你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Azure 应用服务的 Azure Policy 内置定义
此页是 Azure 应用服务的 Azure Policy 内置策略定义的索引。 有关其他服务的其他 Azure Policy 内置定义,请参阅 Azure Policy 内置定义。
每个内置策略定义链接(指向 Azure 门户中的策略定义)的名称。 使用“版本”列中的链接查看 Azure Policy GitHub 存储库上的源。
Azure 应用服务
名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
---|---|---|---|
[预览]:应用服务计划应为区域冗余 | 应用服务计划可配置为区域冗余或非区域冗余。 当应用服务计划的“zoneRedundant”属性设置为“false”时,不会为其配置区域冗余。 此策略标识并强制实施应用服务计划的区域冗余配置。 | Audit、Deny、Disabled | 1.0.0-preview |
应将应用服务应用槽注入到虚拟网络中 | 将应用服务应用注入虚拟网络可以解锁高级应用服务网络和安全功能,并更好地控制网络安全配置。 有关详细信息,请访问:https://docs.microsoft.com/azure/app-service/web-sites-integrate-with-vnet。 | Audit、Deny、Disabled | 1.0.0 |
应用服务应用槽应禁用公用网络访问 | 禁用公用网络访问可确保应用服务不会在公共 Internet 上公开,从而提高安全性。 创建专用终结点可以限制应用服务的公开。 有关详细信息,请访问:https://aka.ms/app-service-private-endpoint。 | 审核、已禁用、拒绝 | 1.0.0 |
应用服务应用槽应启用到 Azure 虚拟网络的配置路由 | 默认情况下,拉取容器映像和装载内容存储等应用配置不会通过区域虚拟网络集成进行路由。 使用 API 将路由选项设置为 true 可启用通过 Azure 虚拟网络的配置流量。 这些设置允许使用网络安全组和用户定义的路由等功能,并且允许服务终结点为专用。 有关详细信息,请访问 https://aka.ms/appservice-vnet-configuration-routing。 | Audit、Deny、Disabled | 1.0.0 |
应用服务应用槽应启用到 Azure 虚拟网络的出站非 RFC 1918 流量 | 默认情况下,如果有人使用区域性 Azure 虚拟网络 (VNET) 集成,那么应用仅将 RFC1918 流量路由到相应的这个虚拟网络中。 通过使用 API 将“vnetRouteAllEnabled”设置为 true,可使所有出站流量流入 Azure 虚拟网络。 通过此设置,可对来自应用服务应用的所有出站流量使用网络安全组和用户定义的路由等功能。 | Audit、Deny、Disabled | 1.0.0 |
应用服务应用槽应启用“客户端证书(传入的客户端证书)” | 客户端证书允许应用请求传入请求的证书。 只有具有有效证书的客户端才能访问该应用。 此策略适用于 Http 版本设置为 1.1 的应用。 | AuditIfNotExists、Disabled | 1.0.0 |
应用服务应用槽应为 FTP 部署禁用本地身份验证方法 | 禁用 FTP 部署的本地身份验证方法可确保应用服务槽仅将 Microsoft Entra 标识作为身份验证方法,从而提高安全性。 有关详细信息,请访问:https://aka.ms/app-service-disable-basic-auth。 | AuditIfNotExists、Disabled | 1.0.3 |
应用服务应用槽应为 SCM 网站部署禁用本地身份验证方法 | 禁用 SCM 站点的本地身份验证方法可确保应用服务槽仅将 Microsoft Entra 标识作为身份验证方法,从而提高安全性。 有关详细信息,请访问:https://aka.ms/app-service-disable-basic-auth。 | AuditIfNotExists、Disabled | 1.0.4 |
应用服务应用槽应已关闭远程调试 | 远程调试需要入站端口在应用服务应用上打开。 应禁用远程调试。 | AuditIfNotExists、Disabled | 1.0.1 |
应用服务应用槽应启用资源日志 | 审核确认已在应用上启用资源日志。 如果发生安全事件或网络遭泄露,这样便可以重新创建活动线索用于调查目的。 | AuditIfNotExists、Disabled | 1.0.0 |
应用服务应用槽不应将 CORS 配置为允许每个资源访问应用 | 跨源资源共享 (CORS) 不应允许所有域都能访问应用。 仅允许所需的域与应用交互。 | AuditIfNotExists、Disabled | 1.0.0 |
只应通过 HTTPS 访问应用服务应用槽 | 使用 HTTPS 可确保执行服务器/服务身份验证服务,并保护传输中的数据不受网络层窃听攻击威胁。 | 审核、已禁用、拒绝 | 2.0.0 |
应用服务应用槽应仅需要 FTPS | 启用“FTPS 强制实施”以增强安全性。 | AuditIfNotExists、Disabled | 1.0.0 |
应用服务应用槽应将 Azure 文件共享用于其内容目录 | 应用的内容目录应位于 Azure 文件共享中。 必须先提供文件共享的存储帐户信息,然后才能进行任何发布活动。 若要详细了解如何使用 Azure 文件存储来托管应用服务内容,请参阅 https://go.microsoft.com/fwlink/?linkid=2151594。 | Audit、Disabled | 1.0.0 |
应用服务应用槽应使用最新的“HTTP 版本” | 我们定期发布适用于 HTTP 的更高版本来解决安全漏洞或包含更多功能。 使用 Web 应用的最新 HTTP 版本可以利用更高版本的安全修复(如果有)和/或新功能。 | AuditIfNotExists、Disabled | 1.0.0 |
应用服务应用槽应使用托管标识 | 使用托管标识以实现增强的身份验证安全性 | AuditIfNotExists、Disabled | 1.0.0 |
