你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Azure Policy 内置策略定义
此页是 Azure Policy 内置策略定义的索引。
每个内置链接(指向 Azure 门户中的策略定义)的名称。 使用“源”列中的链接查看 Azure Policy GitHub 存储库上的源。 这些内置项按元数据中的 category 属性进行分组。 若要转到特定类别,请使用 Ctrl-F 来使用浏览器的搜索功能。
API for FHIR
名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
---|---|---|---|
Azure API for FHIR 应使用客户管理的密钥对数据进行静态加密 | 根据相关的法规或合规性要求,请使用客户管理的密钥来控制对 Azure API for FHIR 中存储的数据的静态加密。 客户托管密钥还提供双重加密,方法是在使用服务托管密钥完成的默认加密层上添加另一层加密。 | 审核、审核、禁用、禁用 | 1.1.0 |
Azure API for FHIR 应使用专用链接 | Azure API for FHIR 应至少具有一个获得批准的专用终结点连接。 虚拟网络中的客户端可以安全地访问通过专用链接获得专用终结点连接的资源。 有关详细信息,请访问:https://aka.ms/fhir-privatelink。 | Audit、Disabled | 1.0.0 |
CORS 不应允许每个域都能访问 API for FHIR | 跨源资源共享 (CORS) 不应允许所有域都能访问你的 API for FHIR。 为了保护 API for FHIR,请删除所有域的访问权限,并显式定义允许连接的域。 | 审核、审核、禁用、禁用 | 1.1.0 |
API 管理
名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
---|---|---|---|
API 管理 API 应仅使用加密协议 | 为了确保传输中数据的安全性,API 应只能通过加密协议(如 HTTPS 或 WSS)使用。 避免使用不安全的协议,例如 HTTP 或 WS。 | 审核、已禁用、拒绝 | 2.0.2 |
API 管理对 API 后端的调用应进行身份验证 | 从 API 管理对后端的调用应使用某种形式的身份验证,无论是通过证书还是凭据。 不适用于 Service Fabric 后端。 | 审核、已禁用、拒绝 | 1.0.1 |
API 管理对 API 后端的调用不应绕过证书指纹或名称验证 | 要提升 API 安全性,API 管理应验证所有 API 调用的后端服务器证书。 启用 SSL 证书指纹和名称验证。 | 审核、已禁用、拒绝 | 1.0.2 |
不应启用 API 管理直接管理终结点 | Azure API 管理中的直接管理 REST API 会绕过 Azure 资源管理器基于角色的访问控制、授权和限制机制,因此会增加服务的漏洞。 | 审核、已禁用、拒绝 | 1.0.2 |
API 管理最低 API 版本应设置为 2019-12-01 或更高版本 | 若要阻止服务机密与只读用户共享,应将最低 API 版本设置为 2019-12-01 或更高版本。 | Audit、Deny、Disabled | 1.0.1 |
API 管理机密命名值应存储在 Azure Key Vault 中 | 命名值是每个 API 管理服务中名称/值对的集合。 机密值可以存储为 API 管理中的加密文本(自定义机密),也可以通过引用 Azure 密钥保管库中的机密进行存储。 要提高 API 管理和机密的安全性,请从 Azure Key Vault 引用机密命名值。 Azure 密钥保管库支持精细的访问管理和机密轮换策略。 | 审核、已禁用、拒绝 | 1.0.2 |
API 管理服务应使用支持虚拟网络的 SKU | 有了 API 管理支持的 SKU,将服务部署到虚拟网络中就可以解锁高级 API 管理网络和安全功能,从而更全面地控制网络安全配置。 有关详细信息,请访问:https://aka.ms/apimvnet。 | Audit、Deny、Disabled | 1.0.0 |
API 管理服务应使用虚拟网络 | Azure 虚拟网络部署提供了增强的安全性和隔离,并允许你将 API 管理服务放置在不可经 Internet 路由的网络(你控制对其的访问权限)中。 然后,可以使用各种 VPN 技术将这些网络连接到本地网络,这样就能够访问网络中的和/或本地的后端服务。 可以将开发人员门户和 API 网关配置为可以从 Internet 访问或只能在虚拟网络内访问。 | Audit、Deny、Disabled | 1.0.2 |
API 管理应禁用对服务配置终结点的公用网络访问 | 要提高 API 管理服务的安全性,请限制与服务配置终结点的连接,例如直接访问管理 API、Git 配置管理终结点,或自承载网关配置终结点。 | AuditIfNotExists、Disabled | 1.0.1 |
API 管理应禁用用户名和密码身份验证 | 为了更好地保护开发人员门户,应禁用 API 管理中的用户名和密码身份验证。 通过 Azure AD 或 Azure AD B2C 标识提供者配置用户身份验证,并禁用默认用户名和密码身份验证。 | Audit、Disabled | 1.0.1 |
API 管理订阅的范围不应为所有 API | API 管理订阅的范围应限定为产品或单个 API,而不是所有 API,后者可能会导致过多的数据泄露。 | 审核、已禁用、拒绝 | 1.1.0 |
Azure API 管理平台版本应为 stv2 | Azure API 管理 stv1 计算平台版本将于 2024 年 8 月 31 日起停用,这些实例应迁移到 stv2 计算平台以获得持续支持。 有关详细信息,请访问 https://learn.microsoft.com/azure/api-management/breaking-changes/stv1-platform-retirement-august-2024 | Audit、Deny、Disabled | 1.0.0 |
配置 API 管理服务以禁用对 API 管理公共服务配置终结点的访问 | 要提高 API 管理服务的安全性,请限制与服务配置终结点的连接,例如直接访问管理 API、Git 配置管理终结点,或自承载网关配置终结点。 | DeployIfNotExists、Disabled | 1.1.0 |
修改 API 管理以禁用用户名和密码身份验证 | 若要更好地保护开发人员门户的用户帐户及其凭据,请通过 Azure AD 或 Azure AD B2C 标识提供者配置用户身份验证,并禁用默认用户名和密码身份验证。 | 修改 | 1.1.0 |
应用程序配置
名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
---|---|---|---|
应用配置应禁用公用网络访问 | 禁用公用网络访问可确保资源不会在公共 Internet 上公开,从而提高了安全性。 你可以通过创建专用终结点来限制资源的公开。 有关详细信息,请访问:https://aka.ms/appconfig/private-endpoint。 | Audit、Deny、Disabled | 1.0.0 |
应用程序配置应使用客户管理的密钥 | 客户管理的密钥可便于管理加密密钥,从而提供增强的数据保护。 这通常是满足合规性要求所必需的。 | Audit、Deny、Disabled | 1.1.0 |
应用配置应使用支持专用链接的 SKU | 使用受支持的 SKU 时,Azure 专用链接可让你在源或目标位置没有公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到应用配置实例(而不是整个服务),还可以防范数据泄露风险。 有关详细信息,请访问:https://aka.ms/appconfig/private-endpoint。 | Audit、Deny、Disabled | 1.0.0 |
应用程序配置应使用异地复制 | 使用异地复制功能在当前配置存储区的其他位置创建副本,以提高复原能力和可用性。 此外,使用多区域副本可以更好地分配负载、降低延迟、防止数据中心中断,并隔离全球分布的工作负载。 有关详细信息,请访问:https://aka.ms/appconfig/geo-replication。 | AuditIfNotExists、Disabled | 1.0.0 |
应用程序配置应使用专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到应用配置实例(而不是整个服务),还可以防范数据泄露风险。 有关详细信息,请访问:https://aka.ms/appconfig/private-endpoint。 | AuditIfNotExists、Disabled | 1.0.2 |
应用程序配置存储应禁用本地身份验证方法 | 禁用本地身份验证方法可确保应用程序配置存储需要专用于身份验证的 Microsoft Entra 标识,从而提高安全性。 有关详细信息,请访问:https://go.microsoft.com/fwlink/?linkid=2161954。 | Audit、Deny、Disabled | 1.0.1 |
配置应用程序配置存储以禁用本地身份验证方法 | 禁用本地身份验证方法,使应用程序配置存储需要专门针对身份验证的 Microsoft Entra 标识。 有关详细信息,请访问:https://go.microsoft.com/fwlink/?linkid=2161954。 | 修改,已禁用 | 1.0.1 |
将应用配置配置为禁用公用网络访问 | 禁用对应用配置的公用网络访问,确保无法通过公共 Internet 对其进行访问。 此配置有助于这些帐户防范数据泄露风险。 你可以通过创建专用终结点来限制资源的公开。 有关详细信息,请访问:https://aka.ms/appconfig/private-endpoint。 | 修改,已禁用 | 1.0.0 |
为连接到应用配置的专用终结点配置专用 DNS 区域 | 使用专用 DNS 区域来替代专用终结点的 DNS 解析。 可将专用 DNS 区域链接到你的虚拟网络,以解析应用配置实例。 有关详细信息,请访问:https://aka.ms/appconfig/private-endpoint。 | DeployIfNotExists、Disabled | 1.0.0 |
为应用配置配置专用终结点 | 专用终结点可让你在源或目标位置没有公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 通过将专用终结点映射到应用配置实例,可以降低数据泄露风险。 有关详细信息,请访问:https://aka.ms/appconfig/private-endpoint。 | DeployIfNotExists、Disabled | 1.0.0 |
应用平台
名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
---|---|---|---|
[预览]:审核未启用分布式跟踪的 Azure Spring Cloud 实例 | 可以通过 Azure Spring Cloud 中的分布式跟踪工具调试和监视应用程序中微服务之间的复杂互连。 分布式跟踪工具应已启用并处于正常状态。 | Audit、Disabled | 1.0.0-preview |
Azure Spring Cloud 应使用网络注入 | Azure Spring Cloud 实例应使用虚拟网络注入实现以下目的:1. 将 Azure Spring Cloud 与 Internet 隔离。 2. 使 Azure Spring Cloud 能够与本地数据中心内的系统和/或其他虚拟网络中的 Azure 服务内的系统进行交互。 3. 授权客户控制 Azure Spring Cloud 的入站和出站网络通信。 | 审核、已禁用、拒绝 | 1.2.0 |
应用服务
名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
---|---|---|---|
应将应用服务应用槽注入到虚拟网络中 | 将应用服务应用注入虚拟网络可以解锁高级应用服务网络和安全功能,并更好地控制网络安全配置。 有关详细信息,请访问:https://docs.microsoft.com/azure/app-service/web-sites-integrate-with-vnet。 | Audit、Deny、Disabled | 1.0.0 |
应用服务应用槽应禁用公用网络访问 | 禁用公用网络访问可确保应用服务不会在公共 Internet 上公开,从而提高安全性。 创建专用终结点可以限制应用服务的公开。 有关详细信息,请访问:https://aka.ms/app-service-private-endpoint。 | 审核、已禁用、拒绝 | 1.0.0 |
应用服务应用槽应启用到 Azure 虚拟网络的配置路由 | 默认情况下,拉取容器映像和装载内容存储等应用配置不会通过区域虚拟网络集成进行路由。 使用 API 将路由选项设置为 true 可启用通过 Azure 虚拟网络的配置流量。 这些设置允许使用网络安全组和用户定义的路由等功能,并且允许服务终结点为专用。 有关详细信息,请访问 https://aka.ms/appservice-vnet-configuration-routing。 | Audit、Deny、Disabled | 1.0.0 |
应用服务应用槽应启用到 Azure 虚拟网络的出站非 RFC 1918 流量 | 默认情况下,如果有人使用区域性 Azure 虚拟网络 (VNET) 集成,那么应用仅将 RFC1918 流量路由到相应的这个虚拟网络中。 通过使用 API 将“vnetRouteAllEnabled”设置为 true,可使所有出站流量流入 Azure 虚拟网络。 通过此设置,可对来自应用服务应用的所有出站流量使用网络安全组和用户定义的路由等功能。 | Audit、Deny、Disabled | 1.0.0 |
应用服务应用槽应启用“客户端证书(传入的客户端证书)” | 客户端证书允许应用请求传入请求的证书。 只有具有有效证书的客户端才能访问该应用。 此策略适用于 Http 版本设置为 1.1 的应用。 | AuditIfNotExists、Disabled | 1.0.0 |
应用服务应用槽应为 FTP 部署禁用本地身份验证方法 | 禁用 FTP 部署的本地身份验证方法可确保应用服务槽仅将 Microsoft Entra 标识作为身份验证方法,从而提高安全性。 有关详细信息,请访问:https://aka.ms/app-service-disable-basic-auth。 | AuditIfNotExists、Disabled | 1.0.3 |
应用服务应用槽应为 SCM 网站部署禁用本地身份验证方法 | 禁用 SCM 站点的本地身份验证方法可确保应用服务槽仅将 Microsoft Entra 标识作为身份验证方法,从而提高安全性。 有关详细信息,请访问:https://aka.ms/app-service-disable-basic-auth。 | AuditIfNotExists、Disabled | 1.0.4 |
应用服务应用槽应已关闭远程调试 | 远程调试需要入站端口在应用服务应用上打开。 应禁用远程调试。 | AuditIfNotExists、Disabled | 1.0.1 |
应用服务应用槽应启用资源日志 | 审核确认已在应用上启用资源日志。 如果发生安全事件或网络遭泄露,这样便可以重新创建活动线索用于调查目的。 | AuditIfNotExists、Disabled | 1.0.0 |
应用服务应用槽不应将 CORS 配置为允许每个资源访问应用 | 跨源资源共享 (CORS) 不应允许所有域都能访问应用。 仅允许所需的域与应用交互。 | AuditIfNotExists、Disabled | 1.0.0 |
只应通过 HTTPS 访问应用服务应用槽 | 使用 HTTPS 可确保执行服务器/服务身份验证服务,并保护传输中的数据不受网络层窃听攻击威胁。 | 审核、已禁用、拒绝 | 2.0.0 |
应用服务应用槽应仅需要 FTPS | 启用“FTPS 强制实施”以增强安全性。 | AuditIfNotExists、Disabled | 1.0.0 |
应用服务应用槽应将 Azure 文件共享用于其内容目录 | 应用的内容目录应位于 Azure 文件共享中。 必须先提供文件共享的存储帐户信息,然后才能进行任何发布活动。 若要详细了解如何使用 Azure 文件存储来托管应用服务内容,请参阅 https://go.microsoft.com/fwlink/?linkid=2151594。 | Audit、Disabled | 1.0.0 |
应用服务应用槽应使用最新的“HTTP 版本” | 我们定期发布适用于 HTTP 的更高版本来解决安全漏洞或包含更多功能。 使用 Web 应用的最新 HTTP 版本可以利用更高版本的安全修复(如果有)和/或新功能。 | AuditIfNotExists、Disabled | 1.0.0 |
应用服务应用槽应使用托管标识 | 使用托管标识以实现增强的身份验证安全性 | AuditIfNotExists、Disabled | 1.0.0 |
应用服务应用槽应使用最新的 TLS 版本 | 由于安全漏洞,会定期发布针对 TLS 的较新版本,包括其他功能并提高速度。 升级到应用服务应用的最新 TLS 版本,以利用安全修补程序(如果有)和/或最新版本的新功能。 | AuditIfNotExists、Disabled | 1.1.0 |
使用 Java 的应用服务应用槽应使用指定的 Java 版本 | 我们定期发布适用于 Java 软件的更高版本来解决安全漏洞或包含更多功能。 建议使用应用服务应用的最新 Java 版本,以充分利用最新版本的安全修补程序(如果有)和/或新功能。 此策略仅适用于 Linux 应用。 此策略要求指定满足需求的 Java 版本。 | AuditIfNotExists、Disabled | 1.0.0 |
使用 PHP 的应用服务应用槽应使用指定的 PHP 版本 | 我们定期发布适用于 PHP 软件的更高版本来解决安全漏洞或包含更多功能。 建议使用应用服务应用的最新 PHP 版本,以充分利用最新版本的安全修补程序(如果有)和/或新功能。 此策略仅适用于 Linux 应用。 此策略要求指定满足需求的 PHP 版本。 | AuditIfNotExists、Disabled | 1.0.0 |
使用 Python 的应用服务应用槽应使用指定的 Python 版本 | 我们定期发布适用于 Python 软件的更高版本来解决安全漏洞或包含更多功能。 建议使用应用服务应用的最新 Python 版本,以充分利用最新版本的安全修补程序(如果有)和/或新功能。 此策略仅适用于 Linux 应用。 此策略要求指定满足需求的 Python 版本。 | AuditIfNotExists、Disabled | 1.0.0 |
应用服务应用应注入到虚拟网络中 | 将应用服务应用注入虚拟网络可以解锁高级应用服务网络和安全功能,并更好地控制网络安全配置。 有关详细信息,请访问:https://docs.microsoft.com/azure/app-service/web-sites-integrate-with-vnet。 | Audit、Deny、Disabled | 3.0.0 |
应用服务应用应禁用公用网络访问 | 禁用公用网络访问可确保应用服务不会在公共 Internet 上公开,从而提高安全性。 创建专用终结点可以限制应用服务的公开。 有关详细信息,请访问:https://aka.ms/app-service-private-endpoint。 | 审核、已禁用、拒绝 | 1.1.0 |
应用服务应用应启用到 Azure 虚拟网络的配置路由 | 默认情况下,拉取容器映像和装载内容存储等应用配置不会通过区域虚拟网络集成进行路由。 使用 API 将路由选项设置为 true 可启用通过 Azure 虚拟网络的配置流量。 这些设置允许使用网络安全组和用户定义的路由等功能,并且允许服务终结点为专用。 有关详细信息,请访问 https://aka.ms/appservice-vnet-configuration-routing。 | Audit、Deny、Disabled | 1.0.0 |
应用服务应用应启用到 Azure 虚拟网络的出站非 RFC 1918 流量 | 默认情况下,如果有人使用区域性 Azure 虚拟网络 (VNET) 集成,那么应用仅将 RFC1918 流量路由到相应的这个虚拟网络中。 通过使用 API 将“vnetRouteAllEnabled”设置为 true,可使所有出站流量流入 Azure 虚拟网络。 通过此设置,可对来自应用服务应用的所有出站流量使用网络安全组和用户定义的路由等功能。 | Audit、Deny、Disabled | 1.0.0 |
应用服务应用应启用身份验证 | Azure 应用服务身份验证是一项功能,可以阻止匿名 HTTP 请求访问 Web 应用,或在令牌访问 Web 应用之前对其进行身份验证。 | AuditIfNotExists、Disabled | 2.0.1 |
应用服务应用应启用“客户端证书(传入客户端证书)” | 客户端证书允许应用请求传入请求的证书。 只有具有有效证书的客户端才能访问该应用。 此策略适用于 Http 版本设置为 1.1 的应用。 | AuditIfNotExists、Disabled | 1.0.0 |
应用服务应用应为 FTP 部署禁用本地身份验证方法 | 禁用 FTP 部署的本地身份验证方法可确保应用服务仅将 Microsoft Entra 标识作为身份验证方法,从而提高安全性。 有关详细信息,请访问:https://aka.ms/app-service-disable-basic-auth。 | AuditIfNotExists、Disabled | 1.0.3 |
应用服务应用应为 SCM 网站部署禁用本地身份验证方法 | 禁用 SCM 站点的本地身份验证方法可确保应用服务仅将 Microsoft Entra 标识作为身份验证方法,从而提高安全性。 有关详细信息,请访问:https://aka.ms/app-service-disable-basic-auth。 | AuditIfNotExists、Disabled | 1.0.3 |
应用服务应用应已禁用远程调试 | 远程调试需要入站端口在应用服务应用上打开。 应禁用远程调试。 | AuditIfNotExists、Disabled | 2.0.0 |
应用服务应用应已启用资源日志 | 审核确认已在应用上启用资源日志。 如果发生安全事件或网络遭泄露,这样便可以重新创建活动线索用于调查目的。 | AuditIfNotExists、Disabled | 2.0.1 |
应用服务应用不应将 CORS 配置为允许每个资源访问应用 | 跨源资源共享 (CORS) 不应允许所有域都能访问应用。 仅允许所需的域与应用交互。 | AuditIfNotExists、Disabled | 2.0.0 |
只应通过 HTTPS 访问应用服务应用 | 使用 HTTPS 可确保执行服务器/服务身份验证服务,并保护传输中的数据不受网络层窃听攻击威胁。 | 审核、已禁用、拒绝 | 4.0.0 |
应用服务应用应仅需要 FTPS | 启用“FTPS 强制实施”以增强安全性。 | AuditIfNotExists、Disabled | 3.0.0 |
应用服务应用应使用支持专用链接的 SKU | 使用受支持的 SKU 时,Azure 专用链接可让你在源或目标位置没有公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到应用,可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://aka.ms/private-link。 | Audit、Deny、Disabled | 4.1.0 |
应用服务应用应将 Azure 文件共享用于其内容目录 | 应用的内容目录应位于 Azure 文件共享中。 必须先提供文件共享的存储帐户信息,然后才能进行任何发布活动。 若要详细了解如何使用 Azure 文件存储来托管应用服务内容,请参阅 https://go.microsoft.com/fwlink/?linkid=2151594。 | Audit、Disabled | 3.0.0 |
应用服务应用应使用最新“HTTP 版本” | 我们定期发布适用于 HTTP 的更高版本来解决安全漏洞或包含更多功能。 使用 Web 应用的最新 HTTP 版本可以利用更高版本的安全修复(如果有)和/或新功能。 | AuditIfNotExists、Disabled | 4.0.0 |
应用服务应用应使用托管标识 | 使用托管标识以实现增强的身份验证安全性 | AuditIfNotExists、Disabled | 3.0.0 |
应用服务应用应使用专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到应用服务,可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://aka.ms/private-link。 | AuditIfNotExists、Disabled | 1.0.1 |
应用服务应用应使用最新的 TLS 版本 | 由于安全漏洞,会定期发布针对 TLS 的较新版本,包括其他功能并提高速度。 升级到应用服务应用的最新 TLS 版本,以利用安全修补程序(如果有)和/或最新版本的新功能。 | AuditIfNotExists、Disabled | 2.1.0 |
使用 Java 的应用服务应用应使用指定的 Java 版本 | 我们定期发布适用于 Java 软件的更高版本来解决安全漏洞或包含更多功能。 建议使用应用服务应用的最新 Java 版本,以充分利用最新版本的安全修补程序(如果有)和/或新功能。 此策略仅适用于 Linux 应用。 此策略要求指定满足需求的 Java 版本。 | AuditIfNotExists、Disabled | 3.1.0 |
使用 PHP 的应用服务应用应使用指定的 PHP 版本 | 我们定期发布适用于 PHP 软件的更高版本来解决安全漏洞或包含更多功能。 建议使用应用服务应用的最新 PHP 版本,以充分利用最新版本的安全修补程序(如果有)和/或新功能。 此策略仅适用于 Linux 应用。 此策略要求指定满足需求的 PHP 版本。 | AuditIfNotExists、Disabled | 3.2.0 |
使用 Python 的应用服务应用应使用指定的 Python 版本 | 我们定期发布适用于 Python 软件的更高版本来解决安全漏洞或包含更多功能。 建议使用应用服务应用的最新 Python 版本,以充分利用最新版本的安全修补程序(如果有)和/或新功能。 此策略仅适用于 Linux 应用。 此策略要求指定满足需求的 Python 版本。 | AuditIfNotExists、Disabled | 4.1.0 |
不应通过公共 Internet 访问应用服务环境应用 | 为了确保无法通过公共 Internet 访问应用服务环境中部署的应用程序,应在虚拟网络中部署具有 IP 地址的应用服务环境。 若要将 IP 地址设置为虚拟网络 IP,必须使用内部负载均衡器部署应用服务环境。 | Audit、Deny、Disabled | 3.0.0 |
应使用最强的 TLS 密码套件配置应用服务环境 | 应用服务环境正常运行所需的两个最小和最强密码套件是:TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 和 TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256。 | Audit、Disabled | 1.0.0 |
应使用最新版本预配应用服务环境 | 仅允许预配应用服务环境版本 2 或版本 3。 早期版本的应用服务环境需要手动管理 Azure 资源且缩放限制更严格。 | Audit、Deny、Disabled | 1.0.0 |
应用服务环境应启用内部加密 | 如果将 InternalEncryption 设置为 true,会对应用服务环境中前端和辅助角色之间的页面文件、辅助角色磁盘和内部网络流量进行加密。 若要了解详细信息,请查看 https://docs.microsoft.com/azure/app-service/environment/app-service-app-service-environment-custom-settings#enable-internal-encryption。 | Audit、Disabled | 1.0.1 |
应用服务环境应禁用 TLS 1.0 和 1.1 | TLS 1.0 和 1.1 协议已过时,不支持现代加密算法。 禁用入站 TLS 1.0 和 1.1 流量可帮助保护应用服务环境中的应用。 | Audit、Deny、Disabled | 2.0.1 |
配置应用服务应用槽以禁用 FTP 部署的本地身份验证 | 禁用 FTP 部署的本地身份验证方法可确保应用服务槽仅将 Microsoft Entra 标识作为身份验证方法,从而提高安全性。 有关详细信息,请访问:https://aka.ms/app-service-disable-basic-auth。 | DeployIfNotExists、Disabled | 1.0.3 |
配置应用服务应用槽以禁用 SCM 网站的本地身份验证 | 禁用 SCM 站点的本地身份验证方法可确保应用服务槽仅将 Microsoft Entra 标识作为身份验证方法,从而提高安全性。 有关详细信息,请访问:https://aka.ms/app-service-disable-basic-auth。 | DeployIfNotExists、Disabled | 1.0.3 |
配置应用服务应用槽以禁用公用网络访问 | 禁用对应用服务的公用网络访问,确保无法通过公共 Internet 对其进行访问。 这样可以减少数据泄露风险。 有关详细信息,请访问:https://aka.ms/app-service-private-endpoint。 | 修改,已禁用 | 1.1.0 |
将应用服务应用槽配置为只能通过 HTTPS 访问 | 使用 HTTPS 可确保执行服务器/服务身份验证服务,并保护传输中的数据不受网络层窃听攻击威胁。 | 修改,已禁用 | 2.0.0 |
配置应用服务应用槽以关闭远程调试 | 远程调试需要入站端口在应用服务应用上打开。 应禁用远程调试。 | DeployIfNotExists、Disabled | 1.1.0 |
配置应用服务应用槽以使用最新的 TLS 版本 | 由于安全漏洞,会定期发布针对 TLS 的较新版本,包括其他功能并提高速度。 升级到应用服务应用的最新 TLS 版本,以利用安全修补程序(如果有)和/或最新版本的新功能。 | DeployIfNotExists、Disabled | 1.2.0 |
配置应用服务应用以禁用 FTP 部署的本地身份验证 | 禁用 FTP 部署的本地身份验证方法可确保应用服务仅将 Microsoft Entra 标识作为身份验证方法,从而提高安全性。 有关详细信息,请访问:https://aka.ms/app-service-disable-basic-auth。 | DeployIfNotExists、Disabled | 1.0.3 |
配置应用服务应用以禁用 SCM 网站的本地身份验证 | 禁用 SCM 站点的本地身份验证方法可确保应用服务仅将 Microsoft Entra 标识作为身份验证方法,从而提高安全性。 有关详细信息,请访问:https://aka.ms/app-service-disable-basic-auth。 | DeployIfNotExists、Disabled | 1.0.3 |
配置应用服务应用以禁用公用网络访问 | 禁用对应用服务的公用网络访问,确保无法通过公共 Internet 对其进行访问。 这样可以减少数据泄露风险。 有关详细信息,请访问:https://aka.ms/app-service-private-endpoint。 | 修改,已禁用 | 1.1.0 |
将应用服务应用配置为只能通过 HTTPS 访问 | 使用 HTTPS 可确保执行服务器/服务身份验证服务,并保护传输中的数据不受网络层窃听攻击威胁。 | 修改,已禁用 | 2.0.0 |
配置应用服务应用以关闭远程调试 | 远程调试需要入站端口在应用服务应用上打开。 应禁用远程调试。 | DeployIfNotExists、Disabled | 1.0.0 |
将应用服务应用配置为使用专用 DNS 区域 | 使用专用 DNS 区域来替代专用终结点的 DNS 解析。 专用 DNS 区域将虚拟网络链接到应用服务。 有关详细信息,请访问:https://docs.microsoft.com/azure/app-service/networking/private-endpoint#dns。 | DeployIfNotExists、Disabled | 1.0.1 |
将应用服务应用配置为使用最新的 TLS 版本 | 由于安全漏洞,会定期发布针对 TLS 的较新版本,包括其他功能并提高速度。 升级到应用服务应用的最新 TLS 版本,以利用安全修补程序(如果有)和/或最新版本的新功能。 | DeployIfNotExists、Disabled | 1.1.0 |
配置函数应用槽以禁用公用网络访问 | 禁用对函数应用的公用网络访问,确保无法通过公共 Internet 对其进行访问。 这样可以减少数据泄露风险。 有关详细信息,请访问:https://aka.ms/app-service-private-endpoint。 | 修改,已禁用 | 1.1.0 |
将函数应用槽配置为只能通过 HTTPS 访问 | 使用 HTTPS 可确保执行服务器/服务身份验证服务,并保护传输中的数据不受网络层窃听攻击威胁。 | 修改,已禁用 | 2.0.0 |
配置函数应用槽以关闭远程调试 | 要进行远程调试,需要在函数应用上打开入站端口。 应禁用远程调试。 | DeployIfNotExists、Disabled | 1.1.0 |
配置函数应用槽以使用最新的 TLS 版本 | 由于安全漏洞,会定期发布针对 TLS 的较新版本,包括其他功能并提高速度。 升级到函数应用的最新 TLS 版本,以利用安全修补程序(如果有)和/或最新版本的新功能。 | DeployIfNotExists、Disabled | 1.2.0 |
配置函数应用以禁用公用网络访问 | 禁用对函数应用的公用网络访问,确保无法通过公共 Internet 对其进行访问。 这样可以减少数据泄露风险。 有关详细信息,请访问:https://aka.ms/app-service-private-endpoint。 | 修改,已禁用 | 1.1.0 |
将函数应用配置为仅可通过 HTTPS 访问 | 使用 HTTPS 可确保执行服务器/服务身份验证服务,并保护传输中的数据不受网络层窃听攻击威胁。 | 修改,已禁用 | 2.0.0 |
配置函数应用以关闭远程调试 | 远程调试需要入站端口在函数应用上打开。 应禁用远程调试。 | DeployIfNotExists、Disabled | 1.0.0 |
将函数应用配置为使用最新的 TLS 版本 | 由于安全漏洞,会定期发布针对 TLS 的较新版本,包括其他功能并提高速度。 升级到函数应用的最新 TLS 版本,以利用安全修补程序(如果有)和/或最新版本的新功能。 | DeployIfNotExists、Disabled | 1.1.0 |
函数应用槽应禁用公用网络访问 | 禁用公用网络访问可确保函数应用不会在公共 Internet 上公开,从而提高安全性。 创建专用终结点可以限制函数应用的公开。 有关详细信息,请访问:https://aka.ms/app-service-private-endpoint。 | 审核、已禁用、拒绝 | 1.0.0 |
函数应用槽应已启用“客户端证书(传入的客户端证书)” | 客户端证书允许应用请求传入请求的证书。 只有具有有效证书的客户端才能访问该应用。 此策略适用于 Http 版本设置为 1.1 的应用。 | AuditIfNotExists、Disabled | 1.0.0 |
函数应用槽应已关闭远程调试 | 远程调试需要入站端口在函数应用上打开。 应禁用远程调试。 | AuditIfNotExists、Disabled | 1.0.0 |
函数应用槽不应将 CORS 配置为允许每个资源访问你的应用 | 跨源资源共享 (CORS) 不应允许所有域都能访问你的函数应用。 仅允许所需的域与函数应用交互。 | AuditIfNotExists、Disabled | 1.0.0 |
只应通过 HTTPS 访问函数应用槽 | 使用 HTTPS 可确保执行服务器/服务身份验证服务,并保护传输中的数据不受网络层窃听攻击威胁。 | 审核、已禁用、拒绝 | 2.0.0 |
函数应用槽应仅需要 FTPS | 启用“FTPS 强制实施”以增强安全性。 | AuditIfNotExists、Disabled | 1.0.0 |
函数应用槽应将 Azure 文件共享用于其内容目录 | 函数应用的内容目录应位于 Azure 文件共享中。 必须先提供文件共享的存储帐户信息,然后才能进行任何发布活动。 若要详细了解如何使用 Azure 文件存储来托管应用服务内容,请参阅 https://go.microsoft.com/fwlink/?linkid=2151594。 | Audit、Disabled | 1.0.0 |
函数应用槽应使用最新的“HTTP 版本” | 我们定期发布适用于 HTTP 的更高版本来解决安全漏洞或包含更多功能。 使用 Web 应用的最新 HTTP 版本可以利用更高版本的安全修复(如果有)和/或新功能。 | AuditIfNotExists、Disabled | 1.0.0 |
函数应用槽应使用最新的 TLS 版本 | 由于安全漏洞,会定期发布针对 TLS 的较新版本,包括其他功能并提高速度。 升级到函数应用的最新 TLS 版本,以利用安全修补程序(如果有)和/或最新版本的新功能。 | AuditIfNotExists、Disabled | 1.1.0 |
使用 Java 的函数应用槽应使用指定的 Java 版本 | 我们定期发布适用于 Java 软件的更高版本来解决安全漏洞或包含更多功能。 建议使用函数应用的最新 Java 版本,以充分利用最新版本的安全修复(如果有)和/或新功能。 此策略仅适用于 Linux 应用。 此策略要求指定满足需求的 Java 版本。 | AuditIfNotExists、Disabled | 1.0.0 |
使用 Python 的函数应用槽应使用指定的 Python 版本 | 我们定期发布适用于 Python 软件的更高版本来解决安全漏洞或包含更多功能。 建议使用函数应用的最新 Python 版本,以充分利用最新版本的安全修复(如果有)和/或新功能。 此策略仅适用于 Linux 应用。 此策略要求指定满足需求的 Python 版本。 | AuditIfNotExists、Disabled | 1.0.0 |
函数应用应禁用公用网络访问 | 禁用公用网络访问可确保函数应用不会在公共 Internet 上公开,从而提高安全性。 创建专用终结点可以限制函数应用的公开。 有关详细信息,请访问:https://aka.ms/app-service-private-endpoint。 | 审核、已禁用、拒绝 | 1.0.0 |
函数应用应启用身份验证 | Azure 应用服务身份验证是一项功能,可以阻止匿名 HTTP 请求访问函数应用,或在令牌访问函数应用之前对其进行身份验证。 | AuditIfNotExists、Disabled | 3.0.0 |
确保函数应用已启用“客户端证书(传入客户端证书)” | 客户端证书允许应用请求传入请求的证书。 只有具有有效证书的客户端才能访问该应用。 此策略适用于 Http 版本设置为 1.1 的应用。 | AuditIfNotExists、Disabled | 1.0.0 |
函数应用应已禁用远程调试 | 远程调试需要入站端口在函数应用上打开。 应禁用远程调试。 | AuditIfNotExists、Disabled | 2.0.0 |
函数应用不应将 CORS 配置为允许每个资源访问应用 | 跨源资源共享 (CORS) 不应允许所有域都能访问你的函数应用。 仅允许所需的域与函数应用交互。 | AuditIfNotExists、Disabled | 2.0.0 |
只应通过 HTTPS 访问函数应用 | 使用 HTTPS 可确保执行服务器/服务身份验证服务,并保护传输中的数据不受网络层窃听攻击威胁。 | 审核、已禁用、拒绝 | 5.0.0 |
函数应用应仅需要 FTPS | 启用“FTPS 强制实施”以增强安全性。 | AuditIfNotExists、Disabled | 3.0.0 |
函数应用应使用 Azure 文件共享作为其内容目录 | 函数应用的内容目录应位于 Azure 文件共享中。 必须先提供文件共享的存储帐户信息,然后才能进行任何发布活动。 若要详细了解如何使用 Azure 文件存储来托管应用服务内容,请参阅 https://go.microsoft.com/fwlink/?linkid=2151594。 | Audit、Disabled | 3.0.0 |
函数应用应使用最新“HTTP 版本” | 我们定期发布适用于 HTTP 的更高版本来解决安全漏洞或包含更多功能。 使用 Web 应用的最新 HTTP 版本可以利用更高版本的安全修复(如果有)和/或新功能。 | AuditIfNotExists、Disabled | 4.0.0 |
函数应用应使用托管标识 | 使用托管标识以实现增强的身份验证安全性 | AuditIfNotExists、Disabled | 3.0.0 |
函数应用应使用最新 TLS 版本 | 由于安全漏洞,会定期发布针对 TLS 的较新版本,包括其他功能并提高速度。 升级到函数应用的最新 TLS 版本,以利用安全修补程序(如果有)和/或最新版本的新功能。 | AuditIfNotExists、Disabled | 2.1.0 |
使用 Java 的函数应用应使用指定的 Java 版本 | 我们定期发布适用于 Java 软件的更高版本来解决安全漏洞或包含更多功能。 建议使用函数应用的最新 Java 版本,以充分利用最新版本的安全修复(如果有)和/或新功能。 此策略仅适用于 Linux 应用。 此策略要求指定满足需求的 Java 版本。 | AuditIfNotExists、Disabled | 3.1.0 |
使用 Python 的函数应用应使用指定的 Python 版本 | 我们定期发布适用于 Python 软件的更高版本来解决安全漏洞或包含更多功能。 建议使用函数应用的最新 Python 版本,以充分利用最新版本的安全修复(如果有)和/或新功能。 此策略仅适用于 Linux 应用。 此策略要求指定满足需求的 Python 版本。 | AuditIfNotExists、Disabled | 4.1.0 |
证明
名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
---|---|---|---|
Azure 证明提供程序应禁用公用网络访问 | 若要提高 Azure 证明服务资源的安全性,请确保它不会公开到公共 Internet,并且只能从专用终结点访问。 如 aka.ms/azureattestation 中所述禁用公用网络访问属性。 此选项禁止访问 Azure IP 范围之外的任何公共地址空间,并拒绝与 IP 或基于虚拟网络的防火墙规则匹配的所有登录。 这样会降低数据泄露风险。 | Audit、Deny、Disabled | 1.0.0 |
Azure 证明提供程序应使用专用终结点 | 专用终结点提供了一种将 Azure 证明提供程序连接到 Azure 资源,而无需通过公共 Internet 发送流量的方法。 通过阻止公共访问,专用终结点有助于防范意外的匿名访问。 | AuditIfNotExists、Disabled | 1.0.0 |
自动管理
名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
---|---|---|---|
[预览版]:应在计算机上启用托管标识 | 由 Automanage 管理的资源应具有托管标识。 | Audit、Disabled | 1.0.0-preview |
[预览版]:Automanage 配置文件分配应为“符合” | 由 Automanage 管理的资源的状态应为 Conformant 或 ConformantCorrected。 | AuditIfNotExists、Disabled | 1.0.0-preview |
[预览版]:应在虚拟机上启用启动诊断 | Azure 虚拟机应已启用启动诊断。 | Audit、Disabled | 1.0.0-preview |
将虚拟机配置为加入 Azure Automanage | Azure Automanage 按照 Azure Microsoft 云采用框架中定义的最佳做法来注册、配置和监视虚拟机。 使用此策略将自动管理应用到所选范围。 | AuditIfNotExists、DeployIfNotExists、Disabled | 2.4.0 |
使用自定义配置文件将虚拟机配置为加入 Azure Automanage | Azure Automanage 按照 Azure Microsoft 云采用框架中定义的最佳做法来注册、配置和监视虚拟机。 使用此策略可将 Automanage 与你自己的自定义配置文件一起应用到所选范围。 | AuditIfNotExists、DeployIfNotExists、Disabled | 1.4.0 |
应为 Windows Server Azure Edition VM 启用热补丁 | 使用热补丁最大限度地减少重新启动并快速安装更新。 有关详细信息,请访问 https://docs.microsoft.com/azure/automanage/automanage-hotpatch | Audit、Deny、Disabled | 1.0.0 |
自动化
名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
---|---|---|---|
自动化帐户应具有托管标识 | 将托管标识用作通过 Runbook 向 Azure 资源进行身份验证的推荐方法。 用于身份验证的托管标识更安全,且消除了与在 Runbook 代码中使用 RunAs 帐户相关的管理开销。 | Audit、Disabled | 1.0.0 |
自动化帐户变量应加密 | 存储敏感数据时,请务必启用自动化帐户变量资产加密 | Audit、Deny、Disabled | 1.1.0 |
自动化帐户应禁用公用网络访问 | 禁用公用网络访问可确保资源不会在公共 Internet 上公开,从而提高了安全性。 可以改为通过创建专用终结点来限制自动化帐户资源的公开。 有关详细信息,请访问:https://docs.microsoft.com/azure/automation/how-to/private-link-security。 | Audit、Deny、Disabled | 1.0.0 |
Azure 自动化帐户应禁用本地身份验证方法 | 禁用本地身份验证方法可确保 Azure 自动化帐户仅将 Azure Active Directory 标识作为身份验证方法,从而提高安全性。 | Audit、Deny、Disabled | 1.0.0 |
Azure 自动化帐户应使用客户管理的密钥来加密静态数据 | 使用客户管理的密钥来管理 Azure 自动化帐户的静态加密。 默认情况下,使用服务管理的密钥对客户数据进行加密,但为了满足法规符合性标准,通常需要使用客户管理的密钥。 客户管理的密钥允许使用由你创建并拥有的 Azure Key Vault 密钥对数据进行加密。 你可以完全控制并负责关键生命周期,包括轮换和管理。 更多信息请访问 https://aka.ms/automation-cmk。 | Audit、Deny、Disabled | 1.0.0 |
配置 Azure 自动化帐户以禁用本地身份验证 | 禁用本地身份验证方法,使 Azure 自动化帐户仅将 Azure Active Directory 标识作为身份验证方法。 | 修改,已禁用 | 1.0.0 |
将 Azure 自动化帐户配置为禁用公用网络访问 | 禁用对 Azure 自动化帐户的公用网络访问,确保无法通过公共 Internet 访问该帐户。 此配置有助于这些帐户防范数据泄露风险。 可以改为通过创建专用终结点来限制自动化帐户资源的公开。 有关详细信息,请访问:https://aka.ms/privateendpoints。 | 修改,已禁用 | 1.0.0 |
为 Azure 自动化帐户配置专用 DNS 区域 | 使用专用 DNS 区域来替代专用终结点的 DNS 解析。 需要正确配置专用 DNS 区域,以便通过 Azure 专用链接来连接到 Azure 自动化帐户。 有关详细信息,请访问:https://aka.ms/privatednszone。 | DeployIfNotExists、Disabled | 1.0.0 |
在 Azure 自动化帐户上配置专用终结点连接 | 利用专用终结点连接,无需源或目标的公共 IP 地址,即可与 Azure 自动化帐户建立专用连接,从而实现安全通信。 若要详细了解 Azure 自动化中的专用终结点,请访问 https://docs.microsoft.com/azure/automation/how-to/private-link-security。 | DeployIfNotExists、Disabled | 1.0.0 |
应启用自动化帐户上的专用终结点连接 | 利用专用终结点连接,无需源或目标的公共 IP 地址,即可与自动化帐户建立专用连接,从而实现安全通信。 若要详细了解 Azure 自动化中的专用终结点,请访问 https://docs.microsoft.com/azure/automation/how-to/private-link-security | AuditIfNotExists、Disabled | 1.0.0 |
Azure Active Directory
名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
---|---|---|---|
Azure Active Directory 域服务托管域应使用仅限 TLS 1.2 模式 | 为托管域使用仅限 TLS 1.2 模式。 默认情况下,Azure AD 域服务允许使用 NTLM v1 和 TLS v1 等密码。 某些旧版应用程序可能需要这些密码,但这些密码视为弱密码,如果不需要,可以将其禁用。 如果启用仅限 TLS 1.2 模式,那么任何发出请求但未使用 TLS 1.2 的客户端都将失败。 更多信息请访问 https://docs.microsoft.com/azure/active-directory-domain-services/secure-your-domain。 | Audit、Deny、Disabled | 1.1.0 |
Azure AI 服务
名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
---|---|---|---|
Azure AI Services 资源应禁用密钥访问权限(禁用本地身份验证) | 建议禁用密钥访问(本地身份验证),以确保安全。 通常用于开发/测试的 Azure OpenAI Studio 需要密钥访问,如果禁用密钥访问,则会无法使用。 禁用后,Microsoft Entra ID 将成为唯一的访问方法,该方法允许采用最低权限原则和精细控制。 了解详细信息:https://aka.ms/AI/auth | Audit、Deny、Disabled | 1.1.0 |
Azure AI 服务资源应限制网络访问 | 通过限制网络访问,可以确保只有允许的网络才能访问该服务。 这可以通过配置网络规则来实现,从其确保只有允许的网络中的应用程序才可以访问 Azure AI 服务。 | Audit、Deny、Disabled | 3.2.0 |
Azure AI 服务资源应使用 Azure 专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台通过 Azure 主干网络处理使用者和服务之间的连接,可降低数据泄露风险。 有关专用链接的详细信息,请访问 https://aka.ms/AzurePrivateLink/Overview | Audit、Disabled | 1.0.0 |
配置 Azure AI 服务资源以禁用本地密钥访问(禁用本地身份验证) | 建议禁用密钥访问(本地身份验证),以确保安全。 通常用于开发/测试的 Azure OpenAI Studio 需要密钥访问,如果禁用密钥访问,则会无法使用。 禁用后,Microsoft Entra ID 将成为唯一的访问方法,该方法允许采用最低权限原则和精细控制。 了解详细信息:https://aka.ms/AI/auth | DeployIfNotExists、Disabled | 1.0.0 |
