Wbudowane definicje usługi Azure Policy dla usługi Azure Virtual Network
Ta strona jest indeksem wbudowanych definicji zasad usługi Azure Policy dla usługi Azure Virtual Network. Aby uzyskać dodatkowe wbudowane funkcje usługi Azure Policy dla innych usług, zobacz Wbudowane definicje usługi Azure Policy.
Nazwa każdej wbudowanej definicji zasad łączy się z definicją zasad w witrynie Azure Portal. Użyj linku w kolumnie Wersja , aby wyświetlić źródło w repozytorium GitHub usługi Azure Policy.
Azure Virtual Network
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| [Wersja zapoznawcza]: cały ruch internetowy powinien być kierowany za pośrednictwem wdrożonej usługi Azure Firewall | Usługa Azure Security Center wykryła, że niektóre podsieci nie są chronione za pomocą zapory nowej generacji. Ochrona podsieci przed potencjalnymi zagrożeniami przez ograniczenie dostępu do nich za pomocą usługi Azure Firewall lub obsługiwanej zapory nowej generacji | AuditIfNotExists, Disabled | 3.0.0-preview |
| [Wersja zapoznawcza]: Usługa Container Registry powinna używać punktu końcowego usługi sieci wirtualnej | Te zasady przeprowadzają inspekcję dowolnego rejestru kontenerów, który nie jest skonfigurowany do używania punktu końcowego usługi sieci wirtualnej. | Inspekcja, wyłączone | 1.0.0-preview |
| Niestandardowe zasady protokołu IPsec/IKE muszą być stosowane do wszystkich połączeń bramy sieci wirtualnej platformy Azure | Te zasady zapewniają, że wszystkie połączenia bramy sieci wirtualnej platformy Azure używają niestandardowych zasad zabezpieczeń protokołu internetowego (Ipsec)/Internet Key Exchange(IKE). Obsługiwane algorytmy i mocne strony klucza — https://aka.ms/AA62kb0 | Inspekcja, wyłączone | 1.0.0 |
| Wszystkie zasoby dziennika przepływu powinny być w stanie włączonym | Przeprowadź inspekcję zasobów dziennika przepływu, aby sprawdzić, czy stan dziennika przepływu jest włączony. Włączenie dzienników przepływu umożliwia rejestrowanie informacji o przepływie ruchu IP. Może służyć do optymalizowania przepływów sieciowych, monitorowania przepływności, weryfikowania zgodności, wykrywania nieautoryzowanego dostępu i nie tylko. | Inspekcja, wyłączone | 1.0.1 |
| Aplikacje usługi App Service powinny używać punktu końcowego usługi sieci wirtualnej | Użyj punktów końcowych usługi sieci wirtualnej, aby ograniczyć dostęp do aplikacji z wybranych podsieci z sieci wirtualnej platformy Azure. Aby dowiedzieć się więcej o punktach końcowych usługi App Service, odwiedź stronę https://aka.ms/appservice-vnet-service-endpoint. | AuditIfNotExists, Disabled | 2.0.1 |
| Inspekcja konfiguracji dzienników przepływu dla każdej sieci wirtualnej | Przeprowadź inspekcję dla sieci wirtualnej, aby sprawdzić, czy dzienniki przepływu są skonfigurowane. Włączenie dzienników przepływu umożliwia rejestrowanie informacji o ruchu IP przepływającym przez sieć wirtualną. Może służyć do optymalizowania przepływów sieciowych, monitorowania przepływności, weryfikowania zgodności, wykrywania nieautoryzowanego dostępu i nie tylko. | Inspekcja, wyłączone | 1.0.1 |
| aplikacja systemu Azure Gateway należy wdrożyć za pomocą zapory aplikacji internetowej platformy Azure | Wymaga aplikacja systemu Azure zasobów bramy do wdrożenia za pomocą zapory aplikacji internetowej platformy Azure. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Reguły klasyczne usługi Azure Firewall powinny być migrowane do zasad zapory | Migrowanie z reguł klasycznych usługi Azure Firewall do zasad zapory w celu korzystania z centralnych narzędzi do zarządzania, takich jak usługa Azure Firewall Manager. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Analiza zasad usługi Azure Firewall powinna być włączona | Włączenie analizy zasad zapewnia zwiększony wgląd w ruch przepływujący przez usługę Azure Firewall, umożliwiając optymalizację konfiguracji zapory bez wpływu na wydajność aplikacji | Inspekcja, wyłączone | 1.0.0 |
