使用 ACAT 自動化 Microsoft 365 認證
應用程式合規性自動化工具 (ACAT) 可用來符合Microsoft 365 認證的一組特定必要控件。 本文概述如何使用 ACAT 來加速Microsoft 365 認證。
注意事項
ACAT 目前處於公開預覽狀態,僅支援以 Azure 和 Amazon Web Services (AWS) Microsoft為基礎的應用程式。 未來的更新將包含建置在其他雲端上之應用程式的功能。
注意事項
如果您想要提供意見反應給 ACAT 公開預覽,請完成此 表單。 一旦收到您的訊息,ACAT 產品小組就會儘快與您一起追蹤。
建立您的第一個合規性報告以將 ACAT 上線
ACAT 可透過自定義報告,讓您更深入瞭解應用程式的合規性。 用戶可以根據雲端基礎結構或應用程式的特定環境來建立報表,例如生產環境、預備環境等等。
- 在 Azure 入口網站 中搜尋並啟動 Microsoft 365 的應用程式合規性自動化工具。
- 選
Reports取畫面左側。
選
Create new report取即可建立您的第一個合規性報告。-
基本概念
- 報表名稱:合規性報告在租用戶內必須具有唯一且非重複的名稱,其中包含數位、字母和底線的組合。 建議您在報表名稱中包含特定的應用程式名稱或環境名稱。
- 觸發時間:ACAT 會針對報表執行合規性評估的每日更新,提供彈性來設定特定時間,以便在指定的時區中重新整理評定。
- 資源:從雲端基礎結構中選取資源,以定義報表的合規性界限。 利用篩選來搜尋適當的資源,例如,Azure 的訂用帳戶、資源群組、標籤等,以及 AWS 的帳戶標識碼和類型。
提示
在選取報表的 AWS 資源之前,您必須 先使用 AWS 建立新的連線 ,或重複使用現有的 AWS 連線。
-
Microsoft 365 認證
- 供應專案 GUID:供應專案 GUID 可作為 合作夥伴中心Microsoft市供應專案的唯一標識符,而這是將合規性報告與市集供應專案連線的關鍵。 將合規性報告與市集供應項目連線之後,您可以使用合規性報告來加速合作夥伴中心中市集供應專案的Microsoft 365 認證程式。 選取 [深入瞭解] 以取得如何取得應用程式的供應專案 GUID。 在初始報表建立期間,此步驟是選擇性的,可在開始發佈應用程式時進行設定。
-
基本概念
注意事項
確認設定並建立合規性報告之後,ACAT 也會自動完成這些動作,以收集合規性相關數據:
- 為您的訂用帳戶啟用雲端 (免費層) 和自動化服務 (免費) 的 Microsoft Defender。
- 為您的訂用帳戶啟用自定義原則。
注意事項
請允許 ACAT 根據指定的喜好設定,為報表產生初始合規性評定 24 小時。
使用您的合規性報告稽核合規性評估
檢閱合規性報告的運行時間狀態,並針對合規性評估進行稽核。
移至
Reports左側,以取得現有合規性報告的摘要。-
執行時間狀態 會顯示合規性評估的最新更新狀態:
- 作用中:此報告的合規性評估已成功更新。
- 失敗:ACAT 在最新重新整理期間更新合規性評估時發生失敗。 失敗可能是因為訂用帳戶設定不正確或 ACAT 的系統問題所導致。 請參閱提供的自我復原指引,以解決並解決問題。
- 已停用:已停用合規性報告, (用戶手動暫停) 。 這項功能目前未在公開預覽中啟用。
- 建立時間:建立合規性報告時顯示的 [在建立 時 建立]。
- 上次觸發時間 和 下一個觸發時間:ACAT 會每天更新報告的合規性評估。 上次觸發時間表示起始上次更新的時間,而下一個觸發時間則表示下一個報表更新的排程時間。
- Microsoft 365 認證:檢閱Microsoft 365 認證專屬控件的 合規性狀態 。
-
執行時間狀態 會顯示合規性評估的最新更新狀態:
除了存取現有合規性報告的高階摘要之外,您還可以深入瞭解每個合規性評估的詳細數據。 選取報表名稱,以擷取特定評定詳細數據,以進行更徹底的稽核。
ACAT 提供工具列,可讓您執行下列動作:
設定:修改合規性報告的組態。
- 編輯基本資訊:編輯報表的基本組態。
- 編輯資源:根據目前的雲端基礎結構新增或移除資源。
