Ingebouwde Azure Policy-definities voor Azure App Service
Deze pagina is een index van ingebouwde Azure Policy-beleidsdefinities voor Azure App Service. Zie Ingebouwde Azure Policy-definities voor aanvullende ingebouwde modules voor Azure Policy voor andere services.
De naam van elke ingebouwde beleidsdefinitie linkt naar de beleidsdefinitie in de Azure-portal. Gebruik de koppeling in de kolom Versie om de bron te bekijken op de Azure Policy GitHub-opslagplaats.
Azure App Service
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
[Preview]: App Service-plannen moeten zone-redundant zijn | App Service-plannen kunnen worden geconfigureerd als zone-redundant of niet. Wanneer de eigenschap zoneRedundant is ingesteld op false voor een App Service-plan, is deze niet geconfigureerd voor zoneredundantie. Met dit beleid wordt de zoneredundantieconfiguratie voor App Service-plannen geïdentificeerd en afgedwongen. | Controleren, Weigeren, Uitgeschakeld | 1.0.0-preview |
App Service-app-sites moeten worden geïnjecteerd in een virtueel netwerk | Het injecteren van App Service-apps in een virtueel netwerk ontgrendelt geavanceerde App Service-netwerk- en beveiligingsfuncties en biedt u meer controle over uw netwerkbeveiligingsconfiguratie. Zie voor meer informatie: https://docs.microsoft.com/azure/app-service/web-sites-integrate-with-vnet. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
App Service-app-sites moeten openbare netwerktoegang uitschakelen | Het uitschakelen van openbare netwerktoegang verbetert de beveiliging door ervoor te zorgen dat de App Service niet beschikbaar is op het openbare internet. Het maken van privé-eindpunten kan de blootstelling van een App Service beperken. Zie voor meer informatie: https://aka.ms/app-service-private-endpoint. | Controleren, uitgeschakeld, weigeren | 1.0.0 |
App Service-app-sites moeten configuratieroutering naar Azure Virtual Network inschakelen | Standaard wordt app-configuratie, zoals het ophalen van containerinstallatiekopieën en het koppelen van inhoudsopslag, niet gerouteerd via de integratie van het regionale virtuele netwerk. Met behulp van de API kunt u routeringsopties instellen op true, waardoor configuratieverkeer via het virtuele Azure-netwerk wordt ingeschakeld. Met deze instellingen kunnen functies zoals netwerkbeveiligingsgroepen en door de gebruiker gedefinieerde routes worden gebruikt en service-eindpunten privé zijn. U vindt meer informatie op https://aka.ms/appservice-vnet-configuration-routing. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
App Service-app-sites moeten uitgaand niet-RFC 1918-verkeer naar Azure Virtual Network inschakelen | Als er standaard regionale Azure Virtual Network-integratie (VNET) wordt gebruikt, routeert de app alleen RFC1918 verkeer naar dat respectieve virtuele netwerk. Als u de API gebruikt om 'vnetRouteAllEnabled' in te stellen op true, wordt al het uitgaande verkeer naar het virtuele Azure-netwerk ingeschakeld. Met deze instelling kunnen functies zoals netwerkbeveiligingsgroepen en door de gebruiker gedefinieerde routes worden gebruikt voor al het uitgaande verkeer van de App Service-app. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
App Service-app-sites moeten clientcertificaten (binnenkomende clientcertificaten) hebben ingeschakeld | Met clientcertificaten kan de app een certificaat aanvragen voor binnenkomende aanvragen. Alleen clients die een geldig certificaat hebben, kunnen de app bereiken. Dit beleid is van toepassing op apps met Http-versie ingesteld op 1.1. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
App Service-app-sites moeten lokale verificatiemethoden hebben uitgeschakeld voor FTP-implementaties | Het uitschakelen van lokale verificatiemethoden voor FTP-implementaties verbetert de beveiliging door ervoor te zorgen dat App Service-sites uitsluitend Microsoft Entra-identiteiten vereisen voor verificatie. Zie voor meer informatie: https://aka.ms/app-service-disable-basic-auth. | AuditIfNotExists, uitgeschakeld | 1.0.3 |
App Service-app-sites moeten lokale verificatiemethoden hebben uitgeschakeld voor SCM-site-implementaties | Het uitschakelen van lokale verificatiemethoden voor SCM-sites verbetert de beveiliging door ervoor te zorgen dat App Service-sites uitsluitend Microsoft Entra-identiteiten vereisen voor verificatie. Zie voor meer informatie: https://aka.ms/app-service-disable-basic-auth. | AuditIfNotExists, uitgeschakeld | 1.0.4 |
App Service-app-sites moeten externe foutopsporing uitschakelen | Voor externe foutopsporing moeten binnenkomende poorten worden geopend in een App Service-app. Externe foutopsporing moet worden uitgeschakeld. | AuditIfNotExists, uitgeschakeld | 1.0.1 |
App Service-app-sites moeten resourcelogboeken hebben ingeschakeld | Controleer het inschakelen van resourcelogboeken in de app. Hierdoor kunt u activiteitenpaden opnieuw maken voor onderzoeksdoeleinden als er een beveiligingsincident optreedt of uw netwerk is aangetast. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
App Service-app-sites mogen niet zijn geconfigureerd voor CORS, zodat elke resource toegang heeft tot uw apps | CorS (Cross-Origin Resource Sharing) mag niet alle domeinen toegang geven tot uw app. Sta alleen vereiste domeinen toe om te communiceren met uw app. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
App Service-app-sites mogen alleen toegankelijk zijn via HTTPS | Door HTTPS te gebruiken, weet u zeker dat server-/serviceverificatie wordt uitgevoerd en dat uw gegevens tijdens de overdracht zijn beschermd tegen aanvallen die meeluisteren in de netwerklaag. | Controleren, uitgeschakeld, weigeren | 2.0.0 |
App Service-app-sites mogen alleen FTPS vereisen | FTPS-afdwinging inschakelen voor verbeterde beveiliging. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
App Service-app-sites moeten een Azure-bestandsshare gebruiken voor de inhoudsmap | De inhoudsmap van een app moet zich op een Azure-bestandsshare bevinden. De opslagaccountgegevens voor de bestandsshare moeten worden opgegeven voordat er publicatieactiviteiten worden uitgevoerd. Raadpleeg https://go.microsoft.com/fwlink/?linkid=2151594voor meer informatie over het gebruik van Azure Files voor het hosten van app-service-inhoud. | Controle, uitgeschakeld | 1.0.0 |
App Service-app-sites moeten de nieuwste HTTP-versie gebruiken | Er worden regelmatig nieuwere versies uitgebracht voor HTTP, ofwel vanwege de beveiligingsfouten ofwel om extra functionaliteit toe te voegen. Het gebruik van de nieuwste HTTP-versie voor web-apps wordt aanbevolen om te profiteren van beveiligingsfixes, indien van toepassing, en/of nieuwe functies van de nieuwste versie. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
App Service-app-sites moeten beheerde identiteiten gebruiken | Een beheerde identiteit gebruiken voor verbeterde verificatiebeveiliging | AuditIfNotExists, uitgeschakeld | 1.0.0 |
App Service-app-sites moeten de nieuwste TLS-versie gebruiken | Regelmatig worden nieuwere versies voor TLS uitgebracht vanwege beveiligingsfouten, bevatten extra functionaliteit en verbeter de snelheid. Voer een upgrade uit naar de nieuwste TLS-versie voor App Service-apps om te profiteren van beveiligingsoplossingen, indien van toepassing, en/of nieuwe functies van de nieuwste versie. | AuditIfNotExists, uitgeschakeld | 1.1.0 |
App Service-app-sites die gebruikmaken van Java, moeten een opgegeven Java-versie gebruiken | Er worden regelmatig nieuwere versies uitgebracht voor Java-software, ofwel vanwege de beveiligingsfouten ofwel om extra functionaliteit toe te voegen. Het gebruik van de nieuwste Java-versie voor App Service-apps wordt aanbevolen om te profiteren van beveiligingsoplossingen, indien van toepassing, en/of nieuwe functies van de nieuwste versie. Dit beleid is alleen van toepassing op Linux-apps. Voor dit beleid moet u een Java-versie opgeven die voldoet aan uw vereisten. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
