Sdílet prostřednictvím


Předdefinované definice služby Azure Policy pro azure Virtual Network

Tato stránka je indexem předdefinovaných definic zásad služby Azure Policy pro službu Azure Virtual Network. Další integrované iny Azure Policy pro jiné služby najdete v tématu Předdefinované definice služby Azure Policy.

Název každé předdefinované definice zásad odkazuje na definici zásad na webu Azure Portal. Pomocí odkazu ve sloupci Verze zobrazte zdroj v úložišti Azure Policy na GitHubu.

Azure Virtual Network

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
[Preview]: Veškerý internetový provoz by se měl směrovat přes nasazenou bránu Azure Firewall. Služba Azure Security Center zjistila, že některé z vašich podsítí nejsou chráněné bránou firewall nové generace. Ochrana podsítí před potenciálními hrozbami omezením přístupu k nim pomocí služby Azure Firewall nebo podporované brány firewall nové generace AuditIfNotExists, zakázáno 3.0.0-preview
[Preview]: Container Registry by měl používat koncový bod služby virtuální sítě. Tato zásada audituje všechny služby Container Registry, které nejsou nakonfigurované tak, aby používaly koncový bod služby virtuální sítě. Audit, zakázáno 1.0.0-preview
Na všechna připojení brány virtuální sítě Azure se musí použít vlastní zásady IPsec/IKE. Tato zásada zajišťuje, že všechna připojení brány virtuální sítě Azure používají vlastní zásady protokolu Ipsec (Internet Protocol Security)/Internet Key Exchange(IKE). Podporované algoritmy a klíčové síly – https://aka.ms/AA62kb0 Audit, zakázáno 1.0.0
Všechny prostředky protokolu toku by měly být ve stavu povoleného. Auditujte prostředky protokolu toku a ověřte, jestli je povolený stav protokolu toku. Povolení protokolů toků umožňuje protokolovat informace o toku provozu PROTOKOLU IP. Dá se použít k optimalizaci toků sítě, monitorování propustnosti, ověřování dodržování předpisů, zjišťování neoprávněných vniknutí a další. Audit, zakázáno 1.0.1
Aplikace služby App Service by měly používat koncový bod služby virtuální sítě. Pomocí koncových bodů služby virtuální sítě omezte přístup k vaší aplikaci z vybraných podsítí z virtuální sítě Azure. Další informace o koncových bodech služby App Service najdete v tématu https://aka.ms/appservice-vnet-service-endpoint. AuditIfNotExists, zakázáno 2.0.1
Konfigurace protokolů toku auditu pro každou virtuální síť Auditujte virtuální síť a ověřte, jestli jsou nakonfigurované protokoly toku. Povolení protokolů toku umožňuje protokolovat informace o provozu PROTOKOLU IP procházejících přes virtuální síť. Dá se použít k optimalizaci toků sítě, monitorování propustnosti, ověřování dodržování předpisů, zjišťování neoprávněných vniknutí a další. Audit, zakázáno 1.0.1
Aplikace Azure lication Gateway by se měla nasadit s Azure WAF. Vyžaduje, aby se prostředky brány Aplikace Azure lication nasazovaly s Azure WAF. Audit, Odepřít, Zakázáno 1.0.0
Klasická pravidla služby Azure Firewall by se měla migrovat na zásady brány firewall. Migrujte z klasických pravidel služby Azure Firewall na zásady brány firewall a využijte centrální nástroje pro správu, jako je Azure Firewall Manager. Audit, Odepřít, Zakázáno 1.0.0
Služba Azure Firewall Policy Analytics by měla být povolená. Povolení služby Policy Analytics poskytuje lepší přehled o provozu procházejícího bránou Azure Firewall a umožňuje optimalizaci konfigurace brány firewall, aniž by to mělo vliv na výkon aplikace. Audit, zakázáno 1.0.0
