Azure Resource Manager 用の Azure Policy 組み込み定義
このページは、Azure Resource Manager 用の Azure Policy 組み込みポリシー定義のインデックスです。 他のサービス用の Azure Policy 組み込みについては、Azure Policy 組み込み定義に関するページをご覧ください。
各組み込みポリシー定義の名前は、Azure portal のポリシー定義にリンクしています。 [バージョン] 列のリンクを使用すると、Azure Policy GitHub リポジトリのソースを表示できます。
Azure Resource Manager
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| サブスクリプションには最大 3 人の所有者を指定する必要がある | セキュリティ侵害を受けたサブスクリプション所有者が侵害を引き起こす可能性を下げるため、指定する所有者は最大 3 人までにすることをお勧めします。 | AuditIfNotExists、Disabled | 3.0.0 |
| Azure リソースに対する所有者アクセス許可を持つアカウントで MFA を有効にする必要があります。 | アカウントまたはリソースに対する侵害を防止するために、所有者としてのアクセス許可を持つすべてのサブスクリプション アカウントで多要素認証 (MFA) を有効にする必要があります。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure リソースに対する読み取りアクセス許可を持つアカウントで MFA を有効にする必要があります。 | アカウントまたはリソースの侵害を防止するために、読み取り権限を持つすべてのサブスクリプション アカウントで多要素認証 (MFA) を有効にする必要があります。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure リソースに対する書き込みアクセス許可を持つアカウントで MFA を有効にする必要があります。 | アカウントまたはリソースに対する侵害を防止するために、書き込み権限を持つすべてのサブスクリプション アカウントに対して 多要素認証 (MFA) を有効にする必要があります。 | AuditIfNotExists、Disabled | 1.0.0 |
| アクティビティ ログを 1 年以上保持する必要がある | このポリシーは、リテンション期間が 365 日間または無期限 (リテンション日数が 0) に設定されていない場合にアクティビティ ログを監査します。 | AuditIfNotExists、Disabled | 1.0.0 |
| リソース グループにタグを追加する | このタグがない任意のリソース グループが作成または更新されたときに、指定されたタグと値を追加します。 修復タスクをトリガーすることで、既存のリソース グループを修復できます。 タグに異なる値が含まれている場合、タグは変更されません。 | 変更 | 1.0.0 |
| サブスクリプションにタグを追加する | 修復タスクを使用して、指定されたタグと値をサブスクリプションに追加します。 タグに異なる値が含まれている場合、タグは変更されません。 ポリシー修復の詳細については、https://aka.ms/azurepolicyremediation を参照してください。 | 変更 | 1.0.0 |
| リソース グループのタグを追加または置換する | 任意のリソース グループが作成または更新されたときに、指定されたタグと値を追加または置換します。 修復タスクをトリガーすることで、既存のリソース グループを修復できます。 | 変更 | 1.0.0 |
| サブスクリプションのタグを追加または置換する | 修復タスクを使用して、指定されたタグと値をサブスクリプションに追加または置換します。 修復タスクをトリガーすることで、既存のリソース グループを修復できます。 ポリシー修復の詳細については、https://aka.ms/azurepolicyremediation を参照してください。 | 変更 | 1.0.0 |
| リソース グループが許可される場所 | このポリシーでは、組織がリソース グループを作成できる場所を制限できます。 geo コンプライアンス要件を強制するために使用されます。 | deny | 1.0.0 |
| 特定の管理操作のアクティビティ ログ アラートが存在する必要がある | このポリシーは、アクティビティ ログ アラートが構成されていない特定の管理操作を監査します。 | AuditIfNotExists、Disabled | 1.0.0 |
| 特定のポリシー操作のアクティビティ ログ アラートが存在する必要がある | このポリシーは、アクティビティ ログ アラートが構成されていない特定のポリシー操作を監査します。 | AuditIfNotExists、Disabled | 3.0.0 |
| 特定のセキュリティ操作のアクティビティ ログ アラートが存在する必要がある | このポリシーは、アクティビティ ログ アラートが構成されていない特定のセキュリティ操作を監査します。 | AuditIfNotExists、Disabled | 1.0.0 |
