Définitions intégrées Azure Policy pour Recherche cognitive Azure
Cette page est un index des définitions de stratégie intégrées d’Azure Policy pour Recherche cognitive Azure. Pour obtenir des éléments intégrés supplémentaires d’Azure Policy pour d’autres services, consultez Définitions intégrées d’Azure Policy.
Le nom de chaque définition de stratégie intégrée est un lien vers la définition de la stratégie dans le portail Azure. Utilisez le lien de la colonne Version pour voir la source dans le dépôt GitHub Azure Policy.
Recherche cognitive Azure
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| [Préversion] : le service Recherche Azure AI doit être redondant interzone | Le service Recherche Azure AI peut être configuré pour être redondant interzone ou non. Les zones de disponibilité sont utilisées lorsque vous ajoutez deux réplicas ou plus à votre service de recherche. Chaque réplica est placé dans une zone de disponibilité distincte au sein de la région. | Audit, Refuser, Désactivé | 1.0.0-preview |
| Les ressources Azure AI Services doivent avoir l’accès par clé désactivé (désactiver l’authentification locale) | Pour des raisons de sécurité, il est recommandé de désactiver l’accès à la clé (authentification locale). Azure OpenAI Studio, généralement utilisé dans le développement/test, nécessite un accès à la clé et ne fonctionnera pas si l’accès à la clé est désactivé. Après la désactivation, Microsoft Entra ID devient la seule méthode d’accès, qui permet de conserver le principe de privilège minimal et le contrôle granulaire. Plus d’informations sur : https://aka.ms/AI/auth | Audit, Refuser, Désactivé | 1.1.0 |
| Les ressources Azure AI Services doivent limiter l’accès réseau | En limitant l’accès réseau, vous pouvez vous assurer que seuls les réseaux autorisés peuvent accéder au service. Pour ce faire, configurez des règles réseau afin que seules les applications provenant de réseaux autorisés puissent accéder au service Azure AI. | Audit, Refuser, Désactivé | 3.2.0 |
| Les ressources Azure AI Services doivent utiliser Azure Private Link | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link réduit les risques de fuite de données en gérant la connectivité entre le consommateur et les services via le réseau principal Azure. En savoir plus sur les liaisons privées : https://aka.ms/AzurePrivateLink/Overview | Audit, Désactivé | 1.0.0 |
| Le service Recherche cognitive Azure doit utiliser une référence SKU qui prend en charge les liaisons privées | Avec les références SKU prises en charge de Recherche cognitive Azure, Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique à la source ou à la destination. La plateforme de la liaison privée gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à votre service de recherche, les risques de fuite de données sont réduits. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Refuser, Désactivé | 1.0.0 |
| Les services Recherche cognitive Azure doivent désactiver l’accès réseau public | La désactivation de l’accès au réseau public améliore la sécurité en s’assurant que votre service Recherche cognitive Azure n’est pas exposé sur l’Internet public. La création de points de terminaison privés peut limiter l’exposition de votre service de recherche. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Refuser, Désactivé | 1.0.0 |
| Les méthode d'authentification locales doivent être désactivées pour les services de Recherche cognitive Azure | La désactivation des méthodes d’authentification locales améliore la sécurité dans la mesure où cela permet de garantir que les services de Recherche cognitive Azure requièrent exclusivement des identités Azure Active Directory pour l’authentification. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/azure-cognitive-search/rbac. Notez que si le paramètre de désactivation de l’authentification locale est toujours en préversion, le refus de cette stratégie peut entraîner une limitation des fonctionnalités dans le portail de Recherche cognitive Azure, car certaines fonctionnalités du portail utilisent l’API en disponibilité générale qui ne prend pas en charge ce paramètre. | Audit, Refuser, Désactivé | 1.0.0 |