App Service-app-sites die PHP gebruiken, moeten een opgegeven PHP-versie gebruiken | Er worden regelmatig nieuwere versies uitgebracht voor PHP-software, ofwel vanwege de beveiligingsfouten ofwel om extra functionaliteit toe te voegen. Het gebruik van de nieuwste PHP-versie voor App Service-apps wordt aanbevolen om te profiteren van beveiligingsoplossingen, indien van toepassing, en/of nieuwe functies van de nieuwste versie. Dit beleid is alleen van toepassing op Linux-apps. Voor dit beleid moet u een PHP-versie opgeven die voldoet aan uw vereisten. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
App Service-app-sites die gebruikmaken van Python moeten een opgegeven Python-versie gebruiken | Er worden regelmatig nieuwere versies uitgebracht voor Python-software, ofwel vanwege de beveiligingsfouten ofwel om extra functionaliteit toe te voegen. Het gebruik van de nieuwste Python-versie voor App Service-apps wordt aanbevolen om te profiteren van beveiligingsoplossingen, indien van toepassing, en/of nieuwe functies van de nieuwste versie. Dit beleid is alleen van toepassing op Linux-apps. Voor dit beleid moet u een Python-versie opgeven die voldoet aan uw vereisten. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
App Service-apps moeten worden geïnjecteerd in een virtueel netwerk | Het injecteren van App Service-apps in een virtueel netwerk ontgrendelt geavanceerde App Service-netwerk- en beveiligingsfuncties en biedt u meer controle over uw netwerkbeveiligingsconfiguratie. Zie voor meer informatie: https://docs.microsoft.com/azure/app-service/web-sites-integrate-with-vnet. | Controleren, Weigeren, Uitgeschakeld | 3.0.0 |
App Service-apps moeten openbare netwerktoegang uitschakelen | Het uitschakelen van openbare netwerktoegang verbetert de beveiliging door ervoor te zorgen dat de App Service niet beschikbaar is op het openbare internet. Het maken van privé-eindpunten kan de blootstelling van een App Service beperken. Zie voor meer informatie: https://aka.ms/app-service-private-endpoint. | Controleren, uitgeschakeld, weigeren | 1.1.0 |
App Service-apps moeten configuratieroutering naar Azure Virtual Network inschakelen | Standaard wordt app-configuratie, zoals het ophalen van containerinstallatiekopieën en het koppelen van inhoudsopslag, niet gerouteerd via de integratie van het regionale virtuele netwerk. Met behulp van de API kunt u routeringsopties instellen op true, waardoor configuratieverkeer via het virtuele Azure-netwerk wordt ingeschakeld. Met deze instellingen kunnen functies zoals netwerkbeveiligingsgroepen en door de gebruiker gedefinieerde routes worden gebruikt en service-eindpunten privé zijn. U vindt meer informatie op https://aka.ms/appservice-vnet-configuration-routing. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
App Service-apps moeten uitgaand niet-RFC 1918-verkeer naar Azure Virtual Network inschakelen | Als er standaard regionale Azure Virtual Network-integratie (VNET) wordt gebruikt, routeert de app alleen RFC1918 verkeer naar dat respectieve virtuele netwerk. Als u de API gebruikt om 'vnetRouteAllEnabled' in te stellen op true, wordt al het uitgaande verkeer naar het virtuele Azure-netwerk ingeschakeld. Met deze instelling kunnen functies zoals netwerkbeveiligingsgroepen en door de gebruiker gedefinieerde routes worden gebruikt voor al het uitgaande verkeer van de App Service-app. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
App Service-apps moeten verificatie hebben ingeschakeld | Azure-app serviceverificatie is een functie die kan voorkomen dat anonieme HTTP-aanvragen de web-app bereiken of die tokens hebben voordat ze de web-app bereiken. | AuditIfNotExists, uitgeschakeld | 2.0.1 |
App Service-apps moeten clientcertificaten (binnenkomende clientcertificaten) hebben ingeschakeld | Met clientcertificaten kan de app een certificaat aanvragen voor binnenkomende aanvragen. Alleen clients die een geldig certificaat hebben, kunnen de app bereiken. Dit beleid is van toepassing op apps met Http-versie ingesteld op 1.1. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
App Service-apps moeten lokale verificatiemethoden hebben uitgeschakeld voor FTP-implementaties | Het uitschakelen van lokale verificatiemethoden voor FTP-implementaties verbetert de beveiliging door ervoor te zorgen dat App Services uitsluitend Microsoft Entra-identiteiten vereist voor verificatie. Zie voor meer informatie: https://aka.ms/app-service-disable-basic-auth. | AuditIfNotExists, uitgeschakeld | 1.0.3 |
App Service-apps moeten lokale verificatiemethoden hebben uitgeschakeld voor SCM-site-implementaties | Het uitschakelen van lokale verificatiemethoden voor SCM-sites verbetert de beveiliging door ervoor te zorgen dat App Services uitsluitend Microsoft Entra-identiteiten vereist voor verificatie. Zie voor meer informatie: https://aka.ms/app-service-disable-basic-auth. | AuditIfNotExists, uitgeschakeld | 1.0.3 |
App Service-apps moeten externe foutopsporing hebben uitgeschakeld | Voor externe foutopsporing moeten binnenkomende poorten worden geopend in een App Service-app. Externe foutopsporing moet worden uitgeschakeld. | AuditIfNotExists, uitgeschakeld | 2.0.0 |
App Service-apps moeten resourcelogboeken hebben ingeschakeld | Controleer het inschakelen van resourcelogboeken in de app. Hierdoor kunt u activiteitenpaden opnieuw maken voor onderzoeksdoeleinden als er een beveiligingsincident optreedt of uw netwerk is aangetast. | AuditIfNotExists, uitgeschakeld | 2.0.1 |
Voor App Service-apps mag CORS niet zijn geconfigureerd, zodat elke resource toegang heeft tot uw apps | CorS (Cross-Origin Resource Sharing) mag niet alle domeinen toegang geven tot uw app. Sta alleen vereiste domeinen toe om te communiceren met uw app. | AuditIfNotExists, uitgeschakeld | 2.0.0 |
App Service-apps mogen alleen toegankelijk zijn via HTTPS | Door HTTPS te gebruiken, weet u zeker dat server-/serviceverificatie wordt uitgevoerd en dat uw gegevens tijdens de overdracht zijn beschermd tegen aanvallen die meeluisteren in de netwerklaag. | Controleren, uitgeschakeld, weigeren | 4.0.0 |
App Service-apps mogen alleen FTPS vereisen | FTPS-afdwinging inschakelen voor verbeterde beveiliging. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
App Service-apps moeten een SKU gebruiken die ondersteuning biedt voor private link | Met ondersteunde SKU's kunt u met Azure Private Link uw virtuele netwerk verbinden met Azure-services zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te brengen aan apps, kunt u risico's voor gegevenslekken verminderen. Meer informatie over privékoppelingen vindt u op: https://aka.ms/private-link. | Controleren, Weigeren, Uitgeschakeld | 4.1.0 |
App Service-apps moeten een service-eindpunt voor een virtueel netwerk gebruiken | Gebruik service-eindpunten voor virtuele netwerken om de toegang tot uw app te beperken vanuit geselecteerde subnetten van een virtueel Azure-netwerk. Ga voor meer informatie over App Service-service-eindpunten naar https://aka.ms/appservice-vnet-service-endpoint. | AuditIfNotExists, uitgeschakeld | 2.0.1 |
App Service-apps moeten een Azure-bestandsshare gebruiken voor de inhoudsmap | De inhoudsmap van een app moet zich op een Azure-bestandsshare bevinden. De opslagaccountgegevens voor de bestandsshare moeten worden opgegeven voordat er publicatieactiviteiten worden uitgevoerd. Raadpleeg https://go.microsoft.com/fwlink/?linkid=2151594voor meer informatie over het gebruik van Azure Files voor het hosten van app-service-inhoud. | Controle, uitgeschakeld | 3.0.0 |
