Ingebouwd beleid voor Azure Monitor

Beleidsregels en beleidsinitiatieven bieden een eenvoudige methode om logboekregistratie op schaal in te schakelen via diagnostische instellingen voor Azure Monitor. Met behulp van een beleidsinitiatief kunt u auditlogboekregistratie inschakelen voor alle ondersteunde resources in uw Azure-omgeving.

Schakel resourcelogboeken in om activiteiten en gebeurtenissen die plaatsvinden op uw resources bij te houden en u inzicht te geven in wijzigingen die zich voordoen. Wijs beleidsregels toe om resourcelogboeken in te schakelen en naar bestemmingen te verzenden op basis van uw behoeften. Logboeken verzenden naar Event Hubs voor SIEM-systemen van derden, waardoor continue beveiligingsbewerkingen mogelijk zijn. Logboeken verzenden naar opslagaccounts voor langere opslag of naleving van regelgeving.

Er bestaat een reeks ingebouwde beleidsregels en initiatieven om resourcelogboeken naar Log Analytics-werkruimten, Event Hubs en Opslagaccounts te leiden. Het beleid maakt auditlogboekregistratie mogelijk, verzendt logboeken die behoren tot de audit of de categoriegroep Alle logboeken , naar een Event Hub, Log Analytics-werkruimte of opslagaccount. Het beleid effect is DeployIfNotExists, waarmee het beleid als standaard wordt geïmplementeerd als er geen andere instellingen zijn gedefinieerd.

Beleid implementeren.

Het beleid en de initiatieven implementeren met behulp van de portal-, CLI-, PowerShell- of Azure Resource Management-sjablonen

Azure-portal

De volgende stappen laten zien hoe u het beleid kunt toepassen om auditlogboeken naar sleutelkluizen te verzenden naar een Log Analytics-werkruimte.

1. Selecteer Definities op de pagina Beleid.

2. Selecteer uw bereik. U kunt een beleid toepassen op het hele abonnement, een resourcegroep of een afzonderlijke resource.

3. Selecteer Beleid in de vervolgkeuzelijst Definitietype.

4. Bewaking selecteren in de vervolgkeuzelijst Categorie

5. Voer een sleutelkluis in het zoekveld in.

6. Selecteer logboekregistratie inschakelen op categoriegroep voor Sleutelkluizen (microsoft.keyvault/kluizen) naar Log Analytics-beleid ,

7. Selecteer Toewijzen op de pagina beleidsdefinitie

8. Selecteer het tabblad Parameters.

9. Selecteer de Log Analytics-werkruimte waarnaar u de auditlogboeken wilt verzenden.

10. Selecteer het tabblad Herstel .

11. Selecteer op het tabblad Herstel het sleutelkluisbeleid in de vervolgkeuzelijst Beleid om te herstellen .

12. Schakel het selectievakje Een beheerde identiteit maken in.

13. Selecteer onder Type beheerde identiteit de optie Door het systeem toegewezen beheerde identiteit.

14. Selecteer Controleren en maken en selecteer vervolgens Maken.

CLI

Gebruik de volgende opdrachten om een beleid toe te passen met behulp van de CLI:

1. Een beleidstoewijzing maken met behulp van az policy assignment create.

     az policy assignment create --name <policy assignment name>  --policy "6b359d8f-f88d-4052-aa7c-32015963ecc1"  --scope <scope> --params "{\"logAnalytics\": {\"value\": \"<log analytics workspace resource ID"}}" --mi-system-assigned --location <location>
   

   Als u bijvoorbeeld het beleid wilt toepassen om auditlogboeken naar een Log Analytics-werkruimte te verzenden

     az policy assignment create --name "policy-assignment-1"  --policy "6b359d8f-f88d-4052-aa7c-32015963ecc1"  --scope /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/rg-001 --params "{\"logAnalytics\": {\"value\": \"/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/rg-001/providers/microsoft.operationalinsights/workspaces/workspace-001\"}}" --mi-system-assigned --location eastus
   

2. Wijs de vereiste rol toe aan de identiteit die is gemaakt voor de beleidstoewijzing. Zoek de rol in de beleidsdefinitie door te zoeken naar roleDefinitionIds

      ...},
         "roleDefinitionIds": [
           "/providers/Microsoft.Authorization/roleDefinitions/92aaf0da-9dab-42b6-94a3-d43ce8d16293"
         ],
         "deployment": {
           "properties": {...
   