- 編輯應用程式組態:編輯應用程式組態,讓報表與適當的控制集對齊。 ACAT 可能會根據您的設定來調整特定控件的默認狀態,例如,某些控件預設可能會變更為 『N/A』 狀態。
- 編輯 Microsoft 365 認證設定:設定供應專案 GUID,以將報表與 Microsoft 合作夥伴中心的市集供應專案建立關聯。
- 設定辨識項存放庫:設定辨識項存放庫以儲存上傳的辨識項。
下載報告:下載可與合作夥伴共用以共同作業的合規性報告評量。
- Microsoft 365 認證檢閱的評定報告 (分析師版本) :此 PDF 報告會依Microsoft 365 認證控制來組織合規性評估。 如果您在合作夥伴中心的應用程式合規性初始檔階段中選擇 ACAT 合規性報告,它會自動傳遞給分析師進行檢閱。 此外,您可以視需要選擇下載並手動上傳做為辨識項。
- 工程師共同作業的評定報告:此 PDF 報告會根據 Microsoft Certification 控件,使用內部資訊來組織合規性評估。 其會在合規性稽核期間用於內部小組共同作業。
- 工程師共同作業的評估報告:此 Excel 報告包含資源層級資訊,以及合規性稽核期間內部小組共同作業的對應合規性評估。
- 雲端基礎結構清查:此 Excel 報告包含此合規性報告的資源詳細數據,提供與應用程式相關聯之雲端清查的完整描述。
通知:取得合規性報告設定變更或控制評估狀態變更的通知。 深入瞭解 如何透過 Webhook 接收通知。
與 CI/CD 管線整合:ACAT 可讓您順暢地與 CI/CD 管線整合,以維護應用程式持續且自動化的合規性。 深入瞭解如何與 GitHub Actions 管線整合,以及如何與其他管線與 REST API 整合。
如何使用 ACAT 提交認證要求:執行快速驗證,以確保此報告是否已備妥認證,並收到如何在合作夥伴中心將它用於認證的指引。
檢視架構圖表 (預覽) :ACAT 會根據 Azure Resource Graph 數據,為您的參考產生架構圖表。
ACAT 可讓您深入瞭解有關報告和合規性評估的詳細數據。
Essentials 表示合規性報告的狀態和設定。
控制評定 - Microsoft 365 認證檢視
- 控件評量是由Microsoft 365 認證安全性網域、控件系列和控件所組織。
- 您可以在個別控制層級依客戶責任檢閱合規性狀態。
- 在 [客戶責任] 區段中,選擇 [動作] 來存取相關聯資源的合規性狀態,並探索任何失敗資源的補救步驟。
- 根據您的需求,使用搜尋和篩選來尋找特定控制件。
- 依控件名稱或客戶責任名稱搜尋控件。
- 使用
Control family來依安全性網域或控制系列進行篩選。 - 使用
Control status來篩選目前的合規性失敗。 - 用來
Customer responsibility type依 ACAT 自動化 CR 類型進行篩選。 - 使用
Cloud environment來篩選出特定雲端環境的客戶責任。
- 深入瞭解 控件和客戶責任的合規性狀態。
- 控件評量是由Microsoft 365 認證安全性網域、控件系列和控件所組織。
確定健全的控制集是合規性報告的焦點
Microsoft 365 認證會根據應用程式組態,提供適當的控制集。 在稽核合規性評估之前,您必須先完成應用程式組態,以將報表與適當的控制集對齊。
如果您未完成報表的應用程式組態,則會產生一則警告訊息,顯示在相對應的客戶責任中,引導您進行應用程式組態設定。
您也可以從
Settings報表工具列上的 選項編輯application configuration設定。
提交合規性解決方案的辨識項來解決控制需求
除了遵循補救步驟來解決合規性失敗之外,您也可以上傳您自己解決方案的辨識項來滿足合規性需求。
若要解決隱私權問題,您必須一開始設定辨識項存放庫。 建立或選取記憶體帳戶,以安全地儲存Microsoft 365 認證控件的辨識項。 建立之後,記憶體帳戶即可用於所有報表。
如果您未設定辨識項存放庫,按兩下
Actions[上傳辨識項] 區段中的任何客戶責任並遇到警告訊息,將會引導您前往對應的報表設定。
您也可以從
Settings報表工具列上的 選項編輯evidence repository設定。