| Zasady usługi Azure Firewall powinny włączyć analizę zagrożeń | Dla zapory można włączyć filtrowanie na podstawie analizy zagrożeń, aby zapora mogła odrzucać ruch z/do znanych złośliwych adresów IP i domen oraz wysyłać odpowiednie alerty. Adresy IP i domeny pochodzą z kanału informacyjnego analizy zagrożeń firmy Microsoft. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Zasady usługi Azure Firewall powinny mieć włączony serwer proxy DNS | Włączenie serwera proxy DNS spowoduje, że usługa Azure Firewall skojarzy z tymi zasadami, aby nasłuchiwać na porcie 53 i przekazywać żądania DNS do określonego serwera DNS | Inspekcja, wyłączone | 1.0.0 |
| Usługa Azure Firewall powinna zostać wdrożona w celu rozmieszczenia wielu Strefy dostępności | Aby zwiększyć dostępność, zalecamy wdrożenie usługi Azure Firewall w celu rozmieszczenia wielu Strefy dostępności. Dzięki temu usługa Azure Firewall pozostanie dostępna w przypadku awarii strefy. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Usługa Azure Firewall w warstwie Standardowa — reguły klasyczne powinny włączać analizę zagrożeń | Dla zapory można włączyć filtrowanie na podstawie analizy zagrożeń, aby zapora mogła odrzucać ruch z/do znanych złośliwych adresów IP i domen oraz wysyłać odpowiednie alerty. Adresy IP i domeny pochodzą z kanału informacyjnego analizy zagrożeń firmy Microsoft. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Usługa Azure Firewall w warstwie Standardowa powinna zostać uaktualniona do warstwy Premium na potrzeby ochrony nowej generacji | Jeśli szukasz ochrony nowej generacji, takiej jak idPS i inspekcja protokołu TLS, rozważ uaktualnienie usługi Azure Firewall do jednostki SKU w warstwie Premium. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Bramy sieci VPN platformy Azure nie powinny używać jednostki SKU "podstawowa" | Te zasady zapewniają, że bramy sieci VPN nie używają jednostki SKU "podstawowa". | Inspekcja, wyłączone | 1.0.0 |
| Zapora aplikacji internetowej platformy Azure w usłudze aplikacja systemu Azure Gateway powinna mieć włączoną inspekcję treści żądania | Upewnij się, że zapory aplikacji internetowej skojarzone z bramami aplikacja systemu Azure mają włączoną inspekcję treści żądania. Dzięki temu zapora aplikacji internetowej może sprawdzać właściwości w treści protokołu HTTP, które mogą nie być oceniane w nagłówkach HTTP, plikach cookie lub identyfikatorze URI. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Usługa Azure Web Application Firewall w usłudze Azure Front Door powinna mieć włączoną inspekcję treści żądania | Upewnij się, że zapory aplikacji internetowej skojarzone z usługą Azure Front Door mają włączoną inspekcję treści żądań. Dzięki temu zapora aplikacji internetowej może sprawdzać właściwości w treści protokołu HTTP, które mogą nie być oceniane w nagłówkach HTTP, plikach cookie lub identyfikatorze URI. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Zapora aplikacji internetowej platformy Azure powinna być włączona dla punktów wejścia usługi Azure Front Door | Wdróż zaporę aplikacji internetowej platformy Azure przed publicznymi aplikacjami internetowymi w celu dodatkowej inspekcji ruchu przychodzącego. Zapora aplikacji internetowej (WAF) zapewnia scentralizowaną ochronę aplikacji internetowych przed typowymi programami wykorzystującymi luki w zabezpieczeniach i lukami w zabezpieczeniach, takimi jak iniekcje SQL, wykonywanie skryptów między witrynami, lokalne i zdalne wykonywanie plików. Możesz również ograniczyć dostęp do aplikacji internetowych według krajów, zakresów adresów IP i innych parametrów http(s) za pośrednictwem reguł niestandardowych. | Inspekcja, Odmowa, Wyłączone | 1.0.2 |
