此範例辨識項指南可協助 ISV 產生完成 Microsoft 365 認證所需的正確辨識項。 此檔包含每個控制項的意圖和控制項的所有子元件,以及使用範例辨識項檔、原則和螢幕擷取畫面來收集控制項辨識點的潛在方式。 此外,本指南還提供了有關如何構建提交證據的幫助。
本文件中共用的任何範例都不代表可用來證明符合控制的唯一證據。 這些是辨識項類型的指導方針,可協助認證分析師判斷 ISV 是否已符合控制項。
請注意:用於滿足認證要求的實際介面、螢幕截圖和文件將根據產品使用、系統設定和內部流程而有所不同。 如果需要原則或程式檔,ISV 必須傳送實際檔的完整版本,而不是某些範例中可能顯示的螢幕擷取畫面。
任何要提交的屏幕截圖必須是帶有任何 URL 的全屏屏幕截圖,登錄用戶 (請確保在屏幕截圖) 中可見登錄用戶的姓名,並包含時間和日期戳。 對於基於 Linux 的系統,請使用命令提示符生成此信息,將此信息與控制證據一起包含在控制證據中。
提交時的所有證據都需要少於 3 個月,以確保在您完成認證時,證據仍然相關且不會過時。 如果不遵守此規定,您可能會被要求收集新證據。
另請注意:任何測試版 API 都不能用於此認證或此過程中使用的任何範例。
建議您遵循這些指南,以避免因證據不足而延遲評估。
Microsoft 365 認證結構
該認證圍繞三個安全領域構建:
應用程式安全 (包括必要時的連線檢查)
認證需要滲透測試,並將在應用程式安全性網域下進行檢閱。 有關此要求的更多詳細信息,請參閱證據提交結構的第 3 節和第 4 節。
為了簡化認證流程,安全網域被分解為控制組。 這些控制組可協助獨立軟體廠商 (ISV,) 以更小、更結構化的步驟來管理證據收集。 它們與常見的企業資源框架保持一致,使內部團隊更容易協調工作並加速證據收集。
每個控制項都與評定活動描述相關聯,直接衍生自 Microsoft 365 認證檢查清單。 這包括安全控制的意圖、解釋為什麼需要它以及它旨在減輕的特定風險。 目標是讓 ISV 清楚瞭解每個控制項背後的原因,讓他們能夠判斷所需的辨識項類型,並確保在準備提交時的意識。
為了協助證據收集,提供了範例證據指南。 這些指導方針清楚說明認證分析師可用來評估控制措施是否已到位和維護的可接受證據類型。 然而,這些範例並不詳盡,僅供參考,而不是嚴格要求。
[範例辨識項] 區段包含範例螢幕擷取畫面和影像,示範 Microsoft 365 認證架構內各種控制項的潛在辨識項提交。 這與營運安全和資料處理、安全性和隱私權領域特別相關。 任何帶有紅色箭頭或框的範例影像都旨在突出顯示重要細節,並確保更好地了解滿足特定控制所需的要求。
證據提交結構
針對所有適用控制項的證據提交將透過合作夥伴中心進行,但 Microsoft 合規性記錄 和 連絡中心 認證的評估除外。 這些可以通過手動過程,如果您是合規記錄或聯絡中心,請跳過本節並參見下一節有關完成認證。
為了確保認證分析師可以輕鬆識別提供的證據並成功審查它,請遵循以下建議:
對於每個部分,請確保在提交之前清楚地標記證據。 如果每個控制項有多個證據,請將證據放入單個單詞/pdf 文件中,包括證據顯示內容的評論。 如果證據由多個 word/pdf 文件組成,即支持文件,請將它們作為單獨的文件上傳。 請不要將這些檔案放入 zip 檔案中以上傳至合作夥伴中心,因為我們不接受 zip 檔案,因為存在惡意代碼的風險。
所有外部框架資訊都應完整提供,不得編輯 (我們只允許從這些報告中編輯部分個人姓名,因為這屬於個人識別資訊 (PII) ) - 報告的所有部分都應包含,例如,ISO 27001 適用性聲明 (SOA) 和證書, 完整的 SOC 2 類型 2 報告和/或完整的 PCI-DSS 合規性證明 (AOC) 。 所有檔都包含在第 7 條下的 Microsoft 合作夥伴中心合約中。