应用服务应用槽应使用最新的 TLS 版本 | 由于安全漏洞,会定期发布针对 TLS 的较新版本,包括其他功能并提高速度。 升级到应用服务应用的最新 TLS 版本,以利用安全修补程序(如果有)和/或最新版本的新功能。 | AuditIfNotExists、Disabled | 1.1.0 |
使用 Java 的应用服务应用槽应使用指定的 Java 版本 | 我们定期发布适用于 Java 软件的更高版本来解决安全漏洞或包含更多功能。 建议使用应用服务应用的最新 Java 版本,以充分利用最新版本的安全修补程序(如果有)和/或新功能。 此策略仅适用于 Linux 应用。 此策略要求指定满足需求的 Java 版本。 | AuditIfNotExists、Disabled | 1.0.0 |
使用 PHP 的应用服务应用槽应使用指定的 PHP 版本 | 我们定期发布适用于 PHP 软件的更高版本来解决安全漏洞或包含更多功能。 建议使用应用服务应用的最新 PHP 版本,以充分利用最新版本的安全修补程序(如果有)和/或新功能。 此策略仅适用于 Linux 应用。 此策略要求指定满足需求的 PHP 版本。 | AuditIfNotExists、Disabled | 1.0.0 |
使用 Python 的应用服务应用槽应使用指定的 Python 版本 | 我们定期发布适用于 Python 软件的更高版本来解决安全漏洞或包含更多功能。 建议使用应用服务应用的最新 Python 版本,以充分利用最新版本的安全修补程序(如果有)和/或新功能。 此策略仅适用于 Linux 应用。 此策略要求指定满足需求的 Python 版本。 | AuditIfNotExists、Disabled | 1.0.0 |
应用服务应用应注入到虚拟网络中 | 将应用服务应用注入虚拟网络可以解锁高级应用服务网络和安全功能,并更好地控制网络安全配置。 有关详细信息,请访问:https://docs.microsoft.com/azure/app-service/web-sites-integrate-with-vnet。 | Audit、Deny、Disabled | 3.0.0 |
应用服务应用应禁用公用网络访问 | 禁用公用网络访问可确保应用服务不会在公共 Internet 上公开,从而提高安全性。 创建专用终结点可以限制应用服务的公开。 有关详细信息,请访问:https://aka.ms/app-service-private-endpoint。 | 审核、已禁用、拒绝 | 1.1.0 |
应用服务应用应启用到 Azure 虚拟网络的配置路由 | 默认情况下,拉取容器映像和装载内容存储等应用配置不会通过区域虚拟网络集成进行路由。 使用 API 将路由选项设置为 true 可启用通过 Azure 虚拟网络的配置流量。 这些设置允许使用网络安全组和用户定义的路由等功能,并且允许服务终结点为专用。 有关详细信息,请访问 https://aka.ms/appservice-vnet-configuration-routing。 | Audit、Deny、Disabled | 1.0.0 |
应用服务应用应启用到 Azure 虚拟网络的出站非 RFC 1918 流量 | 默认情况下,如果有人使用区域性 Azure 虚拟网络 (VNET) 集成,那么应用仅将 RFC1918 流量路由到相应的这个虚拟网络中。 通过使用 API 将“vnetRouteAllEnabled”设置为 true,可使所有出站流量流入 Azure 虚拟网络。 通过此设置,可对来自应用服务应用的所有出站流量使用网络安全组和用户定义的路由等功能。 | Audit、Deny、Disabled | 1.0.0 |
应用服务应用应启用身份验证 | Azure 应用服务身份验证是一项功能,可以阻止匿名 HTTP 请求访问 Web 应用,或在令牌访问 Web 应用之前对其进行身份验证。 | AuditIfNotExists、Disabled | 2.0.1 |
应用服务应用应启用“客户端证书(传入客户端证书)” | 客户端证书允许应用请求传入请求的证书。 只有具有有效证书的客户端才能访问该应用。 此策略适用于 Http 版本设置为 1.1 的应用。 | AuditIfNotExists、Disabled | 1.0.0 |
应用服务应用应为 FTP 部署禁用本地身份验证方法 | 禁用 FTP 部署的本地身份验证方法可确保应用服务仅将 Microsoft Entra 标识作为身份验证方法,从而提高安全性。 有关详细信息,请访问:https://aka.ms/app-service-disable-basic-auth。 | AuditIfNotExists、Disabled | 1.0.3 |
应用服务应用应为 SCM 网站部署禁用本地身份验证方法 | 禁用 SCM 站点的本地身份验证方法可确保应用服务仅将 Microsoft Entra 标识作为身份验证方法,从而提高安全性。 有关详细信息,请访问:https://aka.ms/app-service-disable-basic-auth。 | AuditIfNotExists、Disabled | 1.0.3 |
应用服务应用应已禁用远程调试 | 远程调试需要入站端口在应用服务应用上打开。 应禁用远程调试。 | AuditIfNotExists、Disabled | 2.0.0 |
应用服务应用应已启用资源日志 | 审核确认已在应用上启用资源日志。 如果发生安全事件或网络遭泄露,这样便可以重新创建活动线索用于调查目的。 | AuditIfNotExists、Disabled | 2.0.1 |
应用服务应用不应将 CORS 配置为允许每个资源访问应用 | 跨源资源共享 (CORS) 不应允许所有域都能访问应用。 仅允许所需的域与应用交互。 | AuditIfNotExists、Disabled | 2.0.0 |
只应通过 HTTPS 访问应用服务应用 | 使用 HTTPS 可确保执行服务器/服务身份验证服务,并保护传输中的数据不受网络层窃听攻击威胁。 | 审核、已禁用、拒绝 | 4.0.0 |
应用服务应用应仅需要 FTPS | 启用“FTPS 强制实施”以增强安全性。 | AuditIfNotExists、Disabled | 3.0.0 |