| タグとその値のリソース グループへの追加 | このタグがない任意のリソース グループが作成または更新されたときに、指定されたタグと値を追加します。 これらのリソース グループが変更されるまで、このポリシーが適用される前に作成されたリソース グループのタグは変更されません。 既存のリソースのタグの修復をサポートする新しい "変更" 効果ポリシーが利用可能です (https://aka.ms/modifydoc を参照してください)。 | append | 1.0.0 |
| ディザスター リカバリーを構成されていない仮想マシンの監査 | ディザスター リカバリーが構成されていない仮想マシンを監査します。 ディザスター リカバリーの詳細については、https://aka.ms/asr-doc にアクセスしてください。 | auditIfNotExists | 1.0.0 |
| Azure Defender for App Service を有効にする必要がある | Azure Defender for App Service は、Azure がクラウド プロバイダーとして提供するクラウドの規模と可視性を活用して、Web アプリへの一般的な攻撃を監視します。 | AuditIfNotExists、Disabled | 1.0.3 |
| Azure Defender for Azure SQL Database サーバーを有効にする必要がある | Azure Defender for SQL により、潜在的なデータベースの脆弱性を明示および軽減するための機能が提供され、SQL データベースへの脅威を示す可能性のある異常なアクティビティが検出され、機密データの検出と分類が行われます。 | AuditIfNotExists、Disabled | 1.0.2 |
| Azure Defender for Key Vault を有効にする必要がある | Azure Defender for Key Vault では、キー コンテナー アカウントにアクセスしたりそれを悪用したりする、異常で害を及ぼす可能性のある試行を検出することにより、追加の保護レイヤーとセキュリティ インテリジェンスが提供されます。 | AuditIfNotExists、Disabled | 1.0.3 |
| オープンソース リレーショナル データベース用 Azure Defender を有効にする必要がある | オープンソース リレーショナル データベース用 Azure Defenderによって、通常とは異なる、害を与えるおそれがあるアクセスや悪用がデータベースに対して試みられていることを示す異常なアクティビティを検出します。 オープンソース リレーショナル データベース用 Azure Defender の機能の詳細については、https://aka.ms/AzDforOpenSourceDBsDocu を参照してください。 重要: このプランを有効にすると、オープンソース リレーショナル データベースを保護するための料金が発生します。 料金の詳細については、Security Center の価格に関するページを参照してください: https://aka.ms/pricing-security-center。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure Defender for Resource Manager を有効にする必要がある | Azure Defender for Resource Manager では、組織内尾のリソース管理操作を自動的に監視します。 Azure Defender では、脅威を検出し、疑わしいアクティビティについて警告します。 Azure Defender for Resource Manager の機能に関する詳細については、https://aka.ms/defender-for-resource-manager を参照してください。 この Azure Defender プランを有効にすると、料金が発生します。 リージョンごとの料金の詳細については、Security Center の価格に関するページを参照してください: https://aka.ms/pricing-security-center。 | AuditIfNotExists、Disabled | 1.0.0 |
| サーバー用 Azure Defender を有効にする必要がある | サーバー用 Azure Defender では、サーバーのワークロードに対するリアルタイムの脅威の防止が提供され、セキュリティ強化の推奨事項と、不審なアクティビティに関するアラートが生成されます。 | AuditIfNotExists、Disabled | 1.0.3 |
| Azure Defender for SQL servers on machines を有効にする必要がある | Azure Defender for SQL により、潜在的なデータベースの脆弱性を明示および軽減するための機能が提供され、SQL データベースへの脅威を示す可能性のある異常なアクティビティが検出され、機密データの検出と分類が行われます。 | AuditIfNotExists、Disabled | 1.0.2 |