) (第 7 節包括以下保密協議:
要求時,必須透過合作夥伴中心傳送完整的未編輯滲透測試報告 - 請注意,如果未提供,認證分析師將無法完成 Microsoft 365 認證的稽核。
內部和外部基礎設施和 Web 應用程式滲透測試 — 所有託管環境都需要滲透測試報告。
對於 (內部部署託管 (IaaS) 或 ISV 的基礎設施即服務,需要) 內部和外部基礎設施和 Web 應用程式測試的私人資料中心。
針對平台即服務「PaaS/無伺服器」,滲透測試應該來自您的 Web 應用程式和基礎支援基礎結構。
注意:免費滲透測試 – 免費的 Microsoft 滲透測試僅限於十二天。 如果我們在設定滲透測試範圍時,您的應用程式需要超過 12 天的測試時間,系統會要求您支付額外天數的費用。 如果您需要在非工作時間進行滲透測試,這也會產生額外費用。 提供的滲透測試服務也僅限於一次滲透測試 (包括每年一次重新測試) ,例如,如果您在 2025 年 9 月 1 日進行了滲透測試,那麼您將無法在 2026 年 8 月 31 日之前獲得另一次滲透測試。
這適用於所有提交嘗試,這意味著這適用於您當前的提交週期,如果您決定關閉當前提交並在同年晚些時候重新啟動流程,您將無權獲得額外的滲透測試,因為已經為您執行了一次測試。
- 所有 ISV 都必須在 14 天內完成初始文件提交, (這包括在收到Microsoft系統管理小組的票證開始電子郵件之後,與分析師) 的任何來回。 14 天的時間範圍用於全面完成、審查並將提交移至完整證據階段。 ISV 應該定期檢查,以查看其分析師是否需要任何修改或要求任何其他資訊或檔。 在 14 天期間,ISV 可能會視需要多次提交必要的資訊,請記住,如果提交未主動處理,則會被視為過時並在合作夥伴中心關閉,而且需要重新啟動認證。 在某些情況下,ISV 最多可能會提供 30 天才能完成。 如果 ISV 無法在指定的時間範圍內完成初始文件提交,則其提交將會關閉。
此外,所有 ISV 都必須在提交從初始文件提交階段移至完整證據收集階段後的 60 天內完成認證。 這包括評估員/審計師在整個過程中提供的任何修訂和反饋。 60 天的時間範圍是完整完成、檢閱和最終 Q/A 的證據,這表示 ISV 應該在完成日期前至少兩週提交其辨識項,以確保依時完成認證。 在 60 天期間,ISV 可以視需要多次向合作夥伴中心提交辨識項。 需要在完成日期前兩週提交最終文件,以便認證分析師有時間檢閱和問答提交內容。 60 天結束後,ISV 將需要重新開始程式。
如果在認證過程中出現問題,認證分析師可以針對有效的疑慮授予潛在的延期。 如果 ISV 被認為正在積極處理您的提交,分析師可以自行決定將時間延長,最多額外 30 天。 請注意,如果延長 0 到 30 天,ISV 將需要確保在延長結束日期前兩週提供證據以供審查。
如果獲得延期,但證據超過 3 個月,則可能會通過問答,因為該證據可能被視為過時,因為從提供證據到最終問答之間的時間很長,這意味著該控制 () 將需要新的證據。 延期時間結束後,將不會再延長,而且 ISV 應在延期) 結束前至少兩週 (提交其證據,如果未提交,提交將被歸類為失敗並關閉。 如果在最初的 60 天內或) 最多 30 天的延長時間內的任何時間都沒有開始對提交進行 (進行的工作,則提交將被歸類為放棄並關閉。