App Service-apps moeten de nieuwste HTTP-versie gebruiken | Er worden regelmatig nieuwere versies uitgebracht voor HTTP, ofwel vanwege de beveiligingsfouten ofwel om extra functionaliteit toe te voegen. Het gebruik van de nieuwste HTTP-versie voor web-apps wordt aanbevolen om te profiteren van beveiligingsfixes, indien van toepassing, en/of nieuwe functies van de nieuwste versie. | AuditIfNotExists, uitgeschakeld | 4.0.0 |
App Service-apps moeten beheerde identiteiten gebruiken | Een beheerde identiteit gebruiken voor verbeterde verificatiebeveiliging | AuditIfNotExists, uitgeschakeld | 3.0.0 |
App Service-apps moeten private link gebruiken | Met Azure Private Link kunt u uw virtuele netwerken verbinden met Azure-services zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te laten aan App Service, kunt u risico's voor gegevenslekken verminderen. Meer informatie over privékoppelingen vindt u op: https://aka.ms/private-link. | AuditIfNotExists, uitgeschakeld | 1.0.1 |
App Service-apps moeten de nieuwste TLS-versie gebruiken | Regelmatig worden nieuwere versies voor TLS uitgebracht vanwege beveiligingsfouten, bevatten extra functionaliteit en verbeter de snelheid. Voer een upgrade uit naar de nieuwste TLS-versie voor App Service-apps om te profiteren van beveiligingsoplossingen, indien van toepassing, en/of nieuwe functies van de nieuwste versie. | AuditIfNotExists, uitgeschakeld | 2.1.0 |
App Service-apps die gebruikmaken van Java, moeten een opgegeven Java-versie gebruiken | Er worden regelmatig nieuwere versies uitgebracht voor Java-software, ofwel vanwege de beveiligingsfouten ofwel om extra functionaliteit toe te voegen. Het gebruik van de nieuwste Java-versie voor App Service-apps wordt aanbevolen om te profiteren van beveiligingsoplossingen, indien van toepassing, en/of nieuwe functies van de nieuwste versie. Dit beleid is alleen van toepassing op Linux-apps. Voor dit beleid moet u een Java-versie opgeven die voldoet aan uw vereisten. | AuditIfNotExists, uitgeschakeld | 3.1.0 |
App Service-apps die PHP gebruiken, moeten een opgegeven PHP-versie gebruiken | Er worden regelmatig nieuwere versies uitgebracht voor PHP-software, ofwel vanwege de beveiligingsfouten ofwel om extra functionaliteit toe te voegen. Het gebruik van de nieuwste PHP-versie voor App Service-apps wordt aanbevolen om te profiteren van beveiligingsoplossingen, indien van toepassing, en/of nieuwe functies van de nieuwste versie. Dit beleid is alleen van toepassing op Linux-apps. Voor dit beleid moet u een PHP-versie opgeven die voldoet aan uw vereisten. | AuditIfNotExists, uitgeschakeld | 3.2.0 |
App Service-apps die gebruikmaken van Python, moeten een opgegeven Python-versie gebruiken | Er worden regelmatig nieuwere versies uitgebracht voor Python-software, ofwel vanwege de beveiligingsfouten ofwel om extra functionaliteit toe te voegen. Het gebruik van de nieuwste Python-versie voor App Service-apps wordt aanbevolen om te profiteren van beveiligingsoplossingen, indien van toepassing, en/of nieuwe functies van de nieuwste versie. Dit beleid is alleen van toepassing op Linux-apps. Voor dit beleid moet u een Python-versie opgeven die voldoet aan uw vereisten. | AuditIfNotExists, uitgeschakeld | 4.1.0 |
App Service Environment-apps mogen niet bereikbaar zijn via openbaar internet | Om ervoor te zorgen dat apps die zijn geïmplementeerd in een App Service Environment niet toegankelijk zijn via openbaar internet, moet u App Service Environment implementeren met een IP-adres in het virtuele netwerk. Als u het IP-adres wilt instellen op een IP van een virtueel netwerk, moet de App Service-omgeving worden geïmplementeerd met een interne load balancer. | Controleren, Weigeren, Uitgeschakeld | 3.0.0 |
App Service Environment moet worden geconfigureerd met sterkste TLS-coderingssuites | De twee meest minimale en sterkste coderingssuites die nodig zijn om App Service Environment correct te laten functioneren, zijn: TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 en TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256. | Controle, uitgeschakeld | 1.0.0 |
App Service Environment moet worden ingericht met de nieuwste versies | Alleen toestaan dat App Service Environment versie 2 of versie 3 wordt ingericht. Oudere versies van App Service Environment vereisen handmatig beheer van Azure-resources en hebben grotere schaalbeperkingen. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
Voor App Service Environment moet interne versleuteling zijn ingeschakeld | Als u InternalEncryption instelt op true, worden het paginabestand, werkschijven en intern netwerkverkeer tussen de front-ends en werkrollen in een App Service-omgeving versleuteld. Raadpleeg voor https://docs.microsoft.com/azure/app-service/environment/app-service-app-service-environment-custom-settings#enable-internal-encryptionmeer informatie. | Controle, uitgeschakeld | 1.0.1 |
App Service Environment moet TLS 1.0 en 1.1 hebben uitgeschakeld | TLS 1.0 en 1.1 zijn verouderde protocollen die geen ondersteuning bieden voor moderne cryptografische algoritmen. Door binnenkomend TLS 1.0- en 1.1-verkeer uit te schakelen, kunt u apps in een App Service-omgeving beveiligen. | Controleren, Weigeren, Uitgeschakeld | 2.0.1 |
App Service-app-sites configureren om lokale verificatie voor FTP-implementaties uit te schakelen | Het uitschakelen van lokale verificatiemethoden voor FTP-implementaties verbetert de beveiliging door ervoor te zorgen dat App Service-sites uitsluitend Microsoft Entra-identiteiten vereisen voor verificatie. Zie voor meer informatie: https://aka.ms/app-service-disable-basic-auth. | DeployIfNotExists, uitgeschakeld | 1.0.3 |
App Service-app-sites configureren om lokale verificatie voor SCM-sites uit te schakelen | Het uitschakelen van lokale verificatiemethoden voor SCM-sites verbetert de beveiliging door ervoor te zorgen dat App Service-sites uitsluitend Microsoft Entra-identiteiten vereisen voor verificatie. Zie voor meer informatie: https://aka.ms/app-service-disable-basic-auth. | DeployIfNotExists, uitgeschakeld | 1.0.3 |
App Service-app-sites configureren om openbare netwerktoegang uit te schakelen | Schakel openbare netwerktoegang voor uw App Services uit, zodat deze niet toegankelijk is via het openbare internet. Dit kan de risico's voor gegevenslekken verminderen. Zie voor meer informatie: https://aka.ms/app-service-private-endpoint. | Wijzigen, uitgeschakeld | 1.1.0 |
App Service-app-sites configureren om alleen toegankelijk te zijn via HTTPS | Door HTTPS te gebruiken, weet u zeker dat server-/serviceverificatie wordt uitgevoerd en dat uw gegevens tijdens de overdracht zijn beschermd tegen aanvallen die meeluisteren in de netwerklaag. | Wijzigen, uitgeschakeld | 2.0.0 |
App Service-app-sites configureren om externe foutopsporing uit te schakelen | Voor externe foutopsporing moeten binnenkomende poorten worden geopend in een App Service-app. Externe foutopsporing moet worden uitgeschakeld. | DeployIfNotExists, uitgeschakeld | 1.1.0 |
App Service-app-sites configureren voor het gebruik van de nieuwste TLS-versie | Regelmatig worden nieuwere versies voor TLS uitgebracht vanwege beveiligingsfouten, bevatten extra functionaliteit en verbeter de snelheid. Voer een upgrade uit naar de nieuwste TLS-versie voor App Service-apps om te profiteren van beveiligingsoplossingen, indien van toepassing, en/of nieuwe functies van de nieuwste versie. | DeployIfNotExists, uitgeschakeld | 1.2.0 |
