Stratégies dans l’analytique à l’échelle du cloud

Avant d’envisager un déploiement, il est important que votre organisation mette en place des garde-fous. Avec des stratégies Azure, vous pouvez implémenter des normes organisationnelles et la gouvernance pour la cohérence des ressources, la conformité réglementaire, la sécurité, le coût et la gestion.

Arrière-plan

Un principe fondamental de l’analytique à l’échelle du cloud consiste à faciliter la création, la lecture, la mise à jour et la suppression des ressources en fonction des besoins. Mais si le fait d’accorder aux développeurs un accès illimité aux ressources les fait gagner en agilité, une telle approche peut également entraîner des coûts inattendus. La gouvernance de l’accès aux ressources offre un moyen de résoudre ce problème. Cette gouvernance consiste à gérer, superviser et auditer en continu l’utilisation des ressources Azure afin d’atteindre les objectifs et de satisfaire aux exigences de votre organisation.

La section Commencer à utiliser les zones d’atterrissage à l’échelle de l’entreprise avec Cloud Adoption Framework aborde déjà ce concept. L’analytique à l’échelle du cloud ajoute des stratégies Azure personnalisées pour s’appuyer sur ces normes. Les normes sont ensuite appliquées à nos zones d’atterrissage de gestion des données et à nos zones d’atterrissage des données.

Azure Policy est important pour garantir la sécurité et la conformité au sein de l’analytique à l’échelle du cloud. Il aide à appliquer les normes et à évaluer la conformité à grande échelle. Les stratégies peuvent être utilisées pour évaluer des ressources dans Azure et les comparer aux propriétés souhaitées. Plusieurs stratégies, ou règles métier, peuvent être regroupées dans une initiative. Des stratégies ou des initiatives individuelles peuvent être attribuées à différentes étendues dans Azure. Ces étendues peuvent être des groupes d’administration, des abonnements, des groupes de ressources ou des ressources individuelles. L’attribution s’applique à toutes les ressources dans l’étendue, et les sous-étendues peuvent être exclues avec des exceptions si nécessaire.

Remarques relatives à la conception

Les stratégies Azure dans l’analytique à l’échelle du cloud ont été développées en tenant compte des considérations de conception suivantes :

• Utilisez des stratégies Azure pour implémenter gouvernance et mettre en œuvre des règles pour la cohérence des ressources, la conformité réglementaire, la sécurité, le coût et la gestion.
• Utilisez les stratégies prédéfinies disponibles pour gagner du temps.
• Attribuez des stratégies au niveau le plus élevé possible dans l’arborescence du groupe d’administration pour simplifier la gestion des stratégies.
• Limitez les attributions Azure Policy effectuées au niveau de l’étendue du groupe d’administration racine pour éviter la gestion par le biais d’exclusions dans les étendues héritées.
• N'utilisez les exceptions à la stratégie qu'en cas de nécessité, et elles doivent être approuvées.

Stratégies Azure pour l’analytique à l’échelle du cloud

L’implémentation de stratégies personnalisées vous permet d’en faire plus avec Azure Policy. L’analytique à l’échelle du cloud est fournie avec un ensemble de stratégies précréées qui vous aident à implémenter les garde-fous nécessaires dans votre environnement.

Azure Policy doit être l’instrument principal de l’équipe de la plateforme Azure (Data) pour garantir la conformité des ressources au sein de la zone d’atterrissage de gestion des données, des zones d’atterrissage des données, ainsi que d’autres zones d’atterrissage au sein du locataire de l’organisation. Cette fonctionnalité de plateforme doit être utilisée pour introduire des garde-fous et appliquer l’adhésion à la configuration globale du service approuvé dans l’étendue du groupe d’administration respectif. Les équipes de plateforme peuvent par exemple utiliser Azure Policy pour appliquer des points de terminaison privés pour tous les comptes de stockage hébergés dans l’environnement de plateforme de données ou appliquer le chiffrement TLS 1.2 en transit pour toutes les connexions effectuées aux comptes de stockage. Quand cette action est effectuée correctement, elle empêche les équipes d’application de données d’héberger des services dans un état non conforme dans l’étendue du locataire respectif.

