다음을 통해 공유


Azure Virtual Machines에 대한 Azure Policy 기본 제공 정의

적용 대상: ✔️ Linux VM ✔️ Windows VM ✔️ 유연한 확장 집합 ✔️ 균일한 확장 집합

이 페이지는 Azure Virtual Machines에 대한 Azure Policy 기본 제공 정책 정의의 인덱스입니다. 다른 서비스에 대한 추가 Azure Policy 기본 제공 기능은 Azure Policy 기본 제공 정의를 참조하세요.

Azure Portal의 정책 정의에 대한 각 기본 제공 정책 정의 링크의 이름입니다. Version 열의 링크를 사용하여 Azure Policy GitHub 리포지토리에서 원본을 봅니다.

Microsoft.Compute

속성
(Azure Portal)
설명 효과 버전
(GitHub)
[미리 보기]: 컴퓨터에서 관리 ID를 사용하도록 설정해야 합니다. Automanage로 관리하는 리소스에는 관리 ID가 있어야 합니다. 감사, 사용 안 함 1.0.0 - 미리 보기
[미리 보기]: 사용자가 할당한 관리 ID를 추가하여 가상 머신에서 게스트 구성 할당 사용 이 정책은 게스트 구성에서 지원되는 Azure에서 호스트되는 가상 머신에 사용자가 할당한 관리 ID를 추가합니다. 사용자가 할당한 관리 ID는 모든 게스트 구성 할당에 대한 필수 구성 요소이며 게스트 구성 정책 정의를 사용하기 전에 머신에 추가해야 합니다. 게스트 구성에 대한 자세한 내용은 https://aka.ms/gcpol을 방문하세요. AuditIfNotExists, DeployIfNotExists, 사용 안 함 2.1.0-preview
[미리 보기]: 기본 제공 사용자가 할당한 관리 ID를 Virtual Machine Scale Sets에 할당 기본 제공 사용자가 할당한 관리 ID를 만들고 할당하거나 미리 만든 사용자가 할당한 관리 ID를 가상 머신 확장 집합에 규모에 맞게 할당합니다. 자세한 설명서는 aka.ms/managedidentitypolicy를 참조하세요. AuditIfNotExists, DeployIfNotExists, 사용 안 함 1.1.0 - 미리 보기
[미리 보기]: 기본 제공 사용자가 할당한 관리 ID를 가상 머신에 할당 기본 제공 사용자가 할당한 관리 ID를 만들고 할당하거나 미리 만든 사용자가 할당한 관리 ID를 가상 머신에 규모에 맞게 할당합니다. 자세한 설명서는 aka.ms/managedidentitypolicy를 참조하세요. AuditIfNotExists, DeployIfNotExists, 사용 안 함 1.1.0 - 미리 보기
[미리 보기]: Automanage 구성 프로필 할당이 Conformant여야 함 Automanage에서 관리하는 리소스는 Conformant 또는 ConformantCorrected 상태여야 합니다. AuditIfNotExists, 사용 안 함 1.0.0 - 미리 보기
[미리 보기]: 관리 디스크에 대해 Azure Backup을 사용하도록 설정해야 합니다. Azure Backup을 사용하도록 설정하여 Managed Disks를 보호합니다. Azure Backup은 Azure를 위한 안전하고 경제적인 데이터 보호 솔루션입니다. AuditIfNotExists, 사용 안 함 1.0.0 - 미리 보기
[미리 보기]: Azure 보안 에이전트를 Linux 가상 머신 확장 집합에 설치해야 함 컴퓨터에서 보안 구성 및 취약성을 모니터링하기 위해 Azure 보안 에이전트를 Linux 가상 머신 확장 집합에 설치합니다. 평가 결과는 Azure Security Center에서 확인하고 관리할 수 있습니다. AuditIfNotExists, 사용 안 함 2.0.0-preview
[미리 보기]: Azure 보안 에이전트를 Linux 가상 머신에 설치해야 함 컴퓨터에서 보안 구성 및 취약성을 모니터링하기 위해 Azure 보안 에이전트를 Linux 가상 머신에 설치합니다. 평가 결과는 Azure Security Center에서 확인하고 관리할 수 있습니다. AuditIfNotExists, 사용 안 함 2.0.0-preview
[미리 보기]: Azure 보안 에이전트를 Windows 가상 머신 확장 집합에 설치해야 함 컴퓨터에서 보안 구성 및 취약성을 모니터링하기 위해 Azure 보안 에이전트를 Windows 가상 머신 확장 집합에 설치합니다. 평가 결과는 Azure Security Center에서 확인하고 관리할 수 있습니다. AuditIfNotExists, 사용 안 함 2.1.0-preview
[미리 보기]: Azure 보안 에이전트를 Windows 가상 머신에 설치해야 함 컴퓨터에서 보안 구성 및 취약성을 모니터링하기 위해 Azure 보안 에이전트를 Windows 가상 머신에 설치합니다. 평가 결과는 Azure Security Center에서 확인하고 관리할 수 있습니다. AuditIfNotExists, 사용 안 함 2.1.0-preview
[미리 보기]: 가상 머신에서 부팅 진단을 사용하도록 설정해야 함 Azure 가상 머신에서 부팅 진단을 사용하도록 설정해야 합니다. 감사, 사용 안 함 1.0.0 - 미리 보기
[미리 보기]: Linux 가상 머신에 ChangeTracking 확장을 설치해야 합니다. Linux Virtual Machines에 ChangeTracking 확장을 설치하여 Azure Security Center에서 FIM(파일 무결성 모니터링)을 사용하도록 설정합니다. FIM은 공격을 나타낼 수 있는 변경 내용에 대해 운영 체제 파일, Windows 레지스트리, 애플리케이션 소프트웨어, Linux 시스템 파일 등을 검사합니다. 확장은 Azure Monitoring Agent에서 지원하는 가상 머신 및 위치에 설치할 수 있습니다. AuditIfNotExists, 사용 안 함 2.0.0-preview
[미리 보기]: Linux 가상 머신 확장 집합에 ChangeTracking 확장을 설치해야 합니다. Linux 가상 머신 확장 집합에 ChangeTracking 확장을 설치하여 Azure Security Center에서 FIM(파일 무결성 모니터링)을 사용하도록 설정합니다. FIM은 공격을 나타낼 수 있는 변경 내용에 대해 운영 체제 파일, Windows 레지스트리, 애플리케이션 소프트웨어, Linux 시스템 파일 등을 검사합니다. 확장은 Azure Monitoring Agent에서 지원하는 가상 머신 및 위치에 설치할 수 있습니다. AuditIfNotExists, 사용 안 함 2.0.0-preview
[미리 보기]: Windows 가상 머신에 ChangeTracking 확장을 설치해야 합니다. Windows Virtual Machines에 ChangeTracking 확장을 설치하여 Azure Security Center에서 FIM(파일 무결성 모니터링)을 사용하도록 설정합니다. FIM은 공격을 나타낼 수 있는 변경 내용에 대해 운영 체제 파일, Windows 레지스트리, 애플리케이션 소프트웨어, Linux 시스템 파일 등을 검사합니다. 확장은 Azure Monitoring Agent에서 지원하는 가상 머신 및 위치에 설치할 수 있습니다. AuditIfNotExists, 사용 안 함 2.0.0-preview
[미리 보기]: Windows 가상 머신 확장 집합에 ChangeTracking 확장을 설치해야 합니다. Windows 가상 머신 확장 집합에 ChangeTracking 확장을 설치하여 Azure Security Center에서 FIM(파일 무결성 모니터링)을 사용하도록 설정합니다. FIM은 공격을 나타낼 수 있는 변경 내용에 대해 운영 체제 파일, Windows 레지스트리, 애플리케이션 소프트웨어, Linux 시스템 파일 등을 검사합니다. 확장은 Azure Monitoring Agent에서 지원하는 가상 머신 및 위치에 설치할 수 있습니다. AuditIfNotExists, 사용 안 함 2.0.0-preview
[미리 보기]: 가상 머신에서 Azure Defender for SQL 에이전트 구성 Azure Monitor 에이전트가 설치된 위치에 Azure Defender for SQL 에이전트를 자동으로 설치하도록 Windows 머신을 구성합니다. Security Center는 에이전트에서 이벤트를 수집하고 이를 사용하여 보안 경고 및 맞춤형 강화 작업(권장 사항)을 제공합니다. 머신과 동일한 지역에서 리소스 그룹과 Log Analytics 작업 영역을 만듭니다. 대상 가상 머신은 지원되는 위치에 있어야 합니다. DeployIfNotExists, 사용 안 함 1.0.0 - 미리 보기
[미리 보기]: 동일한 지역의 기존 백업 자격 증명 모음에 대해 지정된 태그가 있는 Azure 디스크(Managed Disks)에 대한 백업 구성 중앙 백업 자격 증명 모음에 지정된 태그가 포함된 모든 Azure 디스크(Managed Disks)에 대한 백업을 적용합니다. https://aka.ms/AB-DiskBackupAzPolicies에서 자세히 알아보세요. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0 - 미리 보기
[미리 보기]: 동일한 지역의 기존 백업 자격 증명 모음에 대해 지정된 태그가 없는 Azure 디스크(Managed Disks)에 대한 백업을 구성합니다. 중앙 백업 자격 증명 모음에 지정된 태그가 포함되어 있지 않은 모든 Azure 디스크(Managed Disks)에 대한 백업을 적용합니다. https://aka.ms/AB-DiskBackupAzPolicies에서 자세히 알아보세요. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0 - 미리 보기
[미리 보기]: Linux 가상 머신 확장 집합용 ChangeTracking 확장 구성 ChangeTracking 확장을 자동으로 설치하도록 Linux 가상 머신 확장 집합을 구성하여 Azure Security Center에 FIM(파일 무결성 모니터링)을 사용하도록 설정합니다. FIM은 공격을 나타낼 수 있는 변경 내용에 대해 운영 체제 파일, Windows 레지스트리, 애플리케이션 소프트웨어, Linux 시스템 파일 등을 검사합니다. 확장은 Azure Monitor Agent에서 지원하는 가상 머신 및 위치에 설치할 수 있습니다. DeployIfNotExists, 사용 안 함 2.0.0-preview
[미리 보기]: Linux Virtual Machines용 ChangeTracking 확장 구성 ChangeTracking 확장을 자동으로 설치하도록 Linux Virtual Machines을 구성하여 Azure Security Center에 FIM(파일 무결성 모니터링)을 사용하도록 설정합니다. FIM은 공격을 나타낼 수 있는 변경 내용에 대해 운영 체제 파일, Windows 레지스트리, 애플리케이션 소프트웨어, Linux 시스템 파일 등을 검사합니다. 확장은 Azure Monitor Agent에서 지원하는 가상 머신 및 위치에 설치할 수 있습니다. DeployIfNotExists, 사용 안 함 2.0.0-preview
[미리 보기]: Windows 가상 머신 확장 집합용 ChangeTracking 확장 구성 ChangeTracking 확장을 자동으로 설치하도록 Windows 가상 머신 확장 집합을 구성하여 Azure Security Center에서 FIM(파일 무결성 모니터링)을 사용하도록 설정합니다. FIM은 공격을 나타낼 수 있는 변경 내용에 대해 운영 체제 파일, Windows 레지스트리, 애플리케이션 소프트웨어, Linux 시스템 파일 등을 검사합니다. 확장은 Azure Monitor Agent에서 지원하는 가상 머신 및 위치에 설치할 수 있습니다. DeployIfNotExists, 사용 안 함 2.0.0-preview
[미리 보기]: Windows Virtual Machines용 ChangeTracking 확장 구성 ChangeTracking 확장을 자동으로 설치하도록 Windows Virtual Machines을 구성하여 Azure Security Center에서 FIM(파일 무결성 모니터링)을 사용하도록 설정합니다. FIM은 공격을 나타낼 수 있는 변경 내용에 대해 운영 체제 파일, Windows 레지스트리, 애플리케이션 소프트웨어, Linux 시스템 파일 등을 검사합니다. 확장은 Azure Monitor Agent에서 지원하는 가상 머신 및 위치에 설치할 수 있습니다. DeployIfNotExists, 사용 안 함 2.0.0-preview
[미리 보기]: ChangeTracking 및 Inventory에 대한 데이터 수집 규칙과 연결되도록 Linux Virtual Machines 구성 ChangeTracking 및 Inventory를 사용하도록 설정하기 위해 Linux 가상 머신을 지정된 데이터 수집 규칙에 연결하는 연결을 배포합니다. 위치 및 OS 이미지 목록은 지원이 증가하는 시간이 지남에 따라 업데이트됩니다. DeployIfNotExists, 사용 안 함 1.0.0 - 미리 보기
[미리 보기]: 사용자 할당 관리 ID를 사용하여 ChangeTracking 및 Inventory용 AMA를 설치하도록 Linux VM 구성 ChangeTracking 및 Inventory를 사용하도록 설정하기 위해 Linux 가상 머신에서 Azure Monitor 에이전트 확장 배포를 자동화합니다. 이 정책은 확장 프로그램을 설치하고 OS 및 지역이 지원되는 경우 지정된 사용자 할당 관리 ID를 사용하도록 구성하며, 그렇지 않은 경우 설치를 건너뜁니다. https://aka.ms/AMAOverview에서 자세한 내용을 알아보세요. DeployIfNotExists, 사용 안 함 1.5.0-preview
[미리 보기]: ChangeTracking 및 Inventory에 대한 데이터 수집 규칙과 연결되도록 Linux VMSS 구성 ChangeTracking 및 Inventory를 사용하도록 설정하기 위해 Linux 가상 머신 확장 집합을 지정된 데이터 수집 규칙에 연결하는 연결을 배포합니다. 위치 및 OS 이미지 목록은 지원이 증가하는 시간이 지남에 따라 업데이트됩니다. DeployIfNotExists, 사용 안 함 1.0.0 - 미리 보기
[미리 보기]: 사용자 할당 관리 ID를 사용하여 ChangeTracking 및 Inventory용 AMA를 설치하도록 Linux VMSS 구성 ChangeTracking 및 Inventory를 사용하도록 설정하기 위해 Linux 가상 머신 확장 집합에서 Azure Monitor 에이전트 확장 배포를 자동화합니다. 이 정책은 확장 프로그램을 설치하고 OS 및 지역이 지원되는 경우 지정된 사용자 할당 관리 ID를 사용하도록 구성하며, 그렇지 않은 경우 설치를 건너뜁니다. https://aka.ms/AMAOverview에서 자세한 내용을 알아보세요. DeployIfNotExists, 사용 안 함 1.4.0-preview
[미리 보기]: Azure 보안 에이전트를 자동으로 설치하도록 지원되는 Linux 가상 머신 확장 집합 구성 Azure 보안 에이전트를 자동으로 설치하도록 지원되는 Linux 가상 머신 확장 집합을 구성합니다. Security Center는 에이전트에서 이벤트를 수집하고 이를 사용하여 보안 경고 및 맞춤형 강화 작업(권장 사항)을 제공합니다. 대상 가상 머신은 지원되는 위치에 있어야 합니다. DeployIfNotExists, 사용 안 함 2.0.0-preview
[미리 보기]: 게스트 증명 확장을 자동으로 설치하도록 지원되는 Linux 가상 머신 확장 집합 구성 Azure Security Center가 부팅 무결성을 사전에 증명하고 모니터링할 수 있도록 게스트 증명 확장을 자동으로 설치하도록 지원되는 Linux 가상 머신 확장 집합을 구성합니다. 부팅 무결성은 원격 증명을 통해 증명됩니다. DeployIfNotExists, 사용 안 함 6.1.0-preview
[미리 보기]: 자동으로 보안 부팅을 사용하도록 지원되는 Linux 가상 머신 구성 부팅 체인에 대한 악의적인 무단 변경을 완화하기 위해 보안 부팅을 자동으로 사용하도록 지원되는 Linux 가상 머신을 구성합니다. 이 기능을 사용하도록 설정하면 신뢰할 수 있는 부팅 로더, 커널 및 커널 드라이버만 실행할 수 있습니다. DeployIfNotExists, 사용 안 함 5.0.0-preview
