適用於 Microsoft 365 的應用程式合規性自動化工具
在本文中,您將了解適用於 Microsoft 365 (ACAT) 的應用程式合規性自動化工具是什麼,以及它如何簡化合規性並取得Microsoft 365 認證。
注意事項
ACAT 目前處於公開預覽狀態,僅支援以 Azure 和 Amazon Web Services (AWS) Microsoft為基礎的應用程式。 未來的更新將包含建置在其他雲端上之應用程式的功能。
注意事項
如果您想要提供意見反應給 ACAT 公開預覽,請完成此 表單。 一旦收到您的訊息,ACAT 產品小組就會儘快與您一起追蹤。
什麼是適用於 Microsoft 365 的應用程式合規性自動化工具
適用於 Microsoft 365 (ACAT) 的應用程式合規性自動化工具是 Azure 入口網站 中的一項服務,可協助簡化任何取用Microsoft 365 客戶數據並透過合作夥伴中心發佈之應用程式的合規性旅程。 這是以應用程式為中心的合規性自動化工具,可協助您以更輕鬆且便利的方式完成Microsoft 365 認證。
使用此工具,您將能快速定義應用程式的合規性界限、自動監視合規性結果,並更輕鬆地完成合規性稽核。 合規性界限是雲端基礎結構,可支援應用程式的傳遞,以及應用程式與之通訊的任何後端系統。
除了提供更快速的Microsoft 365 認證追蹤之外,ACAT 還可協助您Microsoft 365 應用程式的各種合規性案例:
- Microsoft 365 認證責任的詳細檢視和補救步驟。
- 自動每日報告合規性評估,讓您的應用程式持續符合規範。
- 安全性與合規性最佳做法,可作為應用程式生命週期早期階段的指引。
ACAT 的優點
以應用程式為中心的合規性旅程圖。
- ACAT 會報告應用程式雲端環境的合規性評量,您可以與目前的雲端基礎結構合規性策略整合。
- 開發人員即使在應用程式開發階段仍可叫用 ACAT,以識別早期階段的潛在合規性風險。
加速Microsoft 365 認證的程式。
- ACAT 會將特定Microsoft 365 認證控件完全自動化。
- 有持續成長的自動化清單正由Microsoft積極開發。
與 Microsoft 365 認證工作流程的原生整合。
- ACAT 已與合作夥伴中心完全整合,以Microsoft 365 認證用途。
讓您的應用程式或環境持續符合規範。
- ACAT 可確保合規性評量的每日更新,並根據您指定的觸發時間設定量身打造。
- ACAT 可讓您將合規性評估順暢地整合到 GitHub Actions 或其他 CI/CD 管線,以確保持續監視。
ACAT 的概念
法規合規性報告
在 ACAT 中,您可以為其建立合規性報告來稽核應用程式的合規性狀態。 您可以藉由指定建置應用程式的雲端資源,來定義應用程式的合規性界限。 根據不同的開發環境和階段,為一個應用程式建立多個報表。
建立報表之後,ACAT 會開始收集您預先定義觸發時間的合規性數據,然後為您產生合規性結果作為報告。 同時,ACAT 會持續監視合規性報告的合規性變更,直到您選擇刪除報告為止。
Microsoft 365 認證控件
ACAT 會藉由自動化合規性控制來加速Microsoft 365 認證。 根據自動化狀態,ACAT 中定義了三種類型的合規性控件。
- 完全自動化的控制:ACAT 會完全自動化Microsoft認證控件。