   Wijs de vereiste rol toe met behulp van az policy assignment identity assign:

   az policy assignment identity assign --system-assigned --resource-group <resource group name> --role <role name or ID> --identity-scope </scope> --name <policy assignment name>
   

   Voorbeeld:

   az policy assignment identity assign --system-assigned --resource-group rg-001  --role 92aaf0da-9dab-42b6-94a3-d43ce8d16293 --identity-scope /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/rg001 --name policy-assignment-1
   

3. Activeer een scan om bestaande resources te vinden met behulp van az policy state trigger-scan.

   az policy state trigger-scan --resource-group rg-001
   

4. Maak een hersteltaak om het beleid toe te passen op bestaande resources met behulp van az policy remediation create.

   az policy remediation create -g <resource group name> --policy-assignment <policy assignment name> --name <remediation name> 
   

   Bijvoorbeeld:

   az policy remediation create -g rg-001 -n remediation-001 --policy-assignment policy-assignment-1
   

Zie Azure CLI-naslaginformatie - az policy assignment (az policy assignment) voor meer informatie over beleidstoewijzing met behulp van CLI

Powershell

Gebruik de volgende opdrachten om een beleid toe te passen met behulp van PowerShell:

1. Stel uw omgeving in. Selecteer uw abonnement en stel uw resourcegroep in

   Select-AzSubscription <subscriptionID>
   $rg = Get-AzResourceGroup -Name <resource groups name>    
   

2. Haal de beleidsdefinitie op en configureer de parameters voor het beleid. In het onderstaande voorbeeld wijzen we het beleid toe om keyVault-logboeken te verzenden naar een Log Analytics-werkruimte

   $definition = Get-AzPolicyDefinition |Where-Object Name -eq 6b359d8f-f88d-4052-aa7c-32015963ecc1
   $params =  @{"logAnalytics"="/subscriptions/<subscriptionID/resourcegroups/<resourcgroup>/providers/microsoft.operationalinsights/workspaces/<log anlaytics workspace name>"}  
   

3. Het beleid toewijzen

   $policyAssignment=New-AzPolicyAssignment -Name <assignment name> -DisplayName "assignment display name" -Scope $rg.ResourceId -PolicyDefinition $definition -PolicyparameterObject $params -IdentityType 'SystemAssigned' -Location <location>
   
   #To get your assignemnt use:
   $policyAssignment=Get-AzPolicyAssignment -Name '<assignment name>' -Scope '/subscriptions/<subscriptionID>/resourcegroups/<resource group name>'
   
   

4. De vereiste rol of rollen toewijzen aan de door het systeem toegewezen beheerde identiteit

       $principalID=$policyAssignment.Identity.PrincipalId
       $roleDefinitionIds=$definition.Properties.policyRule.then.details.roleDefinitionIds
       $roleDefinitionIds | ForEach-Object {
           $roleDefId = $_.Split("/") | Select-Object -Last 1
           New-AzRoleAssignment -Scope $rg.ResourceId -ObjectId $policyAssignment.Identity.PrincipalId -RoleDefinitionId $roleDefId
       }
   

5. Scan op naleving en maak vervolgens een hersteltaak om naleving voor bestaande resources af te dwingen.

       Start-AzPolicyComplianceScan -ResourceGroupName $rg.ResourceGroupName
       Start-AzPolicyRemediation -Name $policyAssignment.Name -PolicyAssignmentId $policyAssignment.PolicyAssignmentId  -ResourceGroupName $rg.ResourceGroupName
   

6. Controleren op naleving

   Get-AzPolicyState -PolicyAssignmentName  $policyAssignment.Name -ResourceGroupName $policyAssignment.ResourceGroupName|select-object IsCompliant, ResourceID
   

Het beleid is na ongeveer 30 minuten zichtbaar in de diagnostische instellingen van de resources.