[미리 보기]: Azure Security 에이전트를 자동으로 설치하도록 지원되는 Linux 가상 머신 구성 Azure Security 에이전트를 자동으로 설치하도록 지원되는 Linux 가상 머신을 구성합니다. Security Center는 에이전트에서 이벤트를 수집하고 이를 사용하여 보안 경고 및 맞춤형 강화 작업(권장 사항)을 제공합니다. 대상 가상 머신은 지원되는 위치에 있어야 합니다. DeployIfNotExists, 사용 안 함 7.0.0-preview
[미리 보기]: 게스트 증명 확장을 자동으로 설치하도록 지원되는 Linux 가상 머신 구성 Azure Security Center가 부팅 무결성을 사전에 증명하고 모니터링할 수 있도록 게스트 증명 확장을 자동으로 설치하도록 지원되는 Linux 가상 머신을 구성합니다. 부팅 무결성은 원격 증명을 통해 증명됩니다. DeployIfNotExists, 사용 안 함 7.1.0-preview
[미리 보기]: 자동으로 vTPM을 사용하도록 지원되는 가상 머신 구성 측정 부팅 및 TPM이 필요한 기타 OS 보안 기능을 지원하기 위해 vTPM을 자동으로 사용하도록 지원되는 가상 머신을 구성합니다. 사용하도록 설정되면 vTPM을 사용하여 부팅 무결성을 증명할 수 있습니다. DeployIfNotExists, 사용 안 함 2.0.0-preview
[미리 보기]: Azure Security 에이전트를 자동으로 설치하도록 지원되는 Windows 머신 구성 Azure Security 에이전트를 자동으로 설치하도록 지원되는 Windows 머신을 구성합니다. Security Center는 에이전트에서 이벤트를 수집하고 이를 사용하여 보안 경고 및 맞춤형 강화 작업(권장 사항)을 제공합니다. 대상 가상 머신은 지원되는 위치에 있어야 합니다. DeployIfNotExists, 사용 안 함 5.1.0-preview
[미리 보기]: Azure 보안 에이전트를 자동으로 설치하도록 지원되는 Windows 가상 머신 확장 집합 구성 Azure 보안 에이전트를 자동으로 설치하도록 지원되는 Windows 가상 머신 확장 집합을 구성합니다. Security Center는 에이전트에서 이벤트를 수집하고 이를 사용하여 보안 경고 및 맞춤형 강화 작업(권장 사항)을 제공합니다. 대상 Windows 가상 머신 확장 집합은 지원되는 위치에 있어야 합니다. DeployIfNotExists, 사용 안 함 2.1.0-preview
[미리 보기]: 게스트 증명 확장을 자동으로 설치하도록 지원되는 Windows 가상 머신 확장 집합 구성 Azure Security Center가 부팅 무결성을 사전에 증명하고 모니터링할 수 있도록 게스트 증명 확장을 자동으로 설치하도록 지원되는 Windows 가상 머신 확장 집합을 구성합니다. 부팅 무결성은 원격 증명을 통해 증명됩니다. DeployIfNotExists, 사용 안 함 4.1.0-preview
[미리 보기]: 자동으로 보안 부팅을 사용하도록 지원되는 Windows 가상 머신 구성 부팅 체인에 대한 악의적인 무단 변경을 완화하기 위해 보안 부팅을 자동으로 사용하도록 지원되는 Windows 가상 머신을 구성합니다. 이 기능을 사용하도록 설정하면 신뢰할 수 있는 부팅 로더, 커널 및 커널 드라이버만 실행할 수 있습니다. DeployIfNotExists, 사용 안 함 3.0.0-preview
[미리 보기]: 게스트 증명 확장을 자동으로 설치하도록 지원되는 Windows 가상 머신 구성 Azure Security Center가 부팅 무결성을 사전에 증명하고 모니터링할 수 있도록 게스트 증명 확장을 자동으로 설치하도록 지원되는 Windows 가상 머신을 구성합니다. 부팅 무결성은 원격 증명을 통해 증명됩니다. DeployIfNotExists, 사용 안 함 5.1.0-preview
[미리 보기]: VM에서 Azure Monitor 할당을 사용하도록 시스템 할당 관리 ID 구성 Azure Monitor에서 지원하고 컴퓨터 할당 관리 ID가 없는 Azure에서 호스트되는 가상 머신에 컴퓨터 할당 관리 ID를 구성합니다. 시스템 할당 관리 ID는 모든 Azure Monitor 할당에 대한 필수 구성 요소이며 Azure Monitor 확장을 사용하기 전에 머신에 추가해야 합니다. 대상 가상 머신은 지원되는 위치에 있어야 합니다. 수정, 사용 안 함 6.0.0-preview
[미리 보기]: 게스트 증명 확장을 설치하도록 Shared Image Gallery 이미지로 만든 VM 구성 Azure Security Center에서 부팅 무결성을 사전에 증명하고 모니터링할 수 있도록 게스트 증명 확장을 자동으로 설치하기 위해 Shared Image Gallery 이미지로 만든 가상 머신을 구성합니다. 부팅 무결성은 원격 증명을 통해 증명됩니다. DeployIfNotExists, 사용 안 함 2.0.0-preview
[미리 보기]: 게스트 증명 확장을 설치하도록 Shared Image Gallery 이미지로 만든 VMSS 구성 Azure Security Center에서 부팅 무결성을 사전에 증명하고 모니터링할 수 있도록 게스트 증명 확장을 자동으로 설치하기 위해 Shared Image Gallery 이미지로 만든 VMSS를 구성합니다. 부팅 무결성은 원격 증명을 통해 증명됩니다. DeployIfNotExists, 사용 안 함 2.1.0-preview
[미리 보기]: 로컬 사용자를 사용하지 않도록 Windows Server 구성 Windows Server에서 로컬 사용자 사용 안 함을 구성하기 위한 게스트 구성 할당을 만듭니다. 이렇게 하면 이 정책에서 명시적으로 허용된 사용자 목록이나 AAD(Azure Active Directory) 계정에서만 Windows Server에 액세스할 수 있으므로 전반적인 보안 태세가 향상됩니다. DeployIfNotExists, 사용 안 함 1.2.0-preview
[미리 보기]: ChangeTracking 및 Inventory에 대한 데이터 수집 규칙과 연결되도록 Windows Virtual Machines 구성 ChangeTracking 및 Inventory를 사용하도록 설정하기 위해 Windows 가상 머신을 지정된 데이터 수집 규칙에 연결하는 연결을 배포합니다. 위치 및 OS 이미지 목록은 지원이 증가하는 시간이 지남에 따라 업데이트됩니다. DeployIfNotExists, 사용 안 함 1.0.0 - 미리 보기
[미리 보기]: 사용자 할당 관리 ID로 ChangeTracking 및 Inventory용 AMA를 설치하도록 Windows VM 구성 ChangeTracking 및 Inventory를 사용하도록 설정하기 위해 Windows 가상 머신에서 Azure Monitor 에이전트 확장 배포를 자동화합니다. 이 정책은 확장 프로그램을 설치하고 OS 및 지역이 지원되는 경우 지정된 사용자 할당 관리 ID를 사용하도록 구성하며, 그렇지 않은 경우 설치를 건너뜁니다. https://aka.ms/AMAOverview에서 자세한 내용을 알아보세요. DeployIfNotExists, 사용 안 함 1.1.0 - 미리 보기
[미리 보기]: ChangeTracking 및 Inventory에 대한 데이터 수집 규칙과 연결되도록 Windows VMSS 구성 ChangeTracking 및 Inventory를 사용하도록 설정하기 위해 Windows 가상 머신 확장 집합을 지정된 데이터 수집 규칙에 연결하는 연결을 배포합니다. 위치 및 OS 이미지 목록은 지원이 증가하는 시간이 지남에 따라 업데이트됩니다. DeployIfNotExists, 사용 안 함 1.0.0 - 미리 보기
[미리 보기]: 사용자 할당 관리 ID로 ChangeTracking 및 Inventory용 AMA를 설치하도록 Windows VMSS 구성 ChangeTracking 및 Inventory를 사용하도록 설정하기 위해 Windows 가상 머신 확장 집합에서 Azure Monitor 에이전트 확장 배포를 자동화합니다. 이 정책은 확장 프로그램을 설치하고 OS 및 지역이 지원되는 경우 지정된 사용자 할당 관리 ID를 사용하도록 구성하며, 그렇지 않은 경우 설치를 건너뜁니다. https://aka.ms/AMAOverview에서 자세한 내용을 알아보세요. DeployIfNotExists, 사용 안 함 1.1.0 - 미리 보기
[미리 보기]: Linux 가상 엔드포인트용 Microsoft Defender 머신에 에이전트 배포 해당 Linux VM 이미지에 엔드포인트용 Microsoft Defender 에이전트를 배포합니다. DeployIfNotExists, AuditIfNotExists, Disabled 3.0.0-preview
[미리 보기]: Windows 가상 머신에 엔드포인트용 Microsoft Defender 에이전트 배포 해당 Windows VM 이미지에 엔드포인트용 Microsoft Defender를 배포합니다. DeployIfNotExists, AuditIfNotExists, Disabled 2.0.1-preview
[미리 보기]: SQL VM에 시스템 할당 ID 사용 SQL 가상 머신에 대규모로 시스템 할당 ID를 사용하도록 설정합니다. 구독 수준에서 이 정책을 할당해야 합니다. 리소스 그룹 수준에서 할당이 예상대로 작동하지 않습니다. DeployIfNotExists, 사용 안 함 1.0.0 - 미리 보기
[미리 보기]: 지원되는 Linux 가상 머신에 게스트 증명 확장을 설치해야 함 지원되는 Linux 가상 머신에 게스트 증명 확장을 설치하여 Azure Security Center에서 부팅 무결성을 사전에 증명하고 모니터링할 수 있도록 합니다. 설치가 완료되면 원격 증명을 통해 부팅 무결성이 증명됩니다. 이 평가는 신뢰할 수 있는 시작 및 기밀 Linux 가상 머신에 적용됩니다. AuditIfNotExists, 사용 안 함 6.0.0-preview
[미리 보기]: 지원되는 Linux 가상 머신 확장 집합에 게스트 증명 확장을 설치해야 함 지원되는 Linux 가상 머신 확장 집합에 게스트 증명 확장을 설치하여 Azure Security Center에서 부팅 무결성을 사전에 증명하고 모니터링할 수 있도록 합니다. 설치가 완료되면 원격 증명을 통해 부팅 무결성이 증명됩니다. 이 평가는 신뢰할 수 있는 시작 및 기밀 Linux 가상 머신 확장 집합에 적용됩니다. AuditIfNotExists, 사용 안 함 5.1.0-preview
[미리 보기]: 지원되는 Windows 가상 머신에 게스트 증명 확장을 설치해야 함 지원되는 가상 머신에 게스트 증명 확장을 설치하여 Azure Security Center에서 부팅 무결성을 사전에 증명하고 모니터링할 수 있도록 합니다. 설치가 완료되면 원격 증명을 통해 부팅 무결성이 증명됩니다. 이 평가는 신뢰할 수 있는 시작 및 기밀 Windows 가상 머신에 적용됩니다. AuditIfNotExists, 사용 안 함 4.0.0-preview
[미리 보기]: 지원되는 Windows 가상 머신 확장 집합에 게스트 증명 확장을 설치해야 함 지원되는 가상 머신 확장 집합에 게스트 증명 확장을 설치하여 Azure Security Center에서 부팅 무결성을 사전에 증명하고 모니터링할 수 있도록 합니다. 설치가 완료되면 원격 증명을 통해 부팅 무결성이 증명됩니다. 이 평가는 신뢰할 수 있는 시작 및 기밀 Windows 가상 머신 확장 집합에 적용됩니다. AuditIfNotExists, 사용 안 함 3.1.0-preview
[미리 보기]: Linux 머신은 Docker 호스트에 대한 Azure 보안 기준 요구 사항을 충족해야 합니다. 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. Docker 호스트에 대한 Azure 보안 기준의 권장 사항 중 하나에 대해 컴퓨터가 올바르게 구성되지 않았습니다. AuditIfNotExists, 사용 안 함 1.2.0-preview
[미리 보기]: Linux 머신이 Azure 컴퓨팅에 대한 STIG 규정 준수 요구 사항을 충족해야 함 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. 컴퓨터가 Azure 컴퓨팅에 대한 STIG 규정 준수 요구 사항의 권장 사항 중 하나에 대해 올바르게 구성되지 않은 경우 컴퓨터가 비준수입니다. DISA(국방정보체계국)는 DoD(국방부)에서 요구하는 컴퓨팅 OS 보안에 대한 기술 가이드인 STIG(보안 기술 구현 가이드)를 제공합니다. 자세한 내용은 https://public.cyber.mil/stigs/를 참조하세요. AuditIfNotExists, 사용 안 함 1.2.0-preview
[미리 보기]: OMI가 설치된 Linux 컴퓨터에 버전 1.6.8-1 이상이 있어야 함 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. Linux용 OMI 패키지 버전 1.6.8-1에 포함된 보안 수정으로 인해 모든 컴퓨터를 최신 릴리스로 업데이트해야 합니다. OMI를 사용하는 앱/패키지를 업그레이드하여 문제를 해결합니다. 자세한 내용은 https://aka.ms/omiguidance를 참조하세요. AuditIfNotExists, 사용 안 함 1.2.0-preview
[미리 보기]: Linux 가상 머신은 서명되고 신뢰할 수 있는 부팅 구성 요소만 사용해야 합니다. 신뢰할 수 있는 게시자가 모든 OS 부팅 구성 요소(부트 로더, 커널, 커널 드라이버)에 서명해야 합니다. 클라우드용 Defender는 하나 이상의 Linux 머신에서 신뢰할 수 없는 OS 부팅 구성 요소를 식별했습니다. 잠재적으로 악의적인 구성 요소로부터 컴퓨터를 보호하려면 허용 목록에 컴퓨터를 추가하거나 식별된 구성 요소를 제거합니다. AuditIfNotExists, 사용 안 함 1.0.0 - 미리 보기
[미리 보기]: Linux 가상 머신에서 보안 부팅을 사용해야 함 맬웨어 기반 루트킷 및 부트킷이 설치되지 않도록 방지하려면 지원되는 Linux 가상 머신에서 보안 부팅을 사용하도록 설정합니다. 보안 부팅은 서명된 운영 체제와 드라이버만 실행할 수 있도록 합니다. 이 평가는 Azure Monitor 에이전트가 설치된 Linux 가상 머신에만 적용됩니다. AuditIfNotExists, 사용 안 함 1.0.0 - 미리 보기
[미리 보기]: 나열된 가상 머신 이미지에 대해 Log Analytics 확장을 사용하도록 설정해야 합니다. 가상 머신 이미지가 정의된 목록에 없고 확장이 설치되어 있지 않은 경우 가상 머신을 비규격으로 보고합니다. AuditIfNotExists, 사용 안 함 2.0.1-preview
[미리 보기]: 컴퓨터에는 공격 벡터를 노출 시킬 수 있는 포트를 닫아야 합니다. Azure의 사용 약관에서 Microsoft 서버 또는 네트워크를 손상, 사용하지 않도록 설정, 과부하 또는 손상시킬 수 있는 방식으로 Azure 서비스를 사용하는 것을 금지합니다. 이 권장 사항에 의해 식별된 노출된 포트는 지속적인 보안을 위해 닫아야 합니다. 식별된 각 포트에 대해 권장 사항은 잠재적 위협에 대한 설명도 제공합니다. AuditIfNotExists, 사용 안 함 1.0.0 - 미리 보기
[미리 보기]: 관리 디스크는 영역 복원력이 있어야 합니다. 관리 디스크는 영역 정렬, 영역 중복 또는 둘 다로 구성되지 않을 수 있습니다. 정확히 하나의 영역 할당이 있는 관리 디스크는 영역 정렬입니다. SKU 이름이 ZRS로 끝나는 관리 디스크는 영역 중복입니다. 이 정책은 Managed Disks에 대한 복원력 구성을 식별하고 적용하는 데 도움이 됩니다. 감사, 거부, 사용 안 함 1.0.0 - 미리 보기
[미리 보기]: Linux 가상 머신에 네트워크 트래픽 데이터 수집 에이전트를 설치해야 함 Security Center에서는 Microsoft Dependency Agent를 사용하여 Azure 가상 머신에서 네트워크 트래픽 데이터를 수집함으로써 네트워크 맵의 트래픽 시각화, 네트워크 강화 권장 사항 및 특정 네트워크 위협과 같은 고급 네트워크 보호 기능을 활성화합니다. AuditIfNotExists, 사용 안 함 1.0.2-preview
[미리 보기]: Windows 가상 머신에 네트워크 트래픽 데이터 수집 에이전트를 설치해야 함 Security Center에서는 Microsoft Dependency Agent를 사용하여 Azure 가상 머신에서 네트워크 트래픽 데이터를 수집함으로써 네트워크 맵의 트래픽 시각화, 네트워크 강화 권장 사항 및 특정 네트워크 위협과 같은 고급 네트워크 보호 기능을 활성화합니다. AuditIfNotExists, 사용 안 함 1.0.2-preview
