Integrierte Azure Policy-Definitionen für Azure Cognitive Search
Diese Seite enthält einen Index der integrierten Azure Policy-Richtliniendefinitionen für Azure Cognitive Search. Weitere Azure Policy-Integrationen für andere Dienste finden Sie unter Integrierte Azure Policy-Richtliniendefinitionen.
Die Namen der einzelnen integrierten Richtliniendefinitionen sind Links zur entsprechenden Richtliniendefinition im Azure-Portal. Verwenden Sie den Link in der Spalte Version, um die Quelle im Azure Policy-GitHub-Repository anzuzeigen.
Azure Cognitive Search
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| [Vorschau]: Der Dienst für Azure KI-Suche sollte zonenredundant sein. | Der Dienst für Azure KI-Suche kann so konfiguriert werden, dass er zonenredundant oder nicht zonenredundant ist. Verfügbarkeitszonen werden verwendet, wenn Sie Ihrem Suchdienst zwei oder mehr Replikate hinzufügen. Jedes Replikat wird in einer anderen Verfügbarkeitszone innerhalb der Region platziert. | Audit, Deny, Disabled | 1.0.0-preview |
| Azure KI Search-Dienst muss eine SKU mit Unterstützung von Private Link verwenden | Mit unterstützten SKUs von Azure AI Search können Sie Ihr virtuelles Netzwerk mit Azure-Diensten ohne öffentliche IP-Adresse an der Quelle oder am Ziel verbinden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Ihrem Suchdienst wird das Risiko von Datenlecks verringert. Weitere Informationen finden Sie unter https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Deny, Disabled | 1.0.1 |
| Azure AI Suchdienst s sollten den Zugriff auf öffentliche Netzwerke deaktivieren | Durch das Deaktivieren des Zugriffs auf öffentliche Netzwerke wird die Sicherheit verbessert, indem sichergestellt wird, dass Ihre Azure AI-Suchdienst nicht im öffentlichen Internet verfügbar gemacht wird. Durch das Erstellen privater Endpunkte können Sie die Offenlegung Ihres Suchdiensts einschränken. Weitere Informationen finden Sie unter https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Deny, Disabled | 1.0.1 |
| Azure AI Suchdienst s sollten lokale Authentifizierungsmethoden deaktiviert haben | Durch das Deaktivieren lokaler Authentifizierungsmethoden wird die Sicherheit verbessert, indem sichergestellt wird, dass Azure AI-Suchdienst ausschließlich Azure Active Directory-Identitäten für die Authentifizierung benötigen. Weitere Informationen finden Sie unter https://aka.ms/azure-cognitive-search/rbac. Beachten Sie, dass der Parameter "Lokale Authentifizierung deaktivieren" zwar noch in der Vorschau angezeigt wird, der Verweigerungseffekt für diese Richtlinie kann zu eingeschränkter Funktionalität des Azure AI Search-Portals führen, da einige Features des Portals die GA-API verwenden, die den Parameter nicht unterstützt. | Audit, Deny, Disabled | 1.0.1 |
| Azure AI Suchdienst s sollten vom Kunden verwaltete Schlüssel verwenden, um ruhende Daten zu verschlüsseln | Das Aktivieren der ruhenden Verschlüsselung mithilfe eines vom Kunden verwalteten Schlüssels in Azure AI Suchdienst s bietet zusätzliche Kontrolle über den Schlüssel, der zum Verschlüsseln ruhender Daten verwendet wird. Diese Funktion gilt häufig für Kunden mit speziellen Complianceanforderungen an das Verwalten von Datenverschlüsselungsschlüsseln mithilfe eines Schlüsseltresors. | AuditIfNotExists, Disabled | 2.0.0 |
| Bei Azure KI Services-Ressourcen sollte der Schlüsselzugriff deaktiviert sein (lokale Authentifizierung deaktivieren). | Es wird empfohlen, den Schlüsselzugriff (lokale Authentifizierung) für die Sicherheit zu deaktivieren. Azure OpenAI Studio wird in der Regel in der Entwicklung und für Tests verwendet, erfordert Schlüsselzugriff und funktioniert nicht, wenn dieser deaktiviert ist. Nach dem Deaktivieren ist Microsoft Entra ID die einzige Zugriffsmethode, die das Aufrechterhalten des Minimalberechtigungsprinzips und der präzisen Steuerung ermöglicht. Weitere Informationen finden Sie unter: https://aka.ms/AI/auth | Audit, Deny, Disabled | 1.1.0 |
| Azure KI Services-Ressourcen sollten den Netzwerkzugriff einschränken. | Durch Einschränken des Netzwerkzugriffs können Sie sicherstellen, dass nur zulässige Netzwerke auf den Dienst zugreifen können. Sie erreichen dies, wenn Sie die Netzwerkregeln so konfigurieren, dass nur Anwendungen aus zulässigen Netzwerken auf Azure KI Services zugreifen können. | Audit, Deny, Disabled | 3.2.0 |
| Azure KI Services-Ressourcen sollten Azure Private Link nutzen. | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform reduziert das Risiko von Datenlecks, indem die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk verarbeitet wird. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/AzurePrivateLink/Overview. | Audit, Disabled | 1.0.0 |
