Automatizar a Certificação do Microsoft 365 com o ACAT

A Ferramenta de Automatização de Conformidade de Aplicações (ACAT) pode ser utilizada para cumprir um conjunto específico de controlos necessários para a Certificação do Microsoft 365. Este artigo descreve como utilizar o ACAT para agilizar a Certificação do Microsoft 365.

Observação

Atualmente, o ACAT está em pré-visualização pública e só suporta aplicações criadas com base no Microsoft Azure e no Amazon Web Services (AWS). As atualizações futuras incluirão funcionalidades para aplicações criadas noutras clouds.

Observação

Se quiser fornecer comentários à pré-visualização pública do ACAT, preencha este formulário. A equipa de produtos ACAT irá contactá-lo o mais rapidamente possível assim que recebermos as suas mensagens.

Criar o seu primeiro relatório de conformidade para integrar o ACAT

O ACAT dá visibilidade adicional à conformidade de uma aplicação através de relatórios personalizados. Os utilizadores podem criar relatórios com base na infraestrutura de cloud ou num ambiente específico de uma aplicação, por exemplo, produção, teste, etc.

• Pesquise e inicie a Ferramenta de Automatização de Conformidade de Aplicações para o Microsoft 365 no portal do Azure.
• Selecione Reports no lado esquerdo do ecrã.

Aceda a Relatórios para criar um novo relatório de conformidade

• Selecione Create new report para criar o seu primeiro relatório de conformidade.

  • Noções básicas
    • Nome do relatório: o relatório de conformidade tem de ter um nome exclusivo e não duplicado no inquilino, que consiste numa combinação de números, letras e carateres de sublinhado. É aconselhável incluir o nome específico da aplicação ou o nome do ambiente no nome do relatório.
    • Hora do acionador: o ACAT efetua atualizações diárias de avaliações de compatibilidade para o relatório, proporcionando a flexibilidade para definir um tempo específico para atualizar as avaliações num fuso horário designado.
    • Recursos: defina o limite de conformidade do relatório ao selecionar recursos da sua infraestrutura de cloud. Utilize os filtros para procurar recursos adequados, por exemplo, subscrição, grupo de recursos, etiquetas e muito mais para o Azure, o ID da conta e o tipo do AWS.

  Dica

  Tem de criar uma nova ligação com o AWS ou reutilizar a ligação existente com o AWS antes de selecionar recursos do AWS para relatório.

  

  Configuração básica para o relatório de conformidade

  • Certificação Microsoft 365
    • GUID da Oferta: o GUID da oferta serve como um identificador exclusivo para a oferta do marketplace no Centro de Parceiros da Microsoft e é a chave para ligar o relatório de conformidade às ofertas do marketplace. Depois de ligar o relatório de conformidade às ofertas do marketplace, pode utilizar o relatório de conformidade para agilizar o processo de Certificação do Microsoft 365 para as ofertas do marketplace no Centro de Parceiros. Selecione saiba mais para obter o GUID da oferta da sua aplicação. Este passo é opcional durante a criação do relatório inicial e pode ser configurado quando começar a publicar a sua aplicação.

  

  Configuração da Certificação do Microsoft 365

Observação

Depois de confirmar a configuração e criar o relatório de conformidade, o ACAT também concluirá estas ações automaticamente para recolher dados relacionados com a conformidade:

• Ative o Microsoft Defender para a Cloud (escalão gratuito) e o serviço de Automatização (gratuito) para a sua subscrição.
• Ative políticas personalizadas para a sua subscrição.

Observação

Aguarde 24 horas para que o ACAT gere as avaliações de compatibilidade iniciais do seu relatório com base nas suas preferências especificadas.

Auditar as avaliações de conformidade com o relatório de conformidade

Reveja a status de tempo de execução dos relatórios de conformidade e realize auditorias sobre avaliações de conformidade.

• Aceda à Reports esquerda para obter um resumo dos relatórios de conformidade existentes.

