你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Azure 资源管理器的 Azure Policy 内置定义
此页是 Azure 资源管理器的 Azure Policy 内置策略定义的索引。 有关其他服务的其他 Azure Policy 内置定义,请参阅 Azure Policy 内置定义。
每个内置策略定义链接(指向 Azure 门户中的策略定义)的名称。 使用“版本”列中的链接查看 Azure Policy GitHub 存储库上的源。
Azure 资源管理器
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 只多只为订阅指定 3 个所有者 | 建议最多指定 3 个订阅所有者,以减少可能出现的已遭入侵的所有者做出的违规行为。 | AuditIfNotExists、Disabled | 3.0.0 |
| 对 Azure 资源拥有所有者权限的帐户应启用 MFA | 为了防止帐户或资源出现违规问题,应为所有拥有所有者权限的订阅帐户启用多重身份验证 (MFA)。 | AuditIfNotExists、Disabled | 1.0.0 |
| 对 Azure 资源拥有读取权限的帐户应启用 MFA | 为了防止帐户或资源出现违规问题,应为所有拥有读取特权的订阅帐户启用多重身份验证 (MFA)。 | AuditIfNotExists、Disabled | 1.0.0 |
| 对 Azure 资源拥有写入权限的帐户应启用 MFA | 为了防止帐户或资源出现违规问题,应为所有拥有写入特权的订阅帐户启用多重身份验证 (MFA)。 | AuditIfNotExists、Disabled | 1.0.0 |
| 活动日志至少应保留一年 | 此策略审核活动日志的保留期是否未设置为365 天或永久(保留天数设置为 0)。 | AuditIfNotExists、Disabled | 1.0.0 |
| 将标记添加到资源组 | 创建或更新任何缺少此标记的资源组时添加指定的标记和值。 可以通过触发修正任务来修正现有资源组。 如果存在具有不同值的标记,则不会更改该资源组。 | modify | 1.0.0 |
| 向订阅添加标记 | 通过修正任务将指定的标记和值添加到订阅。 如果存在具有不同值的标记,则不会更改该资源组。 有关策略修正的详细信息,请参阅 https://aka.ms/azurepolicyremediation。 | modify | 1.0.0 |
| 在资源组中添加或替换标记 | 创建或更新任何资源组时添加或替换指定的标记和值。 可以通过触发修正任务来修正现有资源组。 | modify | 1.0.0 |
| 在订阅上添加或替换标记 | 通过修正任务在订阅上添加或替换指定的标记和值。 可以通过触发修正任务来修正现有资源组。 有关策略修正的详细信息,请参阅 https://aka.ms/azurepolicyremediation。 | modify | 1.0.0 |
| 允许的资源组位置 | 通过此策略,可限制组织可以创建资源组的位置。 用于强制执行异地符合性要求。 | deny | 1.0.0 |
| 特定管理操作应有活动日志警报 | 此策略审核未配置任何活动日志警报的特定管理操作。 | AuditIfNotExists、Disabled | 1.0.0 |
| 特定策略操作应有活动日志警报 | 此策略审核未配置任何活动日志警报的特定策略操作。 | AuditIfNotExists、Disabled | 3.0.0 |
| 特定安全操作应有活动日志警报 | 此策略审核未配置任何活动日志警报的特定安全操作。 | AuditIfNotExists、Disabled | 1.0.0 |
| 将标记及其值追加到资源组 | 创建或更新任何缺少此标记的资源组时追加指定的标记和值。 在更改这些资源组之前,请不要修改应用此策略之前创建的资源组的标记。 新的“modify”效果策略已可供使用,这些策略支持对现有资源中的标记进行修正(请参阅 https://aka.ms/modifydoc)。 | append | 1.0.0 |
| 审核未配置灾难恢复的虚拟机 | 审核未配置灾难恢复的虚拟机。 若要详细了解灾难恢复,请访问 https://aka.ms/asr-doc。 | auditIfNotExists | 1.0.0 |
| 应启用适用于应用服务的 Azure Defender | 适用于应用服务的 Azure Defender 利用云的规模以及 Azure 作为云提供商的可见性来监视常见的 Web 应用攻击。 | AuditIfNotExists、Disabled | 1.0.3 |
| 应启用适用于 Azure SQL 数据库服务器的 Azure Defender | Azure Defender for SQL 提供了以下功能:呈现和缓解潜在数据库漏洞、检测可能指示对 SQL 数据库产生威胁的异常活动,以及发现敏感数据并对其进行分类。 | AuditIfNotExists、Disabled | 1.0.2 |
| 应启用 Azure Defender for Key Vault | 适用于 Key Vault 的 Azure Defender 通过检测旨在访问或利用密钥保管库帐户的不寻常和可能有害的尝试,提供额外的保护层和安全智能。 | AuditIfNotExists、Disabled | 1.0.3 |