Les équipes informatiques responsables doivent utiliser cette fonctionnalité de plateforme pour traiter leurs problèmes de sécurité et de conformité et s’ouvrir à une approche en libre-service dans les zones d’atterrissage (Données).

L’analytique à l’échelle du cloud contient des stratégies personnalisées liées à la gestion des ressources et des coûts, à l’authentification, au chiffrement, à l’isolement réseau, à la journalisation, à la résilience, etc.

Notes

Les stratégies fournies ne sont pas appliquées par défaut lors du déploiement. Elles doivent être consultées uniquement à titre d’aide et peuvent être appliquées en fonction des besoins de l’entreprise. Les stratégies doivent toujours être appliquées au niveau le plus élevé possible. Dans la plupart des cas, il s’agit d’un groupe d’administration. Toutes les stratégies sont disponibles dans notre référentiel GitHub.

• Tous les services
• Stockage
• Key Vault
• Azure Data Factory.
• Azure Synapse Analytics
• Azure Purview
• Azure Databricks
• Azure IoT Hub
• Azure Event Hubs
• Azure Stream Analytics
• Explorateur de données Azure
• Azure Cosmos DB
• Azure Container Registry
• Azure Cognitive Services
• Azure Machine Learning
• Azure SQL Managed Instance
• Azure SQL Database
• Azure Database for MariaDB
• Azure Database pour MySQL
• Base de données Azure pour PostgreSQL
• Azure AI Search
• DNS Azure
• Groupe de sécurité réseau
• Batch
• Cache Azure pour Redis
• Instances de conteneur
• Pare-feu Azure
• HDInsight
• Power BI

Notes

Les stratégies fournies ci-dessous ne sont pas appliquées par défaut lors du déploiement. Elles doivent être consultées uniquement à titre indicatif et peuvent être appliquées en fonction des besoins de l’entreprise. Les stratégies doivent toujours être appliquées au niveau le plus élevé possible et, dans la plupart des cas, il s’agit d’un groupe d’administration. Toutes les stratégies sont disponibles dans notre référentiel GitHub.

Tous les services

Nom de stratégie	Domaine de la stratégie	Description
Deny-PublicIp	Isolement réseau	Limiter le déploiement des adresses IP publiques.
Deny-PrivateEndpoint-PrivateLinkServiceConnections	Isolement réseau	Refuser les points de terminaison privés aux ressources en dehors du locataire et de l’abonnement Microsoft Entra.
Deploy-DNSZoneGroup-{Service}-PrivateEndpoint	Isolement réseau	Déploie les configurations d’un groupe de zones DNS privées par un paramètre pour le point de terminaison privé du service. Permet d’appliquer la configuration à une seule zone DNS privée.
DiagnosticSettings-{Service}-LogAnalytics	Journalisation	Envoyez les paramètres de diagnostic pour Azure Cosmos DB à l’espace de travail Log Analytics.

Stockage

Nom de stratégie	Domaine de la stratégie	Description
Append-Storage-Encryption	Chiffrement	Appliquer le chiffrement pour des comptes de stockage.
Deny-Storage-AllowBlobPublicAccess	Isolement réseau	N’applique aucun accès public à tous les objets blob ou conteneurs figurant dans le compte de stockage.
Deny-Storage-ContainerDeleteRetentionPolicy	Résilience	Appliquer les stratégies de conservation de suppression de conteneur de plus de sept jours pour le compte de stockage.
Deny-Storage-CorsRules	Isolement réseau	Refuser les règles CORS pour le compte de stockage.
Deny-Storage-InfrastructureEncryption	Chiffrement	Appliquer le chiffrement de l’infrastructure (double) pour les comptes de stockage.
Deny-Storage-MinimumTlsVersion	Chiffrement	Applique la version TLS 1.2 minimale pour le compte de stockage.
Deny-Storage-NetworkAclsBypass	Isolement réseau	Applique un contournement réseau nul pour le compte de stockage.
Deny-Storage-NetworkAclsIpRules	Isolement réseau	Applique les règles IP réseau pour le compte de stockage.
Deny-Storage-NetworkAclsVirtualNetworkRules	Isolement réseau	Refuse les règles de réseau virtuel pour le compte de stockage.
Deny-Storage-Sku	Gestion des ressources	Applique les références (SKU) de compte de stockage.
Deny-Storage-SupportsHttpsTrafficOnly	Chiffrement	Applique le trafic HTTPS pour le compte de stockage.
Deploy-Storage-BlobServices	Gestion des ressources	Déployer les paramètres par défaut des services blob pour le compte de stockage.
Deny-Storage-RoutingPreference	Isolement réseau
Deny-Storage-Kind	Gestion des ressources
Deny-Storage-NetworkAclsDefaultAction	Isolement réseau