設定辨識項存放庫之後,如果您想要滿足手動控制需求,或符合您自己解決方案的控制準則,您可以將辨識項上傳至個別的客戶責任。 將辨識項上傳至客戶責任之後,其合規性狀態會自動變更為「需要應用程式合規性檢閱」。
針對自動化辨識項集合客戶責任,如果 ACAT 在 ACAT 報表的資源清單中識別支援的資源,您就不需要手動準備辨識項。 相反地,ACAT 可以將合規性數據匯總成 ACAT 辨識項檔案,並將它上傳至辨識項存放庫。
- 選取自動化辨識項集合客戶責任。
- 選取
Actions客戶責任。 - 展開區域,
Remediation steps並檢閱可收集為辨識項的支持資源類型。 - 展開區域
Upload evidence,然後選取Collect evidence by ACAT按鈕。 收集辨識項之後,ACAT 收集的辨識項會出現在下列檔案清單中。 - 檢閱 ACAT 收集的辨識項,並視需要上傳更多辨識項。
注意事項
針對不同的客戶回應,ACAT 可以收集不同資源類型的辨識項。 不過,如果 ACAT 無法識別報表中任何支援的資源,您就必須手動準備合規性辨識項,並將其上傳至 ACAT。 如需更詳細的指示,請參閱 Remediation Steps 每個客戶責任動作一節。
注意
基於隱私權考慮,ACAT 無法自動重新整理收集到的辨識項。 如果在收集辨識項之後,目標資源有任何變更,就必須檢閱受影響的客戶責任,然後再次按兩下 [ 依 ACAT 收集辨識 項] 按鈕,以更新 ACAT 所收集的辨識項。
使用您的第一個合規性報告與 Microsoft 365 認證稽核
在報表工具列上 How to submit certifcation request with ACAT ,按兩下 即可引導您完成從 ACAT 到 Microsoft 365 認證的整個旅程。
一般而言,在搭配使用合規性報告與 Microsoft 365 認證之前,您必須 offer GUID 設定 ,使其與您的市集供應專案產生關聯。 其中有兩個選項:
- 在合規性報告的建立程式中,於索引標籤中
Microsoft 365 Certification設定供應專案 GUID。 - 如果已建立合規性報告,請移至
Settings此合規性報告以設定供應專案 GUID。
設定供應專案 GUID 之後,請移至 Microsoft 合作夥伴中心 ,以起始 Microsoft 365 認證]。
- 在 [
Initial Documentation是] 中,確認您使用的是 ACAT。 - 針對稽核選取最新的 使用 中合規性報告。
Microsoft 365 認證會自動將合規性評定和上傳的辨識項提交給認證稽核員,為您節省時間和精力。
注意事項
您只能使用 作用中的 合規性報告進行Microsoft 365 認證檢閱。 因此,在 Microsoft 365 認證程式期間於 中選取合規性報告 Partner Center 時,如果預期的報表不在清單中,請檢查報表的運行時間狀態。
注意事項
如果您已將辨識項上傳至客戶責任,當您移至 Control Requirements Microsoft 365 認證的階段時,ACAT 會將上傳的辨識項自動傳遞給分析師以供檢閱。
取得合規性報告的高階概觀
概觀 提供合規性報告的高階狀態。 深入瞭解 合規性報告的運行時間狀態。
- 主動式法規合規性報告:此概觀會提供每個作用中報表的合規性狀態。
將其他環境與 ACAT 連線
除了 Azure 之外,您也可以將其他環境與 ACAT 連線,例如,針對建置在 Azure 和 AWS 上的應用程式連線 AWS、連線 GitHub 以啟用 ACAT 以協助您自動收集辨識項等等。ACAT 會引導您 Microsoft Defender 雲端來完成連線。
使用 AWS 連線
- 移至
Environment settings左側以流覽所有現有的連線。 - 選
Add environment取 ,然後選擇Amazon Web Services使用 AWS 建立連接器。 您也可以從將 AWS 帳戶連線到雲端 Microsoft Defender 深入瞭解。 - 此連接器準備就緒后,您可以在建立合規性報告時選取 AWS 資源。