Políticas internas para o Azure Monitor

As políticas e iniciativas de política fornecem um método simples para habilitar o registro em escala por meio de configurações de diagnóstico para o Azure Monitor. Usando uma iniciativa de política, você pode ativar o log de auditoria para todos os recursos com suporte em seu ambiente do Azure.

Habilite os logs de recursos para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Atribua políticas para habilitar logs de recursos e enviá-los para destinos de acordo com suas necessidades. Envie logs para hubs de eventos para sistemas SIEM de terceiros, permitindo operações de segurança contínuas. Envie logs para contas de armazenamento para armazenamento de longo prazo ou para o cumprimento da conformidade regulamentar.

Existe um conjunto de políticas e iniciativas internas para direcionar os logs de recursos para espaços de trabalho do Log Analytics, Hubs de Eventos e Contas de Armazenamento. As políticas permitem o registro em log de auditoria, o envio de logs pertencentes à auditoria ou ao grupo de categorias de log Todos os logs para um hub de eventos, espaço de trabalho do Log Analytics ou Conta de Armazenamento. As políticas são effect DeployIfNotExists, que implanta a política como padrão se não houver outras configurações definidas.

Implantar políticas.

Implantar as políticas e iniciativas usando os modelos Portal, CLI, PowerShell ou Gerenciamento de Recursos do Azure

Portal do Azure

As etapas a seguir mostram como aplicar a política para enviar logs de auditoria para cofres de chaves para um espaço de trabalho de análise de log.

1. Na página Política, selecione Definições.

2. Selecione seu escopo. Você pode aplicar uma política a toda a assinatura, a um grupo de recursos ou a um recurso individual.

3. Na lista suspensa Tipo de definição , selecione Política.

4. Selecione Monitoramento na lista suspensa Categoria

5. Digite keyvault no campo Pesquisar .

6. Selecione o grupo Ativar registro por categoria para Cofres de chaves (microsoft.keyvault/vaults) para a política do Log Analytics ,

7. Na página de definição de política, selecione Atribuir

8. Selecione o separador Parâmetros.

9. Selecione o espaço de trabalho do Log Analytics para o qual você deseja enviar os logs de auditoria.

10. Selecione a guia Remediação .

11. Na guia de correção, selecione a política do keyvault na lista suspensa Política a corrigir .

12. Marque a caixa de seleção Criar uma identidade gerenciada.

13. Em Tipo de Identidade Gerenciada, selecione Identidade Gerenciada atribuída ao Sistema.

14. Selecione Rever + criar e, em seguida, selecione Criar.

CLI

Para aplicar uma política usando a CLI, use os seguintes comandos:

1. Crie uma atribuição de política usando az policy assignment createo .

     az policy assignment create --name <policy assignment name>  --policy "6b359d8f-f88d-4052-aa7c-32015963ecc1"  --scope <scope> --params "{\"logAnalytics\": {\"value\": \"<log analytics workspace resource ID"}}" --mi-system-assigned --location <location>
   

   Por exemplo, para aplicar a política para enviar logs de auditoria para um espaço de trabalho de análise de log

     az policy assignment create --name "policy-assignment-1"  --policy "6b359d8f-f88d-4052-aa7c-32015963ecc1"  --scope /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/rg-001 --params "{\"logAnalytics\": {\"value\": \"/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/rg-001/providers/microsoft.operationalinsights/workspaces/workspace-001\"}}" --mi-system-assigned --location eastus
   

2. Atribua a função necessária à identidade criada para a atribuição de política. Encontre a função na definição de política pesquisando roleDefinitionIds

      ...},
         "roleDefinitionIds": [
           "/providers/Microsoft.Authorization/roleDefinitions/92aaf0da-9dab-42b6-94a3-d43ce8d16293"
         ],
         "deployment": {
           "properties": {...
   

