Wbudowane zasady dla usługi Azure Monitor

Inicjatywy zasad i zasad zapewniają prostą metodę włączania rejestrowania na dużą skalę za pośrednictwem ustawień diagnostycznych usługi Azure Monitor. Korzystając z inicjatywy zasad, można włączyć rejestrowanie inspekcji dla wszystkich obsługiwanych zasobów w środowisku platformy Azure.

Włącz dzienniki zasobów, aby śledzić działania i zdarzenia, które mają miejsce w zasobach, i zapewnić wgląd w wszelkie zmiany, które występują. Przypisz zasady, aby włączyć dzienniki zasobów i wysłać je do miejsc docelowych zgodnie z potrzebami. Wysyłanie dzienników do centrów zdarzeń dla systemów SIEM innych firm, co umożliwia ciągłe operacje zabezpieczeń. Wysyłanie dzienników do kont magazynu w celu przechowywania długoterminowego lub realizacji zgodności z przepisami.

Istnieje zestaw wbudowanych zasad i inicjatyw, które umożliwiają kierowanie dzienników zasobów do obszarów roboczych usługi Log Analytics, usługi Event Hubs i kont magazynu. Zasady umożliwiają rejestrowanie inspekcji, wysyłanie dzienników należących do grupy kategorii inspekcji lub Wszystkie dzienniki do centrum zdarzeń, obszaru roboczego usługi Log Analytics lub konta magazynu. Zasady to effect DeployIfNotExists, która wdraża zasady jako domyślne, jeśli nie zdefiniowano innych ustawień.

Wdrażanie zasad.

Wdrażanie zasad i inicjatyw przy użyciu portalu, interfejsu wiersza polecenia, programu PowerShell lub szablonów usługi Azure Resource Management

Witryna Azure Portal

W poniższych krokach pokazano, jak zastosować zasady w celu wysyłania dzienników inspekcji do magazynu kluczy do obszaru roboczego usługi Log Analytics.

1. Na stronie Zasady wybierz pozycję Definicje.

2. Wybierz zakres. Zasady można zastosować do całej subskrypcji, grupy zasobów lub pojedynczego zasobu.

3. Z listy rozwijanej Typ definicji wybierz pozycję Zasady.

4. Wybierz pozycję Monitorowanie z listy rozwijanej Kategoria

5. Wprowadź ciąg keyvault w polu Wyszukaj .

6. Wybierz grupę Włącz rejestrowanie według kategorii dla magazynów kluczy (microsoft.keyvault/vaults) do zasad usługi Log Analytics .

7. Na stronie definicji zasad wybierz pozycję Przypisz

8. Wybierz kartę Parametry.

9. Wybierz obszar roboczy usługi Log Analytics, do którego chcesz wysłać dzienniki inspekcji.

10. Wybierz kartę Korygowanie .

11. Na karcie Korygowanie wybierz zasady magazynu kluczy z listy rozwijanej Zasady, aby skorygować .

12. Zaznacz pole wyboru Utwórz tożsamość zarządzaną.

13. W obszarze Typ tożsamości zarządzanej wybierz pozycję Tożsamość zarządzana przypisana przez system.

14. Wybierz pozycję Przeglądanie i tworzenie, a następnie wybierz pozycję Utwórz.

Interfejs wiersza polecenia

Aby zastosować zasady przy użyciu interfejsu wiersza polecenia, użyj następujących poleceń:

1. Utwórz przypisanie zasad przy użyciu polecenia az policy assignment create.

     az policy assignment create --name <policy assignment name>  --policy "6b359d8f-f88d-4052-aa7c-32015963ecc1"  --scope <scope> --params "{\"logAnalytics\": {\"value\": \"<log analytics workspace resource ID"}}" --mi-system-assigned --location <location>
   

   Aby na przykład zastosować zasady do wysyłania dzienników inspekcji do obszaru roboczego usługi Log Analytics

     az policy assignment create --name "policy-assignment-1"  --policy "6b359d8f-f88d-4052-aa7c-32015963ecc1"  --scope /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/rg-001 --params "{\"logAnalytics\": {\"value\": \"/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/rg-001/providers/microsoft.operationalinsights/workspaces/workspace-001\"}}" --mi-system-assigned --location eastus
   