| 应启用适用于开源关系数据库的 Azure Defender | 适用于开源关系数据库的 Azure Defender 可以检测异常活动,这些活动指示有人企图以非寻常或可能有害的方式访问或恶意利用数据库。 若要详细了解有关适用于开源关系数据库的 Azure Defender 的功能,请参阅 https://aka.ms/AzDforOpenSourceDBsDocu。 重要提示:启用此计划将产生保护开源关系数据库的费用。 若要了解定价详细信息,请访问安全中心的定价页:https://aka.ms/pricing-security-center | AuditIfNotExists、Disabled | 1.0.0 |
| 应启用 Azure Defender for Resource Manager | Azure Defender for Resource Manager 会自动监视组织中的资源管理操作。 Azure Defender 会检测威胁,并向你发出有关可疑活动的警报。 若要详细了解 Azure Defender for Resource Manager 的功能,请参阅 https://aka.ms/defender-for-resource-manager。 启用此 Azure Defender 计划会产生费用。 若要了解各区域的定价详细信息,请访问安全中心的定价页:https://aka.ms/pricing-security-center。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应启用适用于服务器的 Azure Defender | 适用于服务器的 Azure Defender 可为服务器工作负载提供实时威胁防护,并生成强化建议以及有关可疑活动的警报。 | AuditIfNotExists、Disabled | 1.0.3 |
| 应启用适用于计算机上的 SQL 服务器的 Azure Defender | Azure Defender for SQL 提供了以下功能:呈现和缓解潜在数据库漏洞、检测可能指示对 SQL 数据库产生威胁的异常活动,以及发现敏感数据并对其进行分类。 | AuditIfNotExists、Disabled | 1.0.2 |
| Azure Monitor 日志配置文件应收集“写入”、“删除”和“操作”类别的日志 | 此策略可确保日志配置文件收集类别为 "write"、"delete" 和 "action" 的日志 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure Monitor 应从所有区域收集活动日志 | 此策略审核不从所有 Azure 支持区域(包括全局)导出活动的 Azure Monitor 日志配置文件。 | AuditIfNotExists、Disabled | 2.0.0 |
| 必须部署 Azure Monitor 解决方案“安全和审核” | 此策略可确保“安全和审核”已部署。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure 订阅应有用于活动日志的日志配置文件 | 此策略确保启用一个日志配置文件来导出活动日志。 它会审核是否未创建日志配置文件将日志导出到存储帐户或事件中心。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应删除对 Azure 资源拥有所有者权限的已封锁帐户 | 应从订阅中删除拥有所有者权限的已弃用帐户。 已弃用帐户是已阻止登录的帐户。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应删除对 Azure 资源拥有读取和写入权限的已封锁帐户 | 应从订阅中删除弃用的帐户。 已弃用帐户是已阻止登录的帐户。 | AuditIfNotExists、Disabled | 1.0.0 |
| 配置 Azure 活动日志以流式传输到指定的 Log Analytics 工作区 | 部署 Azure 活动的诊断设置,以将订阅审核日志流式传输到 Log Analytics 工作区,从而监视订阅级别的事件 | DeployIfNotExists、Disabled | 1.0.0 |
| 将适用于应用服务的 Azure Defender 配置为启用 | 适用于应用服务的 Azure Defender 利用云的规模以及 Azure 作为云提供商的可见性来监视常见的 Web 应用攻击。 | DeployIfNotExists、Disabled | 1.0.1 |
| 将适用于 Azure SQL 数据库的 Azure Defender 配置为启用 | Azure Defender for SQL 提供了以下功能:呈现和缓解潜在数据库漏洞、检测可能指示对 SQL 数据库产生威胁的异常活动,以及发现敏感数据并对其进行分类。 | DeployIfNotExists、Disabled | 1.0.1 |