Key Vault

Nom de stratégie	Domaine de la stratégie	Description
Audit-KeyVault-PrivateEndpointId	Isolement réseau	Auditer les points de terminaison publics créés dans d’autres abonnements pour le coffre de clés.
Deny-KeyVault-NetworkAclsBypass	Isolement réseau	Applique les règles au niveau du réseau de contournement pour le coffre de clés.
Deny-KeyVault-NetworkAclsDefaultAction	Isolement réseau	Applique l’action par défaut au niveau des listes ACL réseau pour le coffre de clés.
Deny-KeyVault-NetworkAclsIpRules	Isolement réseau	Applique les règles IP réseau pour le coffre de clés.
Deny-KeyVault-NetworkAclsVirtualNetworkRules	Isolement réseau	Refuse les règles de réseau virtuel pour le coffre de clés.
Deny-KeyVault-PurgeProtection	Résilience	Applique la protection contre le vidage pour le coffre de clés.
Deny-KeyVault-SoftDelete	Résilience	Applique la suppression réversible avec un nombre minimal de jours de conservation pour le coffre de clés.
Deny-KeyVault-TenantId	Gestion des ressources	Appliquer l’ID de locataire pour le coffre de clés.

Azure Data Factory

Nom de stratégie	Domaine de la stratégie	Description
Append-DataFactory-IdentityType	Authentification	Applique l’utilisation de l’identité attribuée par le système pour la fabrique de données.
Deny-DataFactory-ApiVersion	Gestion des ressources	Refuse l’ancienne version de l’API pour Data Factory V1.
Deny-DataFactory-IntegrationRuntimeManagedVirtualNetwork	Isolement réseau	Refuse les runtimes d’intégration qui ne sont pas connectés au réseau virtuel managé.
Deny-DataFactory-LinkedServicesConnectionStringType	Authentification	Refuse les secrets non stockés dans Key Vault pour les services liés.
Deny-DataFactory-ManagedPrivateEndpoints	Isolement réseau	Refuse les points de terminaison privés externes pour les services liés.
Deny-DataFactory-PublicNetworkAccess	Isolement réseau	Refuse l’accès public à la fabrique de données.
Deploy-DataFactory-ManagedVirtualNetwork	Isolement réseau	Déployer un réseau virtuel managé pour Data Factory.
Deploy-SelfHostedIntegrationRuntime-Sharing	Résilience	Partager le runtime d’intégration auto-hébergé dans le hub de données avec les fabriques de données dans les nœuds de données.

