Azure App Service 用の Azure Policy 組み込み定義
このページは、Azure App Service 用の Azure Policy 組み込みポリシー定義のインデックスです。 他のサービス用の Azure Policy 組み込みについては、Azure Policy 組み込み定義に関するページをご覧ください。
各組み込みポリシー定義の名前は、Azure portal のポリシー定義にリンクしています。 [バージョン] 列のリンクを使用すると、Azure Policy GitHub リポジトリのソースを表示できます。
Azure App Service
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
[プレビュー]: App Service プランをゾーン冗長にする必要がある | App Service プランをゾーン冗長にするかどうかを構成できます。 App Service プランの 'zoneRedundant' プロパティを 'false' に設定すると、ゾーン冗長用に構成されません。 このポリシーでは、App Service プランのゾーン冗長構成を識別して適用します。 | Audit、Deny、Disabled | 1.0.0-preview |
App Service アプリ スロットを仮想ネットワークに導入する必要がある | App Service アプリを仮想ネットワークに導入すると、App Service の高度なネットワークおよびセキュリティ機能を利用できるようになり、ネットワーク セキュリティの構成をよりよく制御できます。 詳細については、https://docs.microsoft.com/azure/app-service/web-sites-integrate-with-vnet を参照してください。 | Audit、Deny、Disabled | 1.0.0 |
App Service アプリ スロットでは、パブリック ネットワーク アクセスを無効にする必要がある | 公衆ネットワーク アクセスを無効にすると、パブリック インターネットに App Service が公開されないため、セキュリティが向上します。 プライベート エンドポイントを作成すると、App Service の公開を制限できます。 詳細については、https://aka.ms/app-service-private-endpoint を参照してください。 | Audit, Disabled, Deny | 1.0.0 |
App Service アプリ スロットで Azure Virtual Network への構成ルーティングを有効にする必要がある | 既定では、コンテナー イメージのプルやコンテンツ ストレージのマウントなどのアプリ構成は、リージョンの仮想ネットワーク統合を介してルーティングされません。 API を使ってルーティング オプションを true に設定すると、Azure Virtual Network を介した構成トラフィックが有効になります。 これらの設定により、ネットワーク セキュリティ グループやユーザー定義ルートのような機能を使用し、サービス エンドポイントをプライベートにすることができます。 詳細については、https://aka.ms/appservice-vnet-configuration-routing を参照してください。 | Audit、Deny、Disabled | 1.0.0 |
App Service アプリ スロットでは、Azure 仮想ネットワークに対する RFC 1918 以外の送信トラフィックを有効にする必要がある | 既定では、リージョンの Azure Virtual Network (VNET) 統合が使用される場合、アプリでは、そのそれぞれの仮想ネットワークにのみ RFC1918 トラフィックが送信されます。 API を使用して "vnetRouteAllEnabled" を true に設定すると、Azure Virtual Network へのすべての送信トラフィックが有効になります。 この設定では、App Service アプリから送信されるあらゆるトラフィックで、ネットワーク セキュリティ グループやユーザー定義ルートなどの機能を利用できます。 | Audit、Deny、Disabled | 1.0.0 |
App Service アプリ スロットでは、クライアント証明書 (受信クライアント証明書) が有効になっている必要がある | クライアント証明書を使用すると、アプリは受信要求に対して証明書を要求できます。 有効な証明書を持つクライアントのみがアプリにアクセスできます。 このポリシーは、Http バージョンが 1.1 に設定されているアプリに適用されます。 | AuditIfNotExists、Disabled | 1.0.0 |
App Service アプリのスロットでは、FTP デプロイに対してローカル認証の方法を無効にする必要がある | FTP デプロイのローカル認証方法を無効にすると、App Service スロットの認証で Microsoft Entra の ID のみが要求されるようになるため、セキュリティが向上します。 詳細については、https://aka.ms/app-service-disable-basic-auth を参照してください。 | AuditIfNotExists、Disabled | 1.0.3 |
App Service アプリのスロットでは、SCM サイトのデプロイに対してローカル認証の方法を無効にする必要がある | SCM サイトのローカル認証方法を無効にすると、App Service スロットの認証で Microsoft Entra の ID のみが要求されるようになるため、セキュリティが向上します。 詳細については、https://aka.ms/app-service-disable-basic-auth を参照してください。 | AuditIfNotExists、Disabled | 1.0.4 |
App Service アプリ スロットでは、リモート デバッグをオフにする必要がある | リモート デバッグを実行するには、App Service アプリ上で受信ポートが開かれている必要があります。 リモート デバッグを無効にする必要があります。 | AuditIfNotExists、Disabled | 1.0.1 |
App Service アプリ スロットでは、リソース ログを有効にする必要がある | アプリでリソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やネットワークが侵害された場合に、調査目的でアクティビティ証跡を再作成できます。 | AuditIfNotExists、Disabled | 1.0.0 |
App Service アプリ スロットでは、すべてのリソースがアプリにアクセスできるように CORS を構成しない | クロス オリジン リソース共有 (CORS) では、すべてのドメインに対してアプリへのアクセスを許可しないでください。 必要なドメインにのみアプリへのアクセスを許可してください。 | AuditIfNotExists、Disabled | 1.0.0 |
App Service アプリ スロットに HTTPS を介してのみアクセスできるようにする | HTTPS を使用すると、サーバー/サービスの認証が確実に実行され、転送中のデータがネットワーク層の傍受攻撃から保護されるようになります。 | Audit, Disabled, Deny | 2.0.0 |
App Serivce アプリ スロットでは FTPS のみが要求される必要がある | セキュリティを強化するために FTPS 強制を有効にしてください。 | AuditIfNotExists、Disabled | 1.0.0 |
App Service アプリ スロットでは、そのコンテンツ ディレクトリに Azure ファイル共有を使用する必要がある | アプリのコンテンツ ディレクトリは、Azure ファイル共有に配置する必要があります。 ファイル共有のストレージ アカウント情報を、発行アクティビティの前に指定する必要があります。 アプリ サービス コンテンツをホスティングするための Azure Files の使用の詳細については、https://go.microsoft.com/fwlink/?linkid=2151594 を参照してください。 | Audit、Disabled | 1.0.0 |
App Service アプリ スロットでは、最新の 'HTTP バージョン' を使用する必要がある | セキュリティ上の欠陥のため、または追加機能を組み込むために、HTTP の新しいバージョンが定期的にリリースされます。 新しいバージョンのセキュリティ修正プログラム (存在する場合) や新機能を利用するために、最新の HTTP バージョンを Web アプリに使用します。 | AuditIfNotExists、Disabled | 1.0.0 |
App Service アプリ スロットでは、マネージド ID を使用する必要がある | マネージド ID を使用して認証セキュリティを強化します | AuditIfNotExists、Disabled | 1.0.0 |
App Service アプリ スロットでは、最新の TLS バージョンを使用する必要がある | セキュリティ上の欠陥への対応、機能の追加、および速度の向上のために、TLS の新しいバージョンが定期的にリリースされます。 最新の TLS バージョンにアップグレードして、App Service アプリで最新バージョンのセキュリティ修正プログラム (存在する場合) や新機能を利用できるようにします。 | AuditIfNotExists、Disabled | 1.1.0 |
