Strumento di automazione della conformità delle app per Microsoft 365

In questo articolo si apprenderà cos'è lo strumento di automazione della conformità delle app per Microsoft 365 (ACAT) e come semplifica la conformità e ottenere la certificazione Microsoft 365.

Nota

ACAT è attualmente disponibile in anteprima pubblica e supporta solo le app basate su Azure. In futuro supporterà anche applicazioni basate su altri cloud o su una combinazione di cloud diversi.

Nota

Per inviare commenti e suggerimenti all'anteprima pubblica di ACAT, compilare questo modulo. Il team del prodotto ACAT seguirà l'utente il prima possibile una volta ricevuti i messaggi.

Informazioni su App Compliance Automation Tool per Microsoft 365

App Compliance Automation Tool per Microsoft 365 (ACAT) è un servizio nel portale di Azure che consente di semplificare il percorso di conformità per qualsiasi app che usa i dati dei clienti di Microsoft 365 e viene pubblicata tramite il Centro per i partner. Si tratta di uno strumento di automazione della conformità incentrato sull'applicazione che consente di completare la certificazione Microsoft 365 con maggiore facilità e praticità. In Anteprima pubblica, ACAT è disponibile per le app in esecuzione in Azure.

Con questo strumento, sarà possibile definire rapidamente il limite di conformità per le applicazioni, monitorare automaticamente i risultati di conformità e completare più facilmente il controllo di conformità. Il limite di conformità è l'infrastruttura cloud che supporta il recapito dell'app e di tutti i sistemi back-end con cui l'app può comunicare.

Oltre a fornire un percorso più rapido verso la certificazione Microsoft 365, ACAT può essere utile in vari scenari di conformità per le applicazioni Microsoft 365:

  • Procedura dettagliata di visualizzazione e correzione per le responsabilità della certificazione Microsoft 365.
  • Report giornalieri automatici che consentono di ottenere continuamente risultati di conformità.
  • Procedure consigliate per la sicurezza e la conformità che possono essere usate come indicazioni nella fase iniziale del ciclo di vita dell'applicazione.

Vantaggi di ACAT

Percorso di conformità incentrato sulle applicazioni.

  • ACAT segnala le valutazioni di conformità per l'ambiente cloud delle applicazioni, che è possibile integrare con la strategia di conformità dell'infrastruttura cloud corrente.
  • Gli sviluppatori possono richiamare ACAT anche durante la fase di sviluppo di app.

Accelera il processo di certificazione di Microsoft 365.

  • ACAT automatizza completamente alcuni controlli di certificazione Microsoft 365.
  • C'è un elenco di automazione in continua crescita che viene attivamente sviluppato da Microsoft.

Integrazione nativa con il flusso di lavoro Certificazione Microsoft 365.

  • ACAT è completamente integrato con il Centro per i partner per lo scopo della certificazione Microsoft 365.

Mantenere l'applicazione o l'ambiente conforme in modo continuo.

  • ACAT garantisce aggiornamenti giornalieri delle valutazioni di conformità, adattandoli all'impostazione dell'ora di attivazione specificata.
  • ACAT consente di integrare facilmente le valutazioni di conformità in GitHub Actions o in altre pipeline CI/CD, garantendo un monitoraggio continuo.

Concetti di ACAT

Report conformità alle normative

In ACAT è possibile controllare lo stato di conformità dell'applicazione creando un report di conformità. È possibile definire il limite di conformità per l'applicazione specificando le risorse di Azure che compilano l'applicazione. Creare più report per un'applicazione, in base a diversi ambienti e fasi di sviluppo.

Dopo aver creato il report, ACAT inizia a raccogliere i dati di conformità in base all'ora di attivazione predefinita e quindi generare automaticamente i risultati della conformità come report. Nel frattempo, ACAT continua a monitorare continuamente le modifiche di conformità per il report di conformità, fino a quando non si sceglie di eliminare il report.

