你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Azure Policy 内置计划定义
此页是 Azure Policy 内置计划定义的索引。
每个内置项的名称会链接到 Azure Policy GitHub 存储库中的计划定义源。 这些内置项按元数据中的 category 属性进行分组。 若要转到特定类别,请使用 Ctrl-F 来使用浏览器的搜索功能。
自动管理
| 名称 | 说明 | 策略 | 版本 |
|---|---|---|---|
| [预览]:针对 Automanage 最佳做法审核配置 | Automanage 计算机最佳做法可确保根据分配的配置文件中定义的所需状态设置托管资源。 | 6 | 1.0.1-preview |
ChangeTrackingAndInventory
| 名称 | 说明 | 策略 | 版本 |
|---|---|---|---|
| [预览版]:为已启用 Arc 的虚拟机启用更改跟踪和库存 | 为已启用 Arc 的虚拟机启用 ChangeTracking 和库存。 采用数据收集规则 ID 作为参数,并请求一个用于输入适用位置的选项。 | 6 | 1.0.0-preview |
| [预览版]:为虚拟机规模集启用 ChangeTracking 和库存 | 为虚拟机规模集启用 ChangeTracking 和库存。 将数据收集规则 ID 作为参数,并请求提供一个选项来输入 Azure Monitor 代理的适用位置和用户分配的标识。 | 7 | 1.1.0-preview |
| [预览版]:为虚拟机启用更改跟踪和库存 | 为虚拟机启用 ChangeTracking 和库存。 将数据收集规则 ID 作为参数,并请求提供一个选项来输入 Azure Monitor 代理的适用位置和用户分配的标识。 | 7 | 1.1.0-preview |
Cosmos DB
| 名称 | 说明 | 策略 | 版本 |
|---|---|---|---|
| 启用 Azure Cosmos DB 吞吐量策略 | 启用对指定范围(管理组、订阅或资源组)中 Azure Cosmos DB 资源的吞吐量控制。 使用最大吞吐量作为参数。 使用此策略有助于通过资源提供程序强制实施吞吐量控制。 | 2 | 1.0.0 |
常规
| 名称 | 说明 | 策略 | 版本 |
|---|---|---|---|
| 允许使用情况成本资源 | 允许部署除 MCPP、M365 以外的资源。 | 2 | 1.0.0 |
来宾配置
| 名称 | 说明 | 策略 | 版本 |
|---|---|---|---|
| [预览版]:部署先决条件以通过用户分配的托管标识在虚拟机上启用来宾配置策略 | 此计划添加用户分配的托管标识,并向符合来宾配置策略监视条件的虚拟机部署平台相应的来宾配置扩展。 这是所有来宾配置策略的先决条件,在使用任何来宾配置策略之前必须被分配到策略分配范围。 有关来宾配置的详细信息,请访问 https://aka.ms/gcpol。 | 3 | 1.0.0-preview |
| [预览版]:Windows 计算机应符合 Azure 计算安全基线的要求 | 此计划审核其设置不符合 Azure 计算安全基线的 Windows 计算机。 有关详细信息,请访问 https://aka.ms/gcpol | 29 | 2.0.1-preview |
| 审核带有不安全密码安全设置的计算机 | 此计划可部署策略要求,并审核带有不安全的密码安全设置的计算机。 有关 Guest Configuration 策略的详细信息,请访问 https://aka.ms/gcpol | 9 | 1.1.0 |
| 在 Windows 计算机上配置安全通信协议 (TLS 1.1 或 TLS 1.2) | 创建来宾配置分配以在 Windows 计算机上配置指定的安全协议版本 (TLS 1.1 或 TLS 1.2)。 有关详细信息,请访问 https://aka.ms/SetSecureProtocol | 3 | 1.0.0 |
| 部署先决条件以在虚拟机上启用来宾配置策略 | 此计划添加系统分配的托管标识,并向符合来宾配置策略监视条件的虚拟机部署平台相应的来宾配置扩展。 这是所有来宾配置策略的先决条件,在使用任何来宾配置策略之前必须被分配到策略分配范围。 有关来宾配置的详细信息,请访问 https://aka.ms/gcpol。 | 4 | 1.0.0 |
Kubernetes
| 名称 | 说明 | 策略 | 版本 |
|---|---|---|---|
| [预览]:使用映像完整性确保仅部署受信任的映像 | 使用映像完整性来确保 AKS 群集仅部署受信任的映像,方法是在 AKS 群集上启用映像完整性和 Azure Policy 加载项。 映像完整性加载项和 Azure Policy 加载项都是使用映像完整性来验证映像是否在部署时签名的先决条件。 有关详细信息,请访问 https://aka.ms/aks/image-integrity。 | 3 | 1.1.0-preview |