| Azure Monitor ログ プロファイルで、"書き込み"、"削除"、"アクション" の各カテゴリのログを収集する必要がある | このポリシーでは、ログ プロファイルで "書き込み"、"削除"、"アクション" の各カテゴリのログが確実に収集されるようにします | AuditIfNotExists、Disabled | 1.0.0 |
| Azure Monitor ですべてのリージョンからアクティビティ ログを収集する必要がある | このポリシーでは、グローバルを含め、Azure がサポートするすべてのリージョンからアクティビティをエクスポートしない Azure Monitor ログ プロファイルを監査します。 | AuditIfNotExists、Disabled | 2.0.0 |
| Azure Monitor ソリューション "Security and Audit" をデプロイする必要がある | このポリシーでは、Security and Audit が確実にデプロイされるようにします。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure サブスクリプションにはアクティビティ ログのログ プロファイルが必要 | このポリシーでは、アクティビティ ログのエクスポートがログ プロファイルで有効になっているかどうかを確認します。 また、ログをストレージ アカウントまたはイベント ハブにエクスポートするためのログ プロファイルが作成されていないかどうかを監査します。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure リソースに対する所有者アクセス許可を持つブロックされたアカウントを削除する必要があります。 | 所有者としてのアクセス許可を持つ非推奨のアカウントは、サブスクリプションから削除する必要があります。 非推奨のアカウントは、サインインがブロックされているアカウントです。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure リソースに対する読み取りおよび書き込みアクセス許可を持つブロックされたアカウントを削除する必要があります。 | 非推奨のアカウントは、サブスクリプションから削除する必要があります。 非推奨のアカウントは、サインインがブロックされているアカウントです。 | AuditIfNotExists、Disabled | 1.0.0 |
| 指定された Log Analytics ワークスペースにストリーミングするように Azure アクティビティ ログを構成する | Azure Activity の診断設定をデプロイして、サブスクリプションの監査ログを Log Analytics ワークスペースにストリーミングし、サブスクリプション レベルのイベントを監視します | DeployIfNotExists、Disabled | 1.0.0 |
| Azure Defender for App Service を構成して有効にする | Azure Defender for App Service は、Azure がクラウド プロバイダーとして提供するクラウドの規模と可視性を活用して、Web アプリへの一般的な攻撃を監視します。 | DeployIfNotExists、Disabled | 1.0.1 |
| Azure Defender for Azure SQL Database を構成して有効にする | Azure Defender for SQL により、潜在的なデータベースの脆弱性を明示および軽減するための機能が提供され、SQL データベースへの脅威を示す可能性のある異常なアクティビティが検出され、機密データの検出と分類が行われます。 | DeployIfNotExists、Disabled | 1.0.1 |
| オープンソース リレーショナル データベース用 Azure Defender を構成し有効にする | オープンソース リレーショナル データベース用 Azure Defenderによって、通常とは異なる、害を与えるおそれがあるアクセスや悪用がデータベースに対して試みられていることを示す異常なアクティビティを検出します。 オープンソース リレーショナル データベース用 Azure Defender の機能の詳細については、https://aka.ms/AzDforOpenSourceDBsDocu を参照してください。 重要: このプランを有効にすると、オープンソース リレーショナル データベースを保護するための料金が発生します。 料金の詳細については、Security Center の価格に関するページを参照してください: https://aka.ms/pricing-security-center。 | DeployIfNotExists、Disabled | 1.0.0 |
| Azure Defender for Resource Manager を構成して有効にする | Azure Defender for Resource Manager では、組織内尾のリソース管理操作を自動的に監視します。 Azure Defender では、脅威を検出し、疑わしいアクティビティについて警告します。 Azure Defender for Resource Manager の機能に関する詳細については、https://aka.ms/defender-for-resource-manager を参照してください。 この Azure Defender プランを有効にすると、料金が発生します。 リージョンごとの料金の詳細については、Security Center の価格に関するページを参照してください: https://aka.ms/pricing-security-center。 | DeployIfNotExists、Disabled | 1.1.0 |