配置 Azure AI 服务资源以禁用本地密钥访问(禁用本地身份验证) | 建议禁用密钥访问(本地身份验证),以确保安全。 通常用于开发/测试的 Azure OpenAI Studio 需要密钥访问,如果禁用密钥访问,则会无法使用。 禁用后,Microsoft Entra ID 将成为唯一的访问方法,该方法允许采用最低权限原则和精细控制。 了解详细信息:https://aka.ms/AI/auth | DeployIfNotExists、Disabled | 1.0.0 |
应启用 Azure AI 服务资源中的诊断日志 | 为 Azure AI 服务资源启用日志。 这样便可以在发生安全事件或网络遭泄露时,重新创建活动线索用于调查目的 | AuditIfNotExists、Disabled | 1.0.0 |
Azure Arc
名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
---|---|---|---|
[预览版]:拒绝扩展安全更新 (ESU) 许可证创建或修改。 | 此策略使你能够限制 Windows Server 2012 Arc 计算机的 ESU 许可证的创建或修改。 有关定价的更多详细信息,请访问 https://aka.ms/ArcWS2012ESUPricing | 拒绝、已禁用 | 1.0.0-preview |
[预览版]:启用扩展安全更新 (ESU) 许可证,以在 Windows 2012 计算机的支持生命周期结束后使其保持受保护状态。 | 启用扩展安全更新 (ESU) 许可证,甚至可以在 Windows 2012 计算机的支持生命周期结束后使其保持受保护状态。 若要了解如何准备通过 Azure Arc 为 Windows Server 2012 提供扩展安全更新,请访问 https://learn.microsoft.com/en-us/azure/azure-arc/servers/prepare-extended-security-updates。 有关定价的更多详细信息,请访问 https://aka.ms/ArcWS2012ESUPricing | DeployIfNotExists、Disabled | 1.0.0-preview |
应使用专用终结点配置 Azure Arc 专用链接范围 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到 Azure Arc 专用链接范围,降低数据泄露风险。 有关专用链接的详细信息,请访问:https://aka.ms/arc/privatelink。 | Audit、Disabled | 1.0.0 |
Azure Arc 专用链接范围应禁用公共网络访问权限 | 禁用公共网络访问权限通过确保 Azure Arc 资源无法通过公共 Internet 连接来提高安全性。 创建专用终结点可以限制 Azure Arc 资源的公开。 有关详细信息,请访问:https://aka.ms/arc/privatelink。 | Audit、Deny、Disabled | 1.0.0 |
应使用 Azure Arc 专用链接范围配置已启用 Azure Arc 的 Kubernetes 群集 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将已启用 Azure Arc 的服务器映射到配置了专用终结点的 Azure Arc 专用链接范围,降低数据泄露风险。 有关专用链接的详细信息,请访问:https://aka.ms/arc/privatelink。 | Audit、Deny、Disabled | 1.0.0 |
应为已启用 Azure Arc 的服务器配置 Azure Arc 专用链接范围 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将已启用 Azure Arc 的服务器映射到配置了专用终结点的 Azure Arc 专用链接范围,降低数据泄露风险。 有关专用链接的详细信息,请访问:https://aka.ms/arc/privatelink。 | Audit、Deny、Disabled | 1.0.0 |
配置 Azure Arc 专用链接范围以禁用公共网络访问权限 | 禁用 Azure Arc 专用链接范围的公共网络访问权限,以便关联的 Azure Arc 资源无法通过公共 Internet 连接到 Azure Arc 服务。 这可以降低数据泄露风险。 有关详细信息,请访问:https://aka.ms/arc/privatelink。 | 修改,已禁用 | 1.0.0 |
将 Azure Arc 专用链接范围配置为使用专用 DNS 区域 | 使用专用 DNS 区域来替代专用终结点的 DNS 解析。 专用 DNS 区域会链接到虚拟网络,以解析到 Azure Arc 专用链接范围。 有关详细信息,请访问:https://aka.ms/arc/privatelink。 | DeployIfNotExists、Disabled | 1.2.0 |
使用专用终结点配置 Azure Arc 专用链接范围 | 在没有公共 IP 地址的情况下,专用终结点可在源或目标位置将虚拟网络连接到 Azure 服务。 通过将专用终结点映射到 Azure Arc 专用链接范围,可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://aka.ms/arc/privatelink。 | DeployIfNotExists、Disabled | 2.0.0 |
将已启用 Azure Arc 的 Kubernetes 群集配置为使用 Azure Arc 专用链接范围 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将已启用 Azure Arc 的服务器映射到配置了专用终结点的 Azure Arc 专用链接范围,降低数据泄露风险。 有关专用链接的详细信息,请访问:https://aka.ms/arc/privatelink。 | 修改,已禁用 | 1.0.0 |
将已启用 Azure Arc 的服务器配置为使用 Azure Arc 专用链接范围 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将已启用 Azure Arc 的服务器映射到配置了专用终结点的 Azure Arc 专用链接范围,降低数据泄露风险。 有关专用链接的详细信息,请访问:https://aka.ms/arc/privatelink。 | 修改,已禁用 | 1.0.0 |
Azure 数据资源管理器
名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
---|---|---|---|
应禁用 Azure 数据资源管理器上的所有数据库管理员 | 禁用所有数据库管理员角色以限制授予高特权/管理用户角色。 | Audit、Deny、Disabled | 1.0.0 |
Azure 数据资源管理器群集应使用专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到 Azure 数据资源管理器群集,可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://learn.microsoft.com/en-us/azure/data-explorer/security-network-private-endpoint。 | Audit、Disabled | 1.0.0 |
Azure 数据资源管理器静态加密应使用客户管理的密钥 | 对 Azure 数据资源管理器群集使用客户管理的密钥启用静态加密,可提供针对静态加密所使用密钥的额外控制。 此功能通常适用于具有特殊合规性要求并且需要使用 Key Vault 管理密钥的客户。 | Audit、Deny、Disabled | 1.0.0 |
Azure 数据资源管理器应使用支持专用链接的 SKU | 使用受支持的 SKU 时,Azure 专用链接可让你在源或目标位置没有公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到应用,可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://aka.ms/private-link。 | Audit、Deny、Disabled | 1.0.0 |
使用专用终结点配置 Azure 数据资源管理器群集 | 在没有公共 IP 地址的情况下,专用终结点可在源或目标位置将虚拟网络连接到 Azure 服务。 将专用终结点映射到 Azure 数据资源管理器可降低数据泄露风险。 有关详细信息,请参阅 [ServiceSpecificAKA.ms]。 | DeployIfNotExists、Disabled | 1.0.0 |
将 Azure 数据资源管理器配置为禁用公用网络访问 | “禁用公用网络访问”属性会关闭公共连接,这样就只能从专用终结点访问 Azure 数据资源管理器。 此配置禁用所有 Azure 数据资源管理器群集的公用网络访问。 | 修改,已禁用 | 1.0.0 |
应为 Azure 数据资源管理器启用磁盘加密 | 启用磁盘加密有助于保护数据,使组织能够信守在安全性与合规性方面作出的承诺。 | Audit、Deny、Disabled | 2.0.0 |
应为 Azure 数据资源管理器启用双重加密 | 启用双重加密有助于保护数据,使组织能够信守在安全性与合规性方面作出的承诺。 启用双重加密后,将使用两种不同的加密算法和两个不同的密钥对存储帐户中的数据进行两次加密,一次在服务级别,一次在基础结构级别。 | Audit、Deny、Disabled | 2.0.0 |
应在 Azure 数据资源管理器上禁用公用网络访问 | 禁用公用网络访问属性可确保只能从专用终结点访问 Azure 数据资源管理器,从而提高安全性。 此配置拒绝所有符合基于 IP 或虚拟网络的防火墙规则的登录。 | Audit、Deny、Disabled | 1.0.0 |
应为 Azure 数据资源管理器启用虚拟网络注入 | 通过虚拟网络注入保护网络边界,借助该虚拟网络注入,可以强制实施网络安全组规则,在本地连接并使用服务终结点保护数据连接源。 | Audit、Deny、Disabled | 1.0.0 |
Azure Databricks
名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
---|---|---|---|
Azure Databricks 群集应禁用公共 IP | 在 Azure Databricks 工作区中禁用群集的公共 IP 可确保群集不会在公共 Internet 上公开,从而提高安全性。 有关详细信息,请访问:https://learn.microsoft.com/azure/databricks/security/secure-cluster-connectivity。 | Audit、Deny、Disabled | 1.0.1 |
Azure Databricks 工作区应位于虚拟网络中 | Azure 虚拟网络增强了 Azure Databricks 工作区的安全性和隔离性,并提供子网、访问控制策略和其他功能来进一步限制访问。 有关详细信息,请访问:https://docs.microsoft.com/azure/databricks/administration-guide/cloud-configurations/azure/vnet-inject。 | Audit、Deny、Disabled | 1.0.2 |
Azure Databricks 工作区应该是高级 SKU,支持专用链接、客户管理的密钥加密等功能 | 仅允许具有你的组织可以部署的高级 SKU 的 Databricks 工作区来支持专用链接、客户管理的密钥加密等功能。 有关详细信息,请访问:https://aka.ms/adbpe。 | Audit、Deny、Disabled | 1.0.1 |
Azure Databricks 工作区应禁用公用网络访问 | 禁用公用网络访问可确保资源不会在公共 Internet 上公开,从而提高了安全性。 你可以通过创建专用终结点来控制资源的公开。 有关详细信息,请访问:https://learn.microsoft.com/azure/databricks/administration-guide/cloud-configurations/azure/private-link。 | Audit、Deny、Disabled | 1.0.1 |
Azure Databricks 工作区应使用专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到 Azure Databricks 工作区,可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://aka.ms/adbpe。 | Audit、Disabled | 1.0.2 |
将 Azure Databricks 工作区配置为使用专用 DNS 区域 | 使用专用 DNS 区域来替代专用终结点的 DNS 解析。 专用 DNS 区域会链接到虚拟网络,以解析到 Azure Databricks 工作区。 有关详细信息,请访问:https://aka.ms/adbpe。 | DeployIfNotExists、Disabled | 1.0.1 |
为 Azure Databricks 工作区配置专用终结点 | 在没有公共 IP 地址的情况下,专用终结点可在源或目标位置将虚拟网络连接到 Azure 服务。 通过将专用终结点映射到 Azure Databricks 工作区,可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://aka.ms/adbpe。 | DeployIfNotExists、Disabled | 1.0.2 |
将 Azure Databricks 工作区的诊断设置配置到 Log Analytics 工作区 | 在创建或更新缺少此诊断设置的任何 Azure Databricks 工作区时,请为 Azure Databricks 工作区部署诊断设置,以将资源日志流式传输到 Log Analytics 工作区。 | DeployIfNotExists、Disabled | 1.0.1 |
应启用 Azure Databricks 工作区中的资源日志 | 发生安全事件或网络遭到入侵时,通过资源日志可重新创建用于调查的活动线索。 | AuditIfNotExists、Disabled | 1.0.1 |
Azure Edge Hardware Center
名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
---|---|---|---|
Azure Edge Hardware Center 设备应启用双重加密支持 | 确保从 Azure Edge Hardware Center 订购的设备启用了双重加密支持,以保护设备上的静态数据。 此选项将添加第二层数据加密。 | Audit、Deny、Disabled | 2.0.0 |
Azure 负载测试
名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
---|---|---|---|
[预览]:应仅针对虚拟网络中的专用终结点运行使用 Azure 负载测试的负载测试。 | Azure 负载测试引擎实例应使用虚拟网络注入实现以下目的:1. 将 Azure 负载测试引擎隔离到虚拟网络。 2. 使 Azure 负载测试引擎能够与本地数据中心内的系统和/或其他虚拟网络中的 Azure 服务内的系统进行交互。 3. 让客户能够控制 Azure 负载测试引擎的入站和出站网络通信。 | Audit、Deny、Disabled | 1.0.0-preview |
Azure 负载测试资源应使用客户管理的密钥来加密静态数据 | 使用客户管理的密钥 (CMK) 来管理 Azure 负载测试资源的静态加密。 默认情况下,加密使用服务托管密钥完成,客户管理的密钥允许使用由你创建并拥有的 Azure Key Vault 密钥对数据进行加密。 你可以完全控制并负责关键生命周期,包括轮换和管理。 更多信息请访问 https://docs.microsoft.com/azure/load-testing/how-to-configure-customer-managed-keys?tabs=portal。 | Audit、Deny、Disabled | 1.0.0 |
Azure Purview
名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
---|---|---|---|
Azure Purview 帐户应使用专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到 Azure Purview 帐户(而不是整个服务),还可以防范数据泄露风险。 有关详细信息,请访问:https://aka.ms/purview-private-link。 | Audit、Disabled | 1.0.0 |
Azure Stack Edge
名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
---|---|---|---|
Azure Stack Edge 设备应使用双重加密 | 若要在设备上保护静态数据,请确保静态数据已双重加密,已控制对数据的访问,并在设备停用后从数据磁盘安全地清除数据。 双重加密使用两层加密:数据卷上的 BitLocker XTS-AES 256 位加密和硬盘驱动器上的内置加密。 有关详细信息,请参阅特定 Stack Edge 设备的安全概述文档。 | audit、Audit、deny、Deny、disabled、Disabled | 1.1.0 |
Azure 更新管理器
名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
---|---|---|---|
[预览]:设置在 Azure 虚拟机上计划定期更新的先决条件。 | 此策略通过将补丁业务流程配置为“客户管理的计划”来设置在 Azure 更新管理器上计划定期更新所需的先决条件。 此更改会自动将补丁模式设置为“AutomaticByPlatform”,并在 Azure VM 上将“BypassPlatformSafetyChecksOnUserSchedule”设置为“True”。 先决条件不适用于已启用 Arc 的服务器。 了解详细信息 - https://learn.microsoft.com/en-us/azure/update-manager/dynamic-scope-overview?tabs=avms#prerequisites | DeployIfNotExists、Disabled | 1.1.0-preview |
配置定期检查,以确认已启用 Arc 的服务器上缺少的系统更新 | 为已启用 Azure Arc 的服务器上的 OS 更新配置自动评估(每 24 小时)。 你可以根据计算机订阅、资源组、位置或标记来控制分配范围。 对于 Windows 计算机,请参阅 https://aka.ms/computevm-windowspatchassessmentmode了解详细信息;对于 Linux 计算机,请参阅 https://aka.ms/computevm-linuxpatchassessmentmode。 | modify | 2.3.0 |
配置定期检查,以确认 Azure 虚拟机上缺少的系统更新 | 为原生 Azure 虚拟机上的操作系统更新配置自动评估(每 24 小时)。 你可以根据计算机订阅、资源组、位置或标记来控制分配范围。 对于 Windows 计算机,请参阅 https://aka.ms/computevm-windowspatchassessmentmode了解详细信息;对于 Linux 计算机,请参阅 https://aka.ms/computevm-linuxpatchassessmentmode。 | modify | 4.8.0 |
计算机应配置为定期检查,以确认缺少的系统更新 | 为确保每 24 小时自动触发对缺失系统更新的定期评估,AssessmentMode 属性应设置为“AutomaticByPlatform”。 了解有关 AssessmentMode 属性的详细信息,对于 Windows 计算机,请参阅 https://aka.ms/computevm-windowspatchassessmentmode;对于 Linux 计算机,请参阅 https://aka.ms/computevm-linuxpatchassessmentmode。 | Audit、Deny、Disabled | 3.7.0 |
使用 Azure 更新管理器计划定期更新 | 可以使用 Azure 中的更新管理器来保存定期部署计划,以在 Azure、本地环境以及使用已启用 Azure Arc 的服务器进行连接的其他云环境中安装适用于 Windows Server 和 Linux 计算机的操作系统更新。 此策略还会将 Azure 虚拟机的修补模式更改为“AutomaticByPlatform”。 查看更多:https://aka.ms/umc-scheduled-patching | DeployIfNotExists、Disabled | 3.12.0 |
备份
名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
---|---|---|---|
[预览]:应在 AKS 群集中安装 Azure 备份扩展 | 确保在 AKS 群集中保护安装备份扩展以利用 Azure 备份。 适用于 AKS 的 Azure 备份是适用于 AKS 群集的安全云本机数据保护解决方案 | AuditIfNotExists、Disabled | 1.0.0-preview |
[预览]:应为 AKS 群集启用 Azure 备份 | 通过启用 Azure 备份确保 AKS 群集的保护。 适用于 AKS 的 Azure 备份是适用于 AKS 群集的安全云本机数据保护解决方案。 | AuditIfNotExists、Disabled | 1.0.0-preview |
[预览]:应为存储帐户中的 Blob 启用 Azure 备份 | 通过启用 Azure 备份来确保对存储帐户的保护。 Azure 备份是一种安全且经济高效的 Azure 数据保护解决方案。 | AuditIfNotExists、Disabled | 1.0.0-preview |
[预览]:应为托管磁盘启用 Azure 备份 | 通过启用 Azure 备份来确保托管磁盘的保护。 Azure 备份是一种安全且经济高效的 Azure 数据保护解决方案。 | AuditIfNotExists、Disabled | 1.0.0-preview |
[预览版]:Azure 备份保管库应使用客户管理的密钥来加密备份数据。 此外,还可以选择强制实施基础结构加密。 | 如果为范围内的备份保管库启用了加密设置,则此策略将遵循“效果”。 此外,还可以选择检查备份保管库是否还启用了基础结构加密。 更多信息请访问 https://aka.ms/az-backup-vault-encryption-at-rest-with-cmk。 请注意,使用“拒绝”效果时,需要对现有备份保管库启用加密设置,以便允许对保管库执行其他更新操作。 | Audit、Deny、Disabled | 1.0.0-preview |
[预览版]:Microsoft Azure 恢复服务保管库应禁用公用网络访问 | 禁用公用网络访问可确保恢复服务保管库不会在公共 Internet 上公开,从而提高安全性。 创建专用终结点可以限制恢复服务保管库的公开。 有关详细信息,请访问:https://aka.ms/AB-PublicNetworkAccess-Deny。 | Audit、Deny、Disabled | 1.0.0-preview |
[预览版]:Azure 恢复服务保管库应使用客户管理的密钥来加密备份数据 | 使用客户管理的密钥来管理备份数据的静态加密。 默认情况下,使用服务管理的密钥对客户数据进行加密,但为了满足法规符合性标准,通常需要使用客户管理的密钥。 客户管理的密钥允许使用由你创建并拥有的 Azure Key Vault 密钥对数据进行加密。 你可以完全控制并负责关键生命周期,包括轮换和管理。 更多信息请访问 https://aka.ms/AB-CmkEncryption。 | Audit、Deny、Disabled | 1.0.0-preview |
[预览版]:Azure 恢复服务保管库应使用专用链接进行备份 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到 Azure 恢复服务保管库,可以减少数据泄漏风险。 有关专用链接的详细信息,请访问:https://aka.ms/AB-PrivateEndpoints。 | Audit、Disabled | 2.0.0-preview |
[预览版]:配置 Azure 恢复服务保管库以禁用公用网络访问 | 禁用对恢复服务保管库的公用网络访问,确保无法通过公共 Internet 对其进行访问。 这样可以减少数据泄露风险。 有关详细信息,请访问:https://aka.ms/AB-PublicNetworkAccess-Deny。 | 修改,已禁用 | 1.0.0-preview |
[预览]:将具有给定标记的 Azure 磁盘(托管磁盘)配置为备份到同一区域中的现有备份保管库 | 对包含中央备份保管库的给定标记的所有 Azure 磁盘(托管磁盘)强制执行备份。 有关详细信息,请访问 https://aka.ms/AB-DiskBackupAzPolicies | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0-preview |
[预览]:将没有给定标记的 Azure 磁盘(托管磁盘)配置为备份到同一区域中的现有备份保管库 | 对不包含中央备份保管库的给定标记的所有 Azure 磁盘(托管磁盘)强制执行备份。 有关详细信息,请访问 https://aka.ms/AB-DiskBackupAzPolicies | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0-preview |
[预览]:将具有给定标记的 Blob 存储帐户配置为备份到同一区域中的现有备份保管库 | 将包含给定标记的所有存储帐户上的 Blob 强制备份到中心备份保管库。 这有助于大规模管理包含在多个存储帐户中的 Blob 的备份。 如需更多详细信息,请参阅 https://aka.ms/AB-BlobBackupAzPolicies | DeployIfNotExists、AuditIfNotExists、Disabled | 2.0.0-preview |
[预览]:为不包含给定标记的所有存储帐户配置 Blob 备份到同一区域中的备份保管库 | 对不包含给定标记的所有存储帐户上的 Blob 强制备份到中心备份保管库。 这有助于大规模管理包含在多个存储帐户中的 Blob 的备份。 如需更多详细信息,请参阅 https://aka.ms/AB-BlobBackupAzPolicies | DeployIfNotExists、AuditIfNotExists、Disabled | 2.0.0-preview |
预览版:配置恢复服务保管库以使用专用 DNS 区域进行备份 | 使用专用 DNS 区域来替代专用终结点的 DNS 解析。 专用 DNS 区域会链接到虚拟网络,以解析到恢复服务保管库。 有关详细信息,请访问:https://aka.ms/AB-PrivateEndpoints。 | DeployIfNotExists、Disabled | 1.0.1-preview |
[预览]:配置恢复服务保管库以使用专用终结点进行备份 | 在没有公共 IP 地址的情况下,专用终结点可在源或目标位置将虚拟网络连接到 Azure 服务。 通过将专用终结点映射到恢复服务保管库,可以降低数据泄露风险。 请注意,保管库需要满足某些先决条件,才有资格进行专用终结点配置。 了解详细信息:https://go.microsoft.com/fwlink/?linkid=2187162。 | DeployIfNotExists、Disabled | 1.0.0-preview |
[预览版]:禁用 Azure 恢复服务保管库的跨订阅还原 | 禁用或永久禁用恢复服务保管库的跨订阅还原,从而使还原目标无法位于与保管库订阅不同的订阅中。 有关详细信息,请访问:https://aka.ms/csrenhancements。 | 修改,已禁用 | 1.1.0-preview |
[预览版]:禁用备份保管库的跨订阅还原 | 禁用或永久禁用备份保管库的跨订阅还原,从而使还原目标无法位于与保管库订阅不同的订阅中。 有关详细信息,请访问:https://aka.ms/csrstatechange。 | 修改,已禁用 | 1.1.0-preview |
[预览版]:不允许创建所选存储冗余的恢复服务保管库。 | 目前可以使用三种存储冗余选项(即本地冗余存储、区域冗余存储和异地冗余存储)中的任何一种来创建恢复服务保管库。 如果组织中的策略要求你阻止创建属于特定冗余类型的保管库,则可以使用此 Azure 策略实现相同的目的。 | 拒绝、已禁用 | 1.0.0-preview |
[预览版]:备份保管库必须启用不可变性 | 此策略会审核范围内的备份保管库是否启用了不可变保管库属性。 有助于防止备份数据在预期过期前被删除。 更多信息请访问 https://aka.ms/AB-ImmutableVaults。 | Audit、Disabled | 1.0.1-preview |
[预览]:恢复服务库必须启用不可变性 | 此策略会审核范围内的恢复服务库是否启用了不可变保管库属性。 有助于防止备份数据在预期过期前被删除。 更多信息请访问 https://aka.ms/AB-ImmutableVaults。 | Audit、Disabled | 1.0.1-preview |
[预览]:在具有给定标记的 AKS 群集(托管群集)中安装 Azure 备份扩展。 | 安装 Azure 备份扩展是保护 AKS 群集的先决条件。 强制在具有给定标记的所有 AKS 群集上安装备份扩展。 这样做有助于大规模管理 AKS 群集的备份。 | AuditIfNotExists、DeployIfNotExists、Disabled | 1.0.0-preview |
[预览]:在没有给定标记的 AKS 群集(托管群集)中安装 Azure 备份扩展。 | 安装 Azure 备份扩展是保护 AKS 群集的先决条件。 在没有特定标记值的所有 AKS 群集上强制安装备份扩展。 这样做有助于大规模管理 AKS 群集的备份。 | AuditIfNotExists、DeployIfNotExists、Disabled | 1.0.0-preview |
[预览版]:必须为备份保管库启用多用户授权 (MUA)。 | 此策略审核是否为备份保管库启用了多用户授权 (MUA)。 MUA 通过为关键操作添加额外的保护层来帮助保护备份保管库。 有关详细信息,请访问https://aka.ms/mua-for-bv。 | Audit、Disabled | 1.0.0-preview |
[预览版]:必须为恢复服务保管库启用多用户授权 (MUA)。 | 此策略审核是否为恢复服务保管库启用了多用户授权 (MUA)。 MUA 通过为关键操作添加额外的保护层来帮助保护恢复服务保管库。 有关详细信息,请访问https://aka.ms/MUAforRSV。 | Audit、Disabled | 1.0.0-preview |
[预览版]:必须为恢复服务保管库启用软删除。 | 此策略审核是否为范围内的恢复服务保管库启用了软删除。 软删除可以帮助你恢复数据,即使数据已被删除。 更多信息请访问 https://aka.ms/AB-SoftDelete。 | Audit、Disabled | 1.0.0-preview |
[预览版]:备份保管库应启用软删除 | 此策略会审核范围内的备份保管库是否启用了软删除。 软删除可帮助恢复已经被删除的数据。 有关详细信息,请访问 https://aka.ms/AB-SoftDelete | Audit、Disabled | 1.0.0-preview |
应为虚拟机启用 Azure 备份 | 启用 Azure 备份,确保对 Azure 虚拟机提供保护。 Azure 备份是一种安全且经济高效的 Azure 数据保护解决方案。 | AuditIfNotExists、Disabled | 3.0.0 |
配置带给定标记的虚拟机上的备份并备份到包含默认策略的新恢复服务保管库 | 通过在与虚拟机相同的位置和资源组中部署恢复服务保管库,为所有虚拟机强制实施备份。 当组织中的不同应用程序团队拥有单独的资源组并且需要管理自己的备份和还原时,这样做非常有用。 可以选择包括包含指定标记的虚拟机,以控制分配范围。 请参阅 https://aka.ms/AzureVMAppCentricBackupIncludeTag。 | auditIfNotExists、AuditIfNotExists、deployIfNotExists、DeployIfNotExists、disabled、Disabled | 9.4.0 |
配置带给定标记的虚拟机上的备份并备份到同一位置中的现有恢复服务保管库 | 通过将虚拟机备份到与虚拟机相同的位置和订阅中的现有中央恢复服务保管库,为所有虚拟机强制实施备份。 当组织中的中央团队管理订阅中所有资源的备份时,这样做非常有用。 可以选择包括包含指定标记的虚拟机,以控制分配范围。 请参阅 https://aka.ms/AzureVMCentralBackupIncludeTag。 | auditIfNotExists、AuditIfNotExists、deployIfNotExists、DeployIfNotExists、disabled、Disabled | 9.4.0 |
配置不带给定标记的虚拟机上的备份并备份到包含默认策略的新恢复服务保管库 | 通过在与虚拟机相同的位置和资源组中部署恢复服务保管库,为所有虚拟机强制实施备份。 当组织中的不同应用程序团队拥有单独的资源组并且需要管理自己的备份和还原时,这样做非常有用。 可以选择排除包含指定标记的虚拟机,以控制分配范围。 请参阅 https://aka.ms/AzureVMAppCentricBackupExcludeTag。 | auditIfNotExists、AuditIfNotExists、deployIfNotExists、DeployIfNotExists、disabled、Disabled | 9.4.0 |
配置将不带给定标记的虚拟机备份到同一位置中的现有恢复服务保管库 | 通过将虚拟机备份到与虚拟机相同的位置和订阅中的现有中央恢复服务保管库,为所有虚拟机强制实施备份。 当组织中的中央团队管理订阅中所有资源的备份时,这样做非常有用。 可以选择排除包含指定标记的虚拟机,以控制分配范围。 请参阅 https://aka.ms/AzureVMCentralBackupExcludeTag。 | auditIfNotExists、AuditIfNotExists、deployIfNotExists、DeployIfNotExists、disabled、Disabled | 9.4.0 |
将恢复服务保管库的诊断设置部署到资源专有类别的 Log Analytics 工作区。 | 部署恢复服务保管库的诊断设置,以便将数据流式传输到资源专有类别的 Log Analytics 工作区。 如果未启用任何资源专有类别,则会新建诊断设置。 | deployIfNotExists | 1.0.2 |
Batch
名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
---|---|---|---|
Azure Batch 帐户应使用客户管理的密钥来加密数据 | 使用客户管理的密钥来管理 Batch 帐户数据的静态加密。 默认情况下,使用服务管理的密钥对客户数据进行加密,但为了满足法规符合性标准,通常需要使用客户管理的密钥。 客户管理的密钥允许使用由你创建并拥有的 Azure Key Vault 密钥对数据进行加密。 你可以完全控制并负责关键生命周期,包括轮换和管理。 更多信息请访问 https://aka.ms/Batch-CMK。 | Audit、Deny、Disabled | 1.0.1 |
Azure Batch 池应启用磁盘加密 | 启用 Azure Batch 磁盘加密可确保始终在 Azure Batch 计算节点上对数据进行静态加密。 有关 Batch 中的磁盘加密的详细信息,请访问 https://docs.microsoft.com/azure/batch/disk-encryption。 | 审核、已禁用、拒绝 | 1.0.0 |
Batch 帐户应禁用本地身份验证方法 | 禁用本地身份验证方法可确保 Batch 帐户需要专用于身份验证的 Azure Active Directory 标识,从而提高安全性。 有关详细信息,请访问:https://aka.ms/batch/auth。 | Audit、Deny、Disabled | 1.0.0 |
配置 Batch 帐户以禁用本地身份验证 | 禁用本地身份验证方法,使 Batch 帐户需要专门针对身份验证的 Azure Active Directory 标识。 有关详细信息,请访问:https://aka.ms/batch/auth。 | 修改,已禁用 | 1.0.0 |
将批处理帐户配置为禁用公用网络访问 | 禁用批处理帐户上的公用网络访问可确保只能从专用终结点访问批处理帐户,从而提高安全性。 如需深入了解有关公用网络访问的信息,请访问 https://docs.microsoft.com/azure/batch/private-connectivity。 | 修改,已禁用 | 1.0.0 |
为 Batch 帐户配置专用终结点 | 专用终结点可在源或目标位置没有公共 IP 地址的情况下将虚拟网络连接到 Azure 服务。 通过将专用终结点映射到 Batch 帐户,可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://docs.microsoft.com/azure/batch/private-connectivity。 | DeployIfNotExists、Disabled | 1.0.0 |
部署 - 为连接到 Batch 帐户的专用终结点配置专用 DNS 区域 | 可以通过专用 DNS 记录建立到专用终结点的专用连接。 利用专用终结点连接,无需源或目标的公共 IP 地址,即可与 Batch 帐户建立专用连接,从而实现安全通信。 有关 Batch 中专用终结点和 DNS 区域的详细信息,请参阅 https://docs.microsoft.com/azure/batch/private-connectivity。 | DeployIfNotExists、Disabled | 1.0.0 |
应针对 Batch 帐户配置指标警报规则 | 审核是否已针对 Batch 帐户配置指标警报规则,以启用所需指标 | AuditIfNotExists、Disabled | 1.0.0 |
应启用 Batch 帐户上的专用终结点连接 | 利用专用终结点连接,无需源或目标的公共 IP 地址,即可与 Batch 帐户建立专用连接,从而实现安全通信。 若要详细了解 Batch 中的专用终结点,请访问 https://docs.microsoft.com/azure/batch/private-connectivity。 | AuditIfNotExists、Disabled | 1.0.0 |
应对批处理帐户禁用公用网络访问 | 禁用批处理帐户上的公用网络访问可确保只能从专用终结点访问批处理帐户,从而提高安全性。 如需深入了解有关公用网络访问的信息,请访问 https://docs.microsoft.com/azure/batch/private-connectivity。 | Audit、Deny、Disabled | 1.0.0 |
应启用 Batch 帐户中的资源日志 | 对启用资源日志进行审核。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的 | AuditIfNotExists、Disabled | 5.0.0 |
机器人服务
名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
---|---|---|---|
机器人服务终结点应是有效的 HTTPS URI | 传输过程中数据可能会被篡改。 存在一些协议提供加密,可解决滥用和篡改问题。 若要确保机器人仅通过加密通道进行通信,请将终结点设置为有效的 HTTPS URI。 这样可确保使用 HTTPS 协议对传输中的数据进行加密,并且这通常也是符合法规或行业标准的要求。 请访问:https://docs.microsoft.com/azure/bot-service/bot-builder-security-guidelines。 | 审核、审核、拒绝、拒绝、禁用、禁用 | 1.1.0 |
机器人服务应使用客户管理的密钥进行加密 | Azure 机器人服务自动加密你的资源,以保护数据并实现组织安全性和合规性承诺。 默认使用 Microsoft 管理的加密密钥。 为了能够更灵活地管理密钥或控制对订阅的访问,请选择“客户管理的密钥”(亦称为“创建自己的密钥 (BYOK)”)。 详细了解 Azure 机器人服务加密:https://docs.microsoft.com/azure/bot-service/bot-service-encryption。 | audit、Audit、deny、Deny、disabled、Disabled | 1.1.0 |
机器人服务应启用隔离模式 | 机器人应设置为“仅隔离”模式。 此设置会配置需要禁用公共 Internet 流量的机器人服务通道。 | 审核、审核、拒绝、拒绝、禁用、禁用 | 2.1.0 |
机器人服务应已禁用本地身份验证方法 | 禁用本地身份验证方法可确保机器人仅将 AAD 专用于身份验证,从而提高安全性。 | Audit、Deny、Disabled | 1.0.0 |
机器人服务应禁用公用网络访问 | 机器人应设置为“仅隔离”模式。 此设置会配置需要禁用公共 Internet 流量的机器人服务通道。 | Audit、Deny、Disabled | 1.0.0 |
BotService 资源应使用专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 将专用终结点映射到 BotService 资源,可以降低数据泄露风险。 | Audit、Disabled | 1.0.0 |
将 BotService 资源配置为使用专用 DNS 区域 | 使用专用 DNS 区域来替代专用终结点的 DNS 解析。 专用 DNS 区域会链接到虚拟网络,以解析到 BotService 相关资源。 有关详细信息,请访问:https://aka.ms/privatednszone。 | DeployIfNotExists、Disabled | 1.0.0 |
使用专用终结点配置 BotService 资源 | 专用终结点可在源或目标位置没有公共 IP 地址的情况下将虚拟网络连接到 Azure 服务。 将专用终结点映射到 BotService 资源,可以降低数据泄露风险。 | DeployIfNotExists、Disabled | 1.0.0 |
缓存
名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
---|---|---|---|
Azure Cache for Redis Enterprise 应使用客户管理的密钥来加密磁盘数据 | 使用客户管理的密钥 (CMK) 来管理磁盘上数据的静态加密。 默认情况下,客户数据是使用平台管理的密钥 (PMK) 进行加密的,但为了满足法规合规性标准,通常需要使用客户管理的密钥。 客户管理的密钥允许使用由你创建并拥有的 Azure Key Vault 密钥对数据进行加密。 你可以完全控制并负责关键生命周期,包括轮换和管理。 更多信息请访问 https://aka.ms/RedisCMK。 | Audit、Deny、Disabled | 1.0.0 |
Azure Cache for Redis Enterprise 应使用专用链接 | 通过专用终结点,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 通过将专用终结点映射到 Azure Cache for Redis Enterprise 实例,可以降低数据泄露风险。 有关详细信息,请访问:https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link。 | AuditIfNotExists、Disabled | 1.0.0 |
Azure Cache for Redis 应禁用公用网络访问 | 禁用公用网络访问可确保 Azure Cache for Redis 不会在公共 Internet 上公开,从而提高安全性。 可以改为通过创建专用终结点来限制 Azure Cache for Redis 的公开。 有关详细信息,请访问:https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link。 | Audit、Deny、Disabled | 1.0.0 |
Azure Cache for Redis 不应使用访问密钥进行身份验证 | 不使用访问密钥等本地身份验证方法而是使用 Microsoft Entra ID(建议)等更安全的替代方法可以提高 Azure Cache for Redis 的安全性。 在 aka.ms/redis/disableAccessKeyAuthentication 中了解详细信息 | Audit、Deny、Disabled | 1.0.0 |
Azure Cache for Redis 应使用专用链接 | 通过专用终结点,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 通过将专用终结点映射到 Azure Cache for Redis 实例,可以降低数据泄露风险。 有关详细信息,请访问:https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link。 | AuditIfNotExists、Disabled | 1.0.0 |
将 Azure Cache for Redis Enterprise 配置为使用专用 DNS 区域 | 使用专用 DNS 区域来替代专用终结点的 DNS 解析。 专用 DNS 区域可链接到你的虚拟网络,以解析到 Azure Cache for Redis Enterprise。 有关详细信息,请访问:https://aka.ms/privatednszone。 | DeployIfNotExists、Disabled | 1.0.0 |
为 Azure Cache for Redis Enterprise 配置专用终结点 | 专用终结点可让你在源或目标位置没有公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 通过将专用终结点映射到 Azure Cache for Redis Enterprise 资源,可以降低数据泄露风险。 有关详细信息,请访问:https://aka.ms/redis/privateendpoint。 | DeployIfNotExists、Disabled | 1.1.0 |
将 Azure Cache for Redis 配置为禁用非 SSL 端口 | 启用与 Azure Cache for Redis 的仅 SSL 连接。 使用安全连接可确保服务器和服务之间的身份验证并保护传输中的数据免受中间人攻击、窃听攻击和会话劫持等网络层攻击 | 修改,已禁用 | 1.0.0 |
将 Azure Cache for Redis 配置为禁用公用网络访问 | 禁用对 Azure Cache for Redis 资源的公用网络访问,确保无法通过公共 Internet 对其进行访问。 这有助于降低缓存的数据泄露风险。 | 修改,已禁用 | 1.0.0 |
将 Azure Cache for Redis 配置为使用专用 DNS 区域 | 使用专用 DNS 区域来替代专用终结点的 DNS 解析。 可将专用 DNS 区域链接到你的虚拟网络,以解析到 Azure Cache for Redis。 有关详细信息,请访问:https://aka.ms/privatednszone。 | DeployIfNotExists、Disabled | 1.0.0 |
为 Azure Cache for Redis 配置专用终结点 | 专用终结点可让你在源或目标位置没有公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 通过将专用终结点映射到 Azure Cache for Redis 资源,可以降低数据泄露风险。 有关详细信息,请访问:https://aka.ms/redis/privateendpoint。 | DeployIfNotExists、Disabled | 1.0.0 |
只能与 Azure Cache for Redis 建立安全连接 | 审核是否仅启用通过 SSL 来与 Azure Redis 缓存建立连接。 使用安全连接可确保服务器和服务之间的身份验证并保护传输中的数据免受中间人攻击、窃听攻击和会话劫持等网络层攻击 | Audit、Deny、Disabled | 1.0.0 |
CDN
名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
---|---|---|---|
Azure Front Door 配置文件应使用支持托管的 WAF 规则和专用链接的高级层 | Azure Front Door 高级版支持 Azure 托管 WAF 规则和受支持的 Azure 源的专用链接。 | Audit、Deny、Disabled | 1.0.0 |
Azure Front Door 标准版和高级版应运行最低 TLS 版本 1.2 | 将最低 TLS 版本设置为 1.2 可以确保从使用 TLS 1.2 或更高版本的客户端访问自定义域,从而提高安全性。 不建议使用低于 1.2 的 TLS 版本,因为它们很弱,不支持新式加密算法。 | Audit、Deny、Disabled | 1.0.0 |
保护 Azure Front Door 高级版与 Azure 存储 Blob 或 Azure 应用服务之间的专用连接 | 专用链接可确保 AFD 高级版与 Azure 存储 Blob 或 Azure 应用服务之间跨 Azure 主干网络的专用连接,而不会向 Internet 公开 Azure 存储 Blob 或 Azure 应用服务。 | Audit、Disabled | 1.0.0 |
ChangeTrackingAndInventory
名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
---|---|---|---|
[预览版]:将已启用 Arc 的 Linux 计算机配置为与 ChangeTracking 和库存的数据收集规则相关联 | 部署关联以将已启用 Arc 的 Linux 计算机链接到指定的数据收集规则,并启用 ChangeTracking 和库存。 随着支持的增加,位置列表会随着时间而更新。 | DeployIfNotExists、Disabled | 1.0.0-preview |
[预览]: 将已启用 Arc 的 Linux 计算机配置为安装用于 ChangeTracking 和库存的 AMA | 在已启用 Arc 的 Linux 计算机上自动部署 Azure Monitor 代理扩展,以启用 ChangeTracking 和库存。 如果支持区域,则此策略将安装扩展。 了解详细信息:https://aka.ms/AMAOverview。 | DeployIfNotExists、Disabled | 1.3.0-preview |
[预览版]:将 Linux 虚拟机配置为与 ChangeTracking 和库存的数据收集规则相关联 | 部署关联以将 Linux 虚拟机链接到指定的数据收集规则,从而启用更改跟踪和库存。 位置和 OS 映像列表会随着支持的扩大而不断更新。 | DeployIfNotExists、Disabled | 1.0.0-preview |
[预览版]:配置 Linux VM 以使用用户分配的托管标识安装用于更改跟踪和库存的 AMA | 在 Linux 虚拟机上自动部署 Azure Monitor 代理扩展,以启用更改跟踪和库存。 如果操作系统和区域受支持,此策略将安装扩展并将其配置为使用指定的用户分配的托管标识,否则将跳过安装。 了解详细信息:https://aka.ms/AMAOverview。 | DeployIfNotExists、Disabled | 1.5.0-preview |
