Azure Cognitive Search 用の Azure Policy 組み込み定義
このページは、Azure Cognitive Search 用の Azure Policy 組み込みポリシー定義のインデックスです。 他のサービス用の Azure Policy 組み込みについては、Azure Policy 組み込み定義に関するページをご覧ください。
各組み込みポリシー定義の名前は、Azure portal のポリシー定義にリンクしています。 [バージョン] 列のリンクを使用すると、Azure Policy GitHub リポジトリのソースを表示できます。
Azure Cognitive Search
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| [プレビュー]: Azure AI 検索サービスはゾーン冗長である必要がある | Azure AI 検索サービスは、ゾーン冗長になるようにも、ならないようにも構成できます。 可用性ゾーンは、2 つ以上のレプリカを検索サービスに追加するときに使用されます。 各レプリカは、リージョン内の異なる可用性ゾーンに配置されます。 | Audit、Deny、Disabled | 1.0.0-preview |
| Azure AI Search サービスでは、プライベート リンクをサポートする SKU を使用する必要がある | Azure AI Search のサポートされている SKU を使用すると、Azure Private Link を使用すると、ソースまたは宛先でパブリック IP アドレスなしで仮想ネットワークを Azure サービスに接続できます。 プライベート リンク プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 Search サービスにプライベート エンドポイントをマッピングすると、データ漏えいのリスクが削減されます。 詳細については、https://aka.ms/azure-cognitive-search/inbound-private-endpoints を参照してください。 | Audit、Deny、Disabled | 1.0.1 |
| Azure AI Search サービスでパブリック ネットワーク アクセスを無効にする必要がある | パブリック ネットワーク アクセスを無効にすると、Azure AI Search サービスがパブリック インターネットで公開されないようにすることで、セキュリティが向上します。 プライベート エンドポイントを作成すると、Search サービスの露出を制限できます。 詳細については、https://aka.ms/azure-cognitive-search/inbound-private-endpoints を参照してください。 | Audit、Deny、Disabled | 1.0.1 |
| Azure AI Search サービスでローカル認証方法が無効になっている必要がある | ローカル認証方法を無効にすると、Azure AI Search サービスで認証に Azure Active Directory ID のみが必要とされ、セキュリティが向上します。 詳細については、https://aka.ms/azure-cognitive-search/rbac を参照してください。 ローカル認証を無効にするパラメーターはまだプレビュー段階ですが、ポータルの一部の機能ではパラメーターをサポートしていない GA API が使用されるため、このポリシーの拒否効果によって Azure AI Search ポータルの機能が制限される可能性があることに注意してください。 | Audit、Deny、Disabled | 1.0.1 |
| Azure AI Search サービスでは、保存データを暗号化するためにカスタマー マネージド キーを使用する必要がある | Azure AI Search サービスでカスタマー マネージド キーを使用して保存時の暗号化を有効にすると、保存データの暗号化に使用されるキーをさらに制御できます。 この機能は、多くの場合、キー コンテナーを使用してデータ暗号化キーを管理するための特別なコンプライアンス要件を持つ顧客に適用できます。 | AuditIfNotExists、Disabled | 2.0.0 |
| Azure AI Services リソースのキー アクセスが無効になっている必要があります (ローカル認証を無効にする) | セキュリティのため、キー アクセス (ローカル認証) を無効にしておくことをお勧めします。 開発/テストで通常使用される Azure OpenAI Studio にはキー アクセスが必要であり、キー アクセスが無効になっている場合は機能しません。 無効にすると、Microsoft Entra ID が唯一のアクセス方法になるため、最小特権の原則と詳細な制御を維持できます。 詳細については、https://aka.ms/AI/auth を参照してください | Audit、Deny、Disabled | 1.1.0 |
| Azure AI Services リソースでネットワーク アクセスを制限する必要がある | ネットワーク アクセスを制限すると、許可されたネットワークのみがサービスにアクセスできるようになります。 これを実現するには、許可されたネットワークからのアプリケーションのみが Azure AI サービスにアクセスできるようにネットワーク規則を構成します。 | Audit、Deny、Disabled | 3.2.0 |
| Azure AI サービスのリソースでは Azure Private Link を使用する必要があります | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームは、Azure バックボーン ネットワーク経由でコンシューマーとサービス間の接続を処理することで、データ漏えいのリスクを軽減します。 プライベート リンクの詳細については、https://aka.ms/AzurePrivateLink/Overview を参照してください。 | Audit、Disabled | 1.0.0 |
| ローカル認証を無効にするように Azure AI Search サービスを構成する | Azure AI Search サービスで認証に Azure Active Directory ID のみが必要になるように、ローカル認証方法を無効にします。 詳細については、https://aka.ms/azure-cognitive-search/rbac を参照してください。 | Modify、Disabled | 1.0.1 |