Azure Synapse Analytics

Nom de stratégie	Domaine de la stratégie	Description
Append-Synapse-LinkedAccessCheckOnTargetResource	Isolement réseau	Appliquer LinkedAccessCheckOnTargetResource dans les paramètres du réseau virtuel managé lorsque l’espace de travail Synapse est créé.
Append-Synapse-Purview	Isolement réseau	Appliquer la connexion entre l’instance Purview centrale et l’espace de travail Synapse.
Append-SynapseSpark-ComputeIsolation	Gestion des ressources	Lorsqu’un pool Synapse Spark est créé sans isolation de calcul, cette opération l’ajoute.
Append-SynapseSpark-DefaultSparkLogFolder	Journalisation	Lorsqu’un pool Synapse Spark est créé sans journalisation, cette opération l’ajoute.
Append-SynapseSpark-SessionLevelPackages	Gestion des ressources	Lorsqu’un pool Synapse Spark est créé sans packages de niveau session, cette opération l’ajoute.
Audit-Synapse-PrivateEndpointId	Isolement réseau	Auditer les points de terminaison publics créés dans d’autres abonnements pour Synapse.
Deny-Synapse-AllowedAadTenantIdsForLinking	Isolement réseau
Deny-Synapse-Firewall	Isolement réseau	Configurer le pare-feu de Synapse.
Deny-Synapse-ManagedVirtualNetwork	Isolement réseau	Quand un espace de travail Synapse est créé sans réseau virtuel managé, cette opération l’ajoute.
Deny-Synapse-PreventDataExfiltration	Isolement réseau	Prévention appliquée de l’exfiltration des données pour le réseau virtuel managé Synapse.
Deny-SynapsePrivateLinkHub	Isolement réseau	Refuse le hub de liaison privée Synapse.
Deny-SynapseSpark-AutoPause	Gestion des ressources	Applique la mise en pause automatique pour les pools Synapse Spark.
Deny-SynapseSpark-AutoScale	Gestion des ressources	Applique la mise à l’échelle automatique pour les pools Synapse Spark.
Deny-SynapseSql-Sku	Gestion des ressources	Refuse certaines références (SKU) du pool Synapse SQL.
Deploy-SynapseSql-AuditingSettings	Journalisation	Envoyer les journaux d’audit pour les pools Synapse SQL à Log Analytics.
Deploy-SynapseSql-MetadataSynch	Gestion des ressources	Configurer la synchronisation des métadonnées pour les pools Synapse SQL.
Deploy-SynapseSql-SecurityAlertPolicies	Journalisation	Déployer la stratégie d’alerte de sécurité du pool Synapse SQL.
Deploy-SynapseSql-TransparentDataEncryption	Chiffrement	Déployer le chiffrement transparent des données Synapse SQL.
Deploy-SynapseSql-VulnerabilityAssessment	Journalisation	Déployer des évaluations de vulnérabilité du pool Synapse SQL.

Azure Purview

Nom de stratégie	Domaine de la stratégie	Description
Deny-Purview	Gestion des ressources	Limiter le déploiement de comptes Purview pour éviter toute prolifération.

Azure Databricks

Nom de stratégie	Domaine de la stratégie	Description
Append-Databricks-PublicIp	Isolement réseau	N’applique aucun accès public sur les espaces de travail Databricks.
Deny-Databricks-Sku	Gestion des ressources	Refuser la référence (SKU) non-Premium de Databricks.
Deny-Databricks-VirtualNetwork	Isolement réseau	Refuser le déploiement d’un réseau non virtuel pour Databricks.

Stratégies supplémentaires appliquées dans l’espace de travail Databricks via les stratégies de cluster :

Nom de la stratégie de cluster	Domaine de la stratégie
Limiter la version Spark	Gestion des ressources
Limiter la taille de cluster et les types de machine virtuelle	Gestion des ressources
Appliquer l’étiquetage des coûts	Gestion des ressources
Appliquer la mise à l’échelle automatique	Gestion des ressources
Appliquer la mise en pause automatique	Gestion des ressources
Limiter les DBU par heure	Gestion des ressources
Refuser le protocole SSH public	Authentification
Transfert des informations d’identification du cluster activé	Authentification
Activer l’isolation des processus	Isolement réseau
Appliquer le monitoring Spark	Journalisation
Appliquer les journaux de cluster	Journalisation
Autoriser uniquement SQL, Python	Gestion des ressources
Refuser les scripts de configuration supplémentaires	Gestion des ressources

Azure IoT Hub

Nom de stratégie	Domaine de la stratégie	Description
Append-IotHub-MinimalTlsVersion	Chiffrement	Applique la version TLS minimale pour le hub IoT.
Audit-IotHub-PrivateEndpointId	Isolement réseau	Auditer les points de terminaison publics créés dans d’autres abonnements pour les hubs IoT.
Deny-IotHub-PublicNetworkAccess	Isolement réseau	Refuse l’accès au réseau public pour le hub IoT.
Deny-IotHub-Sku	Gestion des ressources	Applique les références (SKU) des hubs IoT.
Deploy-IotHub-IoTSecuritySolutions	Sécurité	Déployer Microsoft Defender pour IoT pour les hubs IoT.

