Automatiser la certification Microsoft 365 avec ACAT

  • Article

L’outil ACAT (App Compliance Automation Tool) peut être utilisé pour répondre à un ensemble spécifique de contrôles requis pour la certification Microsoft 365. Cet article explique comment implémenter ACAT dans l’Espace partenaires et utiliser les évaluations de conformité pour accélérer la certification Microsoft 365.

Remarque

ACAT est actuellement en préversion publique et prend uniquement en charge les applications basées sur Azure. Les futures mises à jour incluront des fonctionnalités pour les applications basées sur des services cloud non hébergés par Microsoft. Pour tout commentaire sur la préversion publique d’ACAT, remplissez ce formulaire. Un spécialiste de l’équipe produit ACAT effectuera un suivi avec vous dès que possible.

Créer votre premier rapport de conformité pour intégrer ACAT

ACAT offre une visibilité supplémentaire à la conformité d’une application via des rapports personnalisés. Les utilisateurs peuvent créer des rapports basés sur l’infrastructure cloud ou un environnement spécifique d’une application, par exemple, production, préproduction, etc.

  • Recherche et lancer l’outil d’automatisation de la conformité des applications pour Microsoft 365 dans Portail Azure.
  • Sélectionnez Reports sur le côté gauche de l’écran.

Créer un rapport de conformité

  • Sélectionnez cette option Create new report pour créer votre premier rapport de conformité.

    • Concepts de base
      • Nom du rapport : le rapport de conformité doit avoir un nom unique et non redondant dans le locataire, composé d’une combinaison de chiffres, de lettres et de traits de soulignement. Il est recommandé d’inclure le nom de l’application ou de l’environnement spécifique dans le nom du rapport.
      • Heure de déclenchement : ACAT effectue des mises à jour quotidiennes des évaluations de conformité pour le rapport, offrant ainsi la flexibilité nécessaire pour définir une heure spécifique pour l’actualisation des évaluations dans un fuseau horaire désigné.
      • Ressources : définissez la limite de conformité de votre rapport en sélectionnant les ressources de votre infrastructure cloud. Utilisez les filtres pour rechercher des ressources en fonction de l’abonnement, du groupe de ressources, des étiquettes, etc.

    Configuration de base

    • Certification Microsoft 365
      • GUID de l’offre : le GUID de l’offre sert d’identificateur unique pour l’offre de la Place de marché dans l’Espace partenaires Microsoft, et il est essentiel de connecter le rapport de conformité à la ou aux offres de la Place de marché. Après avoir connecté la conformité à la ou aux offres de la Place de marché, vous pouvez utiliser le rapport de conformité pour accélérer le processus de certification Microsoft 365 pour vos offres de la Place de marché dans l’Espace partenaires. Sélectionnez En savoir plus pour obtenir le GUID de l’offre de votre application. Cette étape est facultative lors de la création du rapport initial et peut être configurée lorsque vous commencez à publier votre application.

    Configuration de la certification Microsoft 365

Après avoir confirmé la configuration et créé le rapport de conformité, ACAT collecte automatiquement les données relatives à la conformité à partir des sources suivantes :

Remarque

Veuillez prévoir 24 heures pour qu’ACAT génère les évaluations de conformité initiales pour votre rapport en fonction de vos préférences spécifiées.

Auditer les évaluations de conformité avec votre rapport de conformité

Passez en revue les status d’exécution des rapports de conformité et effectuez des audits sur les évaluations de conformité.

  • Accédez à Reports gauche pour obtenir un résumé des rapports de conformité existants.

    • La status d’exécution affiche les status des mises à jour les plus récentes pour les évaluations de conformité :
      • Actif : les évaluations de conformité de ce rapport ont été correctement mises à jour.
      • Échec : ACAT a rencontré un échec lors de la mise à jour des évaluations de conformité lors de l’actualisation la plus récente. Les échecs peuvent provenir de configurations d’abonnement incorrectes ou d’un problème système avec ACAT. Reportez-vous aux conseils de récupération automatique fournis pour résoudre le problème.
      • Désactivé : le rapport de conformité a été désactivé (suspendu) manuellement par l’utilisateur. Cette fonctionnalité n’est actuellement pas activée en préversion publique.
    • Created At : l’affichage Créé à lors de la création du rapport de conformité.
    • Heure du dernier déclencheur et Heure du déclencheur suivant : ACAT met à jour les évaluations de conformité pour les rapports quotidiennement. L’heure du dernier déclencheur indique le moment où la dernière mise à jour a été lancée, tandis que l’heure du déclencheur Suivant indique l’heure planifiée pour la prochaine mise à jour du rapport.
    • Certification Microsoft 365 : passez en revue les status de conformité des contrôles spécifiques à la certification Microsoft 365.