App Service-apps configureren om lokale verificatie voor FTP-implementaties uit te schakelen | Het uitschakelen van lokale verificatiemethoden voor FTP-implementaties verbetert de beveiliging door ervoor te zorgen dat App Services uitsluitend Microsoft Entra-identiteiten vereist voor verificatie. Zie voor meer informatie: https://aka.ms/app-service-disable-basic-auth. | DeployIfNotExists, uitgeschakeld | 1.0.3 |
App Service-apps configureren om lokale verificatie voor SCM-sites uit te schakelen | Het uitschakelen van lokale verificatiemethoden voor SCM-sites verbetert de beveiliging door ervoor te zorgen dat App Services uitsluitend Microsoft Entra-identiteiten vereist voor verificatie. Zie voor meer informatie: https://aka.ms/app-service-disable-basic-auth. | DeployIfNotExists, uitgeschakeld | 1.0.3 |
App Service-apps configureren om openbare netwerktoegang uit te schakelen | Schakel openbare netwerktoegang voor uw App Services uit, zodat deze niet toegankelijk is via het openbare internet. Dit kan de risico's voor gegevenslekken verminderen. Zie voor meer informatie: https://aka.ms/app-service-private-endpoint. | Wijzigen, uitgeschakeld | 1.1.0 |
App Service-apps configureren om alleen toegankelijk te zijn via HTTPS | Door HTTPS te gebruiken, weet u zeker dat server-/serviceverificatie wordt uitgevoerd en dat uw gegevens tijdens de overdracht zijn beschermd tegen aanvallen die meeluisteren in de netwerklaag. | Wijzigen, uitgeschakeld | 2.0.0 |
App Service-apps configureren om externe foutopsporing uit te schakelen | Voor externe foutopsporing moeten binnenkomende poorten worden geopend in een App Service-app. Externe foutopsporing moet worden uitgeschakeld. | DeployIfNotExists, uitgeschakeld | 1.0.0 |
App Service-apps configureren voor het gebruik van de nieuwste TLS-versie | Regelmatig worden nieuwere versies voor TLS uitgebracht vanwege beveiligingsfouten, bevatten extra functionaliteit en verbeter de snelheid. Voer een upgrade uit naar de nieuwste TLS-versie voor App Service-apps om te profiteren van beveiligingsoplossingen, indien van toepassing, en/of nieuwe functies van de nieuwste versie. | DeployIfNotExists, uitgeschakeld | 1.1.0 |
Functie-app-sites configureren om openbare netwerktoegang uit te schakelen | Schakel openbare netwerktoegang voor uw Functie-apps uit, zodat deze niet toegankelijk is via het openbare internet. Dit kan de risico's voor gegevenslekken verminderen. Zie voor meer informatie: https://aka.ms/app-service-private-endpoint. | Wijzigen, uitgeschakeld | 1.1.0 |
Functie-app-sites configureren om alleen toegankelijk te zijn via HTTPS | Door HTTPS te gebruiken, weet u zeker dat server-/serviceverificatie wordt uitgevoerd en dat uw gegevens tijdens de overdracht zijn beschermd tegen aanvallen die meeluisteren in de netwerklaag. | Wijzigen, uitgeschakeld | 2.0.0 |
Functie-app-sites configureren om externe foutopsporing uit te schakelen | Voor externe foutopsporing moeten binnenkomende poorten worden geopend in een functie-app. Externe foutopsporing moet worden uitgeschakeld. | DeployIfNotExists, uitgeschakeld | 1.1.0 |
Functie-app-sites configureren voor het gebruik van de nieuwste TLS-versie | Regelmatig worden nieuwere versies voor TLS uitgebracht vanwege beveiligingsfouten, bevatten extra functionaliteit en verbeter de snelheid. Voer een upgrade uit naar de nieuwste TLS-versie voor functie-apps om te profiteren van beveiligingsoplossingen, indien van toepassing, en/of nieuwe functies van de nieuwste versie. | DeployIfNotExists, uitgeschakeld | 1.2.0 |
Functie-apps configureren om openbare netwerktoegang uit te schakelen | Schakel openbare netwerktoegang voor uw Functie-apps uit, zodat deze niet toegankelijk is via het openbare internet. Dit kan de risico's voor gegevenslekken verminderen. Zie voor meer informatie: https://aka.ms/app-service-private-endpoint. | Wijzigen, uitgeschakeld | 1.1.0 |
Functie-apps configureren om alleen toegankelijk te zijn via HTTPS | Door HTTPS te gebruiken, weet u zeker dat server-/serviceverificatie wordt uitgevoerd en dat uw gegevens tijdens de overdracht zijn beschermd tegen aanvallen die meeluisteren in de netwerklaag. | Wijzigen, uitgeschakeld | 2.0.0 |
Functie-apps configureren om externe foutopsporing uit te schakelen | Voor externe foutopsporing moeten binnenkomende poorten worden geopend in Functie-apps. Externe foutopsporing moet worden uitgeschakeld. | DeployIfNotExists, uitgeschakeld | 1.0.0 |
Functie-apps configureren voor het gebruik van de nieuwste TLS-versie | Regelmatig worden nieuwere versies voor TLS uitgebracht vanwege beveiligingsfouten, bevatten extra functionaliteit en verbeter de snelheid. Voer een upgrade uit naar de nieuwste TLS-versie voor functie-apps om te profiteren van beveiligingsoplossingen, indien van toepassing, en/of nieuwe functies van de nieuwste versie. | DeployIfNotExists, uitgeschakeld | 1.1.0 |
Logboekregistratie inschakelen op categoriegroep voor App Service (microsoft.web/sites) naar Log Analytics | Resourcelogboeken moeten zijn ingeschakeld om activiteiten en gebeurtenissen bij te houden die plaatsvinden op uw resources en om u inzicht te geven in wijzigingen die zich voordoen. Met dit beleid wordt een diagnostische instelling geïmplementeerd met behulp van een categoriegroep om logboeken te routeren naar een Log Analytics-werkruimte voor App Service (microsoft.web/sites). | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 1.0.0 |
Logboekregistratie inschakelen op categoriegroep voor App Service Environments (microsoft.web/hostingomgevingen) naar Event Hub | Resourcelogboeken moeten zijn ingeschakeld om activiteiten en gebeurtenissen bij te houden die plaatsvinden op uw resources en om u inzicht te geven in wijzigingen die zich voordoen. Met dit beleid wordt een diagnostische instelling geïmplementeerd met behulp van een categoriegroep om logboeken te routeren naar een Event Hub voor App Service Environments (microsoft.web/hostingenvironments). | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 1.0.0 |
Logboekregistratie inschakelen op categoriegroep voor App Service Environments (microsoft.web/hostingenvironments) naar Log Analytics | Resourcelogboeken moeten zijn ingeschakeld om activiteiten en gebeurtenissen bij te houden die plaatsvinden op uw resources en om u inzicht te geven in wijzigingen die zich voordoen. Met dit beleid wordt een diagnostische instelling geïmplementeerd met behulp van een categoriegroep om logboeken te routeren naar een Log Analytics-werkruimte voor App Service Environments (microsoft.web/hostingenvironments). | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 1.0.0 |
Logboekregistratie inschakelen op categoriegroep voor App Service Environments (microsoft.web/hostingenvironments) naar Storage | Resourcelogboeken moeten zijn ingeschakeld om activiteiten en gebeurtenissen bij te houden die plaatsvinden op uw resources en om u inzicht te geven in wijzigingen die zich voordoen. Met dit beleid wordt een diagnostische instelling geïmplementeerd met behulp van een categoriegroep om logboeken te routeren naar een opslagaccount voor App Service Environments (microsoft.web/hostingenvironments). | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 1.0.0 |
Logboekregistratie inschakelen op categoriegroep voor Functie-app (microsoft.web/sites) naar Log Analytics | Resourcelogboeken moeten zijn ingeschakeld om activiteiten en gebeurtenissen bij te houden die plaatsvinden op uw resources en om u inzicht te geven in wijzigingen die zich voordoen. Met dit beleid wordt een diagnostische instelling geïmplementeerd met behulp van een categoriegroep om logboeken te routeren naar een Log Analytics-werkruimte voor functie-app (microsoft.web/sites). | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 1.0.0 |
