Stratégies intégrées pour Azure Monitor

Les stratégies et les initiatives de stratégie fournissent une méthode simple pour activer la journalisation à grande échelle via les paramètres de diagnostic pour Azure Monitor. À l’aide d’une initiative de stratégie, vous pouvez activer la journalisation d’audit pour toutes les ressources prises en charge dans votre environnement Azure.

Activez les journaux de ressources pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Attribuez des stratégies pour activer les journaux de ressources et les envoyer à des destinations en fonction de vos besoins. Envoyez des journaux à Event Hubs pour des systèmes SIEM tiers, ce qui permet des opérations de sécurité continues. Envoyez des journaux aux comptes de stockage pour un stockage à plus long terme ou pour le respect de la conformité réglementaire.

Un ensemble de stratégies et d’initiatives intégrées existe pour diriger les journaux de ressources vers les espaces de travail Log Analytics, les hubs d’événements et les comptes de stockage. Les stratégies activent la journalisation d’audit, en envoyant les journaux appartenant au groupe de la catégorie de journal Audit ou Tous les journaux à un hub d’événements, un espace de travail Log Analytics ou un compte de stockage. Le effect des stratégies est DeployIfNotExists, qui déploie la stratégie par défaut s’il n’y a pas d’autres paramètres définis.

Déployez des stratégies.

Déployer les stratégies et les initiatives à l’aide du portail, de l’interface CLI, de PowerShell ou des modèles Azure Resource Management

Azure portal

Les étapes suivantes montrent comment appliquer la stratégie à laquelle envoyer des journaux d’audit pour les coffres de clés à un espace de travail Log Analytics.

1. Dans la page Stratégie, sélectionnez Définitions.

2. Sélectionnez l’étendue souhaitée. Vous pouvez appliquer une stratégie à un abonnement, à un groupe de ressources ou à une ressource individuelle.

3. Dans la liste déroulante Type de définition, sélectionnez Stratégie.

4. Sélectionnez Supervision dans la liste déroulante Catégorie

5. Saisissez keyvault dans le champ Rechercher.

6. Sélectionnez la stratégie Activer la journalisation par catégorie pour la stratégie Coffres de clés (microsoft.keyvault/vaults) vers Log Analytics.

7. Dans la page de définition de stratégie, sélectionnez Attribuer

8. Sélectionnez l'onglet Paramètres .

9. Sélectionnez l’espace de travail Log Analytics auquel vous souhaitez envoyer les journaux d’audit.

10. Sélectionnez l’onglet Correction.

11. Sous l’onglet correction, sélectionnez la stratégie de coffre de clés dans la liste déroulante Stratégie à corriger.

12. Cochez la case Emplacement de l’identité managée.

13. Sous Type d’identité managée, sélectionnez Identité managée affectée par le système.

14. Sélectionnez Vérifier + créer, puis Créer.

INTERFACE DE LIGNE DE COMMANDE

Pour appliquer une stratégie à l’aide de l’interface CLI, utilisez les commandes suivantes :

1. Créer une attribution de stratégie à l’aide de az policy assignment create.

     az policy assignment create --name <policy assignment name>  --policy "6b359d8f-f88d-4052-aa7c-32015963ecc1"  --scope <scope> --params "{\"logAnalytics\": {\"value\": \"<log analytics workspace resource ID"}}" --mi-system-assigned --location <location>
   

   Par exemple, pour appliquer la stratégie pour envoyer des journaux d’audit à un espace de travail Log Analytics

     az policy assignment create --name "policy-assignment-1"  --policy "6b359d8f-f88d-4052-aa7c-32015963ecc1"  --scope /subscriptions/12345678-aaaa-bbbb-cccc-1234567890ab/resourceGroups/rg-001 --params "{\"logAnalytics\": {\"value\": \"/subscriptions/12345678-aaaa-bbbb-cccc-1234567890ab/resourcegroups/rg-001/providers/microsoft.operationalinsights/workspaces/workspace-001\"}}" --mi-system-assigned --location eastus
   

2. Attribuez le rôle requis à l’identité créée pour l’attribution de stratégie. Recherchez le rôle dans la définition de la stratégie en recherchant roleDefinitionIds

      ...},
         "roleDefinitionIds": [
           "/providers/Microsoft.Authorization/roleDefinitions/92aaf0da-9dab-42b6-94a3-d43ce8d16293"
         ],
         "deployment": {
           "properties": {...
   