   Atribua a função necessária usando az policy assignment identity assign:

   az policy assignment identity assign --system-assigned --resource-group <resource group name> --role <role name or ID> --identity-scope </scope> --name <policy assignment name>
   

   Por exemplo:

   az policy assignment identity assign --system-assigned --resource-group rg-001  --role 92aaf0da-9dab-42b6-94a3-d43ce8d16293 --identity-scope /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/rg001 --name policy-assignment-1
   

3. Acione uma verificação para localizar recursos existentes usando az policy state trigger-scano .

   az policy state trigger-scan --resource-group rg-001
   

4. Crie uma tarefa de correção para aplicar a política aos recursos existentes usando az policy remediation createo .

   az policy remediation create -g <resource group name> --policy-assignment <policy assignment name> --name <remediation name> 
   

   Por exemplo,

   az policy remediation create -g rg-001 -n remediation-001 --policy-assignment policy-assignment-1
   

Para obter mais informações sobre a atribuição de política usando a CLI, consulte Referência da CLI do Azure - az policy assignment

PowerShell

Para aplicar uma política usando o PowerShell, use os seguintes comandos:

1. Configure seu ambiente. Selecione sua assinatura e defina seu grupo de recursos

   Select-AzSubscription <subscriptionID>
   $rg = Get-AzResourceGroup -Name <resource groups name>    
   

2. Obtenha a definição da política e configure os parâmetros para a política. No exemplo abaixo, atribuímos a política para enviar logs do keyVault para um espaço de trabalho do Log Analytics

   $definition = Get-AzPolicyDefinition |Where-Object Name -eq 6b359d8f-f88d-4052-aa7c-32015963ecc1
   $params =  @{"logAnalytics"="/subscriptions/<subscriptionID/resourcegroups/<resourcgroup>/providers/microsoft.operationalinsights/workspaces/<log anlaytics workspace name>"}  
   

3. Atribuir a política

   $policyAssignment=New-AzPolicyAssignment -Name <assignment name> -DisplayName "assignment display name" -Scope $rg.ResourceId -PolicyDefinition $definition -PolicyparameterObject $params -IdentityType 'SystemAssigned' -Location <location>
   
   #To get your assignemnt use:
   $policyAssignment=Get-AzPolicyAssignment -Name '<assignment name>' -Scope '/subscriptions/<subscriptionID>/resourcegroups/<resource group name>'
   
   

4. Atribuir a função ou funções necessárias à Identidade Gerenciada atribuída ao sistema

       $principalID=$policyAssignment.Identity.PrincipalId
       $roleDefinitionIds=$definition.Properties.policyRule.then.details.roleDefinitionIds
       $roleDefinitionIds | ForEach-Object {
           $roleDefId = $_.Split("/") | Select-Object -Last 1
           New-AzRoleAssignment -Scope $rg.ResourceId -ObjectId $policyAssignment.Identity.PrincipalId -RoleDefinitionId $roleDefId
       }
   

5. Analise a conformidade e, em seguida, crie uma tarefa de correção para forçar a conformidade para os recursos existentes.

       Start-AzPolicyComplianceScan -ResourceGroupName $rg.ResourceGroupName
       Start-AzPolicyRemediation -Name $policyAssignment.Name -PolicyAssignmentId $policyAssignment.PolicyAssignmentId  -ResourceGroupName $rg.ResourceGroupName
   

6. Verificar conformidade

   Get-AzPolicyState -PolicyAssignmentName  $policyAssignment.Name -ResourceGroupName $policyAssignment.ResourceGroupName|select-object IsCompliant, ResourceID
   

A política fica visível nas configurações de diagnóstico dos recursos após aproximadamente 30 minutos.

Tarefas de remediação

As políticas são aplicadas a novos recursos quando são criadas. Para aplicar uma política aos recursos existentes, crie uma tarefa de correção. As tarefas de correção colocam os recursos em conformidade com uma política.

As tarefas de remediação atuam para políticas específicas. Para iniciativas que contêm várias políticas, crie uma tarefa de correção para cada política na iniciativa em que você tem recursos que deseja colocar em conformidade.

Defina tarefas de correção quando atribuir a política pela primeira vez ou em qualquer estágio após a atribuição.

Para criar uma tarefa de correção para políticas durante a atribuição de política, selecione a guia Correção na página Atribuir política e marque a caixa de seleção Criar tarefa de correção.

Para criar uma tarefa de correção após a atribuição da política, selecione a política atribuída na lista da página Atribuições de política.

Selecione Corrigir. Acompanhe o status da sua tarefa de correção na guia Tarefas de correção da página Correção de política.