2. Przypisz wymaganą rolę do tożsamości utworzonej dla przypisania zasad. Znajdź rolę w definicji zasad, wyszukując identyfikatory roleDefinitionId

      ...},
         "roleDefinitionIds": [
           "/providers/Microsoft.Authorization/roleDefinitions/92aaf0da-9dab-42b6-94a3-d43ce8d16293"
         ],
         "deployment": {
           "properties": {...
   

   Przypisz wymaganą rolę przy użyciu polecenia az policy assignment identity assign:

   az policy assignment identity assign --system-assigned --resource-group <resource group name> --role <role name or ID> --identity-scope </scope> --name <policy assignment name>
   

   Na przykład:

   az policy assignment identity assign --system-assigned --resource-group rg-001  --role 92aaf0da-9dab-42b6-94a3-d43ce8d16293 --identity-scope /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/rg001 --name policy-assignment-1
   

3. Wyzwalanie skanowania w celu znalezienia istniejących zasobów przy użyciu polecenia az policy state trigger-scan.

   az policy state trigger-scan --resource-group rg-001
   

4. Utwórz zadanie korygowania, aby zastosować zasady do istniejących zasobów przy użyciu polecenia az policy remediation create.

   az policy remediation create -g <resource group name> --policy-assignment <policy assignment name> --name <remediation name> 
   

   Na przykład:

   az policy remediation create -g rg-001 -n remediation-001 --policy-assignment policy-assignment-1
   

Aby uzyskać więcej informacji na temat przypisywania zasad przy użyciu interfejsu wiersza polecenia platformy Azure, zobacz Dokumentacja interfejsu wiersza polecenia platformy Azure — az policy assignment

Program PowerShell

Aby zastosować zasady przy użyciu programu PowerShell, użyj następujących poleceń:

1. Skonfiguruj środowisko. Wybierz subskrypcję i ustaw grupę zasobów

   Select-AzSubscription <subscriptionID>
   $rg = Get-AzResourceGroup -Name <resource groups name>    
   

2. Pobierz definicję zasad i skonfiguruj parametry zasad. W poniższym przykładzie przypisujemy zasady do wysyłania dzienników keyVault do obszaru roboczego usługi Log Analytics

   $definition = Get-AzPolicyDefinition |Where-Object Name -eq 6b359d8f-f88d-4052-aa7c-32015963ecc1
   $params =  @{"logAnalytics"="/subscriptions/<subscriptionID/resourcegroups/<resourcgroup>/providers/microsoft.operationalinsights/workspaces/<log anlaytics workspace name>"}  
   

3. Przypisywanie zasad

   $policyAssignment=New-AzPolicyAssignment -Name <assignment name> -DisplayName "assignment display name" -Scope $rg.ResourceId -PolicyDefinition $definition -PolicyparameterObject $params -IdentityType 'SystemAssigned' -Location <location>
   
   #To get your assignemnt use:
   $policyAssignment=Get-AzPolicyAssignment -Name '<assignment name>' -Scope '/subscriptions/<subscriptionID>/resourcegroups/<resource group name>'
   
   

4. Przypisywanie wymaganej roli lub ról do przypisanej przez system tożsamości zarządzanej

       $principalID=$policyAssignment.Identity.PrincipalId
       $roleDefinitionIds=$definition.Properties.policyRule.then.details.roleDefinitionIds
       $roleDefinitionIds | ForEach-Object {
           $roleDefId = $_.Split("/") | Select-Object -Last 1
           New-AzRoleAssignment -Scope $rg.ResourceId -ObjectId $policyAssignment.Identity.PrincipalId -RoleDefinitionId $roleDefId
       }
   

5. Skanuj pod kątem zgodności, a następnie utwórz zadanie korygowania, aby wymusić zgodność istniejących zasobów.

       Start-AzPolicyComplianceScan -ResourceGroupName $rg.ResourceGroupName
       Start-AzPolicyRemediation -Name $policyAssignment.Name -PolicyAssignmentId $policyAssignment.PolicyAssignmentId  -ResourceGroupName $rg.ResourceGroupName
   

6. Sprawdź zgodność

   Get-AzPolicyState -PolicyAssignmentName  $policyAssignment.Name -ResourceGroupName $policyAssignment.ResourceGroupName|select-object IsCompliant, ResourceID
   

Zasady są widoczne w ustawieniach diagnostycznych zasobów po około 30 minutach.