  • O status de tempo de execução mostra o status das atualizações mais recentes para avaliações de compatibilidade:
    • Ativo: as avaliações de compatibilidade deste relatório foram atualizadas com êxito.
    • Falha: o ACAT encontrou uma falha na atualização das avaliações de compatibilidade durante a atualização mais recente. As falhas podem resultar de configurações de subscrição incorretas ou de um problema de sistema com o ACAT. Veja as orientações de recuperação automática fornecidas para resolver e resolve o problema.
    • Desativado: o relatório de conformidade tinha sido desativado (em pausa) manualmente pelo utilizador. Esta funcionalidade não está atualmente ativada na pré-visualização pública.
  • Criado em: O Criado Em mostra quando o relatório de compatibilidade é criado.
  • Hora do último acionador e Hora do acionador seguinte: o ACAT atualiza as avaliações de compatibilidade dos relatórios diariamente. A Hora do último acionador significa quando a última atualização foi iniciada, enquanto a hora do acionador Seguinte indica a hora agendada para a próxima atualização do relatório.
  • Certificação do Microsoft 365: reveja o status de conformidade dos controlos específicos da Certificação do Microsoft 365.

  

  Lista de relatórios de conformidade existentes.

Além de aceder a resumos de alto nível de relatórios de conformidade existentes, pode analisar os detalhes de cada avaliação de compatibilidade. Selecione o nome do relatório para obter detalhes específicos da avaliação para uma auditoria mais detalhada.

Barra de ferramentas do relatório de conformidade.

O ACAT fornece uma barra de ferramentas que lhe permite realizar as seguintes ações:

• Definições: modifique a configuração do relatório de conformidade.

  • Editar informações básicas: edite a configuração básica do relatório.
  • Editar recursos: adicione ou remova recursos com base na infraestrutura de cloud atual.
  • Editar configuração da aplicação: edite a configuração da aplicação para alinhar o relatório com o conjunto de controlo adequado. O ACAT pode ajustar a status predefinida de determinados controlos com base na configuração, por exemplo, alguns controlos podem ser alterados para "N/D" status por predefinição.
  • Editar a configuração da Certificação do Microsoft 365: configure GUIDs de oferta para associar o relatório a ofertas do Marketplace no Centro de Parceiros da Microsoft.
  • Configurar o repositório de provas: configure o repositório de provas para armazenar as provas carregadas.

  

• Transferir relatório: transfira avaliações do relatório de conformidade que podem ser partilhadas com parceiros para colaboração.

  • Relatório de avaliação da Revisão da Certificação do Microsoft 365 (Edição do Analista): este relatório PDF organiza as avaliações de compatibilidade pelos controlos de Certificação do Microsoft 365. Se escolher o relatório de conformidade do ACAT durante a fase Documento Inicial da Conformidade da Aplicação no Centro de Parceiros, este é entregue automaticamente ao analista para revisão. Além disso, tem a opção de transferir e carregá-la manualmente como prova, se necessário.
  • Relatório de avaliação para colaboração de engenheiros: este relatório PDF organiza as avaliações de compatibilidade com informações internas com base em controlos de Microsoft Certification. É utilizado para colaboração interna em equipa durante auditorias de conformidade.
  • Relatório de avaliação para colaboração de engenheiros: este relatório do Excel contém informações ao nível dos recursos e avaliações de conformidade correspondentes para colaboração interna em equipa durante auditorias de conformidade.
  • Inventário da infraestrutura de cloud: este relatório do Excel contém os detalhes de recursos deste relatório de conformidade, fornecendo uma descrição abrangente do inventário da cloud associado à sua aplicação.

  

• Notificações: obtenha notificações das definições do relatório de compatibilidade para alterar ou controlar avaliações status alterar. Saiba mais sobre como receber notificações através do webhook.

• Integração com o pipeline CI/CD: o ACAT permite-lhe manter a conformidade contínua e automatizada para a sua aplicação ao integrar de forma totalmente integrada com pipelines de CI/CD. Saiba mais sobre como integrar com GitHub Actions pipeline e como integrar com outros pipelines com APIs REST.

• Como submeter um pedido de certificação com a ACAT: execute uma validação rápida para garantir que este relatório está pronto para certificação e receba orientações sobre como utilizá-lo para certificação no Centro de Parceiros.

  

  Como submeter um pedido de certificação com o ACAT.

• Ver Diagrama de Arquitetura (pré-visualização): o ACAT gera o diagrama de arquitetura para a sua referência com base nos dados do Azure Resource Graph.