应用服务应用应使用支持专用链接的 SKU | 使用受支持的 SKU 时,Azure 专用链接可让你在源或目标位置没有公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到应用,可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://aka.ms/private-link。 | Audit、Deny、Disabled | 4.1.0 |
应用服务应用应使用虚拟网络服务终结点 | 使用虚拟网络服务终结点限制从 Azure 虚拟网络中的所选子网访问应用。 若要详细了解应用服务的服务终结点,请访问 https://aka.ms/appservice-vnet-service-endpoint。 | AuditIfNotExists、Disabled | 2.0.1 |
应用服务应用应将 Azure 文件共享用于其内容目录 | 应用的内容目录应位于 Azure 文件共享中。 必须先提供文件共享的存储帐户信息,然后才能进行任何发布活动。 若要详细了解如何使用 Azure 文件存储来托管应用服务内容,请参阅 https://go.microsoft.com/fwlink/?linkid=2151594。 | Audit、Disabled | 3.0.0 |
应用服务应用应使用最新“HTTP 版本” | 我们定期发布适用于 HTTP 的更高版本来解决安全漏洞或包含更多功能。 使用 Web 应用的最新 HTTP 版本可以利用更高版本的安全修复(如果有)和/或新功能。 | AuditIfNotExists、Disabled | 4.0.0 |
应用服务应用应使用托管标识 | 使用托管标识以实现增强的身份验证安全性 | AuditIfNotExists、Disabled | 3.0.0 |
应用服务应用应使用专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到应用服务,可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://aka.ms/private-link。 | AuditIfNotExists、Disabled | 1.0.1 |
应用服务应用应使用最新的 TLS 版本 | 由于安全漏洞,会定期发布针对 TLS 的较新版本,包括其他功能并提高速度。 升级到应用服务应用的最新 TLS 版本,以利用安全修补程序(如果有)和/或最新版本的新功能。 | AuditIfNotExists、Disabled | 2.1.0 |
使用 Java 的应用服务应用应使用指定的 Java 版本 | 我们定期发布适用于 Java 软件的更高版本来解决安全漏洞或包含更多功能。 建议使用应用服务应用的最新 Java 版本,以充分利用最新版本的安全修补程序(如果有)和/或新功能。 此策略仅适用于 Linux 应用。 此策略要求指定满足需求的 Java 版本。 | AuditIfNotExists、Disabled | 3.1.0 |
使用 PHP 的应用服务应用应使用指定的 PHP 版本 | 我们定期发布适用于 PHP 软件的更高版本来解决安全漏洞或包含更多功能。 建议使用应用服务应用的最新 PHP 版本,以充分利用最新版本的安全修补程序(如果有)和/或新功能。 此策略仅适用于 Linux 应用。 此策略要求指定满足需求的 PHP 版本。 | AuditIfNotExists、Disabled | 3.2.0 |
使用 Python 的应用服务应用应使用指定的 Python 版本 | 我们定期发布适用于 Python 软件的更高版本来解决安全漏洞或包含更多功能。 建议使用应用服务应用的最新 Python 版本,以充分利用最新版本的安全修补程序(如果有)和/或新功能。 此策略仅适用于 Linux 应用。 此策略要求指定满足需求的 Python 版本。 | AuditIfNotExists、Disabled | 4.1.0 |
不应通过公共 Internet 访问应用服务环境应用 | 为了确保无法通过公共 Internet 访问应用服务环境中部署的应用程序,应在虚拟网络中部署具有 IP 地址的应用服务环境。 若要将 IP 地址设置为虚拟网络 IP,必须使用内部负载均衡器部署应用服务环境。 | Audit、Deny、Disabled | 3.0.0 |
应使用最强的 TLS 密码套件配置应用服务环境 | 应用服务环境正常运行所需的两个最小和最强密码套件是:TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 和 TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256。 | Audit、Disabled | 1.0.0 |
应使用最新版本预配应用服务环境 | 仅允许预配应用服务环境版本 2 或版本 3。 早期版本的应用服务环境需要手动管理 Azure 资源且缩放限制更严格。 | Audit、Deny、Disabled | 1.0.0 |
应用服务环境应启用内部加密 | 如果将 InternalEncryption 设置为 true,会对应用服务环境中前端和辅助角色之间的页面文件、辅助角色磁盘和内部网络流量进行加密。 若要了解详细信息,请查看 https://docs.microsoft.com/azure/app-service/environment/app-service-app-service-environment-custom-settings#enable-internal-encryption。 | Audit、Disabled | 1.0.1 |
应用服务环境应禁用 TLS 1.0 和 1.1 | TLS 1.0 和 1.1 协议已过时,不支持现代加密算法。 禁用入站 TLS 1.0 和 1.1 流量可帮助保护应用服务环境中的应用。 | Audit、Deny、Disabled | 2.0.1 |
配置应用服务应用槽以禁用 FTP 部署的本地身份验证 | 禁用 FTP 部署的本地身份验证方法可确保应用服务槽仅将 Microsoft Entra 标识作为身份验证方法,从而提高安全性。 有关详细信息,请访问:https://aka.ms/app-service-disable-basic-auth。 | DeployIfNotExists、Disabled | 1.0.3 |
