使用 ACAT 自动执行 Microsoft 365 认证

应用合规性自动化工具 (ACAT) 可用于满足Microsoft 365 认证所需的一组特定控制。 本文概述了如何使用 ACAT 加快Microsoft 365 认证。

注意

ACAT 目前为公共预览版,仅支持基于 azure 和 Amazon Web Services Microsoft构建的应用, (AWS) 。 未来的更新将包括针对基于其他云构建的应用的功能。

注意

若要向 ACAT 公共预览版提供反馈,请填写此 表单。 我们收到你的消息后,ACAT 产品团队将尽快跟进你。

创建用于加入 ACAT 的第一个合规性报告

ACAT 通过自定义报告增加了对应用程序合规性的可见性。 用户可以基于云基础结构或应用的特定环境(例如生产、过渡等)创建报表。

  • 在 Azure 门户 中搜索并启动适用于 Microsoft 365 的应用合规性自动化工具
  • 在屏幕左侧选择 Reports

创建合规性报告

  • 选择 以 Create new report 创建第一个符合性报告。

    • 基本信息
      • 报告名称:合规性报表在租户中必须具有唯一且不可删除的名称,由数字、字母和下划线组合组成。 建议在报表的名称中包含特定的应用名称或环境名称。
      • 触发时间:ACAT 对报表执行符合性评估的每日更新,从而灵活地设置在指定时区刷新评估的特定时间。
      • 资源:通过从云基础结构中选择资源来定义报表的符合性边界。 利用筛选器搜索适当的资源,例如,Azure 的订阅、资源组、标记等,以及 AWS 的帐户 ID 和类型。

    提示

    在为报表选择 AWS 资源之前,需要 与 AWS 创建新的连接 或重复使用与 AWS 的现有连接。

    基本配置

    • Microsoft 365 认证
      • 产品/服务 GUID:产品/服务 GUID 充当 Microsoft合作伙伴中心内市场产品/服务的唯一标识符,它是将合规性报告与市场产品/服务连接的关键。 将合规性报告与市场产品/服务连接后,可以使用合规性报告在合作伙伴中心为市场产品/服务加快Microsoft 365 认证过程。 选择“ 了解详细信息 ”以获取如何获取应用的产品/服务 GUID。 此步骤在初始报表创建过程中是可选的,可以在开始发布应用时进行配置。

    Microsoft 365 认证配置

注意

确认配置并创建合规性报告后,ACAT 还将自动完成这些操作以收集与合规性相关的数据:

  • 为订阅启用 (免费层Microsoft Defender) 和自动化服务 (免费) 。
  • 为订阅启用自定义策略。

注意

请让 ACAT 在 24 小时内根据指定的首选项为报告生成初始符合性评估。

使用合规性报告审核合规性评估

查看合规性报告的运行时状态,并针对合规性评估进行审核。

  • 转到 Reports 左侧,获取现有合规性报告的摘要。

    • 运行时状态 显示符合性评估的最新更新的状态:
      • 活动:已成功更新此报告的符合性评估。
      • 失败:ACAT 在最近刷新期间更新符合性评估时遇到失败。 失败的原因可能是不正确的订阅配置或 ACAT 的系统问题。 请参阅提供的自我恢复指南来解决问题。
      • 已禁用:已禁用合规性报告, (用户手动暂停) 。 此功能目前未在公共预览版中启用。
    • 创建位置创建 时间显示创建符合性报告时。
    • 上次触发时间和下一次触发时间:ACAT 每天更新报表的符合性评估。 上次触发时间表示上次更新的启动时间,而“下一次触发时间”指示下一次报表更新的计划时间。
    • Microsoft 365 认证:查看特定于 Microsoft 365 认证的控制措施的 符合性状态

    合规性报告列表

除了访问现有合规性报告的高级摘要外,还可以深入了解每个合规性评估的详细信息。 选择报告名称以检索特定评估详细信息,以便进行更彻底的审核。

合规性报告工具栏

ACAT 提供了一个工具栏,可用于执行以下操作:

