Microsoft 365 認證範例辨識項指南概觀
此範例辨識項指南可協助ISV產生完成 Microsoft 365 認證所需的正確辨識項。 本檔包含控制項的每個控件和所有子部分的意圖,以及可為具有範例辨識項檔、原則和螢幕快照的控件收集辨識項的可能方式。 此外,本指南提供如何建構已提交辨識項的協助。
本文件中共用的任何範例都不代表唯一可用來證明符合控件的辨識項。 這些是辨識項類型的指導方針,可協助認證分析師判斷ISV是否已符合控件。
請注意:用來滿足認證需求的實際介面、螢幕快照和檔,會根據產品使用、系統設定和內部程式而有所不同。 請注意,如果需要原則或程序檔,ISV 必須傳送實際檔的完整版本,而不是螢幕快照,如某些範例所示。
任何要提交的螢幕快照都必須是具有任何 URL 的全螢幕快照,登入使用者 (請確定已登入使用者的名稱會顯示在包含時間和日期戳記的螢幕快照) 中。 針對以Linux為基礎的系統,請使用命令提示字元來產生此資訊,並在控件辨識項上包含這項資訊。
提交時的所有辨識項都必須小於 3 個月,以確保在您完成認證時,辨識項仍然相關且不過時。 如果未遵循此動作,系統可能會要求您收集新辨識項。
另請注意:沒有任何 Beta API 可用於此認證或在此程式中使用的任何範例。
建議您遵循這些指導方針,以避免因為辨識項不足而延遲評定。
注意事項
如果您在 2023 年 12 月 12 日之前啟動 Microsoft 365 認證,請參閱 舊版範例辨識項指南。
Microsoft 365 認證結構
認證已建構為三個安全性網域:
認證需要滲透測試,而且將會在應用程式安全性網域下檢閱。 如需詳細資訊,請參閱第 3 節和第 4 節的辨識項提交結構。
安全性網域會分成控制群組,以協助ISV瞭解工作結構,並將辨識項集合分割成小型、可管理的片段。 這些控制群組已與常見的企業資源結構一致,以協助識別內部小組以取得支援,同時讓小組能夠平行工作以加速辨識項收集程式。
控制 (的) :評定活動描述 - 這些控件 (的) 和相關聯的數位 (No.) 直接取自 Microsoft 365 認證檢查清單。
意圖:為何安全性控件包含在程式中的意圖,以及其旨在降低的特定風險。 希望這項資訊能為ISV提供控件背後的理由,以進一步瞭解需要收集的辨識項類型,以及ISV必須注意哪些專案,並瞭解及瞭解如何產生辨識項。
範例辨識項指導方針:提供以協助引導 Microsoft 365 認證的辨識項集合工作。 這可讓ISV清楚地看到辨識項類型的範例,這些辨識項類型可供認證分析師使用,而這些辨識項會使用它來確定控件是否已就緒並加以維護,這並非徹底的本質。
範例辨識項:本節提供針對 Microsoft 365 認證內每個控件擷取之潛在辨識項的範例螢幕快照和影像,特別是針對操作安全性和數據安全性和隱私權安全性網域。 請注意,範例中含有紅色箭號和方塊的任何資訊,可協助您進一步瞭解符合任何控件所需的需求。
辨識項提交結構
所有適用控件的辨識項提交將透過合作夥伴中心執行,但支援 Microsoft 合規性記錄和連絡中心認證的評量除外。 這些專案通常需要進行手動程式,請略過本節,如果您是合規性記錄 & 連絡中心,請參閱下一節以瞭解如何完成認證。
若要確保認證分析師可以輕鬆地識別所提供並成功檢閱的辨識項,請遵循下列建議:
針對每個區段,請確定辨識項在提交之前已清楚標示。 如果每個控件有一個以上的辨識項,請將辨識項放入單一 word/pdf 檔案中,包括辨識項所顯示內容的批註。 如果辨識項包含多個 word/pdf 檔,也就是支援檔,請將這些檔上傳為個別檔案。 請勿將這些檔案放入 ZIP 檔案以上傳至合作夥伴中心,因為我們因為有惡意代碼的風險而不接受 zip 檔案。