   Attribuez le rôle requis à l’aide de az policy assignment identity assign :

   az policy assignment identity assign --system-assigned --resource-group <resource group name> --role <role name or ID> --identity-scope </scope> --name <policy assignment name>
   

   Par exemple :

   az policy assignment identity assign --system-assigned --resource-group rg-001  --role 92aaf0da-9dab-42b6-94a3-d43ce8d16293 --identity-scope /subscriptions/12345678-aaaa-bbbb-cccc-1234567890ab/resourceGroups/rg001 --name policy-assignment-1
   

3. Déclenchez une analyse pour rechercher des ressources existantes à l’aide de az policy state trigger-scan.

   az policy state trigger-scan --resource-group rg-001
   

4. Créez une tâche de correction pour appliquer la stratégie aux ressources existantes à l’aide de az policy remediation create.

   az policy remediation create -g <resource group name> --policy-assignment <policy assignment name> --name <remediation name> 
   

   Par exemple,

   az policy remediation create -g rg-001 -n remediation-001 --policy-assignment policy-assignment-1
   

Pour plus d’informations sur l’attribution de stratégie à l’aide de l’interface CLI, consultez Référence Azure CLI - az policy assignment

PowerShell

Pour appliquer une stratégie à l’aide de PowerShell, utilisez les commandes suivantes :

1. Configurez votre environnement. Sélectionnez votre abonnement et définissez votre groupe de ressources

   Select-AzSubscription <subscriptionID>
   $rg = Get-AzResourceGroup -Name <resource groups name>    
   

2. Obtenez la définition de stratégie et configurez les paramètres de la stratégie. Dans l’exemple ci-dessous, nous affectons la stratégie pour envoyer des journaux keyVault à un espace de travail Log Analytics

   $definition = Get-AzPolicyDefinition |Where-Object Name -eq 6b359d8f-f88d-4052-aa7c-32015963ecc1
   $params =  @{"logAnalytics"="/subscriptions/<subscriptionID/resourcegroups/<resourcgroup>/providers/microsoft.operationalinsights/workspaces/<log anlaytics workspace name>"}  
   

3. Affecter la stratégie

   $policyAssignment=New-AzPolicyAssignment -Name <assignment name> -DisplayName "assignment display name" -Scope $rg.ResourceId -PolicyDefinition $definition -PolicyparameterObject $params -IdentityType 'SystemAssigned' -Location <location>
   
   #To get your assignemnt use:
   $policyAssignment=Get-AzPolicyAssignment -Name '<assignment name>' -Scope '/subscriptions/<subscriptionID>/resourcegroups/<resource group name>'
   
   

4. Attribuer le ou les rôles requis à l’identité managée affectée par le système

       $principalID=$policyAssignment.Identity.PrincipalId
       $roleDefinitionIds=$definition.Properties.policyRule.then.details.roleDefinitionIds
       $roleDefinitionIds | ForEach-Object {
           $roleDefId = $_.Split("/") | Select-Object -Last 1
           New-AzRoleAssignment -Scope $rg.ResourceId -ObjectId $policyAssignment.Identity.PrincipalId -RoleDefinitionId $roleDefId
       }
   

5. Recherchez la conformité, puis créez une tâche de correction pour forcer la conformité des ressources existantes.

       Start-AzPolicyComplianceScan -ResourceGroupName $rg.ResourceGroupName
       Start-AzPolicyRemediation -Name $policyAssignment.Name -PolicyAssignmentId $policyAssignment.PolicyAssignmentId  -ResourceGroupName $rg.ResourceGroupName
   

6. Vérifier la conformité

   Get-AzPolicyState -PolicyAssignmentName  $policyAssignment.Name -ResourceGroupName $policyAssignment.ResourceGroupName|select-object IsCompliant, ResourceID
   

La stratégie est visible dans le paramètre de diagnostic des ressources après environ 30 minutes.