Zásady služby Azure Firewall by měly povolit analýzu hrozeb. Pro bránu firewall můžete povolit filtrování na základě analýzy hrozeb, které umožňuje upozorňovat na provoz ze známých škodlivých IP adres a domén nebo z nich a zamítat ho. Zdrojem těchto IP adres a domén je kanál analýzy hrozeb Microsoftu. Audit, Odepřít, Zakázáno 1.0.0
Zásady služby Azure Firewall by měly mít povolené proxy server DNS. Povolením proxy serveru DNS nastavíte bránu Azure Firewall přidruženou k této zásadě, aby naslouchala na portu 53 a předávala požadavky DNS na zadaný server DNS. Audit, zakázáno 1.0.0
Azure Firewall by se měl nasadit tak, aby přesahovaly více Zóny dostupnosti Pokud chcete zvýšit dostupnost, doporučujeme nasadit bránu Azure Firewall tak, aby přesahovala více Zóny dostupnosti. Tím zajistíte, že vaše brána Azure Firewall zůstane dostupná v případě selhání zóny. Audit, Odepřít, Zakázáno 1.0.0
Azure Firewall Standard – Klasická pravidla by měla povolit analýzu hrozeb Pro bránu firewall můžete povolit filtrování na základě analýzy hrozeb, které umožňuje upozorňovat na provoz ze známých škodlivých IP adres a domén nebo z nich a zamítat ho. Zdrojem těchto IP adres a domén je kanál analýzy hrozeb Microsoftu. Audit, Odepřít, Zakázáno 1.0.0
Azure Firewall Standard by se měl upgradovat na Premium pro ochranu nové generace. Pokud hledáte ochranu nové generace, jako je kontrola IDPS a TLS, měli byste zvážit upgrade služby Azure Firewall na skladovou položku Premium. Audit, Odepřít, Zakázáno 1.0.0
Brány Azure VPN by neměly používat skladovou položku Basic. Tato zásada zajišťuje, že brány VPN nepoužívají skladovou položku Basic. Audit, zakázáno 1.0.0
Brána firewall webových aplikací Azure ve službě Aplikace Azure lication Gateway by měla mít povolenou kontrolu těla požadavku. Ujistěte se, že brány firewall webových aplikací přidružené k bránám Aplikace Azure lication Gateway mají povolenou kontrolu těla požadavku. To umožňuje WAF kontrolovat vlastnosti v těle HTTP, které nemusí být vyhodnoceny v hlavičkách HTTP, souborech cookie nebo identifikátoru URI. Audit, Odepřít, Zakázáno 1.0.0
Brána firewall webových aplikací Azure ve službě Azure Front Door by měla mít povolenou kontrolu těla požadavku. Ujistěte se, že brány firewall webových aplikací přidružené ke službě Azure Front Door mají povolenou kontrolu těla požadavku. To umožňuje WAF kontrolovat vlastnosti v těle HTTP, které nemusí být vyhodnoceny v hlavičkách HTTP, souborech cookie nebo identifikátoru URI. Audit, Odepřít, Zakázáno 1.0.0
Firewall webových aplikací Azure by měl být povolený pro vstupní body služby Azure Front Door. Nasaďte firewall webových aplikací Azure (WAF) před veřejně přístupné webové aplikace pro další kontrolu příchozího provozu. Firewall webových aplikací (WAF) poskytuje centralizovanou ochranu webových aplikací před běžným zneužitím a ohrožením zabezpečení, jako jsou injektáže SQL, skriptování mezi weby, místní a vzdálené spouštění souborů. Přístup k webovým aplikacím můžete omezit také podle zemí, rozsahů IP adres a dalších parametrů HTTP prostřednictvím vlastních pravidel. Audit, Odepřít, Zakázáno 1.0.2
Pro Aplikace Azure lication Gateway WAF by měla být povolená ochrana před roboty. Tato zásada zajišťuje, že je ochrana robota povolená ve všech zásadách firewallu webových aplikací brány Aplikace Azure lication Gateway (WAF). Audit, Odepřít, Zakázáno 1.0.0
Pro WAF služby Azure Front Door by měla být povolená ochrana před roboty. Tato zásada zajišťuje, že je ochrana robota povolená ve všech zásadách firewallu webových aplikací služby Azure Front Door (WAF). Audit, Odepřít, Zakázáno 1.0.0
