在合规性管理器中生成和管理评估

提示

如果你不是 E5 客户,请使用 90 天Microsoft Purview 解决方案试用版来探索其他 Purview 功能如何帮助组织管理数据安全性和合规性需求。 立即从Microsoft Purview 合规门户试用中心开始。 了解有关 注册和试用条款的详细信息。

合规性管理器评估可帮助组织评估其是否符合行业和区域法规。 为组织设置最相关的评估有助于实施策略和操作过程,以限制合规性风险。 360 多个法规的现成法规模板包含完成评估所需的控制和改进操作。

提示

在组织中部署Microsoft服务之前,先获取全面的合规性概述。 详细了解 合规性管理器的预部署合规性 (预览版)

“评估”页

注意

在新的 Microsoft Purview 门户中, “评估 ”页位于左侧导航上,而不是顶部的选项卡。

所有评估都列在 “评估 ”页上合规性管理器中。 可以创建一个涵盖多个服务的评估。 例如,可以创建涵盖 Microsoft 365、Microsoft Azure、Amazon Web Services (AWS) 和 Google Cloud Platform (GCP) 的单个 EU GDPR 评估。 评估详细信息页按服务显示控制进度的细目,以帮助你评估你在所有服务中执行的操作。 从评估详细信息页了解有关监视评估进度的详细信息。

重要

默认情况下,可供组织使用的法规取决于许可协议。 查看许可详细信息

页面顶部附近的 “已用免费法规许可证/已购买法规许可证使用 ”计数器显示当前正在使用的法规数,占组织可以使用的总数中的一部分。 详细了解 法规可用性

评估状态和详细信息

评估页汇总了有关每个评估的关键信息:

  • 评估:评估的名称。
  • 状态:请参阅下面的状态类型。
    • 完成:所有控件的状态为“已通过”,或者至少一个控件已传递,其余控件为“范围外”。
    • 不完整:至少有一个控件的状态为“失败”。查看失败的控制,并在这些控件中查看改进操作和Microsoft操作,以查看哪些操作具有“失败”状态。
    • :并非所有控件都已经过测试。
    • 正在进行:改进操作的状态为“正在进行”、“部分信用”或“未检测到”。
  • 进度:完成工作完成的百分比,由成功测试的控件数衡量。
  • 改进操作:满足控件实现的已完成操作数。
  • Microsoft操作:满足Microsoft控件实现的已完成操作数。
  • :评估所属的组的名称。
  • 服务:评估涵盖的服务,例如 Microsoft 365、Microsoft Azure 或其他云服务。
  • 法规:作为评估基础的法规模板。

若要筛选评估视图,请执行以下操作:

  1. 选择评估列表左上角的 “筛选器 ”。
  2. “筛选器”浮出控件窗格中,检查所需的条件。
  3. 选择“ 应用 ”按钮。 筛选器窗格将关闭,你会看到筛选后的视图。

还可以通过从评估列表上方的“组 ”下拉菜单中选择 分组类型来修改视图,以便按组、产品或法规查看评估。

数据保护基线默认评估

为了帮助你入门,Microsoft提供了默认 的数据保护基线 评估,该评估包含在所有订阅级别。 此基线评估对数据保护和常规数据治理的关键法规和标准有一组控制措施。 此基线主要从 NIST CSF (美国国家标准与技术研究院网络安全框架) 和 ISO (国际标准化组织) ,以及 FedRAMP (联邦风险和授权管理计划) 和 GDPR (欧盟) 一般数据保护条例。

在配置任何其他评估之前,此评估用于在首次访问合规性管理器时计算初始合规性分数。 合规性管理器从 Microsoft 365 解决方案收集初始信号。 你一目了然地了解了组织相对于关键数据保护标准和法规的表现,并查看了要采取的改进建议措施。 在构建和管理自己的评估以满足组织的特定需求时,合规性管理器会变得更有用。