Tâches de correction

Les stratégies sont appliquées aux nouvelles ressources lors de leur création. Pour appliquer une stratégie aux ressources existantes, créez une tâche de correction. Les tâches de correction mettent les ressources en conformité avec une stratégie.

Les tâches de correction s’appliquent pour des stratégies spécifiques. Pour les initiatives qui contiennent plusieurs stratégies, créez une tâche de correction pour chaque stratégie de l’initiative dans laquelle vous avez des ressources à mettre en conformité.

Définissez les tâches de correction lorsque vous attribuez la stratégie pour la première fois, ou à n’importe quel stade après l’affectation.

Pour créer une tâche de correction pour les stratégies pendant l’attribution de stratégie, sélectionnez l’onglet Correction de la page Attribuer une stratégie, puis cochez la case Créer une tâche de correction.

Pour créer une tâche de correction une fois la stratégie affectée, sélectionnez votre stratégie affectée dans la liste de la page Attributions de stratégies.

Sélectionnez Corriger. Suivez l’état de votre tâche de correction sous l’onglet Tâches de correction de la page Correction de la stratégie.

Pour plus d’informations sur les tâches de correction, consultez Corriger les ressources non conformes.

Attribuer des initiatives

Les initiatives sont des collections de stratégies. Il y a deux ensembles d’initiatives pour les paramètres de diagnostic Azure Monitor :

1. Activer la journalisation des ressources du groupe de la catégorie Audit

   • Activer la journalisation des ressources de groupe de catégorie d’audit pour les ressources prises en charge dans Log Analytics
   • Activer la journalisation des ressources de groupe de catégorie d’audit pour les ressources prises en charge dans Log Analytics
   • Activer la journalisation des ressources de groupe de catégorie d’audit pour les ressources prises en charge vers le stockage

2. Activer la journalisation des ressources du groupe de la catégorie allLogs

   • Activer la journalisation des ressources du groupe de la catégorie allLogs pour les ressources prises en charge dans le stockage
   • Activer la journalisation des ressources du groupe de la catégorie allLogs pour les ressources prises en charge dans les hubs d’événements
   • Activer la journalisation des ressources du groupe de la catégorie allLogs pour les ressources prises en charge dans Log Analytics

Dans cet exemple, nous affectons une initiative pour envoyer des journaux d’audit à un espace de travail Log Analytics.

Azure portal

1. Dans la page Définitions de stratégie, sélectionnez votre étendue.

2. Sélectionnez Initiative dans la liste déroulante Type de définition.

3. Sélectionnez Supervision dans la liste déroulante Catégorie.

4. Saisissez audit dans le champ Rechercher.

5. Sélectionnez l’option Activer la journalisation des ressources de groupe de catégorie d’audit pour les ressources prises en charge dans l’initiative Log Analytics.

6. Dans la page suivante, sélectionnez Attribuer

7. Sous l’onglet Informations de base de la page Affecter l’initiative, sélectionnez une étendue à laquelle vous souhaitez que l’initiative s’applique.

8. Entrez un nom dans le champ Nom de l’affectation.

9. Sélectionnez l’onglet Paramètres.

   Les paramètres contiennent les paramètres définis dans la stratégie. Dans ce cas, nous devons sélectionner l’espace de travail Log Analytics auquel nous voulons envoyer les journaux. Pour plus d’informations sur les paramètres individuels de chaque stratégie, consultez Paramètres spécifiques à la stratégie.