| Ochrona bota powinna być włączona dla zapory aplikacji internetowej bramy aplikacja systemu Azure | Te zasady zapewniają, że ochrona botów jest włączona we wszystkich zasadach zapory aplikacji internetowej (WAF) usługi aplikacja systemu Azure Gateway | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Ochrona bota powinna być włączona dla zapory aplikacji internetowej usługi Azure Front Door | Te zasady zapewniają, że ochrona botów jest włączona we wszystkich zasadach zapory aplikacji internetowej usługi Azure Front Door (WAF) | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Konfigurowanie ustawień diagnostycznych dla sieciowych grup zabezpieczeń platformy Azure w obszarze roboczym usługi Log Analytics | Wdróż ustawienia diagnostyczne w sieciowych grupach zabezpieczeń platformy Azure, aby przesyłać strumieniowo dzienniki zasobów do obszaru roboczego usługi Log Analytics. | DeployIfNotExists, Disabled | 1.0.0 |
| Konfigurowanie sieciowych grup zabezpieczeń w celu włączenia analizy ruchu | Analizę ruchu można włączyć dla wszystkich sieciowych grup zabezpieczeń hostowanych w określonym regionie z ustawieniami podanymi podczas tworzenia zasad. Jeśli ma już włączoną analizę ruchu, zasady nie zastępują ustawień. Dzienniki przepływu są również włączone dla sieciowych grup zabezpieczeń, które ich nie mają. Analiza ruchu to oparte na chmurze rozwiązanie, które zapewnia wgląd w aktywność użytkowników i aplikacji w sieciach w chmurze. | DeployIfNotExists, Disabled | 1.2.0 |
| Konfigurowanie sieciowych grup zabezpieczeń do korzystania z określonego obszaru roboczego, konta magazynu i zasad przechowywania dzienników przepływu na potrzeby analizy ruchu | Jeśli analiza ruchu jest już włączona, zasady zastąpią istniejące ustawienia ustawieniami podanymi podczas tworzenia zasad. Analiza ruchu to oparte na chmurze rozwiązanie, które zapewnia wgląd w aktywność użytkowników i aplikacji w sieciach w chmurze. | DeployIfNotExists, Disabled | 1.2.0 |
| Konfigurowanie sieci wirtualnej w celu włączenia usługi Flow Log and Traffic Analytics | Analizy ruchu i dzienniki usługi Flow można włączyć dla wszystkich sieci wirtualnych hostowanych w określonym regionie z ustawieniami podanymi podczas tworzenia zasad. Te zasady nie zastępują bieżącego ustawienia dla sieci wirtualnych, które mają już włączoną tę funkcję. Analiza ruchu to oparte na chmurze rozwiązanie, które zapewnia wgląd w aktywność użytkowników i aplikacji w sieciach w chmurze. | DeployIfNotExists, Disabled | 1.1.1 |
| Konfigurowanie sieci wirtualnych w celu wymuszania obszaru roboczego, konta magazynu i interwału przechowywania dzienników usługi Flow i analizy ruchu | Jeśli sieć wirtualna ma już włączoną analizę ruchu, te zasady zastąpią istniejące ustawienia ustawieniami podanymi podczas tworzenia zasad. Analiza ruchu to oparte na chmurze rozwiązanie, które zapewnia wgląd w aktywność użytkowników i aplikacji w sieciach w chmurze. | DeployIfNotExists, Disabled | 1.1.2 |