| [预览版]:部署安全措施应当有助于引导开发人员践行 AKS 建议的最佳做法 | Azure Kubernetes 服务 (AKS) 建议的 Kubernetes 最佳做法集合。 为了获得最佳体验,请使用部署安全措施分配此策略计划:https://aka.ms/aks/deployment-safeguards。 适用于 AKS 的 Azure Policy 加载项是将这些最佳做法应用于群集的先决条件。 有关启用 Azure Policy 加载项的说明,请转到 aka.ms/akspolicydoc | 20 | 1.9.0-preview |
| 基于 Linux 的工作负载的 Kubernetes 群集 Pod 安全基线标准 | 此计划包括 Kubernetes 群集 Pod 安全基线标准的策略。 此策略通常适用于 Kubernetes 服务 (AKS) 以及已启用 Azure Arc 的 Kubernetes 的预览版。 有关使用此策略的说明,请访问 https://aka.ms/kubepolicydoc。 | 5 | 1.4.0 |
| 基于 Linux 的工作负载的 Kubernetes 群集 Pod 安全限制标准 | 此计划包括 Kubernetes 群集 Pod 安全限制标准的策略。 此策略通常适用于 Kubernetes 服务 (AKS) 以及已启用 Azure Arc 的 Kubernetes 的预览版。 有关使用此策略的说明,请访问 https://aka.ms/kubepolicydoc。 | 8 | 2.5.0 |
托管标识
| 名称 | 说明 | 策略 | 版本 |
|---|---|---|---|
| [预览]:托管标识联合凭据应为已批准的联合源的已批准类型 | 控制托管标识的联合凭据的使用。 此计划包含的策略包括完全阻止联合标识凭据、将使用限制为特定的联合提供程序类型,以及将联合身份验证重新授权限制为已批准的源。 | 3 | 1.0.0-preview |
监视
| 名称 | 说明 | 策略 | 版本 |
|---|---|---|---|
| [预览版]:在虚拟机上配置 Azure Defender for SQL 代理 | 将虚拟机配置为自动安装 Azure Defender for SQL 代理,其中已安装 Azure Monitor 代理。 安全中心从代理收集事件,并使用这些事件来提供安全警报和定制的强化任务(建议)。 在计算机所在的同一区域中创建一个资源组和 Log Analytics 工作区。 此策略仅适用于几个区域中的 VM。 | 2 | 1.0.0-preview |
| 将 Linux 计算机配置为运行 Azure Monitor 代理并将其关联到数据收集规则 | 通过部署 Azure Monitor 代理扩展并将计算机与指定的数据收集规则相关联,来监视和保护 Linux 虚拟机、虚拟机规模集和 Arc 计算机。 部署将在受支持区域中具有受支持的 OS 映像的计算机(或与提供的映像列表匹配的计算机)上进行。 | 4 | 3.2.0 |
| 配置 Windows 计算机以运行 Azure Monitor 代理并将其关联到数据收集规则 | 通过部署 Azure Monitor 代理扩展并将计算机与指定的数据收集规则相关联,来监视和保护 Windows 虚拟机、虚拟机规模集和 Arc 计算机。 部署将在受支持区域中具有受支持的 OS 映像的计算机(或与提供的映像列表匹配的计算机)上进行。 | 4 | 3.2.0 |
| 使用基于用户分配的托管标识身份验证部署 Linux Azure Monitor 代理,并与“数据收集规则”关联 | 通过使用用户分配的托管标识身份验证部署 Azure Monitor 代理扩展并与指定的数据收集规则相关联来监视 Linux 虚拟机和虚拟机规模集。 Azure Monitor 代理部署将在受支持区域中具有受支持的 OS 映像的计算机(或与提供的映像列表匹配的计算机)上进行。 | 5 | 2.3.0 |
| 使用用户分配的托管标识身份验证来部署 Windows Azure Monitor 代理,并与数据收集规则关联 | 通过使用用户分配的托管标识身份验证部署 Azure Monitor 代理扩展并与指定的数据收集规则相关联来监视 Windows 虚拟机和虚拟机规模集。 Azure Monitor 代理部署将在受支持区域中具有受支持的 OS 映像的计算机(或与提供的映像列表匹配的计算机)上进行。 | 5 | 2.3.0 |
| 为支持的资源启用到事件中心的 allLogs 类别组资源日志记录 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此计划使用 allLogs 类别组部署诊断设置,以将所有受支持资源的日志路由到事件中心 | 140 | 1.0.0 |
| 为支持的资源启用到 Log Analytics 的 allLogs 类别组资源日志记录 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此计划使用 allLogs 类别组部署诊断设置,以将所有受支持资源的日志路由到事件中心 | 140 | 1.0.0 |
