하고 있는지 확인합니다. - 감사에 대한 최신 활성 준수 보고서를 선택합니다.
Microsoft 365 인증은 규정 준수 평가 및 업로드된 증거를 인증 감사관에게 자동으로 제출하여 시간과 노력을 절약합니다.
참고
Microsoft 365 인증 검토에는 활성 규정 준수 보고서만 사용할 수 있습니다. 따라서 Microsoft 365 인증 프로세스 중에 에서 Partner Center
준수 보고서를 선택할 때 예상 보고서가 목록에 없는 경우 보고서의 런타임 상태 검사.
참고
고객 책임에 대한 증거를 이미 업로드한 경우 Microsoft 365 인증 단계로 전환 Control Requirements
하면 ACAT는 분석가에게 업로드된 증거를 자동으로 검토하도록 전달합니다.
규정 준수 보고서에 대한 개략적인 개요 가져오기
개요는 규정 준수 보고서에 대한 높은 수준의 상태 제공합니다. 준수 보고서의 런타임 상태 대해 자세히 알아봅니다.
- 활성 규정 준수 보고서: 이 개요는 각 활성 보고서에 대한 규정 준수 상태 제공합니다.
ACAT를 사용하여 다른 환경 연결
Azure 외에 다른 환경을 ACAT와 연결할 수도 있습니다. 예를 들어 Azure 및 AWS에서 빌드된 애플리케이션용 AWS 연결, GitHub를 연결하여 ACAT가 증거를 자동으로 수집하는 데 도움이 되도록 하는 등의 작업을 수행할 수 있습니다. ACAT를 사용하면 클라우드용 Microsoft Defender 연결을 완료할 수 있습니다.
AWS를 사용하여 연결
- 왼쪽으로
Environment settings
이동하여 모든 기존 연결을 찾습니다. - AWS를 사용하여 커넥터를 만들기 위해 선택한 다음 선택합니다
Add environment
Amazon Web Services
. AWS 계정을 클라우드용 Microsoft Defender 연결에서 자세한 내용을 알아볼 수도 있습니다. - 이 커넥터가 준비되면 규정 준수 보고서를 만들 때 AWS 리소스를 선택할 수 있습니다.