| サーバー用 Azure Defender を構成して有効にする | サーバー用 Azure Defender では、サーバーのワークロードに対するリアルタイムの脅威の防止が提供され、セキュリティ強化の推奨事項と、不審なアクティビティに関するアラートが生成されます。 | DeployIfNotExists、Disabled | 1.0.1 |
| Azure Defender for SQL servers on machines を構成して有効にする | Azure Defender for SQL により、潜在的なデータベースの脆弱性を明示および軽減するための機能が提供され、SQL データベースへの脅威を示す可能性のある異常なアクティビティが検出され、機密データの検出と分類が行われます。 | DeployIfNotExists、Disabled | 1.0.1 |
| 基本の Microsoft Defender for Storage を有効にするように構成する (アクティビティ監視のみ) | Microsoft Defender for Storage は、お使いのストレージ アカウントに対する潜在的な脅威を検出する、Azure ネイティブのセキュリティ インテリジェンス レイヤーです。 このポリシーでは、基本的な Defender for Storage 機能 (アクティビティ監視) を有効にします。 アップロード時のマルウェア スキャンと機密データ脅威検出も含む、完全な保護を有効にするには、完全な有効化ポリシー (aka.ms/DefenderForStoragePolicy) を使用します。 Defender for Storage の機能と利点の詳細については、aka.ms/DefenderForStorage をご覧ください。 | DeployIfNotExists、Disabled | 1.1.0 |
| Azure Site Recovery を使用してレプリケーションを有効にし、仮想マシンでのディザスター リカバリーを構成する | ディザスター リカバリー構成のない仮想マシンは、障害やその他の中断に対して脆弱です。 仮想マシンでディザスター リカバリーがまだ構成されていない場合は、事前設定された構成を使用してレプリケーションを有効にすることで同じことが開始され、ビジネス継続性が促進されます。 割り当てのスコープを制御するために、指定したタグを含む仮想マシンを必要に応じて含める/除外することができます。 ディザスター リカバリーの詳細については、https://aka.ms/asr-doc にアクセスしてください。 | DeployIfNotExists、Disabled | 2.1.0 |
| ログと監視を集中管理するように Log Analytics ワークスペースとオートメーション アカウントを構成する | Log Analytics ワークスペースとリンクされたオートメーション アカウントを含むリソース グループをデプロイして、ログと監視を集中管理します。 オートメーション アカウントは、Updates や Change Tracking のようなソリューションの前提条件です。 | DeployIfNotExists、AuditIfNotExists、Disabled | 2.0.0 |
| Microsoft Defender CSPM プランを構成する | Defender Cloud Security Posture Management (CSPM) には、強化された態勢機能に加えて、リスクの特定、優先順位付け、軽減に役立つ新しいインテリジェントなクラウド セキュリティ グラフが用意されています。 Defender for Cloud で既定で有効になっている無料の基本的なセキュリティ態勢機能に加えて Defender CSPM を利用できます。 | DeployIfNotExists、Disabled | 1.0.0 |
| Microsoft Defender CSPM を有効にするように構成する | Defender Cloud Security Posture Management (CSPM) には、強化された態勢機能に加えて、リスクの特定、優先順位付け、軽減に役立つ新しいインテリジェントなクラウド セキュリティ グラフが用意されています。 Defender for Cloud で既定で有効になっている無料の基本的なセキュリティ態勢機能に加えて Defender CSPM を利用できます。 | DeployIfNotExists、Disabled | 1.0.2 |
| Microsoft Defender for Azure Cosmos DB を有効に構成する | Microsoft Defender for Azure Cosmos DB は、Azure ネイティブのセキュリティ層であり、ここでは Azure Cosmos DB アカウント内のデータベースを悪用しようとする試みが検出されます。 Microsoft Defender for Azure Cosmos DB では、潜在的な SQL インジェクション、Microsoft 脅威インテリジェンスに基づく既知の悪意のあるアクター、疑わしいアクセス パターン、侵害された ID を介したデータベースの悪用の可能性、または悪意のある内部関係者が検出されます。 | DeployIfNotExists、Disabled | 1.0.0 |