- 部分自動化手動控制:ACAT 可以自動化Microsoft 365 認證控件的部分責任。 您必須遵循 ACAT 提供的指示來完成其餘責任。
- 完全手動控制:您必須遵循 ACAT 提供的指示來完成所有責任。
長期而言,ACAT 會持續改善 Microsoft 365 認證控件的自動化涵蓋範圍。
客戶責任
有一組客戶責任與每個需要滿足的控件相關聯。 這些是您在下列領域中所保留的責任:數據、端點、帳戶、存取管理等等。
手動客戶責任:您必須準備合規性辨識項,並將其上傳至ACAT。 當您提交 ACAT 報告時,ACAT 會將您的辨識項傳送至合作夥伴中心。
自動化評定客戶責任:ACAT 可以收集每個責任的數據,並提供評定結果。 您必須藉由補救資源或提供更多合規性辨識項來證明資源目前的狀態,以解決任何狀況不良的資源。
自動化辨識項集合客戶責任:對於包含 ACAT 自動化辨識項集合功能所支援資源的報告,ACAT 透過直接的按鈕選取程式,提供簡化的協助來準備合規性辨識項。 如果報表的資源清單缺少支援的資源,您仍會保留手動上傳合規性辨識項的選項。
自動化評定和自動化辨識項集合客戶責任都提供您補救動作,這是我們的指導方針,可協助您符合Microsoft 365 認證標準。
注意事項
自動評定客戶的責任會根據排定的觸發時間每天撤銷。 不過,自動化辨識項集合客戶責任只能按兩下 [依 ACAT 自動收集辨識項] 按鈕,視需要重新整理。
瞭解 Microsoft 365 認證控件的合規性狀態
在法規合規性報告中,ACAT 會定義每個完全自動化控制和部分自動化手動控制的客戶責任。 客戶責任有兩個合規性狀態。
- 通過:適用於此客戶責任的雲端資源狀況良好。
- 失敗:至少有一個雲端資源狀況不良。 您可以遵循補救步驟來解決狀況不良的資源。
- N/A:沒有雲端資源適用於客戶責任,或根據此報表的應用程式組態,將此客戶責任視為不適用。
- 需要應用程式合規性檢閱:您會手動收集辨識項,並將它上傳給此客戶責任。 當您在合作夥伴網路中提交Microsoft 365 認證要求之後,分析師將會進行徹底 Microsoft檢閱。
Microsoft 365 認證控件的合規性狀態取決於客戶責任的合規性狀態。
- 通過:此Microsoft 365 認證控件沒有客戶責任處於「失敗」或「需要應用程式合規性檢閱」狀態。
- 失敗:至少有一個客戶責任與此Microsoft 365 認證控件相關失敗。
- N/A:此Microsoft 365 認證控件的所有客戶責任都處於「N/A」狀態。
- 需要應用程式合規性檢閱:至少有一個客戶責任處於「需要應用程式合規性檢閱」狀態。 當您在合作夥伴網路中提交Microsoft 365 認證要求之後,分析師將會進行徹底 Microsoft檢閱。
常見問題集
什麼是手動控件和部分自動化控制項?
每個合規性控制都會連結到一組特定的客戶責任,ACAT 會據以收集合規性數據。 請務必注意,現在,ACAT 並未涵蓋Microsoft 365 認證 (的所有控件,不過正在努力擴充涵蓋範圍) 。 在部分自動化控制的情況下,ACAT 會自動化客戶責任的特定層面。 部分自動化控件的評定結果會對Microsoft 365 認證稽核造成影響,而您需要採取進一步的動作來滿足任何剩餘的需求。 不過,針對手動控制,ACAT 目前不會將任何客戶責任自動化。
如何知道控制項是否已完全自動化?
