在合规性管理器中使用改进操作
提示
如果你不是 E5 客户,请使用 90 天Microsoft Purview 解决方案试用版来探索其他 Purview 功能如何帮助组织管理数据安全性和合规性需求。 立即从 Microsoft Purview 合规性门户试用中心开始。 了解有关 注册和试用条款的详细信息。
概述
改进操作有助于集中合规性活动。 每个改进操作都建议采取一个操作,并提供详细的指导,旨在帮助你与数据保护法规和标准保持一致。 可以将改进操作分配给组织中的用户以执行实现和测试工作。 还可以在操作中存储证据、添加注释和记录状态更新。 许多改进操作都附带了自动测试和监视。
合规性管理器在共同责任模型中工作,其中某些操作由你完成,其他操作由Microsoft自动完成,以满足法规、标准或认证的要求。 合规性管理器的“改进操作”选项卡上列出的操作是组织负责完成的操作。
提示
请访问 合规性管理器术语表 ,了解此页上许多术语的有用定义。
自动测试和监视
虽然某些改进操作必须由组织手动测试,但许多操作可以自动测试和监视。 合规性管理器会自动识别 Microsoft 365 环境和多云环境中的设置,帮助确定某些配置何时满足改进操作实施要求。 合规性管理器使用四种类型的自动化,如下所述。
内置自动化
合规性管理器具有内置功能,用于接收来自其他Microsoft解决方案和非Microsoft服务的信号。 合规性管理器检测组织可能订阅的其他Microsoft Purview 解决方案的信号,包括数据生命周期管理、信息保护、数据丢失防护、通信合规性和内部风险管理。 合规性管理器还会检测来自 Microsoft Priva 的信号, (此功能处于预览状态) 。 自动化专门应用于解决方案,范围不限于云服务。 详细了解 自动测试设置。
Microsoft安全功能分数自动化
合规性管理器检测来自Microsoft安全功能分数监视的补充改进操作的信号。 通过这些信号,合规性管理器可以自动测试某些改进操作,以提供持续的控制评估。 成功测试并实施改进操作后,你将获得该操作的最大可能分数,该分数将计入总体合规性分数。
Microsoft Defender for Cloud 自动化
通过与 Defender for Cloud 的集成,合规性管理器可以促进改进操作,并跨多个Microsoft和非Microsoft云服务(例如 Microsoft Azure、Amazon Web Services (AWS) 和 Google Cloud Platform (GCP) )提供持续监视。 此监视的云基础结构意味着可以在预期服务的订阅级别评估和分级操作状态。 可以在服务的每个订阅中查看每个改进操作的特定实现和测试结果。 你收到的改进操作的总体分数是该服务中每个订阅的单个分数的聚合。 详细了解 多云支持 和 评分。
连接器
我们将推出一系列专为合规性管理器构建的连接器,以支持其他非Microsoft服务。 Salesforce 和 Zoom 的连接器现已推出,即将发布更多连接器。 有关详细信息,请参阅 在合规性管理器中使用连接器。
注意
设置为自动测试的改进操作可以更改为手动测试,除非该操作是通过 Microsoft Defender for Cloud 实现的。
测试类型
合规性管理器提供了有关如何测试改进操作的选项。 在改进操作的详细信息页上,顶部信息栏中的 “测试类型 状态”显示如何测试操作。 可在此处选择测试操作的方式: 手动 或 自动。
注意
无法针对 Defender for Cloud 支持的服务的操作更改测试源。 如果不同意自动测试结果,可以转到 Defender for Cloud 中的相关评估,以更改测试逻辑和范围。
手动