Java を使用する App Service アプリ スロットでは、指定された 'Java バージョン' を使用する必要がある | セキュリティ上の欠陥のため、または追加機能を組み込むために、Java ソフトウェアの新しいバージョンが定期的にリリースされます。 最新バージョンのセキュリティ修正プログラム (該当する場合) や新機能を利用できるように、最新の Java バージョンを App Service アプリに使用することをお勧めします。 このポリシーは Linux アプリにのみ適用されます。 このポリシーでは、要件を満たす Java バージョンを指定する必要があります。 | AuditIfNotExists、Disabled | 1.0.0 |
PHP を使用する App Service アプリ スロットでは、指定された 'PHP バージョン' を使用する必要がある | セキュリティ上の欠陥のため、または追加機能を組み込むために、PHP ソフトウェアの新しいバージョンが定期的にリリースされます。 最新バージョンのセキュリティ修正プログラム (該当する場合) や新機能を利用できるように、最新の PHP バージョンを App Service アプリに使用することをお勧めします。 このポリシーは Linux アプリにのみ適用されます。 このポリシーでは、要件を満たす PHP バージョンを指定する必要があります。 | AuditIfNotExists、Disabled | 1.0.0 |
Python を使用する App Service アプリ スロットでは、指定された 'Python バージョン' を使用する必要がある | セキュリティ上の欠陥のため、または追加機能を組み込むために、Python ソフトウェアの新しいバージョンが定期的にリリースされます。 最新バージョンのセキュリティ修正プログラム (該当する場合) や新機能を利用できるように、最新の Python バージョンを App Service アプリに使用することをお勧めします。 このポリシーは Linux アプリにのみ適用されます。 このポリシーでは、要件を満たす Python バージョンを指定する必要があります。 | AuditIfNotExists、Disabled | 1.0.0 |
App Service アプリを仮想ネットワークに導入する必要がある | App Service アプリを仮想ネットワークに導入すると、App Service の高度なネットワークおよびセキュリティ機能を利用できるようになり、ネットワーク セキュリティの構成をよりよく制御できます。 詳細については、https://docs.microsoft.com/azure/app-service/web-sites-integrate-with-vnet を参照してください。 | Audit、Deny、Disabled | 3.0.0 |
App Service アプリでは、パブリック ネットワーク アクセスを無効にする必要がある | 公衆ネットワーク アクセスを無効にすると、パブリック インターネットに App Service が公開されないため、セキュリティが向上します。 プライベート エンドポイントを作成すると、App Service の公開を制限できます。 詳細については、https://aka.ms/app-service-private-endpoint を参照してください。 | Audit, Disabled, Deny | 1.1.0 |
App Service アプリで Azure Virtual Network への構成ルーティングを有効にする必要がある | 既定では、コンテナー イメージのプルやコンテンツ ストレージのマウントなどのアプリ構成は、リージョンの仮想ネットワーク統合を介してルーティングされません。 API を使ってルーティング オプションを true に設定すると、Azure Virtual Network を介した構成トラフィックが有効になります。 これらの設定により、ネットワーク セキュリティ グループやユーザー定義ルートのような機能を使用し、サービス エンドポイントをプライベートにすることができます。 詳細については、https://aka.ms/appservice-vnet-configuration-routing を参照してください。 | Audit、Deny、Disabled | 1.0.0 |
App Service アプリでは、Azure 仮想ネットワークに対する RFC 1918 以外の送信トラフィックを有効にする必要がある | 既定では、リージョンの Azure Virtual Network (VNET) 統合が使用される場合、アプリでは、そのそれぞれの仮想ネットワークにのみ RFC1918 トラフィックが送信されます。 API を使用して "vnetRouteAllEnabled" を true に設定すると、Azure Virtual Network へのすべての送信トラフィックが有効になります。 この設定では、App Service アプリから送信されるあらゆるトラフィックで、ネットワーク セキュリティ グループやユーザー定義ルートなどの機能を利用できます。 | Audit、Deny、Disabled | 1.0.0 |
App Service アプリでは認証を有効にする必要がある | Azure App Service 認証は、匿名の HTTP 要求が Web アプリに到達するのを防いだり、トークンを保持するものを Web アプリへの到達前に認証したりできる機能です。 | AuditIfNotExists、Disabled | 2.0.1 |
App Service アプリでクライアント証明書 (受信クライアント証明書) を有効にする必要がある | クライアント証明書を使用すると、アプリは受信要求に対して証明書を要求できます。 有効な証明書を持つクライアントのみがアプリにアクセスできます。 このポリシーは、Http バージョンが 1.1 に設定されているアプリに適用されます。 | AuditIfNotExists、Disabled | 1.0.0 |
App Service アプリでは、FTP デプロイに対してローカル認証の方法を無効にする必要がある | FTP デプロイのローカル認証方法を無効にすると、App Services の認証で Microsoft Entra の ID のみが要求されるようになるため、セキュリティが向上します。 詳細については、https://aka.ms/app-service-disable-basic-auth を参照してください。 | AuditIfNotExists、Disabled | 1.0.3 |
App Service アプリでは、SCM サイトのデプロイに対してローカル認証の方法を無効にする必要がある | SCM サイトのローカル認証方法を無効にすると、App Services の認証で Microsoft Entra の ID のみが要求されるようになるため、セキュリティが向上します。 詳細については、https://aka.ms/app-service-disable-basic-auth を参照してください。 | AuditIfNotExists、Disabled | 1.0.3 |
App Service アプリではリモート デバッグをオフにする必要がある | リモート デバッグを実行するには、App Service アプリ上で受信ポートが開かれている必要があります。 リモート デバッグを無効にする必要があります。 | AuditIfNotExists、Disabled | 2.0.0 |
App Service アプリではリソース ログを有効にする必要がある | アプリでリソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やネットワークが侵害された場合に、調査目的でアクティビティ証跡を再作成できます。 | AuditIfNotExists、Disabled | 2.0.1 |
App Service アプリでは、すべてのリソースがアプリにアクセスできるように CORS を構成しない | クロス オリジン リソース共有 (CORS) では、すべてのドメインに対してアプリへのアクセスを許可しないでください。 必要なドメインにのみアプリへのアクセスを許可してください。 | AuditIfNotExists、Disabled | 2.0.0 |
App Service アプリに HTTPS を介してのみアクセスできるようにする | HTTPS を使用すると、サーバー/サービスの認証が確実に実行され、転送中のデータがネットワーク層の傍受攻撃から保護されるようになります。 | Audit, Disabled, Deny | 4.0.0 |
App Service アプリでは FTPS のみが要求される必要がある | セキュリティを強化するために FTPS 強制を有効にしてください。 | AuditIfNotExists、Disabled | 3.0.0 |
App Service アプリではプライベート リンクをサポートする SKU を使用する必要がある | サポートされる SKU を使用すると、Azure Private Link により、接続元または接続先にパブリック IP アドレスを使用することなく、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントをアプリにマッピングすることにより、データ漏えいのリスクを軽減することができます。 プライベート リンクの詳細については、https://aka.ms/private-link を参照してください。 | Audit、Deny、Disabled | 4.1.0 |
App Service アプリでは仮想ネットワーク サービス エンドポイントを使用する必要がある | 仮想ネットワーク サービス エンドポイントを使用して、Azure 仮想ネットワークと選択したサブネットからアプリへのアクセスを制限します。 App Service サービス エンドポイントの詳細については、https://aka.ms/appservice-vnet-service-endpoint を参照してください。 | AuditIfNotExists、Disabled | 2.0.1 |