| Microsoft Defender for Containers プランを構成する | Defender for Containers プランには新しい機能が継続的に追加されており、ユーザーの明示的な有効化が必要になる場合があります。 このポリシーを使用すると、すべての新機能が確実に有効になります。 | DeployIfNotExists、Disabled | 1.0.0 |
| Microsoft Defender for Containers を有効にするように構成する | Microsoft Defender for Containers では、Azure、ハイブリッド、マルチクラウド Kubernetes 環境に対する強化、脆弱性評価、ランタイム保護を提供します。 | DeployIfNotExists、Disabled | 1.0.1 |
| Microsoft Defender for Cloud を使用して Microsoft Defender for Endpoint の統合設定を構成する (WDATP_EXCLUDE_LINUX...) | Linux サーバーで MDE の自動プロビジョニングを有効にするために、Microsoft Defender for Cloud (WDATP_EXCLUDE_LINUX_... とも呼ばれます) 内で Microsoft Defender for Endpoint の統合設定を構成します。 この設定を適用するには、WDATP 設定を有効にする必要があります。 詳細については、「https://learn.microsoft.com/azure/defender-for-cloud/integration-defender-for-endpoint」を参照してください。 | DeployIfNotExists、Disabled | 1.0.0 |
| Microsoft Defender for Cloud を使用して Microsoft Defender for Endpoint の統合設定を構成する (WDATP_UNIFIED_SOLUTION) | Windows Server 2012R2 および 2016 で MDE 統合エージェントの自動プロビジョニングを有効にするために、Microsoft Defender for Cloud (WDATP_UNIFIED_SOLUTION とも呼ばれます) 内で Microsoft Defender for Endpoint の統合設定を構成します。 この設定を適用するには、WDATP 設定を有効にする必要があります。 詳細については、「https://learn.microsoft.com/azure/defender-for-cloud/integration-defender-for-endpoint」を参照してください。 | DeployIfNotExists、Disabled | 1.0.0 |
| Microsoft Defender for Cloud を使用して Microsoft Defender for Endpoint の統合設定を構成する (WDATP) | MMA 経由で MDE にオンボードされた Windows ダウンレベル マシンのために、Microsoft Defender for Cloud (WDATP とも呼ばれます) 内で Microsoft Defender for Endpoint の統合設定と、Windows Server 2019、Windows Virtual Desktop 以上での MDE の自動プロビジョニングを構成します。 他の設定 (WDATP_UNIFIED など) を動作させるには、有効にする必要があります。 詳細については、「https://learn.microsoft.com/azure/defender-for-cloud/integration-defender-for-endpoint」を参照してください。 | DeployIfNotExists、Disabled | 1.0.0 |
| Microsoft Defender for Key Vault プランを構成する | Microsoft Defender for Key Vault では、キー コンテナー アカウントにアクセスしたりそれを悪用したりする、異常で害を及ぼす可能性のある試行を検出することにより、追加の保護レイヤーとセキュリティ インテリジェンスが提供されます。 | DeployIfNotExists、Disabled | 1.1.0 |
| Microsoft Defender for Servers プランを構成する | Defender for Servers には新しい機能が継続的に追加されており、ユーザーの明示的な有効化が必要になる場合があります。 このポリシーを使用すると、すべての新機能が確実に有効になります。 | DeployIfNotExists、Disabled | 1.0.0 |