10. Sélectionnez l’espace de travail Log Analytics auquel envoyer vos journaux d’audit.

11. Sélectionnez Vérifier + créer , puis Créer

Pour vérifier que votre attribution de stratégie ou d’initiative fonctionne, créez une ressource dans l’étendue de l’abonnement ou du groupe de ressources que vous avez définie dans votre attribution de stratégie.

Après 10 minutes, sélectionnez la page Paramètres de diagnostic pour votre ressource. Votre paramètre de diagnostic apparaît dans la liste avec le nom par défaut setByPolicy-LogAnalytics et le nom de l’espace de travail que vous avez configuré dans la stratégie.

Modifiez le nom par défaut sous l’onglet Paramètres de la page Attribuer une initiative ou une stratégie en désélectionnant la case Afficher uniquement les paramètres qui ont besoin d’une entrée ou d’une évaluation.

PowerShell

1. Définir vos variables d’environnement

   # Set up your environment variables.
   $subscriptionId = <your subscription ID>;
   $rg = Get-AzResourceGroup -Name <your resource group name>;
   Select-AzSubscription $subscriptionId;
   $logAnlayticsWorskspaceId=</subscriptions/$subscriptionId/resourcegroups/$rg.ResourceGroupName/providers/microsoft.operationalinsights/workspaces/<your log analytics workspace>;
   

2. Obtenez la définition de l’initiative. Dans cet exemple, nous allons utiliser Initiative Activer la journalisation des ressources de groupe de catégorie d’audit pour les ressources prises en charge pour ' Log Analytics, ResourceID « /providers/Microsoft.Authorization/policySetDefinitions/f5b29bc4-feca-4cc6-a58a-772dd5e290a5 »

   $definition = Get-AzPolicySetDefinition |Where-Object ResourceID -eq /providers/Microsoft.Authorization/policySetDefinitions/f5b29bc4-feca-4cc6-a58a-772dd5e290a5;
   

3. Définissez un nom d’affectation et configurez les paramètres. Pour cette initiative, les paramètres incluent l’ID d’espace de travail Log Analytics.

   $assignmentName=<your assignment name>;
   $params =  @{"logAnalytics"="/subscriptions/$subscriptionId/resourcegroups/$($rg.ResourceGroupName)/providers/microsoft.operationalinsights/workspaces/<your log analytics workspace>"}  
   

4. Attribuer l’initiative à l’aide des paramètres

   $policyAssignment=New-AzPolicyAssignment -Name $assignmentName  -Scope $rg.ResourceId -PolicySetDefinition $definition -PolicyparameterObject $params -IdentityType 'SystemAssigned' -Location eastus;
   

5. Attribuez le rôle Contributor à l’identité managée affectée par le système. Pour d’autres initiatives, vérifiez quels rôles sont requis.

    New-AzRoleAssignment -Scope $rg.ResourceId -ObjectId $policyAssignment.Identity.PrincipalId -RoleDefinitionName Contributor;
   

6. Analysez la conformité à la stratégie. Le retour de la commande Start-AzPolicyComplianceScan prend quelques minutes.

   Start-AzPolicyComplianceScan -ResourceGroupName $rg.ResourceGroupName;
   

7. Obtenir la liste des ressources à corriger et les paramètres requis en appelant Get-AzPolicyState

   $assignmentState=Get-AzPolicyState -PolicyAssignmentName  $assignmentName -ResourceGroupName $rg.ResourceGroupName;   
   $policyAssignmentId=$assignmentState.PolicyAssignmentId[0];
   $policyDefinitionReferenceIds=$assignmentState.PolicyDefinitionReferenceId;
   

8. Pour chaque type de ressource comprenant des ressources non conformes, démarrez une tâche de correction.

       $policyDefinitionReferenceIds | ForEach-Object {
             $referenceId = $_
             Start-AzPolicyRemediation -ResourceGroupName $rg.ResourceGroupName  -PolicyAssignmentId $policyAssignmentId   -PolicyDefinitionReferenceId $referenceId -Name "$($rg.ResourceGroupName) remediation $referenceId";
       }
   