Zadania korygowania

Zasady są stosowane do nowych zasobów po ich utworzeniu. Aby zastosować zasady do istniejących zasobów, utwórz zadanie korygowania. Zadania korygowania mają zgodność zasobów z zasadami.

Zadania korygowania działają dla określonych zasad. W przypadku inicjatyw zawierających wiele zasad utwórz zadanie korygowania dla każdej zasady w inicjatywie, w której masz zasoby, które mają być zgodne.

Zdefiniuj zadania korygowania podczas pierwszego przypisywania zasad lub na dowolnym etapie po przypisaniu.

Aby utworzyć zadanie korygowania zasad podczas przypisywania zasad, wybierz kartę Korygowanie na stronie Przypisywanie zasad i zaznacz pole wyboru Utwórz zadanie korygowania.

Aby utworzyć zadanie korygowania po przypisaniu zasad, wybierz przypisane zasady z listy na stronie Przypisania zasad.

Wybierz pozycję Koryguj. Śledź stan zadania korygowania na karcie Zadania korygowania na stronie Korygowanie zasad.

Aby uzyskać więcej informacji na temat zadań korygowania, zobacz Korygowanie niezgodnych zasobów

Przypisywanie inicjatyw

Inicjatywy to kolekcje zasad. Istnieją dwa zestawy inicjatyw dotyczących ustawień diagnostyki usługi Azure Monitor:

1. Włączanie rejestrowania zasobów grupy kategorii inspekcji

   • Włączanie rejestrowania zasobów grupy kategorii inspekcji dla obsługiwanych zasobów w usłudze Event Hubs
   • Włączanie rejestrowania zasobów grupy kategorii inspekcji dla obsługiwanych zasobów w usłudze Log Analytics
   • Włączanie rejestrowania zasobów grupy kategorii inspekcji dla obsługiwanych zasobów do magazynu

2. Włączanie rejestrowania zasobów grupy kategorii AllLogs

   • Włącz rejestrowanie zasobów grupy kategorii AllLogs dla obsługiwanych zasobów do magazynu
   • Włączanie rejestrowania zasobów grupy kategorii allLogs dla obsługiwanych zasobów w usłudze Event Hubs
   • Włączanie rejestrowania zasobów grupy kategorii allLogs dla obsługiwanych zasobów w usłudze Log Analytics

W tym przykładzie przypisujemy inicjatywę wysyłania dzienników inspekcji do obszaru roboczego usługi Log Analytics.

Witryna Azure Portal

1. Na stronie Definicje zasad wybierz swój zakres.

2. Wybierz pozycję Inicjatywa na liście rozwijanej Typ definicji.

3. Wybierz pozycję Monitorowanie na liście rozwijanej Kategoria .

4. Wprowadź wartość audit (Inspekcja ) w polu Wyszukaj .

5. Wybierz opcję Włącz rejestrowanie zasobów grupy kategorii inspekcji dla obsługiwanych zasobów w ramach inicjatywy usługi Log Analytics .

6. Na poniższej stronie wybierz pozycję Przypisz

7. Na karcie Podstawy na stronie Przypisywanie inicjatywy wybierz zakres, do którego ma zostać zastosowana inicjatywa.

8. Wprowadź nazwę w polu Nazwa przypisania.

9. Wybierz kartę Parametry .

   Parametry zawierają parametry zdefiniowane w zasadach. W takim przypadku musimy wybrać obszar roboczy usługi Log Analytics, do którego chcesz wysłać dzienniki. Aby uzyskać więcej informacji na temat poszczególnych parametrów dla poszczególnych zasad, zobacz Parametry specyficzne dla zasad.