| 为支持的资源启用到存储的 allLogs 类别组资源日志记录 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此计划使用 allLogs 类别组部署诊断设置,以将所有受支持资源的日志路由到存储。 | 140 | 1.0.0 |
| 为支持的资源启用到事件中心的审核类别组资源日志记录 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此计划使用审核类别组部署诊断设置,以将所有受支持资源的日志路由到事件中心 | 69 | 1.1.0 |
| 为支持的资源启用到 Log Analytics 的审核类别组资源日志记录 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此计划使用审核类别组部署诊断设置,以将所有受支持资源的日志路由到 Log Analytics。 | 69 | 1.1.0 |
| 为支持的资源启用到存储的审核类别组资源日志记录 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此计划使用审核类别组部署诊断设置,以将所有受支持资源的日志路由到存储。 | 69 | 1.1.0 |
| 使用 AMA 启用用于混合 VM 的 Azure Monitor | 使用 AMA 为混合虚拟机启用 Azure Monitor。 | 6 | 1.0.0 |
| 使用 Azure Monitor 代理(AMA)启用用于 VM 的 Azure Monitor | 使用 AMA 为虚拟机 (VM) 启用 Azure Monitor。 | 7 | 1.2.0 |
| 使用 Azure Monitor 代理(AMA)启用用于 VMSS 的 Azure Monitor | 使用 AMA 为虚拟机规模集 (VMSS) 启用 Azure Monitor。 | 7 | 1.2.0 |
| 旧版 - 启用用于虚拟机规模集的 Azure Monitor | 旧版 - 在指定范围(管理组、订阅或资源组)内启用用于虚拟机规模集的 Azure Monitor。 将 Log Analytics 工作区用作参数。 使用名为“使用 Azure Monitor 代理(AMA)启用用于 VMSS 的 Azure Monitor”的新计划。 注意:如果规模集 upgradePolicy 设置为“Manual”,则需要通过对规模集调用升级将扩展应用到集中的所有 VM。 在 CLI 中,这将是 az vmss update-instances。 | 6 | 1.0.2 |
| 旧版 - 启用用于 VM 的 Azure Monitor | 旧版 - 在指定范围(管理组、订阅或资源组)内为虚拟机 (VM) 启用 Azure Monitor。 将 Log Analytics 工作区用作参数。 使用名为“使用 Azure Monitor 代理(AMA)启用用于 VM 的 Azure Monitor”的新计划 | 10 | 2.0.1 |
网络
| 名称 | 说明 | 策略 | 版本 |
|---|---|---|---|
| 应为每个网络安全组配置和启用流日志 | 审核网络安全组以验证是否配置了流日志以及是否启用了流日志状态。 启用流日志可以记录有关流经网络安全组的 IP 流量的信息。 该功能可用于优化网络流、监视吞吐量、验证合规性、检测入侵情况等。 | 2 | 1.0.0 |
Nexus
| 名称 | 说明 | 策略 | 版本 |
|---|---|---|---|
| [预览]:Nexus 计算群集安全基线 | 此计划包括旨在反映 Nexus 计算群集安全基线期望的策略。 它确保群集配置遵守对于维护安全环境至关重要的特定安全控制。 | 13 | 1.0.0-preview |
合规性
| “属性” | 说明 | 策略 | 版本 |
|---|---|---|---|
| [预览版]:澳大利亚政府 ISM PROTECTED | 此计划包括的策略针对澳大利亚政府信息安全手册 (ISM) 的部分控制措施。 将来的版本中会添加更多策略。 有关详细信息,请访问 https://aka.ms/auism-initiative。 | 45 | 8.6.0-preview |
| [预览版]:CMMC 2.0 级别 2 | 该计划包括解决 CMMC 2.0 2 级实践子集的政策。 将来的版本中会添加更多策略。 有关详细信息,请访问 https://aka.ms/cmmc2l2-initiative。 | 234 | 2.15.0-preview |
| [预览版]:美国电影协会 (MPAA) | 此计划包括用于处理一部分美国电影协会 (MPAA) 安全与准则控制措施的审核和虚拟机扩展部署策略。 将来的版本中会添加更多策略。 有关详细信息,请访问 https://aka.ms/mpaa-init。 | 33 | 4.4.0-preview |