App Service アプリでは、コンテンツ ディレクトリに Azure ファイル共有を使用する必要がある | アプリのコンテンツ ディレクトリは、Azure ファイル共有に配置する必要があります。 ファイル共有のストレージ アカウント情報を、発行アクティビティの前に指定する必要があります。 アプリ サービス コンテンツをホスティングするための Azure Files の使用の詳細については、https://go.microsoft.com/fwlink/?linkid=2151594 を参照してください。 | Audit、Disabled | 3.0.0 |
App Service アプリは最新の 'HTTP バージョン' を使用する必要がある | セキュリティ上の欠陥のため、または追加機能を組み込むために、HTTP の新しいバージョンが定期的にリリースされます。 新しいバージョンのセキュリティ修正プログラム (存在する場合) や新機能を利用するために、最新の HTTP バージョンを Web アプリに使用します。 | AuditIfNotExists、Disabled | 4.0.0 |
App Service アプリではマネージド ID を使用する必要がある | マネージド ID を使用して認証セキュリティを強化します | AuditIfNotExists、Disabled | 3.0.0 |
App Service アプリではプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントを App Service にマッピングすることにより、データ漏えいのリスクを軽減することができます。 プライベート リンクの詳細については、https://aka.ms/private-link を参照してください。 | AuditIfNotExists、Disabled | 1.0.1 |
App Service アプリは最新の TLS バージョンを使用する必要がある | セキュリティ上の欠陥への対応、機能の追加、および速度の向上のために、TLS の新しいバージョンが定期的にリリースされます。 最新の TLS バージョンにアップグレードして、App Service アプリで最新バージョンのセキュリティ修正プログラム (存在する場合) や新機能を利用できるようにします。 | AuditIfNotExists、Disabled | 2.1.0 |
Java を使用する App Service アプリでは、指定された 'Java バージョン' を使用する必要があります | セキュリティ上の欠陥のため、または追加機能を組み込むために、Java ソフトウェアの新しいバージョンが定期的にリリースされます。 最新バージョンのセキュリティ修正プログラム (該当する場合) や新機能を利用できるように、最新の Java バージョンを App Service アプリに使用することをお勧めします。 このポリシーは Linux アプリにのみ適用されます。 このポリシーでは、要件を満たす Java バージョンを指定する必要があります。 | AuditIfNotExists、Disabled | 3.1.0 |
PHP を使用する App Service アプリでは、指定された 'PHP バージョン' を使用する必要があります | セキュリティ上の欠陥のため、または追加機能を組み込むために、PHP ソフトウェアの新しいバージョンが定期的にリリースされます。 最新バージョンのセキュリティ修正プログラム (該当する場合) や新機能を利用できるように、最新の PHP バージョンを App Service アプリに使用することをお勧めします。 このポリシーは Linux アプリにのみ適用されます。 このポリシーでは、要件を満たす PHP バージョンを指定する必要があります。 | AuditIfNotExists、Disabled | 3.2.0 |
Python を使用する App Service アプリでは、指定された 'Python バージョン' を使用する必要があります | セキュリティ上の欠陥のため、または追加機能を組み込むために、Python ソフトウェアの新しいバージョンが定期的にリリースされます。 最新バージョンのセキュリティ修正プログラム (該当する場合) や新機能を利用できるように、最新の Python バージョンを App Service アプリに使用することをお勧めします。 このポリシーは Linux アプリにのみ適用されます。 このポリシーでは、要件を満たす Python バージョンを指定する必要があります。 | AuditIfNotExists、Disabled | 4.1.0 |
パブリック インターネット経由で App Service Environment のアプリに到達できない必要がある | App Service Environment にデプロイされたアプリにパブリック インターネット経由でアクセスできないようにするには、仮想ネットワークで IP アドレスを使用して App Service Environment をデプロイする必要があります。 IP アドレスを仮想ネットワーク IP に設定するには、App Service Environment を内部ロード バランサーと共にデプロイする必要があります。 | Audit、Deny、Disabled | 3.0.0 |
App Service Environment は最強の TLS 暗号スイートを使用して構成する必要がある | App Service Environment が正常に機能するために必要な、最小と最強の 2 つの暗号スイートは次のとおりです: TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 および TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256。 | Audit、Disabled | 1.0.0 |
App Service Environment は最新バージョンでプロビジョニングする必要がある | App Service Environment バージョン 2 またはバージョン 3 のプロビジョニングのみを許可します。 以前のバージョンの App Service Environment では、Azure リソースを手動で管理する必要があり、スケーリングにより大きな制限があります。 | Audit、Deny、Disabled | 1.0.0 |
App Service Environment では内部暗号化を有効にする必要がある | InternalEncryption を true に設定すると、App Service Environment のフロント エンドと worker の間で、ページファイル、worker ディスク、内部ネットワーク トラフィックが暗号化されます。 詳細については、https://docs.microsoft.com/azure/app-service/environment/app-service-app-service-environment-custom-settings#enable-internal-encryption を参照してください。 | Audit、Disabled | 1.0.1 |
App Service Environment では、TLS 1.0 および 1.1 を無効にする必要がある | TLS 1.0 と 1.1 は古いプロトコルであり、最新の暗号アルゴリズムはサポートしていません。 TLS 1.0 と 1.1 の受信トラフィックを無効にすると、App Service Environment でアプリを守ることになります。 | Audit、Deny、Disabled | 2.0.1 |
FTP デプロイのローカル認証を無効にするように App Service アプリのスロットを構成する | FTP デプロイのローカル認証方法を無効にすると、App Service スロットの認証で Microsoft Entra の ID のみが要求されるようになるため、セキュリティが向上します。 詳細については、https://aka.ms/app-service-disable-basic-auth を参照してください。 | DeployIfNotExists、Disabled | 1.0.3 |
SCM サイトのローカル認証を無効にするように App Service アプリのスロットを構成する | SCM サイトのローカル認証方法を無効にすると、App Service スロットの認証で Microsoft Entra の ID のみが要求されるようになるため、セキュリティが向上します。 詳細については、https://aka.ms/app-service-disable-basic-auth を参照してください。 | DeployIfNotExists、Disabled | 1.0.3 |
パブリック ネットワーク アクセスを無効にするように App Service アプリ スロットを構成する | App Services の公衆ネットワーク アクセスを無効にして、パブリック インターネット経由でアクセスできないようにします。 これにより、データ漏えいのリスクを軽減することができます。 詳細については、https://aka.ms/app-service-private-endpoint を参照してください。 | Modify、Disabled | 1.1.0 |
HTTPS を介してのみアクセスできるように App Service アプリ スロットを構成する | HTTPS を使用すると、サーバー/サービスの認証が確実に実行され、転送中のデータがネットワーク層の傍受攻撃から保護されるようになります。 | Modify、Disabled | 2.0.0 |