9. Vérifiez l’état de conformité lorsque les tâches de correction sont terminées.

   Get-AzPolicyState -PolicyAssignmentName  $assignmentName -ResourceGroupName $rg.ResourceGroupName|select-object IsCompliant, ResourceID
   

Vous pouvez obtenir les détails de votre affectation de stratégie à l’aide de la commande suivante :

  $policyAssignment=Get-AzPolicyAssignment -Name $assignmentName -Scope "/subscriptions/$subscriptionId/resourcegroups/$($rg.ResourceGroupName)";

INTERFACE DE LIGNE DE COMMANDE

1. Connectez-vous à votre compte Azure à l’aide de la commande az login.

2. Sélectionnez l’abonnement dans lequel vous souhaitez appliquer l’initiative de stratégie à l’aide de la commande az account set.

3. Attribuez l’initiative à l’aide de az policy assignment create.

   az policy assignment create --name <assignment name> --resource-group <resource group name> --policy-set-definition <initiative name> --params <parameters object> --mi-system-assigned --location <location>
   

   Par exemple :

   az policy assignment create --name "assign-cli-example-01" --resource-group "cli-example-01" --policy-set-definition 'f5b29bc4-feca-4cc6-a58a-772dd5e290a5' --params '{"logAnalytics":{"value":"/subscriptions/12345678-aaaa-bbbb-cccc-1234567890ab/resourcegroups/cli-example-01/providers/microsoft.operationalinsights/workspaces/cli-example-01-ws"}, "diagnosticSettingName":{"value":"AssignedBy-cli-example-01"}}' --mi-system-assigned --location eastus
   

4. Attribuer le rôle requis à l’identité managée système

   Recherchez les rôles à attribuer dans l’une des définitions de stratégie de l’initiative en recherchant roleDefinitionIds dans la définition, par exemple :

      ...},
         "roleDefinitionIds": [
           "/providers/Microsoft.Authorization/roleDefinitions/92aaf0da-9dab-42b6-94a3-d43ce8d16293"
         ],
         "deployment": {
           "properties": {...
   

   Attribuez le rôle requis à l’aide de az policy assignment identity assign :

   az policy assignment identity assign --system-assigned --resource-group <resource group name> --role <role name or ID> --identity-scope <scope> --name <policy assignment name>
   

   Par exemple :

   az policy assignment identity assign --system-assigned --resource-group "cli-example-01" --role 92aaf0da-9dab-42b6-94a3-d43ce8d16293 --identity-scope "/subscriptions/12345678-aaaa-bbbb-cccc-1234567890ab/resourcegroups/cli-example-01" --name assign-cli-example-01
   

5. Créez des tâches de correction pour les stratégies de l’initiative.

   Les tâches de correction sont créées par stratégie. Chaque tâche correspond à un definition-reference-id spécifique, spécifié dans l’initiative en tant que policyDefinitionReferenceId. Pour trouver le paramètre definition-reference-id, utilisez la commande suivante :

   az policy set-definition show --name f5b29bc4-feca-4cc6-a58a-772dd5e290a5 |grep policyDefinitionReferenceId
   

   Corriger les ressources à l’aide de az policy remediation create

   az policy remediation create --resource-group <resource group name> --policy-assignment <assignment name> --name <remediation task name> --definition-reference-id  "policy specific reference ID"  --resource-discovery-mode ReEvaluateCompliance
   

   Par exemple :

   az policy remediation create --resource-group "cli-example-01" --policy-assignment assign-cli-example-01 --name "rem-assign-cli-example-01" --definition-reference-id  "keyvault-vaults"  --resource-discovery-mode ReEvaluateCompliance
   