Sites voor functie-apps moeten openbare netwerktoegang uitschakelen | Het uitschakelen van openbare netwerktoegang verbetert de beveiliging door ervoor te zorgen dat de functie-app niet beschikbaar is op het openbare internet. Het maken van privé-eindpunten kan de blootstelling van een functie-app beperken. Zie voor meer informatie: https://aka.ms/app-service-private-endpoint. | Controleren, uitgeschakeld, weigeren | 1.0.0 |
Voor functie-app-sites moeten clientcertificaten (binnenkomende clientcertificaten) zijn ingeschakeld | Met clientcertificaten kan de app een certificaat aanvragen voor binnenkomende aanvragen. Alleen clients die een geldig certificaat hebben, kunnen de app bereiken. Dit beleid is van toepassing op apps met Http-versie ingesteld op 1.1. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
Sites voor functie-apps moeten externe foutopsporing zijn uitgeschakeld | Voor externe foutopsporing moeten binnenkomende poorten worden geopend in Functie-apps. Externe foutopsporing moet worden uitgeschakeld. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
CorS-sites voor functie-apps mogen niet zodanig zijn geconfigureerd dat elke resource toegang heeft tot uw apps | Gebruik van Cross-Origin Resource Sharing (CORS) mag er niet toe leiden dat alle domeinen toegang hebben tot uw Function-app. Sta alleen de vereiste domeinen toe om met uw Function-app te communiceren. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
Sites voor functie-apps mogen alleen toegankelijk zijn via HTTPS | Door HTTPS te gebruiken, weet u zeker dat server-/serviceverificatie wordt uitgevoerd en dat uw gegevens tijdens de overdracht zijn beschermd tegen aanvallen die meeluisteren in de netwerklaag. | Controleren, uitgeschakeld, weigeren | 2.0.0 |
Voor functie-app-sites is alleen FTPS vereist | FTPS-afdwinging inschakelen voor verbeterde beveiliging. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
Sites voor functie-apps moeten een Azure-bestandsshare gebruiken voor de inhoudsmap | De inhoudsmap van een functie-app moet zich bevinden op een Azure-bestandsshare. De opslagaccountgegevens voor de bestandsshare moeten worden opgegeven voordat er publicatieactiviteiten worden uitgevoerd. Raadpleeg https://go.microsoft.com/fwlink/?linkid=2151594voor meer informatie over het gebruik van Azure Files voor het hosten van app-service-inhoud. | Controle, uitgeschakeld | 1.0.0 |
Sites voor functie-apps moeten de nieuwste HTTP-versie gebruiken | Er worden regelmatig nieuwere versies uitgebracht voor HTTP, ofwel vanwege de beveiligingsfouten ofwel om extra functionaliteit toe te voegen. Het gebruik van de nieuwste HTTP-versie voor web-apps wordt aanbevolen om te profiteren van beveiligingsfixes, indien van toepassing, en/of nieuwe functies van de nieuwste versie. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
Sites voor functie-apps moeten de nieuwste TLS-versie gebruiken | Regelmatig worden nieuwere versies voor TLS uitgebracht vanwege beveiligingsfouten, bevatten extra functionaliteit en verbeter de snelheid. Voer een upgrade uit naar de nieuwste TLS-versie voor functie-apps om te profiteren van beveiligingsoplossingen, indien van toepassing, en/of nieuwe functies van de nieuwste versie. | AuditIfNotExists, uitgeschakeld | 1.1.0 |
Functie-app-sites die gebruikmaken van Java, moeten een opgegeven Java-versie gebruiken | Er worden regelmatig nieuwere versies uitgebracht voor Java-software, ofwel vanwege de beveiligingsfouten ofwel om extra functionaliteit toe te voegen. Het gebruik van de nieuwste Java-versie voor Function-apps wordt aanbevolen om te profiteren van beveiligingsfixes, indien van toepassing, en/of nieuwe functies van de nieuwste versie. Dit beleid is alleen van toepassing op Linux-apps. Voor dit beleid moet u een Java-versie opgeven die voldoet aan uw vereisten. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
Functie-app-sites die gebruikmaken van Python moeten een opgegeven Python-versie gebruiken | Er worden regelmatig nieuwere versies uitgebracht voor Python-software, ofwel vanwege de beveiligingsfouten ofwel om extra functionaliteit toe te voegen. Het gebruik van de nieuwste Python-versie voor Function-apps wordt aanbevolen om te profiteren van beveiligingsoplossingen, indien van toepassing, en/of nieuwe functies van de nieuwste versie. Dit beleid is alleen van toepassing op Linux-apps. Voor dit beleid moet u een Python-versie opgeven die voldoet aan uw vereisten. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
Functie-apps moeten openbare netwerktoegang uitschakelen | Het uitschakelen van openbare netwerktoegang verbetert de beveiliging door ervoor te zorgen dat de functie-app niet beschikbaar is op het openbare internet. Het maken van privé-eindpunten kan de blootstelling van een functie-app beperken. Zie voor meer informatie: https://aka.ms/app-service-private-endpoint. | Controleren, uitgeschakeld, weigeren | 1.0.0 |
Voor functie-apps moet verificatie zijn ingeschakeld | Azure-app serviceverificatie is een functie die kan voorkomen dat anonieme HTTP-aanvragen de functie-app bereiken of die tokens hebben voordat ze de Functie-app bereiken. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
Voor functie-apps moeten clientcertificaten (binnenkomende clientcertificaten) zijn ingeschakeld | Met clientcertificaten kan de app een certificaat aanvragen voor binnenkomende aanvragen. Alleen clients die een geldig certificaat hebben, kunnen de app bereiken. Dit beleid is van toepassing op apps met Http-versie ingesteld op 1.1. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
Functie-apps moeten externe foutopsporing uitschakelen | Voor externe foutopsporing moeten binnenkomende poorten worden geopend in Functie-apps. Externe foutopsporing moet worden uitgeschakeld. | AuditIfNotExists, uitgeschakeld | 2.0.0 |
Voor functie-apps mag CORS niet zijn geconfigureerd om elke resource toegang te geven tot uw apps | Gebruik van Cross-Origin Resource Sharing (CORS) mag er niet toe leiden dat alle domeinen toegang hebben tot uw Function-app. Sta alleen de vereiste domeinen toe om met uw Function-app te communiceren. | AuditIfNotExists, uitgeschakeld | 2.0.0 |
Functie-apps mogen alleen toegankelijk zijn via HTTPS | Door HTTPS te gebruiken, weet u zeker dat server-/serviceverificatie wordt uitgevoerd en dat uw gegevens tijdens de overdracht zijn beschermd tegen aanvallen die meeluisteren in de netwerklaag. | Controleren, uitgeschakeld, weigeren | 5.0.0 |
Functie-apps mogen alleen FTPS vereisen | FTPS-afdwinging inschakelen voor verbeterde beveiliging. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
Functie-apps moeten een Azure-bestandsshare gebruiken voor de inhoudsmap | De inhoudsmap van een functie-app moet zich bevinden op een Azure-bestandsshare. De opslagaccountgegevens voor de bestandsshare moeten worden opgegeven voordat er publicatieactiviteiten worden uitgevoerd. Raadpleeg https://go.microsoft.com/fwlink/?linkid=2151594voor meer informatie over het gebruik van Azure Files voor het hosten van app-service-inhoud. | Controle, uitgeschakeld | 3.0.0 |
Functie-apps moeten de nieuwste HTTP-versie gebruiken | Er worden regelmatig nieuwere versies uitgebracht voor HTTP, ofwel vanwege de beveiligingsfouten ofwel om extra functionaliteit toe te voegen. Het gebruik van de nieuwste HTTP-versie voor web-apps wordt aanbevolen om te profiteren van beveiligingsfixes, indien van toepassing, en/of nieuwe functies van de nieuwste versie. | AuditIfNotExists, uitgeschakeld | 4.0.0 |