配置应用服务应用槽以禁用 SCM 网站的本地身份验证 | 禁用 SCM 站点的本地身份验证方法可确保应用服务槽仅将 Microsoft Entra 标识作为身份验证方法,从而提高安全性。 有关详细信息,请访问:https://aka.ms/app-service-disable-basic-auth。 | DeployIfNotExists、Disabled | 1.0.3 |
配置应用服务应用槽以禁用公用网络访问 | 禁用对应用服务的公用网络访问,确保无法通过公共 Internet 对其进行访问。 这样可以减少数据泄露风险。 有关详细信息,请访问:https://aka.ms/app-service-private-endpoint。 | 修改,已禁用 | 1.1.0 |
将应用服务应用槽配置为只能通过 HTTPS 访问 | 使用 HTTPS 可确保执行服务器/服务身份验证服务,并保护传输中的数据不受网络层窃听攻击威胁。 | 修改,已禁用 | 2.0.0 |
配置应用服务应用槽以关闭远程调试 | 远程调试需要入站端口在应用服务应用上打开。 应禁用远程调试。 | DeployIfNotExists、Disabled | 1.1.0 |
配置应用服务应用槽以使用最新的 TLS 版本 | 由于安全漏洞,会定期发布针对 TLS 的较新版本,包括其他功能并提高速度。 升级到应用服务应用的最新 TLS 版本,以利用安全修补程序(如果有)和/或最新版本的新功能。 | DeployIfNotExists、Disabled | 1.2.0 |
配置应用服务应用以禁用 FTP 部署的本地身份验证 | 禁用 FTP 部署的本地身份验证方法可确保应用服务仅将 Microsoft Entra 标识作为身份验证方法,从而提高安全性。 有关详细信息,请访问:https://aka.ms/app-service-disable-basic-auth。 | DeployIfNotExists、Disabled | 1.0.3 |
配置应用服务应用以禁用 SCM 网站的本地身份验证 | 禁用 SCM 站点的本地身份验证方法可确保应用服务仅将 Microsoft Entra 标识作为身份验证方法,从而提高安全性。 有关详细信息,请访问:https://aka.ms/app-service-disable-basic-auth。 | DeployIfNotExists、Disabled | 1.0.3 |
配置应用服务应用以禁用公用网络访问 | 禁用对应用服务的公用网络访问,确保无法通过公共 Internet 对其进行访问。 这样可以减少数据泄露风险。 有关详细信息,请访问:https://aka.ms/app-service-private-endpoint。 | 修改,已禁用 | 1.1.0 |
将应用服务应用配置为只能通过 HTTPS 访问 | 使用 HTTPS 可确保执行服务器/服务身份验证服务,并保护传输中的数据不受网络层窃听攻击威胁。 | 修改,已禁用 | 2.0.0 |
配置应用服务应用以关闭远程调试 | 远程调试需要入站端口在应用服务应用上打开。 应禁用远程调试。 | DeployIfNotExists、Disabled | 1.0.0 |
将应用服务应用配置为使用最新的 TLS 版本 | 由于安全漏洞,会定期发布针对 TLS 的较新版本,包括其他功能并提高速度。 升级到应用服务应用的最新 TLS 版本,以利用安全修补程序(如果有)和/或最新版本的新功能。 | DeployIfNotExists、Disabled | 1.1.0 |
配置函数应用槽以禁用公用网络访问 | 禁用对函数应用的公用网络访问,确保无法通过公共 Internet 对其进行访问。 这样可以减少数据泄露风险。 有关详细信息,请访问:https://aka.ms/app-service-private-endpoint。 | 修改,已禁用 | 1.1.0 |
将函数应用槽配置为只能通过 HTTPS 访问 | 使用 HTTPS 可确保执行服务器/服务身份验证服务,并保护传输中的数据不受网络层窃听攻击威胁。 | 修改,已禁用 | 2.0.0 |
配置函数应用槽以关闭远程调试 | 要进行远程调试,需要在函数应用上打开入站端口。 应禁用远程调试。 | DeployIfNotExists、Disabled | 1.1.0 |
配置函数应用槽以使用最新的 TLS 版本 | 由于安全漏洞,会定期发布针对 TLS 的较新版本,包括其他功能并提高速度。 升级到函数应用的最新 TLS 版本,以利用安全修补程序(如果有)和/或最新版本的新功能。 | DeployIfNotExists、Disabled | 1.2.0 |
配置函数应用以禁用公用网络访问 | 禁用对函数应用的公用网络访问,确保无法通过公共 Internet 对其进行访问。 这样可以减少数据泄露风险。 有关详细信息,请访问:https://aka.ms/app-service-private-endpoint。 | 修改,已禁用 | 1.1.0 |
将函数应用配置为仅可通过 HTTPS 访问 | 使用 HTTPS 可确保执行服务器/服务身份验证服务,并保护传输中的数据不受网络层窃听攻击威胁。 | 修改,已禁用 | 2.0.0 |
配置函数应用以关闭远程调试 | 远程调试需要入站端口在函数应用上打开。 应禁用远程调试。 | DeployIfNotExists、Disabled | 1.0.0 |
将函数应用配置为使用最新的 TLS 版本 | 由于安全漏洞,会定期发布针对 TLS 的较新版本,包括其他功能并提高速度。 升级到函数应用的最新 TLS 版本,以利用安全修补程序(如果有)和/或最新版本的新功能。 | DeployIfNotExists、Disabled | 1.1.0 |