Konfigurace nastavení diagnostiky pro skupiny zabezpečení sítě Azure do pracovního prostoru služby Log Analytics Nasaďte nastavení diagnostiky do skupin zabezpečení sítě Azure pro streamování protokolů prostředků do pracovního prostoru služby Log Analytics. DeployIfNotExists, zakázáno 1.0.0
Konfigurace skupin zabezpečení sítě pro povolení analýzy provozu Analýzu provozu je možné povolit pro všechny skupiny zabezpečení sítě hostované v konkrétní oblasti s nastavením poskytovaným během vytváření zásad. Pokud už je povolená analýza provozu, zásady nepřepíšou jeho nastavení. Protokoly toku jsou také povolené pro skupiny zabezpečení sítě, které je nemají. Analýza provozu je cloudové řešení, které poskytuje přehled o aktivitách uživatelů a aplikací v cloudových sítích. DeployIfNotExists, zakázáno 1.2.0
Konfigurace skupin zabezpečení sítě pro použití konkrétního pracovního prostoru, účtu úložiště a zásad uchovávání toku pro analýzu provozu Pokud už má povolenou analýzu provozu, zásada přepíše stávající nastavení pomocí těch, které jsou k dispozici při vytváření zásad. Analýza provozu je cloudové řešení, které poskytuje přehled o aktivitách uživatelů a aplikací v cloudových sítích. DeployIfNotExists, zakázáno 1.2.0
Konfigurace virtuální sítě pro povolení služby Flow Log a Traffic Analytics Protokoly analýzy provozu a toku je možné povolit pro všechny virtuální sítě hostované v konkrétní oblasti s nastavením poskytnutým během vytváření zásad. Tato zásada nepřepíše aktuální nastavení pro virtuální sítě, které už mají tuto funkci povolenou. Analýza provozu je cloudové řešení, které poskytuje přehled o aktivitách uživatelů a aplikací v cloudových sítích. DeployIfNotExists, zakázáno 1.1.1
Konfigurace virtuálních sítí pro vynucení pracovního prostoru, účtu úložiště a intervalu uchovávání pro protokoly toku a analýzu provozu Pokud už má virtuální síť povolenou analýzu provozu, tato zásada přepíše stávající nastavení těmi, které jsou k dispozici při vytváření zásad. Analýza provozu je cloudové řešení, které poskytuje přehled o aktivitách uživatelů a aplikací v cloudových sítích. DeployIfNotExists, zakázáno 1.1.2
Cosmos DB by měl používat koncový bod služby virtuální sítě. Tato zásada audituje jakoukoli službu Cosmos DB, která není nakonfigurovaná tak, aby používala koncový bod služby virtuální sítě. Audit, zakázáno 1.0.0
Nasazení prostředku protokolu toku s cílovou skupinou zabezpečení sítě Konfiguruje protokol toku pro konkrétní skupinu zabezpečení sítě. Umožní protokolovat informace o provozu PROTOKOLU IP procházejících skupinou zabezpečení sítě. Protokol toku pomáhá identifikovat neznámý nebo nežádoucí provoz, ověřit izolaci sítě a dodržování předpisů podnikovým přístupem, analyzovat toky sítě z ohrožených IP adres a síťových rozhraní. deployIfNotExists 1.1.0
Nasazení prostředku protokolu toku s cílovou virtuální sítí Konfiguruje protokol toku pro konkrétní virtuální síť. Umožní protokolovat informace o provozu PROTOKOLU IP procházejících přes virtuální síť. Protokol toku pomáhá identifikovat neznámý nebo nežádoucí provoz, ověřit izolaci sítě a dodržování předpisů podnikovým přístupem, analyzovat toky sítě z ohrožených IP adres a síťových rozhraní. DeployIfNotExists, zakázáno 1.1.1
Nasazení služby Network Watcher při vytváření virtuálních sítí Tato zásada vytvoří prostředek sledovacího modulu sítě v oblastech s virtuálními sítěmi. Potřebujete zajistit existenci skupiny prostředků s názvem networkWatcherRG, která se použije k nasazení instancí network watcheru. DeployIfNotExists 1.0.0