| [预览版]:印度储备银行 - 面向银行的 IT 框架 | 此计划包括用于处理一部分印度储备银行面向银行的 IT 框架控制措施的策略。 将来的版本中会添加更多策略。 有关详细信息,请访问 https://aka.ms/rbiitfbanks-initiative。 | 156 | 1.16.0-preview |
| [预览版]:印度储备银行 - 面向 NBFC 的 IT 框架 | 此计划包括用于处理一部分印度储备银行面向非银行金融公司 (NBFC) 的 IT 框架控制措施的策略。 将来的版本中会添加更多策略。 有关详细信息,请访问 https://aka.ms/rbiitfnbfc-initiative。 | 124 | 2.12.0-preview |
| [预览版]:主权基线 - 保密策略 | Microsoft Cloud for Sovereignty 建议实施保密策略来帮助组织实现其主权目标,默认情况下,拒绝在批准的区域之外创建资源,拒绝不受 Azure 机密计算支持的资源,并拒绝不使用客户管理的密钥的数据存储资源。 此处提供了更多详细信息:https://aka.ms/SovereigntyBaselinePolicies | 17 | 1.0.1-preview |
| [预览版]:主权基线 - 全局策略 | Microsoft Cloud for Sovereignty 建议实施全局策略来帮助组织实现其主权目标,默认情况下拒绝在批准的区域之外创建资源。 此处提供了更多详细信息:https://aka.ms/SovereigntyBaselinePolicies | 5 | 1.1.0-preview |
| [预览版]:SWIFT CSP-CSCF v2020 | 此计划包括用于处理一部分 SWIFT CSP-CSCF v2020 控制措施的审核和虚拟机扩展部署策略。 将来的版本中会添加更多策略。 有关详细信息,请访问 https://aka.ms/swift2020-init。 | 52 | 6.4.0-preview |
| [预览版]:SWIFT CSP-CSCF v2021 | 此计划包括用于处理一部分 SWIFT 客户安全计划客户安全控制框架 v2021 控制措施的策略。 将来的版本中会添加更多策略。 有关详细信息,请访问 https://aka.ms/swift2021-init。 | 127 | 4.11.0-preview |
| 用于进行 Microsoft 365 认证的 ACAT | 适用于 Microsoft 365 的应用合规性自动化工具 (ACAT) 简化了实现 Microsoft 365 认证的过程,请参阅https://aka.ms/acat。 此认证可确保应用具有强大的安全性和合规性做法,以保护客户数据、安全和隐私。 此计划包括用于处理一部分 Microsoft 365 认证控制的策略。 将来的版本中会添加更多策略。 | 16 | 1.1.0 |
| 加拿大联邦 PBMM | 此计划包括用于处理一部分加拿大联邦 PBMM 控制措施的策略。 将来的版本中会添加更多策略。 有关详细信息,请访问 https://aka.ms/canadafederalpbmm-init。 | 49 | 8.5.0 |
| CIS Microsoft Azure 基础基准检验 v1.1.0 | Internet 安全中心 (CIS) 是一个非营利性实体,其使命是“确定、开发、验证、推广和维持网络防御的最佳做法解决方案”。 CIS 基准是用于安全配置系统的配置基线和最佳做法。 这些策略涉及一部分 CIS Microsoft Azure Foundations Benchmark v1.1.0 控制措施。 有关详细信息,请访问 https://aka.ms/cisazure110-initiative | 157 | 16.8.0 |
| CIS Microsoft Azure 基础基准检验 v1.3.0 | Internet 安全中心 (CIS) 是一个非营利性实体,其使命是“确定、开发、验证、推广和维持网络防御的最佳做法解决方案”。 CIS 基准是用于安全配置系统的配置基线和最佳做法。 这些策略涉及一部分 CIS Microsoft Azure Foundations Benchmark v1.3.0 控制措施。 有关详细信息,请访问 https://aka.ms/cisazure130-initiative | 173 | 8.11.0 |
| CIS Microsoft Azure Foundations Benchmark v1.4.0 | Internet 安全中心 (CIS) 是一个非营利性实体,其使命是“确定、开发、验证、推广和维持网络防御的最佳做法解决方案”。 CIS 基准是用于安全配置系统的配置基线和最佳做法。 这些策略涉及一部分 CIS Microsoft Azure Foundations Benchmark v1.4.0 控制措施。 有关详细信息,请访问 https://aka.ms/cisazure140-initiative | 171 | 1.11.0 |