Hersteltaken

Beleidsregels worden toegepast op nieuwe resources wanneer ze worden gemaakt. Als u een beleid wilt toepassen op bestaande resources, maakt u een hersteltaak. Hersteltaken brengen resources in overeenstemming met een beleid.

Hersteltaken handelen voor specifieke beleidsregels. Voor initiatieven die meerdere beleidsregels bevatten, maakt u een hersteltaak voor elk beleid in het initiatief waarin u resources hebt die u in overeenstemming wilt brengen.

Definieer hersteltaken wanneer u het beleid voor het eerst toewijst of in een fase na toewijzing.

Als u een hersteltaak wilt maken voor beleid tijdens de beleidstoewijzing, selecteert u het tabblad Herstel op de pagina Beleid toewijzen en schakelt u het selectievakje Hersteltaak maken in.

Als u een hersteltaak wilt maken nadat het beleid is toegewezen, selecteert u het toegewezen beleid in de lijst op de pagina Beleidstoewijzingen.

Selecteer Herstellen. Houd de status van uw hersteltaak bij op het tabblad Hersteltaken van de pagina Beleidsherstel.

Zie Niet-compatibele resources herstellen voor meer informatie over hersteltaken

Initiatieven toewijzen

Initiatieven zijn verzamelingen beleidsregels. Er zijn twee sets initiatieven voor diagnostische instellingen van Azure Monitor:

1. De resourcelogboekregistratie van de auditcategoriegroep inschakelen

   • Resourcelogboekregistratie van auditcategoriegroep inschakelen voor ondersteunde resources naar Event Hubs
   • Resourcelogboekregistratie van auditcategoriegroepen inschakelen voor ondersteunde resources naar Log Analytics
   • Resourcelogboekregistratie van auditcategoriegroep inschakelen voor ondersteunde resources naar opslag

2. De resourcelogboekregistratie van de allLogs-categoriegroep inschakelen

   • Logboekregistratie van alle Logboeken-categorieresources inschakelen voor ondersteunde resources naar opslag
   • Logboekregistratie van resourcegroepen voor alleLogs-categorieën inschakelen voor ondersteunde resources naar Event Hubs
   • Logboekregistratie van resourcegroepen voor alleLogs-categorieën inschakelen voor ondersteunde resources naar Log Analytics

In dit voorbeeld wijzen we een initiatief toe voor het verzenden van auditlogboeken naar een Log Analytics-werkruimte.

Azure-portal

1. Selecteer uw bereik op de pagina beleidsdefinities.

2. Selecteer Initiatief in de vervolgkeuzelijst Definitietype .

3. Selecteer Bewaking in de vervolgkeuzelijst Categorie .

4. Voer audit in het zoekveld in.

5. Selecteer de resourcelogboekregistratie van de auditcategoriegroep inschakelen voor ondersteunde resources in log analytics-initiatief .

6. Selecteer Toewijzen op de volgende pagina

7. Selecteer op het tabblad Basisbeginselen van de pagina Initiatief toewijzen een bereik waarop u het initiatief wilt toepassen.

8. Voer een naam in het veld Toewijzingsnaam in.

9. Selecteer het tabblad Parameters .

   De parameters bevatten de parameters die zijn gedefinieerd in het beleid. In dit geval moeten we de Log Analytics-werkruimte selecteren waarnaar we de logboeken willen verzenden. Zie Beleidsspecifieke parameters voor meer informatie in de afzonderlijke parameters voor elk beleid.