Para obter mais informações sobre tarefas de correção, consulte Remediar recursos não compatíveis

Atribuir iniciativas

As iniciativas são conjuntos de políticas. Há dois conjuntos de iniciativas para as configurações do Diagnóstico do Azure Monitor:

1. Habilitar o log de recursos do grupo de categorias de auditoria

   • Habilitar o log de recursos do grupo de categorias de auditoria para recursos suportados em Hubs de Eventos
   • Habilitar o log de recursos do grupo de categorias de auditoria para recursos suportados no Log Analytics
   • Habilitar o log de recursos do grupo de categorias de auditoria para armazenamento de recursos suportados

2. Habilite o log de recursos do grupo de categorias allLogs

   • Habilitar o log de recursos do grupo de categorias allLogs para armazenamento de recursos suportados
   • Habilitar o log de recursos do grupo de categorias allLogs para recursos suportados em Hubs de Eventos
   • Habilitar o log de recursos do grupo de categorias allLogs para recursos suportados no Log Analytics

Neste exemplo, atribuímos uma iniciativa para enviar logs de auditoria para um espaço de trabalho do Log Analytics.

Portal do Azure

1. Na página Definições de política, selecione seu escopo.

2. Selecione Iniciativa na lista suspensa Tipo de definição .

3. Selecione Monitoramento na lista suspensa Categoria .

4. Insira auditoria no campo Pesquisar .

5. Selecione Ativar log de recursos do grupo de categorias de auditoria para recursos suportados para a iniciativa Log Analytics .

6. Na página seguinte, selecione Atribuir

7. Na guia Noções básicas da página Atribuir iniciativa, selecione um Escopo ao qual você deseja que a iniciativa se aplique.

8. Insira um nome no campo Nome da atribuição .

9. Selecione a guia Parâmetros .

   Os parâmetros contêm os parâmetros definidos na política. Nesse caso, precisamos selecionar o espaço de trabalho do Log Analytics para o qual queremos enviar os logs. Para obter mais informações sobre os parâmetros individuais de cada política, consulte Parâmetros específicos da política.

10. Selecione o espaço de trabalho do Log Analytics para o qual enviar seus logs de auditoria.

11. Selecione Rever + criar e, em seguida, Criar

Para verificar se sua atribuição de política ou iniciativa está funcionando, crie um recurso no escopo de assinatura ou grupo de recursos que você definiu em sua atribuição de política.

Após 10 minutos, selecione a página Configurações de diagnóstico do seu recurso. Sua configuração de diagnóstico aparece na lista com o nome padrão setByPolicy-LogAnalytics e o nome do espaço de trabalho que você configurou na política.

Altere o nome padrão na guia Parâmetros da página Atribuir iniciativa ou política desmarcando a caixa de seleção Mostrar apenas parâmetros que precisam de entrada ou revisão.

PowerShell

1. Configurar as variáveis de ambiente

   # Set up your environment variables.
   $subscriptionId = <your subscription ID>;
   $rg = Get-AzResourceGroup -Name <your resource group name>;
   Select-AzSubscription $subscriptionId;
   $logAnlayticsWorskspaceId=</subscriptions/$subscriptionId/resourcegroups/$rg.ResourceGroupName/providers/microsoft.operationalinsights/workspaces/<your log analytics workspace>;
   

2. Obtenha a definição da iniciativa. Neste exemplo, usaremos o log de recursos do grupo de categorias de auditoria Initiative Enable para recursos suportados em ' Log Analytics, ResourceID "/providers/Microsoft.Authorization/policySetDefinitions/a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1"

   $definition = Get-AzPolicySetDefinition |Where-Object ResourceID -eq /providers/Microsoft.Authorization/policySetDefinitions/a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1;
   

3. Defina um nome de atribuição e configure parâmetros. Para esta iniciativa, os parâmetros incluem o ID do espaço de trabalho do Log Analytics.

   $assignmentName=<your assignment name>;
   $params =  @{"logAnalytics"="/subscriptions/$subscriptionId/resourcegroups/$($rg.ResourceGroupName)/providers/microsoft.operationalinsights/workspaces/<your log analytics workspace>"}  
   

4. Atribuir a iniciativa usando os parâmetros

   $policyAssignment=New-AzPolicyAssignment -Name $assignmentName  -Scope $rg.ResourceId -PolicySetDefinition $definition -PolicyparameterObject $params -IdentityType 'SystemAssigned' -Location eastus;
   

5. Atribua a Contributor função à Identidade Gerenciada atribuída ao sistema. Para outras iniciativas, verifique quais funções são necessárias.