Controllo della certificazione Microsoft 365

ACAT accelera la certificazione Microsoft 365 automatizzando i controlli di conformità. In base allo stato di automazione, esistono tre tipi di controlli di conformità definiti in ACAT.

  • Controllo completamente automatizzato: il controllo di certificazione Microsoft è completamente automatizzato da ACAT.
  • Controllo manuale automatizzato parziale: ACAT potrebbe automatizzare le responsabilità parziali del controllo della certificazione Microsoft 365. È necessario seguire le istruzioni fornite da ACAT per completare le responsabilità rimanenti.
  • Controllo completamente manuale: è necessario seguire le istruzioni fornite da ACAT per completare tutte le responsabilità.

A lungo termine, ACAT migliora continuamente la copertura di automazione dei controlli di certificazione Microsoft 365.

Responsabilità del cliente

A ogni controllo è associato un set di responsabilità dei clienti che devono essere soddisfatte. Le responsabilità vengono mantenute dall'utente nelle aree seguenti: dati, endpoint, account, gestione degli accessi e così via.

  • Responsabilità manuale del cliente: è necessario preparare le prove di conformità e caricarle in ACAT. ACAT trasferirà quindi le prove al Centro per i partner quando si invia il report ACAT.

  • Responsabilità del cliente di valutazione automatizzata: ACAT può raccogliere dati per ogni responsabilità e fornire un risultato di valutazione. È necessario risolvere eventuali risorse non integre correggendole o fornendo prove di conformità aggiuntive per giustificare lo stato corrente della risorsa.

  • Responsabilità del cliente per la raccolta automatica delle prove: per i report contenenti risorse supportate dalla funzionalità di raccolta automatizzata delle prove di ACAT, ACAT offre assistenza semplificata per la preparazione delle prove di conformità tramite un processo semplice con clic sui pulsanti. Se l'elenco di risorse del report non dispone di risorse supportate, è comunque possibile caricare manualmente le prove di conformità.

Sia la valutazione automatizzata che le responsabilità dei clienti per la raccolta automatica delle prove forniscono azioni correttive, che sono le nostre linee guida per l'allineamento con gli standard di certificazione Microsoft 365.

Nota

Le responsabilità dei clienti di valutazione automatizzata vengono rieseguire ogni giorno in base all'ora di attivazione pianificata. Tuttavia, le responsabilità dei clienti per la raccolta automatica delle prove possono essere aggiornate solo su richiesta facendo clic sul pulsante "Raccolta automatizzata delle prove tramite ACAT".

Comprendere lo stato di conformità dei controlli di certificazione di Microsoft 365

Nel report conformità alle normative, ACAT definisce le responsabilità dei clienti per ogni controllo completamente automatizzato e il controllo manuale automatizzato parziale. Esistono due stati di conformità per la responsabilità del cliente.

  • Superato: le risorse cloud applicabili per questa responsabilità del cliente sono integre.
  • Non riuscita: è presente almeno una risorsa cloud non integra. È possibile seguire i passaggi di correzione per risolvere le risorse non integre.
  • N/D: nessuna risorsa cloud è applicabile alla responsabilità del cliente o questa responsabilità del cliente è considerata inapplicabile in base alla configurazione dell'applicazione per questo report.
  • Verifica della conformità dell'app richiesta: è necessario raccogliere manualmente le prove e caricarle nella responsabilità del cliente. Un analista effettuerà una revisione approfondita dopo aver inviato la richiesta di certificazione Microsoft 365 in Microsoft Partner Network.

Gli stati di conformità dei controlli di certificazione microsoft 365 si basano sullo stato di conformità delle responsabilità dei clienti.