10. Selecteer de Log Analytics-werkruimte waar u uw auditlogboeken naartoe wilt verzenden.

11. Selecteer Beoordelen en maken en vervolgens Maken

Als u wilt controleren of uw beleid of initiatieftoewijzing werkt, maakt u een resource in het abonnements- of resourcegroepbereik dat u hebt gedefinieerd in uw beleidstoewijzing.

Selecteer na 10 minuten de pagina Diagnostische instellingen voor uw resource. Uw diagnostische instelling wordt weergegeven in de lijst met de standaardnaam setByPolicy-LogAnalytics en de naam van de werkruimte die u in het beleid hebt geconfigureerd.

Wijzig de standaardnaam op het tabblad Parameters van de pagina Initiatief toewijzen of beleid door het selectievakje Alleen parameters weer te geven waarvoor invoer of revisie nodig is.

PowerShell

1. Uw omgevingsvariabelen instellen

   # Set up your environment variables.
   $subscriptionId = <your subscription ID>;
   $rg = Get-AzResourceGroup -Name <your resource group name>;
   Select-AzSubscription $subscriptionId;
   $logAnlayticsWorskspaceId=</subscriptions/$subscriptionId/resourcegroups/$rg.ResourceGroupName/providers/microsoft.operationalinsights/workspaces/<your log analytics workspace>;
   

2. Haal de initiatiefdefinitie op. In dit voorbeeld gebruiken we De resourcelogboekregistratie van de auditcategoriegroep inschakelen voor ondersteunde resources in Log Analytics, ResourceID "/providers/Microsoft.Authorization/policySetDefinitions/a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1e1e1e1e1"

   $definition = Get-AzPolicySetDefinition |Where-Object ResourceID -eq /providers/Microsoft.Authorization/policySetDefinitions/a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1;
   

3. Stel een toewijzingsnaam in en configureer parameters. Voor dit initiatief bevatten de parameters de Log Analytics-werkruimte-id.

   $assignmentName=<your assignment name>;
   $params =  @{"logAnalytics"="/subscriptions/$subscriptionId/resourcegroups/$($rg.ResourceGroupName)/providers/microsoft.operationalinsights/workspaces/<your log analytics workspace>"}  
   

4. Het initiatief toewijzen met behulp van de parameters

   $policyAssignment=New-AzPolicyAssignment -Name $assignmentName  -Scope $rg.ResourceId -PolicySetDefinition $definition -PolicyparameterObject $params -IdentityType 'SystemAssigned' -Location eastus;
   

5. Wijs de Contributor rol toe aan de door het systeem toegewezen beheerde identiteit. Voor andere initiatieven controleert u welke rollen vereist zijn.

    New-AzRoleAssignment -Scope $rg.ResourceId -ObjectId $policyAssignment.Identity.PrincipalId -RoleDefinitionName Contributor;
   

6. Scannen op beleidsnaleving. Het duurt enkele minuten voordat de Start-AzPolicyComplianceScan opdracht wordt geretourneerd

   Start-AzPolicyComplianceScan -ResourceGroupName $rg.ResourceGroupName;
   

7. Een lijst met resources ophalen om te herstellen en de vereiste parameters door aan te roepen Get-AzPolicyState

   $assignmentState=Get-AzPolicyState -PolicyAssignmentName  $assignmentName -ResourceGroupName $rg.ResourceGroupName;   
   $policyAssignmentId=$assignmentState.PolicyAssignmentId[0];
   $policyDefinitionReferenceIds=$assignmentState.PolicyDefinitionReferenceId;
   

8. Start voor elk resourcetype met niet-compatibele resources een hersteltaak.

       $policyDefinitionReferenceIds | ForEach-Object {
             $referenceId = $_
             Start-AzPolicyRemediation -ResourceGroupName $rg.ResourceGroupName  -PolicyAssignmentId $policyAssignmentId   -PolicyDefinitionReferenceId $referenceId -Name "$($rg.ResourceGroupName) remediation $referenceId";
       }
   