O ACAT permite-lhe aprofundar mais detalhes sobre as avaliações de relatórios e conformidade.

• Essentials indica o status e as definições do relatório de conformidade.

  

  Essentials do relatório de conformidade.

• Avaliações de controlo - Vista de Certificação do Microsoft 365

  • As avaliações de controlo são organizadas por domínios de segurança de Certificação do Microsoft 365, famílias de controlo e controlos.
    • Pode rever o status de conformidade por responsabilidade do cliente ao nível do controlo individual.
    • Na secção responsabilidade do cliente, escolha "Ações" para aceder à status de conformidade dos recursos associados e detetar os passos de remediação para quaisquer recursos com falhas.
    • Utilize a pesquisa e os filtros para localizar controlos específicos com base nas suas necessidades.
      • Pesquise os controlos por nome de controlo ou nome de responsabilidade do cliente.
      • Utilize Control family para filtrar por domínio de segurança ou família de controlo.
      • Utilize Control status para filtrar as falhas de conformidade atuais.
      • Utilize Customer responsibility type para filtrar por tipo de CR automatizado ACAT.
      • Utilize Cloud environment para filtrar a responsabilidade do cliente por um ambiente de cloud específico.
  • Saiba mais sobre status de conformidade para o controlo e a responsabilidade do cliente.

  

  Avaliações de conformidade do relatório de conformidade.

Certifique-se de que um conjunto de controlo robusto é o ponto focal do relatório de conformidade

A Certificação do Microsoft 365 apresenta um conjunto de controlo adequado consoante a configuração da aplicação. Tem de concluir a configuração da aplicação para alinhar o relatório com o conjunto de controlo adequado antes de auditar as avaliações de compatibilidade.

• Se não concluir a configuração da aplicação para o relatório, tal resultará numa mensagem de aviso apresentada na responsabilidade correspondente do cliente, orientando-o para as definições de configuração da aplicação.

  

  Mensagem de aviso e documentação de orientação sobre a configuração da aplicação.

• Também pode editar a application configuration definição a partir da opção Settings na barra de ferramentas do relatório.

  

  Definição de configuração da aplicação.

Resolva os requisitos de controlo ao submeter provas para a sua solução de conformidade

Além de seguir os passos de remediação para resolver falhas de conformidade, também pode cumprir os requisitos de conformidade ao carregar provas para a sua própria solução.

Para resolver problemas de privacidade, tem de configurar o repositório de provas inicialmente. Crie ou selecione a conta de armazenamento para armazenar provas de controlos de Certificação do Microsoft 365 de forma segura. Depois de criada, a conta de armazenamento pode ser utilizada para todos os relatórios.

• Se não configurar o repositório de provas, clicar em Actions para qualquer responsabilidade do cliente e encontrar uma mensagem de aviso na secção Carregar Provas irá guiá-lo para as definições de relatório correspondentes.

  

  Mensagem de aviso e documentação de orientação sobre o repositório de provas.

• Também pode editar a evidence repository definição a partir da opção Settings na barra de ferramentas do relatório.

  

  Configuração da definição do repositório de provas.

Depois de configurar o repositório de provas, se quiser cumprir os requisitos de controlo manual ou cumprir os critérios de controlo com a sua própria solução, pode carregar provas para a respetiva responsabilidade do cliente. Após o carregamento de provas para uma responsabilidade do cliente, o respetivo status de conformidade será alterado automaticamente para "Revisão da conformidade da aplicação necessária".

• Selecione Actions sobre a responsabilidade do cliente.

• Expanda a Upload evidence área.

• Procure e carregue os seus ficheiros de provas locais.

• Submeta ficheiros de provas para armazená-los no repositório de provas.

  

  Procurar e carregar provas.

Para responsabilidades automatizadas de recolha de provas do cliente, se o ACAT identificar os recursos suportados na lista de recursos do seu relatório ACAT, não precisa de preparar as provas manualmente. Em vez disso, o ACAT pode resumir os dados de conformidade num ficheiro de provas ACAT e carregá-lo para o seu repositório de provas.