リモート デバッグを無効にするように App Service アプリ スロットを構成する | リモート デバッグを実行するには、App Service アプリ上で受信ポートが開かれている必要があります。 リモート デバッグを無効にする必要があります。 | DeployIfNotExists、Disabled | 1.1.0 |
最新の TLS バージョンを使用するように App Service アプリ スロットを構成する | セキュリティ上の欠陥への対応、機能の追加、および速度の向上のために、TLS の新しいバージョンが定期的にリリースされます。 最新の TLS バージョンにアップグレードして、App Service アプリで最新バージョンのセキュリティ修正プログラム (存在する場合) や新機能を利用できるようにします。 | DeployIfNotExists、Disabled | 1.2.0 |
FTP デプロイのローカル認証を無効にするように App Service アプリを構成する | FTP デプロイのローカル認証方法を無効にすると、App Services の認証で Microsoft Entra の ID のみが要求されるようになるため、セキュリティが向上します。 詳細については、https://aka.ms/app-service-disable-basic-auth を参照してください。 | DeployIfNotExists、Disabled | 1.0.3 |
SCM サイトのローカル認証を無効にするように App Service アプリを構成する | SCM サイトのローカル認証方法を無効にすると、App Services の認証で Microsoft Entra の ID のみが要求されるようになるため、セキュリティが向上します。 詳細については、https://aka.ms/app-service-disable-basic-auth を参照してください。 | DeployIfNotExists、Disabled | 1.0.3 |
パブリック ネットワーク アクセスを無効にするように App Service アプリを構成する | App Services の公衆ネットワーク アクセスを無効にして、パブリック インターネット経由でアクセスできないようにします。 これにより、データ漏えいのリスクを軽減することができます。 詳細については、https://aka.ms/app-service-private-endpoint を参照してください。 | Modify、Disabled | 1.1.0 |
HTTPS を介してのみアクセスできるように App Service アプリを構成する | HTTPS を使用すると、サーバー/サービスの認証が確実に実行され、転送中のデータがネットワーク層の傍受攻撃から保護されるようになります。 | Modify、Disabled | 2.0.0 |
リモート デバッグを無効にするように App Service アプリを構成する | リモート デバッグを実行するには、App Service アプリ上で受信ポートが開かれている必要があります。 リモート デバッグを無効にする必要があります。 | DeployIfNotExists、Disabled | 1.0.0 |
最新の TLS バージョンを使用するように App Service アプリを構成する | セキュリティ上の欠陥への対応、機能の追加、および速度の向上のために、TLS の新しいバージョンが定期的にリリースされます。 最新の TLS バージョンにアップグレードして、App Service アプリで最新バージョンのセキュリティ修正プログラム (存在する場合) や新機能を利用できるようにします。 | DeployIfNotExists、Disabled | 1.1.0 |
パブリック ネットワーク アクセスを無効にするように関数アプリ スロットを構成する | 関数アプリの公衆ネットワーク アクセスを無効にして、パブリック インターネット経由でアクセスできないようにします。 これにより、データ漏えいのリスクを軽減することができます。 詳細については、https://aka.ms/app-service-private-endpoint を参照してください。 | Modify、Disabled | 1.1.0 |
HTTPS を介してのみアクセスできるように関数アプリ スロットを構成する | HTTPS を使用すると、サーバー/サービスの認証が確実に実行され、転送中のデータがネットワーク層の傍受攻撃から保護されるようになります。 | Modify、Disabled | 2.0.0 |
リモート デバッグを無効にするように関数アプリ スロットを構成する | リモート デバッグを実行するには、受信ポートが関数アプリ上で開かれている必要があります。 リモート デバッグを無効にする必要があります。 | DeployIfNotExists、Disabled | 1.1.0 |
最新の TLS バージョンを使用するように関数アプリ スロットを構成する | セキュリティ上の欠陥への対応、機能の追加、および速度の向上のために、TLS の新しいバージョンが定期的にリリースされます。 最新の TLS バージョンにアップグレードして、関数アプリで最新バージョンのセキュリティ修正プログラム (存在する場合) や新機能を利用できるようにします。 | DeployIfNotExists、Disabled | 1.2.0 |
パブリック ネットワーク アクセスを無効にするように関数アプリを構成する | 関数アプリの公衆ネットワーク アクセスを無効にして、パブリック インターネット経由でアクセスできないようにします。 これにより、データ漏えいのリスクを軽減することができます。 詳細については、https://aka.ms/app-service-private-endpoint を参照してください。 | Modify、Disabled | 1.1.0 |
HTTPS を介してのみアクセスできるように関数アプリを構成する | HTTPS を使用すると、サーバー/サービスの認証が確実に実行され、転送中のデータがネットワーク層の傍受攻撃から保護されるようになります。 | Modify、Disabled | 2.0.0 |
リモート デバッグを無効にするように関数アプリを構成する | リモート デバッグを実行するには、受信ポートが関数アプリ上で開かれている必要があります。 リモート デバッグを無効にする必要があります。 | DeployIfNotExists、Disabled | 1.0.0 |
最新の TLS バージョンを使用するように関数アプリを構成する | セキュリティ上の欠陥への対応、機能の追加、および速度の向上のために、TLS の新しいバージョンが定期的にリリースされます。 最新の TLS バージョンにアップグレードして、関数アプリで最新バージョンのセキュリティ修正プログラム (存在する場合) や新機能を利用できるようにします。 | DeployIfNotExists、Disabled | 1.1.0 |
App Service (microsoft.web/sites) のカテゴリ グループごとの Log Analytics へのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、App Service (microsoft.web/site) 用の Log Analytics ワークスペースにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
App Service Environment (microsoft.web/hostingenvironments) 用のカテゴリ グループを使用したイベント ハブへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、App Service Environment (microsoft.web/hostingenvironments) 用のイベント ハブにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
App Service Environment (microsoft.web/hostingenvironments) 用のカテゴリ グループを使用した Log Analytics へのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、App Service Environment (microsoft.web/hostingenvironments) 用の Log Analytics ワークスペースにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
App Service Environment (microsoft.web/hostingenvironments) 用のカテゴリ グループを使用したストレージへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、App Service Environment (microsoft.web/hostingenvironments) 用のストレージ アカウントにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
Function App (microsoft.web/sites) のカテゴリ グループごとの Log Analytics へのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、Function App (microsoft.web/site) 用の Log Analytics ワークスペースにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