9. Controleer de nalevingsstatus wanneer de hersteltaken zijn voltooid.

   Get-AzPolicyState -PolicyAssignmentName  $assignmentName -ResourceGroupName $rg.ResourceGroupName|select-object IsCompliant, ResourceID
   

U kunt de details van uw beleidstoewijzing ophalen met behulp van de volgende opdracht:

  $policyAssignment=Get-AzPolicyAssignment -Name $assignmentName -Scope "/subscriptions/$subscriptionId/resourcegroups/$($rg.ResourceGroupName)";

CLI

1. Meld u aan bij uw Azure-account met behulp van de az login opdracht.

2. Selecteer het abonnement waarop u het beleidsinitiatief wilt toepassen met behulp van de az account set opdracht.

3. Wijs het initiatief toe met behulp van az policy assignment create.

   az policy assignment create --name <assignment name> --resource-group <resource group name> --policy-set-definition <initiative name> --params <parameters object> --mi-system-assigned --location <location>
   

   Voorbeeld:

   az policy assignment create --name "assign-cli-example-01" --resource-group "cli-example-01" --policy-set-definition 'a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1' --params '{"logAnalytics":{"value":"/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/cli-example-01/providers/microsoft.operationalinsights/workspaces/cli-example-01-ws"}, "diagnosticSettingName":{"value":"AssignedBy-cli-example-01"}}' --mi-system-assigned --location eastus
   

4. De vereiste rol toewijzen aan de door het systeem beheerde identiteit

   Zoek de rollen die moeten worden toegewezen in een van de beleidsdefinities in het initiatief door de definitie te zoeken naar roleDefinitionIds, bijvoorbeeld:

      ...},
         "roleDefinitionIds": [
           "/providers/Microsoft.Authorization/roleDefinitions/92aaf0da-9dab-42b6-94a3-d43ce8d16293"
         ],
         "deployment": {
           "properties": {...
   

   Wijs de vereiste rol toe met behulp van az policy assignment identity assign:

   az policy assignment identity assign --system-assigned --resource-group <resource group name> --role <role name or ID> --identity-scope <scope> --name <policy assignment name>
   

   Voorbeeld:

   az policy assignment identity assign --system-assigned --resource-group "cli-example-01" --role 92aaf0da-9dab-42b6-94a3-d43ce8d16293 --identity-scope "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/cli-example-01" --name assign-cli-example-01
   

5. Hersteltaken maken voor het beleid in het initiatief.

   Hersteltaken worden per beleid gemaakt. Elke taak is bedoeld voor een specifieke definition-reference-id, die in het initiatief is opgegeven als policyDefinitionReferenceId. Gebruik de volgende opdracht om de definition-reference-id parameter te vinden:

   az policy set-definition show --name a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1 |grep policyDefinitionReferenceId
   

   De resources herstellen met behulp van az policy remediation create

   az policy remediation create --resource-group <resource group name> --policy-assignment <assignment name> --name <remediation task name> --definition-reference-id  "policy specific reference ID"  --resource-discovery-mode ReEvaluateCompliance
   

   Voorbeeld:

   az policy remediation create --resource-group "cli-example-01" --policy-assignment assign-cli-example-01 --name "rem-assign-cli-example-01" --definition-reference-id  "keyvault-vaults"  --resource-discovery-mode ReEvaluateCompliance
   

   Als u een hersteltaak wilt maken voor alle beleidsregels in het initiatief, gebruikt u het volgende voorbeeld:

   for policyDefinitionReferenceId in $(az policy set-definition show --name a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1 |grep policyDefinitionReferenceId |cut -d":" -f2|sed s/\"//g) 
   do 
       az policy remediation create --resource-group "cli-example-01" --policy-assignment assign-cli-example-01 --name remediate-$policyDefinitionReferenceId --definition-reference-id $policyDefinitionReferenceId; 
   done 
   

Gezamenlijke parameters

In de volgende tabel worden de algemene parameters voor elke set beleidsregels beschreven.