| Microsoft Defender for Storage (クラシック) を有効にするように構成する | Microsoft Defender for Storage (クラシック) により、ストレージ アカウントへのアクセスやその悪用のような、通常とは異なる、害を及ぼす可能性のある試行が検出されます。 | DeployIfNotExists、Disabled | 1.0.2 |
| Microsoft Defender for Storage を有効にするように構成する | Microsoft Defender for Storage は、お使いのストレージ アカウントに対する潜在的な脅威を検出する、Azure ネイティブのセキュリティ インテリジェンス レイヤーです。 このポリシーでは、すべての Defender for Storage 機能 (アクティビティ監視、マルウェア スキャン、機密データ脅威検出) を有効にします。 Defender for Storage の機能と利点の詳細については、aka.ms/DefenderForStorage をご覧ください。 | DeployIfNotExists、Disabled | 1.4.0 |
| AI ワークロード用の Microsoft Defender の脅威に対する保護を構成する | AI ワークロード用の脅威に対する保護には新しい機能が絶えず追加されており、これはユーザーの明示的な有効化を必要とする場合があります。 このポリシーを使用すると、すべての新機能が確実に有効になります。 | DeployIfNotExists、Disabled | 1.0.0 |
| サブスクリプションを構成してプレビュー機能を設定する | このポリシーは、既存のサブスクリプションのプレビュー機能を評価します。 サブスクリプションを修復して、新しいプレビュー機能に登録できます。 新しいサブスクリプションが自動的に登録されることはありません。 | AuditIfNotExists、DeployIfNotExists、Disabled | 1.0.1 |
| デプロイ - Azure Security Center アラートの抑制ルールを構成する | 管理グループまたはサブスクリプションに対して抑制ルールをデプロイして Azure Security Center アラートを抑制し、アラート疲れを軽減します。 | deployIfNotExists | 1.0.0 |
| Microsoft Defender for Cloud のデータについて、信頼されているサービスとしてのイベント ハブへのエクスポートをデプロイする | Microsoft Defender for Cloud データの信頼されているサービスとして、イベント ハブへのエクスポートを有効にします。 このポリシーを使用すると、信頼されているサービスとしてのイベント ハブへのエクスポート構成がデプロイされ、条件と対象イベント ハブは割り当てられたスコープに設定されます。 新しく作成されたサブスクリプションにこのポリシーをデプロイするには、[コンプライアンス] タブを開き、該当する準拠していない割り当てを選択して、修復タスクを作成します。 | DeployIfNotExists、Disabled | 1.0.0 |
| Microsoft Defender for Cloud のデータについてイベント ハブへのエクスポートをデプロイする | Microsoft Defender for Cloud のデータについてイベント ハブへのエクスポートを有効にします。 このポリシーは、割り当てられたスコープに対する条件とターゲット イベント ハブを使用して、イベント ハブ構成へのエクスポートをデプロイします。 新しく作成されたサブスクリプションにこのポリシーをデプロイするには、[コンプライアンス] タブを開き、該当する準拠していない割り当てを選択して、修復タスクを作成します。 | deployIfNotExists | 4.2.0 |
| Microsoft Defender for Cloud のデータについて Log Analytics ワークスペースへのエクスポートをデプロイする | Microsoft Defender for Cloud のデータについて Log Analytics ワークスペースへのエクスポートを有効にします。 このポリシーは、割り当てられたスコープに対する条件とターゲット ワークスペースを使用して、Log Analytics ワークスペース構成へのエクスポートをデプロイします。 新しく作成されたサブスクリプションにこのポリシーをデプロイするには、[コンプライアンス] タブを開き、該当する準拠していない割り当てを選択して、修復タスクを作成します。 | deployIfNotExists | 4.1.0 |
| クラウドアラート用に Microsoft Defender のワークフロー自動化を展開する | Microsoft Defender for Cloud アラートの自動化を有効にします。 このポリシーは、割り当てられたスコープに対する条件とトリガーを使用して、ワークフローの自動化をデプロイします。 新しく作成されたサブスクリプションにこのポリシーをデプロイするには、[コンプライアンス] タブを開き、該当する準拠していない割り当てを選択して、修復タスクを作成します。 | deployIfNotExists | 5.0.1 |