| CIS Microsoft Azure 基础基准检验 v2.0.0 | Internet 安全中心 (CIS) 是一个非营利性实体,其使命是“确定、开发、验证、推广和维持网络防御的最佳做法解决方案”。 CIS 基准是用于安全配置系统的配置基线和最佳做法。 这些策略涉及一部分 CIS Microsoft Azure Foundations Benchmark v2.0.0 控制措施。 有关详细信息,请访问 https://aka.ms/cisazure200-initiative | 208 | 1.4.0 |
| CMMC 级别 3 | 此计划包括用于处理部分网络安全成熟度模型认证 (CMMC) 级别 3 要求的策略。 将来的版本中会添加更多策略。 有关详细信息,请访问 https://aka.ms/cmmc-initiative。 | 152 | 11.10.0 |
| FedRAMP High | FedRAMP 是美国政府范围的计划,它提供一种标准化方法来对基于云的产品和服务进行安全评估、授权和持续监视。 FedRAMP 基于 NIST 基线控制为低、中或高安全影响级别系统定义一组控制措施。 这些策略适用于 FedRAMP(高)控制措施的子集。 有关详细信息,请访问 https://docs.microsoft.com/azure/compliance/offerings/offering-fedramp | 719 | 17.16.0 |
| FedRAMP Moderate | FedRAMP 是美国政府范围的计划,它提供一种标准化方法来对基于云的产品和服务进行安全评估、授权和持续监视。 FedRAMP 基于 NIST 基线控制为低、中或高安全影响级别系统定义一组控制措施。 这些策略适用于 FedRAMP(中)控制措施的子集。 将来的版本中会添加更多策略。 有关详细信息,请访问 https://www.fedramp.gov/documents-templates/ | 650 | 17.15.0 |
| HITRUST/HIPAA | 健康信息信任联盟 (HITRUST) 可帮助来自所有行业(尤其是医疗保健行业)的组织有效地管理数据、信息风险和合规性。 HITRUST 认证意味着组织已对信息安全计划进行了全面评估。 这些策略涉及 HITRUST 控制措施的子集。 有关详细信息,请访问 https://docs.microsoft.com/azure/governance/policy/samples/hipaa-hitrust-9-2 | 600 | 14.7.0 |
| IRS1075 2016 年 9 月 | 此计划包括用于处理一部分 IRS1075 2016 年 9 月控制措施的策略。 将来的版本中会添加更多策略。 有关详细信息,请访问 https://aka.ms/irs1075-init。 | 52 | 8.5.0 |
| ISO 27001:2013 | 国际标准化组织 (ISO) 27001 标准规定了建立、实施、维护和持续改进信息安全管理系统 (ISMS) 的要求。 这些策略涉及 ISO 27001:2013 控制措施的子集。 将来的版本中会添加更多策略。 有关详细信息,请访问 https://aka.ms/iso27001-init | 456 | 8.5.0 |
| 新西兰 ISM | NZISM 3.8 版。 新西兰信息安全手册 (NZISM) 详细介绍了保护所有新西兰政府信息和系统所必需的流程和控制。 此计划包括用于应对一部分 NZISM 控制措施的策略。 将来的版本中会添加更多策略。 有关控制措施的完整详细信息,请参阅 https://www.nzism.gcsb.govt.nz/ism-document。 此策略集包括默认情况下具有“拒绝”效果的定义。 | 217 | 1.5.0 |
| NIST SP 800-171 修订版 2 | 美国国家标准与技术研究所 (NIST) 致力于推广和维护测量标准和准则,以帮助保护联邦机构的信息和信息系统。 为了响应关于管理受控非机密信息 (CUI) 的 13556 号行政命令,它发布了 NIST SP 800-171。 这些策略涉及 NIST SP 800-171 Rev. 2 控制措施的子集。 有关详细信息,请访问 https://docs.microsoft.com/azure/compliance/offerings/offering-nist-800-171 | 449 | 15.15.0 |
| NIST SP 800-53 修订版 4 | 美国国家标准与技术协会 (NIST) SP 800-53 R4 规定了一种标准化方法,用于评估、监视和授权云计算产品和服务以管理信息安全风险。这些策略涉及 NIST SP 800-53 R4 控制措施的子集。 将来的版本中会添加更多策略。 有关详细信息,请访问 https://aka.ms/nist800-53r4-initiative | 720 | 17.15.0 |
