Definizioni predefinite di Criteri di Azure per Ricerca cognitiva di Azure
Questa pagina include un indice delle definizioni di criteri predefiniti di Criteri di Azure per Ricerca cognitiva di Azure. Per informazioni su altre definizioni predefinite di Criteri di Azure per altri servizi, vedere Definizioni di criteri predefiniti di Criteri di Azure.
Il nome di ogni definizione di criterio predefinito punta alla definizione del criterio nel portale di Azure. Usare il collegamento nella colonna Versione per visualizzare l'origine nel repository GitHub di Criteri di Azure.
Ricerca cognitiva di Azure
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| [Anteprima]: Il servizio di ricerca di intelligenza artificiale di Azure deve essere ridondante della zona | Il servizio di ricerca di intelligenza artificiale di Azure può essere configurato in modo che sia ridondante o meno della zona. Le zone di disponibilità vengono usate quando si aggiungono due o più repliche al servizio di ricerca. Ogni replica viene inserita in una zona di disponibilità diversa all'interno dell'area. | Audit, Deny, Disabled | 1.0.0-preview |
| Le risorse di Servizi di Azure AI devono avere l'accesso alla chiave disabilitato (disabilitare l'autenticazione locale) | È consigliabile disabilitare l'accesso alla chiave (autenticazione locale) per la sicurezza. Azure OpenAI Studio, in genere usato in fase di sviluppo/test, richiede l'accesso alle chiavi e non funzionerà se l'accesso alla chiave è disabilitato. Dopo la disabilitazione, Microsoft Entra ID diventa l'unico metodo di accesso, che consente di mantenere il principio dei privilegi minimi e il controllo granulare. Per altre informazioni, vedere: https://aka.ms/AI/auth | Audit, Deny, Disabled | 1.1.0 |
| Le risorse di Servizi di intelligenza artificiale di Azure devono limitare l'accesso alla rete | Limitando l'accesso alla rete, è possibile assicurarsi che solo le reti consentite possano accedere al servizio. A tale scopo, è possibile configurare le regole di rete in modo che solo le applicazioni provenienti da reti consentite possano accedere al servizio Azure per intelligenza artificiale. | Audit, Deny, Disabled | 3.2.0 |
| Le risorse di Servizi di Azure AI devono usare collegamento privato di Azure | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma di collegamento privato riduce i rischi di perdita di dati gestendo la connettività tra consumer e servizi tramite la rete backbone di Azure. È possibile trovare altre informazioni sui collegamenti privati alla pagina: https://aka.ms/AzurePrivateLink/Overview | Audit, Disabled | 1.0.0 |
| Il servizio Ricerca cognitiva di Azure deve usare uno SKU che supporta il collegamento privato | Con gli SKU supportati di Ricerca cognitiva di Azure, collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati al servizio di ricerca, i rischi di perdita dei dati vengono ridotti. Per altre informazioni, vedere https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Deny, Disabled | 1.0.0 |
| I servizi di Ricerca cognitiva di Azure devono disabilitare l'accesso alla rete pubblica | La disabilitazione dell'accesso alla rete pubblica migliora la sicurezza assicurandosi che il servizio Ricerca cognitiva di Azure non sia esposto sulla rete Internet pubblica. La creazione di endpoint privati può limitare l'esposizione del servizio di ricerca. Per altre informazioni, vedere https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Deny, Disabled | 1.0.0 |
| Per i servizi di Ricerca cognitiva di Azure i metodi di autenticazione locale devono essere disabilitati | La disabilitazione dei metodi di autenticazione locale migliora la sicurezza garantendo che il servizio di Ricerca cognitiva di Azure richieda esclusivamente le identità di Azure Active Directory per l'autenticazione. Per altre informazioni, vedere https://aka.ms/azure-cognitive-search/rbac. Si noti che mentre il parametro di disabilitazione dell'autenticazione locale è ancora in anteprima, l'effetto di negazione per questo criterio può comportare funzionalità limitate del portale di Ricerca cognitiva di Azure poiché alcune funzionalità del portale usano l'API GA che non supporta il parametro. | Audit, Deny, Disabled | 1.0.0 |