| クラウドに関する推奨事項に対する Microsoft Defender のワークフロー自動化のデプロイ | Microsoft Defender for Cloud の推奨事項の自動化を有効にします。 このポリシーは、割り当てられたスコープに対する条件とトリガーを使用して、ワークフローの自動化をデプロイします。 新しく作成されたサブスクリプションにこのポリシーをデプロイするには、[コンプライアンス] タブを開き、該当する準拠していない割り当てを選択して、修復タスクを作成します。 | deployIfNotExists | 5.0.1 |
| クラウドの規制遵守のために Microsoft Defender のワークフロー自動化を展開する | Microsoft Defender for Cloud の規制コンプライアンスの自動化を有効にします。 このポリシーは、割り当てられたスコープに対する条件とトリガーを使用して、ワークフローの自動化をデプロイします。 新しく作成されたサブスクリプションにこのポリシーをデプロイするには、[コンプライアンス] タブを開き、該当する準拠していない割り当てを選択して、修復タスクを作成します。 | deployIfNotExists | 5.0.1 |
| 重要度 - 高のアラートの電子メール通知を有効にする必要がある | サブスクリプションの 1 つでセキュリティ違反のおそれがある場合に、組織内の関係するユーザーに通知が送信されるようにするには、Security Center で重要度の高いアラートに関するメール通知を有効にします。 | AuditIfNotExists、Disabled | 1.2.0 |
| サブスクリプション所有者に対する重要度 - 高のアラートの電子メール通知を有効にする必要がある | サブスクリプションにセキュリティ違反のおそれがある場合にサブスクリプションの所有者に通知が送信されるようにするには、Security Center で、重要度の高いアラートに関するメール通知をサブスクリプションの所有者に設定します。 | AuditIfNotExists、Disabled | 2.1.0 |
| サブスクリプションで Microsoft Defender for Cloud を有効にする | Microsoft Defender for Cloud で監視されていない既存のサブスクリプションを識別し、Defender for Cloud の無料機能で保護します。 既に監視されているサブスクリプションは、"準拠している" と見なされます。 新しく作成されたサブスクリプションを登録するには、[コンプライアンス] タブを開き、該当する準拠していない割り当てを選択して、修復タスクを作成します。 | deployIfNotExists | 1.0.1 |
| カスタム ワークスペースを使用して、Security Center がサブスクリプションで Log Analytics エージェントを自動プロビジョニングできるようにする。 | カスタム ワークスペースを使用してセキュリティ データを監視および収集するために、Security Center がサブスクリプションで Log Analytics エージェントを自動プロビジョニングできるようにします。 | DeployIfNotExists、Disabled | 1.0.0 |
| 既定のワークスペースを使用して、Security Center がサブスクリプションで Log Analytics エージェントを自動プロビジョニングできるようにする。 | ASC の既定のワークスペースを使用してセキュリティ データを監視および収集するために、Security Center がサブスクリプションで Log Analytics エージェントを自動プロビジョニングできるようにします。 | DeployIfNotExists、Disabled | 1.0.0 |
| AI ワークロードへの脅威に対する保護を有効にする | Microsoft の AI ワークロードへの脅威に対する保護では、自社製の生成 AI を利用するアプリケーションの保護を目的とした、コンテキスト化された証拠ベースのセキュリティ アラートを提供します | DeployIfNotExists、Disabled | 1.0.0 |
| 使用コストのリソースを除外する | このポリシーを使用すると、使用量コストリソースを除外できます。 使用コストには、使用状況に基づいて課金される従量制課金ストレージや Azure リソースなどが含まれます。 | Audit、Deny、Disabled | 1.0.0 |
| Azure リソースに対する所有者アクセス許可を持つゲスト アカウントを削除する必要があります。 | 監視されていないアクセスを防止するために、所有者アクセス許可を持つ外部アカウントは、サブスクリプションから削除する必要があります。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure リソースに対する読み取りアクセス許可を持つゲスト アカウントを削除する必要があります。 | 監視されていないアクセスを防止するために、読み取り権限がある外部アカウントは、サブスクリプションから削除する必要があります。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure リソースに対する書き込みアクセス許可を持つゲスト アカウントを削除する必要があります。 | 監視されていないアクセスを防止するために、書き込み権限がある外部アカウントは、サブスクリプションから削除する必要があります。 | AuditIfNotExists、Disabled | 1.0.0 |