[미리 보기]: 지원되는 Windows 가상 머신에서 보안 부팅을 사용하도록 설정해야 함 지원되는 Windows 가상 머신에서 보안 부팅을 사용하도록 설정하여 부트 체인에 대한 악의적인 무단 변경을 완화합니다. 이 기능을 사용하도록 설정하면 신뢰할 수 있는 부팅 로더, 커널 및 커널 드라이버만 실행할 수 있습니다. 이 평가는 신뢰할 수 있는 시작 및 기밀 Windows 가상 머신에 적용됩니다. 감사, 사용 안 함 4.0.0-preview
[미리 보기]: Azure Virtual Machines에서 되풀이 업데이트 예약을 위한 필수 구성 요소 설정 이 정책은 패치 오케스트레이션을 '고객 관리 일정'으로 구성하여 Azure 업데이트 관리자에서 되풀이 업데이트를 예약하는 데 필요한 필수 구성 요소를 설정합니다. 이 변경으로 인해 패치 모드가 자동으로 'AutomaticByPlatform'으로 설정되고 Azure VM에서 'BypassPlatformSafetyChecksOnUserSchedule'이 'True'로 사용하도록 설정됩니다. Arc 지원 서버에는 필수 구성 요소가 적용되지 않습니다. 자세한 정보 - https://learn.microsoft.com/en-us/azure/update-manager/dynamic-scope-overview?tabs=avms#prerequisites DeployIfNotExists, 사용 안 함 1.1.0 - 미리 보기
[미리 보기]: Virtual Machine Scale Sets는 영역 복원력이 있어야 합니다. Virtual Machine Scale Sets는 영역 정렬, 영역 중복 또는 둘 다로 구성할 수 없습니다. 영역 배열에 정확히 하나의 항목이 있는 Virtual Machine Scale Sets는 영역 정렬로 간주됩니다. 반면, 영역 배열에 3개 이상의 항목이 있고 용량이 3개 이상인 Virtual Machine Scale Sets는 영역 중복으로 인식됩니다. 이 정책은 이러한 복원력 구성을 식별하고 적용하는 데 도움이 됩니다. 감사, 거부, 사용 안 함 1.0.0 - 미리 보기
[미리 보기]: 가상 머신 게스트 증명 상태가 정상이어야 함 게스트 증명은 신뢰할 수 있는 로그(TCGLog)를 증명 서버로 전송하여 수행됩니다. 서버는 이러한 로그를 사용하여 부팅 구성 요소가 신뢰할 수 있는지 여부를 확인합니다. 이 평가는 부트킷 또는 루트킷 감염에 따른 결과일 수 있는 부팅 체인의 손상을 감지하기 위한 것입니다. 이 평가는 게스트 증명 확장이 설치된, 신뢰할 수 있는 시작 사용 가상 머신에만 적용됩니다. AuditIfNotExists, 사용 안 함 1.0.0 - 미리 보기
[미리 보기]: Virtual Machines는 영역에 정렬되어야 합니다. Virtual Machines는 영역 정렬 여부에 관계없이 구성될 수 있습니다. 영역 배열에 항목이 하나만 있는 경우 영역 정렬로 간주됩니다. 이 정책은 단일 가용성 영역 내에서 작동하도록 구성됩니다. 감사, 거부, 사용 안 함 1.0.0 - 미리 보기
[미리 보기]: 지원되는 가상 머신에서 vTPM을 사용하도록 설정해야 함 지원되는 가상 머신에서 가상 TPM 디바이스를 사용하도록 설정하여 TPM이 필요한 계획 부팅 및 기타 OS 보안 기능을 용이하도록 합니다. 사용하도록 설정되면 vTPM을 사용하여 부팅 무결성을 증명할 수 있습니다. 이 평가는 신뢰할 수 있는 시작을 지원하는 가상 머신에만 적용됩니다. 감사, 사용 안 함 2.0.0-preview
[미리 보기]: Windows 컴퓨터가 Azure 컴퓨팅에 대한 STIG 규정 준수 요구 사항을 충족해야 함 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. 컴퓨터가 Azure 컴퓨팅에 대한 STIG 규정 준수 요구 사항의 권장 사항 중 하나에 대해 올바르게 구성되지 않은 경우 컴퓨터가 비준수입니다. DISA(국방정보체계국)는 DoD(국방부)에서 요구하는 컴퓨팅 OS 보안에 대한 기술 가이드인 STIG(보안 기술 구현 가이드)를 제공합니다. 자세한 내용은 https://public.cyber.mil/stigs/를 참조하세요. AuditIfNotExists, 사용 안 함 1.0.0 - 미리 보기
취약성 평가 솔루션을 가상 머신에서 사용하도록 설정해야 함 가상 머신을 감사하여 지원되는 취약성 평가 솔루션을 실행하고 있는지 검색합니다. 모든 사이버 위험 및 보안 프로그램의 핵심 구성 요소는 취약성을 식별하고 분석하는 것입니다. Azure Security Center의 표준 가격 책정 계층에는 추가 비용 없이 가상 머신에 대한 취약성 검사가 포함됩니다. 또한 Security Center가 자동으로 도구를 배포할 수 있습니다. AuditIfNotExists, 사용 안 함 3.0.0
시스템 할당 관리 ID를 추가하여 ID가 없는 가상 머신에서 게스트 구성 할당을 사용하도록 설정 이 정책은 게스트 구성에서 지원되지만 관리 ID가 없는 Azure에서 호스트되는 가상 머신에 시스템 할당 관리 ID를 추가합니다. 시스템 할당 관리 ID는 모든 게스트 구성 할당에 대한 필수 구성 요소이며 게스트 구성 정책 정의를 사용하기 전에 머신에 추가해야 합니다. 게스트 구성에 대한 자세한 내용은 https://aka.ms/gcpol을 방문하세요. 수정 4.1.0
시스템이 할당한 관리 ID를 추가하여 사용자가 할당한 ID가 있는 VM에서 게스트 구성 할당을 사용하도록 설정 이 정책은 게스트 구성에서 지원되고 사용자 할당 ID가 하나 이상 있지만 시스템 할당 관리 ID가 없는 Azure에서 호스트되는 가상 머신에 시스템 할당 관리 ID를 추가합니다. 시스템 할당 관리 ID는 모든 게스트 구성 할당에 대한 필수 구성 요소이며 게스트 구성 정책 정의를 사용하기 전에 머신에 추가해야 합니다. 게스트 구성에 대한 자세한 내용은 https://aka.ms/gcpol을 방문하세요. 수정 4.1.0
가상 머신과 연결된 네트워크 보안 그룹에서 모든 네트워크 포트를 제한해야 함 Azure Security Center에서 네트워크 보안 그룹의 인바운드 규칙 중 일부가 너무 관대하다는 사실을 식별했습니다. 인바운드 규칙에서 '모두' 또는 '인터넷' 범위에서 들어오는 액세스를 허용해서는 안 됩니다. 그러면 리소스가 공격자의 표적이 될 수 있습니다. AuditIfNotExists, 사용 안 함 3.0.0
허용된 가상 머신 크기 SKU 이 정책을 통해 조직에서 배포할 수 있는 가상 머신 크기 SKU 세트를 지정할 수 있습니다. 거부 1.0.1
암호 없이 계정에서 원격 연결을 허용하는 Linux 머신 감사 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. 암호 없이 계정에서 원격 연결을 허용하는 Linux 머신의 경우 머신은 비규격입니다. AuditIfNotExists, 사용 안 함 3.1.0
passwd 파일 권한이 0644로 설정되지 않은 Linux 머신 감사 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. passwd 파일 권한이 0644로 설정되지 않은 Linux 머신의 경우 머신은 비규격입니다. AuditIfNotExists, 사용 안 함 3.1.0
지정된 애플리케이션이 설치되지 않은 Linux 머신 감사 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. Chef InSpec 리소스에서 매개 변수에서 제공하는 하나 이상의 패키지가 설치되지 않았음을 나타내는 경우 머신은 비규격입니다. AuditIfNotExists, 사용 안 함 4.2.0
암호가 없는 계정이 있는 Linux 머신 감사 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. 암호가 없는 계정이 있는 Linux 머신의 경우 머신은 비규격입니다. AuditIfNotExists, 사용 안 함 3.1.0
지정된 애플리케이션이 설치되지 않은 Linux 머신 감사 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. 하나 이상의 패키지가 설치되었음을 Chef InSpec 리소스가 나타내는 경우 머신은 비규격입니다. AuditIfNotExists, 사용 안 함 4.2.0
Linux에 대한 SSH 보안 상태 감사(OSConfig에서 구동) 이 정책은 Linux 머신(Azure VM 및 Arc 지원 머신)에서 SSH 서버 보안 구성을 감사합니다. 필수 구성 요소, 범위의 설정, 기본값 및 사용자 지정을 비롯한 자세한 내용은 다음을 참조하세요. https://aka.ms/SshPostureControlOverview AuditIfNotExists, 사용 안 함 1.0.1
재해 복구가 구성되어 있지 않은 가상 머신 감사 재해 복구가 구성되지 않은 가상 머신을 감사합니다. 재해 복구에 대한 자세한 내용은 https://aka.ms/asr-doc를 참조하세요. auditIfNotExists 1.0.0
관리 디스크를 사용하지 않는 VM 감사 이 정책은 관리 디스크를 사용하지 않는 VM을 감사 감사 1.0.0
관리자 그룹에 지정된 구성원이 없는 Windows 머신 감사 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. 로컬 관리자 그룹에 정책 매개 변수에 나열된 구성원이 하나 이상 포함되어 있지 않은 경우 머신은 비규격입니다. auditIfNotExists 2.0.0
Windows 머신 네트워크 연결 감사 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. IP 및 TCP 포트에 대한 네트워크 연결 상태가 정책 매개 변수와 일치하지 않는 경우 머신은 비규격입니다. auditIfNotExists 2.0.0
비규격 DSC 구성의 Windows 머신 감사 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. Windows PowerShell 명령 Get-DSCConfigurationStatus가 머신의 DSC 구성이 비규격으로 반환되는 경우 머신이 비규격입니다. auditIfNotExists 3.0.0
Log Analytics 에이전트가 예상대로 연결되지 않은 Windows 머신 감사 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. 에이전트가 설치되지 않았거나 설치되었지만 정책 매개 변수에 지정된 ID 이외의 작업 영역에 등록된 COM 개체 AgentConfigManager.MgmtSvcCfg가 반환되는 경우 머신은 비규격입니다. auditIfNotExists 2.0.0
지정된 서비스가 설치되어 '실행 중'이지 않은 Windows 머신 감사 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. Windows PowerShell 명령 Get-Service의 결과가 정책 매개 변수에 지정된 것과 일치하는 상태로 서비스 이름을 포함하지 않는 경우 머신은 비규격입니다. auditIfNotExists 3.0.0
Windows 직렬 콘솔이 설정되지 않은 Windows 머신 감사 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. 머신에 직렬 콘솔 소프트웨어가 설치되어 있지 않거나 EMS 포트 번호 또는 전송 속도가 정책 매개 변수와 동일한 값으로 구성되지 않은 경우 머신은 비규격입니다. auditIfNotExists 3.0.0
지정된 수의 고유 암호 이후 암호를 다시 사용할 수 있는 Windows 머신 감사 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. Windows 머신이 지정된 수의 고유 암호 이후 암호를 다시 사용할 수 있도록 허용하는 경우 머신은 비규격입니다. 고유 암호의 기본값은 24입니다. AuditIfNotExists, 사용 안 함 2.1.0
지정한 도메인에 조인하지 않은 Windows 머신 감사 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. WMI 클래스 win32_computersystem의 도메인 속성 값이 정책 매개 변수의 값과 일치하지 않는 경우 머신은 비규격입니다. auditIfNotExists 2.0.0
지정한 표준 시간대로 설정되지 않은 Windows 머신 감사 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. WMI 클래스 Win32_TimeZone의 StandardName 속성 값이 정책 매개 변수의 선택한 표준 시간대와 일치하지 않는 경우 머신은 비규격입니다. auditIfNotExists 3.0.0
지정한 기간(일) 내에 만료되는 인증서가 포함된 Windows 머신 감사 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. 지정된 저장소에 있는 인증서의 만료 날짜가 매개 변수로 지정된 일 수에 대한 범위를 벗어나는 경우 머신은 비규격입니다. 또한 이 정책은 특정 인증서를 확인하거나 특정 인증서를 제외하는 옵션 및 만료된 인증서를 보고할지 여부를 제공합니다. auditIfNotExists 2.0.0
신뢰할 수 있는 루트에 지정한 인증서가 포함되지 않은 Windows 머신 감사 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. 머신의 신뢰할 수 있는 루트 인증서 저장소(Cert:\LocalMachine\Root)에 정책 매개 변수에 나열된 인증서 중 하나 이상이 포함되어 있지 않으면 머신은 비규격입니다. auditIfNotExists 3.0.0
최대 암호 사용 기간이 지정된 일 수로 설정되지 않은 Windows 머신 감사 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. Windows 머신이 최대 암호 사용 기간이 지정된 일 수로 설정되지 않은 경우 머신은 비규격입니다. 최대 암호 사용 기간의 기본값은 70일입니다. AuditIfNotExists, 사용 안 함 2.1.0
최소 암호 사용 기간이 지정된 일 수로 설정되지 않은 Windows 머신 감사 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. Windows 머신이 최소 암호 사용 기간이 지정된 일 수로 설정되지 않은 경우 머신은 비규격입니다. 최소 암호 사용 기간의 기본값은 1일입니다. AuditIfNotExists, 사용 안 함 2.1.0
암호 복잡성 설정이 활성화되지 않는 Windows 머신 감사 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. 암호 복잡성 설정이 활성화되지 않는 Windows 머신의 경우 머신은 비규격입니다. AuditIfNotExists, 사용 안 함 2.0.0
지정한 Windows PowerShell 실행 정책이 없는 Windows 머신 감사 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. Windows PowerShell 명령 Get-ExecutionPolicy가 정책 매개 변수에서 선택한 값과 다른 값을 반환하는 경우 머신은 비준수입니다. AuditIfNotExists, 사용 안 함 3.0.0
지정한 Windows PowerShell 모듈이 설치되지 않은 Windows 머신 감사 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. 환경 변수 PSModulePath에 지정된 위치에서 모듈을 사용할 수 없는 경우 머신은 비준수입니다. AuditIfNotExists, 사용 안 함 3.0.0
암호 최소 길이를 지정된 문자 수로 제한하지 않는 Windows 머신 감사 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. Windows 머신이 최소 암호 길이를 지정된 문자 수로 제한하지 않는 경우 머신은 비규격입니다. 최소 암호 길이에 대한 기본값은 14자입니다. AuditIfNotExists, 사용 안 함 2.1.0
해독 가능한 암호화를 사용하여 암호를 저장하지 않는 Windows 머신 감사 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. 해독 가능한 암호화를 사용하여 암호를 저장하지 않는 Windows 머신의 경우 머신은 비규격입니다. AuditIfNotExists, 사용 안 함 2.0.0