10. Wybierz obszar roboczy usługi Log Analytics, do który chcesz wysłać dzienniki inspekcji.

11. Wybierz pozycję Przejrzyj i utwórz , a następnie pozycję Utwórz

Aby sprawdzić, czy przypisanie zasad lub inicjatywy działa, utwórz zasób w zakresie subskrypcji lub grupy zasobów zdefiniowanym w przypisaniu zasad.

Po 10 minutach wybierz stronę Ustawienia diagnostyki zasobu. Ustawienie diagnostyczne zostanie wyświetlone na liście z domyślną nazwą setByPolicy-LogAnalytics i nazwą obszaru roboczego skonfigurowanego w zasadach.

Zmień nazwę domyślną na karcie Parametry strony Przypisz inicjatywę lub zasady, usuwając zaznaczenie pola wyboru Pokaż tylko parametry, które wymagają wprowadzania lub przeglądania.

Program PowerShell

1. Konfigurowanie zmiennych środowiskowych

   # Set up your environment variables.
   $subscriptionId = <your subscription ID>;
   $rg = Get-AzResourceGroup -Name <your resource group name>;
   Select-AzSubscription $subscriptionId;
   $logAnlayticsWorskspaceId=</subscriptions/$subscriptionId/resourcegroups/$rg.ResourceGroupName/providers/microsoft.operationalinsights/workspaces/<your log analytics workspace>;
   

2. Pobierz definicję inicjatywy. W tym przykładzie użyjemy funkcji Initiative Enable audit category group resource logging for supported resources to ' Log Analytics, ResourceID "/providers/Microsoft.Authorization/policySetDefinitions/a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1e1e1e"

   $definition = Get-AzPolicySetDefinition |Where-Object ResourceID -eq /providers/Microsoft.Authorization/policySetDefinitions/a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1;
   

3. Ustaw nazwę przypisania i skonfiguruj parametry. W tej inicjatywie parametry obejmują identyfikator obszaru roboczego usługi Log Analytics.

   $assignmentName=<your assignment name>;
   $params =  @{"logAnalytics"="/subscriptions/$subscriptionId/resourcegroups/$($rg.ResourceGroupName)/providers/microsoft.operationalinsights/workspaces/<your log analytics workspace>"}  
   

4. Przypisywanie inicjatywy przy użyciu parametrów

   $policyAssignment=New-AzPolicyAssignment -Name $assignmentName  -Scope $rg.ResourceId -PolicySetDefinition $definition -PolicyparameterObject $params -IdentityType 'SystemAssigned' -Location eastus;
   

5. Contributor Przypisz rolę do przypisanej przez system tożsamości zarządzanej. W przypadku innych inicjatyw sprawdź, które role są wymagane.

    New-AzRoleAssignment -Scope $rg.ResourceId -ObjectId $policyAssignment.Identity.PrincipalId -RoleDefinitionName Contributor;
   

6. Skanuj pod kątem zgodności zasad. Powrót Start-AzPolicyComplianceScan polecenia trwa kilka minut

   Start-AzPolicyComplianceScan -ResourceGroupName $rg.ResourceGroupName;
   

7. Uzyskiwanie listy zasobów do korygowania i wymaganych parametrów przez wywołanie metody Get-AzPolicyState

   $assignmentState=Get-AzPolicyState -PolicyAssignmentName  $assignmentName -ResourceGroupName $rg.ResourceGroupName;   
   $policyAssignmentId=$assignmentState.PolicyAssignmentId[0];
   $policyDefinitionReferenceIds=$assignmentState.PolicyDefinitionReferenceId;
   

8. Dla każdego typu zasobu z niezgodnymi zasobami uruchom zadanie korygowania.

       $policyDefinitionReferenceIds | ForEach-Object {
             $referenceId = $_
             Start-AzPolicyRemediation -ResourceGroupName $rg.ResourceGroupName  -PolicyAssignmentId $policyAssignmentId   -PolicyDefinitionReferenceId $referenceId -Name "$($rg.ResourceGroupName) remediation $referenceId";
       }
   