Azure Event Hubs

Nom de stratégie	Domaine de la stratégie	Description
Deny-EventHub-Ipfilterrules	Isolement réseau	Refuser l’ajout de règles de filtre IP pour Azure Event Hubs.
Deny-EventHub-MaximumThroughputUnits	Isolement réseau	Refuse l’accès au réseau public pour mes serveurs SQL.
Deny-EventHub-NetworkRuleSet	Isolement réseau	Applique les règles de réseau virtuel par défaut pour Azure Event Hubs.
Deny-EventHub-Sku	Gestion des ressources	Refuse certaines références (SKU) pour Azure Event Hubs.
Deny-EventHub-Virtualnetworkrules	Isolement réseau	Refuser l’ajout de règles de réseau virtuel pour Azure Event Hubs.

Azure Stream Analytics

Nom de stratégie	Domaine de la stratégie	Description
Append-StreamAnalytics-IdentityType	Authentification	Applique l’utilisation de l’identité attribuée par le système pour Stream Analytics.
Deny-StreamAnalytics-ClusterId	Gestion des ressources	Applique l’utilisation du cluster Stream Analytics.
Deny-StreamAnalytics-StreamingUnits	Gestion des ressources	Applique le nombre d’unités de streaming Stream Analytics.

Explorateur de données Azure

Nom de stratégie	Domaine de la stratégie	Description
Deny-DataExplorer-DiskEncryption	Chiffrement	Applique l’utilisation du chiffrement de disque pour l’explorateur de données.
Deny-DataExplorer-DoubleEncryption	Chiffrement	Applique l’utilisation du chiffrement double pour l’explorateur de données.
Deny-DataExplorer-Identity	Authentification	Applique l’utilisation de l’identité attribuée par le système ou l’utilisateur pour l’explorateur de données.
Deny-DataExplorer-Sku	Gestion des ressources	Applique les références (SKU) de l’explorateur de données.
Deny-DataExplorer-TrustedExternalTenants	Isolement réseau	Refuse les locataires externes pour l’explorateur de données.
Deny-DataExplorer-VirtualNetworkConfiguration	Isolement réseau	Applique l’ingestion de réseau virtuel pour l’explorateur de données.

Azure Cosmos DB

Nom de stratégie	Domaine de la stratégie	Description
Append-Cosmos-DenyCosmosKeyBasedMetadataWriteAccess	Authentification	Refusez l’accès en écriture aux métadonnées basées sur les clés pour les comptes Azure Cosmos DB.
Append-Cosmos-PublicNetworkAccess	Isolement réseau	N’applique aucun accès réseau public pour les comptes Azure Cosmos DB.
Audit-Cosmos-PrivateEndpointId	Isolement réseau	Auditez les points de terminaison publics créés dans d’autres abonnements pour Azure Cosmos DB.
Deny-Cosmos-Cors	Isolement réseau	Refuse les règles CORS pour les comptes Azure Cosmos DB.
Deny-Cosmos-PublicNetworkAccess	Isolement réseau	Refuse l’accès réseau public pour les comptes Azure Cosmos DB.

Azure Container Registry

Nom de stratégie	Domaine de la stratégie	Description
Audit-ContainerRegistry-PrivateEndpointId	Isolement réseau	Auditer les points de terminaison publics créés dans d’autres abonnements pour Cognitive Services.
Deny-ContainerRegistry-PublicNetworkAccess	Isolement réseau	Refuse l’accès au réseau public pour le registre de conteneurs.
Deny-ContainerRegistry-Sku	Gestion des ressources	Applique la référence (SKU) Premium pour le registre de conteneurs.