지정된 애플리케이션이 설치되지 않은 Windows 머신 감사 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. 다음 레지스트리 경로에서 애플리케이션 이름을 찾을 수 없는 경우 컴퓨터가 비준수입니다. HKLM:SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall, HKLM:SOFTWARE\Wow6432node\Microsoft\Windows\CurrentVersion\Uninstall, HKCU:Software\Microsoft\Windows\CurrentVersion\Uninstall auditIfNotExists 2.0.0
관리자 그룹에 추가 계정이 있는 Windows 머신 감사 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. 로컬 관리자 그룹에 정책 매개 변수에 나열되지 않은 구성원이 포함된 경우 머신은 비규격입니다. auditIfNotExists 2.0.0
지정한 기간(일) 내에 다시 시작되지 않은 Windows 머신 감사 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. 클래스 Win32_Operatingsystem의 LastBootUpTime WMI 속성이 정책 매개 변수에서 제공하는 일 범위를 벗어나는 경우 머신이 비규격입니다. auditIfNotExists 2.0.0
지정된 애플리케이션이 설치된 Windows 머신 감사 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. 애플리케이션 이름이 다음 레지스트리 경로 중 하나에 있으면 컴퓨터가 비준수입니다. HKLM:SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall, HKLM:SOFTWARE\Wow6432node\Microsoft\Windows\CurrentVersion\Uninstall, HKCU:Software\Microsoft\Windows\CurrentVersion\Uninstall auditIfNotExists 2.0.0
관리자 그룹에 지정된 구성원이 있는 Windows 머신 감사 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. 로컬 관리자 그룹에 정책 매개 변수에 나열된 구성원이 하나 이상 포함된 경우 머신은 비규격입니다. auditIfNotExists 2.0.0
재부팅을 대기 중인 Windows VM 감사 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. 구성 요소 기반 서비스, Windows 업데이트, 보류 중인 파일 이름 바꾸기, 보류 중인 컴퓨터 이름 바꾸기, 구성 관리자의 다시 부팅 보류 중 등의 이유로 머신이 다시 부팅을 보류 중인 경우 머신은 비규격입니다. 각 검색에는 고유한 레지스트리 경로가 있습니다. auditIfNotExists 2.0.0
Linux 머신에 대한 인증에 SSH 키가 필요함 SSH 자체에서 암호화된 연결을 제공하지만 SSH와 함께 암호를 사용하면 VM은 여전히 무차별 암호 대입 공격에 취약합니다. SSH를 통해 Azure Linux 가상 머신에 인증하는 가장 안전한 옵션은 SSH 키라고도 하는 퍼블릭-프라이빗 키 쌍을 사용하는 것입니다. https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed에서 자세한 내용을 알아보세요. AuditIfNotExists, 사용 안 함 3.2.0
Virtual Machines에 Azure Backup을 사용하도록 설정해야 합니다. Azure Backup을 사용하도록 설정하여 Azure Virtual Machines의 보호를 보장합니다. Azure Backup은 Azure를 위한 안전하고 경제적인 데이터 보호 솔루션입니다. AuditIfNotExists, 사용 안 함 3.0.0
Cloud Services(추가 지원) 역할 인스턴스는 안전하게 구성되어야 함 OS 취약점이 노출되지 않는지 확인하여 공격으로부터 Cloud Service(추가 지원) 역할 인스턴스를 보호합니다. AuditIfNotExists, 사용 안 함 1.0.0
Cloud Services(추가 지원) 역할 인스턴스에는 엔드포인트 보호 솔루션이 설치되어 있어야 함 엔드포인트 보호 솔루션이 설치되어 있는지 확인하여 위협 및 취약성으로부터 Cloud Services(추가 지원) 역할 인스턴스를 보호합니다. AuditIfNotExists, 사용 안 함 1.0.0
Cloud Services(추가 지원) 역할 인스턴스에 시스템 업데이트가 설치되어 있어야 함 최신 보안 및 중요 업데이트가 설치되어 있는지 확인하여 Cloud Service(추가 지원) 역할 인스턴스를 보호합니다. AuditIfNotExists, 사용 안 함 1.0.0
모든 리소스에 대해 서버용 Azure Defender가 사용하지 않도록 설정되도록 구성(리소스 수준) 서버용 Azure Defender는 서버 워크로드에 대한 실시간 위협 방지 기능을 제공하고 강화된 권장 사항과 의심스러운 활동에 대한 경고를 생성합니다. 이 정책은 선택한 범위(구독 또는 리소스 그룹)의 모든 리소스(VM, VMSS 및 ARC 컴퓨터)에 대해 서버용 Defender 계획을 사용하지 않도록 설정합니다. DeployIfNotExists, 사용 안 함 1.0.0
선택한 태그가 있는 리소스(리소스 수준)에 대해 서버용 Azure Defender가 사용하지 않도록 설정되도록 구성 서버용 Azure Defender는 서버 워크로드에 대한 실시간 위협 방지 기능을 제공하고 강화된 권장 사항과 의심스러운 활동에 대한 경고를 생성합니다. 이 정책은 선택한 태그 이름과 태그 값이 있는 모든 리소스(VM, VMSS 및 ARC 컴퓨터)에 대해 서버용 Defender 계획을 사용하지 않도록 설정합니다. DeployIfNotExists, 사용 안 함 1.0.0
선택한 태그가 있는 모든 리소스(리소스 수준)에 대해 서버용 Azure Defender가 사용되도록('P1' 하위 계획) 구성 서버용 Azure Defender는 서버 워크로드에 대한 실시간 위협 방지 기능을 제공하고 강화된 권장 사항과 의심스러운 활동에 대한 경고를 생성합니다. 이 정책은 선택한 태그 이름과 태그 값이 있는 모든 리소스(VM 및 ARC 컴퓨터)에 대해 서버용 Defender 계획('P1' 하위 계획 포함)을 사용하도록 설정합니다. DeployIfNotExists, 사용 안 함 1.0.0
모든 리소스(리소스 수준)에 대해('P1' 하위 계획 사용) 사용하도록 서버용 Azure Defender 구성 서버용 Azure Defender는 서버 워크로드에 대한 실시간 위협 방지 기능을 제공하고 강화된 권장 사항과 의심스러운 활동에 대한 경고를 생성합니다. 이 정책은 선택한 범위(구독 또는 리소스 그룹)의 모든 리소스(VM 및 ARC 컴퓨터)에 대해 서버용 Defender 계획('P1' 하위 계획 포함)을 사용하도록 설정합니다. DeployIfNotExists, 사용 안 함 1.0.0
기본 정책을 사용하여 새 Recovery Services 자격 증명 모음에 대해 지정된 태그가 있는 가상 머신의 백업 구성 가상 머신과 동일한 위치 및 리소스 그룹에 복구 서비스 자격 증명 모음을 배포하여 모든 가상 머신에 대한 백업을 적용합니다. 이 작업은 조직의 여러 애플리케이션 팀에 별도의 리소스 그룹이 할당되고 자체 백업 및 복원을 관리해야 하는 경우에 유용합니다. 할당 범위를 제어하기 위해 지정된 태그가 포함된 가상 머신을 선택적으로 포함할 수 있습니다. https://aka.ms/AzureVMAppCentricBackupIncludeTag을(를) 참조하세요. auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, 사용 안 함 9.4.0
동일한 위치에 있는 기존 Recovery Services 자격 증명 모음에 대해 지정된 태그가 있는 가상 머신의 백업 구성 가상 머신과 동일한 위치 및 구독에 있는 기존 중앙 복구 서비스 자격 증명 모음에 백업하여 모든 가상 머신에 대한 백업을 적용합니다. 이 작업은 구독의 모든 리소스에 대한 백업을 관리하는 조직 내의 중앙 팀이 있는 경우에 유용합니다. 할당 범위를 제어하기 위해 지정된 태그가 포함된 가상 머신을 선택적으로 포함할 수 있습니다. https://aka.ms/AzureVMCentralBackupIncludeTag을(를) 참조하세요. auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, 사용 안 함 9.4.0
기본 정책을 사용하여 새 Recovery Services 자격 증명 모음에 대해 제공된 태그가 없는 가상 머신의 백업 구성 가상 머신과 동일한 위치 및 리소스 그룹에 복구 서비스 자격 증명 모음을 배포하여 모든 가상 머신에 대한 백업을 적용합니다. 이 작업은 조직의 여러 애플리케이션 팀에 별도의 리소스 그룹이 할당되고 자체 백업 및 복원을 관리해야 하는 경우에 유용합니다. 할당 범위를 제어하기 위해 지정된 태그가 포함된 가상 머신을 선택적으로 제외할 수 있습니다. https://aka.ms/AzureVMAppCentricBackupExcludeTag을(를) 참조하세요. auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, 사용 안 함 9.4.0
동일한 위치에 있는 기존 Recovery Services 자격 증명 모음에 대해 지정된 태그가 없는 가상 머신의 백업 구성 가상 머신과 동일한 위치 및 구독에 있는 기존 중앙 복구 서비스 자격 증명 모음에 백업하여 모든 가상 머신에 대한 백업을 적용합니다. 이 작업은 구독의 모든 리소스에 대한 백업을 관리하는 조직 내의 중앙 팀이 있는 경우에 유용합니다. 할당 범위를 제어하기 위해 지정된 태그가 포함된 가상 머신을 선택적으로 제외할 수 있습니다. https://aka.ms/AzureVMCentralBackupExcludeTag을(를) 참조하세요. auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, 사용 안 함 9.4.0
Azure Site Recovery를 통해 복제를 사용하여 가상 머신에서 재해 복구 구성 재해 복구 구성이 없는 가상 머신은 중단 및 기타 중단에 취약합니다. 가상 머신에 재해 복구가 아직 구성되지 않은 경우에는 미리 설정된 구성을 사용하여 복제를 사용하도록 설정해 비즈니스 연속성을 촉진함으로써 동일한 작업을 시작합니다. 할당 범위를 제어하기 위해 지정된 태그가 포함된 가상 머신을 선택적으로 포함/제외할 수 있습니다. 재해 복구에 대한 자세한 내용은 https://aka.ms/asr-doc를 참조하세요. DeployIfNotExists, 사용 안 함 2.1.0
프라이빗 엔드포인트를 사용하여 디스크 액세스 리소스 구성 프라이빗 엔드포인트는 원본 또는 대상에서 공용 IP 주소 없이 Azure 서비스에 가상 네트워크를 연결합니다. 프라이빗 엔드포인트를 디스크 액세스 리소스에 매핑하면 데이터 누출 위험을 줄일 수 있습니다. https://aka.ms/disksprivatelinksdoc에서 프라이빗 링크에 대해 자세히 알아보세요. DeployIfNotExists, 사용 안 함 1.0.0
데이터 수집 규칙 또는 데이터 수집 엔드포인트와 연결되도록 Linux 머신 구성 연결을 배포하여 Linux Virtual Machines, 가상 머신 확장 집합 및 Arc 컴퓨터를 지정된 데이터 수집 규칙 또는 지정된 데이터 수집 엔드포인트에 연결합니다. 위치 및 OS 이미지 목록은 지원이 증가하는 시간이 지남에 따라 업데이트됩니다. DeployIfNotExists, 사용 안 함 6.5.1
로컬 사용자를 사용하지 않도록 Linux Server를 구성합니다. 게스트 구성 할당을 만들어 Linux 서버에서 로컬 사용자를 사용하지 않도록 설정을 구성합니다. 이렇게 하면 이 정책에서 명시적으로 허용된 사용자 목록이나 AAD(Azure Active Directory) 계정에서만 Linux Server에 액세스할 수 있으므로 전반적인 보안 태세가 향상됩니다. DeployIfNotExists, 사용 안 함 1.3.0-preview
데이터 수집 규칙 또는 데이터 수집 엔드포인트와 연결되도록 Linux Virtual Machine Scale Sets 구성 연결을 배포하여 Linux 가상 머신 확장 집합을 지정된 데이터 수집 규칙 또는 지정된 데이터 수집 엔드포인트에 연결합니다. 위치 및 OS 이미지 목록은 지원이 증가하는 시간이 지남에 따라 업데이트됩니다. DeployIfNotExists, 사용 안 함 4.4.1
시스템에서 할당된 관리 ID 기반 인증으로 Azure Monitor 에이전트를 실행하도록 Linux 가상 머신 확장 집합 구성 게스트 OS에서 원격 분석 데이터를 수집하기 위해 Linux 가상 머신 확장 집합에 Azure Monitor 에이전트 확장 배포를 자동화합니다. 이 정책은 OS 및 지역이 지원되고 시스템 할당 관리 ID가 사용하도록 설정된 경우 확장을 설치하고 그렇지 않은 경우 설치를 건너뜁니다. https://aka.ms/AMAOverview에서 자세한 내용을 알아보세요. DeployIfNotExists, 사용 안 함 3.6.0
사용자가 할당한 관리 ID 기반 인증으로 Azure Monitor 에이전트를 실행하도록 Linux 가상 머신 확장 집합 구성 게스트 OS에서 원격 분석 데이터를 수집하기 위해 Linux 가상 머신 확장 집합에 Azure Monitor 에이전트 확장 배포를 자동화합니다. 이 정책은 확장 프로그램을 설치하고 OS 및 지역이 지원되는 경우 지정된 사용자 할당 관리 ID를 사용하도록 구성하며, 그렇지 않은 경우 설치를 건너뜁니다. https://aka.ms/AMAOverview에서 자세한 내용을 알아보세요. DeployIfNotExists, 사용 안 함 3.8.0
데이터 수집 규칙 또는 데이터 수집 엔드포인트와 연결되도록 Linux Virtual Machines 구성 Linux 가상 머신을 지정된 데이터 수집 규칙 또는 지정된 데이터 수집 엔드포인트에 연결하기 위해 연결을 배포합니다. 위치 및 OS 이미지 목록은 지원이 증가하는 시간이 지남에 따라 업데이트됩니다. DeployIfNotExists, 사용 안 함 4.4.1
시스템에서 할당된 관리 ID 기반 인증으로 Azure Monitor 에이전트를 실행하도록 Linux 가상 머신 구성 게스트 OS에서 원격 분석 데이터를 수집하기 위해 Linux Virtual Machines에 Azure Monitor Agent 확장 배포를 자동화합니다. 이 정책은 OS 및 지역이 지원되고 시스템 할당 관리 ID가 사용하도록 설정된 경우 확장을 설치하고 그렇지 않은 경우 설치를 건너뜁니다. https://aka.ms/AMAOverview에서 자세한 내용을 알아보세요. DeployIfNotExists, 사용 안 함 3.6.0
사용자가 할당한 관리 ID 기반 인증으로 Azure Monitor 에이전트를 실행하도록 Linux 가상 머신 구성 게스트 OS에서 원격 분석 데이터를 수집하기 위해 Linux Virtual Machines에 Azure Monitor Agent 확장 배포를 자동화합니다. 이 정책은 확장 프로그램을 설치하고 OS 및 지역이 지원되는 경우 지정된 사용자 할당 관리 ID를 사용하도록 구성하며, 그렇지 않은 경우 설치를 건너뜁니다. https://aka.ms/AMAOverview에서 자세한 내용을 알아보세요. DeployIfNotExists, 사용 안 함 3.8.0
취약성 평가 공급자를 받도록 컴퓨터 구성 Azure Defender는 추가 비용 없이 머신의 취약성을 검사합니다. Qualys 라이선스 또는 Qualys 계정이 필요하지 않습니다. 모든 항목이 Security Center 내에서 원활하게 처리됩니다. 이 정책을 사용하도록 설정하면 Azure Defender에서 아직 설치되지 않은 모든 지원되는 컴퓨터에 Qualys 취약성 평가 공급자를 자동으로 배포합니다. DeployIfNotExists, 사용 안 함 4.0.0
공용 네트워크 액세스를 사용하지 않도록 관리 디스크 구성 공용 인터넷을 통해 액세스할 수 없도록 관리 디스크에 대한 공용 네트워크 액세스를 사용하지 않도록 설정합니다. 이를 통해 데이터 유출 위험을 줄일 수 있습니다. https://aka.ms/disksprivatelinksdoc에서 자세히 알아보세요. 수정, 사용 안 함 2.0.0