Povolení pravidla omezení rychlosti pro ochranu před útoky DDoS na WAF služby Azure Front Door Pravidlo omezení rychlosti firewallu webových aplikací Azure (WAF) pro Azure Front Door řídí počet požadavků povolených z konkrétní IP adresy klienta do aplikace během doby trvání omezení rychlosti. Audit, Odepřít, Zakázáno 1.0.0
Centrum událostí by mělo používat koncový bod služby virtuální sítě. Tato zásada audituje jakékoli centrum událostí, které není nakonfigurované tak, aby používalo koncový bod služby virtuální sítě. AuditIfNotExists, zakázáno 1.0.0
Protokoly toku by měly být nakonfigurované pro každou skupinu zabezpečení sítě. Auditujte skupiny zabezpečení sítě a ověřte, jestli jsou nakonfigurované protokoly toku. Povolení protokolů toku umožňuje protokolovat informace o provozu PROTOKOLU IP procházejících přes skupinu zabezpečení sítě. Dá se použít k optimalizaci toků sítě, monitorování propustnosti, ověřování dodržování předpisů, zjišťování neoprávněných vniknutí a další. Audit, zakázáno 1.1.0
Podsítě brány by neměly být nakonfigurované se skupinou zabezpečení sítě. Tato zásada odmítne, pokud je podsíť brány nakonfigurovaná se skupinou zabezpečení sítě. Přiřazení skupiny zabezpečení sítě k podsíti brány způsobí, že brána přestane fungovat. deny 1.0.0
Služba Key Vault by měla používat koncový bod služby virtuální sítě. Tato zásada audituje všechny služby Key Vault, které nejsou nakonfigurované tak, aby používaly koncový bod služby virtuální sítě. Audit, zakázáno 1.0.0
Migrace WAF z konfigurace WAF na zásady WAF ve službě Application Gateway Pokud máte konfiguraci WAF místo zásad WAF, možná budete chtít přejít na novou zásadu WAF. V budoucnu budou zásady brány firewall podporovat nastavení zásad WAF, sady spravovaných pravidel, vyloučení a zakázané skupiny pravidel. Audit, Odepřít, Zakázáno 1.0.0
Síťová rozhraní by měla zakázat předávání IP Tato zásada zakazuje síťová rozhraní, která povolila předávání IP. Nastavení předávání IP zakáže kontrolu zdroje a cíle síťového rozhraní Azure. To by měl zkontrolovat tým zabezpečení sítě. deny 1.0.0
Síťová rozhraní by neměla mít veřejné IP adresy Tato zásada zakazuje síťová rozhraní, která jsou nakonfigurovaná s libovolnou veřejnou IP adresou. Veřejné IP adresy umožňují internetovým prostředkům příchozí komunikaci s prostředky Azure a prostředkům Azure odchozí komunikaci s internetem. To by měl zkontrolovat tým zabezpečení sítě. deny 1.0.0
Protokoly toku služby Network Watcher by měly mít povolenou analýzu provozu. Analýza provozu analyzuje protokoly toku, aby poskytovala přehled o toku provozu ve vašem cloudu Azure. Dá se použít k vizualizaci síťové aktivity napříč předplatnými Azure a identifikaci horkých míst, identifikaci bezpečnostních hrozeb, pochopení vzorců toku provozu, určení chyb konfigurace sítě a další. Audit, zakázáno 1.0.1
Služba Network Watcher by měla být povolená. Network Watcher je regionální služba, která umožňuje monitorovat a diagnostikovat podmínky na úrovni scénáře sítě v Azure a z Azure. Monitorování na úrovni scénáře umožňuje diagnostikovat problémy na úrovni sítě na konci až do zobrazení na úrovni sítě. Je nutné mít skupinu prostředků sledovacího nástroje sítě, která se má vytvořit v každé oblasti, kde je virtuální síť přítomná. Výstraha je povolená, pokud skupina prostředků sledovacího prostředí sítě není v konkrétní oblasti dostupná. AuditIfNotExists, zakázáno 3.0.0
Veřejné IP adresy a předpony veřejných IP adres by měly mít značku FirstPartyUsage. Ujistěte se, že všechny veřejné IP adresy a předpony veřejných IP adres mají značku FirstPartyUsage. Audit, Odepřít, Zakázáno 1.0.0