  • 设置:修改合规性报告的配置。

    • 编辑基本信息:编辑报表的基本配置。
    • 编辑资源:根据当前云基础结构添加或删除资源。
    • 编辑应用程序配置:编辑应用程序配置,使报表与相应的控件集保持一致。 ACAT 可能会根据配置调整某些控件的默认状态,例如,默认情况下,某些控件可能会更改为“N/A”状态。
    • 编辑 Microsoft 365 认证配置:配置产品/服务 GUID 以将报表与 Microsoft 合作伙伴中心中的市场产品/服务相关联。
    • 配置证据存储库:配置证据存储库以存储上传的证据。

    报表设置

  • 下载报告:下载可与合作伙伴共享以便进行协作的合规性报告的评估。

    • Microsoft 365 认证评审的评估报告 (分析师版) :此 PDF 报告通过 365 认证控制Microsoft组织合规性评估。 如果在合作伙伴中心应用合规性的初始文档阶段选择 ACAT 合规性报告,则会自动将其传送给分析师以供审阅。 此外,可以选择根据需要下载并手动上传它作为证据。
    • 用于工程师协作的评估报告:此 PDF 报告根据Microsoft Certification控件使用内部信息组织合规性评估。 它在合规性审核期间用于内部团队协作。
    • 工程师协作的评估报告:此 Excel 报表包含资源级信息,以及合规性审核期间内部团队协作的相应合规性评估。
    • 云基础结构清单:此 Excel 报表包含此合规性报告的资源详细信息,提供与应用程序关联的云清单的综合说明。

    下载报表

  • 通知:获取合规性报告设置更改或控制评估状态更改的通知。 详细了解 如何通过 Webhook 接收通知

  • 与 CI/CD 管道集成:通过与 CI/CD 管道无缝集成,ACAT 使你能够保持应用程序的持续自动化合规性。 详细了解如何与 GitHub Actions 管道集成,以及如何通过 REST API 与其他管道集成

  • 如何使用 ACAT 提交认证请求:执行快速验证,确保此报告是否已准备好认证,并接收有关如何在合作伙伴中心使用它进行认证的指导。

    使用 ACAT 提交认证的指南

  • 查看体系结构图 (预览版) :ACAT 基于 Azure Resource Graph 数据生成供参考的体系结构关系图。

ACAT 使你能够深入了解有关报告和合规性评估的更多详细信息。

  • Essentials指示符合性报告的状态和设置。

    合规性报告要点

  • 控制评估 - Microsoft 365 认证视图

    • 控制评估由 Microsoft 365 认证安全域、控制系列和控制措施组织。
      • 可以在单个控制级别按客户责任查看符合性状态。
      • 在“客户责任”部分中,选择“操作”以访问关联资源的符合性状态,并发现任何失败资源的修正步骤。
      • 使用搜索和筛选器根据需要查找特定控件。
        • 按控件名称或客户责任名称搜索控件。
        • 使用 Control family 按安全域或控件系列进行筛选。
        • 用于 Control status 筛选当前符合性失败。
        • 使用 Customer responsibility type 按 ACAT 自动 CR 类型进行筛选。
        • 使用 Cloud environment 筛选出客户对特定云环境的责任。
    • 详细了解 控制和客户责任的合规性状态

    合规性报告评估

确保可靠的控制集是合规性报告的焦点

Microsoft 365 认证根据应用程序配置提供适当的控制集。 在审核合规性评估之前,需要完成应用程序配置,使报表与相应的控制集保持一致。

通过提交合规性解决方案的证据来满足控制要求

除了按照修正步骤解决合规性失败问题外,还可以通过上传自己的解决方案的证据来满足合规性要求。

若要解决隐私问题,需要首先配置证据存储库。 创建或选择存储帐户,以安全地存储 Microsoft 365 认证控制的证据。 创建后,存储帐户可用于所有报表。

配置证据存储库后,如果希望通过自己的解决方案满足手动控制要求或满足控制条件,可以将证据上传到相应的客户责任。 将证据上传到客户责任后,其符合性状态将自动更改为“需要应用合规性审查”。

