Automatizar a Certificação do Microsoft 365 com o ACAT

A Ferramenta de Automatização de Conformidade de Aplicações (ACAT) pode ser utilizada para cumprir um conjunto específico de controlos necessários para a Certificação do Microsoft 365. Este artigo descreve como implementar o ACAT no Centro de Parceiros e utilizar as avaliações de conformidade para agilizar a Certificação do Microsoft 365.

Criar o seu primeiro relatório de conformidade para integrar o ACAT

O ACAT proporciona uma visabilidade adicional à compatibilidade de uma aplicação através de relatórios personalizados. Os utilizadores podem criar relatórios com base na infraestrutura de cloud ou num ambiente específico de uma aplicação, por exemplo, produção, teste, etc.

• Pesquise e inicie a Ferramenta de Automatização de Conformidade de Aplicações para o Microsoft 365 no portal do Azure.
• Selecione Reports no lado esquerdo do ecrã.

• Selecione Create new report para criar o seu primeiro relatório de conformidade.

  • Noções básicas
    • Nome do relatório: o relatório de conformidade tem de ter um nome exclusivo e não duplicado no inquilino, que consiste numa combinação de números, letras e carateres de sublinhado. É aconselhável incluir o nome específico da aplicação ou o nome do ambiente no nome do relatório.
    • Hora do acionador: o ACAT efetua atualizações diárias de avaliações de compatibilidade para relatórios, proporcionando flexibilidade para definir uma hora específica para atualizar avaliações num fuso horário designado.
    • Recursos: defina o limite de conformidade do relatório ao selecionar recursos da sua infraestrutura de cloud. Utilize os filtros para procurar recursos com base na subscrição, no grupo de recursos, nas etiquetas e muito mais.

  

  Configuração básica para o relatório de conformidade

  • Certificação Microsoft 365
    • GUID da Oferta: o GUID da oferta serve como um identificador exclusivo para a oferta do marketplace no Centro de Parceiros da Microsoft e é a chave para ligar o relatório de conformidade às ofertas do marketplace. Depois de ligar a conformidade com as ofertas do marketplace, pode utilizar o relatório de conformidade para agilizar o processo de Certificação do Microsoft 365 para as ofertas do marketplace no Centro de Parceiros. Selecione saiba mais para obter o GUID da oferta da sua aplicação. Este passo é opcional durante a criação do relatório inicial e pode ser configurado quando começar a publicar a sua aplicação.

  

  Configuração da Certificação do Microsoft 365

Depois de confirmar a configuração e criar o relatório de conformidade, o ACAT recolhe automaticamente dados relacionados com a conformidade das seguintes origens:

• Ative o Microsoft Defender para Cloud (escalão gratuito) para a sua subscrição.
• Ative políticas personalizadas para a sua subscrição.

Auditar as avaliações de conformidade com o relatório de conformidade

Reveja o estado de tempo de execução dos relatórios de conformidade e realize auditorias sobre avaliações de compatibilidade.

• Aceda à Reports esquerda para obter um resumo dos relatórios de conformidade existentes.

  • O estado do tempo de execução mostra o estado das atualizações mais recentes para avaliações de compatibilidade:
    • Ativo: as avaliações de compatibilidade deste relatório foram atualizadas com êxito.
    • Falha: o ACAT encontrou uma falha na atualização das avaliações de compatibilidade durante a atualização mais recente. As falhas podem resultar de configurações de subscrição incorretas ou de um problema de sistema com o ACAT. Veja a documentação de orientação de recuperação automática fornecida para resolver o problema.
    • Desativado: o relatório de conformidade tinha sido desativado (em pausa) manualmente pelo utilizador. Esta funcionalidade não está atualmente ativada na pré-visualização pública.
  • Criado em: O Criado Em mostra quando o relatório de compatibilidade é criado.
  • Hora do último acionador e Hora do acionador seguinte: o ACAT atualiza as avaliações de compatibilidade dos relatórios diariamente. A Hora do último acionador significa quando a última atualização foi iniciada, enquanto a hora do acionador Seguinte indica a hora agendada para a próxima atualização do relatório.
  • Certificação do Microsoft 365: reveja o estado de conformidade dos controlos específicos da Certificação do Microsoft 365.

  

  Lista de relatórios de conformidade existentes.

Além de aceder a resumos de alto nível de relatórios de conformidade existentes, pode analisar os detalhes de cada avaliação de compatibilidade. Selecione o nome do relatório para obter detalhes específicos da avaliação para uma auditoria mais detalhada.