Functie-apps moeten beheerde identiteiten gebruiken | Een beheerde identiteit gebruiken voor verbeterde verificatiebeveiliging | AuditIfNotExists, uitgeschakeld | 3.0.0 |
Functie-apps moeten de nieuwste TLS-versie gebruiken | Regelmatig worden nieuwere versies voor TLS uitgebracht vanwege beveiligingsfouten, bevatten extra functionaliteit en verbeter de snelheid. Voer een upgrade uit naar de nieuwste TLS-versie voor functie-apps om te profiteren van beveiligingsoplossingen, indien van toepassing, en/of nieuwe functies van de nieuwste versie. | AuditIfNotExists, uitgeschakeld | 2.1.0 |
Functie-apps die java gebruiken, moeten een opgegeven Java-versie gebruiken | Er worden regelmatig nieuwere versies uitgebracht voor Java-software, ofwel vanwege de beveiligingsfouten ofwel om extra functionaliteit toe te voegen. Het gebruik van de nieuwste Java-versie voor Function-apps wordt aanbevolen om te profiteren van beveiligingsfixes, indien van toepassing, en/of nieuwe functies van de nieuwste versie. Dit beleid is alleen van toepassing op Linux-apps. Voor dit beleid moet u een Java-versie opgeven die voldoet aan uw vereisten. | AuditIfNotExists, uitgeschakeld | 3.1.0 |
Functie-apps die gebruikmaken van Python, moeten een opgegeven Python-versie gebruiken | Er worden regelmatig nieuwere versies uitgebracht voor Python-software, ofwel vanwege de beveiligingsfouten ofwel om extra functionaliteit toe te voegen. Het gebruik van de nieuwste Python-versie voor Function-apps wordt aanbevolen om te profiteren van beveiligingsoplossingen, indien van toepassing, en/of nieuwe functies van de nieuwste versie. Dit beleid is alleen van toepassing op Linux-apps. Voor dit beleid moet u een Python-versie opgeven die voldoet aan uw vereisten. | AuditIfNotExists, uitgeschakeld | 4.1.0 |
Opmerkingen bij de release
Oktober 2024
- TLS 1.3 wordt nu ondersteund in App Service-apps en -sites. Het volgende beleid is bijgewerkt om het instellen van de minimale TLS-versie op 1.3 af te dwingen:
- 'App Service-apps moeten de nieuwste TLS-versie gebruiken'
- 'App Service-app-sites moeten de nieuwste TLS-versie gebruiken'
- 'App Service-apps configureren voor het gebruik van de nieuwste TLS-versie'
- "App Service-app-sites configureren voor het gebruik van de nieuwste TLS-versie"
- 'Functie-apps moeten de nieuwste TLS-versie gebruiken'
- 'Functie-apps configureren voor het gebruik van de nieuwste TLS-versie'
- "Functie-app-sites moeten de nieuwste TLS-versie gebruiken"
- "Functie-app-sites configureren voor het gebruik van de nieuwste TLS-versie"
April 2023
- App Service-apps die gebruikmaken van Java, moeten de nieuwste Java-versie gebruiken
- Naam van beleid wijzigen in 'App Service-apps die java gebruiken, moeten een opgegeven Java-versie gebruiken'
- Beleid bijwerken zodat er vóór toewijzing een versiespecificatie is vereist
- App Service-apps die gebruikmaken van Python, moeten de nieuwste Python-versie gebruiken
- Naam van beleid wijzigen in 'App Service-apps die gebruikmaken van Python moeten een opgegeven Python-versie gebruiken'
- Beleid bijwerken zodat er vóór toewijzing een versiespecificatie is vereist
- Functie-apps die gebruikmaken van Java, moeten de nieuwste Java-versie gebruiken
- Naam van beleid wijzigen in 'Functie-apps die gebruikmaken van Java moeten een opgegeven Java-versie gebruiken'
- Beleid bijwerken zodat er vóór toewijzing een versiespecificatie is vereist
- Functie-apps die gebruikmaken van Python, moeten de nieuwste Python-versie gebruiken
- Naam van beleid wijzigen in 'Functie-apps die gebruikmaken van Python moeten een opgegeven Python-versie gebruiken'
- Beleid bijwerken zodat er vóór toewijzing een versiespecificatie is vereist
- App Service-apps die PHP gebruiken, moeten de nieuwste PHP-versie gebruiken
- Naam van beleid wijzigen in 'App Service-apps die PHP gebruiken, moeten een opgegeven PHP-versie gebruiken'
- Beleid bijwerken zodat er vóór toewijzing een versiespecificatie is vereist
- App Service-app-sites die gebruikmaken van Python moeten een opgegeven Python-versie gebruiken
- Nieuw beleid gemaakt
- Functie-app-sites die gebruikmaken van Python moeten een opgegeven Python-versie gebruiken
- Nieuw beleid gemaakt
- App Service-app-sites die PHP gebruiken, moeten een opgegeven PHP-versie gebruiken
- Nieuw beleid gemaakt
- App Service-app-sites die gebruikmaken van Java, moeten een opgegeven Java-versie gebruiken
- Nieuw beleid gemaakt
- Functie-app-sites die gebruikmaken van Java, moeten een opgegeven Java-versie gebruiken
- Nieuw beleid gemaakt
november 2022
- Afschaffing van beleids-App Service-apps moet uitgaand niet-RFC 1918-verkeer naar Azure Virtual Network inschakelen
- Vervangen door een beleid met dezelfde weergavenaam op basis van de site-eigenschap ter ondersteuning van het effect Weigeren
- Afschaffing van app-sleuven van beleid voor App Service moet uitgaand niet-RFC 1918-verkeer naar Azure Virtual Network inschakelen
- Vervangen door een beleid met dezelfde weergavenaam op basis van de site-eigenschap ter ondersteuning van het effect Weigeren
- App Service-apps moeten uitgaand niet-RFC 1918-verkeer naar Azure Virtual Network inschakelen
- Nieuw beleid gemaakt
- App Service-app-sites moeten uitgaand niet-RFC 1918-verkeer naar Azure Virtual Network inschakelen
- Nieuw beleid gemaakt
- App Service-apps moeten configuratieroutering naar Azure Virtual Network inschakelen
- Nieuw beleid gemaakt
- App Service-app-sites moeten configuratieroutering naar Azure Virtual Network inschakelen
- Nieuw beleid gemaakt
Oktober 2022
- Sites voor functie-apps moeten externe foutopsporing zijn uitgeschakeld
- Nieuw beleid gemaakt
- App Service-app-sites moeten externe foutopsporing uitschakelen
- Nieuw beleid gemaakt
- Sites voor functie-apps moeten de nieuwste HTTP-versie gebruiken
- Nieuw beleid gemaakt
- Sites voor functie-apps moeten de nieuwste TLS-versie gebruiken
- Nieuw beleid gemaakt
- App Service-app-sites moeten de nieuwste TLS-versie gebruiken
- Nieuw beleid gemaakt
- App Service-app-sites moeten resourcelogboeken hebben ingeschakeld
- Nieuw beleid gemaakt
- App Service-app-sites moeten uitgaand niet-RFC 1918-verkeer naar Azure Virtual Network inschakelen
- Nieuw beleid gemaakt
- App Service-app-sites moeten beheerde identiteiten gebruiken
- Nieuw beleid gemaakt
- App Service-app-sites moeten de nieuwste HTTP-versie gebruiken
- Nieuw beleid gemaakt
- Afschaffing van beleid App Services configureren om openbare netwerktoegang uit te schakelen
- Vervangen door 'App Service-apps configureren om openbare netwerktoegang uit te schakelen'
- Afschaffing van beleid App Services moet openbare netwerktoegang uitschakelen
- Vervangen door 'App Service-apps moeten openbare netwerktoegang uitschakelen' ter ondersteuning van het effect Weigeren
- App Service-apps moeten openbare netwerktoegang uitschakelen
- Nieuw beleid gemaakt
- App Service-app-sites moeten openbare netwerktoegang uitschakelen
- Nieuw beleid gemaakt
- App Service-apps configureren om openbare netwerktoegang uit te schakelen
- Nieuw beleid gemaakt
- App Service-app-sites configureren om openbare netwerktoegang uit te schakelen
- Nieuw beleid gemaakt
- Functie-apps moeten openbare netwerktoegang uitschakelen
- Nieuw beleid gemaakt
- Sites voor functie-apps moeten openbare netwerktoegang uitschakelen
- Nieuw beleid gemaakt
- Functie-apps configureren om openbare netwerktoegang uit te schakelen
- Nieuw beleid gemaakt
- Functie-app-sites configureren om openbare netwerktoegang uit te schakelen
- Nieuw beleid gemaakt
- App Service-app-sites configureren om externe foutopsporing uit te schakelen
- Nieuw beleid gemaakt
- Functie-app-sites configureren om externe foutopsporing uit te schakelen
- Nieuw beleid gemaakt