   Pour créer une tâche de correction pour toutes les stratégies de l’initiative, utilisez l’exemple suivant :

   for policyDefinitionReferenceId in $(az policy set-definition show --name f5b29bc4-feca-4cc6-a58a-772dd5e290a5 |grep policyDefinitionReferenceId |cut -d":" -f2|sed s/\"//g) 
   do 
       az policy remediation create --resource-group "cli-example-01" --policy-assignment assign-cli-example-01 --name remediate-$policyDefinitionReferenceId --definition-reference-id $policyDefinitionReferenceId; 
   done 
   

Paramètres communs

Le tableau suivant décrit les paramètres communs pour chaque ensemble de stratégies.

Paramètre	Description	Valeurs valides	Default
effet	Activer ou désactiver l'exécution de la stratégie	DeployIfNotExists, AuditIfNotExists, Désactivé	DeployIfNotExists
diagnosticSettingName	Nom du paramètre de diagnostic		setByPolicy-{LogAnalytics|EventHubs|Storage}
categoryGroup	Groupe de catégories de diagnostics	aucun, audit, allLogs	audit
resourceTypeList	Pour les initiatives, une liste des types de ressources à évaluer pour l’existence de paramètres de diagnostic.	Ressources prises en charge	Toutes les ressources prises en charge

Paramètres spécifiques à une stratégie

Paramètres de stratégie Log Analytics

Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un espace de travail Log Analytics.

Paramètre	Description	Valeurs valides	Default
resourceLocationList	Liste d’emplacements de ressources pour envoyer des journaux à Log Analytics à proximité. "*" sélectionne tous les emplacements	Emplacements pris en charge	*
logAnalytics	Espace de travail Log Analytics

Paramètres de stratégie Event Hubs

Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un Event Hub.

Paramètre	Description	Valeurs valides	Default
resourceLocation	L’emplacement des ressources doit être le même emplacement que l’espace de noms du hub d’événements	Emplacements pris en charge
eventHubAuthorizationRuleId	ID de règle d’autorisation Event Hub. La règle d’autorisation se trouve au niveau de l’espace de noms du hub d’événements. Par exemple, /subscriptions/{ID d’abonnement}/resourceGroups/{groupe de ressources}/providers/Microsoft.EventHub/namespaces/{espace-noms-Event Hub}/authorizationrules/{règle d’autorisation}
eventHubName	Nom du hub d’événements		Surveillance

Paramètres de stratégie des comptes de stockage

Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un compte de stockage.

Paramètre	Description	Valeurs valides	Default
resourceLocation	L’emplacement des ressources doit être identique à celui du compte de stockage	Emplacements pris en charge
storageAccount	ResourceId du compte de stockage

Ressources prises en charge

Il y existe des stratégies intégrées Journaux d’audit et Tous les journaux pour les espaces de travail Log Analytics, les hubs d’événements et les comptes de stockage pour les ressources suivantes :