9. Sprawdź stan zgodności po zakończeniu zadań korygowania.

   Get-AzPolicyState -PolicyAssignmentName  $assignmentName -ResourceGroupName $rg.ResourceGroupName|select-object IsCompliant, ResourceID
   

Szczegóły przypisania zasad można uzyskać przy użyciu następującego polecenia:

  $policyAssignment=Get-AzPolicyAssignment -Name $assignmentName -Scope "/subscriptions/$subscriptionId/resourcegroups/$($rg.ResourceGroupName)";

Interfejs wiersza polecenia

1. Zaloguj się do konta platformy Azure przy użyciu az login polecenia .

2. Wybierz subskrypcję, w której chcesz zastosować inicjatywę zasad przy użyciu az account set polecenia .

3. Przypisz inicjatywę przy użyciu polecenia az policy assignment create.

   az policy assignment create --name <assignment name> --resource-group <resource group name> --policy-set-definition <initiative name> --params <parameters object> --mi-system-assigned --location <location>
   

   Na przykład:

   az policy assignment create --name "assign-cli-example-01" --resource-group "cli-example-01" --policy-set-definition 'a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1' --params '{"logAnalytics":{"value":"/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/cli-example-01/providers/microsoft.operationalinsights/workspaces/cli-example-01-ws"}, "diagnosticSettingName":{"value":"AssignedBy-cli-example-01"}}' --mi-system-assigned --location eastus
   

4. Przypisywanie wymaganej roli do tożsamości zarządzanej systemu

   Znajdź role, które mają zostać przypisane w dowolnej definicji zasad w inicjatywie, wyszukując definicję roleDefinitionIds, na przykład:

      ...},
         "roleDefinitionIds": [
           "/providers/Microsoft.Authorization/roleDefinitions/92aaf0da-9dab-42b6-94a3-d43ce8d16293"
         ],
         "deployment": {
           "properties": {...
   

   Przypisz wymaganą rolę przy użyciu polecenia az policy assignment identity assign:

   az policy assignment identity assign --system-assigned --resource-group <resource group name> --role <role name or ID> --identity-scope <scope> --name <policy assignment name>
   

   Na przykład:

   az policy assignment identity assign --system-assigned --resource-group "cli-example-01" --role 92aaf0da-9dab-42b6-94a3-d43ce8d16293 --identity-scope "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/cli-example-01" --name assign-cli-example-01
   

5. Utwórz zadania korygowania dla zasad w ramach inicjatywy.

   Zadania korygowania są tworzone dla poszczególnych zasad. Każde zadanie jest przeznaczone dla określonego definition-reference-idelementu określonego w inicjatywie jako policyDefinitionReferenceId. Aby znaleźć definition-reference-id parametr, użyj następującego polecenia:

   az policy set-definition show --name a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1 |grep policyDefinitionReferenceId
   

   Korygowanie zasobów przy użyciu az policy remediation create

   az policy remediation create --resource-group <resource group name> --policy-assignment <assignment name> --name <remediation task name> --definition-reference-id  "policy specific reference ID"  --resource-discovery-mode ReEvaluateCompliance
   

   Na przykład:

   az policy remediation create --resource-group "cli-example-01" --policy-assignment assign-cli-example-01 --name "rem-assign-cli-example-01" --definition-reference-id  "keyvault-vaults"  --resource-discovery-mode ReEvaluateCompliance
   

   Aby utworzyć zadanie korygowania dla wszystkich zasad w inicjatywie, użyj następującego przykładu:

   for policyDefinitionReferenceId in $(az policy set-definition show --name a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1 |grep policyDefinitionReferenceId |cut -d":" -f2|sed s/\"//g) 
   do 
       az policy remediation create --resource-group "cli-example-01" --policy-assignment assign-cli-example-01 --name remediate-$policyDefinitionReferenceId --definition-reference-id $policyDefinitionReferenceId; 
   done 
   

Wspólne parametry

W poniższej tabeli opisano typowe parametry dla każdego zestawu zasad.