AI 法规评估

合规性管理器提供了四个高级 法规模板 ,可帮助组织评估、实施和加强其符合 AI 法规的合规性。 下面列出的 AI 法规符合合规性要求,例如监视 AI 交互和防止 AI 应用程序中的数据丢失:

  • 欧盟人工智能法案
  • ISO/IEC 23894:2023
  • ISO/IEC 42001:2023
  • NIST AI 风险管理框架 (RMF) 1.0
在何处查找它们

在合规性管理器的“ 法规 ”页上,高级 AI 模板 标头下列出了 AI 法规。 所有其他高级法规都列在 “高级模板” 标头下。 使用 AI 法规计入购买的高级许可证。 详细了解 法规可用性和许可

如何使用它们

适用于 AI 的数据安全态势管理 中的“建议 ”部分 提供了 AI 应用的见解、策略和控制 ,提供有关使用 AI 法规的指导性帮助。 此解决方案显示最近与敏感数据的交互,并建议要执行的操作,以帮助你遵守 AI 法规。

创建评估之前的初始步骤

下面列出了可帮助你准备创建评估的步骤和信息的详细信息:

  • 为评估规划 分组策略
  • 了解 法规模板,其中包含用于评估的控制和操作建议。
  • 如果要评估非Microsoft服务,请设置 连接器

评估组

创建评估时,必须将其分配给组。 组是容器,允许你以合乎逻辑的方式(例如按年份或法规,或基于组织的部门或地理位置)组织评估。 因此,我们建议在创建评估之前规划分组策略。 下面是两个组及其基础评估的示例:

  • FFIEC IS 评估 2020
    • FFIEC IS
  • 数据安全和隐私评估
    • ISO 27001:2013
    • ISO 27018:2014

组或组内的不同评估可以共享改进操作。 改进操作可以是在映射到租户的技术解决方案中所做的更改(例如启用双重身份验证),也可以是在系统外部执行的非技术操作(如制定新的工作区策略)。 对技术改进操作所做的任何详细信息或状态更新都将由所有组的评估选取。 非技术改进操作更新将通过应用这些更新的组中的评估进行识别。 这允许你实施一个改进操作,并同时满足多个要求。

使用组时要了解的内容

  • 可以在创建评估的过程中创建组。
  • 组不能是独立实体。 一个组必须至少包含一个评估。
  • 组名称在组织中必须是唯一的。
  • 组没有安全属性。 所有权限都与评估相关联。
  • 将评估添加到组后,无法更改分组。
  • 如果将新评估添加到现有组,则来自该组中评估的常见信息将复制到新评估中。
  • 完成时,同一组中不同评估中的相关评估控件会自动更新。
  • 组可以包含同一认证或法规的评估,但每个组只能包含特定产品认证对的一个评估。 例如,组不能包含针对 Office 365 和 NIST CSF 的两个评估。 仅当每个产品的相应认证或法规不同时,组才能包含同一产品的多个评估。
  • 删除评估会中断该评估与组之间的关系。
  • 无法删除组。

设置连接器

合规性管理器具有一组集成的连接器,用于生成涵盖 Salesforce 和 Zoom 等非Microsoft服务的评估。 请访问 使用连接器 了解详细信息并开始设置过程。

创建评估

若要创建和修改评估,用户必须具有合规性管理器管理、合规性管理器评估员或全局管理员角色。 详细了解 角色和权限

重要

Microsoft 建议使用权限最少的角色。 最大程度地减少具有全局管理员角色的用户数,有助于提高组织的安全性。 详细了解 Microsoft Purview 角色和权限

在开始创建评估之前,请确保知道要将评估分配到哪个组,或者准备为此评估创建新组。 阅读有关 组和评估的详细信息。 若要创建评估,请使用引导过程来选择法规并指定服务。