Azure 가상 머신에서 누락된 시스템 업데이트에 대한 정기 검사 구성 기본 Azure Virtual Machines에서 OS 업데이트에 대한 자동 평가(24시간마다)를 구성합니다. 컴퓨터 구독, 리소스 그룹, 위치 또는 태그에 따라 할당 범위를 제어할 수 있습니다. Windows: https://aka.ms/computevm-windowspatchassessmentmode, Linux: https://aka.ms/computevm-linuxpatchassessmentmode에 대해 자세히 알아봅니다. 수정 4.8.0
Windows 컴퓨터에서 보안 통신 프로토콜(TLS 1.1 또는 TLS 1.2) 구성 Windows 컴퓨터에서 지정된 보안 프로토콜 버전(TLS 1.1 또는 TLS 1.2)을 구성하는 게스트 구성 할당을 만듭니다. DeployIfNotExists, 사용 안 함 1.0.1
Azure Monitor 에이전트를 자동으로 설치하도록 SQL Virtual Machines 구성 Windows SQL Virtual Machines에서 Azure Monitor 에이전트 확장 배포를 자동화합니다. https://aka.ms/AMAOverview에서 자세한 내용을 알아보세요. DeployIfNotExists, 사용 안 함 1.5.0
Microsoft Defender for SQL를 자동으로 설치하도록 SQL Virtual Machines 구성 SQL용 Microsoft Defender 확장을 자동으로 설치하도록 Windows SQL Virtual Machines를 구성합니다. Microsoft Defender for SQL은 에이전트에서 이벤트를 수집하고 이를 사용하여 보안 경고 및 맞춤형 강화 작업(권장 사항)을 제공합니다. DeployIfNotExists, 사용 안 함 1.5.0
Linux용 SSH 보안 상태 구성(OSConfig에서 구동) 이 정책은 Linux 머신(Azure VM 및 Arc 지원 머신)에서 SSH 서버 보안 구성을 감사하고 구성합니다. 필수 구성 요소, 범위의 설정, 기본값 및 사용자 지정을 비롯한 자세한 내용은 다음을 참조하세요. https://aka.ms/SshPostureControlOverview DeployIfNotExists, 사용 안 함 1.0.1
Windows 머신에서 표준 시간대를 구성합니다. 이 정책은 Windows 가상 머신에서 지정된 표준 시간대를 설정하기 위한 게스트 구성 할당을 만듭니다. deployIfNotExists 2.1.0
Azure Automanage에 온보딩할 가상 머신 구성 Azure Automanage는 Azure용 Microsoft Cloud Adoption Framework에 정의된 모범 사례를 사용하여 가상 머신을 등록, 구성 및 모니터링합니다. 이 정책을 사용하여 선택한 범위에 자동 관리를 적용합니다. AuditIfNotExists, DeployIfNotExists, 사용 안 함 2.4.0
사용자 지정 구성 프로필을 사용하여 Azure Automanage에 온보딩할 가상 머신 구성 Azure Automanage는 Azure용 Microsoft Cloud Adoption Framework에 정의된 모범 사례를 사용하여 가상 머신을 등록, 구성 및 모니터링합니다. 이 정책을 사용하여 고유한 사용자 지정 구성 프로필이 있는 Automanage를 선택한 범위에 적용합니다. AuditIfNotExists, DeployIfNotExists, 사용 안 함 1.4.0
데이터 수집 규칙 또는 데이터 수집 엔드포인트와 연결되도록 Windows 머신 구성 연결을 배포하여 Windows Virtual Machines, 가상 머신 확장 집합 및 Arc 컴퓨터를 지정된 데이터 수집 규칙 또는 지정된 데이터 수집 엔드포인트에 연결합니다. 위치 및 OS 이미지 목록은 지원이 증가하는 시간이 지남에 따라 업데이트됩니다. DeployIfNotExists, 사용 안 함 4.5.1
데이터 수집 규칙 또는 데이터 수집 엔드포인트와 연결되도록 Windows Virtual Machine Scale Sets 구성 연결을 배포하여 Windows 가상 머신 확장 집합을 지정된 데이터 수집 규칙 또는 지정된 데이터 수집 엔드포인트에 연결합니다. 위치 및 OS 이미지 목록은 지원이 증가하는 시간이 지남에 따라 업데이트됩니다. DeployIfNotExists, 사용 안 함 3.3.1
시스템이 할당한 관리 ID를 사용하여 Azure Monitor 에이전트를 실행하도록 Windows 가상 머신 확장 집합 구성 게스트 OS에서 원격 분석 데이터를 수집하기 위해 Windows 가상 머신 확장 집합에 Azure Monitor 에이전트 확장 배포를 자동화합니다. 이 정책은 OS 및 지역이 지원되고 시스템 할당 관리 ID가 사용하도록 설정된 경우 확장을 설치하고 그렇지 않은 경우 설치를 건너뜁니다. https://aka.ms/AMAOverview에서 자세한 내용을 알아보세요. DeployIfNotExists, 사용 안 함 3.4.0
사용자가 할당한 관리 ID 기반 인증으로 Azure Monitor 에이전트를 실행하도록 Windows 가상 머신 확장 집합 구성 게스트 OS에서 원격 분석 데이터를 수집하기 위해 Windows 가상 머신 확장 집합에 Azure Monitor 에이전트 확장 배포를 자동화합니다. 이 정책은 확장 프로그램을 설치하고 OS 및 지역이 지원되는 경우 지정된 사용자 할당 관리 ID를 사용하도록 구성하며, 그렇지 않은 경우 설치를 건너뜁니다. https://aka.ms/AMAOverview에서 자세한 내용을 알아보세요. DeployIfNotExists, 사용 안 함 1.6.0
데이터 수집 규칙 또는 데이터 수집 엔드포인트와 연결되도록 Windows Virtual Machines 구성 Windows 가상 머신을 지정된 데이터 수집 규칙 또는 지정된 데이터 수집 엔드포인트에 연결하기 위해 연결을 배포합니다. 위치 및 OS 이미지 목록은 지원이 증가하는 시간이 지남에 따라 업데이트됩니다. DeployIfNotExists, 사용 안 함 3.3.1
시스템이 할당한 관리 ID를 사용하여 Azure Monitor 에이전트를 실행하도록 Windows 가상 머신 구성 게스트 OS에서 원격 분석 데이터를 수집하기 위해 Windows 가상 머신에 Azure Monitor Agent 확장 배포를 자동화합니다. 이 정책은 OS 및 지역이 지원되고 시스템 할당 관리 ID가 사용하도록 설정된 경우 확장을 설치하고 그렇지 않은 경우 설치를 건너뜁니다. https://aka.ms/AMAOverview에서 자세한 내용을 알아보세요. DeployIfNotExists, 사용 안 함 4.4.0
사용자가 할당한 관리 ID 기반 인증으로 Azure Monitor 에이전트를 실행하도록 Windows 가상 머신 구성 게스트 OS에서 원격 분석 데이터를 수집하기 위해 Windows 가상 머신에 Azure Monitor Agent 확장 배포를 자동화합니다. 이 정책은 확장 프로그램을 설치하고 OS 및 지역이 지원되는 경우 지정된 사용자 할당 관리 ID를 사용하도록 구성하며, 그렇지 않은 경우 설치를 건너뜁니다. https://aka.ms/AMAOverview에서 자세한 내용을 알아보세요. DeployIfNotExists, 사용 안 함 1.6.0
기본 제공된 사용자 할당 관리 ID 만들기 및 할당 기본 제공 사용자 할당 관리 ID를 만들고 SQL 가상 머신에 대규모로 할당합니다. AuditIfNotExists, DeployIfNotExists, 사용 안 함 1.7.0
나열된 가상 머신 이미지의 종속성 에이전트를 사용하도록 설정해야 함 가상 머신 이미지가 정의된 목록에 없고 에이전트가 설치되어 있지 않은 경우 가상 머신을 비규격으로 보고합니다. OS 이미지 목록은 향후 지원이 업데이트됨에 따라 업데이트됩니다. AuditIfNotExists, 사용 안 함 2.0.0
가상 머신 확장 집합에서 나열된 가상 머신 이미지의 종속성 에이전트를 사용하도록 설정해야 함 가상 머신 이미지가 정의된 목록에 없고 에이전트가 설치되어 있지 않은 경우 가상 머신 확장 집합을 비규격으로 보고합니다. OS 이미지 목록은 향후 지원이 업데이트됨에 따라 업데이트됩니다. AuditIfNotExists, 사용 안 함 2.0.0
배포 - Windows 가상 머신 확장 집합에서 사용하도록 Dependency Agent 구성 가상 머신 이미지가 정의된 목록에 있고 에이전트가 설치되지 않은 경우 Windows 가상 머신 확장 집합용 종속성 에이전트를 배포합니다. 확장 집합 upgradePolicy를 수동으로 설정한 경우 해당 확장 기능을 업데이트하여 집합의 모든 가상 머신에 적용해야 합니다. DeployIfNotExists, 사용 안 함 3.2.0
배포 - Windows 가상 머신에서 사용하도록 Dependency Agent 구성 가상 머신 이미지가 정의된 목록에 있고 에이전트가 설치되지 않은 경우 Windows 가상 머신용 종속성 에이전트를 배포합니다. DeployIfNotExists, 사용 안 함 3.2.0
배포 - Windows 가상 머신에서 사용하도록 Log Analytics 확장 집합 구성 가상 머신 이미지가 정의된 목록에 있고 확장이 설치되지 않은 경우 Windows 가상 머신 확장 집합에 대한 Log Analytics 확장을 배포합니다. 확장 집합 upgradePolicy를 수동으로 설정한 경우 해당 확장 기능을 업데이트하여 집합의 모든 가상 머신에 적용해야 합니다. 사용 중단 알림: Log Analytics 에이전트는 사용 중단 과정에 있으며 2024년 8월 31일 이후에는 지원되지 않습니다. 이 날짜가 되기 전에 대체 'Azure Monitor 에이전트'로 마이그레이션해야 합니다. DeployIfNotExists, 사용 안 함 3.1.0
배포 - Windows 가상 머신에서 사용하도록 Log Analytics 확장 구성 가상 머신 이미지가 정의된 목록에 있고 확장이 설치되지 않은 경우 Windows 가상 머신용 Log Analytics 확장을 배포합니다. 사용 중단 알림: Log Analytics 에이전트는 사용 중단 과정에 있으며 2024년 8월 31일 이후에는 지원되지 않습니다. 이 날짜가 되기 전에 대체 'Azure Monitor 에이전트'로 마이그레이션해야 합니다. DeployIfNotExists, 사용 안 함 3.1.0
Windows Server용 기본 Microsoft IaaSAntimalware 확장 배포 이 정책은 VM이 맬웨어 방지 프로그램 확장으로 구성되지 않은 경우 기본 구성으로 Microsoft IaaSAntimalware 확장을 배포합니다. deployIfNotExists 1.1.0
Linux 가상 머신 확장 집합용 Dependency Agent 배포 VM 이미지(OS)가 정의된 목록에 있고 에이전트가 설치되지 않은 경우 Linux 가상 머신 확장 집합용 Dependency Agent를 배포합니다. 참고: 확장 집합 upgradePolicy를 수동으로 설정한 경우 이에 대한 업그레이드를 호출하여 집합의 모든 가상 머신에 확장을 적용해야 합니다. CLI에서는 az vmss update-instances입니다. deployIfNotExists 5.1.0
Azure Monitoring Agent 설정을 사용하여 Linux 가상 머신 확장 집합에 대한 종속성 에이전트 배포 VM 이미지(OS)가 정의된 목록에 있고 에이전트가 설치되지 않은 경우 Azure Monitoring Agent 설정을 사용하여 Linux 가상 머신 확장 집합용 종속성 에이전트를 배포합니다. 참고: 확장 집합 upgradePolicy를 수동으로 설정한 경우 이에 대한 업그레이드를 호출하여 집합의 모든 가상 머신에 확장을 적용해야 합니다. CLI에서는 az vmss update-instances입니다. DeployIfNotExists, 사용 안 함 3.2.0
Linux 가상 머신용 종속성 에이전트 배포 VM 이미지(OS)가 정의된 목록에 있고 에이전트가 설치되지 않은 경우 Linux 가상 머신용 종속성 에이전트를 배포합니다. deployIfNotExists 5.1.0
Azure Monitoring Agent 설정을 사용하여 Linux 가상 머신용 종속성 에이전트 배포 VM 이미지(OS)가 정의된 목록에 있고 에이전트가 설치되지 않은 경우 Azure Monitoring Agent 설정을 사용하여 Linux 가상 머신용 종속성 에이전트를 배포합니다. DeployIfNotExists, 사용 안 함 3.2.0
Azure Monitoring Agent 설정을 사용하여 Windows 가상 머신 확장 집합에서 사용하도록 종속성 에이전트 배포 가상 머신 이미지가 정의된 목록에 있고 에이전트가 설치되지 않은 경우 Azure Monitoring Agent 설정을 사용하여 Windows 가상 머신 확장 집합용 종속성 에이전트를 배포합니다. 확장 집합 upgradePolicy를 수동으로 설정한 경우 해당 확장 기능을 업데이트하여 집합의 모든 가상 머신에 적용해야 합니다. DeployIfNotExists, 사용 안 함 1.3.0
Azure Monitoring Agent 설정을 사용하여 Windows 가상 머신에서 사용하도록 종속성 에이전트 배포 가상 머신 이미지가 정의된 목록에 있고 에이전트가 설치되지 않은 경우 Azure Monitoring Agent 설정을 사용하여 Windows 가상 머신용 종속성 에이전트를 배포합니다. DeployIfNotExists, 사용 안 함 1.3.0
가상 머신 확장 집합용 Log Analytics 확장을 배포합니다. 아래 사용 중단 알림을 참조하세요. VM 이미지(OS)가 정의된 목록에 있고 확장이 설치되지 않은 경우 Linux 가상 머신 확장 집합에 대한 Log Analytics 확장을 배포합니다. 참고: 확장 집합 upgradePolicy를 수동으로 설정한 경우 이에 대한 업그레이드를 호출하여 집합의 모든 VM에 확장을 적용해야 합니다. CLI에서는 az vmss update-instances입니다. 사용 중단 알림: Log Analytics 에이전트는 2024년 8월 31일 이후에 지원되지 않습니다. 이 날짜가 되기 전에 대체 'Azure Monitor 에이전트'로 마이그레이션해야 합니다. deployIfNotExists 3.0.0
Linux VM용 Log Analytics 확장을 배포합니다. 아래 사용 중단 알림을 참조하세요. VM 이미지(OS)가 정의된 목록에 있고 확장이 설치되지 않은 경우 Linux VM용 Log Analytics 확장을 배포합니다. 사용 중단 알림: Log Analytics 에이전트는 사용 중단 과정에 있으며 2024년 8월 31일 이후에는 지원되지 않습니다. 이 날짜가 되기 전에 대체 'Azure Monitor 에이전트'로 마이그레이션해야 합니다. deployIfNotExists 3.0.0
Linux 게스트 구성 확장을 배포하여 Linux VM에서 게스트 구성 할당을 사용하도록 설정 이 정책은 게스트 구성에서 지원되는 Azure에서 호스트되는 Linux 가상 머신에 Linux 게스트 구성 확장을 배포합니다. Linux 게스트 구성 확장은 모든 Linux 게스트 구성 할당의 필수 조건이며 Linux 게스트 구성 정책 정의를 사용하기 전에 머신에 배포해야 합니다. 게스트 구성에 대한 자세한 내용은 https://aka.ms/gcpol을 방문하세요. deployIfNotExists 3.1.0
Windows 게스트 구성 확장을 배포하여 Windows VM에서 게스트 구성 할당을 사용하도록 설정 이 정책은 게스트 구성에서 지원되는 Azure에서 호스트되는 Windows 가상 머신에 Windows 게스트 구성 확장을 배포합니다. Windows 게스트 구성 확장은 모든 Windows 게스트 구성 할당의 필수 조건이며 Windows 게스트 구성 정책 정의를 사용하기 전에 머신에 배포해야 합니다. 게스트 구성에 대한 자세한 내용은 https://aka.ms/gcpol을 방문하세요. deployIfNotExists 1.2.0
디스크 액세스 리소스는 프라이빗 링크를 사용해야 함 Azure Private Link를 통해 원본 또는 대상의 공용 IP 주소가 없어도 Azure 서비스에 가상 네트워크를 연결할 수 있습니다. Private Link 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 프라이빗 엔드포인트를 diskAccesses에 매핑하면 데이터 누출 위험이 줄어듭니다. https://aka.ms/disksprivatelinksdoc에서 프라이빗 링크에 대해 자세히 알아보세요. AuditIfNotExists, 사용 안 함 1.0.0