| Usługa Cosmos DB powinna używać punktu końcowego usługi sieci wirtualnej | Te zasady sprawdzają, czy żadna usługa Cosmos DB nie jest skonfigurowana do używania punktu końcowego usługi sieci wirtualnej. | Inspekcja, wyłączone | 1.0.0 |
| Wdrażanie zasobu dziennika przepływu z docelową sieciową grupą zabezpieczeń | Konfiguruje dziennik przepływu dla określonej sieciowej grupy zabezpieczeń. Umożliwi to rejestrowanie informacji o ruchu IP przepływającym przez sieciową grupę zabezpieczeń. Dziennik przepływu pomaga zidentyfikować nieznany lub niepożądany ruch, zweryfikować izolację sieci i zgodność z regułami dostępu przedsiębiorstwa, analizować przepływy sieciowe z naruszonych adresów IP i interfejsów sieciowych. | deployIfNotExists | 1.1.0 |
| Wdrażanie zasobu dziennika przepływu z docelową siecią wirtualną | Konfiguruje dziennik przepływu dla określonej sieci wirtualnej. Umożliwi to rejestrowanie informacji o ruchu IP przepływającym przez sieć wirtualną. Dziennik przepływu pomaga zidentyfikować nieznany lub niepożądany ruch, zweryfikować izolację sieci i zgodność z regułami dostępu przedsiębiorstwa, analizować przepływy sieciowe z naruszonych adresów IP i interfejsów sieciowych. | DeployIfNotExists, Disabled | 1.1.1 |
| Wdrażanie usługi Network Watcher podczas tworzenia sieci wirtualnych | Te zasady tworzą zasób usługi Network Watcher w regionach z sieciami wirtualnymi. Należy upewnić się, że istnieje grupa zasobów o nazwie networkWatcherRG, która będzie używana do wdrażania wystąpień usługi Network Watcher. | DeployIfNotExists | 1.0.0 |
| Włączanie reguły limitu szybkości w celu ochrony przed atakami DDoS w zaporze aplikacji internetowej usługi Azure Front Door | Reguła limitu szybkości usługi Azure Web Application Firewall (WAF) dla usługi Azure Front Door kontroluje liczbę żądań dozwolonych z określonego adresu IP klienta do aplikacji w czasie trwania limitu szybkości. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Centrum zdarzeń powinno używać punktu końcowego usługi sieci wirtualnej | Te zasady sprawdzają, czy żadne centrum zdarzeń nie jest skonfigurowane do korzystania z punktu końcowego usługi sieci wirtualnej. | AuditIfNotExists, Disabled | 1.0.0 |
| Dzienniki przepływu należy skonfigurować dla każdej sieciowej grupy zabezpieczeń | Przeprowadź inspekcję sieciowych grup zabezpieczeń, aby sprawdzić, czy dzienniki przepływu są skonfigurowane. Włączenie dzienników przepływu umożliwia rejestrowanie informacji o ruchu IP przepływającym za pośrednictwem sieciowej grupy zabezpieczeń. Może służyć do optymalizowania przepływów sieciowych, monitorowania przepływności, weryfikowania zgodności, wykrywania nieautoryzowanego dostępu i nie tylko. | Inspekcja, wyłączone | 1.1.0 |
| Podsieci bramy nie powinny być skonfigurowane z sieciową grupą zabezpieczeń | Te zasady nie zezwalają na skonfigurowanie podsieci bramy z sieciową grupą zabezpieczeń. Przypisanie sieciowej grupy zabezpieczeń do podsieci bramy spowoduje, że brama przestanie działać. | odmowa | 1.0.0 |
| Usługa Key Vault powinna używać punktu końcowego usługi sieci wirtualnej | Te zasady sprawdzają, czy usługa Key Vault nie jest skonfigurowana do używania punktu końcowego usługi sieci wirtualnej. | Inspekcja, wyłączone | 1.0.0 |