注意

当我们更新和简化此过程时,创建自定义评估的功能会暂时暂停。 了解详细信息

使用引导过程创建评估

  1. “评估 ”页中,选择“ 添加评估 ”以开始评估创建向导。

  2. 在“ 评估基于法规 ”页上,选择“ 选择法规 ”,选择评估的法规模板。 此时会打开 “选择法规 ”浮出控件页。

  3. 使用搜索框查找所需的法规,然后选择法规名称左侧的检查气泡。 选择“ 保存”,确认选择,然后选择“ 下一步”。

  4. “添加名称和组 ”页上,在以下字段中输入值:

    • 评估名称:评估名称必须唯一。 如果名称与任何组中的另一个评估匹配,则会收到一个错误,要求你创建其他名称。
    • 评估组:通过以下两种方式之一将评估分配到组:
      • 使用现有组 将其分配给创建的组;或
      • 创建要向其分配评估的新组。 输入此组的名称。 还可以通过选择相应的框 ,从现有组复制数据,例如实现和测试详细信息和文档。

    完成后,选择“下一步”。

  5. “选择服务”页上,指定此评估适用于哪些服务, (使用“选择服务”命令详细了解多云支持) 。 浮出控件窗格显示哪些服务可用于所选法规。 在所需服务旁边放置检查,然后选择“添加”。 然后选择“下一步”。

    • 如果未列出所需的服务,可以将其添加为新服务。 添加新服务时,将使用 基础法规的通用版本 ,并执行手动实现和测试工作。 若要添加新服务,请:
      • “选择服务” 页上,选择“ 添加新服务”。
      • 输入服务的名称和说明。
      • 选择“添加”。 该服务在评估详细信息页的服务”部分中列出。
  6. 如果选择了一个服务,该服务具有 Microsoft Defender for Cloud 涵盖的多个订阅,则会到达“选择服务订阅”的子步骤。 选择 “管理订阅”。 在浮出控件窗格中,每个服务的选项卡显示该服务内所有订阅的列表。 默认情况下会选择所有订阅,但可以通过选择名称旁边的 X 删除任何订阅。 在 “选择服务” 页上,选择“ 下一步”。

  7. 查看并完成: 查看所有选择并进行任何必要的编辑。 如果对设置感到满意,请选择“ 创建评估”。

下一个屏幕确认已创建评估。 选择“ 完成”时,会导航到新评估的详细信息页。 如果在选择“创建 评估 ”后看到 “评估失败”屏幕,请选择“ 重试 ”以重新创建评估。

编辑评估

创建评估后,可以对其进行编辑以更新其名称,以及添加或删除服务和订阅。 若要更新评估,请执行以下操作:

  1. 在评估详细信息页中,选择右上角的省略号,然后选择 “编辑评估”。 此时会打开评估更新向导。

  2. 可以在“更新评估名称”页上更新 评估名称 ,或将其保留为原样,然后选择“ 下一步”。

  3. “选择服务” 页上,添加或删除服务,然后选择“ 下一步”。

  4. “选择服务订阅” 页上,选择“ 管理订阅 ”,对订阅进行任何更改。 然后选择“下一步”。

  5. 查看更新,然后选择“ 修改评估 ”以保存更改。

监视评估进度和控制

每个评估都有一个详细信息页面,可一目了然地查看完成评估的进度。 该页显示服务的执行情况,以及控件和改进操作的状态。 展开页面左侧的“ 概述 ”部分,查看有关评估的基本详细信息,包括评估组、法规、关联服务、完成状态和说明。

进度 ”选项卡显示评估完成进度的百分比。 进度栏显示一个细目,显示评估涵盖的每个服务中实现的分数数。 通过查看服务详细信息获取有关每个 服务的详细信息。 在 “控件”选项卡上查看评估中的所有控件及其当前状态。快速访问“你的改进操作 ”选项卡评估的所有改进操作的状态。“Microsoft操作 ”选项卡上列出了Microsoft为评估处理的操作。

按服务评估进度

评估的“进度”选项卡上的“服务”部分可帮助你了解你如何单独(即使在订阅级别)以及整个组织内对每个服务执行法规。 评估从 Microsoft Defender for Cloud 获取有关可用订阅和改进操作状态的数据。 与订阅辅助功能相关的任何错误都应在 Defender for Cloud 中解决。 有关详细信息 ,请参阅配置云设置