[预览版]:将 Linux VMSS 配置为与 ChangeTracking 和库存的数据收集规则相关联 | 部署关联以将 Linux 虚拟机规模集链接到指定的数据收集规则,从而启用更改跟踪和库存。 位置和 OS 映像列表会随着支持的扩大而不断更新。 | DeployIfNotExists、Disabled | 1.0.0-preview |
[预览版]:配置 Linux VMSS 以使用用户分配的托管标识安装用于更改跟踪和库存的 AMA | 在 Linux 虚拟机规模集上自动部署 Azure Monitor 代理扩展,以启用更改跟踪和库存。 如果操作系统和区域受支持,此策略将安装扩展并将其配置为使用指定的用户分配的托管标识,否则将跳过安装。 了解详细信息:https://aka.ms/AMAOverview。 | DeployIfNotExists、Disabled | 1.4.0-预览版 |
[预览版]:将启用了 Windows Arc 的计算机配置为与 ChangeTracking 和库存的数据收集规则相关联 | 部署关联以将已启用 Arc 的 Windows 计算机链接到指定的数据收集规则,并启用 ChangeTracking 和库存。 随着支持的增加,位置列表会随着时间而更新。 | DeployIfNotExists、Disabled | 1.0.0-preview |
[预览版]:配置已启用 Arc 的 Windows 计算机以安装用于 ChangeTracking 和库存的 AMA | 在已启用 Arc 的 Windows 计算机上自动部署 Azure Monitor 代理扩展,以启用 ChangeTracking 和库存。 如果支持 OS 和区域并且启用了系统分配的托管标识,则此策略将安装扩展,否则将跳过安装。 了解详细信息:https://aka.ms/AMAOverview。 | DeployIfNotExists、Disabled | 1.0.0-preview |
[预览版]:将 Windows 虚拟机配置为与 ChangeTracking 和库存的数据收集规则相关联 | 部署关联以将 Windows 虚拟机链接到指定的数据收集规则,从而启用更改跟踪和库存。 位置和 OS 映像列表会随着支持的扩大而不断更新。 | DeployIfNotExists、Disabled | 1.0.0-preview |
[预览版]:配置 Windows VM 以使用用户分配的托管标识安装用于更改跟踪和库存的 AMA | 在 Windows 虚拟机上自动部署 Azure Monitor 代理扩展,以启用更改跟踪和库存。 如果操作系统和区域受支持,此策略将安装扩展并将其配置为使用指定的用户分配的托管标识,否则将跳过安装。 了解详细信息:https://aka.ms/AMAOverview。 | DeployIfNotExists、Disabled | 1.1.0-preview |
[预览版]:将 Windows VMSS 配置为与 ChangeTracking 和库存的数据收集规则相关联 | 部署关联以将 Windows 虚拟机规模集链接到指定的数据收集规则,从而启用更改跟踪和库存。 位置和 OS 映像列表会随着支持的扩大而不断更新。 | DeployIfNotExists、Disabled | 1.0.0-preview |
[预览版]:配置 Windows VMSS 以使用用户分配的托管标识安装用于更改跟踪和库存的 AMA | 在 Windows 虚拟机规模集上自动部署 Azure Monitor 代理扩展,以启用更改跟踪和库存。 如果操作系统和区域受支持,此策略将安装扩展并将其配置为使用指定的用户分配的托管标识,否则将跳过安装。 了解详细信息:https://aka.ms/AMAOverview。 | DeployIfNotExists、Disabled | 1.1.0-preview |
认知服务
名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
---|---|---|---|
Azure AI 服务资源应使用客户管理的密钥 (CMK) 加密静态数据 | 使用客户管理的密钥加密静态数据可以更好地控制密钥生命周期,包括轮换和管理。 对于需要满足相关合规性要求的组织而言尤其如此。 默认情况下不会对此进行评估,并且只会根据合规性或限制性策略的要求应用此建议。 如果未启用,将使用平台管理的密钥来加密数据。 为实现此目的,请更新安全策略中适用范围的“效果”参数。 | Audit、Deny、Disabled | 2.2.0 |
认知服务帐户应使用托管标识 | 向认知服务帐户分配托管标识有助于确保身份验证安全。 此认知服务帐户使用该标识以安全方式与其他 Azure 服务(如 Azure Key Vault)进行通信,你无需管理任何凭据。 | Audit、Deny、Disabled | 1.0.0 |
认知服务帐户应使用客户自有存储 | 使用客户拥有的存储来控制认知服务中静态存储的数据。 若要了解有关客户拥有的存储详细信息,请访问 https://aka.ms/cogsvc-cmk。 | Audit、Deny、Disabled | 2.0.0 |
配置认知服务帐户以禁用本地身份验证方法 | 禁用本地身份验证方法,使认知服务帐户需要专门针对身份验证的 Azure Active Directory 标识。 有关详细信息,请访问:https://aka.ms/cs/auth。 | 修改,已禁用 | 1.0.0 |
将认知服务帐户配置为禁用公用网络访问 | 禁用对认知服务资源的公用网络访问,确保无法通过公共 Internet 对其进行访问。 这样可以减少数据泄露风险。 有关详细信息,请访问:https://go.microsoft.com/fwlink/?linkid=2129800。 | 禁用、修改 | 3.0.0 |
将认知服务帐户配置为使用专用 DNS 区域 | 使用专用 DNS 区域来替代专用终结点的 DNS 解析。 专用 DNS 区域会链接到虚拟网络,以解析到认知服务帐户。 有关详细信息,请访问:https://go.microsoft.com/fwlink/?linkid=2110097。 | DeployIfNotExists、Disabled | 1.0.0 |
为认知服务帐户配置专用终结点 | 在没有公共 IP 地址的情况下,专用终结点可在源或目标位置将虚拟网络连接到 Azure 服务。 将专用终结点映射到认知服务将减少数据泄露的可能性。 有关专用链接的详细信息,请访问:https://go.microsoft.com/fwlink/?linkid=2129800。 | DeployIfNotExists、Disabled | 3.0.0 |
通信
名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
---|---|---|---|
通信服务资源应使用托管标识 | 向通信服务资源分配托管标识有助于确保身份验证安全。 此通信服务资源使用该标识以安全方式与其他 Azure 服务(如 Azure 存储)进行通信,你无需管理任何凭据。 | Audit、Deny、Disabled | 1.0.0 |
通信服务资源应使用纳入允许列表的数据位置 | 仅从纳入允许列表的数据位置创建通信服务资源。 此数据位置确定将静态存储通信服务资源数据的位置,确保你首选纳入允许列表的数据位置,因为创建资源后无法更改此位置。 | Audit、Deny、Disabled | 1.0.0 |
计算
名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
---|---|---|---|
允许的虚拟机大小 SKU | 此策略可便于指定组织可部署的一组虚拟机大小 SKU。 | 拒绝 | 1.0.1 |
审核未配置灾难恢复的虚拟机 | 审核未配置灾难恢复的虚拟机。 若要详细了解灾难恢复,请访问 https://aka.ms/asr-doc。 | auditIfNotExists | 1.0.0 |
审核未使用托管磁盘的 VM | 此策略审核未使用托管磁盘的 VM | 审核 | 1.0.0 |
通过 Azure Site Recovery 启用复制,以在虚拟机上配置灾难恢复 | 未配置灾难恢复的虚拟机容易受到中断和其他干扰的影响。 如果虚拟机尚未配置灾难恢复,则请使用预设配置启用复制来启动这一功能,以帮助实现业务连续性。 可以选择包含/排除包含指定标记的虚拟机以控制分配范围。 若要详细了解灾难恢复,请访问 https://aka.ms/asr-doc。 | DeployIfNotExists、Disabled | 2.1.0 |
将磁盘访问资源配置为使用专用 DNS 区域 | 使用专用 DNS 区域来替代专用终结点的 DNS 解析。 专用 DNS 区域会链接到虚拟网络,以解析到托管磁盘。 有关详细信息,请访问:https://aka.ms/disksprivatelinksdoc。 | DeployIfNotExists、Disabled | 1.0.0 |
使用专用终结点配置磁盘访问资源 | 在没有公共 IP 地址的情况下,专用终结点可在源或目标位置将虚拟网络连接到 Azure 服务。 通过将专用终结点映射到磁盘访问资源,可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://aka.ms/disksprivatelinksdoc。 | DeployIfNotExists、Disabled | 1.0.0 |
将托管磁盘配置为禁用公用网络访问 | 禁用对托管磁盘资源的公用网络访问,确保无法通过公共 Internet 对其进行访问。 这样可以减少数据泄露风险。 有关详细信息,请访问:https://aka.ms/disksprivatelinksdoc。 | 修改,已禁用 | 2.0.0 |
为 Windows Server 部署默认 Microsoft IaaSAntimalware 扩展 | 如果 VM 未配置反恶意软件扩展,则此策略部署使用默认配置的 Microsoft IaaSAntimalware 扩展。 | deployIfNotExists | 1.1.0 |
磁盘访问资源应使用专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到 diskAccesses,可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://aka.ms/disksprivatelinksdoc。 | AuditIfNotExists、Disabled | 1.0.0 |
应使用平台管理的密钥和客户管理的密钥双重加密托管磁盘 | 对安全性高度敏感的客户如果担心出现与任何特定加密算法、实现或密钥泄露相关的风险,可以选择在使用平台管理的加密密钥的基础结构层上使用其他加密算法/模式的额外加密层。 需要提供磁盘加密集才能使用双重加密。 更多信息请访问 https://aka.ms/disks-doubleEncryption。 | Audit、Deny、Disabled | 1.0.0 |
托管磁盘应禁用公用网络访问 | 禁用公用网络访问可确保托管磁盘不会在公共 Internet 上公开,从而提高了安全性。 创建专用终结点可以限制托管磁盘的公开。 有关详细信息,请访问:https://aka.ms/disksprivatelinksdoc。 | Audit、Disabled | 2.0.0 |
托管磁盘应使用一组特定的磁盘加密集来进行客户管理的密钥加密 | 要求对托管磁盘使用一组特定的磁盘加密集可以控制用于静态加密的密钥。 可以选择允许的加密集,所有其他加密集在附加到磁盘时将被拒绝。 更多信息请访问 https://aka.ms/disks-cmk。 | Audit、Deny、Disabled | 2.0.0 |
Microsoft Antimalware for Azure 应配置为自动更新保护签名 | 此策略会审核所有未配置自动更新 Microsoft Antimalware 保护签名的 Windows 虚拟机。 | AuditIfNotExists、Disabled | 1.0.0 |
应在 Windows Server 上部署 Microsoft IaaSAntimalware 扩展 | 此策略会审核所有未部署 Microsoft IaaSAntimalware 扩展的 Windows Server VM。 | AuditIfNotExists、Disabled | 1.1.0 |
应当仅安装已批准的 VM 扩展 | 此策略约束未获批准的虚拟机扩展。 | Audit、Deny、Disabled | 1.0.0 |
应使用客户管理的密钥来加密 OS 和数据磁盘 | 使用客户管理的密钥来管理托管磁盘内容的静态加密。 默认情况下,使用平台管理的密钥对数据进行静态加密,但为了满足合规性标准,通常需要使用客户管理的密钥。 客户管理的密钥允许使用由你创建并拥有的 Azure Key Vault 密钥对数据进行加密。 你可以完全控制并负责关键生命周期,包括轮换和管理。 更多信息请访问 https://aka.ms/disks-cmk。 | Audit、Deny、Disabled | 3.0.0 |
导出或上传到磁盘或快照时,使用身份验证要求保护数据。 | 使用导出/上传 URL 时,系统会检查用户是否在 Azure Active Directory 中具有标识,并且是否具有导出/上传数据的必要权限。 请参阅 aka.ms/DisksAzureADAuth。 | 修改,已禁用 | 1.0.0 |
要求自动在虚拟机规模集上执行 OS 映像修补 | 该策略可强制启用虚拟机规模集上的自动 OS 映像修补程序,以便通过应用每月的最新安全修补程序始终确保虚拟机安全。 | deny | 1.0.0 |
虚拟机和虚拟机规模集应启用主机中加密 | 使用主机中加密可对虚拟机和虚拟机规模集数据进行端到端加密。 主机中加密可对临时磁盘和 OS/数据磁盘缓存实现静态加密。 启用主机中加密后,将使用平台管理的密钥对临时 OS 磁盘进行加密。 OS/数据磁盘缓存使用客户管理的密钥或平台管理的密钥进行静态加密,具体取决于在磁盘中选择的加密类型。 更多信息请访问 https://aka.ms/vm-hbe。 | Audit、Deny、Disabled | 1.0.0 |
应将虚拟机迁移到新的 Azure 资源管理器资源 | 对虚拟机使用新的 Azure 资源管理器以提供安全增强功能,例如:更强的访问控制 (RBAC)、更佳审核功能、基于 Azure 资源管理器的部署和治理、对托管标识的访问、访问密钥保管库以获取机密、基于 Azure AD 的身份验证以及支持使用标记和资源组简化安全管理 | Audit、Deny、Disabled | 1.0.0 |
容器应用
名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
---|---|---|---|
应在容器应用上启用身份验证 | 容器应用身份验证是一项功能,可以阻止匿名 HTTP 请求访问容器应用,或在令牌访问容器应用之前对其进行身份验证 | AuditIfNotExists、Disabled | 1.0.1 |
容器应用环境应使用网络注入 | 容器应用环境应使用虚拟网络注入来实现以下目的:1. 将容器应用与公共 Internet 隔离 2. 启用与本地资源或其他 Azure 虚拟网络中的资源的网络集成 3. 对流入和流出环境的网络流量进行更精细的控制。 | 审核、已禁用、拒绝 | 1.0.2 |
容器应用应配置卷装载 | 强制使用容器应用的卷装载,以确保持久性存储容量的可用性。 | Audit、Deny、Disabled | 1.0.1 |
容器应用环境应禁用公用网络访问 | 通过内部负载均衡器公开容器应用环境,禁用公用网络访问以提高安全性。 这样就不需要公共 IP 地址,并可以防止对环境中的所有容器应用进行 Internet 访问。 | Audit、Deny、Disabled | 1.1.0 |
容器应用应禁用外部网络访问 | 通过强制实施仅限内部的入口来禁用对容器应用进行外部网络访问。 这可以确保将容器应用的入站通信限制为容器应用环境内部的调用方。 | Audit、Deny、Disabled | 1.0.1 |
容器应用只能通过 HTTPS 访问 | 使用 HTTPS 可确保执行服务器/服务身份验证服务,并保护传输中的数据不受网络层窃听攻击威胁。 禁用“allowInsecure”会导致容器应用的请求从 HTTP 自动重定向到 HTTPS 连接。 | Audit、Deny、Disabled | 1.0.1 |
应为容器应用启用托管标识 | 强制实施托管标识可确保容器应用可以安全地对支持 Azure AD 身份验证的任何资源进行身份验证 | Audit、Deny、Disabled | 1.0.1 |
容器实例
名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
---|---|---|---|
Azure 容器实例容器组应部署到虚拟网络 | 容器与 Azure 虚拟网络之间进行安全通信。 指定虚拟网络时,虚拟网络中的资源可以彼此安全且私密地进行通信。 | 审核、已禁用、拒绝 | 2.0.0 |
Azure 容器实例容器组应使用客户管理的密钥进行加密 | 使用客户管理的密钥更灵活地保护容器。 指定客户托管密钥时,该密钥用于保护和控制对数据加密密钥的访问。 使用客户管理的密钥可提供附加功能来控制密钥加密密钥的轮换或以加密方式擦除数据。 | 审核、已禁用、拒绝 | 1.0.0 |
为容器组配置诊断设置以传输到 Log Analytics 工作区 | 为容器实例部署诊断设置,以便在创建或更新缺少此诊断设置的容器实例时,将资源日志流式传输到 Log Analytics 工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
容器实例
名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
---|---|---|---|
将容器组诊断配置为 Log Analytics 工作区 | 创建或更新缺少指定的 Log Analytics workspaceId 和 workspaceKey 的任何容器组时,请追加这些字段。 在更改这些资源组之前,请不要修改应用此策略之前创建的容器组的字段。 | 追加、已禁用 | 1.0.0 |
容器注册表
名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
---|---|---|---|
配置容器注册表以禁用匿名身份验证。 | 禁用注册表的匿名拉取,使未经身份验证的用户无法访问数据。 禁用本地身份验证方法(如管理员用户、存储库范围的访问令牌和匿名拉取)可确保容器注册表仅将 Azure Active Directory 标识作为身份验证方法,从而提高安全性。 有关详细信息,请访问:https://aka.ms/acr/authentication。 | 修改,已禁用 | 1.0.0 |
配置容器注册表以禁用 ARM 受众令牌身份验证。 | 禁用 Azure Active Directory ARM 受众令牌以向注册表进行身份验证。 将仅使用 Azure 容器注册表 (ACR) 受众令牌进行身份验证。 这可确保只有用于注册表的令牌才可用于身份验证。 禁用 ARM 受众令牌不会影响管理员用户身份验证,也不影响设有范围的访问令牌的身份验证。 有关详细信息,请访问:https://aka.ms/acr/authentication。 | 修改,已禁用 | 1.0.0 |
配置容器注册表以禁用本地管理员帐户。 | 禁用注册表的管理员帐户,以便本地管理员无法访问。禁用本地身份验证方法(例如管理员用户、存储库范围内的访问令牌和匿名拉取)可确保容器注册表仅将 Azure Active Directory 标识作为身份验证方法,从而提高安全性。 有关详细信息,请访问:https://aka.ms/acr/authentication。 | 修改,已禁用 | 1.0.1 |
将容器注册表配置为禁用公用网络访问 | 禁用对容器注册表的公用网络访问,确保不可通过公共 Internet 对其进行访问。 这样可以减少数据泄露风险。 请访问 https://aka.ms/acr/portal/public-network 和 https://aka.ms/acr/private-link 了解详细信息。 | 修改,已禁用 | 1.0.0 |
配置容器注册表以禁用存储库范围的访问令牌。 | 禁用注册表的存储库范围的访问令牌,以便无法通过令牌访问存储库。 禁用本地身份验证方法(如管理员用户、存储库范围的访问令牌和匿名拉取)可确保容器注册表仅将 Azure Active Directory 标识作为身份验证方法,从而提高安全性。 有关详细信息,请访问:https://aka.ms/acr/authentication。 | 修改,已禁用 | 1.0.0 |
将容器注册表配置为使用专用 DNS 区域 | 使用专用 DNS 区域来替代专用终结点的 DNS 解析。 专用 DNS 区域会链接到虚拟网络,以解析到容器注册表。 请访问 https://aka.ms/privatednszone 和 https://aka.ms/acr/private-link 了解详细信息。 | DeployIfNotExists、Disabled | 1.0.1 |
为容器注册表配置专用终结点 | 专用终结点可在源或目标位置没有公共 IP 地址的情况下将虚拟网络连接到 Azure 服务。 将专用终结点映射到高级容器注册表资源可以降低数据泄露的风险。 请访问 https://aka.ms/privateendpoints 和 https://aka.ms/acr/private-link 了解详细信息。 | DeployIfNotExists、Disabled | 1.0.0 |
应使用客户管理的密钥对容器注册表进行加密 | 使用客户管理的密钥来管理注册表内容的静态加密。 默认情况下,使用服务管理的密钥对数据进行静态加密,但为了满足法规符合性标准,通常需要使用客户管理的密钥。 客户管理的密钥允许使用由你创建并拥有的 Azure Key Vault 密钥对数据进行加密。 你可以完全控制并负责关键生命周期,包括轮换和管理。 更多信息请访问 https://aka.ms/acr/CMK。 | Audit、Deny、Disabled | 1.1.2 |
容器注册表应禁用匿名身份验证。 | 禁用注册表的匿名拉取,使未经身份验证的用户无法访问数据。 禁用本地身份验证方法(如管理员用户、存储库范围的访问令牌和匿名拉取)可确保容器注册表仅将 Azure Active Directory 标识作为身份验证方法,从而提高安全性。 有关详细信息,请访问:https://aka.ms/acr/authentication。 | Audit、Deny、Disabled | 1.0.0 |
容器注册表应禁用 ARM 受众令牌身份验证。 | 禁用 Azure Active Directory ARM 受众令牌以向注册表进行身份验证。 将仅使用 Azure 容器注册表 (ACR) 受众令牌进行身份验证。 这可确保只有用于注册表的令牌才可用于身份验证。 禁用 ARM 受众令牌不会影响管理员用户身份验证,也不影响设有范围的访问令牌的身份验证。 有关详细信息,请访问:https://aka.ms/acr/authentication。 | Audit、Deny、Disabled | 1.0.0 |
容器注册表应禁用导出功能 | 禁用导出功能可确保注册表中的数据仅通过数据平面 (docker pull) 访问,从而提高安全性。 无法通过“acr import”或“acr transfer”将数据移出注册表。 若要禁用导出功能,必须禁用公用网络访问。 有关详细信息,请访问:https://aka.ms/acr/export-policy。 | Audit、Deny、Disabled | 1.0.0 |
容器注册表应禁用本地管理员帐户。 | 禁用注册表的管理员帐户,以便本地管理员无法访问。禁用本地身份验证方法(例如管理员用户、存储库范围内的访问令牌和匿名拉取)可确保容器注册表仅将 Azure Active Directory 标识作为身份验证方法,从而提高安全性。 有关详细信息,请访问:https://aka.ms/acr/authentication。 | Audit、Deny、Disabled | 1.0.1 |
容器注册表应禁用存储库范围的访问令牌。 | 禁用注册表的存储库范围的访问令牌,以便无法通过令牌访问存储库。 禁用本地身份验证方法(如管理员用户、存储库范围的访问令牌和匿名拉取)可确保容器注册表仅将 Azure Active Directory 标识作为身份验证方法,从而提高安全性。 有关详细信息,请访问:https://aka.ms/acr/authentication。 | Audit、Deny、Disabled | 1.0.0 |
容器注册表应包含支持专用链接的 SKU | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 将专用终结点映射到容器注册表(而不是整个服务)可以降低数据泄露的风险。 有关详细信息,请访问:https://aka.ms/acr/private-link。 | Audit、Deny、Disabled | 1.0.0 |
容器注册表不得允许无限制的网络访问 | 默认情况下,Azure 容器注册表接受来自任何网络上的主机的 Internet 连接。 为了防止注册表受到潜在的威胁,只允许来自特定的专用终结点、公共 IP 地址或地址范围的访问。 如果注册表没有配置网络规则,它将出现在不正常资源中。 若要详细了解容器注册表网络规则,请访问:https://aka.ms/acr/privatelink、 https://aka.ms/acr/portal/public-network 和 https://aka.ms/acr/vnet。 | Audit、Deny、Disabled | 2.0.0 |
容器注册表应阻止创建缓存规则 | 禁止对 Azure 容器注册表创建缓存规则,以防止通过缓存拉取来进行拉取。 有关详细信息,请访问:https://aka.ms/acr/cache。 | Audit、Deny、Disabled | 1.0.0 |
容器注册表应使用专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。通过将专用终结点映射到容器注册表,而不是整个服务,还可以防范数据泄露风险。 有关详细信息,请访问:https://aka.ms/acr/private-link。 | Audit、Disabled | 1.0.1 |
应禁用通过公用网络访问容器注册表 | 禁用公用网络访问可确保容器注册表不会在公共 Internet 上公开,从而提高安全性。 创建专用终结点可以避免容器注册表资源暴露。 请访问 https://aka.ms/acr/portal/public-network 和 https://aka.ms/acr/private-link 了解详细信息。 | Audit、Deny、Disabled | 1.0.0 |
Cosmos DB
名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
---|---|---|---|
Azure Cosmos DB 帐户应有防火墙规则 | 应在 Azure Cosmos DB 帐户上定义防火墙规则,以防止来自未经授权的源的流量。 至少定义了一个 IP 规则且启用了虚拟网络筛选器的帐户才会被视为合规。 禁用公共访问的帐户也被视为合规。 | Audit、Deny、Disabled | 2.1.0 |
Azure Cosmos DB 帐户不应允许来自所有 Azure 数据中心的流量 | 禁止 IP 防火墙规则“0.0.0.0”,它允许来自任何 Azure 数据中心的所有流量。 有关详细信息,请访问 https://aka.ms/cosmosdb-firewall | Audit、Deny、Disabled | 1.0.0 |
Azure Cosmos DB 帐户不应超过自上次重新生成帐户密钥以来允许的最大天数。 | 在指定的时间内重新生成密钥,以使数据受到更多保护。 | Audit、Disabled | 1.0.0 |
Azure Cosmos DB 帐户应使用客户管理的密钥来加密静态数据 | 使用客户管理的密钥来管理 Azure Cosmos DB 的静态加密。 默认情况下,使用服务管理的密钥对数据进行静态加密,但为了满足法规符合性标准,通常需要使用客户管理的密钥。 客户管理的密钥允许使用由你创建并拥有的 Azure Key Vault 密钥对数据进行加密。 你可以完全控制并负责关键生命周期,包括轮换和管理。 更多信息请访问 https://aka.ms/cosmosdb-cmk。 | audit、Audit、deny、Deny、disabled、Disabled | 1.1.0 |
Azure Cosmos DB 允许的位置 | 使用此策略可限制组织在部署 Azure Cosmos DB 资源时可指定的位置。 用于强制执行异地符合性要求。 | [parameters('policyEffect')] | 1.1.0 |
应禁用基于 Azure Cosmos DB 密钥的元数据写权限 | 借助此策略,可以确保所有 Azure Cosmos DB 帐户都禁用基于密钥的元数据写权限。 | append | 1.0.0 |
Azure Cosmos DB 应禁用公用网络访问 | 禁用公用网络访问可确保 CosmosDB 帐户不会在公共 Internet 上公开,从而提高安全性。 创建专用终结点可以限制 CosmosDB 帐户的公开。 有关详细信息,请访问:https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints#blocking-public-network-access-during-account-creation。 | Audit、Deny、Disabled | 1.0.0 |
应限制 Azure Cosmos DB 吞吐量 | 借助此策略,可以限制组织在通过资源提供程序创建 Azure Cosmos DB 数据库和容器时可以指定的最大吞吐量。 它会阻止创建自动缩放资源。 | audit、Audit、deny、Deny、disabled、Disabled | 1.1.0 |
配置 Cosmos DB 数据库帐户以禁用本地身份验证 | 禁用本地身份验证方法,使 Cosmos DB 数据库帐户专门需要用于身份验证的 Azure Active Directory 标识。 有关详细信息,请访问:https://docs.microsoft.com/azure/cosmos-db/how-to-setup-rbac#disable-local-auth。 | 修改,已禁用 | 1.1.0 |
将 CosmosDB 帐户配置为禁用公用网络访问 | 禁用对 CosmosDB 资源的公用网络访问,确保无法通过公共 Internet 对其进行访问。 这样可以减少数据泄露风险。 有关详细信息,请访问:https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints#blocking-public-network-access-during-account-creation。 | 修改,已禁用 | 1.0.1 |
将 CosmosDB 帐户配置为使用专用 DNS 区域 | 使用专用 DNS 区域来替代专用终结点的 DNS 解析。 专用 DNS 区域会链接到虚拟网络,以解析到 CosmosDB 帐户。 有关详细信息,请访问:https://aka.ms/privatednszone。 | DeployIfNotExists、Disabled | 2.0.0 |
为 CosmosDB 帐户配置专用终结点 | 专用终结点可在源或目标位置没有公共 IP 地址的情况下将虚拟网络连接到 Azure 服务。 通过将专用终结点映射到 CosmosDB 帐户,可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints。 | DeployIfNotExists、Disabled | 1.0.0 |
Cosmos DB 数据库帐户应禁用本地身份验证方法 | 禁用本地身份验证方法可确保 Cosmos DB 数据库帐户仅将 Azure Active Directory 标识作为身份验证方法,从而提高安全性。 有关详细信息,请访问:https://docs.microsoft.com/azure/cosmos-db/how-to-setup-rbac#disable-local-auth。 | Audit、Deny、Disabled | 1.1.0 |
CosmosDB 帐户应使用专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到 CosmosDB 帐户,可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints。 | Audit、Disabled | 1.0.0 |
为 Cosmos DB 帐户部署高级威胁防护 | 此策略会在 Cosmos DB 帐户上启用高级威胁防护。 | DeployIfNotExists、Disabled | 1.0.0 |
自定义提供程序
名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
---|---|---|---|
为自定义提供程序部署关联 | 部署将所选资源类型与指定自定义提供程序关联的关联资源。 此策略部署不支持嵌套资源类型。 | deployIfNotExists | 1.0.0 |
Data Box
名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
---|---|---|---|
Azure Data Box 作业应为设备上静态数据启用双重加密 | 为设备上的静态数据启用第二层基于软件的加密。 设备已通过用于静态数据的高级加密标准 256 位加密受到保护。 此选项将添加第二层数据加密。 | Audit、Deny、Disabled | 1.0.0 |
Azure Data Box 作业应使用客户管理的密钥加密设备解锁密码 | 使用客户管理的密钥控制 Azure Data Box 的设备解锁密码的加密。 客户管理的密钥还有助于通过 Data Box 服务管理对设备解锁密码的访问,以便以自动方式准备设备和复制数据。 设备本身的数据已使用高级加密标准 256 位加密进行静态加密,并且设备解锁密码默认使用 Microsoft 托管密钥进行加密。 | Audit、Deny、Disabled | 1.0.0 |
数据工厂
名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
---|---|---|---|
[预览版]:Azure 数据工厂管道应仅与允许的域通信 | 若要防止数据和令牌外泄,请设置应允许 Azure 数据工厂与之通信的域。 注意:以公共预览版提供时,不会报告此策略的合规性;若要将策略应用于数据工厂,请在 ADF Studio 中启用出站规则功能。 有关详细信息,请访问 https://aka.ms/data-exfiltration-policy。 | 拒绝、已禁用 | 1.0.0-preview |
应使用客户管理的密钥对 Azure 数据工厂进行加密 | 使用客户管理的密钥来管理 Azure 数据工厂的静态加密。 默认情况下,使用服务管理的密钥对客户数据进行加密,但为了满足法规合规性标准,通常需要使用客户管理的密钥。 客户管理的密钥允许使用由你创建并拥有的 Azure Key Vault 密钥对数据进行加密。 你可以完全控制并负责关键生命周期,包括轮换和管理。 更多信息请访问 https://aka.ms/adf-cmk。 | Audit、Deny、Disabled | 1.0.1 |
Azure 数据工厂集成运行时应对核心数有限制 | 若要管理资源和成本,请限制集成运行时的核心数。 | Audit、Deny、Disabled | 1.0.0 |
Azure 数据工厂链接服务资源类型应在允许列表中 | 定义 Azure 数据工厂链接服务类型的允许列表。 限制允许的资源类型可以控制数据移动的边界。 例如,将范围限制为只允许使用 Data Lake Storage Gen1 和 Gen2 进行分析的 blob 存储,或只允许 SQL 和 Kusto 访问实时查询。 | Audit、Deny、Disabled | 1.1.0 |
Azure 数据工厂链接服务应使用 Key Vault 来存储机密 | 为了确保机密(如连接字符串)得到安全管理,需要用户使用 Azure Key Vault 提供机密,而不是在链接服务中内联指定它们。 | Audit、Deny、Disabled | 1.0.0 |
Azure 数据工厂链接服务应使用系统分配的托管标识身份验证(如果受支持) | 在通过链接服务与数据存储进行通信时,使用系统分配的托管标识可以避免使用密码或连接字符串等安全性较低的凭据。 | Audit、Deny、Disabled | 2.1.0 |
Azure 数据工厂应使用 Git 存储库进行源代码管理 | 仅配置具有 Git 集成的开发数据工厂。 对测试和生产的更改应通过 CI/CD 进行部署,并且不应进行 Git 集成。 不要将此策略应用于 QA/测试/生产数据工厂。 | Audit、Deny、Disabled | 1.0.1 |
Azure 数据工厂应使用专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到 Azure 数据工厂,可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://docs.microsoft.com/azure/data-factory/data-factory-private-link。 | AuditIfNotExists、Disabled | 1.0.0 |
将数据工厂配置为禁用公用网络访问 | 禁用对数据工厂的公用网络访问,确保无法通过公共 Internet 对其进行访问。 这样可以减少数据泄露风险。 有关详细信息,请访问:https://docs.microsoft.com/azure/data-factory/data-factory-private-link。 | 修改,已禁用 | 1.0.0 |
为连接到 Azure 数据工厂的专用终结点配置专用 DNS 区域 | 可以通过专用 DNS 记录建立到专用终结点的专用连接。 利用专用终结点连接,无需源或目标的公共 IP 地址,即可与 Azure 数据工厂建立专用连接,从而实现安全通信。 有关 Azure 数据工厂中专用终结点和 DNS 区域的详细信息,请参阅 https://docs.microsoft.com/azure/data-factory/data-factory-private-link。 | DeployIfNotExists、Disabled | 1.0.0 |
为数据工厂配置专用终结点 | 专用终结点可在源或目标位置没有公共 IP 地址的情况下将虚拟网络连接到 Azure 服务。 将专用终结点映射到 Azure 数据工厂可降低数据泄露风险。 有关详细信息,请访问:https://docs.microsoft.com/azure/data-factory/data-factory-private-link。 | DeployIfNotExists、Disabled | 1.1.0 |
应禁用对 Azure 数据工厂的公用网络访问 | 禁用公用网络访问属性可确保只能从专用终结点访问 Azure 数据工厂,从而提高安全性。 | Audit、Deny、Disabled | 1.0.0 |
应将 Azure 数据工厂上的 SQL Server Integration Services 集成运行时加入到虚拟网络 | Azure 虚拟网络部署为 Azure 数据工厂上的 SQL Server Integration Services 集成运行时提供增强的安全性和隔离性,并提供子网、访问控制策略和其他进一步限制访问的功能。 | Audit、Deny、Disabled | 2.3.0 |
Data Lake
名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
---|---|---|---|
要求对 Data Lake Store 帐户进行加密 | 此策略可确保对所有 Data Lake Store 帐户启用了加密 | deny | 1.0.0 |
应启用 Azure Data Lake Store 中的资源日志 | 对启用资源日志进行审核。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的 | AuditIfNotExists、Disabled | 5.0.0 |
应启用 Data Lake Analytics 中的资源日志 | 对启用资源日志进行审核。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的 | AuditIfNotExists、Disabled | 5.0.0 |
桌面虚拟化
名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
---|---|---|---|
Azure 虚拟桌面主机池应禁用公用网络访问 | 禁用公用网络访问可确保对 Azure 虚拟桌面服务的访问不向公共 Internet 公开,从而提高安全性并保护数据安全。 有关详细信息,请访问:https://aka.ms/avdprivatelink。 | Audit、Deny、Disabled | 1.0.0 |
Azure 虚拟桌面主机池应只禁用会话主机上的公用网络访问 | 禁用 Azure 虚拟桌面主机池会话主机的公用网络访问,但允许最终用户的公共访问时,可以通过限制对 Internet 的公开来提高安全性。 有关详细信息,请访问:https://aka.ms/avdprivatelink。 | Audit、Deny、Disabled | 1.0.0 |
Azure 虚拟桌面服务应使用专用链接 | 将 Azure 专用链接与 Azure 虚拟桌面资源配合使用时,可以提高安全性并保护数据安全。 有关专用链接的详细信息,请访问:https://aka.ms/avdprivatelink。 | Audit、Disabled | 1.0.0 |
Azure 虚拟桌面工作区应禁用公用网络访问 | 禁用 Azure 虚拟桌面工作区资源的公用网络访问后,会阻止通过公共 Internet 访问源。 仅允许专用网络访问时,可提高安全性并保护数据安全。 有关详细信息,请访问:https://aka.ms/avdprivatelink。 | Audit、Deny、Disabled | 1.0.0 |
将 Azure 虚拟桌面主机池资源配置为使用专用 DNS 区域 | 使用专用 DNS 区域来替代专用终结点的 DNS 解析。 专用 DNS 区域会链接到虚拟网络,以解析到 Azure 虚拟桌面资源。 有关详细信息,请访问:https://aka.ms/privatednszone。 | DeployIfNotExists、Disabled | 1.0.0 |
配置 Azure 虚拟桌面主机池以禁用公用网络访问 | 禁用会话主机和最终用户对 Azure 虚拟桌面主机池资源的公用网络访问,使资源无法通过公共 Internet 访问。 这样可以提升安全性并保护数据安全。 有关详细信息,请访问:https://aka.ms/avdprivatelink。 | 修改,已禁用 | 1.0.0 |
配置 Azure 虚拟桌面主机池,使其只禁用会话主机的公用网络访问 | 禁用 Azure 虚拟桌面主机池会话主机的公用网络访问,但允许最终用户进行公共访问。 这样的话,用户还是可以访问 AVD 服务,同时确保会话主机只能通过专用路由访问。 有关详细信息,请访问:https://aka.ms/avdprivatelink。 | 修改,已禁用 | 1.0.0 |
配置 Azure 虚拟桌面主机池和专用终结点 | 专用终结点可在源或目标位置没有公共 IP 地址的情况下将虚拟网络连接到 Azure 服务。 通过将专用终结点映射到 Azure 虚拟桌面资源,可以提高安全性并保护数据安全。 有关详细信息,请访问:https://aka.ms/avdprivatelink。 | DeployIfNotExists、Disabled | 1.0.0 |
将 Azure 虚拟桌面工作区资源配置为使用专用 DNS 区域 | 使用专用 DNS 区域来替代专用终结点的 DNS 解析。 专用 DNS 区域会链接到虚拟网络,以解析到 Azure 虚拟桌面资源。 有关详细信息,请访问:https://aka.ms/privatednszone。 | DeployIfNotExists、Disabled | 1.0.0 |
配置 Azure 虚拟桌面工作区以禁用公用网络访问 | 禁用 Azure 虚拟桌面工作区资源的公用网络访问,从而阻止通过公共 Internet 访问源。 这样可以提升安全性并保护数据安全。 有关详细信息,请访问:https://aka.ms/avdprivatelink。 | 修改,已禁用 | 1.0.0 |
配置 Azure 虚拟桌面工作区和专用终结点 | 专用终结点可在源或目标位置没有公共 IP 地址的情况下将虚拟网络连接到 Azure 服务。 通过将专用终结点映射到 Azure 虚拟桌面资源,可以提高安全性并保护数据安全。 有关详细信息,请访问:https://aka.ms/avdprivatelink。 | DeployIfNotExists、Disabled | 1.0.0 |
DevCenter
名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
---|---|---|---|
[预览版]:Microsoft Dev Box 池不应使用 Microsoft 托管网络。 | 禁止在创建池资源时使用 Microsoft 托管网络。 | Audit、Deny、Disabled | 1.0.0-preview |
DevOpsInfrastructure
名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
---|---|---|---|
[预览]:Microsoft 托管 DevOps 池应具备有效的子网资源,以使用自己的虚拟网络进行配置。 | 如果未提供有效的子网资源,则禁止创建池资源。 | Audit、Deny、Disabled | 1.0.0-preview |
ElasticSan
名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
---|---|---|---|
ElasticSan 应禁用公用网络访问 | 禁用 ElasticSan 的公用网络访问,确保无法通过公共 Internet 对其进行访问。 这样可以减少数据泄露风险。 | Audit、Deny、Disabled | 1.0.0 |
ElasticSan 卷组应使用客户管理的密钥进行静态数据加密 | 使用客户管理的密钥来管理卷组的静态加密。 默认情况下,使用平台管理的密钥对客户数据进行加密,但为了满足监管合规标准,通常需要使用 CMK。 客户管理的密钥允许使用由你创建和拥有的 Azure Key Vault 密钥对数据进行加密,而你具有完全的控制权和责任,包括轮换和管理。 | Audit、Disabled | 1.0.0 |
ElasticSan 卷组应使用专用终结点 | 专用终结点允许管理员在源或目标位置没有公共 IP 地址的情况下将虚拟网络连接到 Azure 服务。 通过将专用终结点映射到卷组,管理员可以降低数据泄漏风险 | Audit、Disabled | 1.0.0 |
事件网格
名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
---|---|---|---|
Azure 事件网格域应禁用公用网络访问 | 禁用公用网络访问可确保资源不会在公共 Internet 上公开,从而提高了安全性。 你可以通过创建专用终结点来限制资源的公开。 有关详细信息,请访问:https://aka.ms/privateendpoints。 | Audit、Deny、Disabled | 1.0.0 |
Azure 事件网格域应禁用本地身份验证方法 | 禁用本地身份验证方法可确保 Azure 事件网格域仅将 Azure Active Directory 标识作为身份验证方法,从而提高安全性。 有关详细信息,请访问:https://aka.ms/aeg-disablelocalauth。 | Audit、Deny、Disabled | 1.0.0 |
Azure 事件网格域应使用专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到事件网格域(而不是整个服务),还可以防范数据泄露风险。 有关详细信息,请访问:https://aka.ms/privateendpoints。 | Audit、Disabled | 1.0.2 |
Azure 事件网格命名空间 MQTT 代理应使用专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到事件网格命名空间(而不是整个服务),还可以防范数据泄露风险。 有关详细信息,请访问:https://aka.ms/aeg-ns-privateendpoints。 | Audit、Disabled | 1.0.0 |
Azure 事件网格命名空间主题代理应使用专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到事件网格命名空间(而不是整个服务),还可以防范数据泄露风险。 有关详细信息,请访问:https://aka.ms/aeg-ns-privateendpoints。 | Audit、Disabled | 1.0.0 |
Azure 事件网格命名空间应禁用公用网络访问 | 禁用公用网络访问可确保资源不会在公共 Internet 上公开,从而提高了安全性。 你可以通过创建专用终结点来限制资源的公开。 有关详细信息,请访问:https://aka.ms/aeg-ns-privateendpoints。 | Audit、Deny、Disabled | 1.0.0 |
Azure 事件网格合作伙伴命名空间应禁用本地身份验证方法 | 禁用本地身份验证方法可确保 Azure 事件网格合作伙伴命名空间仅将 Azure Active Directory 标识作为身份验证方法,从而提高安全性。 有关详细信息,请访问:https://aka.ms/aeg-disablelocalauth。 | Audit、Deny、Disabled | 1.0.0 |
Azure 事件网格主题应禁用公用网络访问 | 禁用公用网络访问可确保资源不会在公共 Internet 上公开,从而提高了安全性。 你可以通过创建专用终结点来限制资源的公开。 有关详细信息,请访问:https://aka.ms/privateendpoints。 | Audit、Deny、Disabled | 1.0.0 |
Azure 事件网格主题应禁用本地身份验证方法 | 禁用本地身份验证方法可确保 Azure 事件网格主题仅将 Azure Active Directory 标识作为身份验证方法,从而提高安全性。 有关详细信息,请访问:https://aka.ms/aeg-disablelocalauth。 | Audit、Deny、Disabled | 1.0.0 |
Azure 事件网格主题应使用专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到事件网格主题(而不是整个服务),还可以防范数据泄露风险。 有关详细信息,请访问:https://aka.ms/privateendpoints。 | Audit、Disabled | 1.0.2 |
配置 Azure 事件网格域以禁用本地身份验证 | 禁用本地身份验证方法,使 Azure 事件网格域仅将 Azure Active Directory 标识作为身份验证方法。 有关详细信息,请访问:https://aka.ms/aeg-disablelocalauth。 | 修改,已禁用 | 1.0.0 |
使用专用终结点配置 Azure 事件网格命名空间 MQTT 代理 | 通过专用终结点,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 通过将专用终结点映射到资源,可以防范数据泄露风险。 有关详细信息,请访问:https://aka.ms/aeg-ns-privateendpoints。 | DeployIfNotExists、Disabled | 1.0.0 |
使用专用终结点配置 Azure 事件网格命名空间 | 通过专用终结点,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 通过将专用终结点映射到资源,可以防范数据泄露风险。 有关详细信息,请访问:https://aka.ms/aeg-ns-privateendpoints。 | DeployIfNotExists、Disabled | 1.0.0 |