为手动测试设置的改进操作是手动测试和实现的操作。 设置必要的实现和测试状态状态,并在“ 证据 ”选项卡上上传任何证据文件。对于某些操作,这是测试改进操作的唯一可用方法。
自动
合规性管理器可以自动测试某些改进操作。 获取 有关可以和不能自动测试哪些改进操作的详细信息。
对于可以自动测试的改进操作,你将看到“测试类型”的“自动”选项。 合规性管理器检测来自其他合规性解决方案和云服务的信号。 当信号指示已成功实施改进操作时,会自动收到该操作的合格分数,该分数将影响相关控制和评估的分数。 详细了解 评分。
默认情况下,所有符合条件的改进操作都会启用自动测试。 可以调整这些设置以仅自动测试某些改进操作,也可以关闭所有操作的自动测试。 在设置自动测试中详细了解自动 测试的工作原理以及如何调整设置。
“改进操作”页
提示
在新的 Microsoft Purview 门户中, “改进操作 ”页位于左侧导航栏中,而不是顶部的选项卡。
合规性管理器的“改进操作”页上列出了组织管理的所有 改进操作 。 改进操作列表显示与每个操作相关的基本信息,例如它们所对应的法规、测试状态和源、所有者和操作类型。 有关部分列的说明,请参阅下文。 筛选列以自定义视图。
已实现的点数
每个改进操作都值得一些分数,这些分数有助于整体合规性分数。 此列显示从可达到的总积分中获得了多少积分。
服务
该服务是改进操作评估和影响的数据源,例如Microsoft Azure 或 Amazon Web Services。
组
此列显示与改进操作关联的评估组。 详细了解 评估组。
解决方案
解决方案是执行建议操作的位置;例如,在 Microsoft 通信合规性、Microsoft Priva 或 Microsoft Defender for Cloud 中。
类别
合规性管理器将改进操作分组到常规类别,以帮助你了解需要注意哪些方面,以增强整体合规性状况。 类别包括:控制访问、发现和响应、治理信息、基础结构云、管理合规性、管理设备、管理内部风险、隐私管理、防范威胁和保护信息。
操作类型
改进操作在本质上可以是技术性的或非技术性的:
技术操作 是通过与解决方案的技术交互来实现的, (例如更改配置) 。
非技术操作 由组织管理,并采用使用解决方案技术以外的其他方式实现。 有两种类型的非技术操作: 文档 和 操作。
了解操作类型如何影响 改进操作的评分。
“改进操作详细信息”页
从“改进操作”页上的列表中选择一个 改进操作 ,以查看该操作的详细信息页。 详细信息页提供了详细的实施指南和链接,用于启动你进入相应的解决方案或服务。 下面是可从改进操作详细信息页执行的操作:
- 从顶部信息栏中快速获取基本状态。
- 分配负责执行工作的所有者。
- 在“ 详细信息 ”选项卡上查看实施指南。按照建议的解决方案的直接链接开始实现工作并添加实现说明。
- 从“ 详细信息 ”选项卡查看云服务订阅中的操作状态,并深入了解订阅级详细信息。
- 在“证据”选项卡上上传和存储 证据 文件和链接。
- 选中“ 相关控件 ”选项卡,查看包含改进操作的所有控件。 可以按法规筛选控制列表。
实现和测试
分配所有者
若要开始对改进操作实施工作,可以自行完成工作,或将其作为所有者分配给其他用户。 所有者可以是业务策略所有者、IT 实施者或负责执行任务的其他员工。 确定适当的受托人后,请确保他们拥有足够的 合规性管理员角色 来执行工作。
若要将所有者分配到改进操作,请打开改进操作的详细信息页。 在页面顶部信息栏中的“ 所有者 ”框中,开始键入用户的名称,并在其出现时选择该名称。 分配的用户会收到一封电子邮件,说明已向其分配了改进操作,并提供了指向改进操作的直接链接。
注意
美国政府社区 (GCC) High 和国防部 (DoD) 客户在分配改进操作时不会收到电子邮件。