SQL Server by měl používat koncový bod služby virtuální sítě. Tato zásada audituje jakýkoli SQL Server, který není nakonfigurovaný tak, aby používal koncový bod služby virtuální sítě. AuditIfNotExists, zakázáno 1.0.0
Účty úložiště by měly používat koncový bod služby virtuální sítě. Tato zásada audituje všechny účty úložiště, které nejsou nakonfigurované tak, aby používaly koncový bod služby virtuální sítě. Audit, zakázáno 1.0.0
Podsítě by měly být privátní. Ujistěte se, že vaše podsítě jsou ve výchozím nastavení zabezpečené, protože brání výchozímu odchozímu přístupu. Další informace najdete tady: https://aka.ms/defaultoutboundaccessretirement. Audit, Odepřít, Zakázáno 1.0.0
Virtuální centra by měla být chráněná službou Azure Firewall. Nasaďte do služby Virtual Hubs bránu Azure Firewall, která chrání a podrobně řídí přenosy výchozího a příchozího přenosu dat z internetu. Audit, Odepřít, Zakázáno 1.0.0
Virtuální počítače by měly být připojené ke schválené virtuální síti. Tato zásada provede audit všech virtuálních počítačů připojených k virtuální síti, která není schválena. Audit, Odepřít, Zakázáno 1.0.0
Virtuální sítě by měly být chráněné službou Azure DDoS Protection. Chraňte své virtuální sítě před multilicenčními útoky a útoky pomocí služby Azure DDoS Protection. Další informace najdete na adrese https://aka.ms/ddosprotectiondocs. Úprava, audit, zakázáno 1.0.1
Virtuální sítě by měly používat zadanou bránu virtuální sítě. Tato zásada provede audit všech virtuálních sítí, pokud výchozí trasa neodkazuje na zadanou bránu virtuální sítě. AuditIfNotExists, zakázáno 1.0.0
Brány VPN by měly používat pouze ověřování Azure Active Directory (Azure AD) pro uživatele typu point-to-site. Zakázání místních metod ověřování zlepšuje zabezpečení tím, že brány VPN Gateway k ověřování používají pouze identity Azure Active Directory. Další informace o ověřování Azure AD najdete na adrese https://docs.microsoft.com/azure/vpn-gateway/openvpn-azure-ad-tenant Audit, Odepřít, Zakázáno 1.0.0
Firewall webových aplikací (WAF) by měl být povolený pro službu Application Gateway. Nasaďte firewall webových aplikací Azure (WAF) před veřejně přístupné webové aplikace pro další kontrolu příchozího provozu. Firewall webových aplikací (WAF) poskytuje centralizovanou ochranu webových aplikací před běžným zneužitím a ohrožením zabezpečení, jako jsou injektáže SQL, skriptování mezi weby, místní a vzdálené spouštění souborů. Přístup k webovým aplikacím můžete omezit také podle zemí, rozsahů IP adres a dalších parametrů HTTP prostřednictvím vlastních pravidel. Audit, Odepřít, Zakázáno 2.0.0
Firewall webových aplikací (WAF) by měl používat zadaný režim služby Application Gateway. Vyžaduje, aby byl režim Detekce nebo Prevence aktivní ve všech zásadách firewallu webových aplikací pro službu Application Gateway. Audit, Odepřít, Zakázáno 1.0.0
Firewall webových aplikací (WAF) by měl používat zadaný režim pro službu Azure Front Door Service. Vyžaduje, aby byl režim Detekce nebo Prevence aktivní ve všech zásadách firewallu webových aplikací pro službu Azure Front Door Service. Audit, Odepřít, Zakázáno 1.0.0

Značky

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Přidat značku do skupin prostředků Tyto zásady při vytvoření nebo aktualizaci jakékoli skupiny prostředků bez zadané značky přidají zadanou značku a hodnotu. Stávající skupiny prostředků je možné napravit aktivací úlohy nápravy. Pokud daná značka existuje, ale s jinou hodnotou, nezmění se. modify (úprava) 1.0.0