| パブリック ネットワーク アクセスを無効にするように Azure AI Search サービスを構成する | パブリック インターネット経由でアクセスできないように、Azure AI Search サービスのパブリック ネットワーク アクセスを無効にします。 これにより、データ漏えいのリスクを軽減することができます。 詳細については、https://aka.ms/azure-cognitive-search/inbound-private-endpoints を参照してください。 | Modify、Disabled | 1.0.1 |
| カスタマー マネージド キーを使用して保存データを暗号化するように Azure AI Search サービスを構成する | Azure AI Search サービスでカスタマー マネージド キーを使用して保存時の暗号化を有効にすると、保存データの暗号化に使用されるキーをさらに制御できます。 この機能は、多くの場合、キー コンテナーを使用してデータ暗号化キーを管理するための特別なコンプライアンス要件を持つ顧客に適用できます。 | Deny、Disabled | 1.0.0 |
| プライベート エンドポイントを使用して Azure AI Search サービスを構成する | プライベート エンドポイントを使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークが Azure サービスに接続されます。 プライベート エンドポイントを Azure AI Search サービスにマッピングすることで、データ漏えいのリスクを軽減できます。 詳細については、https://aka.ms/azure-cognitive-search/inbound-private-endpoints を参照してください。 | DeployIfNotExists、Disabled | 1.0.1 |
| ローカル キー アクセスを無効にするように Azure AI サービス リソースを構成する (ローカル認証を無効にする) | セキュリティのため、キー アクセス (ローカル認証) を無効にしておくことをお勧めします。 開発/テストで通常使用される Azure OpenAI Studio にはキー アクセスが必要であり、キー アクセスが無効になっている場合は機能しません。 無効にすると、Microsoft Entra ID が唯一のアクセス方法になるため、最小特権の原則と詳細な制御を維持できます。 詳細については、https://aka.ms/AI/auth を参照してください | DeployIfNotExists、Disabled | 1.0.0 |
| Search サービスの診断設定をイベント ハブにデプロイする | Search サービスの診断設定をデプロイして、この診断設定がない Search サービスが作成または更新されたときにリージョンのイベント ハブにストリーミングします。 | DeployIfNotExists、Disabled | 2.0.0 |
| Search サービスの診断設定を Log Analytics ワークスペースにデプロイする | Search サービスの診断設定をデプロイして、この診断設定がない Search サービスが作成または更新されたときにリージョンの Log Analytics ワークスペースにストリーミングします。 | DeployIfNotExists、Disabled | 1.0.0 |
| Azure AI サービス リソースの診断ログを有効にする必要がある | Azure AI サービス リソースのログを有効にします。 これで、セキュリティ インシデントが発生した場合やネットワークが侵害された場合に、調査目的でアクティビティ証跡を再作成できます | AuditIfNotExists、Disabled | 1.0.0 |
| Search Service (microsoft.search/searchservices) 用のカテゴリ グループを使用したイベント ハブへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、Search Service (microsoft.search/searchservices) 用のイベント ハブにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| Search Service (microsoft.search/searchservices) 用のカテゴリ グループを使用した Log Analytics へのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、Search Service (microsoft.search/searchservices) 用の Log Analytics ワークスペースにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| Search Service (microsoft.search/searchservices) 用のカテゴリ グループを使用したストレージへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、Search Service (microsoft.search/searchservices) 用のストレージ アカウントにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| Search サービスのリソース ログを有効にする必要がある | リソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やお使いのネットワークが侵害された場合に、調査目的で使用するアクティビティ証跡を再作成できます | AuditIfNotExists、Disabled | 5.0.0 |
次のステップ
- Azure Policy GitHub リポジトリのビルトインを参照します。
- 「Azure Policy の定義の構造」を確認します。
- 「Policy の効果について」を確認します。