O ACAT fornece uma barra de ferramentas que lhe permite realizar as seguintes ações:

• Definições: modifique a configuração do relatório de conformidade.

  • Editar informações básicas: edite a configuração básica do relatório.
  • Editar recursos: adicione ou remova recursos com base na infraestrutura de cloud atual.
  • Editar configuração da aplicação: edite a configuração da aplicação para alinhar o relatório com o conjunto de controlo adequado.
  • Editar a configuração da Certificação do Microsoft 365: configure GUIDs de oferta para associar o relatório a ofertas do Marketplace no Centro de Parceiros da Microsoft.
  • Configurar o repositório de provas: configure o repositório de provas para armazenar as provas carregadas.

  

• Transferir relatório: transfira avaliações do relatório de conformidade que podem ser partilhadas com parceiros para colaboração.

  • Relatório de avaliação da Revisão da Certificação do Microsoft 365: este relatório PDF organiza as avaliações de compatibilidade com base nos controlos de Certificação da Microsoft. Se for selecionada para utilização na fase Documento Inicial, é entregue automaticamente ao analista para revisão. Além disso, tem a opção de transferir e carregá-la manualmente como prova, se necessário.
  • Relatório de avaliação para colaboração de engenheiros: este relatório PDF organiza as avaliações de compatibilidade com informações internas com base nos controlos de Certificação da Microsoft. É utilizado para colaboração interna em equipa durante auditorias de conformidade.
  • Relatório de avaliação para colaboração de engenheiros: este relatório do Excel contém informações ao nível dos recursos e avaliações de conformidade correspondentes para colaboração interna em equipa durante auditorias de conformidade.
  • Inventário da infraestrutura de cloud: este relatório do Excel contém os detalhes de recursos deste relatório de conformidade, fornecendo uma descrição abrangente do inventário da cloud associado à sua aplicação.

  

• Notificações: obtenha notificações sobre a alteração das definições do relatório de compatibilidade ou a alteração do estado das avaliações de controlo. Saiba mais sobre como receber notificações através do webhook.

• Integração com o pipeline CI/CD: o ACAT permite-lhe manter a conformidade contínua e automatizada para a sua aplicação ao integrar de forma totalmente integrada com pipelines de CI/CD. Saiba mais sobre como integrar com o pipeline do GitHub Actions e como integrar com outros pipelines com APIs REST.

• Como submeter um pedido de certificação com a ACAT: execute uma validação rápida para garantir que este relatório está pronto para certificação e receba orientações sobre como utilizá-lo para certificação no Centro de Parceiros.

  

  Como submeter um pedido de certificação com o ACAT.

O ACAT permite-lhe aprofundar mais detalhes sobre as avaliações de relatórios e conformidade.

• O Essentials indica o estado e as definições do relatório de conformidade.

  

  Essencial do relatório de conformidade.

• Avaliações de controlo - Vista de Certificação do Microsoft 365

  • As avaliações de controlo são organizadas por domínios de segurança de Certificação do Microsoft 365, famílias de controlo e controlos.
    • Pode rever o estado de conformidade por responsabilidade do cliente ao nível do controlo individual.
    • Na secção responsabilidade do cliente, selecione "Ações" para aceder ao estado de conformidade dos recursos associados e detetar os passos de remediação para quaisquer recursos com falhas.
    • Utilize a pesquisa e os filtros para localizar controlos específicos com base nas suas necessidades.
      • Pesquise os controlos por nome de controlo ou nome de responsabilidade do cliente.
      • Utilize Control family para filtrar por domínio de segurança ou família de controlo.
      • Utilize Control status para filtrar as falhas de conformidade atuais.
      • Utilize Customer responsibility type para filtrar por tipo de CR automatizado ACAT.
  • Saiba mais sobre o estado de conformidade do controlo e da responsabilidade do cliente.

  

  Avaliações de conformidade do relatório de conformidade.

Certifique-se de que um conjunto de controlo robusto é o ponto focal do relatório de conformidade

A Certificação do Microsoft 365 apresenta um conjunto de controlo adequado consoante a configuração da aplicação. Tem de concluir a configuração da aplicação para alinhar o relatório com o conjunto de controlo adequado antes de auditar as avaliações de compatibilidade.

• Se não concluir a configuração da aplicação para o relatório, tal resultará numa mensagem de aviso apresentada na responsabilidade correspondente do cliente, orientando-o para as definições de configuração da aplicação.