| Les services de Recherche cognitive Azure doivent utiliser des clés gérées par le client pour chiffrer les données au repos | L’activation du chiffrement au repos à l’aide d’une clé gérée par le client sur vos services de Recherche cognitive Azure vous offre un contrôle supplémentaire sur la clé utilisée pour chiffrer les données au repos. Cette fonctionnalité est souvent applicable aux clients ayant des exigences de conformité spéciales pour gérer des clés de chiffrement de données à l’aide d’un coffre de clés. | Audit, Refuser, Désactivé | 1.0.0 |
| Configurer les ressources Azure AI Services pour désactiver l’accès par clé locale (désactiver l’authentification locale) | Pour des raisons de sécurité, il est recommandé de désactiver l’accès à la clé (authentification locale). Azure OpenAI Studio, généralement utilisé dans le développement/test, nécessite un accès à la clé et ne fonctionnera pas si l’accès à la clé est désactivé. Après la désactivation, Microsoft Entra ID devient la seule méthode d’accès, qui permet de conserver le principe de privilège minimal et le contrôle granulaire. Plus d’informations sur : https://aka.ms/AI/auth | DeployIfNotExists, Désactivé | 1.0.0 |
| Configurer les services de Recherche cognitive Azure pour désactiver l'authentification locale | Désactivez les méthodes d’authentification locales de façon à ce que vos services de Recherche cognitive Azure requièrent exclusivement des identités Azure Active Directory pour l’authentification. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/azure-cognitive-search/rbac. | Modifier, Désactivé | 1.0.0 |
| Configurer les services Recherche cognitive Azure pour désactiver l’accès réseau public | Désactivez l’accès réseau public pour votre service Recherche cognitive Azure pour qu’il ne soit pas accessible via l’Internet public. Cela peut réduire les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Modifier, Désactivé | 1.0.0 |
| Configurer les services Recherche cognitive Azure avec des points de terminaison privés | Les points de terminaison privés vous permettent de connecter votre réseau virtuel aux services Azure sans IP publique au niveau de la source ou de la destination. En mappant des points de terminaison privés à votre service Recherche cognitive Azure, vous pouvez réduire les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | DeployIfNotExists, Désactivé | 1.0.0 |
| Déployer les paramètres de diagnostic des services de recherche sur Event Hub | Déploie les paramètres de diagnostic des services de recherche à envoyer en streaming à un hub d’événements régional quand un service de recherche nouveau ou mis à jour n’a pas ces paramètres de diagnostic. | DeployIfNotExists, Désactivé | 2.0.0 |
| Déployer les paramètres de diagnostic des services de recherche sur l’espace de travail Log Analytics | Déploie les paramètres de diagnostic des services de recherche à envoyer en streaming à un espace de travail Log Analytics régional quand un service de recherche nouveau ou mis à jour n’a pas ces paramètres de diagnostic. | DeployIfNotExists, Désactivé | 1.0.0 |
| Les journaux de diagnostic dans les ressources Azure AI services doivent être activés | Activez les journaux pour les ressources Azure AI services. Cela vous permet de recréer les pistes d’activité à des fins d’investigation, en cas d’incident de sécurité ou de compromission du réseau | AuditIfNotExists, Désactivé | 1.0.0 |
| Activer la journalisation par groupe de catégories pour le service Search (microsoft.search/searchservices) dans Event Hub | Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un Event Hub pour le service Search (microsoft.search/searchservices). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Activer la journalisation par groupe de catégories pour le service Search (microsoft.search/searchservices) dans Log Analytics | Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un espace de travail Log Analytics pour le service Search (microsoft.search/searchservices). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Activer la journalisation par groupe de catégories pour le service Search (microsoft.search/searchservices) dans le Stockage | Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un compte de Stockage pour le service Search (microsoft.search/searchservices). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Les journaux de ressources dans les services Search doivent être activés | Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. | AuditIfNotExists, Désactivé | 5.0.0 |
Étapes suivantes
- Consultez les définitions intégrées dans le dépôt Azure Policy de GitHub.
- Consultez la Structure de définition Azure Policy.
- Consultez la page Compréhension des effets de Policy.