Azure Cognitive Services

Nom de stratégie	Domaine de la stratégie	Description
Append-CognitiveServices-IdentityType	Authentification	Applique l’utilisation de l’identité attribuée par le système pour Cognitive Services.
Audit-CognitiveServices-PrivateEndpointId	Isolement réseau	Auditer les points de terminaison publics créés dans d’autres abonnements pour Cognitive Services.
Deny-CognitiveServices-Encryption	Chiffrement	Applique l’utilisation du chiffrement pour Cognitive Services.
Deny-CognitiveServices-PublicNetworkAccess	Isolement réseau	N’applique aucun accès réseau public pour Cognitive Services.
Deny-CognitiveServices-Sku	Gestion des ressources	Refuser la référence (SKU) gratuite de Cognitive Services.
Deny-CognitiveServices-UserOwnedStorage	Isolement réseau	Applique le stockage appartenant à l’utilisateur pour Cognitive Services.

Azure Machine Learning

Nom de stratégie	Domaine de la stratégie	Description
Append-MachineLearning-PublicAccessWhenBehindVnet	Isolement réseau	Refuser l’accès public derrière le réseau virtuel pour les espaces de travail Machine Learning.
Audit-MachineLearning-PrivateEndpointId	Isolement réseau	Auditer les points de terminaison publics créés dans d’autres abonnements pour le Machine Learning.
Deny-MachineLearning-HbiWorkspace	Isolement réseau	Appliquer les espaces de travail Machine Learning à impact élevé sur l’activité dans l’ensemble de l’environnement.
Deny-MachineLearningAks	Gestion des ressources	Refuser la création de service AKS (pas d’attachement) dans le Machine Learning.
Deny-MachineLearningCompute-SubnetId	Isolement réseau	Refuser l’adresse IP publique pour les clusters et les instances de calcul de Machine Learning.
Deny-MachineLearningCompute-VmSize	Gestion des ressources	Limiter les tailles de machine virtuelle autorisées pour les clusters et les instances de calcul de Machine Learning.
Deny-MachineLearningComputeCluster-RemoteLoginPortPublicAccess	Isolement réseau	Refuser l’accès public aux clusters via SSH.
Deny-MachineLearningComputeCluster-Scale	Gestion des ressources	Appliquer les paramètres d’échelle des clusters de calcul de Machine Learning.

Azure SQL Managed Instance

Nom de stratégie	Domaine de la stratégie	Description
Append-SqlManagedInstance-MinimalTlsVersion	Chiffrement	Applique la version TLS minimale pour les serveurs SQL Managed Instance.
Deny-SqlManagedInstance-PublicDataEndpoint	Isolement réseau	Refuse le point de terminaison de données public pour les instances managées SQL.
Deny-SqlManagedInstance-Sku	Gestion des ressources
Deny-SqlManagedInstance-SubnetId	Isolement réseau	Applique les déploiements aux sous-réseaux des instances managées SQL.
Deploy-SqlManagedInstance-AzureAdOnlyAuthentications	Authentification	Applique l’authentification Microsoft Entra uniquement pour SQL Managed Instance.
Deploy-SqlManagedInstance-SecurityAlertPolicies	Journalisation	Déployer les stratégies d’alerte de sécurité SQL Managed Instance.
Deploy-SqlManagedInstance-VulnerabilityAssessment	Journalisation	Déployer les évaluations de vulnérabilité de SQL Managed Instance.