関数アプリ スロットでは、パブリック ネットワーク アクセスを無効にする必要がある | 公衆ネットワーク アクセスを無効にすると、パブリック インターネットに関数アプリが公開されないため、セキュリティが向上します。 プライベート エンドポイントを作成すると、関数アプリの公開を制限できます。 詳細については、https://aka.ms/app-service-private-endpoint を参照してください。 | Audit, Disabled, Deny | 1.0.0 |
関数アプリ スロットでは、クライアント証明書 (受信クライアント証明書) が有効になっている必要がある | クライアント証明書を使用すると、アプリは受信要求に対して証明書を要求できます。 有効な証明書を持つクライアントのみがアプリにアクセスできます。 このポリシーは、Http バージョンが 1.1 に設定されているアプリに適用されます。 | AuditIfNotExists、Disabled | 1.0.0 |
関数アプリ スロットでは、リモート デバッグをオフにする必要がある | リモート デバッグを実行するには、受信ポートが関数アプリ上で開かれている必要があります。 リモート デバッグを無効にする必要があります。 | AuditIfNotExists、Disabled | 1.0.0 |
関数アプリ スロットでは、すべてのリソースがアプリにアクセスできるように CORS を構成しない | クロス オリジン リソース共有 (CORS) で、関数アプリへのアクセスをすべてのドメインには許可しないでください。 関数アプリの操作に必要なドメインのみを許可します。 | AuditIfNotExists、Disabled | 1.0.0 |
関数アプリ スロットに HTTPS を介してのみアクセスできるようにする | HTTPS を使用すると、サーバー/サービスの認証が確実に実行され、転送中のデータがネットワーク層の傍受攻撃から保護されるようになります。 | Audit, Disabled, Deny | 2.0.0 |
関数アプリ スロットでは FTPS のみが要求される必要がある | セキュリティを強化するために FTPS 強制を有効にしてください。 | AuditIfNotExists、Disabled | 1.0.0 |
関数アプリ スロットでは、そのコンテンツ ディレクトリに Azure ファイル共有を使用する必要がある | 関数アプリのコンテンツ ディレクトリは、Azure ファイル共有に配置する必要があります。 ファイル共有のストレージ アカウント情報を、発行アクティビティの前に指定する必要があります。 アプリ サービス コンテンツをホスティングするための Azure Files の使用の詳細については、https://go.microsoft.com/fwlink/?linkid=2151594 を参照してください。 | Audit、Disabled | 1.0.0 |
関数アプリ スロットでは、最新の 'HTTP バージョン' を使用する必要がある | セキュリティ上の欠陥のため、または追加機能を組み込むために、HTTP の新しいバージョンが定期的にリリースされます。 新しいバージョンのセキュリティ修正プログラム (存在する場合) や新機能を利用するために、最新の HTTP バージョンを Web アプリに使用します。 | AuditIfNotExists、Disabled | 1.0.0 |
関数アプリ スロットでは、最新の TLS バージョンを使用する必要がある | セキュリティ上の欠陥への対応、機能の追加、および速度の向上のために、TLS の新しいバージョンが定期的にリリースされます。 最新の TLS バージョンにアップグレードして、関数アプリで最新バージョンのセキュリティ修正プログラム (存在する場合) や新機能を利用できるようにします。 | AuditIfNotExists、Disabled | 1.1.0 |
Java を使用する関数アプリ スロットでは、指定された 'Java バージョン' を使用する必要がある | セキュリティ上の欠陥のため、または追加機能を組み込むために、Java ソフトウェアの新しいバージョンが定期的にリリースされます。 最新バージョンのセキュリティ修正プログラム (存在する場合) や新機能を利用できるように、最新の Java バージョンを関数アプリに使用することをお勧めします。 このポリシーは Linux アプリにのみ適用されます。 このポリシーでは、要件を満たす Java バージョンを指定する必要があります。 | AuditIfNotExists、Disabled | 1.0.0 |
Python を使用する関数アプリ スロットでは、指定された 'Python バージョン' を使用する必要がある | セキュリティ上の欠陥のため、または追加機能を組み込むために、Python ソフトウェアの新しいバージョンが定期的にリリースされます。 最新バージョンのセキュリティ修正プログラム (存在する場合) や新機能を利用できるように、最新の Python バージョンを関数アプリに使用することをお勧めします。 このポリシーは Linux アプリにのみ適用されます。 このポリシーでは、要件を満たす Python バージョンを指定する必要があります。 | AuditIfNotExists、Disabled | 1.0.0 |
関数アプリでは、パブリック ネットワーク アクセスを無効にする必要がある | 公衆ネットワーク アクセスを無効にすると、パブリック インターネットに関数アプリが公開されないため、セキュリティが向上します。 プライベート エンドポイントを作成すると、関数アプリの公開を制限できます。 詳細については、https://aka.ms/app-service-private-endpoint を参照してください。 | Audit, Disabled, Deny | 1.0.0 |
関数アプリでは認証を有効にする必要がある | Azure App Service 認証は、匿名の HTTP 要求が関数アプリに到達するのを防いだり、トークンを保持するものを関数アプリへの到達前に認証したりできる機能です。 | AuditIfNotExists、Disabled | 3.0.0 |
関数アプリでクライアント証明書 (着信クライアント証明書) を有効にする必要がある | クライアント証明書を使用すると、アプリは受信要求に対して証明書を要求できます。 有効な証明書を持つクライアントのみがアプリにアクセスできます。 このポリシーは、Http バージョンが 1.1 に設定されているアプリに適用されます。 | AuditIfNotExists、Disabled | 1.0.0 |
関数アプリではリモート デバッグをオフにする必要がある | リモート デバッグを実行するには、受信ポートが関数アプリ上で開かれている必要があります。 リモート デバッグを無効にする必要があります。 | AuditIfNotExists、Disabled | 2.0.0 |
関数アプリでは、すべてのリソースがアプリにアクセスできるように CORS を構成しない | クロス オリジン リソース共有 (CORS) で、関数アプリへのアクセスをすべてのドメインには許可しないでください。 関数アプリの操作に必要なドメインのみを許可します。 | AuditIfNotExists、Disabled | 2.0.0 |
関数アプリに HTTPS を介してのみアクセスできるようにする | HTTPS を使用すると、サーバー/サービスの認証が確実に実行され、転送中のデータがネットワーク層の傍受攻撃から保護されるようになります。 | Audit, Disabled, Deny | 5.0.0 |
関数アプリでは FTPS のみが要求される必要がある | セキュリティを強化するために FTPS 強制を有効にしてください。 | AuditIfNotExists、Disabled | 3.0.0 |
関数アプリでは、そのコンテンツ ディレクトリに Azure ファイル共有を使用する必要がある | 関数アプリのコンテンツ ディレクトリは、Azure ファイル共有に配置する必要があります。 ファイル共有のストレージ アカウント情報を、発行アクティビティの前に指定する必要があります。 アプリ サービス コンテンツをホスティングするための Azure Files の使用の詳細については、https://go.microsoft.com/fwlink/?linkid=2151594 を参照してください。 | Audit、Disabled | 3.0.0 |
関数アプリでは、最新の 'HTTP バージョン' を使用する必要がある | セキュリティ上の欠陥のため、または追加機能を組み込むために、HTTP の新しいバージョンが定期的にリリースされます。 新しいバージョンのセキュリティ修正プログラム (存在する場合) や新機能を利用するために、最新の HTTP バージョンを Web アプリに使用します。 | AuditIfNotExists、Disabled | 4.0.0 |
関数アプリではマネージド ID を使用する必要がある | マネージド ID を使用して認証セキュリティを強化します | AuditIfNotExists、Disabled | 3.0.0 |
関数アプリは最新の TLS バージョンを使用する必要がある | セキュリティ上の欠陥への対応、機能の追加、および速度の向上のために、TLS の新しいバージョンが定期的にリリースされます。 最新の TLS バージョンにアップグレードして、関数アプリで最新バージョンのセキュリティ修正プログラム (存在する場合) や新機能を利用できるようにします。 | AuditIfNotExists、Disabled | 2.1.0 |