| Microsoft Defender CSPM を有効にする必要がある | Defender Cloud Security Posture Management (CSPM) には、強化された態勢機能に加えて、リスクの特定、優先順位付け、軽減に役立つ新しいインテリジェントなクラウド セキュリティ グラフが用意されています。 Defender for Cloud で既定で有効になっている無料の基本的なセキュリティ態勢機能に加えて Defender CSPM を利用できます。 | AuditIfNotExists、Disabled | 1.0.0 |
| Microsoft Defender for API を有効にする必要がある | Microsoft Defender for API は、一般的な API ベースの攻撃とセキュリティ構成の誤りを監視する新しい発見、保護、検出、対応の範囲を提供します。 | AuditIfNotExists、Disabled | 1.0.3 |
| Microsoft Defender for Azure Cosmos DB を有効にする必要がある | Microsoft Defender for Azure Cosmos DB は、Azure ネイティブのセキュリティ層であり、ここでは Azure Cosmos DB アカウント内のデータベースを悪用しようとする試みが検出されます。 Microsoft Defender for Azure Cosmos DB では、潜在的な SQL インジェクション、Microsoft 脅威インテリジェンスに基づく既知の悪意のあるアクター、疑わしいアクセス パターン、侵害された ID を介したデータベースの悪用の可能性、または悪意のある内部関係者が検出されます。 | AuditIfNotExists、Disabled | 1.0.0 |
| Microsoft Defender for Containers を有効にする必要がある | Microsoft Defender for Containers では、Azure、ハイブリッド、マルチクラウド Kubernetes 環境に対する強化、脆弱性評価、ランタイム保護を提供します。 | AuditIfNotExists、Disabled | 1.0.0 |
| Microsoft Defender for Storageを有効にする必要があります | Microsoft Defender for Storage では、お使いのストレージ アカウントに対する潜在的脅威が検出されます。 これは、データおよびワークロードに対する 3 つの大きな影響、すなわち、悪意のあるファイルのアップロード、機密データの流出、データの破損を防ぐのに役立ちます。 新しい Defender for Storage プランには、マルウェア スキャンと機密データの脅威検出機能が含まれています。 このプランはまた、(ストレージ アカウントごとの) 価格構造が予想しやすくなっており、カバレッジとコストを制御できます。 | AuditIfNotExists、Disabled | 1.0.0 |
| リソース グループでタグとその値を必須にする | リソース グループで必要なタグとその値を強制します。 | deny | 1.0.0 |
| リソース グループでタグを必須にする | リソース グループでタグの存在を強制します。 | deny | 1.0.0 |
| 代替脆弱性評価ソリューションに移行するためのサブスクリプションを設定する | クラウドオファー 用 Microsoft Defender には、お使いのマシンの脆弱性スキャンが追加費用なしで含まれています。 このポリシーを有効にすると、Defender for Cloud によって、組み込みの Microsoft Defender 脆弱性管理ソリューションからサポートされているすべてのマシンに調査結果が自動的に伝達されます。 | DeployIfNotExists、Disabled | 1.0.0-preview |
| サブスクリプションには、セキュリティの問題に備えて連絡先メール アドレスが用意されている必要がある | サブスクリプションの 1 つでセキュリティ違反のおそれがある場合に、組織内の関係するユーザーに通知が送信されるようにするには、Security Center からのメール通知を受信するセキュリティの連絡先を設定します。 | AuditIfNotExists、Disabled | 1.0.1 |
| 複数の所有者がサブスクリプションに割り当てられている必要がある | 管理者アクセスの冗長性を確保するため、複数のサブスクリプション所有者を指定することをお勧めします。 | AuditIfNotExists、Disabled | 3.0.0 |
次のステップ
- Azure Policy GitHub リポジトリのビルトインを参照します。
- 「Azure Policy の定義の構造」を確認します。
- 「Policy の効果について」を確認します。