| Konfigurieren von Azure AI Suchdienst s zum Deaktivieren der lokalen Authentifizierung | Deaktivieren Sie lokale Authentifizierungsmethoden, damit Ihre Azure AI-Suchdienst ausschließlich Azure Active Directory-Identitäten für die Authentifizierung benötigen. Weitere Informationen finden Sie unter https://aka.ms/azure-cognitive-search/rbac. | Modify, Disabled | 1.0.1 |
| Konfigurieren von Azure AI Suchdienst s zum Deaktivieren des öffentlichen Netzwerkzugriffs | Deaktivieren Sie den öffentlichen Netzwerkzugriff für Ihre Azure AI Suchdienst, sodass sie nicht über das öffentliche Internet zugänglich ist. Dies kann das Risiko von Datenlecks verringern. Weitere Informationen finden Sie unter https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Modify, Disabled | 1.0.1 |
| Konfigurieren von Azure AI-Suchdienst für die Verwendung von vom Kunden verwalteten Schlüsseln zum Verschlüsseln ruhender Daten | Das Aktivieren der ruhenden Verschlüsselung mithilfe eines vom Kunden verwalteten Schlüssels in Azure AI Suchdienst s bietet zusätzliche Kontrolle über den Schlüssel, der zum Verschlüsseln ruhender Daten verwendet wird. Diese Funktion gilt häufig für Kunden mit speziellen Complianceanforderungen an das Verwalten von Datenverschlüsselungsschlüsseln mithilfe eines Schlüsseltresors. | Verweigern, deaktiviert | 1.0.0 |
| Konfigurieren von Azure AI-Suchdienst mit privaten Endpunkten | Private Endpunkte verbinden Ihr virtuelles Netzwerk ohne eine öffentliche IP-Adresse an Quelle oder Ziel mit Azure-Diensten. Durch die Zuordnung privater Endpunkte zu Ihrer Azure AI Suchdienst können Sie Datenleckrisiken reduzieren. Weitere Informationen finden Sie unter https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | DeployIfNotExists, Disabled | 1.0.1 |
| Konfigurieren von Azure KI Services-Ressourcen zum Deaktivieren des lokalen Schlüsselzugriffs (lokale Authentifizierung deaktivieren) | Es wird empfohlen, den Schlüsselzugriff (lokale Authentifizierung) für die Sicherheit zu deaktivieren. Azure OpenAI Studio wird in der Regel in der Entwicklung und für Tests verwendet, erfordert Schlüsselzugriff und funktioniert nicht, wenn dieser deaktiviert ist. Nach dem Deaktivieren ist Microsoft Entra ID die einzige Zugriffsmethode, die das Aufrechterhalten des Minimalberechtigungsprinzips und der präzisen Steuerung ermöglicht. Weitere Informationen finden Sie unter: https://aka.ms/AI/auth | DeployIfNotExists, Disabled | 1.0.0 |
| Diagnoseeinstellungen für Suchdienste in Event Hub bereitstellen | Hiermit werden die Diagnoseeinstellungen für Suchdienste zum Streamen in eine regionale Event Hub-Instanz bereitgestellt, wenn ein Suchdienst erstellt oder aktualisiert wird, in dem diese Diagnoseeinstellungen fehlen. | DeployIfNotExists, Disabled | 2.0.0 |
| Diagnoseeinstellungen für Suchdienste in Log Analytics-Arbeitsbereich bereitstellen | Hiermit werden die Diagnoseeinstellungen für Suchdienste zum Streamen in einen regionalen Log Analytics-Arbeitsbereich bereitgestellt, wenn ein Suchdienst erstellt oder aktualisiert wird, in dem diese Diagnoseeinstellungen fehlen. | DeployIfNotExists, Disabled | 1.0.0 |
| In Azure KI Services sollten Diagnoseprotokolle aktiviert sein. | Aktivieren Sie die Protokollierung für Azure KI Services-Ressourcen. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn Sie Sicherheitsincidents untersuchen oder Ihr Netzwerk gefährdet ist. | AuditIfNotExists, Disabled | 1.0.0 |
| Aktivieren der Protokollierung nach Kategoriegruppe für Suchdienste (microsoft.search/searchservices) auf Event Hub | Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Event Hub für Suchdienste (microsoft.search/searchservices) weiterzuleiten. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Aktivieren der Protokollierung nach Kategoriegruppe für Suchdienste (microsoft.search/searchservices) in Log Analytics | Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Log Analytics-Arbeitsbereich für Suchdienste (microsoft.search/searchservices) weiterzuleiten. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Aktivieren der Protokollierung nach Kategoriegruppe für Suchdienste (microsoft.search/searchservices) im Speicher | Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an ein Speicherkonto für Suchdienste (microsoft.search/searchservices) weiterzuleiten. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| In Suchdiensten müssen Ressourcenprotokolle aktiviert sein | Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. | AuditIfNotExists, Disabled | 5.0.0 |
Nächste Schritte
- Sehen Sie sich die Integrationen im Azure Policy-GitHub-Repository an.
- Lesen Sie die Informationen unter Struktur von Azure Policy-Definitionen.
- Lesen Sie Grundlegendes zu Richtlinienauswirkungen.