| 应启用配置适用于开源关系数据库的 Azure Defender | 适用于开源关系数据库的 Azure Defender 可以检测异常活动,这些活动指示有人企图以非寻常或可能有害的方式访问或恶意利用数据库。 若要详细了解有关适用于开源关系数据库的 Azure Defender 的功能,请参阅 https://aka.ms/AzDforOpenSourceDBsDocu。 重要提示:启用此计划将产生保护开源关系数据库的费用。 若要了解定价详细信息,请访问安全中心的定价页:https://aka.ms/pricing-security-center | DeployIfNotExists、Disabled | 1.0.0 |
| 将 Azure Defender for Resource Manager 配置为启用 | Azure Defender for Resource Manager 会自动监视组织中的资源管理操作。 Azure Defender 会检测威胁,并向你发出有关可疑活动的警报。 若要详细了解 Azure Defender for Resource Manager 的功能,请参阅 https://aka.ms/defender-for-resource-manager。 启用此 Azure Defender 计划会产生费用。 若要了解各区域的定价详细信息,请访问安全中心的定价页:https://aka.ms/pricing-security-center。 | DeployIfNotExists、Disabled | 1.1.0 |
| 将适用于服务器的 Azure Defender 配置为启用 | 适用于服务器的 Azure Defender 可为服务器工作负载提供实时威胁防护,并生成强化建议以及有关可疑活动的警报。 | DeployIfNotExists、Disabled | 1.0.1 |
| 为要启用的计算机上的 SQL 服务器配置 Azure Defender | Azure Defender for SQL 提供了以下功能:呈现和缓解潜在数据库漏洞、检测可能指示对 SQL 数据库产生威胁的异常活动,以及发现敏感数据并对其进行分类。 | DeployIfNotExists、Disabled | 1.0.1 |
| 将基本 Microsoft Defender for Storage 配置为启用(仅限活动监视) | Microsoft Defender for Storage 是 Azure 原生安全智能层,用于检测对你的存储帐户的潜在威胁。 此策略将启用基本的 Defender for Storage 功能(活动监视)。 若要启用完全保护(其中还包括上传时恶意软件扫描和敏感数据威胁检测),请使用完整的启用策略:aka.ms/DefenderForStoragePolicy。 若要详细了解 efender for Storage 的功能和优势,请访问 aka.ms/DefenderForStorage。 | DeployIfNotExists、Disabled | 1.1.0 |
| 通过 Azure Site Recovery 启用复制,以在虚拟机上配置灾难恢复 | 未配置灾难恢复的虚拟机容易受到中断和其他干扰的影响。 如果虚拟机尚未配置灾难恢复,则请使用预设配置启用复制来启动这一功能,以帮助实现业务连续性。 可以选择包含/排除包含指定标记的虚拟机以控制分配范围。 若要详细了解灾难恢复,请访问 https://aka.ms/asr-doc。 | DeployIfNotExists、Disabled | 2.1.0 |
| 配置 Log Analytics 工作区和自动化帐户,以集中日志和监视 | 部署包含 Log Analytics 工作区和链接自动化帐户的资源组,以集中日志和监视。 自动化帐户是更新和更改跟踪等解决方案的先决条件。 | DeployIfNotExists、AuditIfNotExists、Disabled | 2.0.0 |
| 配置 Microsoft Defender CSPM 计划 | Defender 云安全态势管理 (CSPM) 提供增强的态势功能和全新的智能云安全图,以帮助识别风险、确定风险优先级和减少风险。 除了 Defender for Cloud 中默认启用的免费基础安全态势功能,还提供 Defender CSPM。 | DeployIfNotExists、Disabled | 1.0.0 |
| 将 Microsoft Defender CSPM 配置为启用 | Defender 云安全态势管理 (CSPM) 提供增强的态势功能和全新的智能云安全图,以帮助识别风险、确定风险优先级和减少风险。 除了 Defender for Cloud 中默认启用的免费基础安全态势功能,还提供 Defender CSPM。 | DeployIfNotExists、Disabled | 1.0.2 |
| 将 Microsoft Defender for Azure Cosmos DB 配置为启用 | Microsoft Defender for Azure Cosmos DB 是 Azure 本机安全层,可检测企图利用 Azure Cosmos DB 帐户中的数据库的行为。 Defender for Azure Cosmos DB 检测潜在的 SQL 注入、已知恶意参与者(基于 Microsoft 威胁智能)、可疑访问模式以及通过泄露的标识或由恶意预览体验成员对数据库的潜在利用。 | DeployIfNotExists、Disabled | 1.0.0 |