Type de ressource	Tous les journaux d’activité	Journaux d’audit
microsoft.aad/domainservices	Oui	Oui
microsoft.agfoodplatform/farmbeats	Oui	Oui
microsoft.analysisservices/servers	Oui	Non
microsoft.apimanagement/service	Oui	Oui
microsoft.app/managedenvironments	Oui	Oui
microsoft.appconfiguration/configurationstores	Oui	Oui
microsoft.appplatform/spring	Oui	Non
microsoft.attestation/attestationproviders	Oui	Oui
microsoft.automation/automationaccounts	Oui	Oui
microsoft.autonomousdevelopmentplatform/workspaces	Oui	Non
microsoft.avs/privateclouds	Oui	Oui
microsoft.azureplaywrightservice/accounts	Oui	Oui
microsoft.azuresphere/catalogs	Oui	Oui
microsoft.batch/batchaccounts	Oui	Oui
microsoft.botservice/botservices	Oui	Non
microsoft.cache/redis	Oui	Oui
microsoft.cache/redisenterprise/databases	Oui	Oui
microsoft.cdn/cdnwebapplicationfirewallpolicies	Oui	Non
microsoft.cdn/profiles	Oui	Oui
microsoft.cdn/profiles/endpoints	Oui	Non
microsoft.chaos/experiments	Oui	Oui
microsoft.classicnetwork/networksecuritygroups	Oui	Non
microsoft.cloudtest/hostedpools	Oui	Non
microsoft.codesigning/codesigningaccounts	Oui	Oui
microsoft.cognitiveservices/accounts	Oui	Oui
microsoft.communication/communicationservices	Oui	Non
microsoft.community/communitytrainings	Oui	Oui
microsoft.confidentialledger/managedccfs	Oui	Oui
microsoft.connectedcache/enterprisemcccustomers	Oui	Non
microsoft.connectedcache/ispcustomers	Oui	Non
microsoft.containerinstance/containergroups	Oui	Non
microsoft.containerregistry/registries	Oui	Oui
microsoft.customproviders/resourceproviders	Oui	Non
microsoft.d365customerinsights/instances	Oui	Non
microsoft.dashboard/grafana	Oui	Oui
microsoft.databricks/workspaces	Oui	Non
microsoft.datafactory/factories	Oui	Non
microsoft.datalakeanalytics/accounts	Oui	Non
microsoft.datalakestore/accounts	Oui	Non
microsoft.dataprotection/backupvaults	Oui	Non
microsoft.datashare/accounts	Oui	Non
microsoft.dbformariadb/servers	Oui	Non
microsoft.dbformysql/flexibleservers	Oui	Oui
microsoft.dbformysql/servers	Oui	Non
microsoft.dbforpostgresql/flexibleservers	Oui	Oui
microsoft.dbforpostgresql/servergroupsv2	Oui	Non
microsoft.dbforpostgresql/servers	Oui	Non
microsoft.desktopvirtualization/applicationgroups	Oui	Non
microsoft.desktopvirtualization/hostpools	Oui	Non
microsoft.desktopvirtualization/scalingplans	Oui	Non
microsoft.desktopvirtualization/workspaces	Oui	Non
microsoft.devcenter/devcenters	Oui	Oui
microsoft.devices/iothubs	Oui	Oui
microsoft.devices/provisioningservices	Oui	Non
microsoft.digitaltwins/digitaltwinsinstances	Oui	Non
microsoft.documentdb/cassandraclusters	Oui	Oui
microsoft.documentdb/databaseaccounts	Oui	Oui
microsoft.documentdb/mongoclusters	Oui	Oui
microsoft.eventgrid/domains	Oui	Oui
microsoft.eventgrid/partnernamespaces	Oui	Oui
microsoft.eventgrid/partnertopics	Oui	Non
microsoft.eventgrid/systemtopics	Oui	Non
microsoft.eventgrid/topics	Oui	Oui
microsoft.eventhub/namespaces	Oui	Oui
microsoft.experimentation/experimentworkspaces	Oui	Non
microsoft.healthcareapis/services	Oui	Non
microsoft.healthcareapis/workspaces/dicomservices	Oui	Non
microsoft.healthcareapis/workspaces/fhirservices	Oui	Non
microsoft.healthcareapis/workspaces/iotconnectors	Oui	Non
microsoft.insights/autoscalesettings	Oui	Non
microsoft.insights/components	Oui	Non
microsoft.insights/datacollectionrules	Oui	Non