配置 Azure 事件网格合作伙伴命名空间以禁用本地身份验证 | 禁用本地身份验证方法,使 Azure 事件网格合作伙伴命名空间仅将 Azure Active Directory 标识作为身份验证方法。 有关详细信息,请访问:https://aka.ms/aeg-disablelocalauth。 | 修改,已禁用 | 1.0.0 |
配置 Azure 事件网格主题以禁用本地身份验证 | 禁用本地身份验证方法,使 Azure 事件网格主题仅将 Azure Active Directory 标识作为身份验证方法。 有关详细信息,请访问:https://aka.ms/aeg-disablelocalauth。 | 修改,已禁用 | 1.0.0 |
部署 - 配置 Azure 事件网格域以使用专用 DNS 区域 | 使用专用 DNS 区域来替代专用终结点的 DNS 解析。 有关详细信息,请访问:https://aka.ms/privatednszone。 | deployIfNotExists、DeployIfNotExists、Disabled | 1.1.0 |
部署 - 使用专用终结点配置 Azure 事件网格域 | 通过专用终结点,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 通过将专用终结点映射到资源,可以防范数据泄露风险。 有关详细信息,请访问:https://aka.ms/privateendpoints。 | DeployIfNotExists、Disabled | 1.0.0 |
部署 - 配置 Azure 事件网格主题以使用专用 DNS 区域 | 使用专用 DNS 区域来替代专用终结点的 DNS 解析。 有关详细信息,请访问:https://aka.ms/privatednszone。 | deployIfNotExists、DeployIfNotExists、Disabled | 1.1.0 |
部署 - 使用专用终结点配置 Azure 事件网格主题 | 通过专用终结点,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 通过将专用终结点映射到资源,可以防范数据泄露风险。 有关详细信息,请访问:https://aka.ms/privateendpoints。 | DeployIfNotExists、Disabled | 1.0.0 |
修改 - 配置 Azure 事件网格域以禁用公用网络访问 | 禁用对 Azure 事件网格资源的公用网络访问,确保无法通过公共 Internet 对其进行访问。 这将有助于防范数据泄露风险。 你可以通过创建专用终结点来限制资源的公开。 有关详细信息,请访问:https://aka.ms/privateendpoints。 | 修改,已禁用 | 1.0.0 |
修改 - 配置 Azure 事件网格主题以禁用公用网络访问 | 禁用对 Azure 事件网格资源的公用网络访问,确保无法通过公共 Internet 对其进行访问。 这将有助于防范数据泄露风险。 你可以通过创建专用终结点来限制资源的公开。 有关详细信息,请访问:https://aka.ms/privateendpoints。 | 修改,已禁用 | 1.0.0 |
事件中心
名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
---|---|---|---|
应从事件中心命名空间中删除 RootManageSharedAccessKey 以外的所有授权规则 | 服务中心客户端不应使用提供对命名空间中所有队列和主题的访问的命名空间级访问策略。 为了与最低权限安全模型保持一致,应在实体级别为队列和主题创建访问策略,以便仅提供对特定实体的访问权限 | Audit、Deny、Disabled | 1.0.1 |
应针对事件中心实例定义授权规则 | 审核是否存在针对事件中心实体的授权规则,以便授予最低权限访问权限 | AuditIfNotExists、Disabled | 1.0.0 |
Azure 事件中心命名空间应禁用本地身份验证方法 | 禁用本地身份验证方法可确保 Azure Event Hub 命名空间仅将 Microsoft Entra ID 标识作为身份验证方法,从而提高安全性。 有关详细信息,请访问:https://aka.ms/disablelocalauth-eh。 | Audit、Deny、Disabled | 1.0.1 |
配置 Azure 事件中心命名空间以禁用本地身份验证 | 禁用本地身份验证方法,使 Azure Event Hub 命名空间仅将 Microsoft Entra ID 标识作为身份验证方法。 有关详细信息,请访问:https://aka.ms/disablelocalauth-eh。 | 修改,已禁用 | 1.0.1 |
将事件中心命名空间配置为使用专用 DNS 区域 | 使用专用 DNS 区域来替代专用终结点的 DNS 解析。 专用 DNS 区域会链接到虚拟网络,以解析到事件中心命名空间。 有关详细信息,请访问:https://docs.microsoft.com/azure/event-hubs/private-link-service。 | DeployIfNotExists、Disabled | 1.0.0 |
为事件中心命名空间配置专用终结点 | 专用终结点可在源或目标位置没有公共 IP 地址的情况下将虚拟网络连接到 Azure 服务。 通过将专用终结点映射到事件中心命名空间,可以降低数据泄露风险。 有关详细信息,请访问:https://docs.microsoft.com/azure/event-hubs/private-link-service。 | DeployIfNotExists、Disabled | 1.0.0 |
事件中心命名空间应禁用公用网络访问 | Azure 事件中心应禁用公用网络访问。 禁用公用网络访问可确保资源不会在公共 Internet 上公开,从而提高了安全性。 你可以通过创建专用终结点来限制资源的公开。 了解详细信息:https://docs.microsoft.com/azure/event-hubs/private-link-service | Audit、Deny、Disabled | 1.0.0 |
事件中心命名空间应启用双重加密 | 启用双重加密有助于保护数据,使组织能够信守在安全性与合规性方面作出的承诺。 启用双重加密后,将使用两种不同的加密算法和两个不同的密钥对存储帐户中的数据进行两次加密,一次在服务级别,一次在基础结构级别。 | Audit、Deny、Disabled | 1.0.0 |
事件中心命名空间应使用客户管理的密钥进行加密 | Azure 事件中心支持通过 Microsoft 管理的密钥(默认)或客户管理的密钥来加密静态数据。 如果选择使用客户管理的密钥加密数据,则可分配、轮换、禁用和撤销对密钥的访问权限,事件中心将使用密钥加密命名空间中的数据。 请注意,事件中心仅支持使用客户管理的密钥对专用群集中的命名空间进行加密。 | Audit、Disabled | 1.0.0 |
事件中心命名空间应使用专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到事件中心命名空间,可以降低数据泄露风险。 有关详细信息,请访问:https://docs.microsoft.com/azure/event-hubs/private-link-service。 | AuditIfNotExists、Disabled | 1.0.0 |
应启用事件中心内的资源日志 | 对启用资源日志进行审核。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的 | AuditIfNotExists、Disabled | 5.0.0 |
Fluid Relay
名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
---|---|---|---|
Fluid Relay 应使用客户管理的密钥进行静态数据加密 | 使用客户管理的密钥来管理 Fluid Relay 服务器的静态加密。 默认情况下,使用服务管理的密钥对客户数据进行加密,但为了满足监管合规标准,通常需要使用 CMK。 客户管理的密钥允许使用由你创建和拥有的 Azure Key Vault 密钥对数据进行加密,而你具有完全的控制权和责任,包括轮换和管理。 更多信息请访问 https://docs.microsoft.com/azure/azure-fluid-relay/concepts/customer-managed-keys。 | Audit、Disabled | 1.0.0 |
常规
名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
---|---|---|---|
允许的位置 | 通过此策略,可限制组织在部署资源时可指定的位置。 用于强制执行异地符合性要求。 排除资源组、Microsoft.AzureActiveDirectory/b2cDirectories 以及使用“全局”区域的资源。 | deny | 1.0.0 |
允许的资源组位置 | 通过此策略,可限制组织可以创建资源组的位置。 用于强制执行异地符合性要求。 | deny | 1.0.0 |
允许的资源类型 | 此策略可用于指定组织可以部署的资源类型。 只有支持“tags”和“location”的资源类型才会受此策略影响。 若要限制所有资源,请复制此策略并将“mode”更改为“All”。 | deny | 1.0.0 |
审核资源位置是否匹配资源组位置 | 审核资源位置是否与其资源组位置匹配。 | 审核 | 2.0.0 |
审核自定义 RBAC 角色的使用情况 | 审核“所有者、参与者、读者”等内置角色而不是容易出错的自定义 RBAC 角色。 使用自定义角色被视为例外,需要进行严格的审查和威胁建模 | Audit、Disabled | 1.0.1 |
配置订阅以设置预览功能 | 此策略评估现有订阅的预览功能。 可以修复订阅以将其注册到新的预览功能。 新订阅不会自动注册。 | AuditIfNotExists、DeployIfNotExists、Disabled | 1.0.1 |
不允许删除资源类型 | 此策略让你可以通过使用拒绝操作效果来阻止删除调用,从而指定组织可以防止被意外删除的资源类型。 | DenyAction,Disabled | 1.0.1 |
不允许 M365 资源 | 阻止创建 M365 资源。 | Audit、Deny、Disabled | 1.0.0 |
不允许 MCPP 资源 | 阻止创建 MCPP 资源。 | Audit、Deny、Disabled | 1.0.0 |
排除使用成本资源 | 此策略使你能够显示使用成本资源。 使用成本包括按流量计费的存储和根据使用情况计费的 Azure 资源等。 | Audit、Deny、Disabled | 1.0.0 |
不允许的资源类型 | 限制可以在环境中部署的资源类型。 限制资源类型可以降低环境的复杂性和攻击面,同时也有助于管理成本。 仅显示不符合要求的资源的符合性结果。 | Audit、Deny、Disabled | 2.0.0 |
来宾配置
名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
---|---|---|---|
[预览]:添加用户分配的托管标识,以在虚拟机上启用来宾配置分配 | 此策略将用户分配的托管标识添加到 Azure 中托管的虚拟机,这些虚拟机受来宾配置支持。 用户分配的托管标识是所有来宾配置分配的先决条件,并且必须在使用任何来宾配置策略定义之前添加到计算机。 有关来宾配置的详细信息,请访问 https://aka.ms/gcpol。 | AuditIfNotExists、DeployIfNotExists、Disabled | 2.1.0-preview |
[预览]:配置 Windows Server 以禁用本地用户。 | 创建来宾配置分配,以在 Windows Server 上配置禁用本地用户。 这可确保 Windows Server 只能通过 AAD (Azure Active Directory) 帐户或此策略明确允许的用户列表访问,从而改善整体安全状况。 | DeployIfNotExists、Disabled | 1.2.0-preview |
[预览版]:扩展安全更新程序应安装在 Windows Server 2012 Arc 计算机上。 | Windows Server 2012 Arc 计算机应该已安装 Microsoft 发布的所有扩展安全更新程序。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol | AuditIfNotExists、Disabled | 1.0.0-preview |
[预览版]:Linux 计算机应满足 Docker 主机的 Azure 安全基线要求 | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 计算机未根据 Docker 主机的 Azure 安全基线中的某条建议进行正确配置。 | AuditIfNotExists、Disabled | 1.2.0-preview |
:Linux 计算机应满足 Azure 计算的 STIG 合规性要求 | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果计算机未根据 Azure 计算的 STIG 合规性要求中的某条建议进行正确配置,则计算机不合规。 根据美国国防部 (DoD) 之要求,国防信息系统局 (DISA) 提供安全技术实施指南 (STIG) 以保护计算操作系统。 有关详细信息,请参阅 https://public.cyber.mil/stigs/。 | AuditIfNotExists、Disabled | 1.2.0-preview |
:安装了 OMI 的 Linux 计算机应具有版本 1.6.8-1 或更高版本 | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 由于 Linux OMI 包版本 1.6.8-1 中包含的安全修补程序,所有计算机都应更新到最新版本。 升级使用 OMI 解决问题的应用/包。 有关详细信息,请参阅 https://aka.ms/omiguidance。 | AuditIfNotExists、Disabled | 1.2.0-preview |
[预览版]:Nexus 计算机应满足安全基线要求 | 利用 Azure Policy 来宾配置代理进行审核。 此策略确保计算机遵守 Nexus 计算安全基线要求,包括旨在增强计算机以使之免受一系列漏洞和不安全配置影响的各种建议(仅限 Linux)。 | AuditIfNotExists、Disabled | 1.1.0-preview |
[预览]:Windows 计算机应满足 Azure 计算的 STIG 合规性要求 | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果计算机未根据 Azure 计算的 STIG 合规性要求中的某条建议进行正确配置,则计算机不合规。 根据美国国防部 (DoD) 之要求,国防信息系统局 (DISA) 提供安全技术实施指南 (STIG) 以保护计算操作系统。 有关详细信息,请参阅 https://public.cyber.mil/stigs/。 | AuditIfNotExists、Disabled | 1.0.0-preview |
添加系统分配的托管标识,在没有标识的虚拟机上启用来宾配置分配 | 此策略将系统分配的托管标识添加到托管在 Azure 中的虚拟机,这些虚拟机受来宾配置支持,但没有任何托管标识。 系统分配的托管标识是所有来宾配置分配的先决条件,在使用任何来宾配置策略定义之前必须被添加到计算机。 有关来宾配置的详细信息,请访问 https://aka.ms/gcpol。 | modify | 4.1.0 |
添加系统分配的托管标识,以在具有用户分配的标识的 VM 上启用来宾配置分配 | 此策略将系统分配的托管标识添加到托管在 Azure 中的虚拟机,这些虚拟机受来宾配置支持、至少有一个用户分配的标识,但没有系统分配的托管标识。 系统分配的托管标识是所有来宾配置分配的先决条件,在使用任何来宾配置策略定义之前必须被添加到计算机。 有关来宾配置的详细信息,请访问 https://aka.ms/gcpol。 | modify | 4.1.0 |
审核允许通过没有密码的帐户进行远程连接的 Linux 计算机 | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果 Linux 计算机允许通过没有密码的帐户进行远程连接,则计算机不合规 | AuditIfNotExists、Disabled | 3.1.0 |
审核未将密码文件权限设为 0644 的 Linux 计算机 | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果 Linux 计算机未将密码文件权限设为 0644,则计算机不合规 | AuditIfNotExists、Disabled | 3.1.0 |
审核未安装指定应用程序的 Linux 计算机 | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果 Chef InSpec 资源指示未安装参数提供的一个或多个包,则计算机不合规。 | AuditIfNotExists、Disabled | 4.2.0 |
审核具有不使用密码的帐户的 Linux 计算机 | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果 Linux 计算机具有不使用密码的帐户,则计算机不合规 | AuditIfNotExists、Disabled | 3.1.0 |
审核安装了指定应用程序的 Linux 计算机 | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果 Chef InSpec 资源指示安装了参数提供的一个或多个包,则计算机不合规。 | AuditIfNotExists、Disabled | 4.2.0 |
审核 Linux 的 SSH 安全状况(由 OSConfig 提供支持) | 此策略审核 Linux 计算机上的 SSH 服务器安全配置(Azure VM 和已启用 Arc 的计算机)。 有关详细信息,包括先决条件、范围设置、默认值和自定义设置,请参阅 https://aka.ms/SshPostureControlOverview | AuditIfNotExists、Disabled | 1.0.1 |
审核缺少管理员组中任何指定成员的 Windows 计算机 | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果本地管理员组不包含策略参数中列出的一个或多个成员,则计算机不合规。 | auditIfNotExists | 2.0.0 |
审核 Windows 计算机网络连接 | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果 IP 和 TCP 端口的网络连接状态与策略参数不匹配,则计算机不合规。 | auditIfNotExists | 2.0.0 |
审核 DSC 配置不合规的 Windows 计算机 | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果 Windows PowerShell 命令 Get-DSCConfigurationStatus 返回计算机的 DSC 配置不合规,则计算机不合规。 | auditIfNotExists | 3.0.0 |
审核其 Log Analytics 代理未按预期连接的 Windows 计算机 | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果未安装代理,或者安装了代理,但 COM 对象 AgentConfigManager.MgmtSvcCfg 返回它已注册到策略参数中指定的 ID 以外的工作区,则计算机不合规。 | auditIfNotExists | 2.0.0 |
审核未安装指定的服务且“正在运行”的 Windows 计算机 | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果 Windows PowerShell 命令 Get-Service 的结果不包括具有策略参数指定的匹配状态的服务名称,则计算机不合规。 | auditIfNotExists | 3.0.0 |
审核未启用 Windows 串行控制台的 Windows 计算机 | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果计算机未安装串行控制台软件,或没有为 EMS 端口号或波特率配置与策略参数相同的值,则计算机不合规。 | auditIfNotExists | 3.0.0 |
审核允许在指定数量的唯一密码后重新使用密码的 Windows 计算机 | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果 Windows 计算机允许在指定数量的唯一密码后重新使用密码,则这些计算机是不合规的。 唯一密码的默认值为 24 | AuditIfNotExists、Disabled | 2.1.0 |
审核未加入指定域的 Windows 计算机 | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果 WMI 类 win32_computersystem 中 Domain 属性的值与策略参数中的值不匹配,则计算机不合规。 | auditIfNotExists | 2.0.0 |
审核未设置为指定时区的 Windows 计算机 | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果 WMI 类 Win32_TimeZone 中 StandardName 属性的值与策略参数的选定时区不匹配,则计算机不合规。 | auditIfNotExists | 3.0.0 |
审核包含将在指定天数内过期的证书的 Windows 计算机 | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果指定存储中的证书的到期日期超出了参数给定的天数范围,则计算机不合规。 该策略还提供仅检查特定证书或排除特定证书的选项,以及是否报告过期证书的选项。 | auditIfNotExists | 2.0.0 |
审核在受信任的根中不包含指定证书的 Windows 计算机 | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果计算机受信任的根证书存储 (Cert:\LocalMachine\Root) 不包含策略参数列出的一个或多个证书,则计算机不合规。 | auditIfNotExists | 3.0.0 |
审核未将最长密码期限设置为指定天数的 Windows 计算机 | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果 Windows 计算机未将最长密码期限设置为指定天数,则这些计算机是不合规的。 最长密码期限的默认值为 70 天 | AuditIfNotExists、Disabled | 2.1.0 |
审核未将最短密码期限设置为指定天数的 Windows 计算机 | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果 Windows 计算机未将最短密码期限设置为指定天数,则这些计算机是不合规的。 最短密码期限的默认值为 1 天 | AuditIfNotExists、Disabled | 2.1.0 |
审核未启用密码复杂性设置的 Windows 计算机 | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果 Windows 计算机未启用密码复杂性设置,则计算机不合规 | AuditIfNotExists、Disabled | 2.0.0 |
审核没有指定的 Windows PowerShell 执行策略的 Windows 计算机 | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果 Windows PowerShell 命令 Get-ExecutionPolicy 返回的值不是策略参数中所选的值,则计算机不符合要求。 | AuditIfNotExists、Disabled | 3.0.0 |
审核没有安装指定 Windows PowerShell 模块的 Windows 计算机 | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果模块在环境变量 PSModulePath 指定的位置中不可用,则计算机不符合要求。 | AuditIfNotExists、Disabled | 3.0.0 |
审核未将最短密码长度限制为特定字符数的 Windows 计算机 | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果 Windows 计算机没有将最短密码长度限制为特定字符数,则这些计算机是不合规的。 最短密码长度的默认值为 14 个字符 | AuditIfNotExists、Disabled | 2.1.0 |
审核未存储使用可逆加密的密码的 Windows 计算机 | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果 Windows 计算机未存储使用可逆加密的密码,则计算机不合规 | AuditIfNotExists、Disabled | 2.0.0 |
审核未安装指定应用程序的 Windows 计算机 | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果在以下任何注册表路径中都找不到相关应用程序名称,则计算机不合规:HKLM:SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall、HKLM:SOFTWARE\Wow6432node\Microsoft\Windows\CurrentVersion\Uninstall、HKCU:Software\Microsoft\Windows\CurrentVersion\Uninstall。 | auditIfNotExists | 2.0.0 |
审核管理员组中具有额外帐户的 Windows 计算机 | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果本地管理员组包含策略参数中未列出的成员,则计算机不合规。 | auditIfNotExists | 2.0.0 |
审核未在指定天数内重启的 Windows 计算机 | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果类 Win32_Operatingsystem 中的 WMI 属性 LastBootUpTime 不在策略参数提供的天数范围内,则计算机不合规。 | auditIfNotExists | 2.0.0 |
审核安装了指定应用程序的 Windows 计算机 | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果在以下任何注册表路径中找到了相关应用程序名称,则计算机不合规:HKLM:SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall、HKLM:SOFTWARE\Wow6432node\Microsoft\Windows\CurrentVersion\Uninstall、HKCU:Software\Microsoft\Windows\CurrentVersion\Uninstall。 | auditIfNotExists | 2.0.0 |
审核具有管理员组中指定成员的 Windows 计算机 | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果本地管理员组包含策略参数中列出的一个或多个成员,则计算机不合规。 | auditIfNotExists | 2.0.0 |
审核正在等待重新启动的 Windows VM | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果计算机由于以下任一原因正在等待重启,则计算机不合规:基于组件的服务、Windows 更新、挂起的文件重命名、挂起的计算机重命名、配置管理器等待重启。 每次检测都有唯一的注册表路径。 | auditIfNotExists | 2.0.0 |
对 Linux 虚拟机进行身份验证需要 SSH 密钥 | 虽然 SSH 本身提供加密连接,但是将密码用于 SSH 仍会使 VM 易受到暴力攻击。 通过 SSH 对 Azure Linux 虚拟机进行身份验证时,最安全的方法是使用公钥-私钥对,也称为 SSH 密钥。 了解详细信息:https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed。 | AuditIfNotExists、Disabled | 3.2.0 |
将 Linux Server 配置为禁用本地用户。 | 创建来宾配置分配以配置在 Linux 服务器上禁用本地用户。 这可确保 Linux 服务器只能通过 AAD (Azure Active Directory) 帐户或此策略明确允许的用户列表访问,从而改善整体安全状况。 | DeployIfNotExists、Disabled | 1.3.0-preview |
在 Windows 计算机上配置安全通信协议(TLS 1.1 或 TLS 1.2) | 创建来宾配置分配以在 Windows 计算机上配置指定的安全协议版本(TLS 1.1 或 TLS 1.2)。 | DeployIfNotExists、Disabled | 1.0.1 |
为 Linux 配置 SSH 安全状况(由 OSConfig 提供支持) | 此策略审核和配置 Linux 计算机上的 SSH 服务器安全配置(Azure VM 和已启用 Arc 的计算机)。 有关详细信息,包括先决条件、范围设置、默认值和自定义设置,请参阅 https://aka.ms/SshPostureControlOverview | DeployIfNotExists、Disabled | 1.0.1 |
在 Windows 计算机上配置时区。 | 此策略创建一个 Guest Configuration 分配用于在 Windows 虚拟机上设置指定的时区。 | deployIfNotExists | 2.1.0 |
部署 Linux 来宾配置扩展以在 Linux VM 上启用来宾配置分配 | 此策略将 Linux 来宾配置扩展部署到托管在 Azure 中受来宾配置支持的 Linux 虚拟机。 Linux 来宾配置扩展是所有 Linux 来宾配置分配的先决条件,在使用任何 Linux 来宾配置策略定义之前必须将其部署到计算机。 有关来宾配置的详细信息,请访问 https://aka.ms/gcpol。 | deployIfNotExists | 3.1.0 |
部署 Windows 来宾配置扩展以在 Windows VM 上启用来宾配置分配 | 此策略将 Windows 来宾配置扩展部署到托管在 Azure 中受来宾配置支持的 Windows 虚拟机。 Windows 来宾配置扩展是所有 Windows 来宾配置分配的先决条件,在使用任何 Windows 来宾配置策略定义之前必须将其部署到计算机。 有关来宾配置的详细信息,请访问 https://aka.ms/gcpol。 | deployIfNotExists | 1.2.0 |
Linux 计算机应符合 Azure 计算安全基线的要求 | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果计算机未根据 Azure 计算安全基线中的某条建议进行正确配置,则计算机不合规。 | AuditIfNotExists、Disabled | 2.2.0 |
Linux 计算机应仅具有允许的本地帐户 | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 使用 Azure Active Directory 管理用户帐户是标识管理的最佳做法。 减少本地计算机帐户有助于防止在中央系统外部管理的标识激增。 如果存在已启用但未在策略参数中列出的本地用户帐户,则计算机不合规。 | AuditIfNotExists、Disabled | 2.2.0 |
Linux 虚拟机应启用 Azure 磁盘加密或 EncryptionAtHost。 | 尽管虚拟机的 OS 和数据磁盘默认使用平台管理的密钥进行静态加密,但资源磁盘(临时磁盘)、数据缓存以及计算资源和存储资源之间流动的数据不加密。 请使用 Azure 磁盘加密或 EncryptionAtHost 进行修正。 访问 https://aka.ms/diskencryptioncomparison 以比较加密产品/服务。 此策略需要将两个先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 | AuditIfNotExists、Disabled | 1.2.1 |
应在 Linux 计算机上禁用本地身份验证方法 | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果 Linux 服务器未禁用本地身份验证方法,则计算机不合规。 这可确保 Linux 服务器只能通过 AAD (Azure Active Directory) 帐户或此策略明确允许的用户列表访问,从而改善整体安全状况。 | AuditIfNotExists、Disabled | 1.2.0-preview |
应在 Windows 服务器上禁用本地身份验证方法 | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果 Windows 服务器未禁用本地身份验证方法,则计算机不合规。 这是为了验证 Windows Server 只能通过 AAD (Azure Active Directory) 帐户或此策略明确允许的用户列表访问,从而改善整体安全状况。 | AuditIfNotExists、Disabled | 1.0.0-preview |
应启用来宾配置分配的专用终结点 | 专用终结点连接通过启用虚拟机来宾配置的专用连接来加强安全通信。 虚拟机将不符合条件,除非它们具有标记“EnablePrivateNetworkGC”。 此标记将通过虚拟机来宾配置的专用连接强制执行安全通信。 专用连接限制访问仅来自已知网络的流量,并防止访问所有其他 IP 地址,包括 Azure 内的地址。 | Audit、Deny、Disabled | 1.1.0 |
应在计算机上启用 Windows Defender 攻击防护 | Windows Defender 攻击防护使用 Azure Policy 来宾配置代理。 攻击防护服务具有 4 个组件,旨在锁定设备来阻隔各种攻击途径,并阻止恶意软件攻击中常用的行为,同时让企业能够平衡其安全风险和生产力要求(仅限 Windows)。 | AuditIfNotExists、Disabled | 2.0.0 |
应将 Windows 计算机配置为使用安全通信协议 | 为了保护通过 Internet 进行通信的信息的隐私,计算机应使用最新版本的行业标准加密协议,即传输层安全性 (TLS)。 TLS 对计算机之间的连接进行加密来保护网络上的通信。 | AuditIfNotExists、Disabled | 4.1.1 |
Windows 计算机应配置 Windows Defender 以在一天内更新保护签名 | 为了提供足够的保护来防御新发布的恶意软件,需要定期更新 Windows Defender 保护签名来应对新发布的恶意软件。 此策略不适用于连接了 Arc 的服务器,它要求来宾配置先决条件已部署到策略分配范围。 有关来宾配置的详细信息,请访问 https://aka.ms/gcpol。 | AuditIfNotExists、Disabled | 1.0.1 |
Windows 计算机应启用 Windows Defender 实时保护 | Windows 计算机应启用 Windows Defender 中的实时保护,以提供足够的保护来防御新发布的恶意软件。 此策略不适用于连接了 Arc 的服务器,它要求来宾配置先决条件已部署到策略分配范围。 有关来宾配置的详细信息,请访问 https://aka.ms/gcpol。 | AuditIfNotExists、Disabled | 1.0.1 |
Windows 计算机应符合“管理模板 - 控制面板”的要求 | 对于输入个性化和阻止启用锁屏界面,Windows 计算机应在“管理模板 - 控制面板”类别中具有指定的组策略设置。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 | AuditIfNotExists、Disabled | 3.0.0 |
Windows 计算机应符合“管理模板 - MSS (旧版)”的要求 | 对于自动登录、屏幕保护程序、网络行为、安全 DLL 和事件日志,Windows 计算机应在“管理模板 - MSS (旧版)”类别中具有指定的组策略设置。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 | AuditIfNotExists、Disabled | 3.0.0 |
Windows 计算机应符合“管理模板 - 网络”的要求 | Windows 计算机应在“管理模板 - 网络”类别中使用指定的组策略设置,用于来宾登录、并发连接、网桥、ICS 和多播名称解析。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 | AuditIfNotExists、Disabled | 3.0.0 |
Windows 计算机应符合“管理模板 - 系统”的要求 | 对于控制管理体验和远程协助的设置,Windows 计算机应在“管理模板 - 系统”类别中具有指定的组策略设置。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 | AuditIfNotExists、Disabled | 3.0.0 |
Windows 计算机应符合“安全选项 - 帐户”的要求 | Windows 计算机应在“安全选项 - 帐户”类别中具有指定的组策略设置,以限制本地帐户使用空白密码和来宾帐户状态。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 | AuditIfNotExists、Disabled | 3.0.0 |
Windows 计算机应符合“安全选项 - 审核”的要求 | Windows 计算机应在“安全选项 - 审核”类别中具有指定的组策略设置,以便在无法记录安全审核的情况下,强制实施审核策略子类别并进行关闭。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 | AuditIfNotExists、Disabled | 3.0.0 |
Windows 计算机应符合“安全选项 - 设备”的要求 | Windows 计算机应在“安全选项 - 设备”类别中具有指定的组策略设置,以便在不登录的情况下进行移除、安装打印驱动程序以及设置格式/弹出媒体。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 | AuditIfNotExists、Disabled | 3.0.0 |
Windows 计算机应符合“安全选项 - 交互式登录”的要求 | Windows 计算机应在“安全选项 - 交互式登录”类别中具有指定的组策略设置,以便显示上一个用户名并要求按 Ctrl-Alt-Del。此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 | AuditIfNotExists、Disabled | 3.0.0 |
Windows 计算机应符合“安全选项 - Microsoft 网络客户端”的要求 | 对于 Microsoft 网络客户端/服务器和 SMB v1,Windows 计算机应在“安全选项 - Microsoft 网络客户端”类别中具有指定的组策略设置。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 | AuditIfNotExists、Disabled | 3.0.0 |
Windows 计算机应符合“安全选项 - Microsoft 网络服务器”的要求 | Windows 计算机应在“安全选项 - Microsoft 网络服务器”类别中具有指定的组策略设置,以禁用 SMB v1 服务器。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 | AuditIfNotExists、Disabled | 3.0.0 |
Windows 计算机应符合“安全选项 - 网络访问”的要求 | Windows 计算机应在“安全选项 - 网络访问”类别中具有指定的组策略设置,以包含匿名用户、本地帐户的访问权限和对注册表的远程访问权限。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 | AuditIfNotExists、Disabled | 3.0.0 |
Windows 计算机应符合“安全选项 - 网络安全”的要求 | Windows 计算机应在“安全选项 - 网络安全”类别中使用指定的组策略设置,以包含本地系统行为、PKU2U、LAN Manager、LDAP 客户端和 NTLM SSP。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 | AuditIfNotExists、Disabled | 3.0.0 |
Windows 计算机应符合“安全选项 - 恢复控制台”的要求 | Windows 计算机应在“安全选项 - 恢复控制台”类别中具有指定的组策略设置,以便允许对所有驱动器和文件夹进行软盘复制和访问。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 | AuditIfNotExists、Disabled | 3.0.0 |
Windows 计算机应符合“安全选项 - 关闭”的要求 | Windows 计算机应在“安全选项 - 关闭”类别中具有指定的组策略设置,以便允许在未登录的情况下关闭并清除虚拟内存页面文件。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 | AuditIfNotExists、Disabled | 3.0.0 |
Windows 计算机应符合“安全选项 - 系统对象”的要求 | 对于非 Windows 子系统不区分大小写和内部系统对象的权限,Windows 计算机应在“安全选项 - 系统对象”类别中具有指定的组策略设置。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 | AuditIfNotExists、Disabled | 3.0.0 |
Windows 计算机应符合“安全选项 - 系统设置”的要求 | 对于 SRP 和可选子系统的可执行文件的证书规则,Windows 计算机应在“安全选项 - 系统设置”类别中具有指定的组策略设置。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 | AuditIfNotExists、Disabled | 3.0.0 |
Windows 计算机应符合“安全选项 - 用户帐户控制”的要求 | 对于管理员模式、提升提示行为以及虚拟化文件和注册表写入失败,Windows 计算机应在“安全选项 - 用户帐户控制”类别中具有指定的组策略设置。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 | AuditIfNotExists、Disabled | 3.0.0 |
Windows 计算机应符合“安全设置 - 帐户策略”的要求 | 对于密码历史记录、使用期限、长度、复杂性以及使用可还原加密存储密码,Windows 计算机应在“安全设置 - 帐户策略”类别中具有指定的组策略设置。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 | AuditIfNotExists、Disabled | 3.0.0 |
Windows 计算机应符合“系统审核策略 - 帐户登录”的要求 | Windows 计算机应在“系统审核策略 - 帐户登录”类别中具有指定的组策略设置,以便审核凭据验证和其他帐户登录事件。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 | AuditIfNotExists、Disabled | 3.0.0 |
Windows 计算机应符合“系统审核策略 - 帐户管理”的要求 | Windows 计算机应在“系统审核策略 - 帐户管理”类别中具有指定的组策略设置,以便审核应用程序、安全性和用户组管理以及其他管理事件。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 | AuditIfNotExists、Disabled | 3.0.0 |
Windows 计算机应符合“系统审核策略 - 详细跟踪”的要求 | Windows 计算机应在“系统审核策略 - 详细跟踪”类别中具有指定的组策略设置,以便审核 DPAPI、进程创建/终止、RPC 事件和 PNP 活动。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 | AuditIfNotExists、Disabled | 3.0.0 |
Windows 计算机应符合“系统审核策略 - 登录与注销”的要求 | Windows 计算机应在“系统审核策略 - 登录与注销”类别中具有指定的组策略设置,以便审核 IPSec、网络策略、声明、帐户锁定、组成员身份和登录/注销事件。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 | AuditIfNotExists、Disabled | 3.0.0 |
Windows 计算机应符合“系统审核策略 - 对象访问”的要求 | Windows 计算机应在“系统审核策略 - 对象访问”类别中具有指定的组策略设置,以便审核文件、注册表、SAM、存储、筛选、内核和其他系统类型。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 | AuditIfNotExists、Disabled | 3.0.0 |
Windows 计算机应符合“系统审核策略 - 策略更改”的要求 | Windows 计算机应在“系统审核策略 - 策略更改”类别中具有指定的组策略设置,以便审核对系统审核策略所做的更改。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 | AuditIfNotExists、Disabled | 3.0.0 |
Windows 计算机应符合“系统审核策略 - 特权使用”的要求 | Windows 计算机应在“系统审核策略 - 特权使用”类别中具有指定的组策略设置,以便审核非敏感特权和其他权限使用。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 | AuditIfNotExists、Disabled | 3.0.0 |
Windows 计算机应符合“系统审核策略 - 系统”的要求 | Windows 计算机应在“系统审核策略 - 系统”类别中具有指定的组策略设置,以便审核 IPsec 驱动程序、系统完整性、系统扩展、状态更改和其他系统事件。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 | AuditIfNotExists、Disabled | 3.0.0 |
Windows 计算机应符合“用户权限分配”的要求 | Windows 计算机应在“用户权限分配”类别中具有指定的组策略设置,以允许本地登录、RDP、从网络进行访问以及其他很多用户活动。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 | AuditIfNotExists、Disabled | 3.0.0 |
Windows 计算机应符合“Windows 组件”的要求 | 对于基本身份验证、未加密的流量、Microsoft 帐户、遥测、Cortana 和其他 Windows 行为,Windows 计算机应在“Windows 组件”类别中具有指定的组策略设置。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 | AuditIfNotExists、Disabled | 3.0.0 |
Windows 计算机应符合“Windows 防火墙属性”的要求 | 对于防火墙状态、连接、规则管理和通知,Windows 计算机应在“Windows 防火墙属性”类别中具有指定的组策略设置。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 | AuditIfNotExists、Disabled | 3.0.0 |
Windows 计算机应符合 Azure 计算安全基线的要求 | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果计算机未根据 Azure 计算安全基线中的某条建议进行正确配置,则计算机不合规。 | AuditIfNotExists、Disabled | 2.0.0 |
Windows 计算机应仅具有允许的本地帐户 | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 Windows Server 2012 或 2012 R2 不支持此定义。 使用 Azure Active Directory 管理用户帐户是标识管理的最佳做法。 减少本地计算机帐户有助于防止在中央系统外部管理的标识激增。 如果存在已启用但未在策略参数中列出的本地用户帐户,则计算机不合规。 | AuditIfNotExists、Disabled | 2.0.0 |
Windows 虚拟机应启用 Azure 磁盘加密或 EncryptionAtHost。 | 尽管虚拟机的 OS 和数据磁盘默认使用平台管理的密钥进行静态加密,但资源磁盘(临时磁盘)、数据缓存以及计算资源和存储资源之间流动的数据不加密。 请使用 Azure 磁盘加密或 EncryptionAtHost 进行修正。 访问 https://aka.ms/diskencryptioncomparison 以比较加密产品/服务。 此策略需要将两个先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 | AuditIfNotExists、Disabled | 1.1.1 |
HDInsight
名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
---|---|---|---|
应将 Azure HDInsight 群集注入到虚拟网络中 | 在虚拟网络中注入 Azure HDInsight 群集可以解除对高级 HDInsight 网络和安全功能的锁定,并为你提供对网络安全配置的控制。 | 审核、已禁用、拒绝 | 1.0.0 |
Azure HDInsight 群集应使用客户管理的密钥来加密静态数据 | 使用客户管理的密钥来管理 Azure HDInsight 群集的静态加密。 默认情况下,使用服务管理的密钥对客户数据进行加密,但为了满足法规符合性标准,通常需要使用客户管理的密钥。 客户管理的密钥允许使用由你创建并拥有的 Azure Key Vault 密钥对数据进行加密。 你可以完全控制并负责关键生命周期,包括轮换和管理。 更多信息请访问 https://aka.ms/hdi.cmk。 | Audit、Deny、Disabled | 1.0.1 |
Azure HDInsight 群集应使用主机加密来加密静态数据 | 启用主机加密有助于保护数据,使组织能够信守在安全性与合规性方面作出的承诺。 启用主机加密时,存储在 VM 主机上的数据将静态加密,且已加密的数据将流向存储服务。 | Audit、Deny、Disabled | 1.0.0 |
Azure HDInsight 群集应使用传输中加密来加密 Azure HDInsight 群集节点之间的通信 | 在 Azure HDInsight 群集节点之间的传输过程中,数据可能会被篡改。 启用传输中加密可解决传输过程中的滥用和篡改问题。 | Audit、Deny、Disabled | 1.0.0 |