| 配置 Microsoft Defender for Containers 计划 | Defender for Containers 计划在不断添加新功能,这些功能可能需要用户明确启用。 使用此策略可确保将启用所有新功能。 | DeployIfNotExists、Disabled | 1.0.0 |
| 应启用配置 Microsoft Defender for Containers | Microsoft Defender for Containers 为 Azure、混合和多云 Kubernetes 环境提供强化、漏洞评估和运行时保护。 | DeployIfNotExists、Disabled | 1.0.1 |
| 配置 Microsoft Defender for Endpoint 与 Microsoft Defender for Cloud 的集成设置 (WDATP_EXCLUDE_LINUX...) | 在 Microsoft Defender for Cloud(也称为 WDATP_EXCLUDE_LINUX_...)中配置 Microsoft Defender for Endpoint 集成设置,以便为 Linux 服务器启用 MDE 自动预配。 必须打开 WDATP 设置才能应用此设置。 有关详细信息,请参阅 https://learn.microsoft.com/azure/defender-for-cloud/integration-defender-for-endpoint。 | DeployIfNotExists、Disabled | 1.0.0 |
| 配置 Microsoft Defender for Endpoint 与 Microsoft Defender for Cloud 的集成设置 (WDATP_UNIFIED_SOLUTION) | 在 Microsoft Defender for Cloud(也称为 WDATP_UNIFIED_SOLUTION)中配置 Microsoft Defender for Endpoint 集成设置,以启用适用于 Windows Server 2012R2 和 2016 的 MDE 统一代理的自动预配。 必须打开 WDATP 设置才能应用此设置。 有关详细信息,请参阅 https://learn.microsoft.com/azure/defender-for-cloud/integration-defender-for-endpoint。 | DeployIfNotExists、Disabled | 1.0.0 |
| 配置 Microsoft Defender for Endpoint 与 Microsoft Defender for Cloud 的集成设置 (WDATP) | 在 Microsoft Defender for Cloud(也称为 WDATP)中,为通过 MMA 登录到 MDE 的 Windows 下层计算机配置 Microsoft Defender for Endpoint 集成设置,并在 Windows Server 2019、Windows 虚拟桌面及更高版本上自动预配 MDE。 必须开启才能使其他设置(WDATP_UNIFIED 等)正常工作。 有关详细信息,请参阅 https://learn.microsoft.com/azure/defender-for-cloud/integration-defender-for-endpoint。 | DeployIfNotExists、Disabled | 1.0.0 |
| 配置 Microsoft Defender for Key Vault 计划 | 适用于密钥保管库的 Microsoft Defender 通过检测访问或利用密钥保管库帐户的可能有害的异常尝试,提供额外的保护层和安全情报。 | DeployIfNotExists、Disabled | 1.1.0 |
| 配置 Microsoft Defender for Servers 计划 | Defender for Servers 在不断添加新功能,这些功能可能需要用户明确启用。 使用此策略可确保将启用所有新功能。 | DeployIfNotExists、Disabled | 1.0.0 |
| 将 Microsoft Defender for Storage(经典版)配置为启用 | Microsoft Defender for Storage(经典版)可检测企图访问或恶意利用存储帐户的可能有害的异常尝试。 | DeployIfNotExists、Disabled | 1.0.2 |
| 将 Microsoft Defender for Storage 配置为启用 | Microsoft Defender for Storage 是 Azure 原生安全智能层,用于检测对你的存储帐户的潜在威胁。 此策略将启用所有 Defender for Storage 功能:活动监视、恶意软件扫描、敏感数据威胁检测。 若要详细了解 efender for Storage 的功能和优势,请访问 aka.ms/DefenderForStorage。 | DeployIfNotExists、Disabled | 1.4.0 |