所有外部架構資訊都應完整提供,而不需進行修訂 (我們只允許從這些報表修訂個人的部分名稱,因為這會落在個人標識資訊 (PII) ) - 應包含報表的所有部分,例如 ISO 27001 適用性聲明 (SOA) 和憑證 完整 SOC 2 類型 2 報告和/或完整 PCI-DSS 合規性證明 (AOC) 。 所有檔均由 Microsoft 合作夥伴中心合約第 7 條所涵蓋。
第 7 節 () 包含下列 NDA:
要求時,必須透過合作夥伴中心傳送完整的未完成滲透測試報告 - 請注意,如果未提供,認證分析師將無法完成 Microsoft 365 認證的稽核。
內部和外部基礎結構和 Web 應用程式滲透測試 – 所有裝載環境都需要滲透測試報告。
針對內部部署 (裝載的 IaaS (IaaS) 或 ISV,私人資料中心) 內部和外部基礎結構和 Web 應用程式測試。
針對平臺即服務 『PaaS/無伺服器』,手寫筆測試應該來自您的 Web 應用程式和基礎支援基礎結構。
注意:免費滲透測試 – 免費的 Microsoft 手寫筆測試僅限 12 天。 如果我們將手寫筆測試的範圍設為範圍,您的應用程式需要超過12天的測試,則系統會要求您支付額外的天數,此外,如果您需要使用非時數的手寫筆測試,這也會產生額外的成本。 提供的畫筆測試服務也僅限於一個手寫筆測試 (包括每年一個重新測試) ,例如,如果您在 2022 年 9 月 1 日執行滲透測試,則在 2023 年 8 月 31 日之前,您將無法取得另一個。
這適用於所有提交嘗試,這表示這適用於您目前的提交週期,而且如果您決定關閉目前的提交,並在同一年稍後重新啟動程式,您將無法獲得額外的手寫筆測試,因為已經為您執行了一個。
- 所有 ISV 都必須在 14 天內完成其初始檔提交 (這包括分析師) 在收到來自 Microsoft 系統管理小組的票證開始電子郵件之後的任何回溯和轉寄。 14 天的時間範圍適用於完整完成、檢閱,以及將提交移至完整辨識項階段。 ISV 應該定期檢查,以查看其分析師是否要求任何增修條款,或要求任何其他資訊或檔。 在 14 天的期間內,ISV 可能會視需要提交所需的資訊次數,不過,請記住,如果提交未主動處理,則會在合作夥伴中心被視為過時且已關閉,且認證將需要重新啟動。 在某些情況下,最多可以提供 30 天才能完成 ISV。 如果ISV無法在指定的時間範圍內完成初始檔提交,則會關閉其提交。
此外,所有ISV都必須在其提交從初始檔提交階段移至完整辨識項收集階段的60天內完成認證。 這包括評估人員/稽核員在整個程式中提供的任何修訂和意見反應。 60 天的時間範圍是針對辨識項的完整完成、檢閱和最終 QA,這表示 ISV 應該在完成日期之前至少兩周提交其辨識項,以確保認證會準時完成。 在 60 天的期間內,ISV 可能會視需要多次將辨識項提交至合作夥伴中心。 不過,請記住,如所述的最終提交至少要在完成日期之前兩周,讓認證分析師有時間檢閱和 QA 提交。 60 天結束後,ISV 必須再次啟動程式。
如果在認證程式期間發生問題,認證分析師可以針對有效考慮授與可能的擴充功能。 如果ISV看到ISV正在積極處理您的提交,則分析師可自行決定是否授與最多30天的延長時間。 請注意,如果提供 0 到 30 天的擴充功能,ISV 必須確保辨識項可在延伸模塊結束日期前兩周檢閱。
如果授與擴充功能,但辨識項超過 3 個月,則可能會使 QA 失敗,因為該辨識項可能會被視為過時,因為其提供時間與最終 QA 之間的時間長度,這表示需要該控件 () 的新辨識項。 擴充功能時間結束后,將不會有進一步的擴充功能,且ISV預期會在延伸模組結束前至少兩周提交其辨識項 () ,如果未提交,提交將會分類為失敗,並且會關閉。 如果提交上沒有任何作用中的工作在初始 60 天內或擴充期間的任何時間 (最多 30 天) ,則提交會分類為已放棄,並且會關閉。