Azure HDInsight 应使用专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到 Azure HDInsight 群集,可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://aka.ms/hdi.pl。 | AuditIfNotExists、Disabled | 1.0.0 |
将 Azure HDInsight 群集配置为使用专用 DNS 区域 | 使用专用 DNS 区域来替代专用终结点的 DNS 解析。 专用 DNS 区域会链接到虚拟网络,以解析到 Azure HDInsight 群集。 有关详细信息,请访问:https://aka.ms/hdi.pl。 | DeployIfNotExists、Disabled | 1.0.0 |
为 Azure HDInsight 群集配置专用终结点 | 在没有公共 IP 地址的情况下,专用终结点可在源或目标位置将虚拟网络连接到 Azure 服务。 通过将专用终结点映射到 Azure HDInsight 群集,可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://aka.ms/hdi.pl。 | DeployIfNotExists、Disabled | 1.0.0 |
运行状况机器人
名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
---|---|---|---|
Azure Health Bot 应使用客户管理的密钥加密静态数据 | 使用客户管理的密钥 (CMK) 来管理 healthbot 数据的静态加密。 默认情况下会使用服务管理的密钥对数据进行静态加密,但为了满足合规标准,通常需要使用 CMK。 CMK 允许使用由你创建并拥有的 Azure Key Vault 密钥对数据进行加密。 你可以完全控制并负责关键生命周期,包括轮换和管理。 有关详细信息,请访问 https://docs.microsoft.com/azure/health-bot/cmk | Audit、Disabled | 1.0.0 |
Health Data Services 工作区
名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
---|---|---|---|
Azure Health Data Services 工作区应使用专用链接 | Health Data Services 工作区应至少有一个已批准的专用终结点连接。 虚拟网络中的客户端可以安全地访问通过专用链接获得专用终结点连接的资源。 有关详细信息,请访问:https://aka.ms/healthcareapisprivatelink。 | Audit、Disabled | 1.0.0 |
Health 去标识化服务
名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
---|---|---|---|
Azure Health Data Services 去标识化服务应禁用公用网络访问 | 禁用公用网络访问可确保资源不会在公共 Internet 上公开,从而提高了安全性。 你可以通过创建专用终结点来限制资源的公开。 | Audit、Disabled | 1.0.0 |
Azure Health Data Services 去标识化服务应使用专用链接 | Azure Health Data Services 去标识服务应至少具有一个批准的专用终结点连接。 虚拟网络中的客户端可以安全地访问通过专用链接获得专用终结点连接的资源。 | Audit、Disabled | 1.0.0 |
医疗保健 API
名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
---|---|---|---|
CORS 不应允许每个域都可以访问 FHIR 服务 | 跨源资源共享 (CORS) 不应允许所有域都能访问你的 FHIR 服务。 为了保护 FHIR 服务,请删除所有域的访问权限,并显式定义允许连接的域。 | 审核、审核、禁用、禁用 | 1.1.0 |
DICOM 服务应使用客户管理的密钥对数据进行静态加密 | 根据相关的法规或合规性要求,请使用客户管理的密钥来控制对 Azure Health Data Services DICOM 服务中存储的数据的静态加密。 客户托管密钥还提供双重加密,方法是在使用服务托管密钥完成的默认加密层上添加另一层加密。 | Audit、Disabled | 1.0.0 |
FHIR 服务应使用客户管理的密钥对数据进行静态加密 | 根据相关的法规或合规性要求,请使用客户管理的密钥来控制对 Azure Health Data Services FHIR 服务中存储的数据的静态加密。 客户托管密钥还提供双重加密,方法是在使用服务托管密钥完成的默认加密层上添加另一层加密。 | Audit、Disabled | 1.0.0 |
物联网
名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
---|---|---|---|
[预览]:Azure IoT 中心应使用客户管理的密钥进行静态数据加密 | 使用客户管理的密钥对 IoT 中心内的数据进行静态加密可以在默认的服务管理的密钥基础上增加另一层加密,使客户能够控制密钥、自定义轮换策略,并能够通过密钥访问控制来管理对数据的访问。 在创建 IoT 中心期间必须配置客户管理的密钥。 有关如何配置客户管理的密钥的详细信息,请参阅 https://aka.ms/iotcmk。 | Audit、Deny、Disabled | 1.0.0-preview |
[预览]:应使用客户管理的密钥(CMK)来加密 IoT 中心设备预配服务数据 | 使用客户管理的密钥来管理 IoT 中心设备预配服务的静态加密。 将使用服务管理的密钥自动对数据进行静态加密,但为了满足监管合规标准,通常需要使用客户管理的密钥 (CMK)。 CMK 允许使用由你创建并拥有的 Azure Key Vault 密钥对数据进行加密。 访问 https://aka.ms/dps/CMK,了解有关 CMK 加密的详细信息。 | Audit、Deny、Disabled | 1.0.0-preview |
Azure Device Update 帐户应使用客户管理的密钥来加密静态数据 | 使用客户管理的密钥对 Azure Device Update 内的静态数据进行加密可以在默认的服务管理的密钥基础上增加另一层加密,使客户能够控制密钥、自定义轮换策略,并能够通过密钥访问控制来管理对数据的访问。 了解详细信息:https://learn.microsoft.com/azure/iot-hub-device-update/device-update-data-encryption。 | Audit、Deny、Disabled | 1.0.0 |
Azure Device Update for IoT Hub 帐户应使用专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到 Azure Device Update for IoT Hub 帐户,可以减少数据泄漏风险。 | AuditIfNotExists、Disabled | 1.0.0 |
Azure IoT 中心应为服务 API 禁用本地身份验证方法 | 禁用本地身份验证方法可确保 Azure IoT 中心仅将 Azure Active Directory 标识作为服务 API 身份验证方法,从而提高安全性。 有关详细信息,请访问:https://aka.ms/iothubdisablelocalauth。 | Audit、Deny、Disabled | 1.0.0 |
配置 Azure Device Update for IoT Hub 账户以禁用公用网络访问权限 | 禁用公用网络访问属性可以确保只能从专用终结点访问 Device Update for IoT Hub,从而可以提高安全性。 此策略将禁用对 Device Update for IoT Hub 资源的公用网络访问。 | 修改,已禁用 | 1.0.0 |
配置 Azure Device Update for IoT Hub 以使用专用 DNS 区域 | Azure 专用 DNS 提供可靠、安全的 DNS 服务来管理和解析虚拟网络中的域名,无需添加自定义 DNS 解决方案。 可将你自己的自定义域名用于专用终结点,使用专用 DNS 区域来替代 DNS 解析。 此策略将为 Device Update for IoT Hub 专用终结点部署专用 DNS 区域。 | DeployIfNotExists、Disabled | 1.0.0 |
通过专用终结点配置 Azure Device Update for IoT Hub 帐户 | 专用终结点是在客户拥有的虚拟网络内部分配的专用 IP 地址,可通过该地址访问 Azure 资源。 此策略将为 Device Update for IoT Hub 部署专用终结点,以允许虚拟网络中的服务访问此资源,而无需将流量发送到 Device Update for IoT Hub 的公共终结点。 | DeployIfNotExists、Disabled | 1.1.0 |
配置 Azure IoT 中心以禁用本地身份验证 | 禁用本地身份验证方法,使 Azure IoT 中心仅需要 Azure Active Directory 标识进行身份验证。 有关详细信息,请访问:https://aka.ms/iothubdisablelocalauth。 | 修改,已禁用 | 1.0.0 |
将 IoT 中心设备预配实例配置为使用专用 DNS 区域 | 使用专用 DNS 区域来替代专用终结点的 DNS 解析。 专用 DNS 区域链接到虚拟网络,以便对 IoT 中心设备预配服务实例进行解析。 有关详细信息,请访问:https://aka.ms/iotdpsvnet。 | DeployIfNotExists、Disabled | 1.0.0 |
将 IoT 中心设备预配服务实例配置为禁用公用网络访问 | 对 IoT 中心设备预配实例禁用公用网络访问,以防止通过公共 Internet 对其进行访问。 这可以降低数据泄露风险。 有关详细信息,请访问:https://aka.ms/iotdpsvnet。 | 修改,已禁用 | 1.0.0 |
为 IoT 中心设备预配服务实例配置专用终结点 | 专用终结点可在源或目标位置没有公共 IP 地址的情况下将虚拟网络连接到 Azure 服务。 将专用终结点映射到 IoT 中心设备预配服务可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://aka.ms/iotdpsvnet。 | DeployIfNotExists、Disabled | 1.0.0 |
部署 - 将 Azure IoT 中心配置为使用专用 DNS 区域 | Azure 专用 DNS 提供可靠、安全的 DNS 服务来管理和解析虚拟网络中的域名,无需添加自定义 DNS 解决方案。 可将你自己的自定义域名用于专用终结点,使用专用 DNS 区域来替代 DNS 解析。 此策略将为 IoT 中心专用终结点部署专用 DNS 区域。 | deployIfNotExists、DeployIfNotExists、disabled、Disabled | 1.1.0 |
部署 - 为 Azure IoT 中心配置专用终结点 | 专用终结点是在客户拥有的虚拟网络内部分配的专用 IP 地址,可通过该地址访问 Azure 资源。 此策略将为 IoT 中心部署专用终结点,以允许虚拟网络中的服务访问 IoT 中心,而无需将流量发送到 IoT 中心的公共终结点。 | DeployIfNotExists、Disabled | 1.0.0 |
部署 - 将 IoT Central 配置为使用专用 DNS 区域 | Azure 专用 DNS 提供可靠、安全的 DNS 服务来管理和解析虚拟网络中的域名,无需添加自定义 DNS 解决方案。 可将你自己的自定义域名用于专用终结点,使用专用 DNS 区域来替代 DNS 解析。 该策略将为 IoT Central 专用终结点部署专用 DNS 区域。 | DeployIfNotExists、Disabled | 1.0.0 |
部署 - 为 IoT Central 配置专用终结点 | 专用终结点是在客户拥有的虚拟网络内部分配的专用 IP 地址,可通过该地址访问 Azure 资源。 此策略将为 IoT Central 部署专用终结点,以允许虚拟网络中的服务访问 IoT Central,而无需将流量发送到 IoT Central 的公共终结点。 | DeployIfNotExists、Disabled | 1.0.0 |
IoT Central 应使用专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到 IoT Central 应用程序而不是整个服务,可降低数据泄露风险。 有关专用链接的详细信息,请访问:https://aka.ms/iotcentral-network-security-using-pe。 | Audit、Deny、Disabled | 1.0.0 |
IoT 中心设备预配服务实例应禁用公用网络访问 | 禁用公用网络访问可确保 IoT 中心设备预配服务实例不会在公共 Internet 中公开,从而可提高安全性。 创建专用终结点可以限制 IoT 中心设备预配实例的公开。 有关详细信息,请访问:https://aka.ms/iotdpsvnet。 | Audit、Deny、Disabled | 1.0.0 |
IoT 中心设备预配服务实例应使用专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 将专用终结点映射到 IoT 中心设备预配服务可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://aka.ms/iotdpsvnet。 | Audit、Disabled | 1.0.0 |
修改 - 将 Azure IoT 中心配置为禁用公用网络访问 | 禁用公用网络访问属性可确保只能从专用终结点访问 Azure IoT 中心,从而提高安全性。 此策略将禁用对 IoT 中心资源的公用网络访问。 | 修改,已禁用 | 1.0.0 |
修改 - 将 IoT Central 配置为禁用公用网络访问 | 禁用公用网络访问属性可确保只能从专用终结点访问 IoT Central,从而提高安全性。 此策略将禁用对 IoT 中心资源的公用网络访问。 | 修改,已禁用 | 1.0.0 |
应为 IoT 中心启用专用终结点 | 专用终结点连接通过启用到 IoT 中心的专用连接来强制实施安全通信。 配置专用终结点连接,以启用对仅来自已知网络的流量的访问,并防止访问所有其他 IP 地址,包括 Azure 内的地址。 | Audit、Disabled | 1.0.0 |
应禁用 Azure Device Update for IoT Hub 的公用网络访问权限 | 通过确保只能从专用终结点访问 Azure Device Update for IoT Hub 账户,禁用公用网络访问属性改进了安全性。 | Audit、Deny、Disabled | 1.0.0 |
应禁用对 Azure IoT 中心进行公用网络访问 | 禁用公用网络访问属性可确保只能从专用终结点访问 Azure IoT 中心,从而提高安全性。 | Audit、Deny、Disabled | 1.0.0 |
应为 IoT Central 禁用公用网络访问 | 若要提高 IoT Central 的安全性,请确保它不会公开到公共 Internet,并且只能从专用终结点访问。 如 https://aka.ms/iotcentral-restrict-public-access 中所述禁用公共网络访问属性。 此选项禁止访问 Azure IP 范围之外的任何公共地址空间,并拒绝与 IP 或基于虚拟网络的防火墙规则匹配的所有登录。 这样会降低数据泄露风险。 | Audit、Deny、Disabled | 1.0.0 |
应启用 IoT 中心内的资源日志 | 对启用资源日志进行审核。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的 | AuditIfNotExists、Disabled | 3.1.0 |
密钥保管库
名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
---|---|---|---|
[预览版]:Azure Key Vault 托管 HSM 密钥应具有过期日期 | 若要在预览版中使用此策略,必须先按照 https://aka.ms/mhsmgovernance 中的这些说明进行操作。 应为加密密钥定义非永久性到期日期。 密钥永久有效会导致潜在攻击者有更多时间来破解密钥。 建议的安全做法是为加密密钥设置到期日期。 | Audit、Deny、Disabled | 1.0.1-preview |
[预览版]:Azure Key Vault 托管 HSM 密钥的过期天数应超过指定的天数 | 若要在预览版中使用此策略,必须先按照 https://aka.ms/mhsmgovernance 中的这些说明进行操作。 如果密钥临近到期,组织延迟轮换密钥可能会导致服务中断。 应在密钥到期前指定的天数轮换密钥,以提供足够的时间来应对故障。 | Audit、Deny、Disabled | 1.0.1-preview |
[预览版]:使用椭圆曲线加密的 Azure Key Vault 托管 HSM 密钥应具有指定的曲线名称 | 若要在预览版中使用此策略,必须先按照 https://aka.ms/mhsmgovernance 中的这些说明进行操作。 椭圆曲线加密支持的密钥可以具有不同的曲线名称。 某些应用程序仅与特定椭圆曲线密钥兼容。 强制使用可在你的环境中创建的椭圆曲线密钥类型。 | Audit、Deny、Disabled | 1.0.1-preview |
[预览版]:使用 RSA 加密的 Azure Key Vault 托管 HSM 密钥应指定最小密钥大小 | 若要在预览版中使用此策略,必须先按照 https://aka.ms/mhsmgovernance 中的这些说明进行操作。 设置用于密钥保管库的最小允许密钥大小。 使用密钥大小较小的 RSA 密钥并非安全的做法,不符合许多行业认证要求。 | Audit、Deny、Disabled | 1.0.1-preview |
[预览]:Azure Key Vault 托管 HSM 应禁用公用网络访问 | 禁用对 Azure Key Vault 托管 HSM 的公用网络访问,确保无法通过公共 Internet 对其进行访问。 这样可以减少数据泄露风险。 有关详细信息,请访问:https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link#allow-trusted-services-to-access-managed-hsm。 | Audit、Deny、Disabled | 1.0.0-preview |
[预览]:Azure Key Vault 托管 HSM 应使用专用链接 | 专用链接提供了一种将 Azure Key Vault 托管 HSM 连接到 Azure 资源,而无需通过公共 Internet 发送流量的方法。 专用链接提供深度防御,可防范数据外泄。 了解详细信息:https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link | Audit、Disabled | 1.0.0-preview |
[预览版]:证书应由指定的非集成证书颁发机构之一颁发 | 通过指定可以在密钥保管库中颁发证书的自定义或内部证书颁发机构,管理组织的符合性要求。 | Audit、Deny、Disabled | 1.0.0-preview |
[预览]:配置 Azure Key Vault 托管 HSM 以禁用公用网络访问 | 禁用对 Azure Key Vault 托管 HSM 的公用网络访问,确保无法通过公共 Internet 对其进行访问。 这样可以减少数据泄露风险。 有关详细信息,请访问:https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link#allow-trusted-services-to-access-managed-hsm。 | 修改,已禁用 | 2.0.0-preview |
[预览]:为 Azure Key Vault 托管 HSM 配置专用终结点 | 在没有公共 IP 地址的情况下,专用终结点可在源或目标位置将虚拟网络连接到 Azure 服务。 通过将专用终结点映射到 Azure Key Vault 托管 HSM,可以降低数据泄露风险。 有关详细信息,请访问:https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link。 | DeployIfNotExists、Disabled | 1.0.0-preview |
Azure Key Vault 托管的 HSM 应启用清除保护 | 恶意删除 Azure Key Vault 托管的 HSM 可能导致永久数据丢失。 你组织中的恶意内部人员可能会删除和清除 Azure Key Vault 托管的 HSM。 清除保护通过强制实施软删除 Azure Key Vault 托管的 HSM 的强制保留期来保护你免受内部人员的攻击。 你的组织内的任何人都无法在软删除保留期内清除 Azure Key Vault 托管的 HSM。 | Audit、Deny、Disabled | 1.0.0 |
Azure 密钥保管库应禁用公用网络访问 | 禁用对密钥保管库的公用网络访问,确保无法通过公共 Internet 对其进行访问。 这样可以减少数据泄露风险。 有关详细信息,请访问:https://aka.ms/akvprivatelink。 | Audit、Deny、Disabled | 1.1.0 |
Azure 密钥保管库应启用防火墙 | 启用密钥保管库防火墙,以便默认情况下,任何公共 IP 都无法访问密钥保管库。 (可选)可以配置特定的 IP 范围来限制对这些网络的访问。 了解详细信息:https://docs.microsoft.com/azure/key-vault/general/network-security | Audit、Deny、Disabled | 3.2.1 |
Azure Key Vault 应使用 RBAC 权限模型 | 跨 Key Vault 启用 RBAC 权限模型。 了解详细信息:https://learn.microsoft.com/en-us/azure/key-vault/general/rbac-migration | Audit、Deny、Disabled | 1.0.1 |
Azure 密钥保管库应使用专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到密钥保管库,可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://aka.ms/akvprivatelink。 | [parameters('audit_effect')] | 1.2.1 |
证书应由指定的集成证书颁发机构颁发 | 通过指定可以在密钥保管库(如 Digicert 或 GlobalSign)中颁发证书的 Azure 集成证书颁发机构,管理组织的符合性要求。 | audit、Audit、deny、Deny、disabled、Disabled | 2.1.0 |
证书应由指定的非集成证书颁发机构颁发 | 通过指定一个可以在密钥保管库中颁发证书的自定义或内部证书颁发机构,管理组织的符合性要求。 | audit、Audit、deny、Deny、disabled、Disabled | 2.1.1 |
证书应具有指定的生存期操作触发器 | 通过指定证书生存期操作是在生存期的特定百分比处触发,还是在到期前提前特定天数触发,管理组织的符合性要求。 | audit、Audit、deny、Deny、disabled、Disabled | 2.1.0 |
证书应具有指定的最长有效期 | 通过指定证书在密钥保管库中的最长有效时间,管理组织的符合性要求。 | audit、Audit、deny、Deny、disabled、Disabled | 2.2.1 |
证书在指定的天数内不应过期 | 管理将在指定天数内到期的证书,以确保组织有足够的时间在到期前对证书进行轮换。 | audit、Audit、deny、Deny、disabled、Disabled | 2.1.1 |
证书应使用允许的密钥类型 | 通过限制允许用于证书的密钥类型,管理组织的符合性要求。 | audit、Audit、deny、Deny、disabled、Disabled | 2.1.0 |
使用椭圆曲线加密的证书应使用允许的曲线名称 | 管理密钥保管库中存储的 ECC 证书可用的椭圆曲线名称。 可在 https://aka.ms/akvpolicy 找到更多信息。 | audit、Audit、deny、Deny、disabled、Disabled | 2.1.0 |
使用 RSA 加密的证书应具有指定的最小密钥大小 | 通过指定存储在密钥保管库中的 RSA 证书的最小密钥大小,管理组织的符合性要求。 | audit、Audit、deny、Deny、disabled、Disabled | 2.1.0 |
将 Azure 密钥保管库配置为使用专用 DNS 区域 | 使用专用 DNS 区域来替代专用终结点的 DNS 解析。 专用 DNS 区域会链接到虚拟网络,以解析到密钥保管库。 有关详细信息,请访问:https://aka.ms/akvprivatelink。 | DeployIfNotExists、Disabled | 1.0.1 |
为 Azure 密钥保管库配置专用终结点 | 在没有公共 IP 地址的情况下,专用终结点可在源或目标位置将虚拟网络连接到 Azure 服务。 通过将专用终结点映射到密钥保管库,可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://aka.ms/akvprivatelink。 | DeployIfNotExists、Disabled | 1.0.1 |
配置密钥保管库以启用防火墙 | 启用密钥保管库防火墙,以便默认情况下,任何公共 IP 都无法访问密钥保管库。 然后,可以配置特定的 IP 范围来限制对这些网络的访问。 了解详细信息:https://docs.microsoft.com/azure/key-vault/general/network-security | 修改,已禁用 | 1.1.1 |
部署 - 为 Azure Key Vault 配置诊断设置,以便将资源日志流式传输到 Log Analytics 工作区 | 为 Azure Key Vault 部署诊断设置,以便在创建或更新缺少此诊断设置的任何密钥保管库时,将资源日志流式传输到 Log Analytics 工作区。 | DeployIfNotExists、Disabled | 2.0.1 |
部署 - 配置要在 Azure Key Vault 管理的 HSM 上启用的事件中心的诊断设置 | 部署 Azure Key Vault 管理的 HSM 的诊断设置,以便在创建或更新任何缺少此诊断设置的 Azure Key Vault 管理的 HSM 时,将诊断设置流式传输到区域事件中心。 | DeployIfNotExists、Disabled | 1.0.0 |
将 Key Vault 的诊断设置部署到事件中心 | 创建或更新缺少此诊断设置的任何 Key Vault 时,部署 Key Vault 的诊断设置,以便流式传输到区域事件中心。 | DeployIfNotExists、Disabled | 3.0.1 |
Key Vault 密钥应具有到期日期 | 应为加密密钥定义非永久性到期日期。 密钥永久有效会导致潜在攻击者有更多时间来破解密钥。 建议的安全做法是为加密密钥设置到期日期。 | Audit、Deny、Disabled | 1.0.2 |
Key Vault 机密应具有到期日期 | 应为机密定义非永久性到期日期。 机密永久有效会导致潜在攻击者有更多时间来破解密钥。 建议的安全做法是为机密设置到期日期。 | Audit、Deny、Disabled | 1.0.2 |
Key Vault 应启用删除保护 | 恶意删除密钥保管库可能会导致永久丢失数据。 可以通过启用清除保护和软删除来防止永久数据丢失。 清除保护通过强制实施软删除密钥保管库的强制保留期来保护你免受内部攻击。 你的组织内的任何人都无法在软删除保留期内清除你的密钥保管库。 请记住,在 2019 年 9 月 1 日之后创建的密钥保管库默认启用软删除。 | Audit、Deny、Disabled | 2.1.0 |
密钥保管库应启用软删除 | 在未启用软删除的情况下删除密钥保管库,将永久删除密钥保管库中存储的所有机密、密钥和证书。 意外删除密钥保管库可能会导致永久丢失数据。 软删除允许在可配置的保持期内恢复意外删除的密钥保管库。 | Audit、Deny、Disabled | 3.0.0 |
密钥应由硬件安全模块 (HSM) 提供支持 | HSM 是存储密钥的硬件安全模块。 HSM 为加密密钥提供物理保护层。 加密密钥不能离开物理 HSM,物理 HSM 提供比软件密钥更高的安全级别。 | Audit、Deny、Disabled | 1.0.1 |
密钥应为指定的加密类型 RSA 或 EC | 某些应用程序需要使用特定加密类型支持的密钥。 在你的环境中强制使用特定加密密钥类型:RSA 或 EC。 | Audit、Deny、Disabled | 1.0.1 |
密钥应具有轮换策略,确保在创建后的指定天数内安排其轮换。 | 指定密钥创建之后、必须进行轮换之前的最大天数,从而管理组织的合规性要求。 | Audit、Disabled | 1.0.0 |
密钥的剩余有效期应超过指定的天数 | 如果密钥临近到期,组织延迟轮换密钥可能会导致服务中断。 应在密钥到期前指定的天数轮换密钥,以提供足够的时间来应对故障。 | Audit、Deny、Disabled | 1.0.1 |
密钥应具有指定的最长有效期 | 通过指定密钥在密钥保管库中的最长有效期(以天为单位),管理组织的合规性要求。 | Audit、Deny、Disabled | 1.0.1 |
密钥的已生效时间不应超过指定的天数 | 指定密钥应有效的天数。 长时间使用的密钥会增加攻击者破解密钥的可能性。 良好的安全做法是确保密钥有效期不超过两年。 | Audit、Deny、Disabled | 1.0.1 |
使用椭圆曲线加密的密钥应使用指定的曲线名称 | 椭圆曲线加密支持的密钥可以具有不同的曲线名称。 某些应用程序仅与特定椭圆曲线密钥兼容。 强制使用可在你的环境中创建的椭圆曲线密钥类型。 | Audit、Deny、Disabled | 1.0.1 |
使用 RSA 加密的密钥应具有指定的最小密钥大小 | 设置用于密钥保管库的最小允许密钥大小。 使用密钥大小较小的 RSA 密钥并非安全的做法,不符合许多行业认证要求。 | Audit、Deny、Disabled | 1.0.1 |
应启用 Azure Key Vault 托管 HSM 中的资源日志 | 若要在发生安全事件或网络遭到破坏时重新创建活动跟踪以供调查之用,你可能需要通过启用托管的 HSM 上的资源日志进行审核。 请按照此处的说明进行操作:https://docs.microsoft.com/azure/key-vault/managed-hsm/logging。 | AuditIfNotExists、Disabled | 1.1.0 |
应启用 Key Vault 中的资源日志 | 对启用资源日志进行审核。 使用此策略可在发生安全事件或网络受到安全威胁时重新创建用于调查的活动线索 | AuditIfNotExists、Disabled | 5.0.0 |
应为机密设置内容类型 | 内容类型标记可帮助标识机密是否是密码、连接字符串等。不同机密具有不同的轮换要求。 应为机密设置内容类型标记。 | Audit、Deny、Disabled | 1.0.1 |
机密的剩余有效期应超过指定的天数 | 如果机密临近到期,组织延迟轮换机密可能会导致服务中断。 应在密钥到期前指定的天数轮换机密,以提供足够的时间来应对故障。 | Audit、Deny、Disabled | 1.0.1 |
机密应具有指定的最长有效期 | 通过指定机密在密钥保管库中的最长有效期(以天为单位),管理组织的合规性要求。 | Audit、Deny、Disabled | 1.0.1 |
机密的已生效时间不应超过指定的天数 | 如果创建了机密并在之后设置了有效日期,必须确保机密的已生效时间不超过指定的时间。 | Audit、Deny、Disabled | 1.0.1 |
Kubernetes
名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
---|---|---|---|
[预览]: [映像完整性] Kubernetes 群集应仅使用由表示法签名的映像 | 使用由表示法签名的映像来确保映像来自受信任的源,不会受到恶意修改。 有关详细信息,请访问 https://aka.ms/aks/image-integrity | Audit、Disabled | 1.1.0-preview |
[预览版]:已启用 Azure Arc 的 Kubernetes 群集应安装 Microsoft Defender for Cloud 扩展 | 适用于 Azure Arc 的 Microsoft Defender for Cloud 扩展为启用 Arc 的 Kubernetes 群集提供威胁防护。 该扩展从群集中的所有节点收集数据,并将数据发送到云中的 Azure Defender for Kubernetes 后端做进一步分析。 若要了解详细信息,请访问 https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc。 | AuditIfNotExists、Disabled | 6.0.0-preview |
[预览]: 无法编辑单个节点 | 无法编辑单个节点。 用户不应编辑单个节点。 请编辑节点池。 修改单个节点可能会导致设置不一致、操作挑战和潜在的安全风险。 | Audit、Deny、Disabled | 1.3.0-preview |
[预览版]:配置已启用 Azure Arc 的 Kubernetes 群集以安装 Microsoft Defender for Cloud 扩展 | 适用于 Azure Arc 的 Microsoft Defender for Cloud 扩展为启用 Arc 的 Kubernetes 群集提供威胁防护。 该扩展从群集中的所有节点收集数据,并将数据发送到云中的 Azure Defender for Kubernetes 后端做进一步分析。 若要了解详细信息,请访问 https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc。 | DeployIfNotExists、Disabled | 7.3.0-preview |
[预览版]:在 Azure Kubernetes 服务上部署映像完整性 | 部署映像完整性和策略加载项 Azure Kubernetes 群集。 有关详细信息,请访问 https://aka.ms/aks/image-integrity | DeployIfNotExists、Disabled | 1.0.5-preview |
[预览]:Kubernetes 群集容器映像必须包含 preStop 挂钩 | 要求容器映像包含 preStop 挂钩,以在 Pod 关闭期间正常终止进程。 | Audit、Deny、Disabled | 1.1.0-preview |
[预览]:Kubernetes 群集容器映像不应包含最新的映像标记 | 要求容器映像不使用 Kubernetes 中的最新标记,这是一种最佳做法,通过使用明确和经过版本控制的容器映像确保可重现性,防止意外更新,并简化调试和回退。 | Audit、Deny、Disabled | 1.1.0-preview |
[预览]: Kubernetes 群集容器应仅在存在映像拉取机密时拉取映像 | 限制容器的映像拉取以强制 ImagePullSecrets 存在,从而确保对 Kubernetes 群集中的映像进行安全的授权访问 | Audit、Deny、Disabled | 1.2.0-preview |
[预览版]:Kubernetes 群集服务应使用唯一的选择器 | 确保命名空间中的服务具有唯一的选择器。 唯一的服务选择器可确保命名空间中的每个服务都根据特定条件唯一标识。 此策略通过 Gatekeeper 将入口资源同步到 OPA。 在应用之前,请验证不会超过 Gatekeeper Pod 的内存容量。 参数适用于特定命名空间,但它会跨所有命名空间同步该类型的所有资源。 对于 Kubernetes 服务 (AKS),此策略目前处于预览状态。 | Audit、Deny、Disabled | 1.2.0-preview |
[预览版]:Kubernetes 群集应实现准确的 Pod 中断预算 | 防止出现故障的 Pod 中断预算,确保操作 Pod 的数量最少。 有关详细信息,请参阅官方 Kubernetes 文档。 此策略依赖于 Gatekeeper 数据复制并将其范围内的所有入口资源同步到 OPA 中。 应用此策略之前,请确保同步的入口资源不会过多占用你的内存容量。 尽管参数可评估特定的命名空间,但跨命名空间的所有此类资源都将同步。注意:对于 Kubernetes 服务 (AKS),此策略目前处于预览状态。 | Audit、Deny、Disabled | 1.3.0-preview |
[预览版]:Kubernetes 群集应限制创建给定资源类型 | 给定的 Kubernetes 资源类型不应部署在特定命名空间中。 | Audit、Deny、Disabled | 2.3.0-preview |
[预览]: 必须设置反相关性规则 | 此策略可确保将 Pod 调度到群集内的不同节点上。 通过强制实施反相关性规则,即使其中一个节点不可用,也可维持可用性。 Pod 将继续在其他节点上运行,从而提高复原能力。 | Audit、Deny、Disabled | 1.2.0-preview |
[预览]:将 K8s 容器变种为删除所有功能 | 变种 securityContext.capabilities.drop 以添加“ALL”。 这会删除 k8s linux 容器的所有功能 | 突变,已禁用 | 1.1.0-preview |
[预览]:将 K8s Init 容器变种为删除所有功能 | 变种 securityContext.capabilities.drop 以添加“ALL”。 这会删除 k8s linux init 容器的所有功能 | 突变,已禁用 | 1.1.0-preview |
[预览]: 无 AKS 特定标签 | 阻止客户应用特定于 AKS 的标签。 AKS 使用带有 kubernetes.azure.com 前缀的标签来表示 AKS 拥有的组件。 客户不应使用这些标签。 |
Audit、Deny、Disabled | 1.2.0-preview |
[预览]:通过将 runAsNotRoot 设置为 true 来防止容器以 root 身份运行。 | 将 runAsNotRoot 设置为 true 可防止容器以 root 身份运行,从而提高安全性。 | 突变,已禁用 | 1.0.0-preview |
[预览]:通过将 runAsNotRoot 设置为 true 来防止 init 容器以 root 身份运行。 | 将 runAsNotRoot 设置为 true 可防止容器以 root 身份运行,从而提高安全性。 | 突变,已禁用 | 1.0.0-preview |
[预览]:应用突变时打印消息 | 查找应用的突变注释,如果注释存在则打印消息。 | Audit、Disabled | 1.1.0-preview |
[预览]: 保留的系统池污点 | 将 CriticalAddonsOnly 排斥限制为仅系统池。 AKS 使用 CriticalAddonsOnly 污点使客户 Pod 远离系统池。 它可确保 AKS 组件和客户 Pod 之间的明确分离,并防止客户 pod 在不容忍 CriticalAddonsOnly 污点的情况下被驱逐。 | Audit、Deny、Disabled | 1.2.0-preview |
[预览]:将 CriticalAddonsOnly 排斥限制为仅系统池。 | 为避免从用户池中逐出用户应用,并保持用户与系统池之间的关注点分离,“CriticalAddonsOnly”排斥不应应用于用户池。 | 突变,已禁用 | 1.2.0-preview |
[预览]:将容器中的 Pod 规范中的 automountServiceAccountToken 设置为 false。 | 将 automountServiceAccountToken 设置为 false 可避免默认自动装载服务帐户令牌,从而提高安全性 | 突变,已禁用 | 1.1.0-preview |
[预览]:将 Kubernetes 群集容器 securityContext.runAsUser 字段设置为 1000(非根用户 ID) | 减少在存在安全漏洞时将特权提升为根用户所引入的攻击面。 | 突变,已禁用 | 1.0.0-preview |
[预览]:将 Kubernetes 群集容器 CPU 限制设置为默认值(如果不存在)。 | 设置容器 CPU 限制以防止 Kubernetes 群集中的资源耗尽攻击。 | 突变,已禁用 | 1.2.0-preview |
[预览]:将 Kubernetes 群集容器内存限制设置为默认值(如果不存在)。 | 设置容器内存限制以防止 Kubernetes 群集中的资源耗尽攻击。 | 突变,已禁用 | 1.2.0-preview |
[预览]:将 Kubernetes 群集容器的安全计算模式配置文件类型设置为 RuntimeDefault(如果不存在)。 | 为容器设置安全计算模式配置文件类型,以防止用户空间对内核进行未经授权的潜在有害系统调用。 | 突变,已禁用 | 1.1.0-preview |
[预览]:将 Kubernetes 群集 init 容器 securityContext.runAsUser 字段设置为 1000(非根用户 ID) | 减少在存在安全漏洞时将特权提升为根用户所引入的攻击面。 | 突变,已禁用 | 1.0.0-preview |
[预览]:将 Kubernetes 群集 init 容器的安全计算模式配置文件类型设置为 RuntimeDefault(如果不存在)。 | 为 init 容器设置安全计算模式配置文件类型,以防止用户空间中对内核进行未经授权的潜在有害系统调用。 | 突变,已禁用 | 1.1.0-preview |
[预览]:将 Kubernetes 群集 Pod securityContext.runAsUser 字段设置为 1000(非根用户 ID) | 减少在存在安全漏洞时将特权提升为根用户所引入的攻击面。 | 突变,已禁用 | 1.0.0-preview |
[预览]:将 podDisruptionBudget 资源的 maxUnavailable pod 设置为 1 | 将最大不可用 Pod 值设置为 1 可确保应用程序或服务在中断期间可用 | 突变,已禁用 | 1.2.0-preview |
[预览]:将 init 容器中 Pod 规范中的特权提升设置为 false。 | 将特权提升设置为 init 容器中的 false 可阻止容器允许特权提升(例如通过 set-user-ID 或 set-group-ID 文件模式),从而提高安全性。 | 突变,已禁用 | 1.1.0-preview |
[预览]:将 Pod 规范中的特权提升设置为 false。 | 将特权提升设置为 false 可阻止容器允许特权提升(例如通过 set-user-ID 或 set-group-ID 文件模式),从而提高安全性。 | 突变,已禁用 | 1.1.0-preview |
[预览]:如果未设置,请将 Init 容器中 Pod 规范中的 readOnlyRootFileSystem 设置为 true。 | 将 readOnlyRootFileSystem 设置为 true 可以防止容器写入根文件系统,从而提高安全性。 这仅适用于 Linux 容器。 | 突变,已禁用 | 1.2.0-preview |
[预览]:如果未设置,请将 Pod 规范中的 readOnlyRootFileSystem 设置为 true。 | 将 readOnlyRootFileSystem 设置为 true 可防止容器写入根文件系统,从而提高安全性 | 突变,已禁用 | 1.2.0-preview |
已启用 Azure Arc 的 Kubernetes 群集应已安装 Azure Policy 扩展 | Azure Arc 的 Azure Policy 扩展以集中、一致的方式在已启用 Arc 的 Kubernetes 群集上提供大规模强制措施和安全措施。 更多信息请访问 https://aka.ms/akspolicydoc。 | AuditIfNotExists、Disabled | 1.1.0 |
已启用 Azure Arc 的 Kubernetes 群集应安装 Open Service Mesh 扩展 | Open Service Mesh 扩展为应用程序服务的安全性、流量管理、可观察性提供所有标准服务网格功能。 在此处了解详细信息:https://aka.ms/arc-osm-doc | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
已启用 Azure Arc 的 Kubernetes 群集应已安装 Strimzi Kafka 扩展 | Strimzi Kafka 扩展使操作员可以安装 Kafka,以构建实时数据管道和具有安全性和可观测性功能的流式处理应用程序。 在此处了解详细信息:https://aka.ms/arc-strimzikafka-doc。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
Azure Kubernetes 群集应禁用 SSH | 禁用 SSH 可以保护群集并减少攻击面。 若要了解详细信息,请访问:aka.ms/aks/disablessh | Audit、Disabled | 1.0.0 |
Azure Kubernetes 群集应启用容器存储接口 (CSI) | 容器存储接口 (CSI) 是有关在 Azure Kubernetes 服务上的容器化工作负载中公开任意块和文件存储系统的一套标准。 若要了解详细信息,请访问以下链接:https://aka.ms/aks-csi-driver | Audit、Disabled | 1.0.0 |
Azure Kubernetes 群集应启用密钥管理服务 (KMS) | 使用密钥管理服务 (KMS) 在 etcd 中加密静态机密数据,以实现 Kubernetes 群集安全性。 有关详细信息,请访问:https://aka.ms/aks/kmsetcdencryption。 | Audit、Disabled | 1.0.0 |
Azure Kubernetes 群集应使用 Azure CNI | Azure CNI 是一些 Azure Kubernetes 服务功能的先决条件,包括 Azure 网络策略、Windows 节点池和虚拟节点加载项。 了解详细信息:https://aka.ms/aks-azure-cni | Audit、Disabled | 1.0.1 |
Azure Kubernetes 服务群集应禁用命令调用 | 禁用命令调用可避免绕过受限网络访问或 Kubernetes 基于角色的访问控制,从而增强安全性 | Audit、Disabled | 1.0.1 |
Azure Kubernetes 服务群集应启用群集自动升级 | AKS 群集自动升级可以确保群集是最新版本,并且不会错过来自 AKS 和上游 Kubernetes 的最新功能或补丁。 有关详细信息,请访问:https://learn.microsoft.com/en-us/azure/aks/auto-upgrade-cluster。 | Audit、Disabled | 1.0.0 |
Azure Kubernetes 服务群集应启用映像清理器 | 映像清理器可自动识别和移除易受攻击、未使用的映像,从而降低过期映像的风险,并减少清理映像所需的时间。 有关详细信息,请访问:https://aka.ms/aks/image-cleaner。 | Audit、Disabled | 1.0.0 |
Azure Kubernetes 服务群集应启用 Microsoft Entra ID 集成 | AKS 托管的 Microsoft Entra ID 集成可以通过基于用户标识或目录组成员身份配置 Kubernetes 基于角色的访问控制 (Kubernetes RBAC) 来管理对群集的访问。 有关详细信息,请访问:https://aka.ms/aks-managed-aad。 | Audit、Disabled | 1.0.2 |
Azure Kubernetes 服务群集应启用节点 os 自动升级 | AKS 节点 OS 自动升级控制节点级 OS 安全更新。 有关详细信息,请访问:https://learn.microsoft.com/en-us/azure/aks/auto-upgrade-node-image。 | Audit、Disabled | 1.0.0 |
Azure Kubernetes 服务群集应启用工作负载标识 | 工作负载标识允许为每个 Kubernetes Pod 分配唯一标识,并将其与 Azure AD 保护的资源(例如 Azure 密钥保管库)相关联,实现从 Pod 内部对这些资源的安全访问。 有关详细信息,请访问:https://aka.ms/aks/wi。 | Audit、Disabled | 1.0.0 |
Azure Kubernetes 服务群集应启用 Defender 配置文件 | Microsoft Defender for Containers 提供云原生 Kubernetes 安全功能,包括环境强化、工作负载保护和运行时保护。 在 Azure Kubernetes 服务群集上启用 SecurityProfile.AzureDefender 时,会将代理部署到群集以收集安全事件数据。 在 https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks 中详细了解 Microsoft Defender for Containers | Audit、Disabled | 2.0.1 |
Azure Kubernetes 服务群集应禁用本地身份验证方法 | 禁用本地身份验证方法可确保 Azure Kubernetes 服务群集仅将 Azure Active Directory 标识作为身份验证方法,从而提高安全性。 有关详细信息,请访问:https://aka.ms/aks-disable-local-accounts。 | Audit、Deny、Disabled | 1.0.1 |
Azure Kubernetes 服务群集应使用托管标识 | 使用托管标识包装服务主体、简化群集管理,并避免托管服务主体所需的复杂性。 了解详细信息:https://aka.ms/aks-update-managed-identities | Audit、Disabled | 1.0.1 |
应启用 Azure Kubernetes 服务专用群集 | 为 Azure Kubernetes 服务群集启用专用群集功能,确保 API 服务器与节点池之间的网络流量仅存在于专用网络上。 这是许多法规和行业合规性标准中的常见要求。 | Audit、Deny、Disabled | 1.0.1 |
应在群集上安装并启用用于 Kubernetes 服务 (AKS) 的 Azure Policy 加载项 | 用于 Kubernetes 服务 (AKS) 的 Azure Policy 加载项扩展了 Gatekeeper v3(用于开放策略代理 (OPA) 的许可控制器 Webhook),以集中、一致的方式在群集上应用大规模强制措施和安全措施。 | Audit、Disabled | 1.0.2 |
Azure Kubernetes 服务群集中的操作系统和数据磁盘都应使用客户托管的密钥进行加密 | 使用客户管理的密钥加密 OS 和数据磁盘可以更好地控制密钥管理并提高密钥管理的灵活性。 这是许多法规和行业合规性标准中的常见要求。 | Audit、Deny、Disabled | 1.0.1 |
配置已启用 Azure Arc 的 Kubernetes 群集以安装 Azure Policy 扩展 | 为 Azure Arc 部署 Azure Policy 扩展以集中、一致的方式在已启用 Arc 的 Kubernetes 群集上提供大规模强制措施和安全措施。 更多信息请访问 https://aka.ms/akspolicydoc。 | DeployIfNotExists、Disabled | 1.1.0 |