| NIST SP 800-53 修订版 5 | 美国国家标准与技术协会 (NIST) SP 800-53 Rev. 5 规定了一种标准化方法,用于评估、监视和授权云计算产品和服务以管理信息安全风险。 这些策略涉及 NIST SP 800-53 R5 控制措施的子集。 将来的版本中会添加更多策略。 有关详细信息,请访问 https://aka.ms/nist800-53r5-initiative | 705 | 14.15.0 |
| NL BIO 云主题 | 此计划包含应对荷兰 Baseline Informatiebeveiliging (BIO) 控制措施(尤其是针对“thema-uitwerking Clouddiensten”)的策略,以及 SOC2 和 ISO 27001:2013 控制措施下涵盖的策略。 | 242 | 1.9.0 |
| PCI DSS v4 | 支付卡行业 (PCI) 数据安全标准 (DSS) 是一项全球信息安全标准,旨在通过加强对信用卡数据的控制来防止欺诈。 存储、处理或传输付款和持卡人数据的任何组织都需要符合 PCI DSS 的要求。 这些策略涉及 PCI-DSS v4 控制措施的子集。 有关详细信息,请访问 https://docs.microsoft.com/azure/governance/policy/samples/pci-dss-3-2-1 | 275 | 1.5.0 |
| PCI v3.2.1:2018 | 此计划包括用于处理一部分 PCI v3.2.1:2018 控制措施的策略。 将来的版本中会添加更多策略。 有关详细信息,请访问 https://aka.ms/pciv321-init。 | 33 | 6.4.0 |
| 马来西亚 RMIT | 此计划包括用于处理一部分 RMIT 要求的策略。 将来的版本中会添加更多策略。 有关详细信息,请访问 aka.ms/rmit-initiative。 | 194 | 9.13.0 |
| SOC 2 类型 2 | 系统和组织控制 (SOC) 2 是基于美国注册会计师协会 (AICPA) 制定的信托服务原则和标准的报告。 该报告根据以下一项或多项原则评估组织的信息系统:安全性、可用性、处理完整性、机密性和隐私。 这些策略涉及 SOC 2 类型 2 控制措施的子集。 有关详细信息,请访问 https://docs.microsoft.com/azure/compliance/offerings/offering-soc-2 | 311 | 1.10.0 |
| 西班牙 ENS | 此计划包括专门针对“CCN-STIC 884”的国家安全计划 (ENS) 控制措施的策略。 此策略集包括默认情况下具有“拒绝”效果的定义。 | 864 | 1.4.0 |
| SWIFT CSP-CSCF v2022 | SWIFT 的客户安全计划 (CSP) 可帮助金融机构确保其针对网络攻击的防御措施最新且有效,以保护更广泛的金融网络的完整性。 用户可将其实施的安全措施与客户安全控制框架 (CSCF) 中详述的安全措施进行比较。 这些策略涉及 SWIFT 控制措施的子集。 有关详细信息,请访问 https://docs.microsoft.com/azure/governance/policy/samples/swift-cscf-v2021 | 331 | 2.8.0 |
| 英国官方和英国 NHS | 此计划包括用于处理一部分英国官方和英国 NHS 控制措施的审核和虚拟机扩展部署策略。 将来的版本中会添加更多策略。 有关详细信息,请访问 https://aka.ms/ukofficial-init 和 https://aka.ms/uknhs-init。 | 49 | 9.5.0 |
复原能力
| 名称 | 说明 | 策略 | 版本 |
|---|---|---|---|
| [预览]: 资源应为区域可复原 | 一些资源类型可以部署为区域冗余(例如 SQL 数据库),一些可以部署为区域对齐(例如虚拟机),而一些可以部署为区域对齐或区域冗余(例如虚拟机规模集)。 区域对齐不能保证复原能力,它是可构建弹性解决方案的基础(例如,三个虚拟机规模集区域与负载均衡器所在区域中的三个不同的区域对齐)。 有关详细信息,请参阅 https://aka.ms/AZResilience。 | 34 | 1.10.0-preview |
SDN
| 名称 | 说明 | 策略 | 版本 |
|---|---|---|---|
| 审核公共网络访问权限 | 审核允许从公共 Internet 访问的 Azure 资源 | 35 | 4.2.0 |
| 评估所有受支持 Azure 资源的专用链接使用情况 | 合规资源至少具有一个已批准的专用终结点连接 | 30 | 1.1.0 |
安全中心
| 名称 | 说明 | 策略 | 版本 |
|---|---|---|---|
| [预览版]:部署 Microsoft Defender for Endpoint 代理 | 在适用的映像上部署 Microsoft Defender for Endpoint 代理。 | 4 | 1.0.0-preview |