    New-AzRoleAssignment -Scope $rg.ResourceId -ObjectId $policyAssignment.Identity.PrincipalId -RoleDefinitionName Contributor;
   

6. Analise a conformidade com a política. O Start-AzPolicyComplianceScan comando leva alguns minutos para retornar

   Start-AzPolicyComplianceScan -ResourceGroupName $rg.ResourceGroupName;
   

7. Obtenha uma lista de recursos para corrigir e os parâmetros necessários chamando Get-AzPolicyState

   $assignmentState=Get-AzPolicyState -PolicyAssignmentName  $assignmentName -ResourceGroupName $rg.ResourceGroupName;   
   $policyAssignmentId=$assignmentState.PolicyAssignmentId[0];
   $policyDefinitionReferenceIds=$assignmentState.PolicyDefinitionReferenceId;
   

8. Para cada tipo de recurso com recursos não compatíveis, inicie uma tarefa de correção.

       $policyDefinitionReferenceIds | ForEach-Object {
             $referenceId = $_
             Start-AzPolicyRemediation -ResourceGroupName $rg.ResourceGroupName  -PolicyAssignmentId $policyAssignmentId   -PolicyDefinitionReferenceId $referenceId -Name "$($rg.ResourceGroupName) remediation $referenceId";
       }
   

9. Verifique o estado de conformidade quando as tarefas de correção forem concluídas.

   Get-AzPolicyState -PolicyAssignmentName  $assignmentName -ResourceGroupName $rg.ResourceGroupName|select-object IsCompliant, ResourceID
   

Você pode obter os detalhes da atribuição da política usando o seguinte comando:

  $policyAssignment=Get-AzPolicyAssignment -Name $assignmentName -Scope "/subscriptions/$subscriptionId/resourcegroups/$($rg.ResourceGroupName)";

CLI

1. Entre na sua conta do Azure usando o az login comando.

2. Selecione a subscrição à qual pretende aplicar a iniciativa de política utilizando o az account set comando.

3. Atribua a iniciativa usando az policy assignment createo .

   az policy assignment create --name <assignment name> --resource-group <resource group name> --policy-set-definition <initiative name> --params <parameters object> --mi-system-assigned --location <location>
   

   Por exemplo:

   az policy assignment create --name "assign-cli-example-01" --resource-group "cli-example-01" --policy-set-definition 'a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1' --params '{"logAnalytics":{"value":"/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/cli-example-01/providers/microsoft.operationalinsights/workspaces/cli-example-01-ws"}, "diagnosticSettingName":{"value":"AssignedBy-cli-example-01"}}' --mi-system-assigned --location eastus
   

4. Atribuir a função necessária à identidade gerenciada pelo sistema

   Encontre as funções a serem atribuídas em qualquer uma das definições de política na iniciativa pesquisando a definição por roleDefinitionIds, por exemplo:

      ...},
         "roleDefinitionIds": [
           "/providers/Microsoft.Authorization/roleDefinitions/92aaf0da-9dab-42b6-94a3-d43ce8d16293"
         ],
         "deployment": {
           "properties": {...
   

   Atribua a função necessária usando az policy assignment identity assign:

   az policy assignment identity assign --system-assigned --resource-group <resource group name> --role <role name or ID> --identity-scope <scope> --name <policy assignment name>
   

   Por exemplo:

   az policy assignment identity assign --system-assigned --resource-group "cli-example-01" --role 92aaf0da-9dab-42b6-94a3-d43ce8d16293 --identity-scope "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/cli-example-01" --name assign-cli-example-01
   

5. Crie tarefas de correção para as políticas da iniciativa.

   As tarefas de correção são criadas por política. Cada tarefa destina-se a um , definition-reference-idespecificado na iniciativa como policyDefinitionReferenceId. Para localizar o definition-reference-id parâmetro, use o seguinte comando:

   az policy set-definition show --name a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1 |grep policyDefinitionReferenceId
   

