你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

Azure 自动化的 Azure Policy 内置定义

此页是 Azure 自动化的 Azure Policy 内置策略定义的索引。 有关其他服务的其他 Azure Policy 内置定义,请参阅 Azure Policy 内置定义

每个内置策略定义链接(指向 Azure 门户中的策略定义)的名称。 使用“版本”列中的链接查看 Azure Policy GitHub 存储库上的源。

Azure 自动化

名称
(Azure 门户)
说明 效果 版本
(GitHub)
自动化帐户应具有托管标识 将托管标识用作通过 Runbook 向 Azure 资源进行身份验证的推荐方法。 用于身份验证的托管标识更安全,且消除了与在 Runbook 代码中使用 RunAs 帐户相关的管理开销。 Audit、Disabled 1.0.0
自动化帐户变量应加密 存储敏感数据时,请务必启用自动化帐户变量资产加密 Audit、Deny、Disabled 1.1.0
自动化帐户应禁用公用网络访问 禁用公用网络访问可确保资源不会在公共 Internet 上公开,从而提高了安全性。 可以改为通过创建专用终结点来限制自动化帐户资源的公开。 有关详细信息,请访问:https://docs.microsoft.com/azure/automation/how-to/private-link-security Audit、Deny、Disabled 1.0.0
Azure 自动化帐户应禁用本地身份验证方法 禁用本地身份验证方法可确保 Azure 自动化帐户仅将 Azure Active Directory 标识作为身份验证方法,从而提高安全性。 Audit、Deny、Disabled 1.0.0
Azure 自动化帐户应使用客户管理的密钥来加密静态数据 使用客户管理的密钥来管理 Azure 自动化帐户的静态加密。 默认情况下,使用服务管理的密钥对客户数据进行加密,但为了满足法规符合性标准,通常需要使用客户管理的密钥。 客户管理的密钥允许使用由你创建并拥有的 Azure Key Vault 密钥对数据进行加密。 你可以完全控制并负责关键生命周期,包括轮换和管理。 更多信息请访问 https://aka.ms/automation-cmk Audit、Deny、Disabled 1.0.0
配置 Azure 自动化帐户以禁用本地身份验证 禁用本地身份验证方法,使 Azure 自动化帐户仅将 Azure Active Directory 标识作为身份验证方法。 修改,已禁用 1.0.0
将 Azure 自动化帐户配置为禁用公用网络访问 禁用对 Azure 自动化帐户的公用网络访问,确保无法通过公共 Internet 访问该帐户。 此配置有助于这些帐户防范数据泄露风险。 可以改为通过创建专用终结点来限制自动化帐户资源的公开。 有关详细信息,请访问:https://aka.ms/privateendpoints 修改,已禁用 1.0.0
在 Azure 自动化帐户上配置专用终结点连接 利用专用终结点连接,无需源或目标的公共 IP 地址,即可与 Azure 自动化帐户建立专用连接,从而实现安全通信。 若要详细了解 Azure 自动化中的专用终结点,请访问 https://docs.microsoft.com/azure/automation/how-to/private-link-security DeployIfNotExists、Disabled 1.0.0
按类别组启用自动化账户 (microsoft.automation/automationaccounts) 到事件中心的日志记录 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,为自动化账户 (microsoft.automation/automationaccounts) 将日志路由到事件中心。 DeployIfNotExists、AuditIfNotExists、Disabled 1.2.0
按类别组启用自动化账户 (microsoft.automation/automationaccounts) 到 Log Analytics 的日志记录 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,为自动化账户 (microsoft.automation/automationaccounts) 将日志路由到 Log Analytics 工作区。 DeployIfNotExists、AuditIfNotExists、Disabled 1.1.0
按类别组启用自动化账户 (microsoft.automation/automationaccounts) 到存储的日志记录 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,为自动化账户 (microsoft.automation/automationaccounts) 将日志路由到存储账户。 DeployIfNotExists、AuditIfNotExists、Disabled 1.1.0
应启用自动化帐户上的专用终结点连接 利用专用终结点连接,无需源或目标的公共 IP 地址,即可与自动化帐户建立专用连接,从而实现安全通信。 若要详细了解 Azure 自动化中的专用终结点,请访问 https://docs.microsoft.com/azure/automation/how-to/private-link-security AuditIfNotExists、Disabled 1.0.0

后续步骤