디스크 및 OS 이미지는 TrustedLaunch를 지원해야 함 TrustedLaunch는 이를 지원하기 위해 OS 디스크 및 OS 이미지가 필요한 가상 머신의 보안을 개선합니다(Gen 2). TrustedLaunch에 대해 자세히 알아보려면 https://aka.ms/trustedlaunch를 참조하세요. 감사, 사용 안 함 1.0.0
머신에서 엔드포인트 보호 상태 문제를 해결해야 함 가상 머신의 엔드포인트 보호 상태 문제를 해결하여 최신 위협 및 취약성으로부터 보호합니다. Azure Security Center 지원 엔드포인트 보호 솔루션은 여기(https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions)에 설명되어 있습니다. 엔드포인트 보호 평가는 여기(https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection)에 설명되어 있습니다. AuditIfNotExists, 사용 안 함 1.0.0
머신에 Endpoint Protection을 설치해야 함 위협 및 취약성으로부터 머신을 보호하려면 지원되는 엔드포인트 보호 솔루션을 설치합니다. AuditIfNotExists, 사용 안 함 1.0.0
가상 머신 확장 집합에 Endpoint Protection 솔루션을 설치해야 합니다. 가상 머신 확장 집합에서 엔드포인트 보호 솔루션의 존재 및 상태를 감사하여 위협 및 취약성으로부터 보호합니다. AuditIfNotExists, 사용 안 함 3.0.0
머신에 게스트 구성 확장을 설치해야 함 머신의 게스트 내 설정을 안전하게 구성하려면 게스트 구성 확장을 설치합니다. 확장에서 모니터링하는 게스트 내 설정에는 운영 체제 구성, 애플리케이션 구성 또는 현재 상태 및 환경 설정이 포함됩니다. 설치되면 'Windows Exploit Guard를 사용하도록 설정해야 합니다'와 같은 게스트 내 정책을 사용할 수 있습니다. https://aka.ms/gcpol에서 자세히 알아보세요. AuditIfNotExists, 사용 안 함 1.0.3
Windows Server Azure Edition VM에 핫패치를 사용하도록 설정해야 합니다. 핫패치로 다시 부팅을 최소화하고 업데이트를 빠르게 설치합니다. https://docs.microsoft.com/azure/automanage/automanage-hotpatch에서 자세히 알아보세요. 감사, 거부, 사용 안 함 1.0.0
네트워크 보안 그룹을 사용하여 인터넷 연결 가상 머신을 보호해야 함 NSG(네트워크 보안 그룹)를 통해 가상 머신에 대한 액세스를 제한하여 잠재적인 위협으로부터 가상 머신을 보호합니다. https://aka.ms/nsg-doc에서 NSG를 통한 트래픽 제어에 대해 자세히 알아보기 AuditIfNotExists, 사용 안 함 3.0.0
가상 머신에서 IP 전달을 사용하지 않도록 설정해야 함 가상 머신의 NIC에서 IP 전달을 사용하도록 설정하면 머신이 다른 대상으로 주소가 지정된 트래픽을 수신할 수 있습니다. IP 전달은 거의 필요하지 않으므로(예: VM을 네트워크 가상 어플라이언스로 사용하는 경우), 네트워크 보안 팀에서 검토해야 합니다. AuditIfNotExists, 사용 안 함 3.0.0
Linux 머신은 Azure 컴퓨팅 보안 기준의 요구 사항을 충족해야 함 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. Azure 컴퓨팅 보안 기준의 권장 사항 중 하나에 맞게 올바르게 구성되지 않은 머신은 비규격입니다. AuditIfNotExists, 사용 안 함 2.2.0
Linux 머신에는 허용되는 로컬 계정만 있어야 함 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. Azure Active Directory를 사용한 사용자 계정 관리는 ID 관리의 모범 사례입니다. 로컬 머신 계정을 줄이면 중앙 시스템 외부에서 관리되는 ID의 확산을 방지할 수 있습니다. 정책 매개 변수에 나열되지 않고 사용하도록 설정된 로컬 사용자 계정이 있는 경우 머신은 비규격입니다. AuditIfNotExists, 사용 안 함 2.2.0
Linux 가상 머신 확장 집합에는 Azure Monitor 에이전트가 설치되어 있어야 함 배포된 Azure Monitor 에이전트를 통해 Linux 가상 머신 확장 집합을 모니터링하고 보호해야 합니다. Azure Monitor 에이전트는 게스트 OS에서 원격 분석 데이터를 수집합니다. 이 정책은 지원되는 지역에서 지원되는 OS 이미지가 있는 가상 머신 확장 집합에 대한 감사를 수행합니다. https://aka.ms/AMAOverview에서 자세한 내용을 알아보세요. AuditIfNotExists, 사용 안 함 3.3.0
Linux 가상 머신은 Azure Disk Encryption 또는 EncryptionAtHost를 활성화해야 함 가상 머신의 OS 및 데이터 디스크는 기본적으로 플랫폼 관리형 키를 사용하여 저장 시 암호화됩니다. 리소스 디스크(임시 디스크), 데이터 캐시, 컴퓨팅 리소스와 스토리지 리소스 사이의 데이터 흐름은 암호화되지 않습니다. Azure Disk Encryption 또는 EncryptionAtHost를 사용하여 문제를 수정합니다. 암호화 제품을 비교하려면 https://aka.ms/diskencryptioncomparison을 방문하세요. 이 정책을 사용하려면 정책 할당 범위에 두 가지 필수 구성 요소를 배포해야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. AuditIfNotExists, 사용 안 함 1.2.1
Linux 가상 머신에는 Azure Monitor 에이전트가 설치되어 있어야 함 배포된 Azure Monitor 에이전트를 통해 Linux Virtual Machines을 모니터링하고 보호해야 합니다. Azure Monitor 에이전트는 게스트 OS에서 원격 분석 데이터를 수집합니다. 이 정책은 지원되는 지역에서 지원되는 OS 이미지가 있는 가상 머신에 대한 감사를 수행합니다. https://aka.ms/AMAOverview에서 자세한 내용을 알아보세요. AuditIfNotExists, 사용 안 함 3.3.0
Linux 머신에서 로컬 인증 방법을 사용하지 않도록 설정해야 합니다. 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. Linux 서버에서 로컬 인증 방법을 사용하지 않도록 설정하지 않은 경우 컴퓨터는 호환되지 않습니다. 이는 AAD(Azure Active Directory) 계정 또는 이 정책에 의해 명시적으로 허용된 사용자 목록에서만 Linux 서버에 액세스할 수 있는지 유효성을 검사하여 전반적인 보안 태세를 개선합니다. AuditIfNotExists, 사용 안 함 1.2.0-preview
Windows 서버에서 로컬 인증 방법을 사용하지 않도록 설정해야 합니다. 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. Windows 서버에서 로컬 인증 방법을 사용하지 않도록 설정하지 않은 경우 컴퓨터는 호환되지 않습니다. 이는 AAD(Azure Active Directory) 계정 또는 이 정책에 의해 명시적으로 허용된 사용자 목록에서만 Windows 서버에 액세스할 수 있는지 유효성을 검사하여 전반적인 보안 태세를 개선합니다. AuditIfNotExists, 사용 안 함 1.0.0 - 미리 보기
Cloud Services(추가 지원) 역할 인스턴스에 Log Analytics 에이전트를 설치해야 함 Security Center는 Cloud Services(추가 지원) 역할 인스턴스에서 데이터를 수집하여 보안 취약성 및 위협을 모니터링합니다. AuditIfNotExists, 사용 안 함 2.0.0
가상 머신 확장 집합에서 나열된 가상 머신 이미지의 Log Analytics 확장을 사용하도록 설정해야 함 가상 머신 이미지가 정의된 목록에 없고 확장이 설치되어 있지 않은 경우 가상 머신 확장 집합을 비규격으로 보고합니다. AuditIfNotExists, 사용 안 함 2.0.1
누락된 시스템 업데이트가 있는지 주기적으로 확인하도록 컴퓨터를 구성해야 함 누락된 시스템 업데이트에 대한 정기 평가가 24시간마다 자동으로 트리거되도록 하려면 AssessmentMode 속성을 'AutomaticByPlatform'으로 설정해야 합니다. Windows: https://aka.ms/computevm-windowspatchassessmentmode, Linux: https://aka.ms/computevm-linuxpatchassessmentmode의 AssessmentMode 속성에 대해 자세히 알아봅니다. 감사, 거부, 사용 안 함 3.7.0
머신에서 발견한 비밀을 해결해야 합니다. 가상 머신을 감사하여 가상 머신의 비밀 검사 솔루션에서 발견된 비밀이 포함되어 있는지 여부를 검색합니다. AuditIfNotExists, 사용 안 함 1.0.2
관리 디스크는 플랫폼 관리형 및 고객 관리형 키를 둘 다 사용하여 이중 암호화해야 함 특정 암호화 알고리즘, 구현 또는 손상되는 키와 연결된 위험에 관해 우려하는 높은 수준의 보안을 중요시하는 고객은 플랫폼 관리형 암호화 키를 사용하는 인프라 계층에서 다른 암호화 알고리즘/모드를 사용하는 추가적인 암호화 계층을 선택할 수 있습니다. 이중 암호화를 사용하려면 디스크 암호화 집합이 필요합니다. https://aka.ms/disks-doubleEncryption에서 자세히 알아보세요. 감사, 거부, 사용 안 함 1.0.0
관리 디스크는 공용 네트워크 액세스를 사용하지 않도록 설정해야 함 공용 네트워크 액세스를 사용하지 않도록 설정하면 관리 디스크가 공용 인터넷에 노출되지 않도록 하여 보안이 향상됩니다. 프라이빗 엔드포인트를 만들면 관리 디스크의 노출을 제한할 수 있습니다. https://aka.ms/disksprivatelinksdoc에서 자세히 알아보세요. 감사, 사용 안 함 2.0.0
관리 디스크는 고객 관리형 키 암호화에 대해 디스크 암호화 집합의 특정 세트를 사용해야 함 특정 디스크 암호화 집합 세트를 관리 디스크와 함께 사용하도록 설정하면 미사용 암호화에 사용되는 키를 제어할 수 있습니다. 허용되는 암호화된 집합을 선택할 수 있으며 다른 모든 항목은 디스크에 연결될 때 거부됩니다. https://aka.ms/disks-cmk에서 자세히 알아보세요. 감사, 거부, 사용 안 함 2.0.0
가상 머신의 관리 포트는 Just-In-Time 네트워크 액세스 제어로 보호해야 함 가능한 네트워크 JIT(Just In Time) 액세스는 Azure Security Center에서 권장 사항으로 모니터링됩니다. AuditIfNotExists, 사용 안 함 3.0.0
가상 머신에서 관리 포트를 닫아야 합니다. 열려 있는 원격 관리 포트는 위험도가 높은 인터넷 기반 공격에 VM을 노출시킵니다. 이러한 공격은 자격 증명을 무차별적으로 대입하여 머신에 대한 관리자 액세스 권한을 획득하려고 시도합니다. AuditIfNotExists, 사용 안 함 3.0.0
보호 서명을 자동으로 업데이트하려면 Azure용 Microsoft Antimalware를 구성해야 함 이 정책은 Microsoft Antimalware 보호 서명의 자동 업데이트로 구성되지 않은 Windows 가상 머신을 감사합니다. AuditIfNotExists, 사용 안 함 1.0.0
Microsoft IaaSAntimalware 확장을 Windows Server에 배포해야 함 이 정책은 Microsoft IaaSAntimalware 확장이 배포되지 않은 Windows Server VM을 감사합니다. AuditIfNotExists, 사용 안 함 1.1.0
Azure Security Center에서 누락된 Endpoint Protection 모니터링 Endpoint Protection 에이전트가 설치되어 있지 않은 서버는 Azure Security Center에서 권장 사항으로 모니터링됩니다. AuditIfNotExists, 사용 안 함 3.0.0
네트워크 보안 그룹을 사용하여 비인터넷 연결 가상 머신을 보호해야 함 NSG(네트워크 보안 그룹)를 통해 액세스를 제한하여 잠재적인 위협으로부터 비인터넷 연결 가상 머신을 보호합니다. https://aka.ms/nsg-doc에서 NSG를 통한 트래픽 제어에 대해 자세히 알아보기 AuditIfNotExists, 사용 안 함 3.0.0
승인된 VM 확장만 설치해야 함 이 정책은 승인되지 않은 가상 머신 확장을 관리합니다. 감사, 거부, 사용 안 함 1.0.0
OS 및 데이터 디스크는 고객 관리형 키로 암호화해야 함 고객 관리형 키를 사용하여 관리 디스크 콘텐츠의 미사용 데이터 암호화를 관리합니다. 기본적으로 미사용 데이터는 플랫폼 관리형 키를 사용하여 암호화되지만, 일반적으로 규정 준수 표준을 충족하려면 고객 관리형 키가 필요합니다. 고객 관리형 키를 사용하면 사용자가 만들고 소유한 Azure Key Vault 키를 사용하여 데이터를 암호화할 수 있습니다. 순환 및 관리를 포함하여 키의 수명 주기를 고객이 모두 제어하고 책임져야 합니다. https://aka.ms/disks-cmk에서 자세히 알아보세요. 감사, 거부, 사용 안 함 3.0.0
게스트 구성 할당에 프라이빗 엔드포인트를 사용해야 함 프라이빗 엔드포인트 연결은 가상 머신에 대한 게스트 구성에 프라이빗 연결을 사용하도록 설정하여 보안 통신을 강화합니다. 'EnablePrivateNetworkGC' 태그가 있는 경우를 제외하고는 가상 머신은 호환되지 않습니다. 이 태그는 Virtual Machines에 대한 게스트 구성에 대해 프라이빗 연결을 통해 보안 통신을 적용합니다. 프라이빗 연결은 알려진 네트워크에서 들어오는 트래픽에 대한 액세스를 제한하고 Azure 내부를 비롯한 다른 IP 주소의 액세스를 차단합니다. 감사, 거부, 사용 안 함 1.1.0
디스크 또는 스냅샷을 내보내거나 업로드할 때 인증을 요구하여 데이터를 보호합니다. 내보내기/업로드 URL을 사용하는 경우 시스템은 사용자에게 Azure Active Directory에 ID가 있는지와 데이터를 내보내고 업로드하는 데 필요한 권한이 있는지 확인합니다. aka.ms/DisksAzureADAuth를 참조하세요. 수정, 사용 안 함 1.0.0
Virtual Machine Scale Sets에 자동 OS 이미지 패치 필요 이 정책은 매달 최신 보안 패치를 안전하게 적용하여 항상 Virtual Machines의 보안을 유지하도록 Virtual Machine Scale Sets에 자동 OS 이미지 패치를 사용하도록 설정합니다. deny 1.0.0
Azure 업데이트 관리자를 사용하여 되풀이 업데이트 예약 Azure에서 Azure 업데이트 관리자를 사용하여 반복적인 배포 일정을 저장하여 Azure, 온-프레미스 환경, Azure Arc 지원 서버를 사용하여 연결된 다른 클라우드 환경에서 Windows Server 및 Linux 컴퓨터에 대한 운영 체제 업데이트를 설치할 수 있습니다. 또한 이 정책은 Azure Virtual Machine의 패치 모드도 ‘AutomaticByPlatform’으로 변경합니다. 자세히 보기: https://aka.ms/umc-scheduled-patching DeployIfNotExists, 사용 안 함 3.12.0
컴퓨터의 SQL Server는 발견한 취약성을 해결해야 함 SQL 취약성 평가는 데이터베이스를 검사하여 보안 취약성을 찾아내고, 구성 오류, 과도한 권한, 보호되지 않는 중요한 데이터 등과 같이 모범 사례를 따르지 않는 부분을 공개합니다. 발견된 취약성을 해결하면 데이터베이스 보안 상태가 크게 향상될 수 있습니다. AuditIfNotExists, 사용 안 함 1.0.0
컴퓨터에 시스템 업데이트를 설치해야 함(업데이트 센터에서 제공) 머신에 누락된 시스템, 보안 및 중요 업데이트가 있습니다. 소프트웨어 업데이트에는 보안 허점을 메우기 위한 중요한 패치가 포함된 경우가 많습니다. 이러한 허점은 맬웨어 공격에 자주 악용되므로 소프트웨어를 업데이트된 상태로 유지하는 것이 중요합니다. 미적용 패치를 모두 설치하고 머신을 보호하려면 수정 단계를 수행합니다. AuditIfNotExists, 사용 안 함 1.0.1