将多个改进操作分配给单个用户
可以按照以下步骤将多个改进操作分配给一个用户:
- 在合规性管理器中,转到 “改进操作 ”页。
- 选中要分配的改进操作左侧的复选框。
- 选择“改进操作”表顶部的“ 分配给用户 ”。 此时会显示 “分配改进操作 ”浮出控件窗格。
- 在搜索栏中输入用户名以搜索该用户,或从建议的人员列表中选择一个名称。 选择用户后,选择“ 分配”。
你将返回到 “改进操作 ”页面,其中新所有者列在已分配操作的“ 已分配到 ”列中。
实现工作
实施指南因是否转到 Microsoft Defender for Cloud 来执行操作而有所不同。 详细了解 多云支持。 下面介绍了每种操作类型的实现。
在 Defender for Cloud 中实现的操作
在改进操作的详细信息页上,查看顶部信息栏上的 “测试”源 。 如果测试源是 Defender for Cloud,则该操作与云服务(如 Microsoft Azure、Amazon Web Services (AWS) 和 Google Cloud Platform (GCP) )相关,并且使用合规性管理器与 Defender for Cloud 的集成来实施和监视该操作。 这些操作属于基础结构云类别。 它们是否可以自动测试取决于 操作类型:
- 技术操作会自动测试和监视。
- 非技术操作必须手动测试。
查看以下每种操作类型的实现说明。
订阅监视
对于在 Defender for Cloud 中实现的操作,“详细信息”选项卡上的“订阅监视”部分显示所有相关订阅的列表, (视图术语表) 。 此视图提供了每个服务订阅中操作状态的更精细视图。 选择订阅名称以查看浮出控件窗格,其中包含实现详细信息、虚拟资源状态和相关评估。
手动操作的实现:
在“改进操作详细信息”页上,查看 如何实施 指南并执行必要的步骤。 这可能涉及脱机进行的非技术工作。
订阅监视下列出的每个订阅都需要更新其状态。 每个订阅包含一个表示订阅本身的虚拟资源。 选择订阅名称以显示该订阅的浮出控件窗格。 选择适当的状态、日期并输入备注。
完成时选择“保存”。
注意
手动操作不会在合规性管理器和 Defender for Cloud 之间同步状态。 可以在任一位置更新状态,但状态不会同步。
自动操作的实现:
- 选择每个订阅,一次一个,在 “订阅监视”下列出。
- 如果订阅显示存在未完成的虚拟资源,请选择订阅,然后在浮出控件窗格中选择“ 虚拟资源 ”选项卡。
- 检查每个资源的状态,以确定哪些资源需要修正。
- 对于需要修正的资源,请查看 如何实现 指南。 然后选择“ 转到 Defender for Cloud ”进行必要的更改。
对改进操作状态的更新在 24 小时内显示。
未在 Defender for Cloud 中实现的操作
“详细信息”选项卡上的实现指南提供了说明和解决方案的链接,用于执行实现工作。 若要执行和记录实现工作,请执行以下操作:
查看 如何实现 指南,并按照相关解决方案的链接执行必要的工作。 这可能涉及脱机进行的非技术工作。
执行实现工作后,从顶部信息栏中的“ 实现状态 ”下拉菜单中选择以下状态选项之一:
- 未实现
- 实现
- 替代实现 - 如果使用其他非Microsoft工具或采取了其他未包含在Microsoft建议中的其他操作,请选择此选项
- 计划值
- 范围外 - 与组织无关,并且不会为分数做出贡献
然后,需要记录实现状态更改的日期。 选择操作信息栏上方的 “编辑备注 ”。 “ 编辑操作详细信息 ”浮出控件窗格随即打开“ 实现 ”选项卡。还可以在此处编辑实现状态。
在 “实现日期 ”字段中,选择实现日期。
在“备注”字段中,输入可选的实现说明 (了解有关 备注) 的详细信息。
在浮出控件窗格中选择“ 保存 ”以关闭窗格。
