Microsoft 365 認證常見問題

以下是ISV (獨立軟體供應商在啟動 Microsoft 365 認證時) 的一些常見問題。 如果您有任何此處未涵蓋的查詢，請透過連絡 Microsoft 365 應用程式認證小組 AppCert@Microsoft.com。 本檔是以ISV為目標，您可以在 [Microsoft 365 應用程式合規性計劃] 頁面下找到 有關 Microsoft 365 安全性與合規性計劃的一般資訊。

否，取得其中一個業界辨識的架構不是Microsoft 365 認證的需求。

簡短答案是 [是]。 目前，Microsoft 365 認證規格接受PCI DSS、SOC 2和ISO27001外部架構的辨識項。 Microsoft 365 認證提交指南已對應這些現有外部架構的對齊位置;不過，我們發現在某些實例中，現有的標準/架構尚未適當地對齊。 因此，Microsoft 365 認證小組會檢閱所提供的標準/架構辨識項，並標示符合Microsoft 365 認證內的控件。

Microsoft不需要獨立檢閱 Microsoft 365 認證的 GDPR 一致性，因為這是一個/或案例，我們將接受自我證明，我們可以在未進行任何外部檢閱時獨立驗證。 由於這比稽核更是一項評量，而與在程序期間收集的辨識項有關， 檢閱隱私策略和內部程式是我們取得 GDPR 控制的方式。 基於我們在GDPR控件中所尋找的目的，它主要牽涉到檢閱隱私策略，以確保它們符合基本GDPR需求;例如，正在處理的個人資料、處理的合法性、指出數據主體許可權、使用者 (SAR) 的主體存取要求如何執行、ISV 如何處理 SAR、ISV 公司詳細數據和數據保留詳細數據。

是，視找到的問題而定，可能需要重新測試。 您的認證分析師將會檢閱您現有的報告，並提供後續步驟的建議。 由於滲透測試是Microsoft 365 認證的一部分提供，因此新的滲透測試可能會免費解決此問題。

是，您提交的部分資訊會是公開資訊，有些可能是機密資訊。 如果您已備妥具有Microsoft的現有 NDA，則該 NDA 的條款將套用至您提交的機密資訊。 如果您沒有具有Microsoft的 NDA，您在合作夥伴中心內簽署的發行者合約機密性條款將會套用至該機密資訊。

目前，Microsoft建議使用合作夥伴中心安全地共用此資訊。 許多ISV會利用合作夥伴中心來確保其數據安全且有效率地共用。

否，Microsoft確認您可能需要開發額外的安全性程式，以橋接現有安全性程式與Microsoft 365 認證預期之間的差距。 Microsoft 365 認證小組會檢閱新開發的記載程式，並檢閱至少執行過一次程式的辨識項。 不需要額外的歷史辨識項，因為這不適用於這些新開發的程式。 12 個月後，年度評定期間會開始評估歷史辨識項的範例。

在評定期間，認證分析師會檢閱提供的文件和辨識項，以評估您是否符合Microsoft 365 認證控件。 在這項工作中，Microsoft 365 認證小組會要求包含架構詳細數據、圖表、數據記憶體詳細數據、應用程式設計詳細數據、原則和處理檔、組態檔和螢幕快照的資訊。 在某些情況下，或如果您比較容易，可以安排螢幕共用會話來顯示認證分析師辨識項。 如果要使用現有的合規性架構來支援評定活動，則需要適當的檔來示範外部稽核員/評估人員已評估並確認是否已就緒。 如果支援檔無法提供必要的敘述來確切示範外部安全性架構內的控件是否已符合，Microsoft 365 認證小組將無法利用外部安全性架構來支援Microsoft 365 認證評定。