| 为 AI 工作负载配置 Microsoft Defender 威胁防护 | 新功能正在不断添加到 AI 工作负载的威胁防护中,这可能需要用户的明确启用。 使用此策略可确保将启用所有新功能。 | DeployIfNotExists、Disabled | 1.0.0 |
| 配置订阅以设置预览功能 | 此策略评估现有订阅的预览功能。 可以修复订阅以将其注册到新的预览功能。 新订阅不会自动注册。 | AuditIfNotExists、DeployIfNotExists、Disabled | 1.0.1 |
| 部署 - 为 Azure 安全中心警报配置抑制规则 | 抑制 Azure 安全中心警报,通过在管理组或订阅上部署抑制规则来减少警报疲劳。 | deployIfNotExists | 1.0.0 |
| 为 Microsoft Defender for Cloud 数据将“导出到事件中心”部署为受信任的服务 | 将“导出到事件中心”作为 Microsoft Defender for Cloud 数据受信任的服务启用。 此策略会在分配的范围上使用所设定的条件和目标事件中心将“导出到事件中心”部署为受信任的服务配置。 若要在新建的订阅上部署此策略,请打开“合规性”选项卡,选择相关的不合规分配,并创建修正任务。 | DeployIfNotExists、Disabled | 1.0.0 |
| 部署 Microsoft Defender for Cloud 数据的“导出到事件中心” | 启用 Microsoft Defender for Cloud 数据的“导出到事件中心”。 此策略会在分配的作用域上使用所设定的条件和目标事件中心来部署“导出到事件中心”配置。 若要在新建的订阅上部署此策略,请打开“合规性”选项卡,选择相关的不合规分配,并创建修正任务。 | deployIfNotExists | 4.2.0 |
| 部署 Microsoft Defender for Cloud 数据的“导出到 Log Analytics 工作区” | 启用 Microsoft Defender for Cloud 数据的“导出到 Log Analytics 工作区”。 此策略会在分配的作用域上使用所设定的条件和目标工作区来部署“导出到 Log Analytics 工作区”配置。 若要在新建的订阅上部署此策略,请打开“合规性”选项卡,选择相关的不合规分配,并创建修正任务。 | deployIfNotExists | 4.1.0 |
| 为 Microsoft Defender for Cloud 警报部署工作流自动化 | 启用 Microsoft Defender for Cloud 警报的自动化。 此策略会在分配的作用域上使用所设定的条件和触发器来部署工作流自动化。 若要在新建的订阅上部署此策略,请打开“合规性”选项卡,选择相关的不合规分配,并创建修正任务。 | deployIfNotExists | 5.0.1 |
| 为 Microsoft Defender for Cloud 建议部署工作流自动化 | 启用 Microsoft Defender for Cloud 建议的自动化。 此策略会在分配的作用域上使用所设定的条件和触发器来部署工作流自动化。 若要在新建的订阅上部署此策略,请打开“合规性”选项卡,选择相关的不合规分配,并创建修正任务。 | deployIfNotExists | 5.0.1 |
| 为 Microsoft Defender for Cloud 合规性部署工作流自动化 | 启用 Microsoft Defender for Cloud 法规合规性的自动化。 此策略会在分配的作用域上使用所设定的条件和触发器来部署工作流自动化。 若要在新建的订阅上部署此策略,请打开“合规性”选项卡,选择相关的不合规分配,并创建修正任务。 | deployIfNotExists | 5.0.1 |
| 应启用高严重性警报的电子邮件通知 | 当某个订阅中存在潜在的安全漏洞时,若要确保组织中的相关人员收到通知,请在安全中心为高严重性警报启用电子邮件通知。 | AuditIfNotExists、Disabled | 1.2.0 |
| 应启用向订阅所有者发送高严重性警报的电子邮件通知 | 当订阅中存在潜在的安全漏洞时,若要确保订阅所有者收到通知,请在安全中心设置向订阅所有者发送高严重性警报的电子邮件通知。 | AuditIfNotExists、Disabled | 2.1.0 |
| 在订阅上启用 Microsoft Defender for Cloud | 标识不受 Microsoft Defender for Cloud 监视的现有订阅,并使用 Defender for Cloud 的免费功能保护它们。 已监视的订阅将被视为合规。 要注册新创建的订阅,请打开“合规性”选项卡,选择相关的不合规分配,然后创建修正任务。 | deployIfNotExists | 1.0.1 |
| 允许安全中心在你的订阅上自动预配包含自定义工作区的 Log Analytics 代理。 | 允许安全中心在你的订阅上自动预配 Log Analytics 代理,以使用自定义工作区来监视和收集安全数据。 | DeployIfNotExists、Disabled | 1.0.0 |