ACAT 會持續增強控件自動化。 以下是控制項自動化的目前狀態。
安全性網域 | 控件系列 | 控制編號 | ACAT 自動化狀態 | AWS 的 ACAT 自動化狀態 |
---|---|---|---|---|
作業安全性 | 認知訓練 | 控件 1 | 手動 | 手動 |
作業安全性 | 惡意代碼防護 - 防病毒軟體 | 控件 2 | 全自動 | 部分自動化 |
作業安全性 | 惡意代碼保護 - 應用程控 | 控件 3 | 手動 | 手動 |
作業安全性 | 修補程式管理 - 修補 & 風險排名 | 控件 4 | 手動 | 手動 |
作業安全性 | 修補程式管理 - 修補 & 風險排名 | 控件 5 | 部分自動化 | 部分自動化 |
作業安全性 | 弱點掃描 | 控件 6 | 全自動 | 部分自動化 |
作業安全性 | 弱點掃描 | 控件 7 | 全自動 | 全自動 |
作業安全性 | 網路安全性控制 (NSC) | 控件8 | 部分自動化 | 手動 |
作業安全性 | 網路安全性控制 (NSC) | 控件 9 | 部分自動化 | 自動化辨識項集合 |
作業安全性 | 變更控制件 | 控件 10 | 手動 | 手動 |
作業安全性 | 變更控制件 | 控件 11 | 自動化辨識項集合 | 自動化辨識項集合 |
作業安全性 | 安全軟體開發/部署 | 控件 12 | 手動 | 手動 |
作業安全性 | 安全軟體開發/部署 | 控件 13 | 部分自動化 | 部分自動化 |
作業安全性 | 帳戶管理 | 控件 14 | 部分自動化 | 部分自動化 |
作業安全性 | 帳戶管理 | 控件 15 | 部分自動化 | 部分自動化 |
作業安全性 | 帳戶管理 | 控件 16 | 部分自動化 | 部分自動化 |
作業安全性 | 安全性事件記錄、檢閱和警示 | 控件 17 | 全自動 | 部分自動化 |
作業安全性 | 安全性事件記錄、檢閱和警示 | 控件 18 | 全自動 | 部分自動化 |
作業安全性 | 安全性事件記錄、檢閱和警示 | 控件 19 | 手動 | 手動 |
作業安全性 | 安全性事件記錄、檢閱和警示 | 控件 20 | 全自動 | 部分自動化 |
作業安全性 | 資訊安全性風險管理 | 控件 21 | 手動 | 手動 |
作業安全性 | 資訊安全性風險管理 | 控件 22 | 手動 | 手動 |
作業安全性 | 資訊安全性風險管理 | 控件 23 | 手動 | 手動 |
作業安全性 | 資訊安全性風險管理 | 控件 24 | 手動 | 手動 |
作業安全性 | 安全性事件回應 | 控件 25 | 手動 | 手動 |
作業安全性 | 安全性事件回應 | 控件 26 | 手動 | 手動 |
作業安全性 | 安全性事件回應 | 控件 27 | 手動 | 手動 |
作業安全性 | 商務持續性計劃 (BCP) 和災害復原計劃 | 控件 28 | 自動化辨識項集合 | 手動 |
作業安全性 | 商務持續性計劃 (BCP) 和災害復原計劃 | 控件 29 | 自動化辨識項集合 | 手動 |
作業安全性 | 商務持續性計劃 (BCP) 和災害復原計劃 | 控件 30 | 手動 | 手動 |
數據處理安全性 & 隱私權 | 傳輸中的數據 | 控件 1 | 全自動 | 全自動 |
數據處理安全性 & 隱私權 | 傳輸中的數據 | 控件 2 | 全自動 | 全自動 |
數據處理安全性 & 隱私權 | 待用數據 | 控件 3 | 全自動 | 全自動 |
數據處理安全性 & 隱私權 | 數據保留、備份和處置 | 控件 4 | 手動 | 手動 |
數據處理安全性 & 隱私權 | 數據保留、備份和處置 | 控件 5 | 手動 | 手動 |
數據處理安全性 & 隱私權 | 數據保留、備份和處置 | 控件 6 | 自動化辨識項集合 | 手動 |
數據處理安全性 & 隱私權 | 數據保留、備份和處置 | 控件 7 | 部分自動化 | 手動 |