Parameter	Description	Geldige waarden	Standaardinstelling
effect	De uitvoering van het beleid in- of uitschakelen	DeployIfNotExists, AuditIfNotExists, Uitgeschakeld	DeployIfNotExists
diagnosticSettingName	Naam van diagnostische instelling		setByPolicy-{LogAnalytics|EventHubs |Opslag}
categoryGroup	Groep diagnostische categorieën	geen audit allLogs	controleren
resourceTypeList	Voor initiatieven moet een lijst met resourcetypen worden geëvalueerd voor het bestaan van diagnostische instellingen.	Ondersteunde resources	Alle ondersteunde resources

Beleidsspecifieke parameters

Log Analytics-beleidsparameters

Met dit beleid wordt een diagnostische instelling geïmplementeerd met behulp van een categoriegroep om logboeken naar een Log Analytics-werkruimte te routeren.

Parameter	Description	Geldige waarden	Standaardinstelling
resourceLocationList	Lijst met resourcelocaties voor het verzenden van logboeken naar Log Analytics in de buurt. "*" selecteert alle locaties	Ondersteunde locaties	*
logAnalytics	Log Analytics-werkruimte

Event Hubs-beleidsparameters

Met dit beleid wordt een diagnostische instelling geïmplementeerd met behulp van een categoriegroep om logboeken naar een Event Hub te routeren.

Parameter	Description	Geldige waarden	Standaardinstelling
resourceLocation	Resourcelocatie moet dezelfde locatie zijn als de Event Hub-naamruimte	Ondersteunde locaties
eventHubAuthorizationRuleId	Autorisatieregel-id van Event Hub. De autorisatieregel bevindt zich op event hub-naamruimteniveau. Bijvoorbeeld /subscriptions/{subscription ID}/resourceGroups/{resource group}/providers/Microsoft.EventHub/namespaces/{Event Hub namespace}/authorizationrules/{authorization rule}
eventHubName	Event hub-naam		Controleren

Beleidsparameters voor opslagaccounts

Met dit beleid wordt een diagnostische instelling geïmplementeerd met behulp van een categoriegroep om logboeken naar een opslagaccount te routeren.

Parameter	Description	Geldige waarden	Standaardinstelling
resourceLocation	Resourcelocatie moet zich op dezelfde locatie bevinden als het opslagaccount	Ondersteunde locaties
storageAccount	ResourceId van opslagaccount

Ondersteunde resources

Ingebouwde beleidsregels voor alle logboeken en auditlogboeken voor Log Analytics-werkruimten, Event Hubs en Opslagaccounts bestaan voor de volgende resources:

Resourcetype	Alle logboeken	Auditlogboeken
microsoft.aad/domainservices	Ja	Ja
microsoft.agfoodplatform/farmbeats	Ja	Ja
microsoft.analysisservices/servers	Ja	Nr.
microsoft.apimanagement/service	Ja	Ja
microsoft.app/managedenvironments	Ja	Ja
microsoft.appconfiguration/configurationstores	Ja	Ja
microsoft.appplatform/spring	Ja	Nr.
microsoft.attestation/attestationproviders	Ja	Ja
microsoft.automation/automationaccounts	Ja	Ja
microsoft.autonomousdevelopmentplatform/workspaces	Ja	Nr.
microsoft.avs/privateclouds	Ja	Ja
microsoft.azureplaywrightservice/accounts	Ja	Ja
microsoft.azuresphere/catalogs	Ja	Ja
microsoft.batch/batchaccounts	Ja	Ja
microsoft.botservice/botservices	Ja	Nr.
microsoft.cache/redis	Ja	Ja
microsoft.cache/redisenterprise/databases	Ja	Ja
microsoft.cdn/cdnwebapplicationfirewallpolicies	Ja	Nr.
microsoft.cdn/profiles	Ja	Ja
microsoft.cdn/profiles/endpoints	Ja	Nr.
microsoft.chaos/experimenten	Ja	Ja
microsoft.classicnetwork/networksecuritygroups	Ja	Nr.
microsoft.cloudtest/hostedpools	Ja	Nr.
microsoft.codesigning/codesigningaccounts	Ja	Ja
microsoft.cognitiveservices/accounts	Ja	Ja
microsoft.communication/communicationservices	Ja	Nr.
microsoft.community/communitytrainingen	Ja	Ja
microsoft.confidentialledger/managedccfs	Ja	Ja
microsoft.connectedcache/enterprisemcccustomers	Ja	Nr.
microsoft.connectedcache/ispcustomers	Ja	Nr.
microsoft.containerinstance/containergroups	Ja	Nr.
microsoft.containerregistry/registries	Ja	Ja
microsoft.customproviders/resourceproviders	Ja	Nr.
microsoft.d365customerinsights/instances	Ja	Nr.
microsoft.dashboard/grafana	Ja	Ja
microsoft.databricks/workspaces	Ja	Nr.
microsoft.datafactory/factory's	Ja	Nr.
microsoft.datalakeanalytics/accounts	Ja	Nr.
microsoft.datalakestore/accounts	Ja	Nr.
microsoft.dataprotection/backupvaults	Ja	Nr.
microsoft.datashare/accounts	Ja	Nr.
microsoft.dbformariadb/servers	Ja	Nr.
microsoft.dbformysql/flexibleservers	Ja	Ja
microsoft.dbformysql/servers	Ja	Nr.
microsoft.dbforpostgresql/flexibleservers	Ja	Ja
microsoft.dbforpostgresql/servergroupsv2	Ja	Nr.
microsoft.dbforpostgresql/servers	Ja	Nr.
microsoft.desktopvirtualization/applicationgroups	Ja	Nr.
microsoft.desktopvirtualization/hostpools	Ja	Nr.
microsoft.desktopvirtualization/scalingplans	Ja	Nr.
microsoft.desktopvirtualization/workspaces	Ja	Nr.
microsoft.devcenter/devcenters	Ja	Ja
microsoft.devices/iothubs	Ja	Ja
microsoft.devices/provisioningservices	Ja	Nr.
microsoft.digitaltwins/digitaltwinsinstances	Ja	Nr.
microsoft.documentdb/cassandraclusters	Ja	Ja
microsoft.documentdb/databaseaccounts	Ja	Ja
microsoft.documentdb/mongoclusters	Ja	Ja
microsoft.eventgrid/domains	Ja	Ja
microsoft.eventgrid/partnernamespaces	Ja	Ja
microsoft.eventgrid/partnertopics	Ja	Nr.
microsoft.eventgrid/systemtopics	Ja	Nr.
microsoft.eventgrid/topics	Ja	Ja
microsoft.eventhub/namespaces	Ja	Ja
microsoft.experimentation/experimentworkspaces	Ja	Nr.
microsoft.healthcareapis/services	Ja	Nr.
microsoft.healthcareapis/workspaces/dicomservices	Ja	Nr.
microsoft.healthcareapis/workspaces/fhirservices	Ja	Nr.
microsoft.healthcareapis/workspaces/iotconnectors	Ja	Nr.
microsoft.insights/autoscalesettings	Ja	Nr.
microsoft.insights/components	Ja	Nr.
microsoft.insights/datacollectionrules	Ja	Nr.