| 允许安全中心在你的订阅上自动预配包含默认工作区的 Log Analytics 代理。 | 允许安全中心在你的订阅上自动预配 Log Analytics 代理,以使用 ASC 默认工作区来监视和收集安全数据。 | DeployIfNotExists、Disabled | 1.0.0 |
| 为 AI 工作负载启用威胁防护 | 针对 AI 工作负载的 Microsoft 威胁防护提供情境化、基于证据的安全警报,旨在保护自主开发的由生成式 AI 提供支持的应用程序 | DeployIfNotExists、Disabled | 1.0.0 |
| 排除使用成本资源 | 此策略使你能够显示使用成本资源。 使用成本包括按流量计费的存储和根据使用情况计费的 Azure 资源等。 | Audit、Deny、Disabled | 1.0.0 |
| 应删除对 Azure 资源拥有所有者权限的来宾帐户 | 为了防止发生未受监视的访问,应从订阅中删除拥有所有者权限的外部帐户。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应删除对 Azure 资源拥有读取权限的来宾帐户 | 应从订阅中删除拥有读取特权的外部帐户,以防发生未受监视的访问。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应删除对 Azure 资源拥有写入权限的来宾帐户 | 应从订阅中删除拥有写入特权的外部帐户,以防发生未受监视的访问。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应启用 Microsoft Defender CSPM | Defender 云安全态势管理 (CSPM) 提供增强的态势功能和全新的智能云安全图,以帮助识别风险、确定风险优先级和减少风险。 除了 Defender for Cloud 中默认启用的免费基础安全态势功能,还提供 Defender CSPM。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应启用 Microsoft Defender for API | Microsoft Defender for API 引入了新的发现、保护、检测,以及用于监视常见基于 API 的攻击和安全性配置错误的响应覆盖。 | AuditIfNotExists、Disabled | 1.0.3 |
| 应启用 Microsoft Defender for Azure Cosmos DB | Microsoft Defender for Azure Cosmos DB 是 Azure 本机安全层,可检测企图利用 Azure Cosmos DB 帐户中的数据库的行为。 Defender for Azure Cosmos DB 检测潜在的 SQL 注入、已知恶意参与者(基于 Microsoft 威胁智能)、可疑访问模式以及通过泄露的标识或由恶意预览体验成员对数据库的潜在利用。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应启用 Microsoft Defender for Containers | Microsoft Defender for Containers 为 Azure、混合和多云 Kubernetes 环境提供强化、漏洞评估和运行时保护。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应启用适用于存储的 Microsoft Defender | Microsoft Defender for Storage 检测存储帐户的潜在威胁。 它有助于避免威胁对数据和工作负载产生三个重大影响:恶意文件上传、敏感数据外泄和数据损坏。 新的 Defender for Storage 计划包括恶意软件扫描和敏感数据威胁检测。 此计划还提供了可预测的定价结构(按存储帐户),以便更好地控制覆盖范围和成本。 | AuditIfNotExists、Disabled | 1.0.0 |
| 需要资源组上的标记及其值 | 强制要求资源组中存在所需的标记及其值。 | deny | 1.0.0 |
| 需要资源组上的标记 | 强制要求资源组中存在某个标记。 | deny | 1.0.0 |
| 设置订阅以过渡到备用漏洞评估解决方案 | Microsoft Defender for Cloud 可为计算机提供漏洞扫描服务,而无需额外付费。 启用此策略将导致 Defender for Cloud 自动将内置 Microsoft Defender 漏洞管理解决方案中的结果传播到所有受支持的计算机。 | DeployIfNotExists、Disabled | 1.0.0-preview |
| 订阅应有一个联系人电子邮件地址,用于接收安全问题通知 | 当某个订阅中存在潜在的安全漏洞时,若要确保组织中的相关人员收到通知,请设置一个安全联系人,以接收来自安全中心的电子邮件通知。 | AuditIfNotExists、Disabled | 1.0.1 |
| 应为订阅分配了多个所有者 | 建议指定多个订阅所有者,这样才会有管理员访问冗余。 | AuditIfNotExists、Disabled | 3.0.0 |
后续步骤
- 在 Azure Policy GitHub 存储库中查看这些内置项。
- 查看 Azure Policy 定义结构。
- 查看了解策略效果。