按类别组为应用服务 (microsoft.web/sites) 启用到 Log Analytics 的日志记录 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,为应用服务 (microsoft.web/sites) 将日志路由到 Log Analytics 工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 Azure 应用服务环境 (microsoft.web/hostingenvironments) 的日志记录到事件中心 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 Azure 应用服务环境 (microsoft.web/hostingenvironments) 的事件中心。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 Azure 应用服务环境 (microsoft.web/hostingenvironments) 的日志记录到 Log Analytics | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 Azure 应用服务环境 (microsoft.web/hostingenvironments) 的 Log Analytics 工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 Azure 应用服务环境 (microsoft.web/hostingenvironments) 的日志记录到存储 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 Azure 应用服务环境 (microsoft.web/hostingenvironments) 的存储帐户。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
按类别组为函数应用 (microsoft.web/sites) 启用到 Log Analytics 的日志记录 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,为函数应用 (microsoft.web/sites) 将日志路由到 Log Analytics 工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
函数应用槽应禁用公用网络访问 | 禁用公用网络访问可确保函数应用不会在公共 Internet 上公开,从而提高安全性。 创建专用终结点可以限制函数应用的公开。 有关详细信息,请访问:https://aka.ms/app-service-private-endpoint。 | 审核、已禁用、拒绝 | 1.0.0 |
函数应用槽应已启用“客户端证书(传入的客户端证书)” | 客户端证书允许应用请求传入请求的证书。 只有具有有效证书的客户端才能访问该应用。 此策略适用于 Http 版本设置为 1.1 的应用。 | AuditIfNotExists、Disabled | 1.0.0 |
函数应用槽应已关闭远程调试 | 远程调试需要入站端口在函数应用上打开。 应禁用远程调试。 | AuditIfNotExists、Disabled | 1.0.0 |
函数应用槽不应将 CORS 配置为允许每个资源访问你的应用 | 跨源资源共享 (CORS) 不应允许所有域都能访问你的函数应用。 仅允许所需的域与函数应用交互。 | AuditIfNotExists、Disabled | 1.0.0 |
只应通过 HTTPS 访问函数应用槽 | 使用 HTTPS 可确保执行服务器/服务身份验证服务,并保护传输中的数据不受网络层窃听攻击威胁。 | 审核、已禁用、拒绝 | 2.0.0 |
函数应用槽应仅需要 FTPS | 启用“FTPS 强制实施”以增强安全性。 | AuditIfNotExists、Disabled | 1.0.0 |
函数应用槽应将 Azure 文件共享用于其内容目录 | 函数应用的内容目录应位于 Azure 文件共享中。 必须先提供文件共享的存储帐户信息,然后才能进行任何发布活动。 若要详细了解如何使用 Azure 文件存储来托管应用服务内容,请参阅 https://go.microsoft.com/fwlink/?linkid=2151594。 | Audit、Disabled | 1.0.0 |
函数应用槽应使用最新的“HTTP 版本” | 我们定期发布适用于 HTTP 的更高版本来解决安全漏洞或包含更多功能。 使用 Web 应用的最新 HTTP 版本可以利用更高版本的安全修复(如果有)和/或新功能。 | AuditIfNotExists、Disabled | 1.0.0 |
函数应用槽应使用最新的 TLS 版本 | 由于安全漏洞,会定期发布针对 TLS 的较新版本,包括其他功能并提高速度。 升级到函数应用的最新 TLS 版本,以利用安全修补程序(如果有)和/或最新版本的新功能。 | AuditIfNotExists、Disabled | 1.1.0 |
使用 Java 的函数应用槽应使用指定的 Java 版本 | 我们定期发布适用于 Java 软件的更高版本来解决安全漏洞或包含更多功能。 建议使用函数应用的最新 Java 版本,以充分利用最新版本的安全修复(如果有)和/或新功能。 此策略仅适用于 Linux 应用。 此策略要求指定满足需求的 Java 版本。 | AuditIfNotExists、Disabled | 1.0.0 |
使用 Python 的函数应用槽应使用指定的 Python 版本 | 我们定期发布适用于 Python 软件的更高版本来解决安全漏洞或包含更多功能。 建议使用函数应用的最新 Python 版本,以充分利用最新版本的安全修复(如果有)和/或新功能。 此策略仅适用于 Linux 应用。 此策略要求指定满足需求的 Python 版本。 | AuditIfNotExists、Disabled | 1.0.0 |
函数应用应禁用公用网络访问 | 禁用公用网络访问可确保函数应用不会在公共 Internet 上公开,从而提高安全性。 创建专用终结点可以限制函数应用的公开。 有关详细信息,请访问:https://aka.ms/app-service-private-endpoint。 | 审核、已禁用、拒绝 | 1.0.0 |
函数应用应启用身份验证 | Azure 应用服务身份验证是一项功能,可以阻止匿名 HTTP 请求访问函数应用,或在令牌访问函数应用之前对其进行身份验证。 | AuditIfNotExists、Disabled | 3.0.0 |