    Liste des rapports de conformité

En plus d’accéder aux résumés généraux des rapports de conformité existants, vous pouvez explorer les détails de chaque évaluation de conformité. Sélectionnez le nom du rapport pour récupérer des détails d’évaluation spécifiques pour un audit plus approfondi.

Barre d’outils rapport de conformité

ACAT fournit une barre d’outils qui vous permet d’effectuer les actions suivantes :

  • Paramètres : modifiez la configuration du rapport de conformité.

    • Modifier les informations de base : modifiez la configuration de base du rapport.
    • Modifier des ressources : ajoutez ou supprimez des ressources en fonction de l’infrastructure cloud actuelle.
    • Modifier la configuration de l’application : modifiez la configuration de l’application pour aligner votre rapport sur le jeu de contrôles approprié.
    • Modifier la configuration de la certification Microsoft 365 : configurez des GUID d’offre pour associer le rapport aux offres de la Place de marché dans l’Espace partenaires Microsoft.
    • Référentiel de preuves de configuration : configurez le référentiel de preuves pour stocker les preuves chargées.

    Paramètres de rapport

  • Télécharger le rapport : téléchargez les évaluations du rapport de conformité qui peuvent être partagées avec des partenaires à des fins de collaboration.

    • Rapport d’évaluation pour la révision de la certification Microsoft 365 : ce rapport PDF organise les évaluations de conformité en fonction des contrôles Microsoft Certification. S’il est sélectionné pour une utilisation dans la phase Document initial, il est automatiquement remis à l’analyste pour révision. En outre, vous avez la possibilité de le télécharger et de le charger manuellement en tant que preuve si nécessaire.
    • Rapport d’évaluation pour la collaboration des ingénieurs : ce rapport PDF organise les évaluations de conformité avec des informations internes basées sur des contrôles Microsoft Certification. Il est utilisé pour la collaboration d’équipe interne lors des audits de conformité.
    • Rapport d’évaluation pour la collaboration des ingénieurs : ce rapport Excel contient des informations au niveau des ressources et des évaluations de conformité correspondantes pour la collaboration d’équipe interne lors des audits de conformité.
    • Inventaire de l’infrastructure cloud : ce rapport Excel contient les détails des ressources de ce rapport de conformité, fournissant une description complète de l’inventaire cloud associé à votre application.

    Télécharger des rapports

  • Notifications : recevez des notifications de modification des paramètres de rapport de conformité ou contrôlez les évaluations status modification. En savoir plus sur la façon de recevoir des notifications via le webhook.

  • Intégration au pipeline CI/CD : ACAT vous permet de maintenir une conformité continue et automatisée pour votre application en s’intégrant en toute transparence aux pipelines CI/CD. En savoir plus sur l’intégration à GitHub Actions pipeline et sur l’intégration à d’autres pipelines avec des API REST.

  • Comment soumettre une demande de certification avec ACAT : Effectuez une validation rapide pour vérifier si ce rapport est prêt pour la certification et recevoir des conseils sur la façon de l’utiliser pour la certification dans l’Espace partenaires.

    Conseils sur la soumission de la certification avec ACAT

ACAT vous permet d’examiner plus en détail le rapport et les évaluations de conformité.

  • Essentials indique le status et les paramètres du rapport de conformité.

    Éléments essentiels du rapport de conformité

  • Évaluations de contrôle - Vue de certification Microsoft 365

    • Les évaluations des contrôles sont organisées par domaines de sécurité de la certification Microsoft 365, familles de contrôles et contrôles.
      • Vous pouvez examiner la conformité status par responsabilité du client au niveau du contrôle individuel.
      • Dans la section Responsabilité du client, choisissez « Actions » pour accéder à la status de conformité des ressources associées et découvrir les étapes de correction des ressources ayant échoué.
      • Utilisez la recherche et les filtres pour rechercher des contrôles spécifiques en fonction de vos besoins.
        • Recherche les contrôles par nom de contrôle ou par nom de responsabilité client.
        • Utilisez Control family pour filtrer par domaine de sécurité ou famille de contrôle.
        • Utilisez Control status pour filtrer les échecs de conformité actuels.
    • En savoir plus sur les status de conformité pour le contrôle et la responsabilité du client.