| Migrowanie zapory aplikacji internetowej z konfiguracji zapory aplikacji internetowej do zasad zapory aplikacji internetowej w usłudze Application Gateway | Jeśli masz konfigurację zapory aplikacji internetowej zamiast zasad zapory aplikacji internetowej, możesz przejść do nowych zasad zapory aplikacji internetowej. W przyszłości zasady zapory będą obsługiwać ustawienia zasad zapory aplikacji internetowej, zarządzane zestawy reguł, wykluczenia i wyłączone grupy reguł. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Interfejsy sieciowe powinny wyłączyć przekazywanie adresów IP | Te zasady odrzucają interfejsy sieciowe, które włączyły przekazywanie adresów IP. Ustawienie przekazywania adresów IP wyłącza sprawdzanie źródła i miejsca docelowego dla interfejsu sieciowego platformy Azure. Powinno to zostać przejrzyone przez zespół ds. zabezpieczeń sieci. | odmowa | 1.0.0 |
| Interfejsy sieciowe nie powinny mieć publicznych adresów IP | Te zasady odrzucają interfejsy sieciowe skonfigurowane przy użyciu dowolnego publicznego adresu IP. Publiczne adresy IP umożliwiają zasobom internetowym komunikowanie się w ramach ruchu przychodzącego z zasobami platformy Azure, a zasobom platformy Azure komunikowanie się w ramach ruchu wychodzącego z Internetem. Powinno to zostać przejrzyone przez zespół ds. zabezpieczeń sieci. | odmowa | 1.0.0 |
| Dzienniki przepływu usługi Network Watcher powinny mieć włączoną analizę ruchu | Analiza ruchu analizuje dzienniki przepływów, aby zapewnić wgląd w przepływ ruchu w chmurze platformy Azure. Może służyć do wizualizowania aktywności sieci w ramach subskrypcji platformy Azure i identyfikowania punktów aktywnych, identyfikowania zagrożeń bezpieczeństwa, zrozumienia wzorców przepływu ruchu, wskazywania błędów konfiguracji sieci i nie tylko. | Inspekcja, wyłączone | 1.0.1 |
| Usługa Network Watcher powinna być włączona | Network Watcher to usługa regionalna, która umożliwia monitorowanie i diagnozowanie warunków na poziomie scenariusza sieci w systemach, do i z platformy Azure. Monitorowanie na poziomie scenariusza umożliwia diagnozowanie problemów na koniec widoku poziomu sieci. Wymagane jest utworzenie grupy zasobów usługi Network Watcher w każdym regionie, w którym znajduje się sieć wirtualna. Alert jest włączony, jeśli grupa zasobów usługi Network Watcher nie jest dostępna w określonym regionie. | AuditIfNotExists, Disabled | 3.0.0 |
| Publiczne adresy IP i prefiksy publicznych adresów IP powinny mieć tag FirstPartyUsage | Upewnij się, że wszystkie publiczne adresy IP i prefiksy publicznych adresów IP mają tag FirstPartyUsage. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Program SQL Server powinien używać punktu końcowego usługi sieci wirtualnej | Te zasady sprawdzają, czy żaden program SQL Server nie jest skonfigurowany do używania punktu końcowego usługi sieci wirtualnej. | AuditIfNotExists, Disabled | 1.0.0 |
| Konta magazynu powinny używać punktu końcowego usługi sieci wirtualnej | Te zasady sprawdzają, czy żadne konto magazynu nie zostało skonfigurowane do używania punktu końcowego usługi sieci wirtualnej. | Inspekcja, wyłączone | 1.0.0 |
| Podsieci powinny być prywatne | Upewnij się, że podsieci są domyślnie bezpieczne, uniemożliwiając domyślny dostęp wychodzący. Aby uzyskać więcej informacji, przejdź na stronę https://aka.ms/defaultoutboundaccessretirement | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Koncentratory wirtualne powinny być chronione za pomocą usługi Azure Firewall | Wdróż usługę Azure Firewall w usłudze Virtual Hubs, aby chronić i szczegółowo kontrolować ruch wychodzący i przychodzący z Internetu. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Maszyny wirtualne powinny być połączone z zatwierdzoną siecią wirtualną | Te zasady przeprowadzają inspekcję każdej maszyny wirtualnej połączonej z siecią wirtualną, która nie jest zatwierdzona. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Sieci wirtualne powinny być chronione przez usługę Azure DDoS Protection | Ochrona sieci wirtualnych przed atakami woluminowymi i protokołami za pomocą usługi Azure DDoS Protection. Aby uzyskać więcej informacji, zobacz https://aka.ms/ddosprotectiondocs. | Modyfikowanie, inspekcja, wyłączone | 1.0.1 |