- App Service-app-sites configureren voor het gebruik van de nieuwste TLS-versie
- Nieuw beleid gemaakt
- Functie-app-sites configureren voor het gebruik van de nieuwste TLS-versie
- Nieuw beleid gemaakt
- App Service-apps moeten de nieuwste HTTP-versie gebruiken
- Bereik bijwerken om Windows-apps op te nemen
- Functie-apps moeten de nieuwste HTTP-versie gebruiken
- Bereik bijwerken om Windows-apps op te nemen
- App Service Environment-apps mogen niet bereikbaar zijn via openbaar internet
- Beleidsdefinitie wijzigen om controle op API-versie te verwijderen
September 2022
- App Service-apps moeten worden geïnjecteerd in een virtueel netwerk
- Bereik van beleid bijwerken om sites te verwijderen
- Het maken van App Service-app-sites moet worden geïnjecteerd in een virtueel netwerk om slots te bewaken
- Bereik van beleid bijwerken om sites te verwijderen
- App Service-app-sites moeten worden geïnjecteerd in een virtueel netwerk
- Nieuw beleid gemaakt
- Clientcertificaten (binnenkomende clientcertificaten) moeten voor functie-apps zijn ingeschakeld
- Bereik van beleid bijwerken om sites te verwijderen
- Voor het maken van 'Functie-app-sites moeten clientcertificaten (inkomende clientcertificaten)' zijn ingeschakeld om sites te bewaken
- Bereik van beleid bijwerken om sites te verwijderen
- Voor functie-app-sites moet clientcertificaten (binnenkomende clientcertificaten) zijn ingeschakeld
- Nieuw beleid gemaakt
- Functie-apps moeten een Azure-bestandsshare gebruiken voor de inhoudsmap
- Bereik van beleid bijwerken om sites te verwijderen
- Het maken van functie-app-sites moet een Azure-bestandsshare voor de inhoudsmap gebruiken om sites te bewaken
- Bereik van beleid bijwerken om sites te verwijderen
- Sites voor functie-apps moeten een Azure-bestandsshare gebruiken voor de inhoudsmap
- Nieuw beleid gemaakt
- App Service-apps moeten clientcertificaten (binnenkomende clientcertificaten) hebben ingeschakeld
- Bereik van beleid bijwerken om sites te verwijderen
- Het maken van App Service-app-sites moet 'Clientcertificaten (binnenkomende clientcertificaten)' hebben ingeschakeld om sites te bewaken
- Bereik van beleid bijwerken om sites te verwijderen
- App Service-app-sites moeten clientcertificaten (binnenkomende clientcertificaten) hebben ingeschakeld
- Nieuw beleid gemaakt
- App Service-apps moeten een Azure-bestandsshare gebruiken voor de inhoudsmap
- Bereik van beleid bijwerken om sites te verwijderen
- Het maken van App Service-app-sites moet een Azure-bestandsshare voor de inhoudsmap gebruiken om sites te bewaken
- Bereik van beleid bijwerken om sites te verwijderen
- App Service-app-sites moeten een Azure-bestandsshare gebruiken voor de inhoudsmap
- Nieuw beleid gemaakt
- Voor functie-app-sites is alleen FTPS vereist
- Nieuw beleid gemaakt
- App Service-app-sites mogen alleen FTPS vereisen
- Nieuw beleid gemaakt
- CorS-sites voor functie-apps mogen niet zodanig zijn geconfigureerd dat elke resource toegang heeft tot uw apps
- Nieuw beleid gemaakt
- App Service-app-sites mogen niet zijn geconfigureerd voor CORS, zodat elke resource toegang heeft tot uw app
- Nieuw beleid gemaakt
- Functie-apps mogen alleen toegankelijk zijn via HTTPS
- Bereik van beleid bijwerken om sites te verwijderen
- Het maken van functie-app-sites mag alleen toegankelijk zijn via HTTPS om sites te bewaken
- Effect Weigeren toevoegen
- Maken van 'Functie-apps configureren om alleen toegankelijk te zijn via HTTPS' voor het afdwingen van beleid
- Bereik van beleid bijwerken om sites te verwijderen
- Sites voor functie-apps mogen alleen toegankelijk zijn via HTTPS
- Nieuw beleid gemaakt
- Functie-apps configureren om alleen toegankelijk te zijn via HTTPS
- Nieuw beleid gemaakt
- Functie-app-sites configureren om alleen toegankelijk te zijn via HTTPS
- Nieuw beleid gemaakt
- App Service-apps moeten een SKU gebruiken die ondersteuning biedt voor private link
- Lijst met ondersteunde SKU's van beleid bijwerken om de laag Workflow Standard voor Logic Apps op te nemen
- App Service-apps configureren voor het gebruik van de nieuwste TLS-versie
- Nieuw beleid gemaakt
- Functie-apps configureren voor het gebruik van de nieuwste TLS-versie
- Nieuw beleid gemaakt
- App Service-apps configureren om externe foutopsporing uit te schakelen
- Nieuw beleid gemaakt
- Functie-apps configureren om externe foutopsporing uit te schakelen
- Nieuw beleid gemaakt
Augustus 2022
- App Service-apps mogen alleen toegankelijk zijn via HTTPS
- Bereik van beleid bijwerken om sites te verwijderen
- Het maken van App Service-app-sites mag alleen toegankelijk zijn via HTTPS om sites te bewaken
- Effect Weigeren toevoegen
- Maken van 'App Service-apps configureren om alleen toegankelijk te zijn via HTTPS' voor het afdwingen van beleid
- Bereik van beleid bijwerken om sites te verwijderen
- App Service-app-sites mogen alleen toegankelijk zijn via HTTPS
- Nieuw beleid gemaakt
- App Service-apps configureren om alleen toegankelijk te zijn via HTTPS
- Nieuw beleid gemaakt
- App Service-app-sites configureren om alleen toegankelijk te zijn via HTTPS
- Nieuw beleid gemaakt
Juli 2022
- Afschaffing van het volgende beleid:
- Controleren of de API-app Clientcertificaten (inkomende client-certificaten) heeft ingesteld op Aan
- Controleren of de Python-versie de meest recente is als deze wordt gebruikt als onderdeel van de API-app
- Gebruik van CORS mag er niet toe leiden dat elke resource toegang tot uw API-app heeft
- Er moet een beheerde identiteit worden gebruikt in uw API-app
- Externe foutopsporing moet worden uitgeschakeld voor API-apps
- Controleren of de PHP-versie de meest recente is als deze wordt gebruikt als onderdeel van de API-app
- API-apps moeten een Azure-bestandsshare gebruiken voor de inhoudsmap
- FTPS moet alleen worden vereist in uw API-app
- Controleren of de Java-versie de meest recente is als deze wordt gebruikt als onderdeel van de API-app
- Controleren of de HTTP-versie de meest recente is als deze wordt gebruikt om de API-app te openen
- De nieuwste TLS-versie moet worden gebruikt in uw API-app
- Verificatie moet zijn ingeschakeld in uw API-app
- Clientcertificaten (binnenkomende clientcertificaten) moeten voor functie-apps zijn ingeschakeld
- Bereik van beleid bijwerken om sites op te nemen
- Bereik van beleid bijwerken om logische apps uit te sluiten
- Controleren of de web-app Clientcertificaten (inkomende clientcertificaten) heeft ingesteld op ‘Aan’
- Naam van beleid wijzigen in 'App Service-apps moeten clientcertificaten (binnenkomende clientcertificaten)' zijn ingeschakeld'
- Bereik van beleid bijwerken om sites op te nemen
- Bereik van beleid bijwerken om alle app-typen op te nemen, met uitzondering van functie-apps
- Controleren of de Python-versie de meest recente is, als deze wordt gebruikt als onderdeel van de web-app
- Naam van beleid wijzigen in 'App Service-apps die gebruikmaken van Python moeten de nieuwste Python-versie gebruiken'
- Bereik van beleid bijwerken om alle app-typen op te nemen, met uitzondering van functie-apps
- Controleren of de Python-versie de meest recente is, als deze wordt gebruikt als onderdeel van de Function-app
- Naam van beleid wijzigen in 'Functie-apps die gebruikmaken van Python moeten de nieuwste Python-versie gebruiken'
- Bereik van beleid bijwerken om logische apps uit te sluiten
- CORS mag er niet toe leiden dat elke resource toegang heeft tot uw webtoepassingen
- Naam van beleid wijzigen in 'App Service-apps mogen geen CORS hebben geconfigureerd om elke resource toegang te geven tot uw apps'
- Bereik van beleid bijwerken om alle app-typen op te nemen, met uitzondering van functie-apps