配置 Azure Kubernetes 服务群集以启用 Defender 配置文件 | Microsoft Defender for Containers 提供云原生 Kubernetes 安全功能,包括环境强化、工作负载保护和运行时保护。 在 Azure Kubernetes 服务群集上启用 SecurityProfile.Defender 时,会将代理部署到群集以收集安全事件数据。 详细了解 Microsoft Defender for Containers:https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks。 | DeployIfNotExists、Disabled | 4.3.0 |
在 Kubernetes 群集上配置 Flux 扩展安装 | 在 Kubernetes 群集上安装 Flux 扩展,以便在群集中启用“fluxconfigurations”部署 | DeployIfNotExists、Disabled | 1.0.0 |
在 KeyVault 中使用 Bucket 源和机密通过 Flux v2 配置来配置 Kubernetes 群集 | 将“fluxConfiguration”部署到 Kubernetes 群集,确保群集从已定义的 Bucket 中获取其工作负载和配置的事实来源。 此定义需要存储在 Key Vault 中的 Bucket SecretKey。 有关说明,请访问 https://aka.ms/GitOpsFlux2Policy。 | DeployIfNotExists、Disabled | 1.0.0 |
使用 Git 存储库和 HTTPS CA 证书通过 Flux v2 配置来配置 Kubernetes 群集 | 将“fluxConfiguration”部署到 Kubernetes 群集,确保群集从已定义的 Git 存储库中获取其工作负载和配置的事实来源。 此定义需要 HTTPS CA 证书。 有关说明,请访问 https://aka.ms/GitOpsFlux2Policy。 | DeployIfNotExists、Disabled | 1.0.1 |
使用 Git 存储库和 HTTPS 机密通过 Flux v2 配置来配置 Kubernetes 群集 | 将“fluxConfiguration”部署到 Kubernetes 群集,确保群集从已定义的 Git 存储库中获取其工作负载和配置的事实来源。 此定义需要存储在 Key Vault 中的 HTTPS 密钥机密。 有关说明,请访问 https://aka.ms/GitOpsFlux2Policy。 | DeployIfNotExists、Disabled | 1.0.0 |
使用 Git 存储库和本地机密通过 Flux v2 配置来配置 Kubernetes 群集 | 将“fluxConfiguration”部署到 Kubernetes 群集,确保群集从已定义的 Git 存储库中获取其工作负载和配置的事实来源。 此定义需要存储在 Kubernetes 群集中的本地身份验证机密。 有关说明,请访问 https://aka.ms/GitOpsFlux2Policy。 | DeployIfNotExists、Disabled | 1.0.0 |
使用 Git 存储库和 SSH 机密通过 Flux v2 配置来配置 Kubernetes 群集 | 将“fluxConfiguration”部署到 Kubernetes 群集,确保群集从已定义的 Git 存储库中获取其工作负载和配置的事实来源。 此定义需要存储在 Key Vault 中的 SSH 私钥机密。 有关说明,请访问 https://aka.ms/GitOpsFlux2Policy。 | DeployIfNotExists、Disabled | 1.0.0 |
使用公共 Git 存储库通过 Flux v2 配置来配置 Kubernetes 群集 | 将“fluxConfiguration”部署到 Kubernetes 群集,确保群集从已定义的 Git 存储库中获取其工作负载和配置的事实来源。 此定义不需要机密。 有关说明,请访问 https://aka.ms/GitOpsFlux2Policy。 | DeployIfNotExists、Disabled | 1.0.0 |
使用本地机密通过指定 Flux v2 Bucket 源来配置 Kubernetes 群集 | 将“fluxConfiguration”部署到 Kubernetes 群集,确保群集从已定义的 Bucket 中获取其工作负载和配置的事实来源。 此定义需要存储在 Kubernetes 群集中的本地身份验证机密。 有关说明,请访问 https://aka.ms/GitOpsFlux2Policy。 | DeployIfNotExists、Disabled | 1.0.0 |
使用 HTTPS 机密通过指定的 GitOps 配置来配置 Kubernetes 群集 | 将“sourceControlConfiguration”部署到 Kubernetes 群集,确保群集从已定义的 git 存储库中获取其工作负载和配置的事实来源。 此定义需要密钥保管库中存储的 HTTPS 用户和密钥机密。 有关说明,请访问 https://aka.ms/K8sGitOpsPolicy。 | auditIfNotExists、AuditIfNotExists、deployIfNotExists、DeployIfNotExists、disabled、Disabled | 1.1.0 |
不使用机密通过指定的 GitOps 配置来配置 Kubernetes 群集 | 将“sourceControlConfiguration”部署到 Kubernetes 群集,确保群集从已定义的 git 存储库中获取其工作负载和配置的事实来源。 此定义不需要机密。 有关说明,请访问 https://aka.ms/K8sGitOpsPolicy。 | auditIfNotExists、AuditIfNotExists、deployIfNotExists、DeployIfNotExists、disabled、Disabled | 1.1.0 |
使用 SSH 机密通过指定的 GitOps 配置来配置 Kubernetes 群集 | 将“sourceControlConfiguration”部署到 Kubernetes 群集,确保群集从已定义的 git 存储库中获取其工作负载和配置的事实来源。 此定义需要密钥保管库中的 SSH 私钥机密。 有关说明,请访问 https://aka.ms/K8sGitOpsPolicy。 | auditIfNotExists、AuditIfNotExists、deployIfNotExists、DeployIfNotExists、disabled、Disabled | 1.1.0 |
使用所需的管理员组访问权限配置已集成 Microsoft Entra ID 的 Azure Kubernetes 服务群集 | 确保通过集中管理对已集成 Microsoft Entra ID 的 AKS 群集的管理员访问来提高群集安全性。 | DeployIfNotExists、Disabled | 2.1.0 |
在 Azure Kubernetes 群集上配置节点 OS 自动升级 | 使用节点 OS 自动升级控制 Azure Kubernetes 服务 (AKS) 群集的节点级 OS 安全更新。 有关详细信息,请访问 https://learn.microsoft.com/en-us/azure/aks/auto-upgrade-node-image。 | DeployIfNotExists、Disabled | 1.0.1 |
部署 - 为 Azure Kubernetes 服务配置诊断设置,以便将资源日志流式传输到 Log Analytics 工作区 | 为 Azure Kubernetes 服务部署诊断设置,以将资源日志流式传输到 Log Analytics 工作区。 | DeployIfNotExists、Disabled | 3.0.0 |
将 Azure Policy 加载项部署到 Azure Kubernetes 服务群集 | 使用 Azure Policy 加载项管理和报告 Azure Kubernetes 服务 (AKS) 群集的符合性状态。 有关详细信息,请参阅 https://aka.ms/akspolicydoc。 | DeployIfNotExists、Disabled | 4.1.0 |
在 Azure Kubernetes 服务上部署映像清理器 | 在 Azure Kubernetes 群集上部署映像清理器。 有关详细信息,请访问 https://aka.ms/aks/image-cleaner | DeployIfNotExists、Disabled | 1.0.4 |
部署计划内维护,为 Azure Kubernetes 服务 (AKS) 群集安排和控制升级 | 通过使用计划内维护,可以计划每周维护时段来执行更新并最大限度地减少工作负载影响。 安排后,升级将仅在所选时段内进行。 了解详细信息:https://aka.ms/aks/planned-maintenance | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
在 Azure Kubernetes 服务群集上禁用命令调用 | 禁用命令调用可以通过拒绝对群集的 invoke-command 访问来增强安全性 | DeployIfNotExists、Disabled | 1.2.0 |
确保群集容器已配置就绪情况或运行情况探测 | 此策略强制所有 Pod 配置就绪情况和/或运行情况探测。 探测类型可以是 tcpSocket、httpGet 和 exec 的任何一种。 此策略通常适用于 Kubernetes 服务 (AKS) 以及已启用 Azure Arc 的 Kubernetes 的预览版。 有关使用此策略的说明,请访问 https://aka.ms/kubepolicydoc。 | Audit、Deny、Disabled | 3.3.0 |
Kubernetes 群集容器 CPU 和内存资源限制不得超过指定的限制 | 强制实施容器 CPU 和内存资源限制,以防止 Kubernetes 群集中发生资源耗尽攻击。 此策略通常适用于 Kubernetes 服务 (AKS) 以及已启用 Azure Arc 的 Kubernetes 的预览版。 有关详细信息,请参阅 https://aka.ms/kubepolicydoc。 | audit、Audit、deny、Deny、disabled、Disabled | 9.3.0 |
Kubernetes 群集容器不得共享主机进程 ID 命名空间或主机 IPC 命名空间 | 阻止 Pod 容器在 Kubernetes 群集中共享主机进程 ID 命名空间和主机 IPC 命名空间。 此建议是旨在提高 Kubernetes 环境安全性的 CIS 5.2.2 和 CIS 5.2.3 的一部分。 此策略通常适用于 Kubernetes 服务 (AKS) 以及已启用 Azure Arc 的 Kubernetes 的预览版。 有关详细信息,请参阅 https://aka.ms/kubepolicydoc。 | audit、Audit、deny、Deny、disabled、Disabled | 5.2.0 |
Kubernetes 群集容器不应使用禁止的 sysctl 接口 | 容器不应使用 Kubernetes 群集中禁止的 sysctl 接口。 此策略通常适用于 Kubernetes 服务 (AKS) 以及已启用 Azure Arc 的 Kubernetes 的预览版。 有关详细信息,请参阅 https://aka.ms/kubepolicydoc。 | audit、Audit、deny、Deny、disabled、Disabled | 7.2.0 |
Kubernetes 群集容器只应使用允许的 AppArmor 配置文件 | 容器只应使用 Kubernetes 群集中允许的 AppArmor 配置文件。 此策略通常适用于 Kubernetes 服务 (AKS) 以及已启用 Azure Arc 的 Kubernetes 的预览版。 有关详细信息,请参阅 https://aka.ms/kubepolicydoc。 | audit、Audit、deny、Deny、disabled、Disabled | 6.2.0 |
Kubernetes 群集容器只应使用允许的功能 | 限制功能以减小 Kubernetes 群集中容器的受攻击面。 此建议是旨在提高 Kubernetes 环境安全性的 CIS 5.2.8 和 CIS 5.2.9 的一部分。 此策略通常适用于 Kubernetes 服务 (AKS) 以及已启用 Azure Arc 的 Kubernetes 的预览版。 有关详细信息,请参阅 https://aka.ms/kubepolicydoc。 | audit、Audit、deny、Deny、disabled、Disabled | 6.2.0 |
Kubernetes 群集容器应只使用允许的映像 | 使用受信任注册表中的映像,以降低 Kubernetes 群集暴露于未知漏洞、安全问题和恶意映像的风险。 有关详细信息,请参阅 https://aka.ms/kubepolicydoc。 | audit、Audit、deny、Deny、disabled、Disabled | 9.3.0 |
Kubernetes 群集容器只应使用允许的 ProcMountType | Pod 容器只能使用 Kubernetes 群集中允许的 ProcMountType。 此策略通常适用于 Kubernetes 服务 (AKS) 以及已启用 Azure Arc 的 Kubernetes 的预览版。 有关详细信息,请参阅 https://aka.ms/kubepolicydoc。 | audit、Audit、deny、Deny、disabled、Disabled | 8.2.0 |
Kubernetes 群集容器应仅使用允许的拉取策略 | 限制容器的拉取策略,以强制容器仅在部署上使用允许的映像 | Audit、Deny、Disabled | 3.2.0 |
Kubernetes 群集容器只应使用允许的 seccomp 配置文件 | Pod 容器只能使用 Kubernetes 群集中允许的 seccomp 配置文件。 此策略通常适用于 Kubernetes 服务 (AKS) 以及已启用 Azure Arc 的 Kubernetes 的预览版。 有关详细信息,请参阅 https://aka.ms/kubepolicydoc。 | audit、Audit、deny、Deny、disabled、Disabled | 7.2.0 |
Kubernetes 群集容器应使用只读根文件系统运行 | 运行使用只读根文件系统的容器,以防止在运行时发生更改而导致恶意二进制文件添加到 Kubernetes 群集中的 PATH。 此策略通常适用于 Kubernetes 服务 (AKS) 以及已启用 Azure Arc 的 Kubernetes 的预览版。 有关详细信息,请参阅 https://aka.ms/kubepolicydoc。 | audit、Audit、deny、Deny、disabled、Disabled | 6.3.0 |
Kubernetes 群集 Pod FlexVolume 卷只应使用允许的驱动程序 | Pod FlexVolume 卷只应使用 Kubernetes 群集中允许的驱动程序。 此策略通常适用于 Kubernetes 服务 (AKS) 以及已启用 Azure Arc 的 Kubernetes 的预览版。 有关详细信息,请参阅 https://aka.ms/kubepolicydoc。 | audit、Audit、deny、Deny、disabled、Disabled | 5.2.0 |
Kubernetes 群集 Pod hostPath 卷只应使用允许的主机路径 | 仅限将 Pod HostPath 卷装载到 Kubernetes 群集中允许的主机路径。 此策略通常适用于 Kubernetes 服务 (AKS) 以及已启用 Azure Arc 的 Kubernetes。 有关详细信息,请参阅 https://aka.ms/kubepolicydoc。 | audit、Audit、deny、Deny、disabled、Disabled | 6.2.0 |
Kubernetes 群集 Pod 和容器只应使用批准的用户 ID 和组 ID 运行 | 控制 Pod 和容器可以使用哪些用户、主要组、补充组和文件系统组 ID 在 Kubernetes 群集中运行。 此策略通常适用于 Kubernetes 服务 (AKS) 以及已启用 Azure Arc 的 Kubernetes 的预览版。 有关详细信息,请参阅 https://aka.ms/kubepolicydoc。 | audit、Audit、deny、Deny、disabled、Disabled | 6.2.0 |
Kubernetes 群集 Pod 和容器只应使用允许的 SELinux 选项 | Pod 和容器只应使用 Kubernetes 群集中允许的 SELinux 选项。 此策略通常适用于 Kubernetes 服务 (AKS) 以及已启用 Azure Arc 的 Kubernetes 的预览版。 有关详细信息,请参阅 https://aka.ms/kubepolicydoc。 | audit、Audit、deny、Deny、disabled、Disabled | 7.2.0 |
Kubernetes 群集 Pod 只应使用允许的卷类型 | Pod 只能使用 Kubernetes 群集中允许的卷类型。 此策略通常适用于 Kubernetes 服务 (AKS) 以及已启用 Azure Arc 的 Kubernetes 的预览版。 有关详细信息,请参阅 https://aka.ms/kubepolicydoc。 | audit、Audit、deny、Deny、disabled、Disabled | 5.2.0 |
Kubernetes 群集 Pod 只应使用批准的主机网络和端口范围 | 限制 Pod 在 Kubernetes 群集中对主机网络和允许的主机端口范围的访问。 此建议是旨在提高 Kubernetes 环境安全性的 CIS 5.2.4 的一部分。 此策略通常适用于 Kubernetes 服务 (AKS) 以及已启用 Azure Arc 的 Kubernetes 的预览版。 有关详细信息,请参阅 https://aka.ms/kubepolicydoc。 | audit、Audit、deny、Deny、disabled、Disabled | 6.2.0 |
Kubernetes 群集 Pod 应使用指定的标签 | 使用指定的标签来标识 Kubernetes 群集中的 Pod。 此策略通常适用于 Kubernetes 服务 (AKS) 以及已启用 Azure Arc 的 Kubernetes 的预览版。 有关详细信息,请参阅 https://aka.ms/kubepolicydoc。 | audit、Audit、deny、Deny、disabled、Disabled | 7.2.0 |
Kubernetes 群集服务应只侦听允许的端口 | 将服务限制为只侦听允许的端口,以确保对 Kubernetes 群集进行的访问安全。 此策略通常适用于 Kubernetes 服务 (AKS) 以及已启用 Azure Arc 的 Kubernetes 的预览版。 有关详细信息,请参阅 https://aka.ms/kubepolicydoc。 | audit、Audit、deny、Deny、disabled、Disabled | 8.2.0 |
Kubernetes 群集服务只应使用允许的外部 IP | 使用允许的外部 IP 避免 Kubernetes 群集中的潜在攻击 (CVE-2020-8554)。 有关详细信息,请参阅 https://aka.ms/kubepolicydoc。 | audit、Audit、deny、Deny、disabled、Disabled | 5.2.0 |
Kubernetes 群集不应允许特权容器 | 不允许在 Kubernetes 群集中创建特权容器。 此建议是旨在提高 Kubernetes 环境安全性的 CIS 5.2.1 的一部分。 此策略通常适用于 Kubernetes 服务 (AKS) 以及已启用 Azure Arc 的 Kubernetes 的预览版。 有关详细信息,请参阅 https://aka.ms/kubepolicydoc。 | audit、Audit、deny、Deny、disabled、Disabled | 9.2.0 |
Kubernetes 群集不应使用裸 Pod | 阻止使用裸 Pod。 如果节点发生故障,将不会重新计划裸 Pod。 Pod 应由 Deployment、Replicset、Daemonset 或 Jobs 进行管理 | Audit、Deny、Disabled | 2.3.0 |
Kubernetes 群集 Windows 容器不应过度使用 CPU 和内存 | Windows 容器资源请求应小于或等于资源限制,或者不指定以避免过度提交。 如果过度预配了 Windows 内存,则会在磁盘中处理页面(这会降低性能),而不会因内存不足而终止容器 | Audit、Deny、Disabled | 2.2.0 |
Kubernetes 群集 Windows 容器不应按 ContainerAdministrator 运行 | 防止使用 ContainerAdministrator 作为用户来执行 Windows Pod 或容器的容器进程。 此建议旨在提高 Windows 节点的安全性。 有关更多信息,请参见https://kubernetes.io/docs/concepts/windows/intro/。 | Audit、Deny、Disabled | 1.2.0 |
Kubernetes 群集 Windows 容器应仅使用已批准的用户和域用户组运行 | 控制 Windows Pod 和容器可用于在 Kubernetes 群集中运行的用户。 此建议是 Windows 节点上 Pod 安全策略的一部分,旨在提高 Kubernetes 环境的安全性。 | Audit、Deny、Disabled | 2.2.0 |
Kubernetes 群集 Windows Pod 不应运行 HostProcess 容器 | 防止对 Windows 节点具有特权访问。 此建议旨在提高 Windows 节点的安全性。 有关更多信息,请参见https://kubernetes.io/docs/concepts/windows/intro/。 | Audit、Deny、Disabled | 1.0.0 |
Kubernetes 群集应只可通过 HTTPS 进行访问 | 使用 HTTPS 可确保执行身份验证,并保护传输中的数据不受网络层窃听攻击威胁。 此功能目前已面向 Kubernetes 服务 (AKS) 正式发布,并面向已启用 Azure Arc 的 Kubernetes 提供预览版。 有关详细信息,请访问 https://aka.ms/kubepolicydoc | audit、Audit、deny、Deny、disabled、Disabled | 8.2.0 |
Kubernetes 群集应禁用自动装载 API 凭据 | 禁用自动装载 API 凭据,以防止可能泄露的 Pod 资源对 Kubernetes 群集运行 API 命令。 有关详细信息,请参阅 https://aka.ms/kubepolicydoc。 | audit、Audit、deny、Deny、disabled、Disabled | 4.2.0 |
Kubernetes 群集应确保仅在需要时使用 cluster-admin 角色 | “cluster-admin”角色提供了对环境的广泛权力,只应在需要的位置和时间使用。 | Audit、Disabled | 1.1.0 |
Kubernetes 群集应尽量减少通配符在角色和群集角色中的使用 | 使用通配符“*”可能存在安全风险,因为它授予特定角色可能不需要的广泛权限。 如果角色拥有太多权限,则可能会被攻击者或遭到入侵的用户滥用以获取对群集中资源的未经授权的访问。 | Audit、Disabled | 1.1.0 |
Kubernetes 群集不得允许容器特权提升 | 不允许容器使用特权提升运行,从而进入 Kubernetes 群集的根。 此建议是旨在提高 Kubernetes 环境安全性的 CIS 5.2.5 的一部分。 此策略通常适用于 Kubernetes 服务 (AKS) 以及已启用 Azure Arc 的 Kubernetes 的预览版。 有关详细信息,请参阅 https://aka.ms/kubepolicydoc。 | audit、Audit、deny、Deny、disabled、Disabled | 7.2.0 |
Kubernetes 群集不应允许终结点编辑 ClusterRole/system:aggregate-to-edit 的权限 | 由于“CVE-2021-25740:终结点和 EndpointSlice 权限允许跨命名空间转发 https://github.com/kubernetes/kubernetes/issues/103675”问题,ClusterRole/system:aggregate-to-edit 不应允许终结点编辑权限。 此策略通常适用于 Kubernetes 服务 (AKS) 以及已启用 Azure Arc 的 Kubernetes 的预览版。 有关详细信息,请参阅 https://aka.ms/kubepolicydoc。 | Audit、Disabled | 3.2.0 |
Kubernetes 群集不应授予 CAP_SYS_ADMIN 安全功能 | 为了减小容器的受攻击面,请限制 CAP_SYS_ADMIN Linux 功能。 有关详细信息,请参阅 https://aka.ms/kubepolicydoc。 | audit、Audit、deny、Deny、disabled、Disabled | 5.1.0 |
Kubernetes 群集不应使用特定的安全功能 | 阻止 Kubernetes 群集中特定的安全功能,以防止 Pod 资源上未授予的权限。 有关详细信息,请参阅 https://aka.ms/kubepolicydoc。 | audit、Audit、deny、Deny、disabled、Disabled | 5.2.0 |
Kubernetes 群集不应使用默认命名空间 | 防止在 Kubernetes 群集中使用默认命名空间,以防止对 ConfigMap、Pod、Secret、Service 和 ServiceAccount 资源类型进行的未经授权的访问。 有关详细信息,请参阅 https://aka.ms/kubepolicydoc。 | audit、Audit、deny、Deny、disabled、Disabled | 4.2.0 |
Kubernetes 群集应使用容器存储接口 (CSI) 驱动程序 StorageClass | 容器存储接口 (CSI) 是有关在 Kubernetes 上的容器化工作负载中公开任意块和文件存储系统的一套标准。 自 AKS 版本 1.21 起,应弃用树内预配器 StorageClass。 若要了解详细信息,请访问以下链接:https://aka.ms/aks-csi-driver | Audit、Deny、Disabled | 2.3.0 |
Kubernetes 群集应使用内部负载均衡器 | 使用内部负载均衡可以做到只有 Kubernetes 群集所在的同一虚拟网络中运行的应用程序能够访问 Kubernetes 服务。 有关详细信息,请参阅 https://aka.ms/kubepolicydoc。 | audit、Audit、deny、Deny、disabled、Disabled | 8.2.0 |
Kubernetes 资源应具有所需的注释 | 确保对给定的 Kubernetes 资源类型附加所需的注释,以改进 Kubernetes 资源的资源管理。 此策略通常适用于 Kubernetes 服务 (AKS) 以及已启用 Azure Arc 的 Kubernetes 的预览版。 有关详细信息,请参阅 https://aka.ms/kubepolicydoc。 | Audit、Deny、Disabled | 3.2.0 |
应启用 Azure Kubernetes 服务中的资源日志 | 在调查安全事件时,Azure Kubernetes 服务的资源日志可帮助重新创建活动线索。 启用日志可确保它们在需要时存在 | AuditIfNotExists、Disabled | 1.0.0 |
应在主机处加密 Azure Kubernetes 服务群集中代理节点池的临时磁盘和缓存 | 为了增强数据安全性,应对存储在 Azure Kubernetes 服务节点 VM 的虚拟机 (VM) 主机上的数据进行静态加密。 这是许多法规和行业合规性标准中的常见要求。 | Audit、Deny、Disabled | 1.0.1 |
实验室服务
名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
---|---|---|---|
实验室服务应启用自动关闭的所有选项 | 此策略强制为实验室启用所有自动关闭选项,从而提供成本管理帮助。 | Audit、Deny、Disabled | 1.1.0 |
实验室服务不应允许实验室的模板虚拟机 | 此策略阻止为通过实验室服务管理的实验室创建和自定义模板虚拟机。 | Audit、Deny、Disabled | 1.1.0 |
实验室服务应要求实验室的非管理员用户 | 此策略要求为通过实验室服务管理的实验室创建非管理员用户帐户。 | Audit、Deny、Disabled | 1.1.0 |
实验室服务应限制允许的虚拟机 SKU 大小 | 通过此策略,可以限制通过实验室服务管理的实验室的某些计算 VM SKU。 这会限制某些虚拟机大小。 | Audit、Deny、Disabled | 1.1.0 |
Lighthouse
名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
---|---|---|---|
允许管理租户 ID 通过 Azure Lighthouse 加入 | 通过限制可管理 Azure 资源的用户,将 Azure Lighthouse 委派限制为特定管理租户,可提高安全性。 | deny | 1.0.1 |
审核是否将作用域委派给管理租户 | 审核是否通过 Azure Lighthouse 将作用域委派给管理租户。 | Audit、Disabled | 1.0.0 |
逻辑应用
名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
---|---|---|---|
应使用客户管理的密钥对逻辑应用集成服务环境进行加密 | 使用客户管理的密钥部署到集成服务环境,以管理逻辑应用数据的静态加密。 默认情况下,使用服务管理的密钥对客户数据进行加密,但为了满足法规符合性标准,通常需要使用客户管理的密钥。 客户管理的密钥允许使用由你创建并拥有的 Azure Key Vault 密钥对数据进行加密。 你可以完全控制并负责关键生命周期,包括轮换和管理。 | Audit、Deny、Disabled | 1.0.0 |
应将逻辑应用部署到集成服务环境 | 在虚拟网络中将逻辑应用部署到集成服务环境可以解锁高级逻辑应用网络和安全功能,并使你能够更好地控制网络配置。 有关详细信息,请访问:https://aka.ms/integration-service-environment。 部署到集成服务环境还允许使用客户管理的密钥进行加密,从而通过允许管理加密密钥来提供增强的数据保护。 这通常是满足合规性要求所必需的。 | Audit、Deny、Disabled | 1.0.0 |
应启用逻辑应用中的资源日志 | 对启用资源日志进行审核。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的 | AuditIfNotExists、Disabled | 5.1.0 |
机器学习
名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
---|---|---|---|
[预览]:Azure 机器学习部署应仅使用批准的注册表模型 | 限制注册表模型的部署,以控制在组织内使用的由外部创建的模型 | Audit、Deny、Disabled | 1.0.0-preview |
[预览版]:Azure 机器学习模型注册表部署受到限制,但允许的注册表除外 | 仅在允许的注册表中部署注册表模型,这些模型不受限制。 | 拒绝、已禁用 | 1.0.0-preview |
Azure 机器学习计算实例应处于空闲关闭状态。 | 使用空闲关闭计划可降低成本,方法是关闭在预先确定活动期后处于空闲状态的计算。 | Audit、Deny、Disabled | 1.0.0 |
应重新创建 Azure 机器学习计算实例以获取最新的软件更新 | 确保 Azure 机器学习计算实例在最新的可用操作系统上运行。 通过使用最新的安全修补程序运行,提高了安全性并减少了漏洞。 有关详细信息,请访问 https://aka.ms/azureml-ci-updates/。 | [parameters('effects')] | 1.0.3 |
Azure 机器学习计算应位于虚拟网络中 | Azure 虚拟网络增强了 Azure 机器学习计算群集和实例的安全性和隔离性,并提供子网、访问控制策略和其他功能来进一步限制访问。 为计算配置虚拟网络后,该计算不可公开寻址,并且只能从虚拟网络中的虚拟机和应用程序进行访问。 | Audit、Disabled | 1.0.1 |
Azure 机器学习计算应禁用本地身份验证方法 | 禁用本地身份验证方法可确保机器学习计算需要专用于身份验证的 Azure Active Directory 标识,从而提高安全性。 有关详细信息,请访问:https://aka.ms/azure-ml-aad-policy。 | Audit、Deny、Disabled | 2.1.0 |
应使用客户管理的密钥对 Azure 机器学习工作区进行加密 | 使用客户管理的密钥管理 Azure 机器学习工作区数据的静态加密。 默认情况下,使用服务管理的密钥对客户数据进行加密,但为了满足法规符合性标准,通常需要使用客户管理的密钥。 客户管理的密钥允许使用由你创建并拥有的 Azure Key Vault 密钥对数据进行加密。 你可以完全控制并负责关键生命周期,包括轮换和管理。 更多信息请访问 https://aka.ms/azureml-workspaces-cmk。 | Audit、Deny、Disabled | 1.1.0 |
Azure 机器学习工作区应禁用公用网络访问 | 禁用公用网络访问可确保机器学习工作区不会在公共 Internet 上公开,从而提高安全性。 你可以通过创建专用终结点来控制工作区的公开。 有关详细信息,请参阅:https://learn.microsoft.com/azure/machine-learning/how-to-configure-private-link?view=azureml-api-2&tabs=azure-portal。 | Audit、Deny、Disabled | 2.0.1 |
Azure 机器学习工作区应启用 V1LegacyMode 以支持网络隔离后向兼容性 | Azure ML 正在 Azure 资源管理器上过渡到新的 V2 API 平台,并且可以使用 V1LegacyMode 参数控制 API 平台版本。 启用 V1LegacyMode 参数,你可以将工作区与 V1 保持在相同的网络隔离中,尽管你不会使用新的 V2 功能。 我们建议,仅在希望将 AzureML 控制平面数据保留在专用网络中时才打开 V1 旧模式。 有关详细信息,请访问:https://aka.ms/V1LegacyMode。 | Audit、Deny、Disabled | 1.0.0 |
Azure 机器学习工作区应使用专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到 Azure 机器学习工作区,可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link。 | Audit、Disabled | 1.0.0 |
Azure 机器学习工作区应使用用户分配的托管标识 | 使用用户分配的托管标识管理对 Azure ML 工作区和相关资源、Azure 容器注册表、KeyVault、存储和应用见解的访问。 默认情况下,Azure ML 工作区使用系统分配的托管标识来访问关联的资源。 用户分配的托管标识允许你将标识创建为 Azure 资源并维护该标识的生命周期。 更多信息请访问 https://docs.microsoft.com/azure/machine-learning/how-to-use-managed-identities?tabs=python。 | Audit、Deny、Disabled | 1.0.0 |
配置 Azure 机器学习计算以禁用本地身份验证方法 | 禁用本地身份验证方法,使机器学习计算需要专用于身份验证的 Azure Active Directory 标识。 有关详细信息,请访问:https://aka.ms/azure-ml-aad-policy。 | 修改,已禁用 | 2.1.0 |
将 Azure 机器学习工作区配置为使用专用 DNS 区域 | 使用专用 DNS 区域来替代专用终结点的 DNS 解析。 专用 DNS 区域会链接到虚拟网络,以解析到 Azure 机器学习工作区。 有关详细信息,请访问:https://docs.microsoft.com/azure/machine-learning/how-to-network-security-overview。 | DeployIfNotExists、Disabled | 1.1.0 |
将 Azure 机器学习工作区配置为禁用公用网络访问 | 禁用对 Azure 机器学习工作区的公用网络访问,确保无法通过公共 Internet 访问工作区。 这有助于防范工作区的数据泄露风险。 你可以通过创建专用终结点来控制工作区的公开。 有关详细信息,请参阅:https://learn.microsoft.com/azure/machine-learning/how-to-configure-private-link?view=azureml-api-2&tabs=azure-portal。 | 修改,已禁用 | 1.0.3 |
为 Azure 机器学习工作区配置专用终结点 | 专用终结点可在源或目标位置没有公共 IP 地址的情况下将虚拟网络连接到 Azure 服务。 通过将专用终结点映射到 Azure 机器学习工作区,可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link。 | DeployIfNotExists、Disabled | 1.0.0 |
将 Azure 机器学习工作区的诊断设置配置为 Log Analytics 工作区 | 创建或更新缺少此诊断设置的任何 Azure 机器学习工作区时,请为 Azure 机器学习工作区部署诊断设置,以便将资源日志流式传输到 Log Analytics 工作区。 | DeployIfNotExists、Disabled | 1.0.1 |
应启用 Azure 机器学习工作区中的资源日志 | 发生安全事件或网络遭到入侵时,通过资源日志可重新创建用于调查的活动线索。 | AuditIfNotExists、Disabled | 1.0.1 |
托管应用程序
名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
---|---|---|---|
托管应用程序的应用程序定义应使用客户提供的存储帐户 | 如果这是法规或合规性要求,请使用自己的存储帐户来控制应用程序定义数据。 可以选择将托管应用程序定义存储在创建过程中提供的存储帐户中,以便你能够对其位置和访问权限进行完全管理,以符合法规或合规性要求。 | audit、Audit、deny、Deny、disabled、Disabled | 1.1.0 |
为托管应用程序部署关联 | 部署将所选资源类型与指定托管应用程序关联的关联资源。 此策略部署不支持嵌套资源类型。 | deployIfNotExists | 1.0.0 |
托管 Grafana
名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
---|---|---|---|
Azure 托管 Grafana 工作区应禁用电子邮件设置 | 禁用电子邮件联系点的 SMTP 设置配置,以便在 Grafana 工作区中发出警报。 | Audit、Deny、Disabled | 1.0.0 |
Azure 托管 Grafana 工作区应禁用 Grafana Enterprise 升级 | 在 Grafana 工作区中禁用 Grafana Enterprise 升级。 | Audit、Deny、Disabled | 1.0.0 |
Azure 托管 Grafana 工作区应禁用公用网络访问 | 禁用公用网络访问可确保 Azure 托管 Grafana 工作区不会在公共 Internet 上公开,从而提高安全性。 创建专用终结点可以限制工作区公开。 | Audit、Deny、Disabled | 1.0.0 |
Azure 托管 Grafana 工作区应禁用服务帐户 | 在 Grafana 工作区中对自动工作负载禁用 API 密钥和服务帐户。 | Audit、Deny、Disabled | 1.0.0 |
Azure 托管 Grafana 工作区应使用专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到托管 Grafana,可以降低数据泄露风险。 | Audit、Disabled | 1.0.1 |
配置 Azure 托管 Grafana 工作区以禁用公用网络访问 | 禁用 Azure 托管 Grafana 工作区的公用网络访问,确保无法通过公共 Internet 访问它。 这样可以减少数据泄露风险。 | 修改,已禁用 | 1.0.0 |
将 Azure 托管 Grafana 工作区配置为使用专用 DNS 区域 | 使用专用 DNS 区域来替代专用终结点的 DNS 解析。 专用 DNS 区域会链接到虚拟网络,以解析到 Azure 托管 Grafana 工作区。 | DeployIfNotExists、Disabled | 1.0.0 |
配置 Azure 托管 Grafana 工作区和专用终结点 | 在没有公共 IP 地址的情况下,专用终结点可在源或目标位置将虚拟网络连接到 Azure 服务。 通过将专用终结点映射到 Azure 托管 Grafana,可以降低数据泄露风险。 | DeployIfNotExists、Disabled | 1.0.1 |
托管标识
名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
---|---|---|---|
[预览版]:Azure Kubernetes 中的托管标识联合凭据应来自受信任的源 | 此策略将 Azure Kubernetes 群集的联合凭据限制为仅来自已批准租户、已批准区域和其他特定例外列表的群集。 | 审核、已禁用、拒绝 | 1.0.0-preview |
[预览版]:GitHub 中的托管标识联合凭据应来自受信任的存储库所有者 | 此策略将 GitHub 存储库的联合凭据限制为仅已批准的存储库所有者。 | 审核、已禁用、拒绝 | 1.0.1-preview |
[预览版]:托管标识联合凭据应来自允许的颁发者类型 | 此策略限制托管标识是否可以使用联合凭据、允许哪些常见的颁发者类型,并提供允许的颁发者例外列表。 | 审核、已禁用、拒绝 | 1.0.0-preview |
[预览版]:将内置的用户分配的托管标识分配给虚拟机规模集 | 创建并分配内置用户分配的托管标识,或大规模向虚拟机规模集分配预创建的用户分配的托管标识。 有关更详细的文档,请访问 aka.ms/managedidentitypolicy。 | AuditIfNotExists、DeployIfNotExists、Disabled | 1.1.0-preview |
[预览]:将内置的用户分配的托管标识分配给虚拟机 | 创建并分配内置用户分配的托管标识,或大规模向虚拟机分配预创建的用户分配的托管标识。 有关更详细的文档,请访问 aka.ms/managedidentitypolicy。 | AuditIfNotExists、DeployIfNotExists、Disabled | 1.1.0-preview |
Maps
名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
---|---|---|---|
CORS 不应允许所有资源访问你的 map 帐户。 | 跨源资源共享 (CORS) 不应允许所有域都能访问你的映射帐户。 仅允许所需的域与你的映射帐户交互。 | 已禁用、审核、拒绝 | 1.0.0 |
媒体服务
名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
---|---|---|---|
Azure 媒体服务帐户应禁用公用网络访问 | 禁用公用网络访问可确保媒体服务资源不会在公共 Internet 上公开,从而提高安全性。 创建专用终结点可以限制媒体服务资源的公开。 有关详细信息,请访问:https://aka.ms/mediaservicesprivatelinkdocs。 | Audit、Deny、Disabled | 1.0.0 |
Azure 媒体服务帐户应使用支持专用链接的 API | 媒体服务帐户应使用支持专用链接的 API 来创建。 | Audit、Deny、Disabled | 1.0.0 |
允许访问旧版 v2 API 的 Azure 媒体服务帐户应被阻止 | 媒体服务旧版 v2 API 允许无法使用 Azure Policy 进行管理的请求。 使用 2020-05-01 API 或更高版本创建的媒体服务资源会阻止访问旧版 v2 API。 | Audit、Deny、Disabled | 1.0.0 |
Azure 媒体服务内容密钥策略应使用令牌身份验证 | 内容密钥策略定义访问内容密钥必须满足的条件。 令牌限制确保内容密钥只能由具有来自身份验证服务(例如 Microsoft Entra ID)的有效令牌的用户访问。 | Audit、Deny、Disabled | 1.0.1 |
使用 HTTPS 输入的 Azure 媒体服务作业应该将输入 URI 限制在允许的 URI 模式内 | 将媒体服务作业使用的 HTTPS 输入限制为已知的终结点。 可以通过设置允许的作业输入模式的空列表,完全禁用 HTTPS 终结点的输入。 如果作业输入指定“baseUri”,则模式将与此值匹配;如果未设置“baseUri”,则模式与“files”属性匹配。 | 拒绝、已禁用 | 1.0.1 |
Azure 媒体服务应使用客户管理的密钥来加密静态数据 | 使用客户管理的密钥管理媒体服务帐户的静态加密。 默认情况下,使用服务管理的密钥对客户数据进行加密,但为了满足法规符合性标准,通常需要使用客户管理的密钥。 客户管理的密钥允许使用由你创建并拥有的 Azure Key Vault 密钥对数据进行加密。 你可以完全控制并负责关键生命周期,包括轮换和管理。 更多信息请访问 https://aka.ms/mediaservicescmkdocs。 | Audit、Deny、Disabled | 1.0.0 |
Azure 媒体服务应使用专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到媒体服务,可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://aka.ms/mediaservicesprivatelinkdocs。 | AuditIfNotExists、Disabled | 1.0.0 |
配置 Azure 媒体服务以使用专用 DNS 区域 | 使用专用 DNS 区域来替代专用终结点的 DNS 解析。 专用 DNS 区域会链接到虚拟网络,以解析到媒体服务帐户。 有关详细信息,请访问:https://aka.ms/mediaservicesprivatelinkdocs。 | DeployIfNotExists、Disabled | 1.0.0 |
使用专用终结点配置 Azure 媒体服务 | 在没有公共 IP 地址的情况下,专用终结点可在源或目标位置将虚拟网络连接到 Azure 服务。 通过将专用终结点映射到媒体服务,可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://aka.ms/mediaservicesprivatelinkdocs。 | DeployIfNotExists、Disabled | 1.0.0 |
Migrate
名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
---|---|---|---|
将 Azure Migrate 资源配置为使用专用 DNS 区域 | 使用专用 DNS 区域来替代专用终结点的 DNS 解析。 专用 DNS 区域会链接到虚拟网络,以解析到 Azure Migrate 项目。 有关详细信息,请访问:https://aka.ms/privatednszone。 | DeployIfNotExists、Disabled | 1.0.0 |
移动网络
名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
---|---|---|---|
配置封包核心控制平面诊断访问以使用身份验证类型 Microsoft EntraID | 身份验证类型必须是 Microsoft EntraID 才能通过本地 API 进行封包核心诊断访问 | 修改,已禁用 | 1.0.0 |
封包核心控制平面诊断访问应仅使用 Microsoft EntraID 身份验证类型 | 身份验证类型必须是 Microsoft EntraID 才能通过本地 API 进行封包核心诊断访问 | Audit、Deny、Disabled | 1.0.0 |
SIM 组应使用客户管理的密钥对数据进行静态加密 | 使用客户管理的密钥来管理 SIM 组中 SIM 机密的静态加密。 通常需要客户管理的密钥以满足法规合规性标准,通过客户管理的密钥,可使用你创建的和拥有的 Azure Key Vault 密钥对数据进行加密。 你可以完全控制并负责关键生命周期,包括轮换和管理。 | Audit、Deny、Disabled | 1.0.0 |
监视
名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
---|---|---|---|
[预览]:使用连接到默认 Log Analytics 工作区的 Log Analytics 代理配置已启用 Azure Arc 的 Linux 计算机 | 通过安装将数据发送到 Microsoft Defender for Cloud 创建的默认 Log Analytics 工作区的 Log Analytics 代理,使用 Microsoft Defender for Cloud 功能保护已启用 Azure Arc 的 Linux 计算机。 | DeployIfNotExists、Disabled | 1.0.0-preview |
[预览]:使用连接到默认 Log Analytics 工作区的 Log Analytics 代理配置已启用 Azure Arc 的 Windows 计算机 | 通过安装将数据发送到 Microsoft Defender for Cloud 创建的默认 Log Analytics 工作区的 Log Analytics 代理,使用 Microsoft Defender for Cloud 功能保护已启用 Azure Arc 的 Windows 计算机。 | DeployIfNotExists、Disabled | 1.1.0-preview |
[预览版]:配置系统分配的托管标识,以在 VM 上启用 Azure Monitor 分配 | 将系统分配的托管标识配置到托管在 Azure 中的虚拟机,这些虚拟机受 Azure Monitor 支持,但没有系统分配的托管标识。 系统分配的托管标识是所有 Azure Monitor 分配的先决条件,在使用任何 Azure Monitor 扩展之前必须被添加到计算机。 目标虚拟机必须位于受支持的位置。 | 修改,已禁用 | 6.0.0-preview |
[预览版]:应为列出的虚拟机映像启用 Log Analytics 扩展 | 如果虚拟机映像不在定义的列表中,并且未安装扩展,则会将虚拟机报告为不合规。 | AuditIfNotExists、Disabled | 2.0.1-preview |
[预览版]:Log Analytics 扩展应安装在 Linux Azure Arc 计算机中 | 此策略审核是否有 Linux Azure Arc 计算机未安装 Log Analytics 扩展。 | AuditIfNotExists、Disabled | 1.0.1-preview |
