Definizioni predefinite di Criteri di Azure per Ricerca cognitiva di Azure
Questa pagina include un indice delle definizioni di criteri predefiniti di Criteri di Azure per Ricerca cognitiva di Azure. Per informazioni su altre definizioni predefinite di Criteri di Azure per altri servizi, vedere Definizioni di criteri predefiniti di Criteri di Azure.
Il nome di ogni definizione di criterio predefinito punta alla definizione del criterio nel portale di Azure. Usare il collegamento nella colonna Versione per visualizzare l'origine nel repository GitHub di Criteri di Azure.
Ricerca cognitiva di Azure
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| [Anteprima]: Il servizio di ricerca di intelligenza artificiale di Azure deve essere ridondante della zona | Il servizio di ricerca di intelligenza artificiale di Azure può essere configurato in modo che sia ridondante o meno della zona. Le zone di disponibilità vengono usate quando si aggiungono due o più repliche al servizio di ricerca. Ogni replica viene inserita in una zona di disponibilità diversa all'interno dell'area. | Audit, Deny, Disabled | 1.0.0-preview |
| L'servizio di ricerca di intelligenza artificiale di Azure deve usare uno SKU che supporta un collegamento privato | Con gli SKU supportati di Ricerca di intelligenza artificiale di Azure, collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati al servizio di ricerca, i rischi di perdita dei dati vengono ridotti. Per altre informazioni, vedere https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Deny, Disabled | 1.0.1 |
| Le servizio di ricerca di intelligenza artificiale di Azure devono disabilitare l'accesso alla rete pubblica | La disabilitazione dell'accesso alla rete pubblica migliora la sicurezza assicurandosi che l'servizio di ricerca di intelligenza artificiale di Azure non sia esposto su Internet pubblico. La creazione di endpoint privati può limitare l'esposizione del servizio di ricerca. Per altre informazioni, vedere https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Deny, Disabled | 1.0.1 |
| I servizio di ricerca di intelligenza artificiale di Azure devono avere metodi di autenticazione locale disabilitati | La disabilitazione dei metodi di autenticazione locale migliora la sicurezza assicurando che i servizio di ricerca di intelligenza artificiale di Azure richiedano esclusivamente identità di Azure Active Directory per l'autenticazione. Per altre informazioni, vedere https://aka.ms/azure-cognitive-search/rbac. Si noti che, mentre il parametro disabilita l'autenticazione locale è ancora in anteprima, l'effetto di negazione per questo criterio può comportare una funzionalità limitata del portale di Ricerca di intelligenza artificiale di Azure perché alcune funzionalità del portale usano l'API GA che non supporta il parametro . | Audit, Deny, Disabled | 1.0.1 |
| Le servizio di ricerca di intelligenza artificiale di Azure devono usare chiavi gestite dal cliente per crittografare i dati inattivi | L'abilitazione della crittografia dei dati inattivi tramite una chiave gestita dal cliente nei servizio di ricerca di intelligenza artificiale di Azure offre un controllo aggiuntivo sulla chiave usata per crittografare i dati inattivi. Questa funzionalità è spesso applicabile ai clienti con requisiti di conformità speciali per gestire le chiavi di crittografia dei dati usando un insieme di credenziali delle chiavi. | AuditIfNotExists, Disabled | 2.0.0 |
| Le risorse di Servizi di Azure AI devono avere l'accesso alla chiave disabilitato (disabilitare l'autenticazione locale) | È consigliabile disabilitare l'accesso alla chiave (autenticazione locale) per la sicurezza. Azure OpenAI Studio, in genere usato in fase di sviluppo/test, richiede l'accesso alle chiavi e non funzionerà se l'accesso alla chiave è disabilitato. Dopo la disabilitazione, Microsoft Entra ID diventa l'unico metodo di accesso, che consente di mantenere il principio dei privilegi minimi e il controllo granulare. Per altre informazioni, vedere: https://aka.ms/AI/auth | Audit, Deny, Disabled | 1.1.0 |
| Le risorse di Servizi di intelligenza artificiale di Azure devono limitare l'accesso alla rete | Limitando l'accesso alla rete, è possibile assicurarsi che solo le reti consentite possano accedere al servizio. A tale scopo, è possibile configurare le regole di rete in modo che solo le applicazioni provenienti da reti consentite possano accedere al servizio Azure per intelligenza artificiale. | Audit, Deny, Disabled | 3.2.0 |
| Le risorse di Servizi di Azure AI devono usare collegamento privato di Azure | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma di collegamento privato riduce i rischi di perdita di dati gestendo la connettività tra consumer e servizi tramite la rete backbone di Azure. È possibile trovare altre informazioni sui collegamenti privati alla pagina: https://aka.ms/AzurePrivateLink/Overview | Audit, Disabled | 1.0.0 |