如果提交已分類為已放棄,ISV 將需要使用新的證明和全新辨識項重新啟動程式,因為目前的辨識項會被視為過時。 請注意,一年只允許一個提交ISV。 如果ISV因為任何原因而在程序進入完整辨識項收集階段且其提交被標示為已放棄時放棄程式,則在下一年之前,他們將無法重新啟動程式。
手動辨識項提交結構 – 合規性記錄 & 聯繫人中心
為了協助確保認證分析師可以輕鬆地識別所提供並成功檢閱的辨識項,如果是透過認證小組的要求手動提交,請遵循這些針對辨識項提交結構的建議。
針對每個安全性控制群組建立單一檔, (也就是在 Word 或 PDF) 中輕鬆檢閱 (,例如防病毒軟體、修補程式管理等 ) 。
將單一檔命名為安全性控制群組,以清楚說明檔包含的內容。
將辨識項成品新增至其中,並參考您組織支援控制群組的支持檔,以及認證分析師的任何其他附註,說明成品是什麼,以及此辨識項如何符合控件 (如果您將影像命名為其控制編號,也就是數據安全性和隱私權控制第 1 號) ,
注意:請記住,使用取樣時,必須從範例集中的每個裝置取出成品,請確定成品也會顯示系統名稱,以驗證成品是否來自正在評估的裝置,而且不會遮蔽或修訂任何數據。
- 所有外部架構資訊都應完整提供,而不需進行修訂 (我們只允許從這些報表中修訂個人名稱,因為這些名稱屬於 PII) - 應包含報表的所有部分、 例如,ISO 27001 適用性聲明 (SOA) 和憑證、完整的 SOC 2 類型 2 報告和/或完整 PCI-DSS 證明 (AOC) 完整 HIPAA 報告或 FedRAMP。 Microsoft 合作夥伴中心合約第 7 節涵蓋所有檔。
第 7 節 () 包含下列 NDA:
要求時,必須將完整的未完成滲透測試報告傳送給認證分析師 - 請注意,如果未提供,認證分析師將無法完成您的 Microsoft 365 認證。
內部和外部基礎結構和 Web 應用程式 – 所有裝載環境都需要滲透測試報告。
針對內部部署 (裝載的 IaaS (IaaS) 或 ISV,私人資料中心) 內部和外部基礎結構和 Web 應用程式測試。
針對平臺即服務 『PaaS/無伺服器』,手寫筆測試應該來自您的 Web 應用程式和基礎支援基礎結構。
免費滲透測試 - 請注意,免費的 Microsoft 手寫筆測試僅限 12 天。 如果應用程式需要超過 12 天的測試,則會要求 ISV 支付額外的天數。 此外,如果ISV需要根據稽核員的位置在正常上班時間內進行手寫筆測試,這也會產生額外的成本。 提供的畫筆測試服務僅限於一個免費的畫筆測試 (包括每個提交嘗試每年一次的重新測試) 。
- 所有 ISV 都必須在 14 天內完成其初始檔提交 (這包括分析師) 在收到來自 Microsoft 系統管理小組的票證開始電子郵件之後的任何回溯和轉寄。 14 天的時間範圍適用於完整完成、檢閱,以及將提交移至完整辨識項階段。 ISV 應該定期檢查,以查看其分析師是否要求任何增修條款,或要求任何其他資訊或檔。 在 14 天的期間內,ISV 可能會視需要提交所需的資訊次數,不過,請記住,如果提交未主動處理,則會在合作夥伴中心被視為過時且已關閉,且認證將需要重新啟動。 在某些情況下,最多可以提供 30 天才能完成 ISV。 如果ISV無法在指定的時間範圍內完成初始檔提交,則會關閉其提交。
此外,所有ISV都必須在其提交從初始檔提交階段移至完整辨識項收集階段的60天內完成認證。 這包括評估人員/稽核員在整個程式中提供的任何修訂和意見反應。 60 天的時間範圍是針對辨識項的完整完成、檢閱和最終 QA,這表示 ISV 應該在完成日期之前至少兩周提交其辨識項,以確保認證會準時完成。 在 60 天的期間內,ISV 可能會視需要多次將辨識項提交至合作夥伴中心。 不過,請記住,如所述的最終提交至少要在完成日期之前兩周,讓認證分析師有時間檢閱和 QA 提交。 60 天結束後,ISV 必須再次啟動程式。
