Azure Cognitive Search 用の Azure Policy 組み込み定義
このページは、Azure Cognitive Search 用の Azure Policy 組み込みポリシー定義のインデックスです。 他のサービス用の Azure Policy 組み込みについては、Azure Policy 組み込み定義に関するページをご覧ください。
各組み込みポリシー定義の名前は、Azure portal のポリシー定義にリンクしています。 [バージョン] 列のリンクを使用すると、Azure Policy GitHub リポジトリのソースを表示できます。
Azure Cognitive Search
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| [プレビュー]: Azure AI 検索サービスはゾーン冗長である必要がある | Azure AI 検索サービスは、ゾーン冗長になるようにも、ならないようにも構成できます。 可用性ゾーンは、2 つ以上のレプリカを検索サービスに追加するときに使用されます。 各レプリカは、リージョン内の異なる可用性ゾーンに配置されます。 | Audit、Deny、Disabled | 1.0.0-preview |
| Azure AI Services リソースのキー アクセスが無効になっている必要があります (ローカル認証を無効にする) | セキュリティのため、キー アクセス (ローカル認証) を無効にしておくことをお勧めします。 開発/テストで通常使用される Azure OpenAI Studio にはキー アクセスが必要であり、キー アクセスが無効になっている場合は機能しません。 無効にすると、Microsoft Entra ID が唯一のアクセス方法になるため、最小特権の原則と詳細な制御を維持できます。 詳細については、https://aka.ms/AI/auth を参照してください | Audit、Deny、Disabled | 1.1.0 |
| Azure AI Services リソースでネットワーク アクセスを制限する必要がある | ネットワーク アクセスを制限すると、許可されたネットワークのみがサービスにアクセスできるようになります。 これを実現するには、許可されたネットワークからのアプリケーションのみが Azure AI サービスにアクセスできるようにネットワーク規則を構成します。 | Audit、Deny、Disabled | 3.2.0 |
| Azure AI サービスのリソースでは Azure Private Link を使用する必要があります | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームは、Azure バックボーン ネットワーク経由でコンシューマーとサービス間の接続を処理することで、データ漏えいのリスクを軽減します。 プライベート リンクの詳細については、https://aka.ms/AzurePrivateLink/Overview を参照してください。 | Audit、Disabled | 1.0.0 |
| Azure Cognitive Search サービスでは、プライベート リンクをサポートする SKU を使用する必要がある | Azure Cognitive Search 用のサポートされる SKU を使用すると、Azure Private Link により、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 プライベート リンク プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 Search サービスにプライベート エンドポイントをマッピングすると、データ漏えいのリスクが削減されます。 詳細については、https://aka.ms/azure-cognitive-search/inbound-private-endpoints を参照してください。 | Audit、Deny、Disabled | 1.0.0 |
| Azure Cognitive Search サービスではパブリック ネットワーク アクセスを無効にする必要がある | パブリック ネットワーク アクセスを無効にすると、パブリック インターネットに Azure Cognitive Search サービスが確実に露出されなくなるのでセキュリティが向上します。 プライベート エンドポイントを作成すると、Search サービスの露出を制限できます。 詳細については、https://aka.ms/azure-cognitive-search/inbound-private-endpoints を参照してください。 | Audit、Deny、Disabled | 1.0.0 |
| Azure Cognitive Search サービスでは、ローカル認証方法を無効にする必要がある | ローカル認証方法を無効にすると、Azure Cognitive Search の認証で Azure Active Directory ID のみを要求することにより、セキュリティが向上します。 詳細については、https://aka.ms/azure-cognitive-search/rbac を参照してください。 [ローカル認証を無効にする] パラメーターはまだプレビュー段階であるのに対し、このポリシーの拒否効果によって、Azure Cognitive Search ポータルの機能が制限される可能性があります。これは、ポータルの一部の機能では、パラメーターをサポートしない GA API が使用されるためです。 | Audit、Deny、Disabled | 1.0.0 |
| Azure Cognitive Search サービスではカスタマー マネージド キーを使用して保存データを暗号化する必要がある | Azure Cognitive Search サービスでカスタマー マネージド キーを使用した保存時の暗号化を有効にすると、保存データの暗号化で使用されるキーをさらに制御できるようになります。 この機能は、多くの場合、キー コンテナーを使用してデータ暗号化キーを管理するための特別なコンプライアンス要件を持つ顧客に適用できます。 | Audit、Deny、Disabled | 1.0.0 |