选择“ 查看服务详细信息 ”命令,该命令位于 评估进度 栏图旁或下方或右上方的命令栏中,以查看包含更多详细信息的浮出控件窗格。 “查看服务详细信息”浮出控件窗格列出了每个服务及其完成评估的进度。 选择服务名称旁边的“ 视图 ”会显示另一个窗格,其中列出了服务中的每个订阅及其状态。

在服务的详细信息面板上,可以看到评估涵盖的服务中的订阅列表。 服务进度计数器指示与服务评估相关的改进行动迄今获得的分数数,从可达到的积分总数中计算得出。

可以通过 编辑评估,向希望评估涵盖的服务添加更多订阅。

控件选项卡

控件 ”选项卡显示评估中每个控件的详细信息。 控制状态细目图按系列 (例如配置管理和事件响应) 显示控件的状态,因此你可以一目了然地查看需要注意的控件分组。 细目图下方的表列出了所有控件。 可以按控件系列、状态和服务筛选列表。 该表显示了每个控件的以下详细信息:

  • 控件标题
  • 状态:控件中改进操作的测试状态:
    • 已通过:所有改进操作的测试状态为“已通过”,或者至少一个已通过,其余操作“范围外”。
    • 失败 至少有一个改进操作的测试状态为“失败”。
    • :尚未测试所有改进操作。
    • 范围外:所有改进操作都不适用于此评估。
    • 正在进行:改进操作具有上述操作以外的状态,可能包括“正在进行”、“部分信用”或“未检测到”。
  • 控件 ID:控件的标识号,由其相应的法规、标准或策略分配。
  • 实现的积分:完成操作获得的积分数,占可实现的总数。
  • 改进操作数:完成的操作数占要完成的总数。
  • Microsoft操作:Microsoft完成的操作数。

从列表中选择控件以查看其详细信息页。 图形指示控件中改进操作的测试状态。 图表下方的表列出了该控件的改进操作。 从列表中选择一个改进操作,以深入到改进操作的详细信息页,从中可以管理实现和测试。 获取有关 使用改进操作的详细信息。

“改进操作”选项卡

评估详细信息页上的“ 改进操作 ”选项卡列出了控件的所有改进操作。 状态条形图详细说明了评估中改进操作的聚合测试状态,以便快速衡量已测试的内容和仍需要执行的操作。 将鼠标悬停在测试状态标签上或选择一个测试状态标签,以仅突出显示条形图上的状态。

在栏下方,表格列出了所有操作和关键详细信息,包括:服务、测试状态、潜在积分和获得的积分数、相关法规和标准、适用的解决方案、操作类型和控制系列。

服务 筛选以查看与服务相关的操作及其进度。 从表中,选择要转到其详细信息页的改进操作,从中可以管理实现和测试。 获取有关 使用改进操作的详细信息。

“Microsoft操作”选项卡

将显示“Microsoft操作”选项卡,用于基于支持Microsoft产品的模板进行评估。 其中列出了评估中由Microsoft管理的所有操作。 该列表显示关键操作详细信息,包括:服务、测试状态、影响总体合规性分数的分数、相关法规和标准、适用的解决方案、操作类型和控制系列。 选择改进操作以查看其详细信息页面。

授予用户对单个评估的访问权限

在Microsoft Purview 合规门户中向用户分配合规性管理员角色时,默认情况下,他们可以查看或编辑所有评估中的数据, (查看合规性管理器角色类型) 。 可以通过在评估中管理用户角色,将用户访问权限限制为仅特定评估。 以这种方式限制访问有助于确保在监督特定法规或标准合规性方面发挥作用的用户只能访问执行职责所需的数据和信息。 (还可以 为法规设置用户访问权限,从而允许用户访问为该法规创建的所有评估。)