如果在認證程式期間發生問題,認證分析師可以針對有效考慮授與可能的擴充功能。 如果ISV看到ISV正在積極處理您的提交,則分析師可自行決定是否授與最多30天的延長時間。 請注意,如果提供 0 到 30 天的擴充功能,ISV 必須確保辨識項可在延伸模塊結束日期前兩周檢閱。
如果授與擴充功能,但辨識項超過 3 個月,則可能會使 QA 失敗,因為該辨識項可能會被視為過時,因為其提供時間與最終 QA 之間的時間長度,這表示需要該控件 () 的新辨識項。 擴充功能時間結束后,將不會有進一步的擴充功能,且ISV預期會在延伸模組結束前至少兩周提交其辨識項 () ,如果未提交,提交將會分類為失敗,並且會關閉。 如果提交上沒有任何作用中的工作在初始 60 天內或擴充期間的任何時間 (最多 30 天) ,則提交會分類為已放棄,並且會關閉。
如果提交已分類為已放棄,ISV 將需要使用新的證明和全新辨識項重新啟動程式,因為目前的辨識項會被視為過時。 請注意,一年只允許一個提交ISV。 如果ISV因為任何原因而在程序進入完整辨識項收集階段且其提交被標示為已放棄時放棄程式,則在下一年之前,他們將無法重新啟動程式。
建立相容性記錄的資料夾結構 & 連絡中心
請遵循這些指示來建立分析人員檢閱所提供辨識項所需的資料夾結構。
完成初始檔提交,以便設定控制件的範圍。 請盡可能提供詳細數據,而且架構圖表和數據流圖也有相同層級的詳細數據。
建立內部或在線資料夾,並將所有檔新增至其中。
將實際的共享資料夾標示 Microsoft Certification
將您的初始檔提交資訊新增至名為 IDS 之資料夾中的 Microsoft Certification資料夾。
在 [認證] 資料夾內,建立四個具有下列名稱的資料夾:
應用程式安全性 (這是針對您的畫筆測試資訊)
外部架構的合規性 (,例如SOC 2)
操作安全性 (OS)
數據安全性 & 隱私權 (DS&P)
在 OS 和 DS&P 資料夾內,請為每組控件建立控件群組,例如惡意代碼、修補等。如果您想要特定,您可以為每個控件新增檔 (您可以為每個個別控件建立資料夾,讓您能夠更輕鬆地依控件名稱追蹤辨識項 – 在此情況下,請呼叫這些資料夾 Control X,其中 X 代表控件編號) 。 請注意,在設定控件的範圍之前,您將無法建立次要資料夾結構。
資料夾結構根資料夾的範例:
“Evidence” 資料夾內的子資料夾:
將檔上傳至共享之後,請授與共用資料夾的許可權,並將詳細數據傳送給認證分析師。 請在個別的電子郵件中傳送任何密碼。
定序辨識項時,請記得取得顯示任何已登入使用者、URL 和日期和時間戳的全螢幕螢幕快照。 如果使用 Linux,則可從命令提示字元完成此動作。 在每個控件需要時提供任何說明,並記住對於原則而言,需要原則的完整複本,而非代碼段或螢幕快照。
請參考這份檔,以協助瞭解控件和我們需要的辨識項類型。
任何可能需要的畫筆測試都不會排程,而且在您核准 50% 的控件之前,您將不會收到文件來啟動程式。 手寫筆測試僅免費 12 天,不過,如果您的畫筆測試執行超過 12 天,則您必須預先支付額外天數,才能開始測試。
一旦您收到範圍控制元件的複本,以收集控制項的辨識項,您的刻度器就會開始– 您會收到一封電子郵件給該效果,而且您有 60 天的時間可以完成整個認證程式,包括畫筆測試。
請嘗試在 30 天內提交控件的第一個反覆專案,以允許在 60 天用完之前識別任何問題並要求修訂。
深入了解
- 應用程式安全 性 (包括必要時的連線能力檢查)
- 範例辨識項:作業安全性
- 範例辨識項:數據安全性和隱私權