| ローカル キー アクセスを無効にするように Azure AI サービス リソースを構成する (ローカル認証を無効にする) | セキュリティのため、キー アクセス (ローカル認証) を無効にしておくことをお勧めします。 開発/テストで通常使用される Azure OpenAI Studio にはキー アクセスが必要であり、キー アクセスが無効になっている場合は機能しません。 無効にすると、Microsoft Entra ID が唯一のアクセス方法になるため、最小特権の原則と詳細な制御を維持できます。 詳細については、https://aka.ms/AI/auth を参照してください | DeployIfNotExists、Disabled | 1.0.0 |
| ローカル認証を無効にするように Azure Cognitive Search サービスを構成する | ローカル認証方法を無効にして、Azure Cognitive Search サービスの認証で Azure Active Directory の ID のみが要求されるようにします。 詳細については、https://aka.ms/azure-cognitive-search/rbac を参照してください。 | Modify、Disabled | 1.0.0 |
| パブリック ネットワーク アクセスを無効にするよう Azure Cognitive Search サービスを構成する | Azure Cognitive Search サービスのパブリック ネットワーク アクセスを無効にして、パブリック インターネット経由でアクセスできないようにします。 これにより、データ漏えいのリスクを軽減することができます。 詳細については、https://aka.ms/azure-cognitive-search/inbound-private-endpoints を参照してください。 | Modify、Disabled | 1.0.0 |
| プライベート エンドポイントを使用して Azure Cognitive Search サービスを構成する | プライベート エンドポイントを使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークが Azure サービスに接続されます。 プライベート エンドポイントを Azure Cognitive Search サービスにマッピングすると、データ漏えいのリスクを軽減できます。 詳細については、https://aka.ms/azure-cognitive-search/inbound-private-endpoints を参照してください。 | DeployIfNotExists、Disabled | 1.0.0 |
| Search サービスの診断設定をイベント ハブにデプロイする | Search サービスの診断設定をデプロイして、この診断設定がない Search サービスが作成または更新されたときにリージョンのイベント ハブにストリーミングします。 | DeployIfNotExists、Disabled | 2.0.0 |
| Search サービスの診断設定を Log Analytics ワークスペースにデプロイする | Search サービスの診断設定をデプロイして、この診断設定がない Search サービスが作成または更新されたときにリージョンの Log Analytics ワークスペースにストリーミングします。 | DeployIfNotExists、Disabled | 1.0.0 |
| Azure AI サービス リソースの診断ログを有効にする必要がある | Azure AI サービス リソースのログを有効にします。 これで、セキュリティ インシデントが発生した場合やネットワークが侵害された場合に、調査目的でアクティビティ証跡を再作成できます | AuditIfNotExists、Disabled | 1.0.0 |
| Search Service (microsoft.search/searchservices) 用のカテゴリ グループを使用したイベント ハブへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、Search Service (microsoft.search/searchservices) 用のイベント ハブにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| Search Service (microsoft.search/searchservices) 用のカテゴリ グループを使用した Log Analytics へのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、Search Service (microsoft.search/searchservices) 用の Log Analytics ワークスペースにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| Search Service (microsoft.search/searchservices) 用のカテゴリ グループを使用したストレージへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、Search Service (microsoft.search/searchservices) 用のストレージ アカウントにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| Search サービスのリソース ログを有効にする必要がある | リソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やお使いのネットワークが侵害された場合に、調査目的で使用するアクティビティ証跡を再作成できます | AuditIfNotExists、Disabled | 5.0.0 |
次のステップ
- Azure Policy GitHub リポジトリのビルトインを参照します。
- 「Azure Policy の定義の構造」を確認します。
- 「Policy の効果について」を確認します。