| Gli account di Ricerca cognitiva di Azure devono usare chiavi gestite dal cliente per la crittografia dei dati inattivi | L'abilitazione della crittografia dei dati inattivi tramite una chiave gestita dal cliente nei servizi di Ricerca cognitiva di Azure offre un controllo aggiuntivo sulla chiave usata per crittografare i dati inattivi. Questa funzionalità è spesso applicabile ai clienti con requisiti di conformità speciali per gestire le chiavi di crittografia dei dati usando un insieme di credenziali delle chiavi. | Audit, Deny, Disabled | 1.0.0 |
| Configurare le risorse di Servizi di intelligenza artificiale di Azure per disabilitare l'accesso alla chiave locale (disabilitare l'autenticazione locale) | È consigliabile disabilitare l'accesso alla chiave (autenticazione locale) per la sicurezza. Azure OpenAI Studio, in genere usato in fase di sviluppo/test, richiede l'accesso alle chiavi e non funzionerà se l'accesso alla chiave è disabilitato. Dopo la disabilitazione, Microsoft Entra ID diventa l'unico metodo di accesso, che consente di mantenere il principio dei privilegi minimi e il controllo granulare. Per altre informazioni, vedere: https://aka.ms/AI/auth | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare i servizi di Ricerca cognitiva di Azure per disabilitare l'autenticazione locale | Disabilitare i metodi di autenticazione locale in modo che i servizi di Ricerca cognitiva di Azure richiedano esclusivamente identità di Azure Active Directory per l'autenticazione. Per altre informazioni, vedere https://aka.ms/azure-cognitive-search/rbac. | Modifica, disattivato | 1.0.0 |
| Configura i servizi di Ricerca cognitiva di Azure per disabilitare l'accesso alla rete pubblica | Disabilitare l'accesso alla rete pubblica per il servizio Ricerca cognitiva di Azure in modo che non sia accessibile tramite Internet pubblico. Ciò può ridurre il rischio di perdita dei dati. Per altre informazioni, vedere https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Modifica, disattivato | 1.0.0 |
| Configura servizi di Ricerca cognitiva di Azure con endpoint privati | Gli endpoint privati connettono la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. Eseguendo il mapping di endpoint privati al servizio Ricerca cognitiva di Azure, è possibile ridurre i rischi di perdita dei dati. Per altre informazioni, vedere https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | DeployIfNotExists, Disabled | 1.0.0 |
| Distribuisci le impostazioni di diagnostica per i servizi di ricerca nell'hub eventi | Distribuisce le impostazioni di diagnostica per i servizi di ricerca per lo streaming in un hub eventi a livello di area quando viene creato o aggiornato un servizio di ricerca in cui manca questa impostazione di diagnostica. | DeployIfNotExists, Disabled | 2.0.0 |
| Distribuisci le impostazioni di diagnostica per il servizio di ricerca nell'area di lavoro Log Analytics | Distribuisce le impostazioni di diagnostica per i servizi di ricerca per lo streaming in un'area di lavoro Log Analytics a livello di area quando viene creato o aggiornato un servizio di ricerca in cui manca questa impostazione di diagnostica. | DeployIfNotExists, Disabled | 1.0.0 |
| I log di diagnostica nelle risorse dei servizi di intelligenza artificiale di Azure devono essere abilitati | Abilitare i log per le risorse dei servizi di intelligenza artificiale di Azure. Ciò consente di ricreare la traccia delle attività per scopi di analisi quando si verifica un evento imprevisto della sicurezza o la rete viene compromessa | AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per i servizi di ricerca (microsoft.search/searchservices) in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per i servizi di ricerca (microsoft.search/searchservices). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per i servizi di ricerca (microsoft.search/searchservices) in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per Servizi cognitivi (microsoft.cognitiveservices/accounts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per i servizi di ricerca (microsoft.search/searchservices) in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per i servizi di ricerca (microsoft.search/searchservices). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| I log delle risorse devono essere abilitati nei servizi di ricerca | Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa | AuditIfNotExists, Disabled | 5.0.0 |
Passaggi successivi
- Vedere i criteri predefiniti nel repository di GitHub su Criteri di Azure.
- Vedere la struttura delle definizioni di Criteri di Azure.
- Leggere Informazioni sugli effetti di Criteri.