Azure SQL Database

Nom de stratégie	Domaine de la stratégie	Description
Append-Sql-MinimalTlsVersion	Chiffrement	Applique la version TLS minimale pour les serveurs SQL.
Audit-Sql-PrivateEndpointId	Isolement réseau	Auditer les points de terminaison publics créés dans d’autres abonnements pour Azure SQL.
Deny-Sql-PublicNetworkAccess	Isolement réseau	Refuse l’accès au réseau public pour les serveurs SQL.
Deny-Sql-StorageAccountType	Résilience	Applique la sauvegarde de base de données géoredondante.
Deploy-Sql-AuditingSettings	Journalisation	Déployer les paramètres d’audit SQL.
Deploy-Sql-AzureAdOnlyAuthentications	Authentification	Applique l’authentification Microsoft Entra uniquement pour le serveur SQL.
Deploy-Sql-SecurityAlertPolicies	Journalisation	Déployer les stratégies d’alerte de sécurité SQL.
Deploy-Sql-TransparentDataEncryption	Chiffrement	Déployer le chiffrement transparent des données SQL.
Deploy-Sql-VulnerabilityAssessment	Journalisation	Déployer les évaluations des vulnérabilités SQL.
Deploy-SqlDw-AuditingSettings	Journalisation	Déployer les paramètres d’audit SQL DW.

Azure Database for MariaDB

Nom de stratégie	Domaine de la stratégie	Description
Append-MariaDb-MinimalTlsVersion	Chiffrement	Applique la version TLS minimale pour les serveurs MariaDB.
Audit-MariaDb-PrivateEndpointId	Isolement réseau	Auditer les points de terminaison publics créés dans d’autres abonnements pour MariaDB.
Deny-MariaDb-PublicNetworkAccess	Isolement réseau	Refuse l’accès au réseau public pour mes serveurs MariaDB.
Deny-MariaDb-StorageProfile	Résilience	Applique la sauvegarde de base de données géoredondante avec une durée de conservation minimale en jours.
Deploy-MariaDb-SecurityAlertPolicies	Journalisation	Déployer les stratégies d’alerte de sécurité SQL pour MariaDB

Azure Database pour MySQL

Nom de stratégie	Domaine de la stratégie	Description
Append-MySQL-MinimalTlsVersion	Chiffrement	Applique la version TLS minimale pour les serveurs MySQL.
Audit-MySql-PrivateEndpointId	Isolement réseau	Auditer les points de terminaison publics créés dans d’autres abonnements pour MySQL.
Deny-MySQL-InfrastructureEncryption	Chiffrement	Applique le chiffrement d’infrastructure pour les serveurs MySQL.
Deny-MySQL-PublicNetworkAccess	Isolement réseau	Refuse l’accès au réseau public pour les serveurs MySQL.
Deny-MySql-StorageProfile	Résilience	Applique la sauvegarde de base de données géoredondante avec une durée de conservation minimale en jours.
Deploy-MySql-SecurityAlertPolicies	Journalisation	Déployer les stratégies d’alerte de sécurité SQL pour MySQL.

Azure Database pour PostgreSQL

Nom de stratégie	Domaine de la stratégie	Description
Append-PostgreSQL-MinimalTlsVersion	Chiffrement	Applique la version TLS minimale pour les serveurs PostgreSQL.
Audit-PostgreSql-PrivateEndpointId	Isolement réseau	Auditer les points de terminaison publics créés dans d’autres abonnements pour PostgreSQL.
Deny-PostgreSQL-InfrastructureEncryption	Chiffrement	Applique le chiffrement d’infrastructure pour les serveurs PostgreSQL.
Deny-PostgreSQL-PublicNetworkAccess	Isolement réseau	Refuse l’accès au réseau public pour les serveurs PostgreSQL.
Deny-PostgreSql-StorageProfile	Résilience	Applique la sauvegarde de base de données géoredondante avec une durée de conservation minimale en jours.
Deploy-PostgreSql-SecurityAlertPolicies	Journalisation	Déployer les stratégies d’alerte de sécurité SQL pour PostgreSQL.

Recherche Azure AI

Nom de stratégie	Domaine de la stratégie	Description
Append-Search-IdentityType	Authentification	Applique l’utilisation de l’identité attribuée par le système pour la Recherche Azure AI.
Audit-Search-PrivateEndpointId	Isolement réseau	Auditer les points de terminaison publics créés dans d’autres abonnements pour Recherche Azure AI.
Deny-Search-PublicNetworkAccess	Isolement réseau	Refuse l’accès au réseau public pour Recherche Azure AI.
Deny-Search-Sku	Gestion des ressources	Applique les références SKU Recherche Azure AI.