| Sieci wirtualne powinny używać określonej bramy sieci wirtualnej | Te zasady przeprowadzają inspekcję dowolnej sieci wirtualnej, jeśli trasa domyślna nie wskazuje określonej bramy sieci wirtualnej. | AuditIfNotExists, Disabled | 1.0.0 |
| Bramy sieci VPN powinny używać tylko uwierzytelniania usługi Azure Active Directory (Azure AD) dla użytkowników punkt-lokacja | Wyłączenie lokalnych metod uwierzytelniania zwiększa bezpieczeństwo, zapewniając, że bramy sieci VPN używają tylko tożsamości usługi Azure Active Directory do uwierzytelniania. Dowiedz się więcej o uwierzytelnianiu w usłudze Azure AD pod adresem https://docs.microsoft.com/azure/vpn-gateway/openvpn-azure-ad-tenant | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Zapora aplikacji internetowej (WAF) powinna być włączona dla usługi Application Gateway | Wdróż zaporę aplikacji internetowej platformy Azure przed publicznymi aplikacjami internetowymi w celu dodatkowej inspekcji ruchu przychodzącego. Zapora aplikacji internetowej (WAF) zapewnia scentralizowaną ochronę aplikacji internetowych przed typowymi programami wykorzystującymi luki w zabezpieczeniach i lukami w zabezpieczeniach, takimi jak iniekcje SQL, wykonywanie skryptów między witrynami, lokalne i zdalne wykonywanie plików. Możesz również ograniczyć dostęp do aplikacji internetowych według krajów, zakresów adresów IP i innych parametrów http(s) za pośrednictwem reguł niestandardowych. | Inspekcja, Odmowa, Wyłączone | 2.0.0 |
| Zapora aplikacji internetowej (WAF) powinna używać określonego trybu dla usługi Application Gateway | Nakazuje używanie trybu wykrywania lub zapobiegania, aby był aktywny we wszystkich zasadach zapory aplikacji internetowej dla usługi Application Gateway. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Zapora aplikacji internetowej (WAF) powinna używać określonego trybu dla usługi Azure Front Door Service | Nakazuje korzystanie z trybu wykrywania lub zapobiegania, aby był aktywny we wszystkich zasadach zapory aplikacji internetowej dla usługi Azure Front Door Service. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
Tagi
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Dodaj tag do grup zasobów | Powoduje dodanie określonego tagu oraz wartości podczas tworzenia lub aktualizowania dowolnej grupy zasobów niemającej tego tagu. Istniejące grupy zasobów można skorygować, wyzwalając zadanie korygowania. Jeśli tag istnieje z inną wartością, nie zostanie zmieniony. | Modyfikowanie | 1.0.0 |
| Dodaj tag do zasobów | Powoduje dodanie określonego tagu oraz wartości podczas tworzenia lub aktualizowania dowolnego zasobu niemającego tego tagu. Istniejące zasoby można skorygować, wyzwalając zadanie korygowania. Jeśli tag istnieje z inną wartością, nie zostanie zmieniony. Tagi w grupach zasobów nie są modyfikowane. | Modyfikowanie | 1.0.0 |
| Dodawanie tagu do subskrypcji | Dodaje określony tag i wartość do subskrypcji za pośrednictwem zadania korygowania. Jeśli tag istnieje z inną wartością, nie zostanie zmieniony. Zobacz https://aka.ms/azurepolicyremediation , aby uzyskać więcej informacji na temat korygowania zasad. | Modyfikowanie | 1.0.0 |