如果提交已歸類為已放棄,ISV 將需要使用新的證明和新證據重新啟動程式,因為目前的證據將被視為過時。 請注意,ISV 一年內只允許提交一次。 如果 ISV 基於任何原因在處於完整證據收集階段後放棄程式,且其提交已標示為已放棄,則在下一年之前,他們將無法重新啟動程式。
手動證據提交結構 – 聯絡中心 & 合規記錄
為了協助確保認證分析師可以輕鬆識別提供的證據並成功檢閱,如果根據認證小組的要求手動提交,請遵循這些證據提交結構的建議。
為每個安全控制組 (創建一個文檔,該文檔 (可以輕鬆查看,即以 Word 或 PDF) 形式,例如防病毒、補丁管理等 ) 。
在安全控制群組後面命名單一文件,以清楚說明文件包含的內容。
將您的證據成品新增至其中,參考您組織支援控制組的支援文件,以及認證分析師的任何其他附註,說明成品是什麼,以及此證據如何符合控制項 (如果您使用控制編號命名影像,即資料安全性和隱私權控制第 1 號) ,它將有助於您的認證分析師。
附註: 請記住,在使用取樣時,需要從樣本集中的每一個裝置取得構件,請確定構件也會顯示系統名稱,以驗證構件是否來自正在評估的裝置,且沒有資料被遮蓋或編輯。
- 所有外部框架資訊都應完整提供,不得編輯 (我們只允許從這些報告中編輯個人姓名,因為這些報告屬於 PII) - 報告的所有部分都應包含,例如 ISO 27001 適用性聲明 (SOA) 和證書、完整的 SOC 2 類型 2 報告和/或完整的 PCI-DSS 合規性證明 (AOC) 完整的 HIPAA 報告或 FedRAMP 。 所有檔都包含在第 7 節下的 Microsoft 合作夥伴中心合約中。
) (第 7 節包括以下保密協議:
要求時,必須將完整的未編輯滲透測試報告傳送給認證分析師 - 請注意,如果未提供,認證分析師將無法完成您的 Microsoft 365 認證。
內部和外部基礎設施和 Web 應用程式 — 所有託管環境都需要滲透測試報告。
對於 (內部部署託管 (IaaS) 或 ISV 的基礎設施即服務,需要) 內部和外部基礎設施和 Web 應用程式測試的私人資料中心。
針對平台即服務「PaaS/無伺服器」,滲透測試應該來自您的 Web 應用程式和基礎支援基礎結構。
免費滲透測試 - 請注意,免費的 Microsoft 滲透測試僅限於 12 天。 如果應用程式需要超過 12 天的測試時間,則會要求 ISV 支付額外天數的費用。 此外,如果 ISV 要求根據稽核員的位置在正常工作時間之外進行滲透測試,這也會產生額外的成本。 提供的滲透測試服務僅限於一次免費滲透測試 (包括每年一次提交嘗試的重新測試) 。
- 所有 ISV 都必須在 14 天內完成初始文件提交 (這包括在收到Microsoft系統管理團隊的票證開始電子郵件之後,) 與您的分析師進行的任何向後和向前。 14 天的時間範圍用於全面完成、審查並將提交移至完整證據階段。 ISV 應該定期檢查,以查看其分析師是否需要任何修改或要求任何其他資訊或檔。 在 14 天期間,ISV 可能會視需要多次提交必要的資訊,不過,請記住,如果提交未主動處理,則會被視為過時並在合作夥伴中心關閉,而且必須重新啟動認證。 在某些情況下,ISV 最多可能會提供 30 天才能完成。 如果 ISV 無法在指定的時間範圍內完成初始文件提交,則其提交將會關閉。
此外,所有 ISV 都必須在提交從初始文件提交階段移至完整證據收集階段後的 60 天內完成認證。 這包括評估員/審計師在整個過程中提供的任何修訂和反饋。 60 天的時間範圍是完整完成、檢閱和最終 Q/A 的證據,這表示 ISV 應該在完成日期前至少兩週提交證據,以確保認證按時完成。 在 60 天期間,ISV 可以視需要多次向合作夥伴中心提交辨識項。 最終提交必須在完成日期前至少兩週提交,以便認證分析師有時間檢閱和問答提交。 60 天結束後,ISV 將需要重新開始程式。