Přidat značku do prostředků Tyto zásady při vytvoření nebo aktualizaci jakéhokoli prostředku bez zadané značky přidají zadanou značku a hodnotu. Stávající prostředky je možné napravit aktivací úlohy nápravy. Pokud daná značka existuje, ale s jinou hodnotou, nezmění se. Značky ve skupinách prostředků se neupravují. modify (úprava) 1.0.0
Přidání značky k předplatným Přidá zadanou značku a hodnotu do předplatných prostřednictvím úlohy nápravy. Pokud daná značka existuje, ale s jinou hodnotou, nezmění se. Další https://aka.ms/azurepolicyremediation informace o nápravězásadch modify (úprava) 1.0.0
Přidat nebo nahradit značku ve skupinách prostředků Tyto zásady při vytvoření nebo aktualizaci jakékoli skupiny prostředků přidají nebo nahradí zadanou značku a hodnotu. Stávající skupiny prostředků je možné napravit aktivací úlohy nápravy. modify (úprava) 1.0.0
Přidat nebo nahradit značku v prostředcích Tyto zásady při vytvoření nebo aktualizaci jakéhokoli prostředku přidají nebo nahradí zadanou značku a hodnotu. Stávající prostředky je možné napravit aktivací úlohy nápravy. Značky ve skupinách prostředků se neupravují. modify (úprava) 1.0.0
Přidání nebo nahrazení značky u předplatných Přidá nebo nahradí zadanou značku a hodnotu u předplatných prostřednictvím úlohy nápravy. Stávající skupiny prostředků je možné napravit aktivací úlohy nápravy. Další https://aka.ms/azurepolicyremediation informace o nápravězásadch modify (úprava) 1.0.0
Připojit značku a její hodnotu ze skupiny prostředků Tyto zásady při vytvoření nebo aktualizaci jakéhokoli prostředku bez zadané značky připojí zadanou značku a její hodnotu ze skupiny prostředků. Tyto zásady neupravují značky prostředků vytvořené před použitím těchto zásad, dokud nedojde ke změně těchto prostředků. K dispozici jsou nové zásady účinku úpravy, které podporují nápravu značek u existujících prostředků (viz https://aka.ms/modifydoc). připojit 1.0.0
Připojit značku a její hodnotu ke skupinám prostředků Tyto zásady při vytvoření nebo aktualizaci jakékoli skupiny prostředků bez zadané značky připojí zadanou značku a hodnotu. Tyto zásady neupravují značky skupin prostředků vytvořené před použitím těchto zásad, dokud nedojde ke změně těchto skupin prostředků. K dispozici jsou nové zásady účinku úpravy, které podporují nápravu značek u existujících prostředků (viz https://aka.ms/modifydoc). připojit 1.0.0
Připojit značku a její hodnotu k prostředkům Tyto zásady při vytvoření nebo aktualizaci jakéhokoli prostředku bez zadané značky připojí zadanou značku a hodnotu. Tyto zásady neupravují značky prostředků vytvořené před použitím těchto zásad, dokud nedojde ke změně těchto prostředků. Tyto zásady se nevztahují na skupiny prostředků. K dispozici jsou nové zásady účinku úpravy, které podporují nápravu značek u existujících prostředků (viz https://aka.ms/modifydoc). připojit 1.0.1
Zdědit značku ze skupiny prostředků Tyto zásady při vytvoření nebo aktualizaci jakéhokoli prostředku přidají nebo nahradí zadanou značku a hodnotu z nadřazené skupiny prostředků. Stávající prostředky je možné napravit aktivací úlohy nápravy. modify (úprava) 1.0.0
Zdědit značku ze skupiny prostředků, pokud chybí Tyto zásady při vytvoření nebo aktualizaci jakéhokoli prostředku bez zadané značky přidají zadanou značku a její hodnotu z nadřazené skupiny prostředků. Stávající prostředky je možné napravit aktivací úlohy nápravy. Pokud daná značka existuje, ale s jinou hodnotou, nezmění se. modify (úprava) 1.0.0
Zdědit značku z předplatného Tyto zásady při vytvoření nebo aktualizaci jakéhokoli prostředku přidají nebo nahradí zadanou značku a hodnotu z nadřazeného předplatného. Stávající prostředky je možné napravit aktivací úlohy nápravy. modify (úprava) 1.0.0