   Remediar os recursos usando az policy remediation create

   az policy remediation create --resource-group <resource group name> --policy-assignment <assignment name> --name <remediation task name> --definition-reference-id  "policy specific reference ID"  --resource-discovery-mode ReEvaluateCompliance
   

   Por exemplo:

   az policy remediation create --resource-group "cli-example-01" --policy-assignment assign-cli-example-01 --name "rem-assign-cli-example-01" --definition-reference-id  "keyvault-vaults"  --resource-discovery-mode ReEvaluateCompliance
   

   Para criar uma tarefa de correção para todas as políticas da iniciativa, use o seguinte exemplo:

   for policyDefinitionReferenceId in $(az policy set-definition show --name a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1 |grep policyDefinitionReferenceId |cut -d":" -f2|sed s/\"//g) 
   do 
       az policy remediation create --resource-group "cli-example-01" --policy-assignment assign-cli-example-01 --name remediate-$policyDefinitionReferenceId --definition-reference-id $policyDefinitionReferenceId; 
   done 
   

Parâmetros comuns

A tabela a seguir descreve os parâmetros comuns para cada conjunto de políticas.

Parâmetro	Description	Valores válidos	Predefinido
efeito	Ativar ou desativar a execução da política	DeployIfNotExists, AuditIfNotExists, Desativado	DeployIfNotExists
diagnosticSettingName	Nome da configuração de diagnóstico		setByPolicy-{LogAnalytics|EventHubs|Armazenamento}
categoryGrupo	Grupo de categorias de diagnóstico	nenhuma, auditoria, allLogs	auditoria
resourceTypeList	Para iniciativas, uma lista de tipos de recursos a serem avaliados para a existência de configuração de diagnóstico.	Recursos suportados	Todos os recursos suportados

Parâmetros específicos da política

Parâmetros da política do Log Analytics

Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um espaço de trabalho do Log Analytics.

Parâmetro	Description	Valores válidos	Predefinido
resourceLocationList	Lista de Localização de Recursos para enviar logs para o Log Analytics próximo. "*" seleciona todos os locais	Localizações suportadas	*
logAnalytics	Área de Trabalho do Log Analytics

Parâmetros de política dos Hubs de Eventos

Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um hub de eventos.

Parâmetro	Description	Valores válidos	Predefinido
resourceLocation	O Local do Recurso deve ser o mesmo local que o Namespace do hub de eventos	Localizações suportadas
eventHubAuthorizationRuleId	ID da Regra de Autorização do hub de eventos. A regra de autorização está no nível do namespace do hub de eventos. Por exemplo, /subscriptions/{subscription ID}/resourceGroups/{resource group}/providers/Microsoft.EventHub/namespaces/{Event Hub namespace}/authorizationrules/{authorization rule}
eventHubName	Nome do hub de eventos		Monitorização

Parâmetros da política de Contas de Armazenamento

Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para uma Conta de Armazenamento.

Parâmetro	Description	Valores válidos	Predefinido
resourceLocation	O Local do Recurso deve estar no mesmo local da Conta de Armazenamento	Localizações suportadas
storageAccount	Conta de armazenamento resourceId

Recursos suportados

Todas as políticas internas de logs e logs de auditoria para espaços de trabalho do Log Analytics, Hubs de Eventos e Contas de Armazenamento existem para os seguintes recursos:

Tipo de Recurso	Todos os registos	Registos de Auditoria
Microsoft.aad/DomainServices	Sim	Sim
microsoft.agfoodplatform/farmbeats	Sim	Sim
Microsoft.AnalysisServices/Servidores	Sim	No
microsoft.apimanagement/serviço	Sim	Sim
microsoft.app/managedenvironments	Sim	Sim
Microsoft.AppConfiguration/ConfigurationStores	Sim	Sim
Microsoft.AppPlatform/Spring	Sim	No
Microsoft.attestation/attestationproviders	Sim	Sim
microsoft.automation/automationaccounts	Sim	Sim
microsoft.autonomousdevelopmentplatform/workspaces	Sim	No
microsoft.avs/nuvens privadas	Sim	Sim
microsoft.azureplaywrightservice/contas	Sim	Sim
microsoft.azuresphere/catálogos	Sim	Sim
microsoft.batch/batchaccounts	Sim	Sim
microsoft.botservice/botservices	Sim	No
microsoft.cache/redis	Sim	Sim
microsoft.cache/redisenterprise/bancos de dados	Sim	Sim
microsoft.cdn/cdnwebapplicationfirewallpolicies	Sim	No
microsoft.cdn/perfis	Sim	Sim
microsoft.cdn/perfis/pontos de extremidade	Sim	No
microsoft.caos/experimentos	Sim	Sim
microsoft.classicnetwork/networksecuritygroups	Sim	No
Microsoft.CloudTest/HostedPools	Sim	No
microsoft.codesigning/codesigncontas	Sim	Sim
microsoft.cognitiveservices/contas	Sim	Sim
Microsoft.Comunicação/Serviços de Comunicação	Sim	No
microsoft.comunidade/comunidadetreinamentos	Sim	Sim
Microsoft.ConfidentialLedger/ManageDCCFS	Sim	Sim
Microsoft.ConnectedCache/EnterpriseMcCCustomers	Sim	No
Microsoft.ConnectedCache/ISPPcustomers	Sim	No
Microsoft.ContainerInstance/ContainerGroups	Sim	No
microsoft.containerregistry/registries	Sim	Sim
Microsoft.CustomProviders/ResourceProviders	Sim	No
microsoft.d365customerinsights/instâncias	Sim	No
microsoft.dashboard/grafana	Sim	Sim
microsoft.databricks/espaços de trabalho	Sim	No
microsoft.datafactory/fábricas	Sim	No
microsoft.datalakeanalytics/contas	Sim	No
microsoft.datalakestore/contas	Sim	No
Microsoft.DataProtection/BackupVaults	Sim	No
microsoft.datashare/contas	Sim	No
microsoft.dbformariadb/servidores	Sim	No
Microsoft.dbformysql/flexibleservers	Sim	Sim
Microsoft.dbformysql/servidores	Sim	No
Microsoft.dbforpostgresql/flexibleservers	Sim	Sim
Microsoft.dbforpostgresql/servergroupsv2	Sim	No
Microsoft.dbforpostgresql/servidores	Sim	No
Microsoft.DesktopVirtualization/ApplicationGroups	Sim	No
microsoft.desktopvirtualization/hostpools	Sim	No
microsoft.desktopvirtualização/scalingplans	Sim	No
microsoft.desktopvirtualization/workspaces	Sim	No
Microsoft.DevCenter/DevCenters	Sim	Sim
Microsoft.Devices/IoTHubs	Sim	Sim
Microsoft.Devices/ProvisioningServices	Sim	No
Microsoft.DigitalTwins/DigitalTwinsInstances	Sim	No
Microsoft.DocumentDB/CassandraClusters	Sim	Sim
Microsoft.DocumentDB/DatabaseAccounts	Sim	Sim
Microsoft.DocumentDB/MongoClusters	Sim	Sim
Microsoft.EventGrid/domínios	Sim	Sim
Microsoft.EventGrid/PartnerNamespaces	Sim	Sim
Microsoft.EventGrid/PartnerTopics	Sim	No
Microsoft.EventGrid/SystemTopics	Sim	No
Microsoft.EventGrid/Tópicos	Sim	Sim
microsoft.eventhub/namespaces	Sim	Sim
microsoft.experimentação/experimentworkspaces	Sim	No
Microsoft.HealthAPIS/Serviços	Sim	No
microsoft.healthcareapis/workspaces/dicomservices	Sim	No
microsoft.healthcareapis/workspaces/fhirservices	Sim	No
Microsoft.HealthAPIS/workspaces/iotConnectors	Sim	No
Microsoft.Insights/AutoScaleSettings	Sim	No
microsoft.insights/componentes	Sim	No
Microsoft.Insights/DataCollectionRules	Sim	No