[预览版]:Log Analytics 扩展应安装在 Windows Azure Arc 计算机中 | 此策略审核是否有 Windows Azure Arc 计算机未安装 Log Analytics 扩展。 | AuditIfNotExists、Disabled | 1.0.1-preview |
[预览版]:应在 Linux 虚拟机上安装网络流量数据收集代理 | 安全中心使用 Microsoft Dependency Agent 从 Azure 虚拟机收集网络流量数据,以启用高级网络保护功能,如网络映射上的流量可视化、网络强化建议和特定网络威胁。 | AuditIfNotExists、Disabled | 1.0.2-preview |
[预览版]:应在 Windows 虚拟机上安装网络流量数据收集代理 | 安全中心使用 Microsoft Dependency Agent 从 Azure 虚拟机收集网络流量数据,以启用高级网络保护功能,如网络映射上的流量可视化、网络强化建议和特定网络威胁。 | AuditIfNotExists、Disabled | 1.0.2-preview |
活动日志至少应保留一年 | 此策略审核活动日志的保留期是否未设置为365 天或永久(保留天数设置为 0)。 | AuditIfNotExists、Disabled | 1.0.0 |
特定管理操作应有活动日志警报 | 此策略审核未配置任何活动日志警报的特定管理操作。 | AuditIfNotExists、Disabled | 1.0.0 |
特定策略操作应有活动日志警报 | 此策略审核未配置任何活动日志警报的特定策略操作。 | AuditIfNotExists、Disabled | 3.0.0 |
特定安全操作应有活动日志警报 | 此策略审核未配置任何活动日志警报的特定安全操作。 | AuditIfNotExists、Disabled | 1.0.0 |
Application Insights 组件应阻止来自公共网络的日志引入和查询 | 通过阻止来自公共网络的日志引入和查询来改善 Application Insights 的安全性。 只有已连接到专用链接的网络才能引入和查询此组件的日志。 更多信息请访问 https://aka.ms/AzMonPrivateLink#configure-application-insights。 | audit、Audit、deny、Deny、disabled、Disabled | 1.1.0 |
Application Insights 组件应阻止并非基于 Azure Active Directory 的引入。 | 通过强制日志引入要求 Azure Active Directory 身份验证,可以防止攻击者引入未经身份验证的日志,因为那样会导致系统中出现错误状态、虚假警报和错误日志。 | 拒绝、审核、禁用 | 1.0.0 |
启用专用链接的 Application Insights 组件应当使用适用于探查器和调试程序的“自带存储”帐户。 | 若要支持专用链接和客户管理的密钥策略,请创建你自己的适用于探查器和调试程序的存储帐户。 若要了解详细信息,请访问 https://docs.microsoft.com/azure/azure-monitor/app/profiler-bring-your-own-storage | 拒绝、审核、禁用 | 1.0.0 |
审核所选资源类型的诊断设置。 | 审核所选资源类型的诊断设置。 请确保仅选择支持诊断设置的资源类型。 | AuditIfNotExists | 2.0.1 |
Azure 应用程序网关应启用资源日志 | 为 Azure 应用程序网关(以及 WAF)启用资源日志,并流式传输到 Log Analytics 工作区。 详细了解入站 Web 流量和为缓解攻击所采取的措施。 | AuditIfNotExists、Disabled | 1.0.0 |
Azure Front Door 应启用资源日志 | 为 Azure Front Door(以及 WAF)启用资源日志,并流式传输到 Log Analytics 工作区。 详细了解入站 Web 流量和为缓解攻击所采取的措施。 | AuditIfNotExists、Disabled | 1.0.0 |
Azure Front Door 标准版或高级版 (加 WAF) 应启用资源日志 | 为 Azure Front Door 标准版或高级版 (加 WAF) 启用资源日志,并流式传输到 Log Analytics 工作区。 详细了解入站 Web 流量和为缓解攻击所采取的措施。 | AuditIfNotExists、Disabled | 1.0.0 |
针对 Log Analytics 工作区的 Azure 日志搜索警报应使用客户管理的密钥 | 通过使用存储帐户来存储客户为所查询的 Log Analytics 工作区提供的查询文本,确保 Azure 日志搜索警报实现客户管理的密钥。 有关详细信息,请访问 https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview。 | 审核、已禁用、拒绝 | 1.0.0 |
Azure Monitor 日志配置文件应收集“写入”、“删除”和“操作”类别的日志 | 此策略可确保日志配置文件收集类别为 "write"、"delete" 和 "action" 的日志 | AuditIfNotExists、Disabled | 1.0.0 |
应创建启用了基础结构加密(双重加密)的 Azure Monitor 日志群集 | 若要确保使用两种不同的加密算法和两个不同的密钥在服务级别和基础结构级别启用安全数据加密,请使用 Azure Monitor 专用群集。 在区域受支持时,默认情况下会启用此选项,请参阅 https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview。 | audit、Audit、deny、Deny、disabled、Disabled | 1.1.0 |
应使用客户管理的密钥对 Azure Monitor 日志群集进行加密 | 创建 Azure Monitor 日志群集并使用客户管理的密钥进行加密。 默认情况下,使用服务管理的密钥对日志数据进行加密,但为了满足法规合规性,通常需要使用客户管理的密钥。 借助 Azure Monitor 中客户管理的密钥,可更好地控制对数据的访问,请参阅 https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys。 | audit、Audit、deny、Deny、disabled、Disabled | 1.1.0 |
应将 Application Insights 的 Azure Monitor 日志链接到 Log Analytics 工作区 | 将 Application Insights 组件链接到 Log Analytics 工作区以进行日志加密。 为了满足法规合规性并更好地控制对 Azure Monitor 的数据访问,通常需要使用客户管理的密钥。 将组件链接到使用客户管理的密钥启用的 Log Analytics 工作区,可确保 Application Insights 日志满足此合规性要求,请参阅 https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys。 | audit、Audit、deny、Deny、disabled、Disabled | 1.1.0 |
Azure Monitor 专用链接范围应阻止对非专用链接资源的访问 | Azure 专用链接允许通过 Azure Monitor 专用链接范围 (AMPLS) 的专用终结点将虚拟网络连接到 Azure 资源。 AMPLS 上设置了专用链接访问模式,用于控制来自网络的引入和查询请求是否可以访问所有资源,或只能访问专用链接资源(以防数据外泄)。 有关专用链接的详细信息,请访问:https://docs.microsoft.com/azure/azure-monitor/logs/private-link-security#private-link-access-modes-private-only-vs-open。 | Audit、Deny、Disabled | 1.0.0 |
Azure Monitor 专用链接范围应使用专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到 Azure Monitor 专用链接范围,可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://docs.microsoft.com/azure/azure-monitor/logs/private-link-security。 | AuditIfNotExists、Disabled | 1.0.0 |
Azure Monitor 应从所有区域收集活动日志 | 此策略审核不从所有 Azure 支持区域(包括全局)导出活动的 Azure Monitor 日志配置文件。 | AuditIfNotExists、Disabled | 2.0.0 |
必须部署 Azure Monitor 解决方案“安全和审核” | 此策略可确保“安全和审核”已部署。 | AuditIfNotExists、Disabled | 1.0.0 |
Azure 订阅应有用于活动日志的日志配置文件 | 此策略确保启用一个日志配置文件来导出活动日志。 它会审核是否未创建日志配置文件将日志导出到存储帐户或事件中心。 | AuditIfNotExists、Disabled | 1.0.0 |
配置 Azure 活动日志以流式传输到指定的 Log Analytics 工作区 | 部署 Azure 活动的诊断设置,以将订阅审核日志流式传输到 Log Analytics 工作区,从而监视订阅级别的事件 | DeployIfNotExists、Disabled | 1.0.0 |
配置 Azure Application Insights 组件,以禁用公用网络对日志引入和查询的访问权限 | 禁用组件对日志引入和查询的公用网络访问权限,以提高安全性。 只有已连接到专用链接的网络才能引入和查询有关此工作区的日志。 更多信息请访问 https://aka.ms/AzMonPrivateLink#configure-application-insights。 | 修改,已禁用 | 1.1.0 |
配置 Azure Log Analytics 工作区,以禁用公用网络对日志引入和查询的访问权限 | 通过阻止来自公共网络的日志引入和查询来改善工作区的安全性。 只有已连接到专用链接的网络才能引入和查询有关此工作区的日志。 更多信息请访问 https://aka.ms/AzMonPrivateLink#configure-log-analytics。 | 修改,已禁用 | 1.1.0 |
配置 Azure Monitor 专用链接范围,以阻止对非专用链接资源的访问 | Azure 专用链接允许通过 Azure Monitor 专用链接范围 (AMPLS) 的专用终结点将虚拟网络连接到 Azure 资源。 AMPLS 上设置了专用链接访问模式,用于控制来自网络的引入和查询请求是否可以访问所有资源,或只能访问专用链接资源(以防数据外泄)。 有关专用链接的详细信息,请访问:https://docs.microsoft.com/azure/azure-monitor/logs/private-link-security#private-link-access-modes-private-only-vs-open。 | 修改,已禁用 | 1.0.0 |
配置 Azure Monitor 专用链接范围以使用专用 DNS 区域 | 使用专用 DNS 区域来替代专用终结点的 DNS 解析。 专用 DNS 区域会链接到虚拟网络,以解析到 Azure Monitor 专用链接范围。 有关详细信息,请访问:https://docs.microsoft.com/azure/azure-monitor/logs/private-link-security#connect-to-a-private-endpoint。 | DeployIfNotExists、Disabled | 1.0.0 |
使用专用终结点配置 Azure Monitor 专用链接范围 | 在没有公共 IP 地址的情况下,专用终结点可在源或目标位置将虚拟网络连接到 Azure 服务。 通过将专用终结点映射到 Azure Monitor 专用链接范围,可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://docs.microsoft.com/azure/azure-monitor/logs/private-link-security。 | DeployIfNotExists、Disabled | 1.0.0 |
在启用了 Azure Arc 的 Linux 服务器上配置依赖关系代理 | 安装 Dependency Agent 虚拟机扩展,通过启用了 Arc 的服务器在连接到 Azure 的服务器和计算机上启用 VM 见解。 VM 见解使用 Dependency Agent 来收集网络指标以及发现的有关在计算机上运行的进程和外部进程依赖项的数据。 查看更多 - https://aka.ms/vminsightsdocs。 | DeployIfNotExists、Disabled | 2.1.0 |
使用 Azure Monitoring Agent 设置在启用了 Azure Arc 的 Linux 服务器上配置 Dependency Agent | 通过使用 Azure Monitoring Agent 设置安装 Dependency Agent 虚拟机扩展,在通过启用了 Arc 的服务器连接到 Azure 的服务器和计算机上启用 VM 见解。 VM 见解使用 Dependency Agent 来收集网络指标以及发现的有关在计算机上运行的进程和外部进程依赖项的数据。 查看更多 - https://aka.ms/vminsightsdocs。 | DeployIfNotExists、Disabled | 1.2.0 |
在启用了 Azure Arc 的 Windows 服务器上配置 Dependency Agent | 安装 Dependency Agent 虚拟机扩展,通过启用了 Arc 的服务器在连接到 Azure 的服务器和计算机上启用 VM 见解。 VM 见解使用 Dependency Agent 来收集网络指标以及发现的有关在计算机上运行的进程和外部进程依赖项的数据。 查看更多 - https://aka.ms/vminsightsdocs。 | DeployIfNotExists、Disabled | 2.1.0 |
使用 Azure Monitoring Agent 设置在启用了 Azure Arc 的 Windows 服务器上配置 Dependency Agent | 通过使用 Azure Monitoring Agent 设置安装 Dependency Agent 虚拟机扩展,在通过启用了 Arc 的服务器连接到 Azure 的服务器和计算机上启用 VM 见解。 VM 见解使用 Dependency Agent 来收集网络指标以及发现的有关在计算机上运行的进程和外部进程依赖项的数据。 查看更多 - https://aka.ms/vminsightsdocs。 | DeployIfNotExists、Disabled | 1.2.0 |
将 Linux Arc 计算机配置为与数据收集规则或数据收集终结点关联 | 部署关联以将 Linux Arc 计算机链接到指定的数据收集规则或指定的数据收集终结点。 随着支持的增加,位置列表会随着时间而更新。 | DeployIfNotExists、Disabled | 2.2.1 |
将已启用 Linux Arc 的计算机配置为运行 Azure Monitor 代理 | 在已启用 Linux Arc 的计算机上自动部署 Azure Monitor 代理扩展,以从来宾操作系统收集遥测数据。 如果支持区域,则此策略将安装扩展。 了解详细信息:https://aka.ms/AMAOverview。 | DeployIfNotExists、Disabled | 2.4.0 |
将 Linux 计算机配置为与数据收集规则或数据收集终结点关联 | 部署关联以将 Linux 虚拟机、虚拟机规模集和 Arc 计算机链接到指定的数据收集规则或指定的数据收集终结点。 位置和 OS 映像列表会随着支持的扩大而不断更新。 | DeployIfNotExists、Disabled | 6.5.1 |
将 Linux 虚拟机规模集配置为与数据收集规则或数据收集终结点关联 | 部署关联以将 Linux 虚拟机规模集链接到指定的数据收集规则或指定的数据收集终结点。 位置和 OS 映像列表会随着支持的扩大而不断更新。 | DeployIfNotExists、Disabled | 4.4.1 |
配置 Linux 虚拟机规模集,以使用系统分配的、基于托管标识的身份验证运行 Azure Monitor 代理 | 在 Linux 虚拟机规模集上自动部署 Azure Monitor 代理扩展,以从来宾 OS 收集遥测数据。 如果支持 OS 和区域并且启用了系统分配的托管标识,则此策略将安装扩展,否则将跳过安装。 了解详细信息:https://aka.ms/AMAOverview。 | DeployIfNotExists、Disabled | 3.6.0 |
配置 Linux 虚拟机规模集,以使用用户分配的、基于托管标识的身份验证运行 Azure Monitor 代理 | 在 Linux 虚拟机规模集上自动部署 Azure Monitor 代理扩展,以从来宾 OS 收集遥测数据。 如果操作系统和区域受支持,此策略将安装扩展并将其配置为使用指定的用户分配的托管标识,否则将跳过安装。 了解详细信息:https://aka.ms/AMAOverview。 | DeployIfNotExists、Disabled | 3.8.0 |
将 Linux 虚拟机配置为与数据收集规则或数据收集终结点关联 | 部署关联以将 Linux 虚拟机链接到指定的数据收集规则或指定的数据收集终结点。 位置和 OS 映像列表会随着支持的扩大而不断更新。 | DeployIfNotExists、Disabled | 4.4.1 |
配置 Linux 虚拟机,以使用系统分配的、基于托管标识的身份验证运行 Azure Monitor 代理 | 在 Linux 虚拟机上自动部署 Azure Monitor 代理扩展,以从来宾 OS 收集遥测数据。 如果支持 OS 和区域并且启用了系统分配的托管标识,则此策略将安装扩展,否则将跳过安装。 了解详细信息:https://aka.ms/AMAOverview。 | DeployIfNotExists、Disabled | 3.6.0 |
配置 Linux 虚拟机,以使用用户分配的、基于托管标识的身份验证运行 Azure Monitor 代理 | 在 Linux 虚拟机上自动部署 Azure Monitor 代理扩展,以从来宾 OS 收集遥测数据。 如果操作系统和区域受支持,此策略将安装扩展并将其配置为使用指定的用户分配的托管标识,否则将跳过安装。 了解详细信息:https://aka.ms/AMAOverview。 | DeployIfNotExists、Disabled | 3.8.0 |
在已启用 Azure Arc 的 Linux 服务器上配置 Log Analytics 扩展。 请参阅下面的弃用通知 | 安装 Log Analytics 虚拟机扩展,从而通过启用了 Arc 的服务器在连接到 Azure 的服务器和计算机上启用 VM 见解。 VM 见解使用 Log Analytics 代理收集来宾 OS 性能数据,并提供对其性能的见解。 查看更多 - https://aka.ms/vminsightsdocs。 弃用通知:Log Analytics 代理已弃用,并且在 2024 年 8 月 31 日之后将不受支持。 必须在该日期之前迁移到替换的“Azure Monitor 代理” | DeployIfNotExists、Disabled | 2.1.1 |
在已启用 Azure Arc 的 Windows 服务器上配置 Log Analytics 扩展 | 安装 Log Analytics 虚拟机扩展,从而通过启用了 Arc 的服务器在连接到 Azure 的服务器和计算机上启用 VM 见解。 VM 见解使用 Log Analytics 代理收集来宾 OS 性能数据,并提供对其性能的见解。 查看更多 - https://aka.ms/vminsightsdocs。 弃用通知:Log Analytics 代理已弃用,并且在 2024 年 8 月 31 日之后将不受支持。 必须在该日期之前迁移到替换的“Azure Monitor 代理”。 | DeployIfNotExists、Disabled | 2.1.1 |
配置 Log Analytics 工作区和自动化帐户,以集中日志和监视 | 部署包含 Log Analytics 工作区和链接自动化帐户的资源组,以集中日志和监视。 自动化帐户是更新和更改跟踪等解决方案的先决条件。 | DeployIfNotExists、AuditIfNotExists、Disabled | 2.0.0 |
将 Windows Arc 计算机配置为与数据收集规则或数据收集终结点关联 | 部署关联以将 Windows Arc 计算机链接到指定的数据收集规则或指定的数据收集终结点。 随着支持的增加,位置列表会随着时间而更新。 | DeployIfNotExists、Disabled | 2.2.1 |
配置已启用 Arc 的 Windows 计算机以运行 Azure Monitor 代理 | 在已启用 Arc 的 Windows 计算机上自动部署 Azure Monitor 代理扩展,以从来宾操作系统收集遥测数据。 如果支持 OS 和区域并且启用了系统分配的托管标识,则此策略将安装扩展,否则将跳过安装。 了解详细信息:https://aka.ms/AMAOverview。 | DeployIfNotExists、Disabled | 2.4.0 |
将 Windows 计算机配置为与数据收集规则或数据收集终结点关联 | 部署关联以将 Windows 虚拟机、虚拟机规模集和 Arc 计算机链接到指定的数据收集规则或指定的数据收集终结点。 位置和 OS 映像列表会随着支持的扩大而不断更新。 | DeployIfNotExists、Disabled | 4.5.1 |
将 Windows 虚拟机规模集配置为与数据收集规则或数据收集终结点关联 | 部署关联以将 Windows 虚拟机规模集链接到指定的数据收集规则或指定的数据收集终结点。 位置和 OS 映像列表会随着支持的扩大而不断更新。 | DeployIfNotExists、Disabled | 3.3.1 |
配置 Windows 虚拟机规模集,以使用系统分配的托管标识运行 Azure Monitor 代理 | 在 Windows 虚拟机规模集上自动部署 Azure Monitor 代理扩展,以从来宾 OS 收集遥测数据。 如果支持 OS 和区域并且启用了系统分配的托管标识,则此策略将安装扩展,否则将跳过安装。 了解详细信息:https://aka.ms/AMAOverview。 | DeployIfNotExists、Disabled | 3.4.0 |
配置 Windows 虚拟机规模集,以使用用户分配的、基于托管标识的身份验证运行 Azure Monitor 代理 | 在 Windows 虚拟机规模集上自动部署 Azure Monitor 代理扩展,以从来宾 OS 收集遥测数据。 如果操作系统和区域受支持,此策略将安装扩展并将其配置为使用指定的用户分配的托管标识,否则将跳过安装。 了解详细信息:https://aka.ms/AMAOverview。 | DeployIfNotExists、Disabled | 1.6.0 |
将 Windows 虚拟机配置为与数据收集规则或数据收集终结点关联 | 部署关联以将 Windows 虚拟机链接到指定的数据收集规则或指定的数据收集终结点。 位置和 OS 映像列表会随着支持的扩大而不断更新。 | DeployIfNotExists、Disabled | 3.3.1 |
配置 Windows 虚拟机,以使用系统分配的托管标识运行 Azure Monitor 代理 | 在 Windows 虚拟机上自动部署 Azure Monitor 代理扩展,以从来宾 OS 收集遥测数据。 如果支持 OS 和区域并且启用了系统分配的托管标识,则此策略将安装扩展,否则将跳过安装。 了解详细信息:https://aka.ms/AMAOverview。 | DeployIfNotExists、Disabled | 4.4.0 |
配置 Windows 虚拟机,以使用用户分配的、基于托管标识的身份验证运行 Azure Monitor 代理 | 在 Windows 虚拟机上自动部署 Azure Monitor 代理扩展,以从来宾 OS 收集遥测数据。 如果操作系统和区域受支持,此策略将安装扩展并将其配置为使用指定的用户分配的托管标识,否则将跳过安装。 了解详细信息:https://aka.ms/AMAOverview。 | DeployIfNotExists、Disabled | 1.6.0 |
应为列出的虚拟机映像启用 Dependency Agent | 如果虚拟机映像不在定义的列表中,并且未安装该代理,则会将虚拟机报告为不合规。 OS 映像列表会随着支持的更新而不断更新。 | AuditIfNotExists、Disabled | 2.0.0 |
应在虚拟机规模集中为列出的虚拟机映像启用 Dependency Agent | 如果虚拟机映像不在定义的列表中,并且未安装该代理,则会将虚拟机规模集报告为不合规。 OS 映像列表会随着支持的更新而不断更新。 | AuditIfNotExists、Disabled | 2.0.0 |
部署 - 将 Dependency Agent 配置为在 Windows 虚拟机规模集上启用 | 如果虚拟机映像在定义的列表中,并且未安装 Dependency Agent,则为 Windows 虚拟机规模集部署该代理。 如果规模集 upgradePolicy 设置为 Manual,你需要通过更新该规模集中的所有虚拟机将扩展应用到这些虚拟机。 | DeployIfNotExists、Disabled | 3.2.0 |
部署 - 将 Dependency Agent 配置为在 Windows 虚拟机上启用 | 如果虚拟机映像在定义的列表中,并且未安装 Dependency Agent,则为 Windows 虚拟机部署该代理。 | DeployIfNotExists、Disabled | 3.2.0 |
部署 - 配置要在 Azure 密钥保管库托管的 HSM 上启用的 Log Analytics 工作区的诊断设置 | 当创建或更新缺少此诊断设置的任何 Azure Key Vault 托管的 HSM 时,部署 Azure Key Vault 托管的 HSM 的诊断设置以流式传输到区域 Log Analytics 工作区。 | DeployIfNotExists、Disabled | 1.0.0 |
部署 - 配置 Log Analytics 扩展,以在 Windows 虚拟机规模集上启用 | 如果虚拟机映像位于定义的列表中且未安装扩展,则为 Windows 虚拟机规模集部署 Log Analytics 扩展。 如果规模集 upgradePolicy 设置为 Manual,你需要通过更新该规模集中的所有虚拟机将扩展应用到这些虚拟机。 弃用通知:Log Analytics 代理已弃用,并且在 2024 年 8 月 31 日之后将不受支持。 必须在该日期之前迁移到替换的“Azure Monitor 代理”。 | DeployIfNotExists、Disabled | 3.1.0 |
部署 - 将 Log Analytics 扩展配置为在 Windows 虚拟机上启用 | 如果虚拟机映像位于定义的列表中且未安装扩展,则为 Windows 虚拟机部署 Log Analytics 扩展。 弃用通知:Log Analytics 代理已弃用,并且在 2024 年 8 月 31 日之后将不受支持。 必须在该日期之前迁移到替换的“Azure Monitor 代理”。 | DeployIfNotExists、Disabled | 3.1.0 |
为 Linux 虚拟机规模集部署 Dependency Agent | 如果 VM 映像 (OS) 位于定义的列表中且未安装代理,请为 Linux 虚拟机规模集部署 Dependency Agent。 注意:如果规模集 upgradePolicy 设置为“Manual”,你则需要通过对规模集调用升级将扩展应用到集中的所有虚拟机。 在 CLI 中,这将是 az vmss update-instances。 | deployIfNotExists | 5.1.0 |
使用 Azure Monitoring Agent 设置为 Linux 虚拟机规模集部署 Dependency Agent | 如果 VM 映像 (OS) 在定义的列表中且未安装代理,请使用 Azure Monitoring Agent 设置为 Linux 虚拟机规模集部署 Dependency Agent。 注意:如果规模集 upgradePolicy 设置为“Manual”,你则需要通过对规模集调用升级将扩展应用到集中的所有虚拟机。 在 CLI 中,这将是 az vmss update-instances。 | DeployIfNotExists、Disabled | 3.2.0 |
为 Linux 虚拟机部署 Dependency Agent | 如果 VM 映像 (OS) 位于定义的列表中且未安装代理,则为 Linux 虚拟机部署 Dependency Agent。 | deployIfNotExists | 5.1.0 |
使用 Azure Monitoring Agent 设置为 Linux 虚拟机部署 Dependency Agent | 如果 VM 映像 (OS) 在定义的列表中且未安装代理,请使用 Azure Monitoring Agent 设置为 Linux 虚拟机部署 Dependency Agent。 | DeployIfNotExists、Disabled | 3.2.0 |
使用 Azure Monitoring Agent 设置部署要在 Windows 虚拟机规模集中启用的 Dependency Agent | 如果虚拟机映像在定义的列表中且未安装代理,则使用 Azure Monitoring Agent 设置为 Windows 虚拟机规模集部署 Dependency Agent。 如果规模集 upgradePolicy 设置为 Manual,你需要通过更新该规模集中的所有虚拟机将扩展应用到这些虚拟机。 | DeployIfNotExists、Disabled | 1.3.0 |
使用 Azure Monitoring Agent 设置部署要在 Windows 虚拟机中启用的 Dependency Agen | 如果虚拟机映像在定义的列表中且未安装代理,则使用 Azure Monitoring Agent 设置为 Windows 虚拟机部署 Dependency Agent。 | DeployIfNotExists、Disabled | 1.3.0 |
将 Batch 帐户的诊断设置部署到事件中心 | 在创建或更新缺少 Batch 帐户的诊断设置的任何 Batch 帐户时,将此诊断设置流式部署到区域事件中心。 | DeployIfNotExists、Disabled | 2.0.0 |
将 Batch 帐户的诊断设置部署到 Log Analytics 工作区 | 在创建或更新缺少 Batch 帐户的诊断设置的任何 Batch 帐户时,将此诊断设置流式部署到区域 Log Analytics 工作区。 | DeployIfNotExists、Disabled | 1.1.0 |
将 Data Lake Analytics 的诊断设置部署到事件中心 | 在创建或更新缺少 Data Lake Analytics 的诊断设置的任何 Data Lake Analytics 时,将此诊断设置流式部署到区域事件中心。 | DeployIfNotExists、Disabled | 2.0.0 |
将 Data Lake Analytics 的诊断设置部署到 Log Analytics 工作区 | 创建或更新缺少此诊断设置的任何 Data Lake Analytics 时,部署 Data Lake Analytics 的诊断设置以流式传输到区域 Log Analytics 工作区。 | DeployIfNotExists、Disabled | 1.0.0 |
将 Data Lake Storage Gen1 的诊断设置部署到事件中心 | 在创建或更新缺少 Data Lake Storage Gen1 的诊断设置的任何 Data Lake Storage Gen1 时,将此诊断设置流式部署到区域事件中心。 | DeployIfNotExists、Disabled | 2.0.0 |
将 Data Lake Storage Gen1 的诊断设置部署到 Log Analytics 工作区 | 创建或更新缺少此诊断设置的任何 Data Lake Storage Gen1 时,部署 Data Lake Storage Gen1 的诊断设置以流式传输到区域 Log Analytics 工作区。 | DeployIfNotExists、Disabled | 1.0.0 |
将事件中心的诊断设置部署到事件中心 | 在创建或更新缺少事件中心的诊断设置的任何事件中心时,将此诊断设置流式部署到区域事件中心。 | DeployIfNotExists、Disabled | 2.1.0 |
将事件中心的诊断设置部署到 Log Analytics 工作区 | 在创建或更新缺少事件中心的诊断设置的任何事件中心时,将此诊断设置流式部署到 Log Analytics 工作区。 | DeployIfNotExists、Disabled | 2.0.0 |
将 Key Vault 的诊断设置部署到 Log Analytics 工作区 | 在创建或更新缺少 Key Vault 的诊断设置的 Key Vault 时,将此诊断设置流式部署到 Log Analytics 工作区。 | DeployIfNotExists、Disabled | 3.0.0 |
将逻辑应用的诊断设置部署到事件中心 | 在创建或更新缺少逻辑应用的诊断设置的任何逻辑应用时,将此诊断设置流式部署到区域事件中心。 | DeployIfNotExists、Disabled | 2.0.0 |
将逻辑应用的诊断设置部署到 Log Analytics 工作区 | 在创建或更新缺少逻辑应用的诊断设置的任何逻辑应用时,将此诊断设置流式部署到 Log Analytics 工作区。 | DeployIfNotExists、Disabled | 1.0.0 |
为网络安全组部署诊断设置 | 此策略自动将诊断设置部署到网络安全组。 将自动创建名为“{storagePrefixParameter}{NSGLocation}”的存储帐户。 | deployIfNotExists | 2.0.1 |
将搜索服务的诊断设置部署到事件中心 | 在创建或更新缺少搜索服务的诊断设置的任何搜索服务时,将此诊断设置流式部署到区域事件中心。 | DeployIfNotExists、Disabled | 2.0.0 |
将搜索服务的诊断设置部署到 Log Analytics 工作区 | 在创建或更新缺少搜索服务的诊断设置的任何搜索服务时,将此诊断设置流式部署到区域 Log Analytics 工作区。 | DeployIfNotExists、Disabled | 1.0.0 |
将服务总线的诊断设置部署到事件中心 | 在创建或更新缺少服务总线的诊断设置的任何服务总线时,将此诊断设置流式部署到区域事件中心。 | DeployIfNotExists、Disabled | 2.0.0 |
将服务总线的诊断设置部署到 Log Analytics 工作区 | 在创建或更新缺少服务总线的诊断设置的任何服务总线时,将此诊断设置流式部署到区域 Log Analytics 工作区。 | DeployIfNotExists、Disabled | 2.1.0 |
将流分析的诊断设置部署到事件中心 | 在创建或更新缺少流分析的诊断设置的任何流分析时,将此诊断设置流式部署到区域事件中心。 | DeployIfNotExists、Disabled | 2.0.0 |
将流分析的诊断设置部署到 Log Analytics 工作区 | 在创建或更新缺少流分析的诊断设置的任何流分析时,将此诊断设置流式部署到区域 Log Analytics 工作区。 | DeployIfNotExists、Disabled | 1.0.0 |
为 Linux 虚拟机规模集部署 Log Analytics 扩展。 请参阅下面的弃用通知 | 如果 VM 映像 (OS) 位于定义的列表中且未安装扩展,则为 Linux 虚拟机规模集部署 Log Analytics 扩展。 注意:如果规模集 upgradePolicy 设置为“Manual”,则需要通过对规模集调用升级将扩展应用到集中的所有 VM。 在 CLI 中,这将是 az vmss update-instances。 弃用通知:Log Analytics 代理在 2024 年 8 月 31 日之后将不受支持。 必须在该日期之前迁移到替换的“Azure Monitor 代理” | deployIfNotExists | 3.0.0 |
为 Linux VM 部署 Log Analytics 扩展 请参阅下面的弃用通知 | 如果 VM 映像 (OS) 位于定义的列表中且未安装扩展,则为 Linux VM 部署 Log Analytics 扩展。 弃用通知:Log Analytics 代理已弃用,并且在 2024 年 8 月 31 日之后将不受支持。 必须在该日期之前迁移到替换的“Azure Monitor 代理” | deployIfNotExists | 3.0.0 |
启用按类别组将 1ES 托管池 (microsoft.cloudtest/hostedpools) 的日志记录到事件中心 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 1ES 托管池 (microsoft.cloudtest/hostedpools) 的事件中心。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 1ES 托管池 (microsoft.cloudtest/hostedpools) 的日志记录到 Log Analytics | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 1ES 托管池 (microsoft.cloudtest/hostedpools) 的 Log Analytics 工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 1ES 托管池 (microsoft.cloudtest/hostedpools) 的日志记录到存储 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 1ES 托管池 (microsoft.cloudtest/hostedpools) 的存储帐户。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 Analysis Services (microsoft.analysisservices/servers) 的日志记录到事件中心 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 Analysis Services (microsoft.analysisservices/servers) 事件中心。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 Analysis Services (microsoft.analysisservices/servers) 的日志记录到 Log Analytics | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 Analysis Services (microsoft.analysisservices/servers) 的 Log Analytics 工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 Analysis Services (microsoft.analysisservices/servers) 的日志记录到存储 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 Analysis Services (microsoft.analysisservices/servers) 的存储帐户。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 Apache Spark 池 (microsoft.synapse/workspaces/bigdatapools) 的日志记录到事件中心 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 Apache Spark 池 (microsoft.synapse/workspaces/bigdatapools) 的事件中心。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 Apache Spark 池 (microsoft.synapse/workspaces/bigdatapools) 的日志记录到 Log Analytics | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 Apache Spark 池 (microsoft.synapse/workspaces/bigdatapools) 的 Log Analytics 工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 Apache Spark 池 (microsoft.synapse/workspaces/bigdatapools) 的日志记录到存储 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 Apache Spark 池 (microsoft.synapse/workspaces/bigdatapools) 的存储帐户。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
按类别组启用 API 管理服务 (microsoft.apimanagement/service) 到事件中心的日志记录 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,为 API 管理服务 (microsoft.apimanagement/service) 将日志路由到事件中心。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.2.0 |
按类别组启用 API 管理服务 (microsoft.apimanagement/service) 到 Log Analytics 的日志记录 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,为 API 管理服务 (microsoft.apimanagement/service) 将日志路由到 Log Analytics 工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
按类别组启用 API 管理服务 (microsoft.apimanagement/service) 到存储的日志记录 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,为 API 管理服务 (microsoft.apimanagement/service) 将日志路由到存储账户。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
按类别组为应用程序配置 (microsoft.appconfiguration/configurationstores) 启用到事件中心的日志记录 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略将使用类别组来部署诊断设置,从而为应用程序配置 (microsoft.appconfiguration/configurationstores) 将日志路由到事件中心。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.2.0 |
按类别组为应用程序配置 (microsoft.appconfiguration/configurationstores) 启用到 Log Analytics 的日志记录 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略将使用类别组来部署诊断设置,从而为应用程序配置 (microsoft.appconfiguration/configurationstores) 将日志路由到 Log Analytics 工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
按类别组为应用程序配置 (microsoft.appconfiguration/configurationstores) 启用到存储的日志记录 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略将使用类别组来部署诊断设置,从而为应用程序配置 (microsoft.appconfiguration/configurationstores) 将日志路由到存储帐户。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
按类别组为应用服务 (microsoft.web/sites) 启用到 Log Analytics 的日志记录 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,为应用服务 (microsoft.web/sites) 将日志路由到 Log Analytics 工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 Azure 应用服务环境 (microsoft.web/hostingenvironments) 的日志记录到事件中心 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 Azure 应用服务环境 (microsoft.web/hostingenvironments) 的事件中心。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 Azure 应用服务环境 (microsoft.web/hostingenvironments) 的日志记录到 Log Analytics | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 Azure 应用服务环境 (microsoft.web/hostingenvironments) 的 Log Analytics 工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 Azure 应用服务环境 (microsoft.web/hostingenvironments) 的日志记录到存储 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 Azure 应用服务环境 (microsoft.web/hostingenvironments) 的存储帐户。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将应用程序网关 (microsoft.network/applicationgateways) 的日志记录到事件中心 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到应用程序网关 (microsoft.network/applicationgateways) 的事件中心。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将应用程序网关 (microsoft.network/applicationgateways) 的日志记录到 Log Analytics | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到应用程序网关 (microsoft.network/applicationgateways) 的 Log Analytics 工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将应用程序网关 (microsoft.network/applicationgateways) 的日志记录到存储 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到应用程序网关 (microsoft.network/applicationgateways) 的存储帐户。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
按类别组为应用程序组 (microsoft.desktopvirtualization/applicationgroups) 启用到 Log Analytics 的日志记录 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,为 Azure 虚拟桌面应用程序组 (microsoft.desktopvirtualization/applicationgroups) 将日志路由到 Log Analytics 工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将应用程序组 (microsoft.desktopvirtualization/applicationgroups) 的日志记录到事件中心 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到应用程序组 (microsoft.desktopvirtualization/applicationgroups) 的事件中心。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将应用程序组 (microsoft.desktopvirtualization/applicationgroups) 的日志记录到 Log Analytics | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到应用程序组 (microsoft.desktopvirtualization/applicationgroups) 的 Log Analytics 工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将应用程序组 (microsoft.desktopvirtualization/applicationgroups) 的日志记录到存储 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到应用程序组 (microsoft.desktopvirtualization/applicationgroups) 的存储帐户。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 Application Insights (microsoft.insights/components) 的日志记录到事件中心 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 Application Insights (microsoft.insights/components) 的事件中心。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 Application Insights (microsoft.insights/components) 的日志记录到 Log Analytics | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 Application Insights (microsoft.insights/components) 的 Log Analytics 工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 Application Insights (Microsoft.Insights/components) 的日志记录到 Log Analytics (Virtual Enclaves) | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,为 Application Insights (Microsoft.Insights/components) 将日志路由到 Log Analytics 工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.1 |