还可以为需要访问审核或其他目的的外部用户分配一个角色,用于查看评估和编辑测试数据。 可以通过为外部个人分配Microsoft Entra角色来向他们提供访问权限。 详细了解 如何分配角色

授予访问权限的步骤

按照步骤向用户授予对评估的访问权限。

  1. “评估 ”页中,找到要授予访问权限的评估。 选择它以打开其详细信息页。

  2. 在右上角,选择“ 管理用户访问”。

  3. 此时会显示 “管理用户访问 ”浮出控件窗格。 它有三个选项卡,每个选项卡分别用于读者、评估员和参与者。 导航到希望用户为此评估保留的角色的选项卡。 当前有权访问评估的用户将有一个蓝色框,其名称左侧带有检查标记。

  4. 为你位于的角色选项卡选择“+ 添加”命令:“添加读者”“添加评估者”或“添加参与者”。

  5. 此时会显示另一个浮出控件窗格,其中列出了组织中的所有用户。 可以选中要添加的用户名旁边的复选框,也可以在搜索栏中输入其名称,并从中选择用户。 可以一次选择多个用户。

  6. 完成所有选择后,选择“ 添加”。

    注意

    如果将角色分配给已有角色的人员,则选择的新角色分配将覆盖其现有角色。 在这种情况下,你将看到一个确认框,要求你确认角色的更改。

  7. 浮出控件窗格将关闭,你将返回到评估详细信息页。 顶部的确认消息确认该评估的新角色分配。

删除访问权限的步骤

可以按照以下步骤删除用户对单个评估的访问权限:

  1. 在评估的详细信息页上,选择“ 管理用户访问”。

  2. “管理用户访问 ”浮出控件窗格中,转到与要删除的用户角色对应的选项卡。

  3. 查找要删除其角色的用户。 检查其名称左侧的圆圈,然后选择角色选项卡正下方的 “删除” 命令。若要一次删除所有用户,请选择 “删除所有” 命令,而不检查每个用户的姓名旁边的圆圈。

  4. 此时会显示 “删除访问权限?” 对话框,要求确认删除。 选择“ 删除访问权限 ”以确认角色删除。

  5. 在浮出控件窗格中选择 “保存 ”。 用户的角色现在将从评估中删除。

了解如何广泛 了解有权访问评估的所有用户

有关多个角色的注意事项
  • 用户可以拥有一个适用于评估的角色,同时拥有另一个广泛适用于整体合规性管理器访问权限的角色。

    • 例如,如果在Microsoft Purview 合规门户权限中为用户分配了合规性管理员读取者角色则还可以为该用户分配合规性管理器评估者角色,以便进行特定评估。 实际上,用户同时持有这两个角色,但他们编辑数据的能力仅限于为其分配了 评估者 角色的评估。
    • 删除基于评估的角色不会删除用户的总体合规性管理器角色(如果他们具有该角色)。 如果要更改用户的整体角色,则必须从Microsoft Purview 合规门户的“权限”页进行更改。
  • 对于单个评估,一个用户一次只能拥有一个基于评估的角色。

    • 例如,如果用户拥有 GDPR 评估的读者角色,并且你想要将其更改为参与者角色,则首先需要删除其读取者角色,然后重新为其分配读者角色。

注意

在 Microsoft Entra ID 中设置了合规性管理器权限的管理员将不会显示在“管理用户访问”浮出控件窗格中。 这意味着,如果用户有权访问一个或多个评估,并且其角色是全局管理员、合规性管理员、合规性数据管理员或安全管理员,则不会在此窗格中显示。 详细了解如何 设置合规性管理器权限和角色

接受评估更新

当更新可用于评估时,你会看到一条通知,可以选择接受更新或稍后推迟更新。 汇报可以根据合规性管理器中提供的法规模板进行评估。 如果你的组织使用通用模板来评估其他产品,则可能不支持继承。