| 配置要在开放源代码关系数据库上启用的高级威胁防护 | 在非基本层开放源代码关系数据库上启用高级威胁防护,以检测异常活动,包括对数据库进行的不寻常的和可能有害的访问或攻击尝试。 请参阅 https://aka.ms/AzDforOpenSourceDBsDocu。 | 5 | 1.2.0 |
| 配置 Azure Defender 以在 SQL Server 和 SQL 托管实例上启用 | 在 SQL Server 和 SQL 托管实例上启用 Azure Defender 以检测异常活动,此类活动表明数据库遭到了异常的访问或利用尝试并且可能会造成损害。 | 3 | 3.0.0 |
| 配置 Microsoft Defender for Cloud 计划 | Microsoft Defender for Cloud 提供从开发到多云环境中的运行时的全面云原生保护。 使用策略计划配置要对所选范围启用的 Defender for Cloud 计划和扩展。 | 11 | 1.0.0 |
| 配置要启用的 Microsoft Defender for Databases | 配置 Microsoft Defender for Databases 以保护 Azure SQL 数据库、托管实例、开放源代码关系数据库和 Cosmos DB。 | 4 | 1.0.0 |
| 配置多个 Microsoft Defender for Endpoint 与 Microsoft Defender for Cloud 的集成设置 | 使用 Microsoft Defender for Cloud 配置多个 Microsoft Defender for Endpoint 集成设置(WDATP、WDATP_EXCLUDE_LINUX_PUBLIC_PREVIEW、WDATP_UNIFIED_SOLUTION等)。 有关详细信息,请参阅 https://learn.microsoft.com/azure/defender-for-cloud/integration-defender-for-endpoint。 | 3 | 1.0.0 |
| 配置 SQL VM 和已启用 Arc 的 SQL Server,以安装 Microsoft Defender for SQL 和具有 LA 工作区的 AMA | Microsoft Defender for SQL 从代理收集事件,并使用这些事件来提供安全警报和定制的强化任务(建议)。 在计算机所在的同一区域中创建资源组、数据收集规则和 Log Analytics 工作区。 | 9 | 1.3.0 |
| 配置 SQL VM 和已启用 Arc 的 SQL Server,以安装 Microsoft Defender for SQL 和具有用户定义的 LA 工作区的 AMA | Microsoft Defender for SQL 从代理收集事件,并使用这些事件来提供安全警报和定制的强化任务(建议)。 在用户定义的 Log Analytics 工作区所在的同一区域中创建一个资源组和一个数据收集规则。 | 8 | 1.2.0 |
| Microsoft 云安全基准 | Microsoft 云安全基准计划代表了实施 Microsoft 云安全基准中定义的安全建议的策略和控制,请参阅https://aka.ms/azsecbm。 这也可用作 Microsoft Defender for Cloud 默认策略计划。 可以直接分配此计划,也可以在 Microsoft Defender for Cloud 内管理其策略和合规性结果。 | 228 | 57.45.0 |
SQL
| 名称 | 说明 | 策略 | 版本 |
|---|---|---|---|
| Azure SQL 数据库应该设置纯 Microsoft Entra 身份验证 | Azure SQL 数据库需要纯 Microsoft Entra 身份验证,禁用本地身份验证方法。 这样就可以仅通过 Microsoft Entra 标识进行访问,通过新式身份验证增强功能(包括 MFA、SSO 以及使用托管标识进行的无机密编程访问)来增强安全性。 | 2 | 1.0.0 |
| Azure SQL 托管实例应该设置纯 Microsoft Entra 身份验证 | Azure SQL 托管实例需要纯 Microsoft Entra 身份验证,禁用本地身份验证方法。 这样就可以仅通过 Microsoft Entra 标识进行访问,通过新式身份验证增强功能(包括 MFA、SSO 以及使用托管标识进行的无机密编程访问)来增强安全性。 | 2 | 1.0.0 |
Synapse
| 名称 | 说明 | 策略 | 版本 |
|---|---|---|---|
| 配置 Synapse 工作区以强制使用纯 Microsoft Entra 标识进行身份验证 | 要求为 Synapse 工作区使用纯 Microsoft Entra 身份验证并进行相应的配置,禁用本地身份验证方法。 这样就可以仅通过 Microsoft Entra 标识进行访问,通过新式身份验证增强功能(包括 MFA、SSO 以及使用托管标识进行的无机密编程访问)来增强安全性。 | 2 | 1.0.0 |