  • 选择 Actions “客户责任”。

  • 展开区域 Upload evidence

  • 浏览并上传本地证据文件。

  • 提交证据文件以将其存储到证据存储库。

    上传证据

对于自动证据收集客户责任,如果 ACAT 在 ACAT 报表的资源列表中标识了支持的资源,则无需手动准备证据。 相反,ACAT 可以将合规性数据汇总到 ACAT 证据文件中,并将其上传到证据存储库。

  • 选择自动证据收集客户责任。
  • 选择 Actions “客户责任”。
  • 展开区域 Remediation steps 并查看可作为证据收集的支持资源类型。
  • 展开该区域 Upload evidence ,然后选择 Collect evidence by ACAT 按钮。 收集证据后,ACAT 收集的证据将显示在以下文件列表中。
  • 查看 ACAT 收集的证据,并在必要时上传更多证据。

自动收集证据

注意

对于不同的客户责任,ACAT 可以收集不同类型的资源的证据。 但是,如果 ACAT 未在报表中标识任何受支持的资源,则需要手动准备合规性证据并将其上传到 ACAT。 有关更详细的说明,请参阅 Remediation Steps 每个客户责任操作的部分。

警告

出于隐私考虑,ACAT 无法自动刷新收集的证据。 如果收集证据后目标资源发生任何更改,则需要查看受影响的客户责任,并再次单击“ 通过 ACAT 收集证据 ”按钮更新 ACAT 收集的证据。

将第一份合规性报告与 Microsoft 365 认证审核配合使用

在报表工具栏上,单击“单击 How to submit certifcation request with ACAT ”可引导你完成从 ACAT 到 Microsoft 365 认证的整个旅程。

使用 ACAT 提交认证

通常,在将合规性报告与 Microsoft 365 认证配合使用之前,需要配置 offer GUID 以将其与市场产品/服务相关联。 有两个选项:

  • 在创建符合性报告的过程中,在 Microsoft 365 Certification 选项卡中配置产品/服务 GUID。
  • 如果已创建符合性报告,请转到 Settings 此合规性报告以配置产品/服务 GUID。

配置产品/服务 GUID 后,请转到 Microsoft合作伙伴中心 启动Microsoft 365 认证。

  • Initial Documentation 中,选择“ ”以确认使用的是 ACAT。
  • 选择用于审核的最新 活动 符合性报告。

Microsoft 365 认证会自动向认证审核员提交合规性评估和上传的证据,从而节省时间和精力。

注意

只能将 活动 合规性报告用于 Microsoft 365 认证评审。 因此,在 Microsoft 365 认证过程中在 Partner Center 中选择符合性报告时,如果预期报告不在列表中,请检查报表的运行时状态。

注意

如果你已将证据上传到客户负责,则当你转到 Control Requirements Microsoft 365 认证阶段时,ACAT 将自动将上传的证据提供给分析师以供审阅。

获取合规性报告的高级概述

概述 为合规性报告提供高级状态。 详细了解 合规性报告的运行时状态

运行时状态概述

  • 活动法规合规性报告:此概述提供每个活动报表的符合性状态

符合性状态概述

使用 ACAT 连接其他环境

除了 Azure,还可以将其他环境与 ACAT 连接,例如,连接基于 Azure 和 AWS 构建的应用程序的 AWS、连接 GitHub 以启用 ACAT 来帮助自动收集证据等。ACAT 引导你Microsoft Defender for Cloud 完成连接。

使用 AWS 进行连接

  • Environment settings转到左侧以浏览所有现有连接。
  • 选择 Add environment ,然后选择 Amazon Web Services 使用 AWS 创建连接器。 还可以从将 AWS 帐户连接到 Microsoft Defender for Cloud 中了解更多详细信息。
  • 此连接器准备就绪后,可以在创建合规性报告时选择 AWS 资源。

了解详细信息