Zdědit značku z předplatného, pokud chybí Tyto zásady při vytvoření nebo aktualizaci jakéhokoli prostředku bez zadané značky přidají zadanou značku a její hodnotu z nadřazeného předplatného. Stávající prostředky je možné napravit aktivací úlohy nápravy. Pokud daná značka existuje, ale s jinou hodnotou, nezmění se. modify (úprava) 1.0.0
Vyžadovat značku a její hodnotu ve skupinách prostředků Tyto zásady vynucují požadovanou značku a její hodnotu ve skupinách prostředků. deny 1.0.0
Vyžadovat značku a její hodnotu v prostředcích Tyto zásady vynucují požadovanou značku a její hodnotu. Tyto zásady se nevztahují na skupiny prostředků. deny 1.0.1
Vyžadovat značku ve skupinách prostředků Tyto zásady vynucují existenci značky ve skupinách prostředků. deny 1.0.0
Vyžadovat značku v prostředcích Tyto zásady vynucují existenci značky. Tyto zásady se nevztahují na skupiny prostředků. deny 1.0.1

Obecné

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Povolené lokality Tyto zásady umožňují omezit umístění, která může vaše organizace zadat při nasazování prostředků. Můžete je využít k vynucování vašich požadavků na geografické dodržování předpisů. Vyloučí skupiny prostředků, Microsoft.AzureActiveDirectory/b2cDirectories a prostředky, které používají globální oblast. deny 1.0.0
Povolená umístění pro skupiny prostředků Tato zásada umožňuje omezit umístění, ve kterých může vaše organizace vytvářet skupiny prostředků. Můžete je využít k vynucování vašich požadavků na geografické dodržování předpisů. deny 1.0.0
Povolené typy prostředků Tato zásada umožňuje zadat typy prostředků, které může vaše organizace nasadit. Tyto zásady ovlivní jenom typy prostředků, které podporují značky a umístění. Chcete-li omezit všechny prostředky, duplikujte tuto zásadu a změňte režim na Vše. deny 1.0.0
Auditovat umístění prostředků odpovídá umístění skupiny prostředků Auditování, že umístění prostředku odpovídá umístění skupiny prostředků audit 2.0.0
Auditování využití vlastních rolí RBAC Auditujte předdefinované role, jako je Vlastník, Přispěvatel, Čtenář, Místo vlastních rolí RBAC, které jsou náchylné k chybám. Použití vlastních rolí se považuje za výjimku a vyžaduje důkladnou kontrolu a modelování hrozeb. Audit, zakázáno 1.0.1
Konfigurace předplatných pro nastavení funkcí ve verzi Preview Tato zásada vyhodnocuje funkce preview stávajícího předplatného. Předplatná je možné napravit, aby se zaregistrovala k nové funkci Preview. Nová předplatná se nebudou automaticky registrovat. AuditIfNotExists, DeployIfNotExists, Disabled 1.0.1
Nepovolit odstranění typů prostředků Tato zásada umožňuje určit typy prostředků, které vaše organizace může chránit před náhodným odstraněním blokováním volání odstranění pomocí efektu akce zamítnutí. DenyAction, Zakázáno 1.0.1
Nepovolit prostředky M365 Blokování vytváření prostředků M365 Audit, Odepřít, Zakázáno 1.0.0
Nepovolit prostředky MCPP Blokování vytváření prostředků MCPP Audit, Odepřít, Zakázáno 1.0.0
Vyloučení prostředků nákladů na využití Tato zásada umožňuje zobrazit zdroje nákladů na využití. Náklady na využití zahrnují například měřené úložiště a prostředky Azure, které se účtují na základě využití. Audit, Odepřít, Zakázáno 1.0.0
Nepovolené typy prostředků Omezte, které typy prostředků je možné nasadit ve vašem prostředí. Omezení typů prostředků může snížit složitost a prostor pro útoky na vaše prostředí a zároveň pomáhá spravovat náklady. Výsledky dodržování předpisů se zobrazují jenom pro nevyhovující prostředky. Audit, Odepřít, Zakázáno 2.0.0

Další kroky