適用於 Microsoft 365 的應用程式合規性自動化工具
在本文中,您將了解什麼是適用於 Microsoft 365 的應用程式合規性自動化工具 (ACAT) ,以及它如何簡化合規性並取得 Microsoft 365 認證。
注意事項
ACAT 目前處於公開預覽狀態,且僅支援建置在 Azure 上的應用程式。 在未來,它也會支援建置在其他雲端或不同雲端混合的應用程式。
注意事項
如果您想要提供意見反應給 ACAT 公開預覽,請完成此 表單。 一旦收到您的訊息,ACAT 產品小組就會儘快與您一起追蹤。
什麼是 Microsoft 365 的應用程式合規性自動化工具
適用於 Microsoft 365 (ACAT) 的應用程式合規性自動化工具是 Azure 入口網站 中的一項服務,可協助簡化任何取用 Microsoft 365 客戶數據並透過合作夥伴中心發佈之應用程式的合規性旅程。 這是以應用程式為中心的合規性自動化工具,可協助您更輕鬆又方便地完成 Microsoft 365 認證。 在公開預覽中,ACAT 適用於在 Azure 上執行的應用程式。
使用此工具,您將能快速定義應用程式的合規性界限、自動監視合規性結果,並更輕鬆地完成合規性稽核。 合規性界限是雲端基礎結構,可支援應用程式的傳遞,以及應用程式可能與之通訊的任何後端系統。
除了提供更快速的 Microsoft 365 認證追蹤之外,ACAT 還可協助您在 Microsoft 365 應用程式的各種合規性案例中:
- Microsoft 365 認證責任的詳細檢視和補救步驟。
- 自動每日報告可協助您持續取得合規性結果。
- 安全性與合規性最佳做法,可作為應用程式生命週期早期階段的指引。
ACAT 的優點
以應用程式為中心的合規性旅程圖。
- ACAT 會報告應用程式雲端環境的合規性評量,您可以與目前的雲端基礎結構合規性策略整合。
- 即使在應用程式開發階段,開發人員也可以叫用 ACAT。
加速取得 Microsoft 365 認證的程式。
- ACAT 會將特定 Microsoft 365 認證控件完全自動化。
- Microsoft 正在積極開發持續成長的自動化清單。
與 Microsoft 365 認證工作流程的原生整合。
- ACAT 與合作夥伴中心完全整合,適用於 Microsoft 365 認證用途。
讓您的應用程式或環境持續符合規範。
- ACAT 可確保合規性評量的每日更新,並根據您指定的觸發時間設定量身打造。
- ACAT 可讓您將合規性評估順暢地整合到 GitHub Actions 或其他 CI/CD 管線,以確保持續監視。
ACAT 的概念
法規合規性報告
在 ACAT 中,您可以為其建立合規性報告來稽核應用程式的合規性狀態。 您可以藉由指定建置應用程式的 Azure 資源,來定義應用程式的合規性界限。 根據不同的開發環境和階段,為一個應用程式建立多個報表。
建立報表之後,ACAT 會開始收集您預先定義觸發時間的合規性數據,然後為您產生合規性結果作為報告。 同時,ACAT 會持續監視合規性報告的合規性變更,直到您選擇刪除報告為止。
Microsoft 365 認證控件
ACAT 藉由自動化合規性控制來加速 Microsoft 365 認證。 根據自動化狀態,ACAT 中定義了三種類型的合規性控件。
- 完全自動化控制項:ACAT 已完全自動化 Microsoft 認證控制件。
- 部分自動化手動控制:ACAT 可以自動化 Microsoft 365 認證控件的部分責任。 您必須遵循 ACAT 提供的指示來完成其餘責任。
- 完全手動控制:您必須遵循 ACAT 提供的指示來完成所有責任。
長期而言,ACAT 會持續改善 Microsoft 365 認證控件的自動化涵蓋範圍。
客戶責任
有一組客戶責任與每個需要滿足的控件相關聯。 這些是您在下列領域中所保留的責任:數據、端點、帳戶、存取管理等等。
ACAT 會收集每個客戶責任的數據,並傳回其評定結果。 它也會為您提供補救動作,這是我們的指導方針,可協助您符合 Microsoft 365 認證標準。
瞭解 Microsoft 365 認證控件的合規性狀態
在法規合規性報告中,ACAT 會定義每個完全自動化控制和部分自動化手動控制的客戶責任。 客戶責任有兩個合規性狀態。
- 通過:適用於此客戶責任的雲端資源狀況良好。
- 失敗:至少有一個雲端資源狀況不良。 您可以遵循補救步驟來解決狀況不良的資源。
- N/A:沒有雲端資源適用於客戶責任,或根據此報表的應用程式組態,將此客戶責任視為不適用。
- 需要應用程式合規性檢閱:您會手動收集辨識項,並將它上傳給此客戶責任。 在 Microsoft 合作夥伴網路中提交 Microsoft 365 認證要求之後,分析師將進行徹底的檢閱。
Microsoft 365 認證控件的合規性狀態取決於客戶責任的合規性狀態。
- 通過:此 Microsoft 365 認證控件沒有任何客戶責任處於「失敗」或「需要應用程式合規性檢閱」狀態。
- 失敗:與此 Microsoft 365 認證控件相關,至少有一個客戶責任失敗。
- N/A:此 Microsoft 365 認證控件的所有客戶責任都處於「N/A」狀態。
- 需要應用程式合規性檢閱:至少有一個客戶責任處於「需要應用程式合規性檢閱」狀態。 在 Microsoft 合作夥伴網路中提交 Microsoft 365 認證要求之後,分析師將進行徹底的檢閱。
常見問題集
什麼是手動控件和部分自動化控制項?