若要符合Microsoft 365 認證，不太可能需要對基礎結構進行重大變更。 這些控件是以業界安全性最佳做法為基礎，而且很可能已經實作。 我們已在大部分情況下看到;ISV 必須更新內部程式，以橋接目前工作做法與Microsoft 365 認證內所需專案之間的差距。 如果這是問題，Microsoft建議您檢閱最新的 Microsoft 365 認證控件，您可以在 Microsoft 365 認證概觀 中找到，以確保您目前部署的環境和工作作法符合定義的控件。

Microsoft不提供解決方案的特定建議，以符合Microsoft 365 認證控件。 您可以使用任何商業或 開放原始碼 供應專案，前提是它們受到主動支持和維護。

一般而言，從完整辨識項檢閱階段開始，評定可能需要平均 60 天才能完成。 不過，這可能取決於許多變數，例如：用來支援應用程式/載入巨集的裝載環境大小、支援應用程式/載入巨集的裝載環境類型，以及ISV回應辨識項要求的提示方式。

大部分的工作只是及時收集檔和辨識項。 在這之後，每周應該不需要超過數小時的時間來完成評定程式。 某些可能會影響所需時間的變數是環境大小，以及是否有任何外部安全性架構可用來支援評量。

我們已設定評量可以執行的時間長度限制，因為已經收集的辨識項可能會因為評量所花費的時間越長而過時。 這是時間點評估，因此需要配置適當的期間來完成。 在您提交初始檔提交，且我們已成功設定適用於您環境的控件範圍之後，我們會響應辨識項的要求。 此階段稱為完整辨識項檢閱。 應閱讀 Microsoft 365 認證概觀 ，而且您應該確信在提交初始檔提交之前，可以符合所有控件。

可惜的是，如果評定未在60天的時間範圍內完成，Microsoft會將評定標示為失敗。 此標記僅適用於內部統計數據，永遠不會發佈。 您將能夠立即重新啟動評定程式，但系統會要求您重新傳送新辨識項以支援新的應用程式。

目前，您可以免費完成Microsoft 365 認證。 如需與滲透測試相關的可能費用，請參閱下方。

作為 Microsoft 365 認證計劃的一部分，滲透測試最多可免費使用 12 天和 2 個重新測試天，任何額外的天數都可向您收費。 另請注意，延遲取消時可能會收取費用。 滲透測試的範圍僅限於屬於Microsoft 365 認證範圍內的應用程式和支援基礎結構。

完成時，ISV 會收到免費的數位行銷套件，將其應用程式升階為Microsoft 365 認證。

Microsoft 365 認證評定期間提供的辨識項必須能夠提供足夠的保證，確保您符合所評估的特定Microsoft 365 認證控件。 辨識項的格式可以是組態檔、設定或辨識項的螢幕快照、原則/程序檔或螢幕共用會話，以向認證分析師示範辨識項。 以下是兩個範例：

評定活動：「示範防病毒軟體正在所有取樣的系統元件上執行。」：針對此控件，您可以從範例中支援防病毒程式的每個裝置提供螢幕快照，其中顯示防病毒程式正在執行，或者如果您有用於防病毒軟體的集中式管理控制台，您或許可以從該管理控制台示範它。

評定活動：「示範如何識別新的安全性弱點。」：此控件來自修補程式管理一節。 其目的是您有正式記載的程式，可瞭解如何識別新的安全性弱點。 這可能在您的原始程式碼內，但也必須在支持環境中，例如 Windows 弱點、Web 相依性內的弱點 (例如 AngularJS、JQuery 等 ) 。 您應該要遵循一個已記載的程序來識別新的安全性弱點，因此應該提供記載的程序檔。 除了檔之外，您還需要提供正在遵循程序的辨識項;例如，如果您利用 npm 稽核之類的項目來檢查弱點的相依性，則提供報告範例將會提供辨識項。 如果您使用多個進程，也就是針對不同的系統元件，則必須提供所有進程的辨識項。

深入了解

• Microsoft 365 應用程式合規性計劃概觀
• 取得 Microsoft 365 認證
• 什麼是 Microsoft 365 認證？