Java を使用する関数アプリでは、指定された 'Java バージョン' を使用する必要があります | セキュリティ上の欠陥のため、または追加機能を組み込むために、Java ソフトウェアの新しいバージョンが定期的にリリースされます。 最新バージョンのセキュリティ修正プログラム (存在する場合) や新機能を利用できるように、最新の Java バージョンを関数アプリに使用することをお勧めします。 このポリシーは Linux アプリにのみ適用されます。 このポリシーでは、要件を満たす Java バージョンを指定する必要があります。 | AuditIfNotExists、Disabled | 3.1.0 |
Python を使用する関数アプリでは、指定された 'Python バージョン' を使用する必要があります | セキュリティ上の欠陥のため、または追加機能を組み込むために、Python ソフトウェアの新しいバージョンが定期的にリリースされます。 最新バージョンのセキュリティ修正プログラム (存在する場合) や新機能を利用できるように、最新の Python バージョンを関数アプリに使用することをお勧めします。 このポリシーは Linux アプリにのみ適用されます。 このポリシーでは、要件を満たす Python バージョンを指定する必要があります。 | AuditIfNotExists、Disabled | 4.1.0 |
リリース ノート
2024 年 10 月
- App Service アプリとスロットで TLS 1.3 がサポートされるようになりました。 TLS の最小バージョンを 1.3 に設定するように、次のポリシーが更新されました。
- "App Service アプリでは最新の TLS バージョンを使用する必要があります"
- "App Service アプリ スロットで最新の TLS バージョンを使用する必要がある"
- "最新の TLS バージョンを使用するように App Service アプリを構成する"
- "最新の TLS バージョンを使用するように App Service アプリ スロットを構成する"
- "関数アプリでは最新の TLS バージョンを使用する必要があります"
- "最新の TLS バージョンを使用するように関数アプリを構成する"
- "Function app slots should use the latest TLS version" (関数アプリ スロットで最新の TLS バージョンを使用する必要がある)
- "最新の TLS バージョンを使用するように関数アプリ スロットを構成する"
2023 年 4 月
- Java を使用する App Service アプリでは最新の 'Java バージョン' を使用する必要がある
- ポリシーの名前を "Java を使用する App Service アプリでは、指定された 'Java バージョン' を使用する必要がある" に変更
- 割り当て前にバージョン指定が必要となるようにポリシーを更新
- Python を使用する App Service アプリでは、最新の 'Python バージョン' を使用する必要がある
- ポリシーの名前を "Python を使用する App Service アプリでは、指定された 'Python バージョン' を使用する必要がある" に変更
- 割り当て前にバージョン指定が必要となるようにポリシーを更新
- Java を使用する関数アプリは最新の 'Java バージョン' を使用する必要がある
- ポリシーの名前を "Java を使用する関数アプリでは、指定された 'Java バージョン' を使用する必要がある" に変更
- 割り当て前にバージョン指定が必要となるようにポリシーを更新
- Python を使用する関数アプリでは、最新の 'Python バージョン' を使用する必要がある
- ポリシーの名前を "Python を使用する関数アプリでは、指定された 'Python バージョン' を使用する必要がある" に変更
- 割り当て前にバージョン指定が必要となるようにポリシーを更新
- PHP を使用する App Service アプリでは、最新の 'PHP バージョン' を使用する必要がある
- ポリシーの名前を "PHP を使用する App Service アプリでは、指定された 'PHP バージョン' を使用する必要がある" に変更
- 割り当て前にバージョン指定が必要となるようにポリシーを更新
- Python を使用する App Service アプリ スロットでは、指定された 'Python バージョン' を使用する必要がある
- 新しいポリシーが作成されました
- Python を使用する関数アプリ スロットでは、指定された 'Python バージョン' を使用する必要がある
- 新しいポリシーが作成されました
- PHP を使用する App Service アプリ スロットでは、指定された 'PHP バージョン' を使用する必要がある
- 新しいポリシーが作成されました
- Java を使用する App Service アプリ スロットでは、指定された 'Java バージョン' を使用する必要がある
- 新しいポリシーが作成されました
- Java を使用する関数アプリ スロットでは、指定された 'Java バージョン' を使用する必要がある
- 新しいポリシーが作成されました
2022 年 11 月
- App Service アプリでは、Azure 仮想ネットワークに対する RFC 1918 以外の送信トラフィックを有効にする必要があるポリシーの廃止
- Deny 効果をサポートするために、サイト プロパティに基づいて同じ表示名を持つポリシーに置き換えられました
- App Service アプリ スロットでは、Azure 仮想ネットワークに対する RFC 1918 以外の送信トラフィックを有効にする必要があるポリシーの廃止
- Deny 効果をサポートするために、サイト プロパティに基づいて同じ表示名を持つポリシーに置き換えられました
- App Service アプリでは、Azure 仮想ネットワークに対する RFC 1918 以外の送信トラフィックを有効にする必要がある
- 新しいポリシーが作成されました
- App Service アプリ スロットでは、Azure 仮想ネットワークに対する RFC 1918 以外の送信トラフィックを有効にする必要がある
- 新しいポリシーが作成されました
- App Service アプリで Azure Virtual Network への構成ルーティングを有効にする必要がある
- 新しいポリシーが作成されました
- App Service アプリ スロットで Azure Virtual Network への構成ルーティングを有効にする必要がある
- 新しいポリシーが作成されました
2022 年 10 月
- 関数アプリ スロットでは、リモート デバッグをオフにする必要がある
- 新しいポリシーが作成されました
- App Service アプリ スロットでは、リモート デバッグをオフにする必要がある
- 新しいポリシーが作成されました
- 関数アプリ スロットでは、最新の 'HTTP バージョン' を使用する必要がある
- 新しいポリシーが作成されました
- 関数アプリ スロットでは、最新の TLS バージョンを使用する必要がある
- 新しいポリシーが作成されました
- App Service アプリ スロットでは、最新の TLS バージョンを使用する必要がある
- 新しいポリシーが作成されました
- App Service アプリ スロットでは、リソース ログを有効にする必要がある
- 新しいポリシーが作成されました
- App Service アプリ スロットでは、Azure 仮想ネットワークに対する RFC 1918 以外の送信トラフィックを有効にする必要がある
- 新しいポリシーが作成されました
- App Service アプリ スロットでは、マネージド ID を使用する必要がある
- 新しいポリシーが作成されました
- App Service アプリ スロットでは、最新の 'HTTP バージョン' を使用する必要がある
- 新しいポリシーが作成されました
- ポリシー「公衆ネットワーク アクセスを無効にするように App Services を構成する」を無効化します
- "パブリック ネットワーク アクセスを無効にするように App Service アプリを構成する" に置き換えます
- ポリシー「App Services では公衆ネットワーク アクセスを無効にする必要がある」を無効化します
- "App Service アプリはパブリック ネットワーク アクセスを無効にする必要がある" に置き換えられ、拒否効果をサポートします
- App Service アプリでは、パブリック ネットワーク アクセスを無効にする必要がある
- 新しいポリシーが作成されました
- App Service アプリ スロットでは、パブリック ネットワーク アクセスを無効にする必要がある
- 新しいポリシーが作成されました
- パブリック ネットワーク アクセスを無効にするように App Service アプリを構成する
- 新しいポリシーが作成されました
- パブリック ネットワーク アクセスを無効にするように App Service アプリ スロットを構成する
- 新しいポリシーが作成されました
- 関数アプリでは、パブリック ネットワーク アクセスを無効にする必要がある
- 新しいポリシーが作成されました
- 関数アプリ スロットでは、パブリック ネットワーク アクセスを無効にする必要がある
- 新しいポリシーが作成されました
- パブリック ネットワーク アクセスを無効にするように関数アプリを構成する
- 新しいポリシーが作成されました
- パブリック ネットワーク アクセスを無効にするように関数アプリ スロットを構成する
- 新しいポリシーが作成されました
- リモート デバッグを無効にするように App Service アプリ スロットを構成する
- 新しいポリシーが作成されました
- リモート デバッグを無効にするように関数アプリ スロットを構成する
- 新しいポリシーが作成されました