Microsoft.KeyVault/ManageDHSMS	Sim	Sim
microsoft.keyvault/cofres	Sim	Sim
microsoft.kusto/clusters	Sim	Sim
Microsoft.LoadTestService/LoadTests	Sim	Sim
microsoft.logic/integrationaccounts	Sim	No
microsoft.logic/fluxos de trabalho	Sim	No
microsoft.machinelearningservices/registries	Sim	Sim
Microsoft.MachineLearning Services/Workspaces	Sim	Sim
microsoft.machinelearningservices/workspaces/onlineendpoints	Sim	No
Microsoft.ManagedNetworkFabric/NetworkDevices	Sim	No
Microsoft.Media/MediaServices	Sim	Sim
microsoft.media/mediaservices/liveevents	Sim	Sim
microsoft.media/mediaservices/streamingendpoints	Sim	Sim
Microsoft.NetApp/NetAppAccounts/CapacityPools/Volumes	Sim	Sim
Microsoft.Network/ApplicationGateways	Sim	No
microsoft.network/azurefirewalls	Sim	No
microsoft.network/bastionhosts	Sim	Sim
microsoft.network/dnsresolverpolicies	Sim	No
Microsoft.Network/ExpressRouteCircuits	Sim	No
microsoft.network/frontdoors	Sim	Sim
microsoft.network/loadbalancers	Sim	No
Microsoft.Network/NetworkManagers	Sim	Sim
microsoft.network/networkmanagers/ipampools	Sim	Sim
microsoft.network/networksecuritygroups	Sim	No
microsoft.network/networksecurityperímetros	Sim	No
microsoft.network/p2svpngateways	Sim	Sim
microsoft.network/publicipaddresses	Sim	Sim
microsoft.network/publicipprefixes	Sim	Sim
Microsoft.Network/TrafficManagerProfiles	Sim	No
Microsoft.Network/VirtualNetworkGateways	Sim	Sim
microsoft.network/virtualnetworks	Sim	No
microsoft.network/vpngateways	Sim	No
Microsoft.NetworkAnalytics/DataProducts	Sim	Sim
microsoft.networkcloud/baremetalmachines	Sim	No
microsoft.networkcloud/clusters	Sim	No
microsoft.networkcloud/storageappliances	Sim	No
Microsoft.NetworkFunction/AzureTrafficCollectors	Sim	No
microsoft.notificationhubs/namespaces	Sim	Sim
microsoft.notificationhubs/namespaces/notificationhubs	Sim	Sim
Microsoft.OpenEnergyPlatform/EnergyServices	Sim	No
Microsoft.OperationAlInsights/Workspaces	Sim	Sim
microsoft.powerbi/locatários/espaços de trabalho	Sim	No
microsoft.powerbidedicated/capacidades	Sim	No
microsoft.purview/contas	Sim	Sim
Microsoft.RecoveryServices/Cofres	Sim	No
microsoft.relay/namespaces	Sim	No
microsoft.search/searchservices	Sim	Sim
microsoft.servicebus/namespaces	Sim	Sim
Microsoft.ServiceNetworking/TrafficControllers	Sim	No
Microsoft.SignalrService/Signalr	Sim	Sim
Microsoft.SignalrService/WebPubSub	Sim	Sim
microsoft.sql/instâncias gerenciadas	Sim	Sim
microsoft.sql/instâncias gerenciadas/bancos de dados	Sim	No
microsoft.sql/servidores/bases de dados	Sim	Sim
Microsoft.StorageCache/Caches	Sim	No
Microsoft.StorageMover/StorageMovers	Sim	No
Microsoft.StreamAnalytics/StreamingJobs	Sim	No
microsoft.synapse/workspaces	Sim	Sim
microsoft.synapse/workspaces/bigdatapools	Sim	Sim
microsoft.synapse/workspaces/kustopools	Sim	Sim
microsoft.synapse/workspaces/scopepools	Sim	Sim
microsoft.synapse/workspaces/sqlpools	Sim	Sim
Microsoft.TimeSeriesInsights/Ambientes	Sim	No
Microsoft.TimeSeriesInsights/Environments/EventSources	Sim	No
microsoft.videoindexer/contas	Sim	No
microsoft.web/hostingenvironments	Sim	Sim
Microsoft.Workloads/SAPVIRTUALINSTANCES	Sim	Sim

Passos Seguintes

• Criar configurações de diagnóstico em escala usando a Política do Azure
• Definições internas da Política do Azure para o Azure Monitor
• Descrição Geral do Azure Policy
• Política Empresarial do Azure como Código