레거시 Log Analytics 확장을 Linux 가상 머신 확장 집합에 설치하면 안 됨 레거시 에이전트에서 Azure Monitor 에이전트로 마이그레이션하는 마지막 단계로 레거시 Log Analytics 에이전트의 설치를 자동으로 방지합니다. 기존 레거시 확장을 제거한 후 이 정책은 Linux 가상 머신 확장 집합에서 레거시 에이전트 확장의 모든 향후 설치를 거부합니다. 자세한 정보: https://aka.ms/migratetoAMA 거부, 감사, 사용 안 함 1.0.0
레거시 Log Analytics 확장을 Linux 가상 머신에 설치하면 안 됨 레거시 에이전트에서 Azure Monitor 에이전트로 마이그레이션하는 마지막 단계로 레거시 Log Analytics 에이전트의 설치를 자동으로 방지합니다. 기존 레거시 확장을 제거한 후 이 정책은 Linux 가상 머신에서 레거시 에이전트 확장의 모든 향후 설치를 거부합니다. 자세한 정보: https://aka.ms/migratetoAMA 거부, 감사, 사용 안 함 1.0.0
레거시 Log Analytics 확장을 가상 머신 확장 집합에 설치하면 안 됨 레거시 에이전트에서 Azure Monitor 에이전트로 마이그레이션하는 마지막 단계로 레거시 Log Analytics 에이전트의 설치를 자동으로 방지합니다. 기존 레거시 확장을 제거한 후 이 정책은 Windows 가상 머신 확장 집합에서 레거시 에이전트 확장의 모든 향후 설치를 거부합니다. 자세한 정보: https://aka.ms/migratetoAMA 거부, 감사, 사용 안 함 1.0.0
레거시 Log Analytics 확장을 가상 머신에 설치하면 안 됨 레거시 에이전트에서 Azure Monitor 에이전트로 마이그레이션하는 마지막 단계로 레거시 Log Analytics 에이전트의 설치를 자동으로 방지합니다. 기존 레거시 확장을 제거한 후 이 정책은 Windows 가상 머신에서 레거시 에이전트 확장의 모든 향후 설치를 거부합니다. 자세한 정보: https://aka.ms/migratetoAMA 거부, 감사, 사용 안 함 1.0.0
Virtual Machine Scale Sets에 Log Analytics 확장을 설치해야 함 이 정책은 Log Analytics 확장이 설치되어 있지 않은 경우 모든 Windows/Linux Virtual Machine Scale Sets에 대해 감사를 수행합니다. AuditIfNotExists, 사용 안 함 1.0.1
가상 머신에는 TrustedLaunch가 사용하도록 설정되어 있어야 함 보안 강화를 위해 가상 머신에서 TrustedLaunch를 사용하도록 설정하고 TrustedLaunch를 지원하는 VM SKU(Gen 2)를 사용합니다. TrustedLaunch에 대해 자세히 알아보려면 https://learn.microsoft.com/en-us/azure/virtual-machines/trusted-launch를 참조하세요. 감사, 사용 안 함 1.0.0
가상 머신 및 가상 머신 확장 집합에서는 호스트에서 암호화를 사용하도록 설정해야 함 호스트에서 암호화를 사용하여 가상 머신 및 가상 머신 확장 집합 데이터에 대한 엔드투엔트 암호화를 가져옵니다. 호스트에서 암호화를 사용하면 임시 디스크 및 OS/데이터 디스크 캐시에 대해 미사용 데이터를 암호화할 수 있습니다. 임시 및 사용 후 삭제 OS 디스크는 호스트에서 암호화가 활성화될 때 플랫폼 관리형 키로 암호화됩니다. OS/데이터 디스크 캐시는 디스크에서 선택한 암호화 유형에 따라 고객 관리형 키 또는 플랫폼 관리형 키를 사용하여 미사용 데이터를 암호화합니다. https://aka.ms/vm-hbe에서 자세히 알아보세요. 감사, 거부, 사용 안 함 1.0.0
가상 머신을 지정된 작업 영역에 연결해야 함 정책/이니셔티브 할당에 지정된 Log Analytics 작업 영역에 로그하지 않는 경우 가상 머신을 비규격으로 보고합니다. AuditIfNotExists, 사용 안 함 1.1.0
가상 머신을 새 Azure Resource Manager 리소스로 마이그레이션해야 함 가상 머신에 새 Azure Resource Manager를 사용하여 더 강력한 액세스 제어(RBAC), 더 나은 감사, Azure Resource Manager 기반 배포 및 관리, 관리 ID 액세스, 비밀을 위해 키 자격 증명 모음에 액세스, Azure AD 기반 인증, 보다 쉬운 보안 관리를 위한 태그 및 리소스 그룹 지원과 같은 보안 기능 향상을 제공합니다. 감사, 거부, 사용 안 함 1.0.0
가상 머신에 Log Analytics 확장이 설치되어 있어야 함 이 정책은 Log Analytics 확장이 설치되어 있지 않은 경우 모든 Windows/Linux 가상 머신에 대해 감사를 수행합니다. AuditIfNotExists, 사용 안 함 1.0.1
가상 머신의 게스트 구성 확장은 시스템이 할당한 관리 ID를 사용하여 배포해야 함 게스트 구성 확장에는 시스템이 할당한 관리 ID가 필요합니다. 게스트 구성 확장이 설치되어 있지만 시스템이 할당한 관리 ID가 없는 경우 이 정책 범위에 속한 Azure 가상 머신은 비준수입니다. https://aka.ms/gcpol에서 자세히 알아보세요. AuditIfNotExists, 사용 안 함 1.0.1
머신 보안 구성의 취약성을 수정해야 합니다. 구성된 기준을 충족하지 않는 서버는 Azure Security Center에서 권장 사항으로 모니터링됩니다. AuditIfNotExists, 사용 안 함 3.1.0
Windows Defender Exploit Guard를 머신에서 사용하도록 설정해야 함 Windows Defender Exploit Guard는 Azure Policy 게스트 구성 에이전트를 사용합니다. Exploit Guard에는 다양한 공격 벡터에 대해 디바이스를 잠그고 맬웨어 공격에서 일반적으로 사용되는 동작을 차단하면서 기업에서 보안 위험과 생산성 요구 사항 사이의 균형을 맞출 수 있도록 설계된 네 가지 구성 요소가 있습니다(Windows에만 해당). AuditIfNotExists, 사용 안 함 2.0.0
Windows 컴퓨터는 보안 통신 프로토콜을 사용하도록 구성되어야 함 인터넷을 통해 전달되는 정보의 개인 정보를 보호하려면 컴퓨터에서 최신 버전의 업계 표준 암호화 프로토콜인 TLS(전송 계층 보안)를 사용해야 합니다. TLS는 컴퓨터 간 연결을 암호화하여 네트워크를 통한 통신을 보호합니다. AuditIfNotExists, 사용 안 함 4.1.1
Windows 머신은 하루 안에 보호 서명을 업데이트하도록 Windows Defender를 구성해야 함 새로 릴리스된 맬웨어를 적절하게 보호하려면 새로 릴리스된 맬웨어를 고려하도록 Windows Defender 보호 서명을 정기적으로 업데이트해야 합니다. 이 정책은 Arc 연결 서버에는 적용되지 않으며 게스트 구성 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 게스트 구성에 대한 자세한 내용은 https://aka.ms/gcpol을 방문하세요. AuditIfNotExists, 사용 안 함 1.0.1
Windows 시스템은 Windows Defender 실시간 보호를 사용해야 함 Windows 머신은 새로 릴리스된 맬웨어를 적절하게 보호하도록 Windows Defender의 실시간 보호를 사용해야 합니다. 이 정책은 Arc 연결 서버에는 적용되지 않으며 게스트 구성 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 게스트 구성에 대한 자세한 내용은 https://aka.ms/gcpol을 방문하세요. AuditIfNotExists, 사용 안 함 1.0.1
Windows 머신은 '관리 템플릿 - 제어판'에 대한 요구 사항을 충족해야 함 Windows 머신에는 입력 개인 설정 및 잠금 화면 활성화 방지를 위해 '관리 템플릿 - 제어판' 범주에 지정된 그룹 정책 설정이 있어야 합니다. 이 정책을 사용하려면 게스트 구성 필수 구성 요소가 정책 할당 범위에 배포되어 있어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. AuditIfNotExists, 사용 안 함 3.0.0
Windows 머신은 '관리 템플릿 - MSS(레거시)'에 대한 요구 사항을 충족해야 함 Windows 머신에는 자동 로그온, 화면 보호기, 네트워크 동작, 안전 DLL 및 이벤트 로그를 위해 '관리 템플릿 - MSS(레거시)' 범주에 지정된 그룹 정책 설정이 있어야 합니다. 이 정책을 사용하려면 게스트 구성 필수 구성 요소가 정책 할당 범위에 배포되어 있어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. AuditIfNotExists, 사용 안 함 3.0.0
Windows 머신은 '관리 템플릿 - 네트워크'에 대한 요구 사항을 충족해야 함 Windows 머신에는 게스트 로그온, 동시 연결, 네트워크 브리지, ICS 및 멀티캐스트 이름 확인을 위해 '관리 템플릿 - 네트워크' 범주에 지정된 그룹 정책 설정이 있어야 합니다. 이 정책을 사용하려면 게스트 구성 필수 구성 요소가 정책 할당 범위에 배포되어 있어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. AuditIfNotExists, 사용 안 함 3.0.0
Windows 머신은 '관리 템플릿 - 시스템'에 대한 요구 사항을 충족해야 함 Windows 머신에는 관리 환경과 원격 지원을 제어하는 설정을 위해 '관리 템플릿 - 시스템' 범주에 지정된 그룹 정책 설정이 있어야 합니다. 이 정책을 사용하려면 게스트 구성 필수 구성 요소가 정책 할당 범위에 배포되어 있어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. AuditIfNotExists, 사용 안 함 3.0.0
Windows 머신은 '보안 옵션 - 계정'에 대한 요구 사항을 충족해야 함 Windows 컴퓨터에는 빈 암호 및 게스트 계정 상태의 로컬 계정 사용을 제한하는 그룹 정책 설정이 '보안 옵션 - 계정' 범주에 지정되어야 합니다. 이 정책을 사용하려면 게스트 구성 필수 구성 요소가 정책 할당 범위에 배포되어 있어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. AuditIfNotExists, 사용 안 함 3.0.0
Windows 컴퓨터는 '보안 옵션 - 감사' 요구 사항을 충족해야 함 Windows 컴퓨터에는 감사 정책 하위 범주를 강제로 적용하고 보안 감사를 기록할 수 없는 경우 종료하는 그룹 정책 설정이 '보안 옵션 - 감사' 범주에 지정되어야 합니다. 이 정책을 사용하려면 게스트 구성 필수 구성 요소가 정책 할당 범위에 배포되어 있어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. AuditIfNotExists, 사용 안 함 3.0.0
Windows 머신은 '보안 옵션 - 디바이스'에 대한 요구 사항을 충족해야 함 Windows 머신에서 로그온하지 않고 도킹 해제, 프린트 드라이버 설치 및 미디어 포맷/꺼내기를 사용하려면 '보안 옵션 - 디바이스' 범주에 지정된 그룹 정책 설정이 있어야 합니다. 이 정책을 사용하려면 게스트 구성 필수 구성 요소가 정책 할당 범위에 배포되어 있어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. AuditIfNotExists, 사용 안 함 3.0.0
Windows 머신은 '보안 옵션 - 대화형 로그온'에 대한 요구 사항을 충족해야 함 Windows 머신에서 마지막 사용자 이름을 표시하고 ctrl-alt-del을 요구하려면 '보안 옵션 - 대화형 로그온' 범주에 지정된 그룹 정책 설정이 있어야 합니다. 이 정책을 사용하려면 게스트 구성 필수 구성 요소가 정책 할당 범위에 배포되었어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. AuditIfNotExists, 사용 안 함 3.0.0
Windows 머신은 '보안 옵션 - Microsoft 네트워크 클라이언트'에 대한 요구 사항을 충족해야 함 Windows 머신에서 Microsoft 네트워크 클라이언트/서버 및 SMB v1을 사용하려면 '보안 옵션 - Microsoft 네트워크 클라이언트' 범주에 지정된 그룹 정책 설정이 있어야 합니다. 이 정책을 사용하려면 게스트 구성 필수 구성 요소가 정책 할당 범위에 배포되어 있어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. AuditIfNotExists, 사용 안 함 3.0.0
Windows 컴퓨터는 '보안 옵션 - Microsoft 네트워크 서버' 요구 사항을 충족해야 함 Windows 컴퓨터에는 SMB v1 서버를 사용하지 않도록 설정하는 그룹 정책 설정이 '보안 옵션 - Microsoft 네트워크 서버' 범주에 지정되어야 합니다. 이 정책을 사용하려면 게스트 구성 필수 구성 요소가 정책 할당 범위에 배포되어 있어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. AuditIfNotExists, 사용 안 함 3.0.0
Windows 컴퓨터는 '보안 옵션 - 네트워크 액세스' 요구 사항을 충족해야 함 Windows 컴퓨터에는 익명 사용자, 로컬 계정 및 레지스트리에 대한 원격 액세스에 대한 액세스를 포함하는 그룹 정책 설정이 '보안 옵션 - 네트워크 액세스' 범주에 지정되어야 합니다. 이 정책을 사용하려면 게스트 구성 필수 구성 요소가 정책 할당 범위에 배포되어 있어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. AuditIfNotExists, 사용 안 함 3.0.0
Windows 머신은 '보안 옵션 - 네트워크 보안'에 대한 요구 사항을 충족해야 함 Windows 머신에는 로컬 시스템 동작, PKU2U, LAN Manager, LDAP 클라이언트 및 NTLM SSP를 포함하는 '보안 옵션 - 네트워크 보안' 범주에 지정된 그룹 정책 설정이 있어야 합니다. 이 정책을 사용하려면 게스트 구성 필수 구성 요소가 정책 할당 범위에 배포되어 있어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. AuditIfNotExists, 사용 안 함 3.0.0
Windows 컴퓨터는 '보안 옵션 - 복구 콘솔' 요구 사항을 충족해야 함 Windows 컴퓨터에는 모든 드라이브와 폴더에 대한 플로피 복사 및 액세스를 허용하는 그룹 정책 설정이 '보안 옵션 - 복구 콘솔' 범주에 지정되어야 합니다. 이 정책을 사용하려면 게스트 구성 필수 구성 요소가 정책 할당 범위에 배포되어 있어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. AuditIfNotExists, 사용 안 함 3.0.0
Windows 머신은 '보안 옵션 - 종료'에 대한 요구 사항을 충족해야 함 Windows 머신에서 로그온하거나 가상 메모리 페이지 파일을 지우지 않은 상태에서 종료를 허용하려면 '보안 옵션 - 종료' 범주에 지정된 그룹 정책 설정이 있어야 합니다. 이 정책을 사용하려면 게스트 구성 필수 구성 요소가 정책 할당 범위에 배포되어 있어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. AuditIfNotExists, 사용 안 함 3.0.0
Windows 머신은 '보안 옵션 - 시스템 개체'에 대한 요구 사항을 충족해야 함 Windows 머신에서 비 Windows 하위 시스템의 대/소문자 비구분 및 내부 시스템 개체의 권한을 얻으려면 '보안 옵션 - 시스템 개체' 범주에 지정된 그룹 정책 설정이 있어야 합니다. 이 정책을 사용하려면 게스트 구성 필수 구성 요소가 정책 할당 범위에 배포되어 있어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. AuditIfNotExists, 사용 안 함 3.0.0
Windows 머신은 '보안 옵션 - 시스템 설정'에 대한 요구 사항을 충족해야 함 Windows 머신에서 SRP 및 선택적 하위 시스템의 실행 파일에 대한 인증서 규칙을 사용하려면 '보안 옵션 - 시스템 설정' 범주에 지정된 그룹 정책 설정이 있어야 합니다. 이 정책을 사용하려면 게스트 구성 필수 구성 요소가 정책 할당 범위에 배포되어 있어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. AuditIfNotExists, 사용 안 함 3.0.0