Parametr	Opis	Prawidłowe wartości	Wartość domyślna
efekt	Włączanie lub wyłączanie wykonywania zasad	DeployIfNotExists, AuditIfNotExists, Disabled	DeployIfNotExists
diagnosticSettingName	Nazwa ustawienia diagnostycznego		setByPolicy-{LogAnalytics|EventHubs|Magazyn}
categoryGroup	Grupa kategorii diagnostycznych	żaden audyt allLogs	inspekcje
resourceTypeList	W przypadku inicjatyw lista typów zasobów, które mają być oceniane pod kątem istnienia ustawienia diagnostycznego.	Obsługiwane zasoby	Wszystkie obsługiwane zasoby

Parametry specyficzne dla zasad

Parametry zasad usługi Log Analytics

Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do obszaru roboczego usługi Log Analytics.

Parametr	Opis	Prawidłowe wartości	Wartość domyślna
resourceLocationList	Lista lokalizacji zasobów do wysyłania dzienników do pobliskiej usługi Log Analytics. "*" wybiera wszystkie lokalizacje	Obsługiwane lokalizacje	*
logAnalytics	Obszar roboczy usługi Log Analytics

Parametry zasad usługi Event Hubs

Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do centrum zdarzeń.

Parametr	Opis	Prawidłowe wartości	Wartość domyślna
resourceLocation	Lokalizacja zasobu musi być tą samą lokalizacją co przestrzeń nazw centrum zdarzeń	Obsługiwane lokalizacje
eventHubAuthorizationRuleId	Identyfikator reguły autoryzacji centrum zdarzeń. Reguła autoryzacji jest na poziomie przestrzeni nazw centrum zdarzeń. Na przykład /subscriptions/{identyfikator subskrypcji}/resourceGroups/{resource Group}/providers/Microsoft.EventHub/namespaces/{Event Hub namespace}/authorizationrules/{authorization rule}
eventHubName	Nazwa centrum zdarzeń		Monitorowanie

Parametry zasad konta magazynu

Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do konta magazynu.

Parametr	Opis	Prawidłowe wartości	Wartość domyślna
resourceLocation	Lokalizacja zasobu musi znajdować się w tej samej lokalizacji co konto magazynu	Obsługiwane lokalizacje
storageAccount	Identyfikator zasobu konta magazynu

Obsługiwane zasoby

Wbudowane wszystkie dzienniki i zasady dzienników inspekcji dla obszarów roboczych usługi Log Analytics, usługi Event Hubs i kont magazynu istnieją dla następujących zasobów:

Typ zasobu	Wszystkie dzienniki	Dzienniki inspekcji
microsoft.aad/domainservices	Tak	Tak
microsoft.agfoodplatform/farmbeats	Tak	Tak
microsoft.analysisservices/servers	Tak	Nie.
microsoft.apimanagement/service	Tak	Tak
microsoft.app/managedenvironments	Tak	Tak
microsoft.appconfiguration/configurationstores	Tak	Tak
microsoft.appplatform/spring	Tak	Nie.
microsoft.attestation/attestationproviders	Tak	Tak
microsoft.automation/automationaccounts	Tak	Tak
microsoft.autonomousdevelopmentplatform/workspaces	Tak	Nie.
microsoft.avs/privateclouds	Tak	Tak
microsoft.azureplaywrightservice/accounts	Tak	Tak
microsoft.azuresphere/catalogs	Tak	Tak
microsoft.batch/batchaccounts	Tak	Tak
microsoft.botservice/botservices	Tak	Nie.
microsoft.cache/redis	Tak	Tak
microsoft.cache/redisenterprise/databases	Tak	Tak
microsoft.cdn/cdnwebapplicationfirewallpolicies	Tak	Nie.
microsoft.cdn/profiles	Tak	Tak
microsoft.cdn/profiles/endpoints	Tak	Nie.
microsoft.chaos/experiments	Tak	Tak
microsoft.classicnetwork/networksecuritygroups	Tak	Nie.
microsoft.cloudtest/hostedpools	Tak	Nie.
microsoft.codesigning/codesigningaccounts	Tak	Tak
microsoft.cognitiveservices/accounts	Tak	Tak
microsoft.communication/communicationservices	Tak	Nie.
microsoft.community/communitytrainings	Tak	Tak
microsoft.confidentialledger/managedccfs	Tak	Tak
microsoft.connectedcache/enterprisemcccustomers	Tak	Nie.
microsoft.connectedcache/ispcustomers	Tak	Nie.
microsoft.containerinstance/containergroups	Tak	Nie.
microsoft.containerregistry/registries	Tak	Tak
microsoft.customproviders/resourceproviders	Tak	Nie.
microsoft.d365customerinsights/instances	Tak	Nie.
microsoft.dashboard/grafana	Tak	Tak
microsoft.databricks/workspaces	Tak	Nie.
microsoft.datafactory/factory	Tak	Nie.
microsoft.datalakeanalytics/accounts	Tak	Nie.
microsoft.datalakestore/accounts	Tak	Nie.
microsoft.dataprotection/backupvaults	Tak	Nie.
microsoft.datashare/accounts	Tak	Nie.
microsoft.dbformariadb/servers	Tak	Nie.
microsoft.dbformysql/flexibleservers	Tak	Tak
microsoft.dbformysql/servers	Tak	Nie.
microsoft.dbforpostgresql/flexibleservers	Tak	Tak
microsoft.dbforpostgresql/servergroupsv2	Tak	Nie.
microsoft.dbforpostgresql/servers	Tak	Nie.
microsoft.desktopvirtualization/applicationgroups	Tak	Nie.
microsoft.desktopvirtualization/hostpools	Tak	Nie.
microsoft.desktopvirtualization/scalingplans	Tak	Nie.
microsoft.desktopvirtualization/workspaces	Tak	Nie.
microsoft.devcenter/devcenters	Tak	Tak
microsoft.devices/iothubs	Tak	Tak
microsoft.devices/provisioningservices	Tak	Nie.
microsoft.digitaltwins/digitaltwinsinstances	Tak	Nie.
microsoft.documentdb/cassandraclusters	Tak	Tak
microsoft.documentdb/databaseaccounts	Tak	Tak
microsoft.documentdb/mongoclusters	Tak	Tak
microsoft.eventgrid/domains	Tak	Tak
microsoft.eventgrid/partnernamespaces	Tak	Tak
microsoft.eventgrid/partnertopics	Tak	Nie.
microsoft.eventgrid/systemtopics	Tak	Nie.
microsoft.eventgrid/topics	Tak	Tak
microsoft.eventhub/przestrzenie nazw	Tak	Tak
microsoft.experimentation/experimentworkspaces	Tak	Nie.
microsoft.healthcareapis/services	Tak	Nie.
microsoft.healthcareapis/workspaces/dicomservices	Tak	Nie.
microsoft.healthcareapis/workspaces/fhirservices	Tak	Nie.
microsoft.healthcareapis/workspaces/iotconnectors	Tak	Nie.
microsoft.insights/autoscalesettings	Tak	Nie.
microsoft.insights/components	Tak	Nie.
microsoft.insights/datacollectionrules	Tak	Nie.