| Dodaj lub zamień tag w grupach zasobów | Powoduje dodanie lub zastąpienie określonego tagu oraz wartości podczas tworzenia lub aktualizowania dowolnej grupy zasobów. Istniejące grupy zasobów można skorygować, wyzwalając zadanie korygowania. | Modyfikowanie | 1.0.0 |
| Dodaj lub zamień tag w zasobach | Powoduje dodanie lub zastąpienie określonego tagu oraz wartości podczas tworzenia lub aktualizowania dowolnego zasobu. Istniejące zasoby można skorygować, wyzwalając zadanie korygowania. Tagi w grupach zasobów nie są modyfikowane. | Modyfikowanie | 1.0.0 |
| Dodawanie lub zastępowanie tagu w subskrypcjach | Dodaje lub zastępuje określony tag i wartość dla subskrypcji za pośrednictwem zadania korygowania. Istniejące grupy zasobów można skorygować, wyzwalając zadanie korygowania. Zobacz https://aka.ms/azurepolicyremediation , aby uzyskać więcej informacji na temat korygowania zasad. | Modyfikowanie | 1.0.0 |
| Dołączaj tag i jego wartość z grupy zasobów | Powoduje dołączenie określonego tagu i jego wartości z grupy zasobów podczas tworzenia lub aktualizowania dowolnego zasobu niemającego tego tagu. Tagi zasobów utworzonych przed zastosowaniem tych zasad nie są modyfikowane do czasu zmiany tych zasobów. Dostępne są nowe zasady efektu "modyfikuj", które obsługują korygowanie tagów w istniejących zasobach (zobacz https://aka.ms/modifydoc). | append | 1.0.0 |
| Dołączaj tag i jego wartość do grup zasobów | Powoduje dołączenie określonego tagu oraz wartości podczas tworzenia lub aktualizowania dowolnej grupy zasobów niemającej tego tagu. Tagi grup zasobów utworzonych przed zastosowaniem tych zasad nie są modyfikowane do czasu zmiany tych grup zasobów. Dostępne są nowe zasady efektu "modyfikuj", które obsługują korygowanie tagów w istniejących zasobach (zobacz https://aka.ms/modifydoc). | append | 1.0.0 |
| Dołączaj tag i jego wartość do zasobów | Powoduje dołączenie określonego tagu oraz wartości podczas tworzenia lub aktualizowania dowolnego zasobu niemającego tego tagu. Tagi zasobów utworzonych przed zastosowaniem tych zasad nie są modyfikowane do czasu zmiany tych zasobów. Te zasady nie dotyczą grup zasobów. Dostępne są nowe zasady efektu "modyfikuj", które obsługują korygowanie tagów w istniejących zasobach (zobacz https://aka.ms/modifydoc). | append | 1.0.1 |
| Dziedzicz tag z grupy zasobów | Powoduje dodanie lub zastąpienie określonego tagu oraz wartości z nadrzędnej grupy zasobów podczas tworzenia lub aktualizowania dowolnego zasobu. Istniejące zasoby można skorygować, wyzwalając zadanie korygowania. | Modyfikowanie | 1.0.0 |
| Dziedzicz tag z grupy zasobów, jeśli go nie ma | Powoduje dodanie określonego tagu i jego wartości z nadrzędnej grupy zasobów podczas tworzenia lub aktualizowania dowolnego zasobu niemającego tego tagu. Istniejące zasoby można skorygować, wyzwalając zadanie korygowania. Jeśli tag istnieje z inną wartością, nie zostanie zmieniony. | Modyfikowanie | 1.0.0 |
| Dziedzicz tag z subskrypcji | Powoduje dodanie lub zastąpienie określonego tagu oraz wartości z zawierającej subskrypcji podczas tworzenia lub aktualizowania dowolnego zasobu. Istniejące zasoby można skorygować, wyzwalając zadanie korygowania. | Modyfikowanie | 1.0.0 |
| Dziedzicz tag z subskrypcji, jeśli go nie ma | Powoduje dodanie określonego tagu i jego wartości z zawierającej subskrypcji podczas tworzenia lub aktualizowania dowolnego zasobu niemającego tego tagu. Istniejące zasoby można skorygować, wyzwalając zadanie korygowania. Jeśli tag istnieje z inną wartością, nie zostanie zmieniony. | Modyfikowanie | 1.0.0 |
| Wymagaj tagu i jego wartości w grupach zasobów | Wymusza wymagany tag i jego wartość na grupach zasobów. | odmowa | 1.0.0 |
