Microsoft 365 认证常见问题解答

下面是 ISV (独立软件供应商在开始Microsoft 365 认证时) 提出的一些常见问题。 如果存在此处未涵盖的任何查询，请通过 AppCert@Microsoft.com联系 Microsoft 365 应用认证团队。 本文档针对 ISV，有关 Microsoft 365 安全性和合规性计划的一般信息可在 Microsoft 365 应用合规性计划页中找到。

否，获取这些行业认可的框架之一不是Microsoft 365 认证的要求。

简短的回答是“是”。 目前，Microsoft 365 认证规范接受 PCI DSS、SOC 2 和ISO27001外部框架的证据。 Microsoft 365 认证提交指南已映射这些现有外部框架的对齐位置：但是，我们发现在某些情况下，现有的标准/框架没有充分一致。 因此，Microsoft 365 认证团队将对提供的标准/框架证据进行审查，并标记满足 Microsoft 365 认证中的哪些控制措施。

Microsoft不需要对Microsoft 365 认证的 GDPR 符合性进行独立审查，因为这是一种/或一种方案，我们将接受自我证明，当未进行外部审查时，我们可以独立验证这些证明。 由于这更多的是评估，而不是审核，并且关于我们在流程中收集的证据 - 审查隐私策略和内部流程是我们接近 GDPR 控制的方式。 出于我们在 GDPR 控制中寻找的内容的目的，它主要涉及审查隐私策略，以确保它们满足基本的 GDPR 要求;例如，正在处理哪些个人数据、处理的合法性、指出数据主体权利、用户将如何执行主题访问请求 (SAR) 、ISV 将如何执行 SA、ISV 公司详细信息和数据保留详细信息。

是的，根据发现的问题，可能需要重新测试。 认证分析师将审查现有报告，并提供有关后续步骤的建议。 由于渗透测试是作为 Microsoft 365 认证的一部分提供的，因此可以通过新的渗透测试免费解决。

是的，您提交的某些信息将是公共信息，有些信息可能是机密信息。 如果现有 NDA 与Microsoft，则该 NDA 的条款将适用于您提交的机密信息。 如果你没有与Microsoft的 NDA，你在合作伙伴中心内签署的发布者协议的保密条款将适用于该机密信息。

目前，Microsoft建议使用合作伙伴中心安全地共享此信息。 许多 ISV 将利用合作伙伴中心来确保其数据安全高效地共享。

否，Microsoft承认可能需要开发其他安全流程，以弥合现有安全流程与 Microsoft 365 认证预期之间的差距。 Microsoft 365 认证团队将审查新开发的记录流程，并将审查证明该过程至少进行了一次的证据。 此外，不需要历史证据，因为这将不适用于这些新开发的过程。 十二个月后，在年度评估期间将开始评估历史证据样本。

在评估期间，认证分析师将审查所提供的文档和证据，以评估你是否符合 Microsoft 365 认证控制措施。 作为这项工作的一部分，Microsoft 365 认证团队将请求信息，其中包括体系结构详细信息、关系图、数据存储详细信息、应用设计详细信息、策略和流程文档、配置文件和屏幕截图。 在某些情况下，或者如果比较容易，可以安排屏幕共享会话来显示认证分析师的证据。 如果要使用现有合规性框架来支持评估活动，则需要提供足够的文档，证明外部审计员/评估员已评估和确认的内容。 如果支持文档无法提供必要的说明来准确说明如何满足外部安全框架内的控制，Microsoft 365 认证团队将无法利用外部安全框架来支持Microsoft 365 认证评估。

满足 Microsoft 365 认证不太可能需要对基础结构进行重大更改。 这些控制措施基于行业安全最佳做法，很可能已实现。 我们在大多数情况下都看到了：ISV 必须更新内部流程，以弥合当前工作实践与Microsoft 365 认证要求之间的差距。 如果存在此问题，Microsoft建议查看可在 Microsoft 365 认证概述中找到的最新 Microsoft 365 认证 控制措施，以确保当前部署的环境和工作实践符合定义的控制措施。

Microsoft不提供满足 365 认证控制Microsoft解决方案的具体建议。 可以使用任何商业或开放源代码产品/服务，前提是它们受到积极支持和维护。

通常，从完整证据审查阶段开始，评估平均可能需要 60 天才能完成。 但是，这可以取决于许多变量，例如：用于支持应用/外接程序的托管环境的大小、支持应用/外接程序的托管环境类型，以及 ISV 在响应证据请求时的提示方式。

大部分工作只是及时收集文件和证据。 之后，它不应要求每周完成评估过程超过几个小时。 可能影响所需时间的一些变量包括环境的大小以及是否有任何外部安全框架可用于支持评估。

我们已对可以执行评估的时间长度设置了限制，因为已收集的证据可能会过时，评估所需的时间越长。 这是一个时间点评估，因此需要为完成分配适当的时间段。 在你提交初始文档提交并且我们已成功确定适用于你的环境的控制范围后，我们将以证据请求进行响应。 此阶段称为完整证据审查。 应阅读 Microsoft 365 认证概述 ，在提交初始文档提交之前，应确信可以满足所有控制措施。

遗憾的是，如果在 60 天的时间范围内未完成评估，Microsoft将标记为评估失败。 此标记仅适用于内部统计信息，永远不会发布。 你将能够立即重启评估过程，但系统会要求你重新发送新证据以支持新应用程序。

目前，你可以免费完成 Microsoft 365 认证。 有关与渗透测试相关的可能费用，请参阅下文。

作为Microsoft 365 认证计划的一部分，渗透测试最多 12 天免费，重新测试 2 天，任何额外的天数都由你收取费用。 另请注意，延迟取消可能会收取费用。 渗透测试的范围仅限于属于 Microsoft 365 认证范围内的应用和支持基础结构。

完成后，ISV 会收到一个免费的数字营销工具包，以推广其应用Microsoft 365 认证。

Microsoft 365 认证评估期间提供的证据必须能够提供足够的保证，确保你满足正在评估的特定Microsoft 365 认证控制措施。 证据的形式可以是配置文件、设置或证据的屏幕截图、策略/过程文档或屏幕共享会话，以向认证分析师演示证据。 下面是两个示例：

评估活动：“证明防病毒软件正在所有采样的系统组件上运行。”：对于此控制，可以在支持防病毒的示例中提供每个设备的屏幕截图，其中显示了防病毒进程正在运行，或者如果你有用于防病毒的集中式管理控制台，则可以从该管理控制台进行演示。

评估活动：“演示如何识别新的安全漏洞”。：此控件来自修补程序管理部分。 目的是让你有一个正式记录的过程来识别新的安全漏洞。 这可能在你的源代码中，但也需要在支持环境中，例如，Windows 漏洞、Web 依赖项中的漏洞 (例如 AngularJS、JQuery 等 ) 。 你应该有一个记录的过程来识别新的安全漏洞，因此应提供记录的进程文档。 除了文档之外，还需要提供证据证明正在遵循该过程;例如，如果利用 npm audit 之类的内容来检查漏洞的依赖项，则提供报告示例将提供证据。 如果要利用多个进程（即对于不同的系统组件），则需要提供所有进程的证据。

了解详细信息

• Microsoft 365 应用合规性计划概述
• 获取 Microsoft 365 认证
• 什么是 Microsoft 365 认证？