Azure DNS

Nom de stratégie	Domaine de la stratégie	Description
Deny-PrivateDnsZones	Gestion des ressources	Limiter le déploiement des zones DNS privées pour éviter toute prolifération.

Un groupe de sécurité réseau

Nom de stratégie	Domaine de la stratégie	Description
Deploy-Nsg-FlowLogs	Journalisation	Déployer les journaux de flux NSG et l’analytique du trafic.

Batch

Nom de stratégie	Domaine de la stratégie	Description
Deny-Batch-InboundNatPools	Isolement réseau	Refuse les pools NAT entrants pour les pools de machines virtuelles des comptes Batch.
Deny-Batch-NetworkConfiguration	Isolement réseau	Refuse les adresses IP publiques pour les pools de machines virtuelles des comptes Batch.
Deny-Batch-PublicNetworkAccess	Isolement réseau	Refuse l’accès réseau public pour les comptes Batch.
Deny-Batch-Scale	Gestion des ressources	Refuse certaines configurations de mise à l’échelle pour les pools de machines virtuelles des comptes Batch.
Deny-Batch-VmSize	Gestion des ressources	Refuse certaines tailles de machine virtuelle pour les pools de machines virtuelles des comptes Batch.

Cache Azure pour Redis

Nom de stratégie	Domaine de la stratégie	Description
Deny-Cache-Enterprise	Gestion des ressources	Refuse le cache Redis Enterprise.
Deny-Cache-FirewallRules	Isolement réseau	Refuse les règles de pare-feu pour le cache Redis.
Deny-Cache-MinimumTlsVersion	Chiffrement	Applique la version TLS minimale pour le cache Redis.
Deny-Cache-NonSslPort	Isolement réseau	Applique la désactivation du port non-SSL pour le cache Redis.
Deny-Cache-PublicNetworkAccess	Isolement réseau	N’applique aucun accès réseau public pour le cache Redis.
Deny-Cache-Sku	Gestion des ressources	Applique certaines références (SKU) pour le cache Redis.
Deny-Cache-VnetInjection	Isolement réseau	Applique l’utilisation des points de terminaison privés et refuse l’injection de réseau virtuel pour le cache Redis.

Container Instances

Nom de stratégie	Domaine de la stratégie	Description
Deny-ContainerInstance-PublicIpAddress	Isolement réseau	Refuse les instances de conteneur publiques créées à partir d’Azure Machine Learning.

Pare-feu Azure

Nom de stratégie	Domaine de la stratégie	Description
Deny-Firewall	Gestion des ressources	Limiter le déploiement du pare-feu Azure pour éviter toute prolifération.

HDInsight

Nom de stratégie	Domaine de la stratégie	Description
Deny-HdInsight-EncryptionAtHost	Chiffrement	Appliquer le chiffrement sur l’hôte pour les clusters HDInsight.
Deny-HdInsight-EncryptionInTransit	Chiffrement	Applique le chiffrement en transit pour les clusters HDInsight.
Deny-HdInsight-MinimalTlsVersion	Chiffrement	Applique une version TLS minimale pour les clusters HDInsight.
Deny-HdInsight-NetworkProperties	Isolement réseau	Applique l’activation des liaisons privées pour les clusters HDInsight.
Deny-HdInsight-Sku		Applique certaines références (SKU) pour les clusters HDInsight.
Deny-HdInsight-VirtualNetworkProfile	Isolement réseau	Applique l’injection de réseau virtuel pour les clusters HDInsight.

Power BI

Nom de stratégie	Domaine de la stratégie	Description
Deny-PrivateLinkServicesForPowerBI	Gestion des ressources	Limiter le déploiement des services de liaison privée pour Power BI afin d’éviter toute prolifération.

Étapes suivantes

• Exigences relatives à la gouvernance des données dans une entreprise moderne
• Composants requis pour la gouvernance des données