• Selecione uma responsabilidade automatizada do cliente de recolha de provas.
• Selecione Actions sobre a responsabilidade do cliente.
• Expanda a Remediation steps área e reveja os tipos de recursos suportados que podem ser recolhidos como prova.
• Expanda a Upload evidence área e selecione o Collect evidence by ACAT botão. Após a recolha de provas, as provas recolhidas pelo ACAT serão apresentadas na lista de ficheiros abaixo.
• Reveja as provas recolhidas pela ACAT e carregue mais provas, se necessário.

Recolha de provas automaticamente pela ACAT.

Observação

Para diferentes responsblities de clientes, o ACAT pode recolher provas de diferentes tipos de recursos. No entanto, se o ACAT não identificar quaisquer recursos suportados no seu relatório, terá de preparar e carregar manualmente as provas de conformidade para o ACAT. Para obter instruções mais detalhadas, consulte a Remediation Steps secção para cada ação de responsabilidade do cliente.

Cuidado

Devido a considerações de privacidade, o ACAT não consegue atualizar automaticamente as provas recolhidas. Se existirem alterações ao recurso de destino após a recolha de provas, é necessário rever as responsabilidades dos clientes afetados e clicar novamente no botão Recolher provas por ACAT para atualizar as provas recolhidas pela ACAT.

Utilizar o seu primeiro relatório de conformidade com a auditoria de Certificação do Microsoft 365

Na barra de ferramentas do relatório, clicar em How to submit certifcation request with ACAT orienta-o durante todo o percurso desde a Certificação ACAT até à Certificação do Microsoft 365.

Em geral, antes de utilizar o relatório de conformidade com a Certificação do Microsoft 365, tem de configurar o para o offer GUID associar às ofertas do marketplace. Há duas opções:

• Durante o processo de criação do relatório de conformidade, configure o GUID da oferta no Microsoft 365 Certification separador.
• Se o relatório de conformidade já estiver criado, aceda a Settings este relatório de conformidade para configurar o GUID da oferta.

Assim que o GUID da oferta estiver configurado, aceda ao Centro de Parceiros da Microsoft para iniciar a Certificação do Microsoft 365.

• Em Initial Documentation selecione Sim para confirmar que está a utilizar o ACAT.
• Selecione o relatório de conformidade ativo mais atualizado para a auditoria.

A Certificação do Microsoft 365 submete as avaliações de conformidade e as provas carregadas aos auditores de certificação automaticamente, poupando-lhe tempo e esforço.

Observação

Só pode utilizar o relatório de conformidade ativo para a revisão da Certificação do Microsoft 365. Assim, ao selecionar um relatório de conformidade no Partner Center durante o processo de Certificação do Microsoft 365, se o relatório esperado não estiver na lista, marcar o status de tempo de execução do relatório.

Observação

Se já tiver carregado provas para as responsabilidades do cliente, quando passar à Control Requirements fase da Certificação do Microsoft 365, a ACAT irá entregar as provas carregadas ao analista para revisão automaticamente.

Obter uma descrição geral de alto nível dos seus relatórios de conformidade

A Descrição geral fornece uma status de alto nível para os seus relatórios de conformidade. Saiba mais sobre status de tempo de execução do relatório de conformidade.

Descrição geral da status de tempo de execução do relatório de compatibilidade.

• Relatórios de Conformidade Regulamentar Ativos: esta descrição geral fornece-lhe os status de conformidade para cada relatório Ativo.

Descrição geral da status de conformidade para relatórios de conformidade ativos.

Ligar Outros Ambientes com o ACAT

Além do Azure, também pode ligar outros ambientes com o ACAT, por exemplo, ligar o AWS para aplicações criadas no Azure e no AWS, ligar o GitHub para permitir que o ACAT o ajude a recolher provas automaticamente, etc. O ACAT leva-o a Microsoft Defender para a Cloud concluir a ligação.

Ligar com o AWS

• Aceda à Environment settings esquerda para procurar todas as ligações existentes.
• Selecione Add environment e, em seguida, escolha Amazon Web Services criar um conector com o AWS. Também pode obter mais detalhes a partir de Ligar contas do AWS a Microsoft Defender para a Cloud.
• Assim que este conector estiver pronto, pode selecionar recursos do AWS ao criar o relatório de conformidade.

Saiba mais

• Saiba mais sobre a Certificação do Microsoft 365
• Manter a aplicação em conformidade continuamente com o ACAT
• Guia de resolução de problemas do ACAT