如果在認證過程中出現問題,認證分析師可以針對有效的疑慮授予潛在的延期。 如果 ISV 被認為正在積極處理您的提交,分析師可以自行決定將時間延長,最多額外 30 天。 請注意,如果延長 0 到 30 天,ISV 將需要確保在延長結束日期前兩週提供證據以供審查。
如果獲得延期,但證據超過 3 個月,則可能會通過問答,因為該證據可能被視為過時,因為從提供證據到最終問答之間的時間很長,這意味著該控制 () 將需要新的證據。 延期時間結束後,將不會再延長,而且 ISV 應在延期) 結束前至少兩週 (提交其證據,如果未提交,提交將被歸類為失敗並關閉。 如果在最初的 60 天內或) 最多 30 天的延長時間內的任何時間都沒有開始對提交進行 (進行的工作,則提交將被歸類為放棄並關閉。
如果提交已歸類為已放棄,ISV 將需要使用新的證據重新啟動程式,因為目前的證據將被視為過時。 請注意,ISV 一年內只允許提交一次。 如果 ISV 基於任何原因在處於完整證據收集階段後放棄程式,且其提交已標示為已放棄,則在下一年之前,他們將無法重新啟動程式。
建立用於聯絡中心合規記錄 & 資料夾結構
請遵循這些指示來建立分析師檢閱所提供證據所需的資料夾結構。
完成初始文件提交,以便設定控制項的範圍。 請提供盡可能多的詳細信息,並且架構圖和數據流圖也具有相同的詳細程度。
建立內部或線上資料夾,並將所有文件新增至其中。
將實際共用資料夾標示為 Microsoft Certification
將您的初始文件提交資訊新增至名為 IDS 的資料夾中的 Microsoft Certification 資料夾。
在 [認證] 資料夾內,建立四個具有下列名稱的資料夾:
應用程式安全性 (這是針對您的滲透測試資訊)
外部架構的合規性 (,例如 SOC 2)
操作安全 (操作系統)
資料安全 & 隱私 (DS&P)
在 OS 和 DS&P 資料夾中,請為每組控制項(即惡意軟體、修補程式等)建立控制組,您可以在其中為每個控制項新增文件 (如果您希望具體化,您可以為每個單獨的控制項建立一個資料夾,以便自己更容易透過控制項名稱追蹤證據 - 在這種情況下,請將這些資料夾稱為 Control X,其中 X 代表控制編號) 。 請注意,在控制項設定範圍之前,您將無法建立次要資料夾結構。
資料夾結構根資料夾的範例:
「證據」資料夾內的子資料夾:
將文件上傳至共用之後,請授與共用資料夾的權限,並透過電子郵件將詳細資料傳送給認證分析師。 請在單獨的電子郵件中發送任何密碼。
整理證據時,請記得全屏截圖,顯示任何登錄的用戶、URL 以及日期和時間戳記。 如果使用 Linux,則可以從命令提示符完成此操作。 在必要時為每個控制項提供任何說明,並記住,原則需要原則的完整複本,而不是程式碼片段或螢幕擷取畫面。
請參閱本文件,以協助瞭解控制項和我們所需的證據類型。
任何可能需要的滲透測試都不會被安排,並且在您獲得 50% 的控制獲得批准之前,您不會收到啟動該過程的文件。 滲透測試僅免費 12 天,但是如果您的滲透測試運行超過 12 天,則您需要在測試開始前預付額外的天數。
一旦您收到範圍控制項的副本以收集針對控制項的證據,您的股票代碼就會啟動 - 您將收到一封電子郵件,並且您將有 60 天的時間完成整個認證過程,包括滲透測試。
請嘗試在 30 天內提交控制項的第一次迭代,以便在 60 天用完之前識別任何問題並請求修訂。