microsoft.keyvault/managedhsms	Ja	Ja
microsoft.keyvault/vaults	Ja	Ja
microsoft.kusto/clusters	Ja	Ja
microsoft.loadtestservice/loadtests	Ja	Ja
microsoft.logic/integrationaccounts	Ja	Nr.
microsoft.logic/workflows	Ja	Nr.
microsoft.machinelearningservices/registers	Ja	Ja
microsoft.machinelearningservices/workspaces	Ja	Ja
microsoft.machinelearningservices/workspaces/onlineendpoints	Ja	Nr.
microsoft.managednetworkfabric/networkdevices	Ja	Nr.
microsoft.media/mediaservices	Ja	Ja
microsoft.media/mediaservices/liveevents	Ja	Ja
microsoft.media/mediaservices/streamingendpoints	Ja	Ja
microsoft.netapp/netappaccounts/capacitypools/volumes	Ja	Ja
microsoft.network/applicationgateways	Ja	Nr.
microsoft.network/azurefirewalls	Ja	Nr.
microsoft.network/bastionhosts	Ja	Ja
microsoft.network/dnsresolverpolicies	Ja	Nr.
microsoft.network/expressroutecircuits	Ja	Nr.
microsoft.network/frontdoors	Ja	Ja
microsoft.network/loadbalancers	Ja	Nr.
microsoft.network/networkmanagers	Ja	Ja
microsoft.network/networkmanagers/ipampools	Ja	Ja
microsoft.network/networksecuritygroups	Ja	Nr.
microsoft.network/networksecurityperimeters	Ja	Nr.
microsoft.network/p2svpngateways	Ja	Ja
microsoft.network/publicipaddresses	Ja	Ja
microsoft.network/publicipprefixes	Ja	Ja
microsoft.network/trafficmanagerprofiles	Ja	Nr.
microsoft.network/virtualnetworkgateways	Ja	Ja
microsoft.network/virtualnetworks	Ja	Nr.
microsoft.network/vpngateways	Ja	Nr.
microsoft.networkanalytics/dataproducts	Ja	Ja
microsoft.networkcloud/baremetalmachines	Ja	Nr.
microsoft.networkcloud/clusters	Ja	Nr.
microsoft.networkcloud/storageappliances	Ja	Nr.
microsoft.networkfunction/azuretrafficcollectors	Ja	Nr.
microsoft.notificationhubs/naamruimten	Ja	Ja
microsoft.notificationhubs/namespaces/notificationhubs	Ja	Ja
microsoft.openenergyplatform/energyservices	Ja	Nr.
microsoft.operationalinsights/workspaces	Ja	Ja
microsoft.powerbi/tenants/workspaces	Ja	Nr.
microsoft.powerbidedicated/capaciteiten	Ja	Nr.
microsoft.purview/accounts	Ja	Ja
microsoft.recoveryservices/kluizen	Ja	Nr.
microsoft.relay/naamruimten	Ja	Nr.
microsoft.search/searchservices	Ja	Ja
microsoft.servicebus/namespaces	Ja	Ja
microsoft.servicenetworking/trafficcontrollers	Ja	Nr.
microsoft.signalrservice/signalr	Ja	Ja
microsoft.signalrservice/webpubsub	Ja	Ja
microsoft.sql/managedinstances	Ja	Ja
microsoft.sql/managedinstances/databases	Ja	Nr.
microsoft.sql/servers/databases	Ja	Ja
microsoft.storagecache/caches	Ja	Nr.
microsoft.storagemover/storagemovers	Ja	Nr.
microsoft.streamanalytics/streamingjobs	Ja	Nr.
microsoft.synapse/workspaces	Ja	Ja
microsoft.synapse/workspaces/bigdatapools	Ja	Ja
microsoft.synapse/workspaces/kustopools	Ja	Ja
microsoft.synapse/workspaces/scopepools	Ja	Ja
microsoft.synapse/workspaces/sqlpools	Ja	Ja
microsoft.timeseriesinsights/environments	Ja	Nr.
microsoft.timeseriesinsights/environments/eventsources	Ja	Nr.
microsoft.videoindexer/accounts	Ja	Nr.
microsoft.web/hostingenvironments	Ja	Ja
microsoft.workloads/sapvirtualinstances	Ja	Ja

Volgende stappen

• Diagnostische instellingen op schaal maken met behulp van Azure Policy
• Ingebouwde Azure Policy-definities voor Azure Monitor
• Overzicht van Azure-beleid
• Azure Enterprise Policy als code