  • Superato: nessuna responsabilità del cliente è nello stato 'Failed' o 'App compliance review required' per questo controllo di certificazione di Microsoft 365.
  • Non riuscita: almeno una responsabilità del cliente non è riuscita in relazione al controllo della certificazione Microsoft 365.
  • N/D: tutte le responsabilità dei clienti per questo controllo di certificazione Microsoft 365 sono nello stato "N/D".
  • Verifica della conformità delle app obbligatoria: almeno una responsabilità del cliente è nello stato "Verifica conformità app richiesta". Un analista effettuerà una revisione approfondita dopo aver inviato la richiesta di certificazione Microsoft 365 in Microsoft Partner Network.

Domande frequenti

Cosa sono i controlli manuali e i controlli parzialmente automatizzati?

Ogni controllo di conformità è collegato a un set specifico di responsabilità dei clienti, con ACAT che raccoglie di conseguenza i dati di conformità. È importante notare che, ora, ACAT non copre tutti i controlli per la certificazione Microsoft 365 (anche se sono in corso sforzi per espandere la copertura). Nel caso di controlli parzialmente automatizzati, ACAT automatizza aspetti specifici delle responsabilità dei clienti. I risultati della valutazione di un controllo parzialmente automatizzato contribuiscono al controllo della certificazione Microsoft 365 e sono necessarie ulteriori azioni da parte dell'utente per soddisfare eventuali requisiti rimanenti. Tuttavia, per i controlli manuali, ACAT attualmente non automatizza le responsabilità dei clienti.

Come è possibile sapere se il controllo è completamente automatizzato?

ACAT migliora continuamente l'automazione del controllo. Ecco lo stato corrente dell'automazione dei controlli.

Dominio di sicurezza Famiglia di controlli Numero di controllo Stato di automazione ACAT
Sicurezza operativa Formazione sulla sensibilizzazione Controllo 1 Manuale
Sicurezza operativa Protezione da malware - Antivirus Controllo 2 Completamente automatizzato
Sicurezza operativa Protezione da malware - Controllo delle applicazioni Controllo 3 Manuale
Sicurezza operativa Gestione delle patch - Classificazione dei rischi & delle patch Controllo 4 Manuale
Sicurezza operativa Gestione delle patch - Classificazione dei rischi & delle patch Controllo 5 Parziale automatizzato
Sicurezza operativa Analisi delle vulnerabilità Controllo 6 Completamente automatizzato
Sicurezza operativa Analisi delle vulnerabilità Controllo 7 Completamente automatizzato
Sicurezza operativa Controlli di sicurezza di rete (NSC) Controllo 8 Parziale automatizzato
Sicurezza operativa Controlli di sicurezza di rete (NSC) Controllo 9 Parziale automatizzato
Sicurezza operativa Controllo delle modifiche Controllo 10 Manuale
Sicurezza operativa Controllo delle modifiche Controllo 11 Manuale
Sicurezza operativa Sviluppo/distribuzione di software sicuro Controllo 12 Manuale
Sicurezza operativa Sviluppo/distribuzione di software sicuro Controllo 13 Parziale automatizzato
Sicurezza operativa Gestione account Controllo 14 Parziale automatizzato
Sicurezza operativa Gestione account Controllo 15 Parziale automatizzato
Sicurezza operativa Gestione account Controllo 16 Parziale automatizzato
Sicurezza operativa Registrazione, revisione e avvisi degli eventi di sicurezza Controllo 17 Completamente automatizzato
Sicurezza operativa Registrazione, revisione e avvisi degli eventi di sicurezza Controllo 18 Completamente automatizzato
Sicurezza operativa Registrazione, revisione e avvisi degli eventi di sicurezza Controllo 19 Manuale
Sicurezza operativa Registrazione, revisione e avvisi degli eventi di sicurezza Controllo 20 Completamente automatizzato
Sicurezza operativa Gestione dei rischi per la sicurezza delle informazioni Controllo 21 Manuale
Sicurezza operativa Gestione dei rischi per la sicurezza delle informazioni Controllo 22 Manuale
Sicurezza operativa Gestione dei rischi per la sicurezza delle informazioni Controllo 23 Manuale
Sicurezza operativa Gestione dei rischi per la sicurezza delle informazioni Controllo 24 Manuale
Sicurezza operativa Risposta agli eventi imprevisti di sicurezza Controllo 25 Manuale
Sicurezza operativa Risposta agli eventi imprevisti di sicurezza Controllo 26 Manuale
Sicurezza operativa Risposta agli eventi imprevisti di sicurezza Controllo 27 Manuale
Sicurezza operativa Piano di continuità aziendale (BCP) e piano di ripristino di emergenza Controllo 28 Parziale automatizzato
Sicurezza operativa Piano di continuità aziendale (BCP) e piano di ripristino di emergenza Controllo 29 Parziale automatizzato
Sicurezza operativa Piano di continuità aziendale (BCP) e piano di ripristino di emergenza Controllo 30 Manuale
Privacy & sicurezza della gestione dei dati Dati in transito Controllo 1 Completamente automatizzato
Privacy & sicurezza della gestione dei dati Dati in transito Controllo 2 Completamente automatizzato*
Privacy & sicurezza della gestione dei dati Dati inattivi Controllo 3 Completamente automatizzato
Privacy & sicurezza della gestione dei dati Conservazione, backup ed eliminazione dei dati Controllo 4 Manuale
Privacy & sicurezza della gestione dei dati Conservazione, backup ed eliminazione dei dati Controllo 5 Manuale
Privacy & sicurezza della gestione dei dati Conservazione, backup ed eliminazione dei dati Controllo 6 Parziale automatizzato
Privacy & sicurezza della gestione dei dati Conservazione, backup ed eliminazione dei dati Controllo 7 Parziale automatizzato
Privacy & sicurezza della gestione dei dati Gestione accesso ai dati Controllo 8 Parziale automatizzato
Privacy & sicurezza della gestione dei dati Gestione accesso ai dati Controllo 9 Manuale
Privacy & sicurezza della gestione dei dati Privacy Controllo 10 Manuale
Privacy & sicurezza della gestione dei dati Privacy Controllo 11 Parziale automatizzato
Privacy & sicurezza della gestione dei dati GDPR Controllo 12 Parziale automatizzato
Privacy & sicurezza della gestione dei dati GDPR Controllo 13 Manuale
Privacy & sicurezza della gestione dei dati HIPAA Controllo 14 Manuale
Privacy & sicurezza della gestione dei dati HIPAA Controllo 15 Manuale