Windows 컴퓨터는 '보안 옵션 - 사용자 계정 컨트롤' 요구 사항을 충족해야 함 Windows 컴퓨터에는 관리자 모드, 권한 상승 프롬프트 동작, 파일 및 레지스트리 쓰기 오류 가상화에 대한 그룹 정책 설정이 '보안 옵션 - 사용자 계정 컨트롤' 범주에 지정되어야 합니다. 이 정책을 사용하려면 게스트 구성 필수 구성 요소가 정책 할당 범위에 배포되어 있어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. AuditIfNotExists, 사용 안 함 3.0.0
Windows 머신은 '보안 설정 - 계정 정책'에 대한 요구 사항을 충족해야 함 Windows 머신에서 암호 기록, 사용 기간, 길이, 복잡성 및 해독 가능한 암호화를 사용한 암호를 저장하려면 '보안 설정 - 계정 정책' 범주에 지정된 그룹 정책 설정이 있어야 합니다. 이 정책을 사용하려면 게스트 구성 필수 구성 요소가 정책 할당 범위에 배포되어 있어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. AuditIfNotExists, 사용 안 함 3.0.0
Windows 머신은 '시스템 감사 정책 - 계정 로그온'의 요구 사항을 충족해야 함 Windows 머신에서 자격 증명 유효성 검사 및 기타 계정 로그온 이벤트를 감사하려면 '시스템 감사 정책 - 계정 로그온' 범주에 지정된 그룹 정책 설정이 있어야 합니다. 이 정책을 사용하려면 게스트 구성 필수 구성 요소가 정책 할당 범위에 배포되어 있어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. AuditIfNotExists, 사용 안 함 3.0.0
Windows 머신은 '시스템 감사 정책 - 계정 관리'의 요구 사항을 충족해야 함 Windows 컴퓨터에는 애플리케이션, 보안, 사용자 그룹 관리 및 기타 관리 이벤트를 감사하는 그룹 정책 설정이 '시스템 감사 정책 - 계정 관리' 범주에 지정되어야 합니다. 이 정책을 사용하려면 게스트 구성 필수 구성 요소가 정책 할당 범위에 배포되어 있어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. AuditIfNotExists, 사용 안 함 3.0.0
Windows 머신은 '시스템 감사 정책 - 상세 추적'에 대한 요구 사항을 충족해야 함 Windows 컴퓨터에는 DPAPI, 프로세스 만들기/종료, RPC 이벤트 및 PNP 활동을 감사하는 그룹 정책 설정이 '시스템 감사 정책 - 세부 추적' 범주에 지정되어야 합니다. 이 정책을 사용하려면 게스트 구성 필수 구성 요소가 정책 할당 범위에 배포되어 있어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. AuditIfNotExists, 사용 안 함 3.0.0
Windows 머신은 '시스템 감사 정책 - 로그온-로그오프'의 요구 사항을 충족해야 함 Windows 머신에서 IPSec, 네트워크 정책, 클레임, 계정 잠금, 그룹 멤버 자격 및 로그온/로그오프 이벤트를 감사하려면 '시스템 감사 정책 - 로그온-로그오프' 범주에 지정된 그룹 정책 설정이 있어야 합니다. 이 정책을 사용하려면 게스트 구성 필수 구성 요소가 정책 할당 범위에 배포되어 있어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. AuditIfNotExists, 사용 안 함 3.0.0
Windows 머신은 '시스템 감사 정책 - 개체 액세스'의 요구 사항을 충족해야 함 Windows 머신에서 파일, 레지스트리, SAM, 스토리지, 필터링, 커널 및 기타 시스템 유형을 감사하려면 '시스템 감사 정책 - 개체 액세스' 범주에 지정된 그룹 정책 설정이 있어야 합니다. 이 정책을 사용하려면 게스트 구성 필수 구성 요소가 정책 할당 범위에 배포되어 있어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. AuditIfNotExists, 사용 안 함 3.0.0
Windows 머신은 '시스템 감사 정책 - 정책 변경'의 요구 사항을 충족해야 함 Windows 머신에서 시스템 감사 정책에 대한 변경 내용을 감사하려면 '시스템 감사 정책 - 정책 변경' 범주에 지정된 그룹 정책 설정이 있어야 합니다. 이 정책을 사용하려면 게스트 구성 필수 구성 요소가 정책 할당 범위에 배포되어 있어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. AuditIfNotExists, 사용 안 함 3.0.0
Windows 머신은 '시스템 감사 정책 - 권한 사용'의 요구 사항을 충족해야 함 Windows 머신에서 중요하지 않은 권한 사용 및 기타 권한 사용을 감사하려면 '시스템 감사 정책 - 권한 사용' 범주에 지정된 그룹 정책 설정이 있어야 합니다. 이 정책을 사용하려면 게스트 구성 필수 구성 요소가 정책 할당 범위에 배포되어 있어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. AuditIfNotExists, 사용 안 함 3.0.0
Windows 머신은 '시스템 감사 정책 - 시스템'의 요구 사항을 충족해야 함 Windows 머신에서 IPsec 드라이버, 시스템 무결성, 시스템 확장, 상태 변경 및 기타 시스템 이벤트를 감사하려면 '시스템 감사 정책 - 시스템' 범주에 지정된 그룹 정책 설정이 있어야 합니다. 이 정책을 사용하려면 게스트 구성 필수 구성 요소가 정책 할당 범위에 배포되어 있어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. AuditIfNotExists, 사용 안 함 3.0.0
Windows 머신은 '사용자 권한 할당'에 대한 요구 사항을 충족해야 함 Windows 컴퓨터에는 로컬 로그온, RDP, 네트워크 액세스 및 기타 다양한 사용자 활동을 허용하는 그룹 정책 설정이 '사용자 권한 할당' 범주에 지정되어야 합니다. 이 정책을 사용하려면 게스트 구성 필수 구성 요소가 정책 할당 범위에 배포되어 있어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. AuditIfNotExists, 사용 안 함 3.0.0
Windows 머신은 'Windows 구성 요소'의 요구 사항을 충족해야 함 Windows 머신에서 기본 인증, 암호화된 트래픽, Microsoft 계정, 원격 분석, Cortana 및 기타 Windows 동작을 사용하려면 'Windows 구성 요소' 범주에 지정된 그룹 정책 설정이 있어야 합니다. 이 정책을 사용하려면 게스트 구성 필수 구성 요소가 정책 할당 범위에 배포되어 있어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. AuditIfNotExists, 사용 안 함 3.0.0
Windows 컴퓨터는 'Windows 방화벽 속성' 요구 사항을 충족해야 함 Windows 컴퓨터에는 방화벽 상태, 연결, 규칙 관리 및 알림에 대한 그룹 정책 설정이 'Windows 방화벽 속성' 범주에 지정되어야 합니다. 이 정책을 사용하려면 게스트 구성 필수 구성 요소가 정책 할당 범위에 배포되어 있어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. AuditIfNotExists, 사용 안 함 3.0.0
Windows 머신은 Azure 컴퓨팅 보안 기준의 요구 사항을 충족해야 함 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. Azure 컴퓨팅 보안 기준의 권장 사항 중 하나에 맞게 올바르게 구성되지 않은 머신은 비규격입니다. AuditIfNotExists, 사용 안 함 2.0.0
Windows 머신에는 허용되는 로컬 계정만 있어야 함 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. 이 정의는 Windows Server 2012 또는 2012 R2에서 지원되지 않습니다. Azure Active Directory를 사용한 사용자 계정 관리는 ID 관리의 모범 사례입니다. 로컬 머신 계정을 줄이면 중앙 시스템 외부에서 관리되는 ID의 확산을 방지할 수 있습니다. 정책 매개 변수에 나열되지 않고 사용하도록 설정된 로컬 사용자 계정이 있는 경우 머신은 비규격입니다. AuditIfNotExists, 사용 안 함 2.0.0
Windows 가상 머신 확장 집합에는 Azure Monitor 에이전트가 설치되어 있어야 함 배포된 Azure Monitor 에이전트를 통해 Windows 가상 머신 확장 집합을 모니터링하고 보호해야 합니다. Azure Monitor 에이전트는 게스트 OS에서 원격 분석 데이터를 수집합니다. 지원되는 OS와 지원되는 지역의 가상 머신 확장 집합은 Azure Monitor 에이전트 배포를 위해 모니터링됩니다. https://aka.ms/AMAOverview에서 자세한 내용을 알아보세요. AuditIfNotExists, 사용 안 함 3.2.0
Windows 가상 머신은 Azure Disk Encryption 또는 EncryptionAtHost를 활성화해야 함 가상 머신의 OS 및 데이터 디스크는 기본적으로 플랫폼 관리형 키를 사용하여 저장 시 암호화됩니다. 리소스 디스크(임시 디스크), 데이터 캐시, 컴퓨팅 리소스와 스토리지 리소스 사이의 데이터 흐름은 암호화되지 않습니다. Azure Disk Encryption 또는 EncryptionAtHost를 사용하여 문제를 수정합니다. 암호화 제품을 비교하려면 https://aka.ms/diskencryptioncomparison을 방문하세요. 이 정책을 사용하려면 정책 할당 범위에 두 가지 필수 구성 요소를 배포해야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. AuditIfNotExists, 사용 안 함 1.1.1
Windows 가상 머신에는 Azure Monitor 에이전트가 설치되어 있어야 함 배포된 Azure Monitor 에이전트를 통해 Windows Virtual Machines을 모니터링하고 보호해야 합니다. Azure Monitor 에이전트는 게스트 OS에서 원격 분석 데이터를 수집합니다. 지원되는 OS와 지원되는 지역의 Windows Virtual Machines은 Azure Monitor 에이전트 배포를 위해 모니터링됩니다. https://aka.ms/AMAOverview에서 자세한 내용을 알아보세요. AuditIfNotExists, 사용 안 함 3.2.0

Microsoft.VirtualMachineImages

속성
(Azure Portal)
설명 효과 버전
(GitHub)
VM Image Builder 템플릿은 프라이빗 링크를 사용해야 함 Azure Private Link를 통해 원본 또는 대상의 공용 IP 주소가 없어도 Azure 서비스에 가상 네트워크를 연결할 수 있습니다. Private Link 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 프라이빗 엔드포인트를 VM Image Builder에 매핑하여 리소스를 구성하면 데이터 누출 위험이 줄어듭니다. https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet에서 프라이빗 링크에 대해 자세히 알아보세요. 감사, 사용 안 함, 거부 1.1.0

Microsoft.ClassicCompute

속성
(Azure Portal)
설명 효과 버전
(GitHub)
취약성 평가 솔루션을 가상 머신에서 사용하도록 설정해야 함 가상 머신을 감사하여 지원되는 취약성 평가 솔루션을 실행하고 있는지 검색합니다. 모든 사이버 위험 및 보안 프로그램의 핵심 구성 요소는 취약성을 식별하고 분석하는 것입니다. Azure Security Center의 표준 가격 책정 계층에는 추가 비용 없이 가상 머신에 대한 취약성 검사가 포함됩니다. 또한 Security Center가 자동으로 도구를 배포할 수 있습니다. AuditIfNotExists, 사용 안 함 3.0.0
가상 머신과 연결된 네트워크 보안 그룹에서 모든 네트워크 포트를 제한해야 함 Azure Security Center에서 네트워크 보안 그룹의 인바운드 규칙 중 일부가 너무 관대하다는 사실을 식별했습니다. 인바운드 규칙에서 '모두' 또는 '인터넷' 범위에서 들어오는 액세스를 허용해서는 안 됩니다. 그러면 리소스가 공격자의 표적이 될 수 있습니다. AuditIfNotExists, 사용 안 함 3.0.0
재해 복구가 구성되어 있지 않은 가상 머신 감사 재해 복구가 구성되지 않은 가상 머신을 감사합니다. 재해 복구에 대한 자세한 내용은 https://aka.ms/asr-doc를 참조하세요. auditIfNotExists 1.0.0
머신에서 엔드포인트 보호 상태 문제를 해결해야 함 가상 머신의 엔드포인트 보호 상태 문제를 해결하여 최신 위협 및 취약성으로부터 보호합니다. Azure Security Center 지원 엔드포인트 보호 솔루션은 여기(https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions)에 설명되어 있습니다. 엔드포인트 보호 평가는 여기(https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection)에 설명되어 있습니다. AuditIfNotExists, 사용 안 함 1.0.0
머신에 Endpoint Protection을 설치해야 함 위협 및 취약성으로부터 머신을 보호하려면 지원되는 엔드포인트 보호 솔루션을 설치합니다. AuditIfNotExists, 사용 안 함 1.0.0
네트워크 보안 그룹을 사용하여 인터넷 연결 가상 머신을 보호해야 함 NSG(네트워크 보안 그룹)를 통해 가상 머신에 대한 액세스를 제한하여 잠재적인 위협으로부터 가상 머신을 보호합니다. https://aka.ms/nsg-doc에서 NSG를 통한 트래픽 제어에 대해 자세히 알아보기 AuditIfNotExists, 사용 안 함 3.0.0
가상 머신에서 IP 전달을 사용하지 않도록 설정해야 함 가상 머신의 NIC에서 IP 전달을 사용하도록 설정하면 머신이 다른 대상으로 주소가 지정된 트래픽을 수신할 수 있습니다. IP 전달은 거의 필요하지 않으므로(예: VM을 네트워크 가상 어플라이언스로 사용하는 경우), 네트워크 보안 팀에서 검토해야 합니다. AuditIfNotExists, 사용 안 함 3.0.0
머신에서 발견한 비밀을 해결해야 합니다. 가상 머신을 감사하여 가상 머신의 비밀 검사 솔루션에서 발견된 비밀이 포함되어 있는지 여부를 검색합니다. AuditIfNotExists, 사용 안 함 1.0.2
가상 머신에서 관리 포트를 닫아야 합니다. 열려 있는 원격 관리 포트는 위험도가 높은 인터넷 기반 공격에 VM을 노출시킵니다. 이러한 공격은 자격 증명을 무차별적으로 대입하여 머신에 대한 관리자 액세스 권한을 획득하려고 시도합니다. AuditIfNotExists, 사용 안 함 3.0.0
Azure Security Center에서 누락된 Endpoint Protection 모니터링 Endpoint Protection 에이전트가 설치되어 있지 않은 서버는 Azure Security Center에서 권장 사항으로 모니터링됩니다. AuditIfNotExists, 사용 안 함 3.0.0
네트워크 보안 그룹을 사용하여 비인터넷 연결 가상 머신을 보호해야 함 NSG(네트워크 보안 그룹)를 통해 액세스를 제한하여 잠재적인 위협으로부터 비인터넷 연결 가상 머신을 보호합니다. https://aka.ms/nsg-doc에서 NSG를 통한 트래픽 제어에 대해 자세히 알아보기 AuditIfNotExists, 사용 안 함 3.0.0
가상 머신을 새 Azure Resource Manager 리소스로 마이그레이션해야 함 가상 머신에 새 Azure Resource Manager를 사용하여 더 강력한 액세스 제어(RBAC), 더 나은 감사, Azure Resource Manager 기반 배포 및 관리, 관리 ID 액세스, 비밀을 위해 키 자격 증명 모음에 액세스, Azure AD 기반 인증, 보다 쉬운 보안 관리를 위한 태그 및 리소스 그룹 지원과 같은 보안 기능 향상을 제공합니다. 감사, 거부, 사용 안 함 1.0.0
머신 보안 구성의 취약성을 수정해야 합니다. 구성된 기준을 충족하지 않는 서버는 Azure Security Center에서 권장 사항으로 모니터링됩니다. AuditIfNotExists, 사용 안 함 3.1.0

다음 단계