  

  Mensagem de aviso e documentação de orientação sobre a configuração da aplicação.

• Também pode editar a application configuration definição a partir da opção Settings na barra de ferramentas do relatório.

  

  Definição de configuração da aplicação.

Resolva os requisitos de controlo ao submeter provas para a sua solução de conformidade

Além de seguir os passos de remediação para resolver falhas de conformidade, também pode cumprir os requisitos de conformidade ao carregar provas para a sua própria solução.

Para resolver problemas de privacidade, tem de configurar o repositório de provas inicialmente. Crie ou selecione a conta de armazenamento para armazenar provas de controlos de Certificação do Microsoft 365 de forma segura. Depois de criada, a conta de armazenamento pode ser utilizada para todos os relatórios.

• Se não configurar o repositório de provas, clicar em Actions para qualquer responsabilidade do cliente e encontrar uma mensagem de aviso na secção Carregar Provas irá guiá-lo para as definições de relatório correspondentes.

  

  Mensagem de aviso e documentação de orientação sobre o repositório de provas.

• Também pode editar a evidence repository definição a partir da opção Settings na barra de ferramentas do relatório.

  

  Configuração da definição do repositório de provas.

Depois de configurar o repositório de provas, se quiser cumprir os requisitos de controlo manual ou cumprir os critérios de controlo com a sua própria solução, pode carregar provas para a respetiva responsabilidade do cliente. Depois de carregar as provas para uma responsabilidade do cliente, o respetivo estado de conformidade será alterado automaticamente para "Revisão da conformidade da aplicação necessária".

• Clique Actions na responsabilidade do cliente.

• Expanda a Upload evidence área.

• Procure e carregue os seus ficheiros de provas locais.

• Submeta ficheiros de provas para armazená-los no repositório de provas.

  

  Procurar e carregar provas.

Para responsabilidades automatizadas de recolha de provas do cliente, se o ACAT identificar os recursos suportados na lista de recursos do seu relatório ACAT, não precisa de preparar as provas manualmente. Em vez disso, o ACAT pode resumir os dados de conformidade num ficheiro de provas ACAT e carregá-lo para o seu repositório de provas.

• Selecione uma responsabilidade automatizada do cliente de recolha de provas.
• Clique Actions na responsabilidade do cliente.
• Expanda a Remediation steps área e reveja os tipos de recursos suportados que podem ser recolhidos como prova.
• Expanda a Upload evidence área e clique no Collect evidence by ACAT botão . Após a recolha de provas, as provas recolhidas pelo ACAT serão apresentadas na lista de ficheiros abaixo.
• Reveja as provas recolhidas pela ACAT e carregue provas adicionais, se necessário.

Utilizar o seu primeiro relatório de conformidade com a auditoria de Certificação do Microsoft 365

Na barra de ferramentas do relatório, clicar em How to submit certifcation request with ACAT orienta-o durante todo o percurso desde a Certificação ACAT até à Certificação do Microsoft 365.

Em geral, antes de utilizar o relatório de conformidade com a Certificação do Microsoft 365, tem de configurar o para o offer GUID associar às ofertas do marketplace. Há duas opções:

• Durante o processo de criação do relatório de conformidade, configure o GUID da oferta no Microsoft 365 Certification separador.
• Se o relatório de conformidade já estiver criado, aceda a Settings este relatório de conformidade para configurar o GUID da oferta.

Assim que o GUID da oferta estiver configurado, aceda ao Centro de Parceiros da Microsoft para iniciar a Certificação do Microsoft 365.

• Em Initial Documentation selecione Sim para confirmar que está a utilizar o ACAT.
• Selecione o relatório de conformidade ativo mais atualizado para a auditoria.

A Certificação do Microsoft 365 submete as avaliações de conformidade e as provas carregadas aos auditores de certificação automaticamente, poupando-lhe tempo e esforço.

Obter uma descrição geral de alto nível dos seus relatórios de conformidade

Descrição geral fornece um estado de alto nível para os seus relatórios de conformidade. Saiba mais sobre o estado de tempo de execução do relatório de conformidade.

• Relatórios de Conformidade Regulamentar Ativa: esta descrição geral fornece-lhe o estado de conformidade de cada relatório Ativo .

Saiba mais

• Saiba mais sobre a Certificação do Microsoft 365
• Manter a aplicação em conformidade continuamente com o ACAT
• Guia de resolução de problemas do ACAT