选择“ 保存” 或“ 保存”,然后关闭 操作的信息栏上方,以保存所做的更改。
常见操作跨组同步。 当同一组中的两个不同的评估共享由你管理的改进操作时,你对操作的实现详细信息或状态所做的任何更新都会自动同步到组中任何其他评估中的相同操作。 通过此同步,可以实施一项改进操作,并满足多个法规中的多个要求。
测试工作
改进操作的测试状态显示在操作详细信息页上的 “测试状态 ”字段中。 实现改进操作后,可以按照以下说明更新手动测试操作的测试状态。 具有编辑权限的用户可以调整操作状态。
在“改进操作详细信息”页上,可以从顶部信息栏的“ 测试状态 ”下拉菜单中选择以下状态选项之一:
- 无 - 操作未启动任何工作
- 未评估 - 尚未测试操作
- 通过 - 评估者已验证实现
- 失败的低风险
- 失败的中等风险
- 失败的高风险
- 范围外 - 操作不在评估范围内,对分数无影响
- 待确定
- 无法确定
- 部分测试
- 正在进行
然后需要记录测试日期。 选择操作信息栏上方的 “编辑备注 ”。 此时会显示 “编辑操作详细信息 ”浮出控件窗格。
在“ 测试和验证 ”选项卡上,选择测试日期。 还可以在此处编辑测试状态。
在“备注”字段中,输入可选的测试备注, (了解有关 备注) 的详细信息。
在浮出控件窗格中选择“ 保存 ”以关闭窗格。
选择“ 保存” 或“ 保存”,然后关闭 操作的信息栏上方,以保存所做的更改。
有关在 Defender for Cloud 中实施的手动测试操作,请参阅有关如何在订阅中设置测试状态的 实现说明 。
注意
如果操作是手动测试的,则可以编辑测试状态、测试日期和备注。 无法编辑自动测试操作的测试状态和说明。
首次设置通过 Defender for Cloud 进行自动监视时,自动测试的操作可能会显示“ 范围外 ”状态。 这是因为处理来自 Defender for Cloud 的信号可能需要长达 24 小时。 改进操作状态每 24 小时刷新一次。
自动测试的操作也可能显示以下测试状态之一:
- 待检测 - 等待指示测试状态的信号
- 无法检测到 - 无法检测到测试状态;将再次自动检查
- 部分测试 - 操作已部分测试;既不通过也不失败
导出测试历史记录
可以导出一个报告,其中显示了改进操作的测试状态中所有更改的历史记录。 这些报告特别有助于监视 自动测试操作的进度,因为此类操作会根据租户的数据定期或频繁更新。
在改进操作的详细信息页上,选择顶部信息栏上方的“ 导出测试历史记录 ”。 报表以 Excel 文件的形式下载。
输入和查看备注
可以输入有关实现或测试工作的内部参考说明。 这些注释可由具有编辑权限的任何用户添加或编辑,而不仅仅是操作的分配所有者。
注释不会显示在改进操作的详细信息页上。 若要查看备注或添加备注,需要选择改进操作详细信息页右上角的 “编辑备注” 命令。 选择 “编辑笔记”时,将显示 “编辑操作详细信息 ”浮出控件窗格。 浮出控件窗格的“ 实现 ”和“ 测试和验证 ”选项卡上会显示一个用于说明的文本字段, (这也是你可以选择 实施和测试工作的状态和日期。)
添加备注后,在浮出控件窗格中选择“ 保存 ”。 窗格将关闭。 然后选择“ 保存” 或“ 保存”,然后关闭 操作的信息栏上方以保存笔记。
注意
无法针对自动测试的改进操作手动编辑测试说明。 合规性管理器为你更新笔记。
存储证据
可以将与实现和测试工作相关的证据(以文件或链接的形式)直接上传到改进操作详细信息页的“ 证据 ”选项卡。 此环境是一个安全的集中式存储库,可帮助你展示对符合性标准和法规的控制的满意度。 任何具有只读访问权限的用户都可以读取本部分中的内容。 只有具有编辑权限的用户才能上传、下载和删除证据。
上传证据