每個合規性控制都會連結到一組特定的客戶責任,ACAT 會據以收集合規性數據。 請務必注意,現在,ACAT 並未涵蓋 Microsoft 365 認證 (的所有控件,不過正在努力擴充涵蓋範圍) 。 在部分自動化控制的情況下,ACAT 會自動化客戶責任的特定層面。 部分自動化控件的評定結果會對 Microsoft 365 認證稽核造成影響,而您需要採取進一步的動作來滿足任何剩餘的需求。 不過,針對手動控制,ACAT 目前不會將任何客戶責任自動化。
如何知道控制項是否已完全自動化?
ACAT 會持續增強控件自動化。 以下是控制項自動化的目前狀態。
| 安全性網域 | 控件系列 | 控制編號 | ACAT 自動化狀態 |
|---|---|---|---|
| 作業安全性 | 認知訓練 | 控件 1 | 手動 |
| 作業安全性 | 惡意代碼防護 - 防病毒軟體 | 控件 2 | 全自動 |
| 作業安全性 | 惡意代碼保護 - 應用程控 | 控件 3 | 手動 |
| 作業安全性 | 修補程式管理 - 修補 & 風險排名 | 控件 4 | 手動 |
| 作業安全性 | 修補程式管理 - 修補 & 風險排名 | 控件 5 | 手動 |
| 作業安全性 | 弱點掃描 | 控件 6 | 全自動 |
| 作業安全性 | 弱點掃描 | 控件 7 | 全自動 |
| 作業安全性 | 網路安全性控制 (NSC) | 控件8 | 部分自動化 |
| 作業安全性 | 網路安全性控制 (NSC) | 控件 9 | 部分自動化 |
| 作業安全性 | 變更控制件 | 控件 10 | 手動 |
| 作業安全性 | 變更控制件 | 控件 11 | 手動 |
| 作業安全性 | 安全軟體開發/部署 | 控件 12 | 手動 |
| 作業安全性 | 安全軟體開發/部署 | 控件 13 | 手動 |
| 作業安全性 | 帳戶管理 | 控件 14 | 部分自動化 |
| 作業安全性 | 帳戶管理 | 控件 15 | 手動 |
| 作業安全性 | 帳戶管理 | 控件 16 | 手動 |
| 作業安全性 | 安全性事件記錄、檢閱和警示 | 控件 17 | 部分自動化 |
| 作業安全性 | 安全性事件記錄、檢閱和警示 | 控件 18 | 全自動 |
| 作業安全性 | 安全性事件記錄、檢閱和警示 | 控件 19 | 手動 |
| 作業安全性 | 安全性事件記錄、檢閱和警示 | 控件 20 | 手動 |
| 作業安全性 | 資訊安全性風險管理 | 控件 21 | 手動 |
| 作業安全性 | 資訊安全性風險管理 | 控件 22 | 手動 |
| 作業安全性 | 資訊安全性風險管理 | 控件 23 | 手動 |
| 作業安全性 | 資訊安全性風險管理 | 控件 24 | 手動 |
| 作業安全性 | 安全性事件回應 | 控件 25 | 手動 |
| 作業安全性 | 安全性事件回應 | 控件 26 | 手動 |
| 作業安全性 | 安全性事件回應 | 控件 27 | 手動 |
| 作業安全性 | 商務持續性計劃 (BCP) 和災害復原計劃 | 控件 28 | 手動 |
| 作業安全性 | 商務持續性計劃 (BCP) 和災害復原計劃 | 控件 29 | 手動 |
| 作業安全性 | 商務持續性計劃 (BCP) 和災害復原計劃 | 控件 30 | 手動 |
| 數據處理安全性 & 隱私權 | 傳輸中的數據 | 控件 1 | 全自動 |
| 數據處理安全性 & 隱私權 | 傳輸中的數據 | 控件 2 | 手動 |
| 數據處理安全性 & 隱私權 | 待用數據 | 控件 3 | 全自動 |
| 數據處理安全性 & 隱私權 | 數據保留、備份和處置 | 控件 4 | 手動 |
| 數據處理安全性 & 隱私權 | 數據保留、備份和處置 | 控件 5 | 手動 |
| 數據處理安全性 & 隱私權 | 數據保留、備份和處置 | 控件 6 | 手動 |
| 數據處理安全性 & 隱私權 | 數據保留、備份和處置 | 控件 7 | 手動 |
| 數據處理安全性 & 隱私權 | 數據存取管理 | 控件8 | 手動 |
| 數據處理安全性 & 隱私權 | 數據存取管理 | 控件 9 | 手動 |
| 數據處理安全性 & 隱私權 | 隱私權 | 控件 10 | 手動 |
| 數據處理安全性 & 隱私權 | 隱私權 | 控件 11 | 手動 |
| 數據處理安全性 & 隱私權 | GDPR | 控件 12 | 手動 |
| 數據處理安全性 & 隱私權 | GDPR | 控件 13 | 手動 |
| 數據處理安全性 & 隱私權 | HIPAA | 控件 14 | 手動 |
| 數據處理安全性 & 隱私權 | HIPAA | 控件 15 | 手動 |
我根據補救建議進行了建議的變更,但控件仍然失敗
採取更正動作來解決失敗之後,請允許 ACAT 時間擷取已更新的評估結果以取得控制狀態。 評定會根據您預先決定的觸發時間,每隔 24 小時執行一次。
如何在認證程式中使用合規性報告?
ACAT 與 合作夥伴中心 緊密整合,以完成您的 Microsoft 365 認證旅程。 深入瞭解 如何使用合規性報告來加速 Microsoft 365 認證