Nota

Lo stato di automazione ACAT esprime l'extent di automazione che può essere utile per preparare l'evidenza di conformità per un controllo.

  • Manuale: è necessario preparare manualmente tutte le prove di conformità per ogni responsabilità del cliente sotto questo controllo.
  • Parziale automatizzato: questo controllo include una combinazione di responsabilità dei clienti, tra cui valutazioni automatizzate, raccolta automatizzata delle prove e responsabilità manuali dei clienti. È necessario correggere eventuali responsabilità dei clienti non riuscite e sfruttare la funzionalità di raccolta automatica delle prove per la raccolta delle prove. Per le responsabilità manuali, assicurarsi di fornire le prove di conformità necessarie e caricarle nell'ACAT.
  • Completamente automatizzato: tutte le responsabilità dei clienti sotto questo controllo sono responsabilità dei clienti di valutazione automatizzata o responsabilità dei clienti per la raccolta automatica delle prove.

Sono state apportate le modifiche suggerite in base al suggerimento di correzione, ma il controllo continua a non riuscire

Dopo aver eseguita un'azione correttiva per risolvere l'errore, attendere il tempo ACAT per recuperare i risultati aggiornati della valutazione per lo stato del controllo. Le valutazioni vengono condotte ogni 24 ore, in base al tempo di attivazione predeterminato.

Come viene usato il report di conformità nel processo di certificazione?

ACAT è perfettamente integrato con il Centro per i partner per completare il percorso di certificazione Microsoft 365. Altre informazioni su come usare il report di conformità per accelerare la certificazione di Microsoft 365

Ulteriori informazioni