microsoft.keyvault/managedhsms	Oui	Oui
microsoft.keyvault/vaults	Oui	Oui
microsoft.kusto/clusters	Oui	Oui
microsoft.loadtestservice/loadtests	Oui	Oui
microsoft.logic/integrationaccounts	Oui	Non
microsoft.logic/workflows	Oui	Non
microsoft.machinelearningservices/registries	Oui	Oui
microsoft.machinelearningservices/workspaces	Oui	Oui
microsoft.machinelearningservices/workspaces/onlineendpoints	Oui	Non
microsoft.managednetworkfabric/networkdevices	Oui	Non
microsoft.media/mediaservices	Oui	Oui
microsoft.media/mediaservices/liveevents	Oui	Oui
microsoft.media/mediaservices/streamingendpoints	Oui	Oui
microsoft.netapp/netappaccounts/capacitypools/volumes	Oui	Oui
microsoft.network/applicationgateways	Oui	Non
microsoft.network/azurefirewalls	Oui	Non
microsoft.network/bastionhosts	Oui	Oui
microsoft.network/dnsresolverpolicies	Oui	Non
microsoft.network/expressroutecircuits	Oui	Non
microsoft.network/frontdoors	Oui	Oui
microsoft.network/loadbalancers	Oui	Non
microsoft.network/networkmanagers	Oui	Oui
microsoft.network/networkmanagers/ipampools	Oui	Oui
microsoft.network/networksecuritygroups	Oui	Non
microsoft.network/networksecurityperimeters	Oui	Non
microsoft.network/p2svpngateways	Oui	Oui
microsoft.network/publicipaddresses	Oui	Oui
microsoft.network/publicipprefixes	Oui	Oui
microsoft.network/trafficmanagerprofiles	Oui	Non
microsoft.network/virtualnetworkgateways	Oui	Oui
microsoft.network/virtualnetworks	Oui	Non
microsoft.network/vpngateways	Oui	Non
microsoft.networkanalytics/dataproducts	Oui	Oui
microsoft.networkcloud/baremetalmachines	Oui	Non
microsoft.networkcloud/clusters	Oui	Non
microsoft.networkcloud/storageappliances	Oui	Non
microsoft.networkfunction/azuretrafficcollectors	Oui	Non
microsoft.notificationhubs/namespaces	Oui	Oui
microsoft.notificationhubs/namespaces/notificationhubs	Oui	Oui
microsoft.openenergyplatform/energyservices	Oui	Non
microsoft.operationalinsights/workspaces	Oui	Oui
microsoft.powerbi/tenants/workspaces	Oui	Non
microsoft.powerbidedicated/capacities	Oui	Non
microsoft.purview/accounts	Oui	Oui
microsoft.recoveryservices/vaults	Oui	Non
microsoft.relay/namespaces	Oui	Non
microsoft.search/searchservices	Oui	Oui
microsoft.servicebus/namespaces	Oui	Oui
microsoft.servicenetworking/trafficcontrollers	Oui	Non
microsoft.signalrservice/signalr	Oui	Oui
microsoft.signalrservice/webpubsub	Oui	Oui
microsoft.sql/managedinstances	Oui	Oui
microsoft.sql/managedinstances/databases	Oui	Non
microsoft.sql/servers/databases	Oui	Oui
microsoft.storagecache/caches	Oui	Non
microsoft.storagemover/storagemovers	Oui	Non
microsoft.streamanalytics/streamingjobs	Oui	Non
microsoft.synapse/workspaces	Oui	Oui
microsoft.synapse/workspaces/bigdatapools	Oui	Oui
microsoft.synapse/workspaces/kustopools	Oui	Oui
microsoft.synapse/workspaces/scopepools	Oui	Oui
microsoft.synapse/workspaces/sqlpools	Oui	Oui
microsoft.timeseriesinsights/environments	Oui	Non
microsoft.timeseriesinsights/environments/eventsources	Oui	Non
microsoft.videoindexer/accounts	Oui	Non
microsoft.web/hostingenvironments	Oui	Oui
microsoft.workloads/sapvirtualinstances	Oui	Oui

Étapes suivantes

• Créer des paramètres de diagnostic à grande échelle à l’aide d’Azure Policy
• Définitions intégrées d’Azure Policy pour Azure Monitor
• Vue d’ensemble d’Azure Policy
• Azure Enterprise Policy en tant que code