确保函数应用已启用“客户端证书(传入客户端证书)” | 客户端证书允许应用请求传入请求的证书。 只有具有有效证书的客户端才能访问该应用。 此策略适用于 Http 版本设置为 1.1 的应用。 | AuditIfNotExists、Disabled | 1.0.0 |
函数应用应已禁用远程调试 | 远程调试需要入站端口在函数应用上打开。 应禁用远程调试。 | AuditIfNotExists、Disabled | 2.0.0 |
函数应用不应将 CORS 配置为允许每个资源访问应用 | 跨源资源共享 (CORS) 不应允许所有域都能访问你的函数应用。 仅允许所需的域与函数应用交互。 | AuditIfNotExists、Disabled | 2.0.0 |
只应通过 HTTPS 访问函数应用 | 使用 HTTPS 可确保执行服务器/服务身份验证服务,并保护传输中的数据不受网络层窃听攻击威胁。 | 审核、已禁用、拒绝 | 5.0.0 |
函数应用应仅需要 FTPS | 启用“FTPS 强制实施”以增强安全性。 | AuditIfNotExists、Disabled | 3.0.0 |
函数应用应使用 Azure 文件共享作为其内容目录 | 函数应用的内容目录应位于 Azure 文件共享中。 必须先提供文件共享的存储帐户信息,然后才能进行任何发布活动。 若要详细了解如何使用 Azure 文件存储来托管应用服务内容,请参阅 https://go.microsoft.com/fwlink/?linkid=2151594。 | Audit、Disabled | 3.0.0 |
函数应用应使用最新“HTTP 版本” | 我们定期发布适用于 HTTP 的更高版本来解决安全漏洞或包含更多功能。 使用 Web 应用的最新 HTTP 版本可以利用更高版本的安全修复(如果有)和/或新功能。 | AuditIfNotExists、Disabled | 4.0.0 |
函数应用应使用托管标识 | 使用托管标识以实现增强的身份验证安全性 | AuditIfNotExists、Disabled | 3.0.0 |
函数应用应使用最新 TLS 版本 | 由于安全漏洞,会定期发布针对 TLS 的较新版本,包括其他功能并提高速度。 升级到函数应用的最新 TLS 版本,以利用安全修补程序(如果有)和/或最新版本的新功能。 | AuditIfNotExists、Disabled | 2.1.0 |
使用 Java 的函数应用应使用指定的 Java 版本 | 我们定期发布适用于 Java 软件的更高版本来解决安全漏洞或包含更多功能。 建议使用函数应用的最新 Java 版本,以充分利用最新版本的安全修复(如果有)和/或新功能。 此策略仅适用于 Linux 应用。 此策略要求指定满足需求的 Java 版本。 | AuditIfNotExists、Disabled | 3.1.0 |
使用 Python 的函数应用应使用指定的 Python 版本 | 我们定期发布适用于 Python 软件的更高版本来解决安全漏洞或包含更多功能。 建议使用函数应用的最新 Python 版本,以充分利用最新版本的安全修复(如果有)和/或新功能。 此策略仅适用于 Linux 应用。 此策略要求指定满足需求的 Python 版本。 | AuditIfNotExists、Disabled | 4.1.0 |
发行说明
2024 年 10 月
- App 服务应用和槽位中现在支持 TLS 1.3。 已更新以下策略以强制将最低 TLS 版本设置为 1.3:
- “App 服务应用应使用最新的 TLS 版本”
- “App 服务应用槽应使用最新的 TLS 版本”
- “将App 服务应用配置为使用最新的 TLS 版本”
- “将App 服务应用槽配置为使用最新的 TLS 版本”
- “函数应用应使用最新的 TLS 版本”
- “将函数应用配置为使用最新的 TLS 版本”
- “函数应用槽应使用最新的 TLS 版本”
- “将函数应用槽配置为使用最新的 TLS 版本”
2023 年 4 月
- 使用 Java 的应用服务应用应使用最新“Java 版本”
- 将策略重命名为“使用 Java 的应用服务应用应使用指定的 Java 版本”
- 更新策略,以便其在分配之前要求具有版本规范
- 使用 Python 的应用服务应用应使用最新“Python 版本”
- 将策略重命名为“使用 Python 的应用服务应用应使用指定的 Python 版本”
- 更新策略,以便其在分配之前要求具有版本规范
- 使用 Java 的函数应用应使用最新“Java 版本”
- 将策略重命名为“使用 Java 的函数应用应使用指定的 Java 版本”
- 更新策略,以便其在分配之前要求具有版本规范
- 使用 Python 的函数应用应使用最新“Python 版本”
- 将策略重命名为“使用 Python 的函数应用应使用指定的 Python 版本”
- 更新策略,以便其在分配之前要求具有版本规范
- 使用 PHP 的应用服务应用应使用最新“PHP 版本”
- 将策略重命名为“使用 PHP 的应用服务应用应使用指定的 PHP 版本”
- 更新策略,以便其在分配之前要求具有版本规范
- 使用 Python 的应用服务应用槽应使用指定的 Python 版本
- 新策略已创建
- 使用 Python 的函数应用槽应使用指定的 Python 版本
- 新策略已创建
- 使用 PHP 的应用服务应用槽应使用指定的 PHP 版本
- 新策略已创建
- 使用 Java 的应用服务应用槽应使用指定的 Java 版本
- 新策略已创建
- 使用 Java 的函数应用槽应使用指定的 Java 版本
- 新策略已创建
2022 年 11 月
- “应用服务应用应启用到 Azure 虚拟网络的出站非 RFC 1918 流量”策略的弃用
- 根据站点属性被替换为具有相同显示名称的一个策略,以支持拒绝效果
- “应用服务应用槽应启用到 Azure 虚拟网络的出站非 RFC 1918 流量”策略的弃用
- 根据站点属性被替换为具有相同显示名称的一个策略,以支持拒绝效果
- 应用服务应用应启用到 Azure 虚拟网络的出站非 RFC 1918 流量
- 新策略已创建
- 应用服务应用槽应启用到 Azure 虚拟网络的出站非 RFC 1918 流量
- 新策略已创建
- 应用服务应用应启用到 Azure 虚拟网络的配置路由
- 新策略已创建