數據處理安全性 & 隱私權 | 數據存取管理 | 控件8 | 自動化辨識項集合 | 手動 |
數據處理安全性 & 隱私權 | 數據存取管理 | 控件 9 | 手動 | 手動 |
數據處理安全性 & 隱私權 | 隱私權 | 控件 10 | 手動 | 手動 |
數據處理安全性 & 隱私權 | 隱私權 | 控件 11 | 自動化辨識項集合 | 手動 |
數據處理安全性 & 隱私權 | GDPR | 控件 12 | 自動化辨識項集合 | 手動 |
數據處理安全性 & 隱私權 | GDPR | 控件 13 | 手動 | 手動 |
數據處理安全性 & 隱私權 | HIPAA | 控件 14 | 手動 | 手動 |
數據處理安全性 & 隱私權 | HIPAA | 控件 15 | 手動 | 手動 |
注意事項
ACAT 自動化狀態表示 ACAT 可協助您為控件準備合規性辨識項的自動化範圍。
- 手動:您必須手動準備此控件下每個客戶責任的所有合規性辨識項。
- 部分自動化:此控件混合了客戶責任,包括自動化評定、自動化辨識項收集,以及手動客戶責任。 您必須補救任何失敗的客戶責任,並利用自動化辨識項收集功能來收集辨識項。 如需手動責任,請務必提供必要的合規性辨識項,並將其上傳至 ACAT。
- 完全自動化:此控制措施下的所有客戶責任都是自動化評估客戶責任或自動化辨識項收集客戶責任。
為何客戶責任失敗?
客戶責任失敗有幾個可能的原因:
- 強烈建議您先完成應用程式組態設定,因為 ACAT 會根據您的組態調整特定控件的默認狀態。
- 針對手動客戶責任案例,默認狀態會設定為「失敗」,以提醒您遵循範例辨識項指南手動收集和上傳辨識項。
- 針對自動化辨識項收集客戶責任案例,您可以針對每個客戶責任在
Remidiation steps
中採用 ACAT 解決方案,然後觸發 ACAT 自動收集辨識項。 或者,您可以遵循範例辨識項指南,手動收集並上傳您自己解決方案的辨識項。 - 針對自動化評定客戶責任案例,您可以針對每個客戶責任遵循 中的
Remidiation steps
ACAT 解決方案,或遵循範例辨識項指南,手動收集並上傳您自己解決方案的辨識項。
提示
解決 ACAT 中的所有失敗並非必要。 在起始認證檢閱之後,您可以選擇在 ACAT 中保留「失敗」狀態,並改為在合作夥伴中心上傳自己的辨識項。 這可讓您先與稽核員討論特定控制的任何問題。
為什麼 ACAT 會顯示警告訊息,要求我確認應用程式組態設定的變更?
此 application configuration
設定很重要,因為 ACAT 會根據您的組態調整特定控件的默認狀態,例如,某些控件預設會變更為 『N/A』 狀態。
當您變更 application configuration
設定時,ACAT 會根據您選取的雲端資源進行驗證,並在您的設定可能不正確時顯示警告訊息。 認證檢閱者也會在Microsoft 365 認證的階段中 Initial Document Submission
檢閱這些設定。
我根據補救建議進行了建議的變更,但控件仍然失敗
採取更正動作來解決失敗之後,請允許 ACAT 時間擷取已更新的評估結果以取得控制狀態。 評定會根據您預先決定的觸發時間,每隔 24 小時執行一次。
辨識項是否儲存在 ACAT 中?
手動將辨識項上傳至 ACAT 或允許 ACAT 自動收集辨識項之前,系統會提示您透過設定,將自己的記憶體帳戶設定為辨識項存放庫 Evidence Repository
。 所有辨識項都會儲存在您指定的記憶體帳戶中。 在合作夥伴中心提交Microsoft 365 認證檢閱之後,選取特定的 ACAT 報告,ACAT 有助於提交 ACAT 合規性報告、自動收集辨識項,並自動手動上傳辨識項給認證檢閱者。
如何在認證程式中使用合規性報告?
ACAT 與 合作夥伴中心 緊密整合,以完成您的Microsoft 365 認證旅程。 深入瞭解 如何使用合規性報告來加速Microsoft 365 認證