    Évaluations des rapports de conformité

Vérifier qu’un jeu de contrôles robuste est le point central de votre rapport de conformité

La certification Microsoft 365 propose un ensemble de contrôles approprié en fonction de la configuration de l’application. Vous devez terminer la configuration de l’application pour aligner votre rapport sur le jeu de contrôles approprié avant d’auditer les évaluations de conformité.

Répondre aux exigences de contrôle en soumettant des preuves pour votre solution de conformité

En plus de suivre les étapes de correction pour résoudre les échecs de conformité, vous pouvez également répondre aux exigences de conformité en chargeant des preuves pour votre propre solution.

Pour résoudre les problèmes de confidentialité, vous devez configurer initialement le référentiel de preuves. Créez ou sélectionnez le compte de stockage pour stocker les preuves des contrôles de certification Microsoft 365 de manière sécurisée. Une fois créé, le compte de stockage peut être utilisé pour tous les rapports.

Après avoir configuré le référentiel de preuves, si vous souhaitez répondre aux exigences de contrôle manuel ou répondre aux critères de contrôle avec votre propre solution, vous pouvez charger les preuves dans la responsabilité du client respectif. Après avoir chargé les preuves dans une responsabilité client, son status de conformité passe automatiquement à « Examen de conformité des applications requis ».

  • Sélectionnez Actions Responsabilité du client.

  • Développez le Upload evidence area.

  • Parcourez et chargez vos fichiers de preuve locaux.

  • Envoyez des fichiers de preuve pour les stocker dans le référentiel de preuves.

    Charger des preuves

Utiliser votre premier rapport de conformité avec l’audit de certification Microsoft 365

Dans la barre d’outils du rapport, le fait de cliquer sur How to submit certifcation request with ACAT vous guide tout au long du parcours de l’ACAT à la certification Microsoft 365.

Envoyer la certification avec ACAT

En général, avant d’utiliser le rapport de conformité avec la certification Microsoft 365, vous devez configurer le offer GUID pour l’associer à vos offres de la Place de marché. Il existe deux options :

  • Pendant le processus de création du rapport de conformité, configurez le GUID de l’offre dans l’onglet Microsoft 365 Certification .
  • Si le rapport de conformité est déjà créé, accédez à Settings ce rapport de conformité pour configurer le GUID de l’offre.

Une fois le GUID de l’offre configuré, accédez à l’Espace partenaires Microsoft pour lancer la certification Microsoft 365.

  • Sélectionnez Initial DocumentationOui pour confirmer que vous utilisez ACAT.
  • Sélectionnez le rapport de conformité actif le plus à jour pour l’audit.

La certification Microsoft 365 envoie automatiquement les évaluations de conformité et vos preuves chargées aux auditeurs de certification, ce qui vous fait gagner du temps et des efforts.

Remarque

Vous pouvez utiliser uniquement le rapport de conformité actif pour la révision de la certification Microsoft 365. Par conséquent, lors de la sélection d’un rapport de conformité dans Partner Center pendant le processus de certification Microsoft 365, si le rapport attendu ne figure pas dans la liste, veuillez case activée la status d’exécution du rapport.

Remarque

Si vous avez déjà chargé les preuves sur les responsabilités du client, lorsque vous passez à Control Requirements la phase de certification Microsoft 365, ACAT les remet automatiquement à l’analyste pour révision.

Obtenir une vue d’ensemble générale de vos rapports de conformité

Vue d’ensemble fournit un status de haut niveau pour vos rapports de conformité. En savoir plus sur les status de conformité au moment de l’exécution.

Vue d’ensemble des status d’exécution

  • Rapports de conformité réglementaire actifs : cette vue d’ensemble vous donne les status de conformité pour chaque rapport actif.

Vue d’ensemble des status de conformité

En savoir plus