- 应用服务应用槽应启用到 Azure 虚拟网络的配置路由
- 新策略已创建
2022 年 10 月
- 函数应用槽应已关闭远程调试
- 新策略已创建
- 应用服务应用槽应已关闭远程调试
- 新策略已创建
- 函数应用槽应使用最新的“HTTP 版本”
- 新策略已创建
- 函数应用槽应使用最新的 TLS 版本
- 新策略已创建
- 应用服务应用槽应使用最新的 TLS 版本
- 新策略已创建
- 应用服务应用槽应启用资源日志
- 新策略已创建
- 应用服务应用槽应启用到 Azure 虚拟网络的出站非 RFC 1918 流量
- 新策略已创建
- 应用服务应用槽应使用托管标识
- 新策略已创建
- 应用服务应用槽应使用最新的“HTTP 版本”
- 新策略已创建
- “配置应用服务以禁用公用网络访问”策略已弃用
- 替换为“配置应用服务应用以禁用公共网络访问”
- “应用服务应禁用公共网络访问”策略已弃用
- 替换为“应用服务应用应禁用公共网络访问”以支持拒绝效果
- 应用服务应用应禁用公用网络访问
- 新策略已创建
- 应用服务应用槽应禁用公用网络访问
- 新策略已创建
- 配置应用服务应用以禁用公用网络访问
- 新策略已创建
- 配置应用服务应用槽以禁用公用网络访问
- 新策略已创建
- 函数应用应禁用公用网络访问
- 新策略已创建
- 函数应用槽应禁用公用网络访问
- 新策略已创建
- 配置函数应用以禁用公用网络访问
- 新策略已创建
- 配置函数应用槽以禁用公用网络访问
- 新策略已创建
- 配置应用服务应用槽以关闭远程调试
- 新策略已创建
- 配置函数应用槽以关闭远程调试
- 新策略已创建
- 配置应用服务应用槽以使用最新的 TLS 版本
- 新策略已创建
- 配置函数应用槽以使用最新的 TLS 版本
- 新策略已创建
- 应用服务应用应使用最新“HTTP 版本”
- 更新范围以包括 Windows 应用
- 函数应用应使用最新“HTTP 版本”
- 更新范围以包括 Windows 应用
- 不应通过公共 Internet 访问应用服务环境应用
- 修改策略定义以移除对 API 版本的检查
2022 年 9 月
- 应用服务应用应注入到虚拟网络中
- 更新策略范围来移除槽
- 创建“应将应用服务应用槽注入到虚拟网络中”来监视槽
- 更新策略范围来移除槽
- 应将应用服务应用槽注入到虚拟网络中
- 新策略已创建
- 确保函数应用已启用“客户端证书(传入客户端证书)”
- 更新策略范围来移除槽
- 创建“函数应用槽应已启用‘客户端证书(传入的客户端证书)’”来监视槽
- 更新策略范围来移除槽
- 函数应用槽应已启用“客户端证书(传入的客户端证书)”
- 新策略已创建
- 函数应用应使用 Azure 文件共享作为其内容目录
- 更新策略范围来移除槽
- 创建“函数应用槽应将 Azure 文件共享用于其内容目录”来监视槽
- 更新策略范围来移除槽
- 函数应用槽应将 Azure 文件共享用于其内容目录
- 新策略已创建
- 应用服务应用应启用“客户端证书(传入客户端证书)”
- 更新策略范围来移除槽
- 创建“应用服务应用槽应已启用‘客户端证书(传入的客户端证书)’”来监视槽
- 更新策略范围来移除槽
- 应用服务应用槽应启用“客户端证书(传入客户端证书)”
- 新策略已创建
- 应用服务应用应将 Azure 文件共享用于其内容目录
- 更新策略范围来移除槽
- 创建“应用服务应用槽应将 Azure 文件共享用于其内容目录”来监视槽
- 更新策略范围来移除槽
- 应用服务应用槽应将 Azure 文件共享用于其内容目录
- 新策略已创建
- 函数应用槽应仅需要 FTPS
- 新策略已创建
- 应用服务应用槽应仅需要 FTPS
- 新策略已创建
- 函数应用槽不应将 CORS 配置为允许每个资源访问你的应用
- 新策略已创建
- 应用服务应用槽不应将 CORS 配置为允许每个资源访问应用
- 新策略已创建
- 只应通过 HTTPS 访问函数应用
- 更新策略范围来移除槽
- 创建“只应通过 HTTPS 访问函数应用槽”来监视槽
- 添加“拒绝”效果
- 创建“将函数应用配置为只能通过 HTTPS 访问”,以强制实施策略
- 更新策略范围来移除槽
- 只应通过 HTTPS 访问函数应用槽
- 新策略已创建
- 将函数应用配置为仅可通过 HTTPS 访问
- 新策略已创建
- 将函数应用槽配置为只能通过 HTTPS 访问
- 新策略已创建
- 应用服务应用应使用支持专用链接的 SKU
- 更新受支持策略 SKU 的列表以包括逻辑应用的工作流标准层
- 将应用服务应用配置为使用最新的 TLS 版本
- 新策略已创建
- 将函数应用配置为使用最新的 TLS 版本
- 新策略已创建
- 配置应用服务应用以关闭远程调试
- 新策略已创建
- 配置函数应用以关闭远程调试
- 新策略已创建
2022 年 8 月
- 只应通过 HTTPS 访问应用服务应用
- 更新策略范围来移除槽
- 创建“只应通过 HTTPS 访问应用服务应用槽”来监视槽
- 添加“拒绝”效果
- 创建“将应用服务应用配置为只能通过 HTTPS 访问”,以强制实施策略
- 更新策略范围来移除槽
- 只应通过 HTTPS 访问应用服务应用槽
- 新策略已创建
- 将应用服务应用配置为只能通过 HTTPS 访问
- 新策略已创建
- 将应用服务应用槽配置为只能通过 HTTPS 访问
- 新策略已创建
2022 年 7 月
- 弃用以下策略:
- 确保 API 应用的“客户端证书(传入客户端证书)”设置为“打开”
- 确保用作 API 应用一部分的“Python 版本”是最新的
- CORS 不应允许所有资源都能访问 API 应用
- 应在 API 应用中使用的托管标识
- 应为 API 应用禁用远程调试
- 确保用作 API 应用一部分的“PHP 版本”是最新的
- API 应用应使用 Azure 文件共享作为其内容目录
- 应仅在 API 应用中需要 FTPS
- 确保用作 API 应用一部分的“Java 版本”是最新的
- 确保用于运行 API 应用的“HTTP 版本”是最新的
- 应在 API 应用中使用最新的 TLS 版本
- 应在 API 应用上启用身份验证
- 确保函数应用已启用“客户端证书(传入客户端证书)”
- 更新策略范围以包括槽
- 更新策略范围以排除逻辑应用
- 确保 WEB 应用的“客户端证书(传入客户端证书)”设置为“打开”