- 最新の TLS バージョンを使用するように App Service アプリ スロットを構成する
- 新しいポリシーが作成されました
- 最新の TLS バージョンを使用するように関数アプリ スロットを構成する
- 新しいポリシーが作成されました
- App Service アプリは最新の 'HTTP バージョン' を使用する必要がある
- Windows アプリを含むようにスコープを更新します
- 関数アプリでは、最新の 'HTTP バージョン' を使用する必要がある
- Windows アプリを含むようにスコープを更新します
- パブリック インターネット経由で App Service Environment のアプリに到達できない必要がある
- API バージョンのチェックを削除するようにポリシー定義を変更します
2022 年 9 月
- App Service アプリを仮想ネットワークに導入する必要がある
- スロットを削除するようにポリシーのスコープを更新する
- スロットを監視するための "App Service アプリ スロットを仮想ネットワークに導入する必要がある" の作成
- スロットを削除するようにポリシーのスコープを更新する
- App Service アプリ スロットを仮想ネットワークに導入する必要がある
- 新しいポリシーが作成されました
- 関数アプリでは、"クライアント証明書 (着信クライアント証明書)" が有効になっている必要がある
- スロットを削除するようにポリシーのスコープを更新する
- スロットを監視するための "関数アプリ スロットでは、'クライアント証明書 (着信クライアント証明書)' が有効になっている必要がある" の作成
- スロットを削除するようにポリシーのスコープを更新する
- 関数アプリ スロットでは、'クライアント証明書 (着信クライアント証明書)' が有効になっている必要がある
- 新しいポリシーが作成されました
- 関数アプリでは、そのコンテンツ ディレクトリに Azure ファイル共有を使用する必要がある
- スロットを削除するようにポリシーのスコープを更新する
- スロットを監視するための "関数アプリ スロットでは、そのコンテンツ ディレクトリに Azure ファイル共有を使用する必要がある" の作成
- スロットを削除するようにポリシーのスコープを更新する
- 関数アプリ スロットでは、そのコンテンツ ディレクトリに Azure ファイル共有を使用する必要がある
- 新しいポリシーが作成されました
- App Service アプリでは、'クライアント証明書 (受信クライアント証明書)' が有効になっている必要がある
- スロットを削除するようにポリシーのスコープを更新する
- スロットを監視するための "App Service アプリ スロットでは、'クライアント証明書 (着信クライアント証明書)' が有効になっている必要がある" の作成
- スロットを削除するようにポリシーのスコープを更新する
- App Service アプリ スロットでは、'クライアント証明書 (着信クライアント証明書)' が有効になっている必要がある
- 新しいポリシーが作成されました
- App Service アプリでは、コンテンツ ディレクトリに Azure ファイル共有を使用する必要がある
- スロットを削除するようにポリシーのスコープを更新する
- スロットを監視するための "App Service アプリ スロットでは、そのコンテンツ ディレクトリに Azure ファイル共有を使用する必要がある" の作成
- スロットを削除するようにポリシーのスコープを更新する
- App Service アプリ スロットでは、そのコンテンツ ディレクトリに Azure ファイル共有を使用する必要がある
- 新しいポリシーが作成されました
- 関数アプリ スロットでは FTPS のみが要求される必要がある
- 新しいポリシーが作成されました
- App Serivce アプリ スロットでは FTPS のみが要求される必要がある
- 新しいポリシーが作成されました
- 関数アプリ スロットでは、すべてのリソースがアプリにアクセスできるように CORS を構成しない
- 新しいポリシーが作成されました
- App Service アプリ スロットでは、すべてのリソースがアプリにアクセスできるように CORS を構成しない
- 新しいポリシーが作成されました
- Function App には HTTPS 経由でのみアクセスできるようにする
- スロットを削除するようにポリシーのスコープを更新する
- スロットを監視するための "関数アプリ スロットに HTTPS を介してのみアクセスできるようにする" の作成
- "Deny" 効果を追加する
- ポリシーを適用するための "HTTPS を介してのみアクセスできるように関数アプリを構成する" の作成
- スロットを削除するようにポリシーのスコープを更新する
- 関数アプリ スロットに HTTPS を介してのみアクセスできるようにする
- 新しいポリシーが作成されました
- HTTPS を介してのみアクセスできるように関数アプリを構成する
- 新しいポリシーが作成されました
- HTTPS を介してのみアクセスできるように関数アプリ スロットを構成する
- 新しいポリシーが作成されました
- App Service アプリではプライベート リンクをサポートする SKU を使用する必要がある
- Logic Apps のワークフロー Standard レベルを含めるために、ポリシーでサポートされる SKU の一覧を更新
- 最新の TLS バージョンを使用するように App Service アプリを構成する
- 新しいポリシーが作成されました
- 最新の TLS バージョンを使用するように関数アプリを構成する
- 新しいポリシーが作成されました
- リモート デバッグを無効にするように App Service アプリを構成する
- 新しいポリシーが作成されました
- リモート デバッグを無効にするように関数アプリを構成する
- 新しいポリシーが作成されました
2022 年 8 月
- App Service アプリに HTTPS を介してのみアクセスできるようにする
- スロットを削除するようにポリシーのスコープを更新する
- スロットを監視するための "App Service アプリ スロットに HTTPS を介してのみアクセスできるようにする" の作成
- "Deny" 効果を追加する
- ポリシーを適用するための "HTTPS を介してのみアクセスできるように App Service アプリを構成する" の作成
- スロットを削除するようにポリシーのスコープを更新する
- App Service アプリ スロットに HTTPS を介してのみアクセスできるようにする
- 新しいポリシーが作成されました
- HTTPS を介してのみアクセスできるように App Service アプリを構成する
- 新しいポリシーが作成されました
- HTTPS を介してのみアクセスできるように App Service アプリ スロットを構成する
- 新しいポリシーが作成されました
2021 年 7 月
- 次のポリシーの廃止:
- API アプリで "クライアント証明書 (着信クライアント証明書)" が [オン] に設定されていることを確認する
- API アプリの一部として使用される "Python のバージョン" が最新であることを確認する
- CORS で API アプリへのアクセスをすべてのリソースには許可しない
- API アプリではマネージド ID を使用する必要がある
- API アプリでリモート デバッグを無効にする必要がある
- API アプリの一部として使用される "PHP のバージョン" が最新であることを確認する
- API アプリでは、そのコンテンツ ディレクトリに Azure ファイル共有を使用する必要がある
- API アプリでは FTPS のみを必須とする
- API アプリの一部として使用される "Java のバージョン" が最新であることを確認する
- API アプリの実行に使用される "HTTP のバージョン" が最新であることを確認する
- API アプリでは最新の TLS バージョンを使用する必要がある
- API アプリで認証が有効になっている必要がある
- 関数アプリでは、"クライアント証明書 (着信クライアント証明書)" が有効になっている必要がある
- スロットを含めるようにスコープを更新する
- ロジック アプリを除外するようにポリシーのスコープを更新する
- Web アプリで "クライアント証明書 (着信クライアント証明書)" が [オン] に設定されていることを確認する
- ポリシーの名前を "App Service アプリでは、'クライアント証明書 (受信クライアント証明書)' が有効になっている必要があります" に変更
- スロットを含めるようにスコープを更新する
- ロジック 関数アプリ以外のすべてのアプリの種類を含めるようにポリシーのスコープを更新する
- Web アプリの一部として使用された "Python のバージョン" が最新であることを確認する
- ポリシーの名前を "Python を使用する App Service アプリでは、最新の 'Python バージョン' を使用する必要があります" に変更
- ロジック 関数アプリ以外のすべてのアプリの種類を含めるようにポリシーのスコープを更新する
- 関数アプリの一部として使用された "Python のバージョン" が最新であることを確認する
- ポリシーの名前を "Python を使用する関数アプリでは、最新の 'Python バージョン' を使用する必要があります" に変更
- ロジック アプリを除外するようにポリシーのスコープを更新する
- CORS で、Web アプリケーションへのアクセスをすべてのリソースには許可しない
- ポリシーの名前を "App Service では、すべてのリソースがアプリにアクセスできるように CORS を構成しないでください" に変更