- Gebruik van CORS mag er niet toe leiden dat elke resource toegang heeft tot uw Function-apps
- Naam van beleid wijzigen in 'Functie-apps mogen cors niet hebben geconfigureerd om elke resource toegang te geven tot uw apps'
- Bereik van beleid bijwerken om logische apps uit te sluiten
- Er moet een beheerde identiteit worden gebruikt in uw Function-app
- Naam van beleid wijzigen in 'Functie-apps moeten beheerde identiteit gebruiken'
- Bereik van beleid bijwerken om logische apps uit te sluiten
- Er moet een beheerde identiteit worden gebruikt in uw web-app
- Naam van beleid wijzigen in 'App Service-apps moeten beheerde identiteit gebruiken'
- Bereik van beleid bijwerken om alle app-typen op te nemen, met uitzondering van functie-apps
- Externe foutopsporing moet worden uitgeschakeld voor Function-apps
- Naam van beleid wijzigen in 'Functie-apps moeten externe foutopsporing zijn uitgeschakeld'
- Bereik van beleid bijwerken om logische apps uit te sluiten
- Externe foutopsporing moet worden uitgeschakeld voor webtoepassingen
- Naam van beleid wijzigen in 'App Service-apps moeten externe foutopsporing zijn uitgeschakeld'
- Bereik van beleid bijwerken om alle app-typen op te nemen, met uitzondering van functie-apps
- Controleren of de PHP-versie de meest recente is, als deze wordt gebruikt als onderdeel van de web-app
- Naam van beleid wijzigen in 'App Service-apps die PHP gebruiken, moeten de nieuwste 'PHP-versie' gebruiken
- Bereik van beleid bijwerken om alle app-typen op te nemen, met uitzondering van functie-apps
- App Service-sites moeten lokale verificatiemethoden hebben uitgeschakeld voor de implementatie van SCM-sites
- De naam van het beleid wijzigen in 'App Service-app-sites moeten lokale verificatiemethoden zijn uitgeschakeld voor SCM-site-implementaties'
- App Service moet lokale verificatiemethoden hebben uitgeschakeld voor SCM-site-implementaties
- Naam van beleid wijzigen in 'App Service-apps moeten lokale verificatiemethoden zijn uitgeschakeld voor SCM-site-implementaties'
- App Service-sites moeten lokale verificatiemethoden hebben uitgeschakeld voor FTP-implementaties
- Naam van beleid wijzigen in 'App Service-app-sites moeten lokale verificatiemethoden zijn uitgeschakeld voor FTP-implementaties'
- App Service moet lokale verificatiemethoden hebben uitgeschakeld voor FTP-implementaties
- Naam van beleid wijzigen in 'App Service-apps moeten lokale verificatiemethoden zijn uitgeschakeld voor FTP-implementaties'
- Functie-apps moeten een Azure-bestandsshare gebruiken voor de inhoudsmap
- Bereik van beleid bijwerken om sites op te nemen
- Bereik van beleid bijwerken om logische apps uit te sluiten
- Web-apps moeten een Azure-bestandsshare gebruiken voor de inhoudsmap
- Naam van beleid wijzigen in 'App Service-apps moeten een Azure-bestandsshare gebruiken voor de inhoudsmap'
- Bereik van beleid bijwerken om sites op te nemen
- Bereik van beleid bijwerken om alle app-typen op te nemen, met uitzondering van functie-apps
- FTPS moet alleen worden vereist in uw Function-app
- Naam van beleid wijzigen in 'Functie-apps moeten alleen FTPS vereisen'
- Bereik van beleid bijwerken om logische apps uit te sluiten
- FTPS moet worden vereist in uw web-app
- Naam van beleid wijzigen in 'App Service-apps moeten alleen FTPS vereisen'
- Bereik van beleid bijwerken om alle app-typen op te nemen, met uitzondering van functie-apps
- Controleren of de nieuwste versie van Java wordt gebruikt als onderdeel van de Function-app
- Naam van beleid wijzigen in 'Functie-apps die gebruikmaken van Java moeten de nieuwste 'Java-versie' gebruiken
- Bereik van beleid bijwerken om logische apps uit te sluiten
- Controleren of de Java-versie de meest recente is, als deze wordt gebruikt als onderdeel van de web-app
- Naam van beleid wijzigen in 'App Service-apps die gebruikmaken van Java, moeten de nieuwste Java-versie gebruiken'
- Bereik van beleid bijwerken om alle app-typen op te nemen, met uitzondering van functie-apps
- App Service moet private link gebruiken
- Naam van beleid wijzigen in 'App Service-apps moeten private link gebruiken'
- App Services configureren voor het gebruik van privé-DNS-zones
- Naam van beleid wijzigen in 'App Service-apps configureren voor gebruik van privé-DNS-zones'
- App Service-apps moeten worden geïnjecteerd in een virtueel netwerk
- Naam van beleid wijzigen in 'App Service-apps moeten worden geïnjecteerd in een virtueel netwerk'
- Bereik van beleid bijwerken om sites op te nemen
- Controleren of de HTTP-versie de meest recente is, als deze wordt gebruikt om de web-app te openen
- Naam van beleid wijzigen in 'App Service-apps moeten de nieuwste HTTP-versie gebruiken'
- Bereik van beleid bijwerken om alle app-typen op te nemen, met uitzondering van functie-apps
- Controleren of de HTTP-versie de meest recente is, als deze wordt gebruikt om de Function-app uit te voeren
- Naam van beleid wijzigen in 'Functie-apps moeten de nieuwste HTTP-versie gebruiken'
- Bereik van beleid bijwerken om logische apps uit te sluiten
- De nieuwste TLS-versie moet worden gebruikt in uw web-app
- Naam van beleid wijzigen in 'App Service-apps moeten de nieuwste TLS-versie gebruiken'
- Bereik van beleid bijwerken om alle app-typen op te nemen, met uitzondering van functie-apps
- De nieuwste TLS-versie moet worden gebruikt in uw Function-app
- Naam van beleid wijzigen in 'Functie-apps moeten de nieuwste TLS-versie gebruiken'
- Bereik van beleid bijwerken om logische apps uit te sluiten
- App Service Environment moet TLS 1.0 en 1.1 uitschakelen
- Naam van beleid wijzigen in 'App Service Environment moet TLS 1.0 en 1.1 zijn uitgeschakeld'
- Resourcelogboeken in App Services moeten zijn ingeschakeld
- Naam van beleid wijzigen in 'App Service-apps moeten resourcelogboeken zijn ingeschakeld'
- Verificatie moet zijn ingeschakeld in uw web-app
- Naam van beleid wijzigen in 'App Service-apps moeten verificatie zijn ingeschakeld'
- Verificatie moet zijn ingeschakeld in uw Function-app
- Naam van beleid wijzigen in 'Functie-apps moeten verificatie zijn ingeschakeld'
- Bereik van beleid bijwerken om logische apps uit te sluiten
- App Service Environment moet interne versleuteling inschakelen
- Naam van beleid wijzigen in 'App Service Environment moet interne versleuteling zijn ingeschakeld'
- Functie-apps mogen alleen toegankelijk zijn via HTTPS
- Bereik van beleid bijwerken om logische apps uit te sluiten
- App Service moet gebruikmaken van een service-eindpunt voor een virtueel netwerk
- Naam van beleid wijzigen in 'App Service-apps moeten een service-eindpunt voor een virtueel netwerk gebruiken'
- Bereik van beleid bijwerken om alle app-typen op te nemen, met uitzondering van functie-apps
Juni 2022
- Afschaffing van beleids-API-app mag alleen toegankelijk zijn via HTTPS
- Webtoepassing mag alleen toegankelijk zijn via HTTPS
- Naam van beleid wijzigen in 'App Service-apps mogen alleen toegankelijk zijn via HTTPS'
- Bereik van beleid bijwerken om alle app-typen op te nemen, met uitzondering van functie-apps
- Bereik van beleid bijwerken om sites op te nemen
- Functie-apps mogen alleen toegankelijk zijn via HTTPS
- Bereik van beleid bijwerken om sites op te nemen
- App Service-apps moeten een SKU gebruiken die ondersteuning biedt voor private link
- Updatelogica van beleid om controles op de App Service-planlaag of -naam op te nemen, zodat het beleid ondersteuning biedt voor Terraform-implementaties
- Lijst met ondersteunde SKU's van beleid bijwerken om de Basic- en Standard-lagen op te nemen
Volgende stappen
- Bekijk de inbouwingen op de Azure Policy GitHub-opslagplaats.
- Lees over de structuur van Azure Policy-definities.
- Lees Informatie over de effecten van het beleid.