- 将策略重命名为“应用服务应用应已启用‘客户端证书(传入的客户端证书)’”
- 更新策略范围以包括槽
- 更新策略范围以包括除函数应用以外的其他所有应用类型
- 确保用作 Web 应用一部分的“Python 版本”是最新的
- 将策略重命名为“使用 Python 的应用服务应用应使用最新的‘Python 版本’”
- 更新策略范围以包括除函数应用以外的其他所有应用类型
- 确保用作函数应用一部分的“Python 版本”是最新的
- 将策略重命名为“使用 Python 的函数应用应使用最新的‘Python 版本’”
- 更新策略范围以排除逻辑应用
- CORS 不应允许所有资源都能访问你的 Web 应用程序
- 将策略重命名为“应用服务应用不应将 CORS 配置为允许每个资源访问应用”
- 更新策略范围以包括除函数应用以外的其他所有应用类型
- CORS 不应允许所有资源都能访问函数应用
- 将策略重命名为“函数应用不应将 CORS 配置为允许每个资源访问应用”
- 更新策略范围以排除逻辑应用
- 应在函数应用中使用的托管标识
- 将策略重命名为“函数应用应使用托管标识”
- 更新策略范围以排除逻辑应用
- 应在 Web 应用中使用的托管标识
- 将策略重命名为“应用服务应用应使用托管标识”
- 更新策略范围以包括除函数应用以外的其他所有应用类型
- 应对函数应用禁用远程调试
- 将策略重命名为“函数应用应关闭远程调试”
- 更新策略范围以排除逻辑应用
- 应禁用 Web 应用程序的远程调试
- 将策略重命名为“应用服务应用应关闭远程调试”
- 更新策略范围以包括除函数应用以外的其他所有应用类型
- 确保用作 WEB 应用一部分的“PHP 版本”是最新的
- 将策略重命名为“使用 PHP 的应用服务应用应使用最新的‘PHP 版本’”
- 更新策略范围以包括除函数应用以外的其他所有应用类型
- 应用服务槽应为 SCM 站点部署禁用本地身份验证方法
- 将策略重命名为“应用服务应用槽应为 SCM 站点部署禁用本地身份验证方法”
- 应用服务应为 SCM 站点部署禁用本地身份验证方法
- 将策略重命名为“应用服务应用应为 SCM 站点部署禁用本地身份验证方法”
- 应用服务槽应为 FTP 部署禁用本地身份验证方法
- 将策略重命名为“应用服务应用槽应为 FTP 部署禁用本地身份验证方法”
- 应用服务应为 FTP 部署禁用本地身份验证方法
- 将策略重命名为“应用服务应用应为 FTP 部署禁用本地身份验证方法”
- 函数应用应使用 Azure 文件共享作为其内容目录
- 更新策略范围以包括槽
- 更新策略范围以排除逻辑应用
- Web 应用应使用 Azure 文件共享作为其内容目录
- 将策略重命名为“应用服务应用应将 Azure 文件共享用于其内容目录”
- 更新策略范围以包括槽
- 更新策略范围以包括除函数应用以外的其他所有应用类型
- 应仅在函数应用中要求使用 FTPS
- 将策略重命名为“函数应用应只需要 FTPS”
- 更新策略范围以排除逻辑应用
- 应仅在 Web 应用中要求使用 FTPS
- 将策略重命名为“应用服务应用应只需要 FTPS”
- 更新策略范围以包括除函数应用以外的其他所有应用类型
- 确保用作函数应用一部分的“Java 版本”是最新的
- 将策略重命名为“使用 Java 的函数应用应使用最新的‘Java 版本’”
- 更新策略范围以排除逻辑应用
- 确保用作 Web 应用一部分的“Java 版本”是最新的
- 将策略重命名为“使用 Java 的应用服务应用应使用最新的‘Java 版本’”
- 更新策略范围以包括除函数应用以外的其他所有应用类型
- 应用服务应使用专用链接
- 将策略重命名为“应用服务应用应使用专用链接”
- 配置应用程序服务以使用专用 DNS 区域
- 将策略重命名为“将应用服务应用配置为使用专用 DNS 区域”
- 应将应用服务应用注入虚拟网络
- 将策略重命名为“应用服务应用应注入虚拟网络”
- 更新策略范围以包括槽
- 确保用于运行 Web 应用的“HTTP 版本”是最新的
- 将策略重命名为“应用服务应用应使用最新的‘HTTP 版本’”
- 更新策略范围以包括除函数应用以外的其他所有应用类型
- 确保用于运行函数应用的“HTTP 版本”是最新的
- 将策略重命名为“函数应用应使用最新的‘HTTP 版本’”
- 更新策略范围以排除逻辑应用
- 应在 Web 应用中使用最新的 TLS 版本
- 将策略重命名为“应用服务应用应使用最新的 TLS 版本”
- 更新策略范围以包括除函数应用以外的其他所有应用类型
- 应在函数应用中使用最新的 TLS 版本
- 将策略重命名为“函数应用应使用最新的 TLS 版本”
- 更新策略范围以排除逻辑应用
- 应用服务环境应禁用 TLS 1.0 和1.1
- 将策略重命名为“应用服务环境应禁用 TLS 1.0 和 1.1”
- 应启用应用服务中的资源日志
- 将策略重命名为“应用服务应用应启用资源日志”
- 应在 Web 应用上启用身份验证
- 将策略重命名为“应用服务应用应启用身份验证”
- 应在函数应用上启用身份验证
- 将策略重命名为“函数应用应启用身份验证”
- 更新策略范围以排除逻辑应用
- 应用服务环境应启用内部加密
- 将策略重命名为“应用服务环境应启用内部加密”
- 只应通过 HTTPS 访问函数应用
- 更新策略范围以排除逻辑应用
- 应用服务应使用虚拟网络服务终结点
- 将策略重命名为“应用服务应用应使用虚拟网络服务终结点”
- 更新策略范围以包括除函数应用以外的其他所有应用类型
2022 年 6 月
- 弃用策略“只应通过 HTTPS 访问 API 应用”
- 只能通过 HTTPS 访问 Web 应用程序
- 将策略重命名为“只应通过 HTTPS 访问应用服务应用”
- 更新策略范围以包括除函数应用以外的其他所有应用类型
- 更新策略范围以包括槽
- 只应通过 HTTPS 访问函数应用
- 更新策略范围以包括槽
- 应用服务应用应使用支持专用链接的 SKU
- 更新策略逻辑以包括对应用服务计划层或名称的检查,使该策略支持 Terraform 部署
- 更新受支持策略 SKU 的列表以包括基本和标准层
后续步骤
- 在 Azure Policy GitHub 存储库中查看这些内置项。
- 查看 Azure Policy 定义结构。
- 查看了解策略效果。