- ロジック 関数アプリ以外のすべてのアプリの種類を含めるようにポリシーのスコープを更新する
- CORS で関数アプリへのアクセスをすべてのリソースには許可しない
- ポリシーの名前を "関数アプリでは、すべてのリソースがアプリにアクセスできるように CORS を構成しないでください" に変更
- ロジック アプリを除外するようにポリシーのスコープを更新する
- 関数アプリではマネージド ID を使用する必要がある
- ポリシーの名前を "関数アプリではマネージド ID を使用する必要があります" に変更
- ロジック アプリを除外するようにポリシーのスコープを更新する
- Web アプリではマネージド ID を使用する必要がある
- ポリシーの名前を "App Service ではマネージド ID を使用する必要があります" に変更
- ロジック 関数アプリ以外のすべてのアプリの種類を含めるようにポリシーのスコープを更新する
- 関数アプリでリモート デバッグを無効にする必要がある
- ポリシーの名前を "関数アプリではリモート デバッグをオフにする必要があります" に変更
- ロジック アプリを除外するようにポリシーのスコープを更新する
- Web アプリケーションのリモート デバッグを無効にする
- ポリシーの名前を "App Service ではリモート デバッグをオフにする必要があります" に変更
- ロジック 関数アプリ以外のすべてのアプリの種類を含めるようにポリシーのスコープを更新する
- Web アプリの一部として使用された "PHP のバージョン" が最新であることを確認する
- ポリシーの名前を "PHP を使用する App Service アプリでは、最新の 'PHP バージョン' を使用する必要があります" に変更
- ロジック 関数アプリ以外のすべてのアプリの種類を含めるようにポリシーのスコープを更新する
- App Service スロットでは、SCM サイト デプロイに対してローカル認証方法を無効にする必要がある
- ポリシーの名前を "App Service アプリのスロットでは、SCM サイトのデプロイに対してローカル認証の方法を無効にする必要があります" に変更
- App Service では、SCM サイト デプロイに対してローカル認証方法を無効にする必要がある
- ポリシーの名前を "App Service アプリでは、SCM サイトのデプロイに対してローカル認証の方法を無効にする必要があります" に変更
- App Service スロットでは、FTP デプロイに対してローカル認証方法を無効にする必要がある
- ポリシーの名前を "App Service アプリのスロットでは、FTP のデプロイに対してローカル認証の方法を無効にする必要があります" に変更
- App Service では、FTP デプロイに対してローカル認証方法を無効にする必要がある
- ポリシーの名前を "App Service アプリでは、FTP のデプロイに対してローカル認証の方法を無効にする必要があります" に変更
- 関数アプリでは、そのコンテンツ ディレクトリに Azure ファイル共有を使用する必要がある
- スロットを含めるようにスコープを更新する
- ロジック アプリを除外するようにポリシーのスコープを更新する
- Web アプリでは、そのコンテンツ ディレクトリに Azure ファイル共有を使用する必要がある
- ポリシーの名前を "App Service アプリでは、Azure ファイル共有をコンテンツ ディレクトリに使用する必要があります" に変更
- スロットを含めるようにスコープを更新する
- ロジック 関数アプリ以外のすべてのアプリの種類を含めるようにポリシーのスコープを更新する
- 関数アプリでは FTPS のみを必須とする
- ポリシーの名前を "関数アプリには FTPS のみを必要とします" に変更
- ロジック アプリを除外するようにポリシーのスコープを更新する
- Web アプリでは FTPS を必須とする
- ポリシーの名前を "App Service アプリには FTPS のみを必要とします" に変更
- ロジック 関数アプリ以外のすべてのアプリの種類を含めるようにポリシーのスコープを更新する
- 関数アプリの一部として使用された "Java のバージョン" が最新であることを確認する
- ポリシーの名前を "Java を使用する関数アプリでは、最新の 'Java バージョン' を使用する必要があります" に変更
- ロジック アプリを除外するようにポリシーのスコープを更新する
- Web アプリの一部として使用された "Java のバージョン" が最新であることを確認する
- ポリシーの名前を "Java を使用する App Service アプリでは、最新の 'Java バージョン' を使用する必要があります" に変更
- ロジック 関数アプリ以外のすべてのアプリの種類を含めるようにポリシーのスコープを更新する
- App Service ではプライベート リンクを使用する必要がある
- ポリシーの名前を "App Service ではプライベート リンクを使用する必要があります" に変更
- プライベート DNS ゾーンを使用するように App Services を構成する
- ポリシーの名前を "プライベート DNS ゾーンを使用するように App Service アプリを構成する" に変更
- App Service アプリを仮想ネットワークに導入する必要がある
- ポリシーの名前を "App Service アプリは仮想ネットワークに挿入する必要があります" に変更
- スロットを含めるようにスコープを更新する
- Web アプリの実行に使用された "HTTP のバージョン" が最新であることを確認する
- ポリシーの名前を "App Service アプリでは、最新の 'HTTP バージョン' を使用する必要があります" に変更
- ロジック 関数アプリ以外のすべてのアプリの種類を含めるようにポリシーのスコープを更新する
- 関数アプリの実行に使用された "HTTP のバージョン" が最新であることを確認する
- ポリシーの名前を "関数アプリでは、最新の 'HTTP バージョン' を使用する必要があります" に変更
- ロジック アプリを除外するようにポリシーのスコープを更新する
- Web アプリでは最新の TLS バージョンを使用する必要がある
- ポリシーの名前を "App Service アプリは最新の TLS バージョンを使用する必要があります" に変更
- ロジック 関数アプリ以外のすべてのアプリの種類を含めるようにポリシーのスコープを更新する
- 関数アプリでは最新の TLS バージョンを使用する必要がある
- ポリシーの名前を "関数アプリは最新の TLS バージョンを使用する必要があります" に変更
- ロジック アプリを除外するようにポリシーのスコープを更新する
- App Service Environment では、TLS 1.0 および 1.1 を無効にする必要がある
- ポリシーの名前を "App Service Environment では、TLS 1.0 および 1.1 を無効にする必要があります" に変更
- App Services のリソース ログを有効にする必要がある
- ポリシーの名前を "App Service アプリではリソース ログを有効にする必要があります" に変更
- Web アプリで認証が有効になっている必要がある
- ポリシーの名前を "App Service アプリでは認証を有効にする必要があります" に変更
- 関数アプリで認証が有効になっている必要がある
- ポリシーの名前を "関数アプリでは認証を有効にする必要があります" に変更
- ロジック アプリを除外するようにポリシーのスコープを更新する
- App Service Environment では内部暗号化を有効にする必要がある
- ポリシーの名前を "App Service Environment では内部暗号化を有効にする必要があります" に変更
- 関数アプリに HTTPS を介してのみアクセスできるようにする
- ロジック アプリを除外するようにポリシーのスコープを更新する
- App Service は仮想ネットワーク サービス エンドポイントを使用する必要があります
- ポリシーの名前を "App Service アプリでは仮想ネットワーク サービス エンドポイントを使用する必要がある" に変更
- ロジック 関数アプリ以外のすべてのアプリの種類を含めるようにポリシーのスコープを更新する
2022 年 6 月
- API アプリには HTTPS を介してのみアクセスできるようにするポリシーの非推奨化
- Web アプリケーションには HTTPS を介してのみアクセスできるようにする
- ポリシーの名前を "App Service アプリに HTTPS を介してのみアクセスできるようにする" に変更
- ロジック 関数アプリ以外のすべてのアプリの種類を含めるようにポリシーのスコープを更新する
- スロットを含めるようにスコープを更新する
- 関数アプリに HTTPS を介してのみアクセスできるようにする
- スロットを含めるようにスコープを更新する
- App Service アプリではプライベート リンクをサポートする SKU を使用する必要がある
- ポリシーで Terraform デプロイがサポートされるよう、App Service プラン レベルまたは名前のチェックが含まれるようにポリシーのロジックを更新
- Basic レベルと Standard レベルを含めるために、ポリシーでサポートされる SKU の一覧を更新
次のステップ
- Azure Policy GitHub リポジトリのビルトインを参照します。
- 「Azure Policy の定義の構造」を確認します。
- 「Policy の効果について」を確認します。