microsoft.keyvault/managedhsms	Tak	Tak
microsoft.keyvault/vaults	Tak	Tak
microsoft.kusto/clusters	Tak	Tak
microsoft.loadtestservice/loadtests	Tak	Tak
microsoft.logic/integrationaccounts	Tak	Nie.
microsoft.logic/workflows	Tak	Nie.
microsoft.machinelearningservices/registries	Tak	Tak
microsoft.machinelearningservices/workspaces	Tak	Tak
microsoft.machinelearningservices/workspaces/onlineendpoints	Tak	Nie.
microsoft.managednetworkfabric/networkdevices	Tak	Nie.
microsoft.media/mediaservices	Tak	Tak
microsoft.media/mediaservices/liveevents	Tak	Tak
microsoft.media/mediaservices/streamingendpoints	Tak	Tak
microsoft.netapp/netappaccounts/capacitypools/volumes	Tak	Tak
microsoft.network/applicationgateways	Tak	Nie.
microsoft.network/azurefirewalls	Tak	Nie.
microsoft.network/bastionhosts	Tak	Tak
microsoft.network/dnsresolverpolicies	Tak	Nie.
microsoft.network/expressroutecircuits	Tak	Nie.
microsoft.network/frontdoors	Tak	Tak
microsoft.network/loadbalancers	Tak	Nie.
microsoft.network/networkmanagers	Tak	Tak
microsoft.network/networkmanagers/ipampools	Tak	Tak
microsoft.network/networksecuritygroups	Tak	Nie.
microsoft.network/networksecurityperimeters	Tak	Nie.
microsoft.network/p2svpngateways	Tak	Tak
microsoft.network/publicipaddresses	Tak	Tak
microsoft.network/publicipprefixes	Tak	Tak
microsoft.network/trafficmanagerprofiles	Tak	Nie.
microsoft.network/virtualnetworkgateways	Tak	Tak
microsoft.network/virtualnetworks	Tak	Nie.
microsoft.network/vpngateways	Tak	Nie.
microsoft.networkanalytics/dataproducts	Tak	Tak
microsoft.networkcloud/baremetalmachines	Tak	Nie.
microsoft.networkcloud/clusters	Tak	Nie.
microsoft.networkcloud/storageappliances	Tak	Nie.
microsoft.networkfunction/azuretrafficcollectors	Tak	Nie.
microsoft.notificationhubs/przestrzenie nazw	Tak	Tak
microsoft.notificationhubs/namespaces/notificationhubs	Tak	Tak
microsoft.openservices/energyservices	Tak	Nie.
microsoft.operationalinsights/workspaces	Tak	Tak
microsoft.powerbi/tenants/workspaces	Tak	Nie.
microsoft.powerbidedicated/pojemności	Tak	Nie.
microsoft.purview/accounts	Tak	Tak
microsoft.recoveryservices/vaults	Tak	Nie.
microsoft.relay/przestrzenie nazw	Tak	Nie.
microsoft.search/searchservices	Tak	Tak
microsoft.servicebus/przestrzenie nazw	Tak	Tak
microsoft.servicenetworking/trafficcontrollers	Tak	Nie.
microsoft.signalrservice/signalr	Tak	Tak
microsoft.signalrservice/webpubsub	Tak	Tak
microsoft.sql/wystąpienia zarządzane	Tak	Tak
microsoft.sql/wystąpienia zarządzane/bazy danych	Tak	Nie.
microsoft.sql/serwery/bazy danych	Tak	Tak
microsoft.storagecache/caches	Tak	Nie.
microsoft.storagemover/storagemovers	Tak	Nie.
microsoft.streamanalytics/streamingjobs	Tak	Nie.
microsoft.synapse/workspaces	Tak	Tak
microsoft.synapse/workspaces/bigdatapools	Tak	Tak
microsoft.synapse/workspaces/kustopools	Tak	Tak
microsoft.synapse/workspaces/scopepools	Tak	Tak
microsoft.synapse/workspaces/sqlpools	Tak	Tak
microsoft.timeseriesinsights/environments	Tak	Nie.
microsoft.timeseriesinsights/environments/eventsources	Tak	Nie.
microsoft.videoindexer/accounts	Tak	Nie.
microsoft.web/hostingenvironments	Tak	Tak
microsoft.workloads/sapvirtualinstances	Tak	Tak

Następne kroki

• Tworzenie ustawień diagnostycznych na dużą skalę przy użyciu usługi Azure Policy
• Wbudowane definicje usługi Azure Policy dla usługi Azure Monitor
• Przegląd zasad platformy Azure
• Zasady przedsiębiorstwa platformy Azure jako kod