| Synapse 工作区应该设置纯 Microsoft Entra 身份验证 | 要求为 Synapse 工作区使用纯 Microsoft Entra 身份验证,禁用本地身份验证方法。 这样就可以仅通过 Microsoft Entra 标识进行访问,通过新式身份验证增强功能(包括 MFA、SSO 以及使用托管标识进行的无机密编程访问)来增强安全性。 | 2 | 1.0.0 |
受信任启动
| 名称 | 说明 | 策略 | 版本 |
|---|---|---|---|
| [预览版]:配置先决条件以在启用了受信任启动的 VM 上启用来宾证明 | 将受信任的支持启动的虚拟机配置为自动安装来宾证明扩展并启用系统分配的管理标识以允许 Azure 安全中心主动证明和监视启动完整性。 启动完整性是通过远程证明来证明的。 有关更多详细信息,请参阅以下链接 - https://aka.ms/trustedlaunch | 7 | 3.0.0-preview |
VirtualEnclaves
| 名称 | 说明 | 策略 | 版本 |
|---|---|---|---|
| [预览版]:控制虚拟飞地中 AKS 的使用 | 此计划部署适用于 AKS 的 Azure 策略,以确保当 AKS 资源在 Azure 虚拟飞地的逻辑分隔结构中运行时,对该资源进行边界保护。 https://aka.ms/VirtualEnclaves | 9 | 1.0.0-preview |
| [预览版]:控制虚拟飞地中应用服务的使用 | 此计划部署适用于应用服务的 Azure 策略,以确保当应用服务资源在 Azure 虚拟飞地的逻辑分隔结构中运行时,对该资源进行边界保护。 https://aka.ms/VirtualEnclaves | 44 | 1.0.0-preview |
| [预览版]:控制虚拟飞地中容器注册表的使用 | 此计划部署适用于容器注册表的 Azure 策略,以确保当容器注册表资源在 Azure 虚拟飞地的逻辑分隔结构中运行时,对该资源进行边界保护。 https://aka.ms/VirtualEnclaves | 8 | 1.0.0-preview |
| [预览版]:控制虚拟飞地中 CosmosDB 的使用 | 此计划部署适用于 CosmosDB 的 Azure 策略,以确保当 CosmosDB 资源在 Azure 虚拟飞地的逻辑分隔结构中运行时,对该资源进行边界保护。 https://aka.ms/VirtualEnclaves | 8 | 1.0.0-preview |
| [预览版]:控制对虚拟 Enclave 中特定资源的诊断设置的使用 | 此计划部署 Azure 策略,确保在 Azure 虚拟 Enclave 中配置特定资源类型。 https://aka.ms/VirtualEnclaves | 25 | 1.0.0-preview |
| [预览版]:控制虚拟飞地中密钥保管库的使用 | 此计划部署适用于密钥保管库的 Azure 策略,以确保当密钥保管库资源在 Azure 虚拟飞地的逻辑分隔结构中运行时,对该资源进行边界保护。 https://aka.ms/VirtualEnclaves | 2 | 1.0.0-preview |
| [预览版]:控制虚拟飞地中 Microsoft SQL 的使用 | 此计划部署适用于 Microsoft SQL 的 Azure 策略,以确保当 Microsoft SQL 资源在 Azure 虚拟飞地的逻辑分隔结构中运行时,对该资源进行边界保护。 https://aka.ms/VirtualEnclaves | 24 | 1.0.0-preview |
| [预览版]:控制虚拟飞地中 PostgreSql 的使用 | 此计划部署适用于 PostgreSql 的 Azure 策略,以确保当 PostgreSql 资源在 Azure 虚拟飞地的逻辑分隔结构中运行时,对该资源进行边界保护。 https://aka.ms/VirtualEnclaves | 10 | 1.0.0-preview |
| [预览版]:控制虚拟飞地中服务总线的使用 | 此计划部署适用于服务总线的 Azure 策略,以确保当服务总线资源在 Azure 虚拟飞地的逻辑分隔结构中运行时,对该资源进行边界保护。 https://aka.ms/VirtualEnclaves | 7 | 1.0.0-preview |
| [预览版]:控制虚拟飞地中存储帐户的使用 | 此计划部署适用于存储帐户的 Azure 策略,以确保当存储帐户资源在 Azure 虚拟飞地的逻辑分隔结构中运行时,对该资源进行边界保护。 https://aka.ms/VirtualEnclaves | 11 | 1.1.0-preview |
后续步骤
- 在 Azure Policy GitHub 存储库中查看这些内置项。
- 查看 Azure Policy 定义结构。
- 查看了解策略效果。