| Wymagaj tagu i jego wartości w zasobach | Wymusza wymagany tag i jego wartość. Te zasady nie dotyczą grup zasobów. | odmowa | 1.0.1 |
| Wymagaj tagu w grupach zasobów | Wymusza obecność tagu w grupach zasobów. | odmowa | 1.0.0 |
| Wymagaj tagu w zasobach | Wymusza istnienie tagu. Te zasady nie dotyczą grup zasobów. | odmowa | 1.0.1 |
Ogólne
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Dozwolone lokalizacje | Ta zasada umożliwia ograniczenie lokalizacji, które organizacja może określić podczas wdrażania zasobów. Służy do wymuszania wymagań dotyczących zgodności obszarów geograficznych. Nie obejmuje grup zasobów, elementu Microsoft.AzureActiveDirectory/b2cDirectories i zasobów używających regionu „globalny”. | odmowa | 1.0.0 |
| Dozwolone lokalizacje dla grup zasobów | Te zasady umożliwiają ograniczenie lokalizacji, w których organizacja może tworzyć grupy zasobów. Służy do wymuszania wymagań dotyczących zgodności obszarów geograficznych. | odmowa | 1.0.0 |
| Allowed resource types (Dozwolone typy zasobów) | Te zasady umożliwiają określenie typów zasobów, które organizacja może wdrożyć. Te zasady będą miały wpływ tylko na typy zasobów, które obsługują tagi i lokalizację. Aby ograniczyć wszystkie zasoby, zduplikuj te zasady i zmień tryb na "Wszystkie". | odmowa | 1.0.0 |
| Lokalizacja zasobu inspekcji jest zgodna z lokalizacją grupy zasobów | Inspekcja, czy lokalizacja zasobu jest zgodna z lokalizacją grupy zasobów | inspekcje | 2.0.0 |
| Inspekcja użycia niestandardowych ról RBAC | Przeprowadź inspekcję wbudowanych ról, takich jak "Właściciel, Współautor, Czytelnik" zamiast niestandardowych ról RBAC, które są podatne na błędy. Używanie ról niestandardowych jest traktowane jako wyjątek i wymaga rygorystycznego przeglądu i modelowania zagrożeń | Inspekcja, wyłączone | 1.0.1 |
| Konfigurowanie subskrypcji do konfigurowania funkcji w wersji zapoznawczej | Te zasady oceniają funkcje w wersji zapoznawczej istniejącej subskrypcji. Subskrypcje można skorygować w celu zarejestrowania się w nowej funkcji w wersji zapoznawczej. Nowe subskrypcje nie zostaną automatycznie zarejestrowane. | AuditIfNotExists, DeployIfNotExists, Disabled | 1.0.1 |
| Nie zezwalaj na usuwanie typów zasobów | Te zasady umożliwiają określenie typów zasobów, które organizacja może chronić przed przypadkowym usunięciem, blokując wywołania usuwania przy użyciu efektu akcji odmowy. | DenyAction, Disabled | 1.0.1 |
| Nie zezwalaj na zasoby usługi M365 | Blokuj tworzenie zasobów platformy M365. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Nie zezwalaj na zasoby MCPP | Blokuj tworzenie zasobów MCPP. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Wykluczanie zasobów kosztów użycia | Te zasady umożliwiają uwidocznienie zasobów kosztów użycia. Koszty użycia obejmują elementy, takie jak magazyn mierzony i zasoby platformy Azure, które są rozliczane na podstawie użycia. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Not allowed resource types (Niedozwolone typy zasobów) | Ogranicz typy zasobów, które można wdrożyć w danym środowisku. Ograniczenie typów zasobów może zmniejszyć złożoność i powierzchnię ataków środowiska, a jednocześnie pomóc w zarządzaniu kosztami. Wyniki zgodności są wyświetlane tylko dla niezgodnych zasobów. | Inspekcja, Odmowa, Wyłączone | 2.0.0 |
Następne kroki
- Zobacz wbudowane elementy w repozytorium GitHub usługi Azure Policy.
- Przejrzyj temat Struktura definicji zasad Azure Policy.
- Przejrzyj wyjaśnienie działania zasad.