- 在改进操作的详细信息页上,转到“ 证据 ”选项卡。
- 选择“ 添加证据 ”,然后选择“ 文档 ”或“ 链接”。
- 对于文档,浏览以选择要上传的文件,然后选择“ 完成”。 接受的文件类型包括:
- 文档 (.doc、.xls、.ppt、.txt、.pdf)
- 图像 (.jpg,.png)
- 视频 (.mkv)
- 压缩文件 (.zip、.rar)
- 对于链接,请输入链接的名称及其 URL,然后选择“ 完成”。
删除证据
当改进操作尚未达到通过或失败状态时,可以删除证据。 若要删除证据文件或链接,请选择 (项名称右侧) 三个点的操作菜单,然后选择“ 删除”。 出现提示时确认删除。
如果改进操作的测试状态为 “已通过”、“失败”或 “超出范围”,则无法再删除证据文件和链接。
将改进操作分配给评估器以完成
完成工作、进行测试并上传证据后,下一步是将改进操作分配给评估员进行验证。 评估员验证工作,检查证据,并选择适当的测试状态。
如果操作状态设置为“通过”:操作已完成并接收总积分数。
如果操作状态设置为“失败”:该操作不符合要求,并且评估者可以将其分配回相应的用户,以便执行更多工作。
合规性管理器评估者角色允许用户执行这项工作,而没有创建评估的全部权限。 了解如何设置权限以及如何授予对评估和法规的基于角色的访问权限。
接受改进操作的更新
当更新可用于改进操作时,其名称旁边会显示一条通知。 可以接受更新,也可以稍后推迟更新。
导致更新的原因
当存在与评分、自动化或范围相关的更改时,将发生更新。 更改可能涉及基于法规更改的改进操作的新指南,也可能是因为产品更改。 只有组织管理的改进操作会收到更新通知。
评估更新通知的位置
更新改进操作时,在改进操作页及其相关评估的详细信息页上,其名称旁边会显示 一个挂起的更新 标签。
转到改进操作的详细信息页,然后选择顶部横幅中的“ 查看更新 ”按钮,查看有关更改的详细信息,并接受或延迟更新。
查看更新以接受或延迟
从改进操作详细信息页中选择“ 查看更新 ”时,屏幕右侧会显示一个浮出控件窗格。 浮出控件窗格提供有关更新的关键详细信息,例如受影响的评估以及分数和范围的变化。
选择“ 接受更新 ”以接受对改进操作的所有更改。 接受的更改是永久性的。
注意
接受对操作的更新时,也会接受对此操作的任何其他版本或实例的更新。 更新将在租户范围内传播技术操作,并将在组范围内传播非技术操作。
如果选择“ 取消”,则不会将更新应用于改进操作。 但是,在接受更新之前,你仍会看到 “挂起 的更新”通知。
为什么建议接受更新:接受更新有助于确保你获得有关使用解决方案和采取适当改进操作的最新指南,以帮助你满足手头的认证要求。
为何要推迟更新:如果在完成包含改进操作的评估中,可能需要确保在接受更新之前已完成更新工作。 可以通过在审阅更新浮出控件窗格中选择 “取消 ”,将更新推迟一段时间。
一次接受所有更新
如果你有多个更新,并且想要一次接受所有这些更新,请选择改进操作表顶部的 “接受所有更新 ”链接。 此时会显示一个浮出控件窗格,其中列出了要更新的操作数。 选择“ 接受更新 ”按钮以应用所有更新。
返回到改进操作页时,可能会在页面顶部看到一条消息,要求刷新页面以完成更新。
为改进操作更改设置警报
可以设置警报,以便在改进操作发生某些更改(例如实现或测试状态更改,或分数增加或减少)时立即通知你。 获取此类更改的快速通知有助于随时了解可能的合规性风险。 请访问 合规性管理器警报和警报策略 ,了解如何设置警报。
导出所有改进操作的报告
在“改进操作”页上,选择操作列表上方的“ 导出 操作”。 Excel 文件下载。 该文件包含所有改进操作以及改进操作页上显示的筛选器类别。 这是用于同时更新多个改进操作的同一文件。 获取有关如何使用文件以 更新多个改进操作的详细信息。