| Configurare i servizio di ricerca di intelligenza artificiale di Azure per disabilitare l'autenticazione locale | Disabilitare i metodi di autenticazione locale in modo che i servizio di ricerca di Intelligenza artificiale di Azure richiedano esclusivamente identità di Azure Active Directory per l'autenticazione. Per altre informazioni, vedere https://aka.ms/azure-cognitive-search/rbac. | Modifica, disattivato | 1.0.1 |
| Configurare i servizio di ricerca di intelligenza artificiale di Azure per disabilitare l'accesso alla rete pubblica | Disabilitare l'accesso alla rete pubblica per l'servizio di ricerca di intelligenza artificiale di Azure in modo che non sia accessibile tramite Internet pubblico. Ciò può ridurre il rischio di perdita dei dati. Per altre informazioni, vedere https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Modifica, disattivato | 1.0.1 |
| Configurare i servizio di ricerca di intelligenza artificiale di Azure per l'uso delle chiavi gestite dal cliente per crittografare i dati inattivi | L'abilitazione della crittografia dei dati inattivi tramite una chiave gestita dal cliente nei servizio di ricerca di intelligenza artificiale di Azure offre un controllo aggiuntivo sulla chiave usata per crittografare i dati inattivi. Questa funzionalità è spesso applicabile ai clienti con requisiti di conformità speciali per gestire le chiavi di crittografia dei dati usando un insieme di credenziali delle chiavi. | Deny, Disabled | 1.0.0 |
| Configurare servizio di ricerca di intelligenza artificiale di Azure con endpoint privati | Gli endpoint privati connettono la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. Eseguendo il mapping degli endpoint privati ai servizio di ricerca di Intelligenza artificiale di Azure, è possibile ridurre i rischi di perdita dei dati. Per altre informazioni, vedere https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | DeployIfNotExists, Disabled | 1.0.1 |
| Configurare le risorse di Servizi di intelligenza artificiale di Azure per disabilitare l'accesso alla chiave locale (disabilitare l'autenticazione locale) | È consigliabile disabilitare l'accesso alla chiave (autenticazione locale) per la sicurezza. Azure OpenAI Studio, in genere usato in fase di sviluppo/test, richiede l'accesso alle chiavi e non funzionerà se l'accesso alla chiave è disabilitato. Dopo la disabilitazione, Microsoft Entra ID diventa l'unico metodo di accesso, che consente di mantenere il principio dei privilegi minimi e il controllo granulare. Per altre informazioni, vedere: https://aka.ms/AI/auth | DeployIfNotExists, Disabled | 1.0.0 |
| Distribuisci le impostazioni di diagnostica per i servizi di ricerca nell'hub eventi | Distribuisce le impostazioni di diagnostica per i servizi di ricerca per lo streaming in un hub eventi a livello di area quando viene creato o aggiornato un servizio di ricerca in cui manca questa impostazione di diagnostica. | DeployIfNotExists, Disabled | 2.0.0 |
| Distribuisci le impostazioni di diagnostica per il servizio di ricerca nell'area di lavoro Log Analytics | Distribuisce le impostazioni di diagnostica per i servizi di ricerca per lo streaming in un'area di lavoro Log Analytics a livello di area quando viene creato o aggiornato un servizio di ricerca in cui manca questa impostazione di diagnostica. | DeployIfNotExists, Disabled | 1.0.0 |
| I log di diagnostica nelle risorse dei servizi di intelligenza artificiale di Azure devono essere abilitati | Abilitare i log per le risorse dei servizi di intelligenza artificiale di Azure. Ciò consente di ricreare la traccia delle attività per scopi di analisi quando si verifica un evento imprevisto della sicurezza o la rete viene compromessa | AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per i servizi di ricerca (microsoft.search/searchservices) in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per i servizi di ricerca (microsoft.search/searchservices). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per i servizi di ricerca (microsoft.search/searchservices) in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per Servizi cognitivi (microsoft.cognitiveservices/accounts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per i servizi di ricerca (microsoft.search/searchservices) in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per i servizi di ricerca (microsoft.search/searchservices). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| I log delle risorse devono essere abilitati nei servizi di ricerca | Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa | AuditIfNotExists, Disabled | 5.0.0 |
Passaggi successivi
- Vedere i criteri predefiniti nel repository di GitHub su Criteri di Azure.
- Vedere la struttura delle definizioni di Criteri di Azure.
- Leggere Informazioni sugli effetti di Criteri.