导致更新的原因

如果存在影响评分的基础模板更改,则会发生评估更新。 更改可能涉及根据法规更改或产品更改调整控制映射或其他指南。 评估更新可以源自你的组织和Microsoft。

如果Microsoft更新扩展的合规性管理器模板,则接受这些更新后,评估将继承这些更新。 评估会保留扩展评估时应用于评估的其他属性。

创建的自定义评估不会从Microsoft接收任何模板更新。 自定义评估可以接收改进操作更新,但用于控制评估和改进操作之间的映射的任何Microsoft更新都不适用于自定义模板。

注意

汇报评估仅适用于组级别。 如果你有两个基于同一模板生成的评估,这些评估存在于两个不同的组中,则每个评估将有一个挂起的更新通知,你需要单独接受对各自组中每个评估的更新。

评估更新通知的位置

评估详细信息页还会在评估旁边显示一个 挂起 的更新标签,其中包含更新。 选择该评估以访问其详细信息页。

评估详细信息页顶部附近的一条消息显示有可用于该评估的更新。 选择横幅中的“ 查看更新 ”按钮,查看特定更改并接受或延迟更新。

评估详细信息页可能还会列出旁边有 “挂起更新” 标签的改进操作。 这些更新用于对改进操作本身的特定更改,需要单独接受。 若要了解详细信息 ,请访问接受改进操作的更新

查看更新以接受或延迟

从评估详细信息页中选择“ 查看更新 ”时,屏幕右侧会显示一个浮出控件窗格。 浮出控件窗格提供以下有关挂起更新的关键详细信息:

  • 模板标题
  • 更新源 (Microsoft、组织或特定用户)
  • 更新的创建日期
  • 说明更新的概述
  • 有关更改的具体详细信息,包括对合规性分数的影响、完成评估的进度,以及对改进操作和控件的特定更改数。

选择 “已更新模板” 命令将下载包含模板版本的控件数据的 Excel 文件,其中包含挂起的更新。 选择“ 当前模板 ”命令将下载现有模板的文件,而不进行更新。

若要接受更新并更改评估,请选择“ 接受更新”。 接受的更改是永久性的。

如果选择“ 取消”,则更新不会应用于评估。 但是,在接受更新之前,你仍会看到 “挂起 的更新”通知。

  • 为什么建议接受更新:接受更新有助于确保你获得有关使用解决方案和采取适当改进操作的最新指南,以帮助你满足手头的认证要求。

  • 你可能想要推迟更新的原因:如果你正在完成评估,你可能希望在接受可能会中断控制映射的评估更新之前确保已完成该更新。 可以通过在审阅更新浮出控件窗格中选择 “取消 ”,将更新推迟一段时间。

导出评估报告

可以将评估导出到 Excel 文件,供组织中的合规性利益干系人或外部审核员和监管机构使用。 在评估详细信息页上,选择页面右上角的 “导出”操作 ,这将创建一个可以保存和共享的 Excel 文件。 报告是导出日期和时间的评估快照。 它包含由你和Microsoft管理的控件的详细信息,包括实现状态、测试日期和测试结果。

删除评估

删除评估会将其从评估页上的列表中删除。 请注意删除评估的以下要点:

  • 删除评估是永久性的;你无法取回它。 如果想要再次使用相同的评估,则需要重新创建它。
  • 如果评估中的改进操作未出现在任何其他评估中,则会在删除评估时将其删除。
  • 建议 先导出评估报告 ,然后再将其永久删除。

若要删除评估,请执行以下步骤:

  1. 从“ 评估 ”页中,选择要删除的评估。

  2. 在评估的详细信息页上,选择屏幕右上角的“ 删除评估 ”。 如果未看到此选项,请选择右上角的省略号 (...) ,然后从列表中选择 “删除评估 ”。

  3. 此时会显示一个窗口,要求确认是否要永久删除评估。 选择“ 删除评估 ”以关闭窗口。 此时会显示一个确认窗口,指示评估已从合规性管理器中删除。

注意

无法删除所有评估。 组织至少需要一次评估才能使合规性管理器正常运行。 如果要删除的评估是唯一的评估,请在删除其他评估之前添加另一个评估。