启用按类别组将 Application Insights (microsoft.insights/components) 的日志记录到存储 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 Application Insights (microsoft.insights/components) 的存储帐户。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
按类别组启用证明提供程序 (microsoft.attestation/attestationproviders) 到事件中心的日志记录 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,为提供程序 (microsoft.attestation/attestationproviders) 将日志路由到事件中心。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.2.0 |
按类别组启用证明提供程序 (microsoft.attestation/attestationproviders) 到 Log Analytics 的日志记录 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,为提供程序 (microsoft.attestation/attestationproviders) 将日志路由到 Log Analytics 工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
按类别组启用证明提供程序 (microsoft.attestation/attestationproviders) 到存储的日志记录 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,为提供程序 (microsoft.attestation/attestationproviders) 将日志路由到存储账户。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
按类别组启用自动化账户 (microsoft.automation/automationaccounts) 到事件中心的日志记录 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,为自动化账户 (microsoft.automation/automationaccounts) 将日志路由到事件中心。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.2.0 |
按类别组启用自动化账户 (microsoft.automation/automationaccounts) 到 Log Analytics 的日志记录 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,为自动化账户 (microsoft.automation/automationaccounts) 将日志路由到 Log Analytics 工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
按类别组启用自动化账户 (microsoft.automation/automationaccounts) 到存储的日志记录 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,为自动化账户 (microsoft.automation/automationaccounts) 将日志路由到存储账户。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
按类别组启用 AVS 私有云 (microsoft.avs/privateclouds) 到事件中心的日志记录 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,为 AVS 私有云 (microsoft.avs/privateclouds) 将日志路由到事件中心。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.2.0 |
按类别组启用 AVS 私有云 (microsoft.avs/privateclouds) 到 Log Analytics 的日志记录 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,为 AVS 私有云 (microsoft.avs/privateclouds) 将日志路由到 Log Analytics 工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
按类别组启用 AVS 私有云 (microsoft.avs/privateclouds) 到存储的日志记录 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,为 AVS 私有云 (microsoft.avs/privateclouds) 将日志路由到存储账户。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
启用按类别组将 Azure AD 域服务 (microsoft.aad/domainservices) 的日志记录到事件中心 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 Azure AD 域服务 (microsoft.aad/domainservices) 的事件中心。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 Azure AD 域服务 (microsoft.aad/domainservices) 的日志记录到 Log Analytics | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 Azure AD 域服务 (microsoft.aad/domainservices) 的 Log Analytics 工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 Azure AD 域服务 (microsoft.aad/domainservices) 的日志记录到存储 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 Azure AD 域服务 (microsoft.aad/domainservices) 的存储帐户。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 Azure API for FHIR (microsoft.healthcareapis/services) 的日志记录到事件中心 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 Azure API for FHIR (microsoft.healthcareapis/services) 的事件中心。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 Azure API for FHIR (microsoft.healthcareapis/services) 的日志记录到 Log Analytics | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 Azure API for FHIR (microsoft.healthcareapis/services) 的 Log Analytics 工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 Azure API for FHIR (microsoft.healthcareapis/services) 的日志记录到存储 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 Azure API for FHIR (microsoft.healthcareapis/services) 的存储帐户。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
按类别组启用 Azure Cache for Redis (microsoft.cache/redis) 到事件中心的日志记录 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,为 Azure Cache for Redis (microsoft.cache/redis) 将日志路由到事件中心。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.2.0 |
按类别组启用 Azure Cache for Redis (microsoft.cache/redis) 到 Log Analytics 的日志记录 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,为 Azure Cache for Redis (microsoft.cache/redis) 将日志路由到 Log Analytics 工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
按类别组启用 Azure Cache for Redis (microsoft.cache/redis) 到存储的日志记录 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,为 Azure Cache for Redis (microsoft.cache/redis) 将日志路由到存储账户。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
按类别组为 Azure Cosmos DB (microsoft.documentdb/databaseaccounts) 启用到 Log Analytics 的日志记录 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,为 Azure Cosmos DB (microsoft.documentdb/databaseaccounts) 将日志路由到 Log Analytics 工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 Azure Cosmos DB 帐户(microsoft.documentdb/databaseaccounts) 的日志记录到事件中心 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 Azure Cosmos DB 帐户 (microsoft.documentdb/databaseaccounts) 的事件中心。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 Azure Cosmos DB 帐户(microsoft.documentdb/databaseaccounts) 的日志记录到 Log Analytics | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 Azure Cosmos DB 帐户 (microsoft.documentdb/databaseaccounts) 的 Log Analytics 工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 Azure Cosmos DB 帐户(microsoft.documentdb/databaseaccounts) 的日志记录到存储 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 Azure Cosmos DB 帐户 (microsoft.documentdb/databaseaccounts) 的存储帐户。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 Azure 数据资源管理器群集 (microsoft.kusto/clusters) 的日志记录到事件中心 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 Azure 数据资源管理器群集 (microsoft.kusto/clusters) 的事件中心。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 Azure 数据资源管理器群集 (microsoft.kusto/clusters) 的日志记录到 Log Analytics | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 Azure 数据资源管理器群集 (microsoft.kusto/clusters) 的 Log Analytics 工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 Azure 数据资源管理器群集 (microsoft.kusto/clusters) 的日志记录到存储 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 Azure 数据资源管理器群集 (microsoft.kusto/clusters) 的存储帐户。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 Azure Database for MariaDB 服务器 (microsoft.dbformariadb/servers) 的日志记录到事件中心 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 Azure Database for MariaDB 服务器 (microsoft.dbformariadb/servers) 的事件中心。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 Azure Database for MariaDB 服务器 (microsoft.dbformariadb/servers) 的日志记录到 Log Analytics | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 Azure Database for MariaDB 服务器 (microsoft.dbformariadb/servers) 的 Log Analytics 工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 Azure Database for MariaDB 服务器 (microsoft.dbformariadb/servers) 的日志记录到存储 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 Azure Database for MariaDB 服务器 (microsoft.dbformariadb/servers) 的存储帐户。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 Azure Database for MySQL 服务器 (microsoft.dbformysql/servers) 的日志记录到事件中心 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 Azure Database for MySQL 服务器 (microsoft.dbformysql/servers) 的事件中心。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 Azure Database for MySQL 服务器 (microsoft.dbformysql/servers) 的日志记录到 Log Analytics | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 Azure Database for MySQL 服务器 (microsoft.dbformysql/servers) 的 Log Analytics 工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 Azure Database for MySQL 服务器 (microsoft.dbformysql/servers) 的日志记录到存储 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 Azure Database for MySQL 服务器 (microsoft.dbformysql/servers) 的存储帐户。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 Azure Databricks Services (microsoft.databricks/workspaces) 的日志记录到事件中心 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 Azure Databricks 服务 (microsoft.databricks/workspaces) 的事件中心。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 Azure Databricks Services (microsoft.databricks/workspaces) 的日志记录到 Log Analytics | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 Azure Databricks 服务 (microsoft.databricks/workspaces) 的 Log Analytics 工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 Azure Databricks Services (microsoft.databricks/workspaces) 的日志记录到存储 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 Azure Databricks 服务 (microsoft.databricks/workspaces) 的存储帐户。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 Azure 数字孪生 (microsoft.digitaltwins/digitaltwinsinstances) 的日志记录到事件中心 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 Azure 数字孪生 (microsoft.digitaltwins/digitaltwinsinstances) 的事件中心。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 Azure 数字孪生 (microsoft.digitaltwins/digitaltwinsinstances) 的日志记录到 Log Analytics | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 Azure 数字孪生 (microsoft.digitaltwins/digitaltwinsinstances) 的 Log Analytics 工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 Azure 数字孪生 (microsoft.digitaltwins/digitaltwinsinstances) 的日志记录到存储 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 Azure 数字孪生 (microsoft.digitaltwins/digitaltwinsinstances) 的存储帐户。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
按类别组启用 Azure FarmBeats (microsoft.agfoodplatform/farmbeats) 到事件中心的日志记录 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,为 Azure FarmBeats (microsoft.agfoodplatform/farmbeats) 将日志路由到事件中心。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.2.0 |
按类别组启用 Azure FarmBeats (microsoft.agfoodplatform/farmbeats) 到 Log Analytics 的日志记录 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,为 Azure FarmBeats (microsoft.agfoodplatform/farmbeats) 将日志路由到 Log Analytics 工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
按类别组启用 Azure FarmBeats (microsoft.agfoodplatform/farmbeats) 到存储的日志记录 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,为 Azure FarmBeats (microsoft.agfoodplatform/farmbeats) 将日志路由到存储账户。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
启用按类别组将 Azure 负载测试 (microsoft.loadtestservice/loadtests) 的日志记录到事件中心 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 Azure 负载测试 (microsoft.loadtestservice/loadtests) 的事件中心。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 Azure 负载测试 (microsoft.loadtestservice/loadtests) 的日志记录到 Log Analytics | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 Azure 负载测试 (microsoft.loadtestservice/loadtests) 的 Log Analytics 工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 Azure 负载测试 (microsoft.loadtestservice/loadtests) 的日志记录到存储 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 Azure 负载测试 (microsoft.loadtestservice/loadtests) 的存储帐户。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
按类别组启用 Azure 机器学习 (microsoft.machinelearningservices/workspaces) 到事件中心的日志记录 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,为 Azure 机器学习 (microsoft.machinelearningservices/workspaces) 将日志路由到事件中心。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.2.0 |
按类别组启用 Azure 机器学习 (microsoft.machinelearningservices/workspaces) 到 Log Analytics 的日志记录 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,为 Azure 机器学习 (microsoft.machinelearningservices/workspaces) 将日志路由到 Log Analytics 工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
按类别组启用 Azure 机器学习 (microsoft.machinelearningservices/workspaces) 到存储的日志记录 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,为 Azure 机器学习 (microsoft.machinelearningservices/workspaces) 将日志路由到存储账户。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
启用按类别组将 Azure 托管 Grafana (microsoft.dashboard/grafana) 的日志记录到事件中心 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 Azure 托管 Grafana (microsoft.dashboard/grafana) 的事件中心。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 Azure 托管 Grafana (microsoft.dashboard/grafana) 的日志记录到 Log Analytics | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 Azure 托管 Grafana (microsoft.dashboard/grafana) 的 Log Analytics 工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 Azure 托管 Grafana (microsoft.dashboard/grafana) 的日志记录到存储 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 Azure 托管 Grafana (microsoft.dashboard/grafana) 的存储帐户。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 Azure Spring Apps (microsoft.appplatform/spring) 的日志记录到事件中心 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 Azure Spring Apps (microsoft.appplatform/spring) 的事件中心。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 Azure Spring Apps (microsoft.appplatform/spring) 的日志记录到 Log Analytics | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 Azure Spring Apps (microsoft.appplatform/spring) 的 Log Analytics 工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 Azure Spring Apps (microsoft.appplatform/spring) 的日志记录到存储 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 Azure Spring Apps (microsoft.appplatform/spring) 的存储帐户。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 Azure Synapse Analytics (microsoft.synapse/workspaces) 的日志记录到事件中心 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 Azure Synapse Analytics (microsoft.synapse/workspaces) 的事件中心。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 Azure Synapse Analytics (microsoft.synapse/workspaces) 的日志记录到 Log Analytics | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 Azure Synapse Analytics (microsoft.synapse/workspaces) 的 Log Analytics 工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 Azure Synapse Analytics (microsoft.synapse/workspaces) 的日志记录到存储 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 Azure Synapse Analytics (microsoft.synapse/workspaces) 的存储帐户。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 Azure 视频索引器 (microsoft.videoindexer/accounts) 的日志记录到事件中心 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 Azure 视频索引器 (microsoft.videoindexer/accounts) 的事件中心。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 Azure 视频索引器 (microsoft.videoindexer/accounts) 的日志记录到 Log Analytics | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 Azure 视频索引器 (microsoft.videoindexer/accounts) 的 Log Analytics 工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 Azure 视频索引器 (microsoft.videoindexer/accounts) 的日志记录到存储 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 Azure 视频索引器 (microsoft.videoindexer/accounts) 的存储帐户。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将备份保管库 (microsoft.dataprotection/backupvaults) 的日志记录到事件中心 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到备份保管库 (microsoft.dataprotection/backupvaults) 的事件中心。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将备份保管库 (microsoft.dataprotection/backupvaults) 的日志记录到 Log Analytics | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到用于备份保管库 (microsoft.dataprotection/backupvaults) 的 Log Analytics 工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将备份保管库 (microsoft.dataprotection/backupvaults) 的日志记录到存储 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到备份保管库 (microsoft.dataprotection/backupvaults) 的存储帐户。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
按类别组为 Bastion (microsoft.network/bastionhosts) 启用到事件中心的日志记录 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,为 Bastion (microsoft.network/bastionhosts) 将日志路由到事件中心。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.2.0 |
按类别组为 Bastion (microsoft.network/bastionhosts) 启用到 Log Analytics 的日志记录 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,为 Bastion (microsoft.network/bastionhosts) 将日志路由到 Log Analytics 工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
按类别组为 Bastion (microsoft.network/bastionhosts) 启用到存储的日志记录 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,为 Bastion (microsoft.network/bastionhosts) 将日志路由到存储帐户。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
启用按类别组将 Batch 帐户 (microsoft.batch/batchaccounts) 的日志记录到事件中心 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 Batch 帐户 (microsoft.batch/batchaccounts) 的事件中心。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 Batch 帐户 (microsoft.batch/batchaccounts) 的日志记录到 Log Analytics | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 Batch 帐户 (microsoft.batch/batchaccounts) 的 Log Analytics 工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 Batch 帐户 (microsoft.batch/batchaccounts) 的日志记录到存储 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 Batch 帐户 (microsoft.batch/batchaccounts) 的存储帐户。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将机器人服务 (microsoft.botservice/botservices) 的日志记录到事件中心 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到机器人服务 (microsoft.botservice/botservices) 的事件中心。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将机器人服务 (microsoft.botservice/botservices) 的日志记录到 Log Analytics | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到机器人服务 (microsoft.botservice/botservices) 的 Log Analytics 工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将机器人服务 (microsoft.botservice/botservices) 的日志记录到存储 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到机器人服务 (microsoft.botservice/botservices) 的存储帐户。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将缓存 (microsoft.cache/redisenterprise/databases) 的日志记录到事件中心 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到缓存 (microsoft.cache/redisenterprise/databases) 的事件中心。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将缓存 (microsoft.cache/redisenterprise/databases) 的日志记录到 Log Analytics | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到缓存 (microsoft.cache/redisenterprise/databases) 的 Log Analytics 工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将缓存 (microsoft.cache/redisenterprise/databases) 的日志记录到存储 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到缓存 (microsoft.cache/redisenterprise/databases) 的存储帐户。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 Chaos Experiments (microsoft.chaos/experiments) 的日志记录到事件中心 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 Chaos Experiments (microsoft.chaos/experiments) 的事件中心。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 Chaos Experiments (microsoft.chaos/experiments) 的日志记录到 Log Analytics | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 Chaos Experiments (microsoft.chaos/experiments) 的 Log Analytics 工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 Chaos Experiments (microsoft.chaos/experiments) 的日志记录到存储 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 Chaos Experiments (microsoft.chaos/experiments) 的存储帐户。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 Code Signing Accounts (microsoft.codesigning/codesigningaccounts) 的日志记录到事件中心 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到代码签名帐户 (microsoft.codesigning/codesigningaccounts) 的事件中心。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 Code Signing Accounts (microsoft.codesigning/codesigningaccounts) 的日志记录到 Log Analytics | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到代码签名帐户 (microsoft.codesigning/codesigningaccounts) 的 Log Analytics 工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 Code Signing Accounts (microsoft.codesigning/codesigningaccounts) 的日志记录到存储 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到代码签名帐户 (microsoft.codesigning/codesigningaccounts) 的存储帐户。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
按类别组为认知服务 (microsoft.cognitiveservices/accounts) 启用到事件中心的日志记录 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,为认知服务 (microsoft.cognitiveservices/accounts) 将日志路由到事件中心。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.2.0 |
按类别组为认知服务 (microsoft.cognitiveservices/accounts) 启用到 Log Analytics 的日志记录 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,为认知服务 (microsoft.cognitiveservices/accounts) 将日志路由到 Log Analytics 工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
按类别组为认知服务 (microsoft.cognitiveservices/accounts) 启用到存储的日志记录 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,为认知服务 (microsoft.cognitiveservices/accounts) 将日志路由到存储帐户。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
启用按类别组将 Azure 通信服务 (microsoft.communication/communicationservices) 的日志记录到事件中心 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 Azure 通信服务 (microsoft.communication/communicationservices) 的事件中心。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 Azure 通信服务 (microsoft.communication/communicationservices) 的日志记录到 Log Analytics | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 Azure 通信服务 (microsoft.communication/communicationservices) 的 Log Analytics 工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 Azure 通信服务 (microsoft.communication/communicationservices) 的日志记录到存储 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 Azure 通信服务 (microsoft.communication/communicationservices) 的存储帐户。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将联网缓存资源 (microsoft.connectedcache/ispcustomers) 的日志记录到事件中心 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到联网缓存资源 (microsoft.connectedcache/ispcustomers) 的事件中心。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将联网缓存资源 (microsoft.connectedcache/ispcustomers) 的日志记录到 Log Analytics | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到联网缓存资源 (microsoft.connectedcache/ispcustomers) 的 Log Analytics 工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将联网缓存资源 (microsoft.connectedcache/ispcustomers) 的日志记录到存储 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到联网缓存资源 (microsoft.connectedcache/ispcustomers) 的存储帐户。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 Azure 容器应用环境 (microsoft.app/managedenvironments) 的日志记录到事件中心 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 Azure 容器应用环境 (microsoft.app/managedenvironments) 的事件中心。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 Azure 容器应用环境 (microsoft.app/managedenvironments) 的日志记录到 Log Analytics | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 Azure 容器应用环境 (microsoft.app/managedenvironments) 的 Log Analytics 工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 Azure 容器应用环境 (microsoft.app/managedenvironments) 的日志记录到存储 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 Azure 容器应用环境 (microsoft.app/managedenvironments) 的存储帐户。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将容器实例 (microsoft.containerinstance/containergroups) 的日志记录到事件中心 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到容器实例 (microsoft.containerinstance/containergroups) 的事件中心。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将容器实例 (microsoft.containerinstance/containergroups) 的日志记录到 Log Analytics | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到容器实例 (microsoft.containerinstance/containergroups) 的 Log Analytics 工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将容器实例 (microsoft.containerinstance/containergroups) 的日志记录到存储 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到容器实例 (microsoft.containerinstance/containergroups) 的存储帐户。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
按类别组为容器注册表 (microsoft.containerregistry/registries) 启用到事件中心的日志记录 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,为容器注册表 (microsoft.containerregistry/registries) 将日志路由到事件中心。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.2.0 |
按类别组为容器注册表 (microsoft.containerregistry/registries) 启用到 Log Analytics 的日志记录 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,为容器注册表 (microsoft.containerregistry/registries) 将日志路由到 Log Analytics 工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
按类别组为容器注册表 (microsoft.containerregistry/registries) 启用到存储的日志记录 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,为容器注册表 (microsoft.containerregistry/registries) 将日志路由到存储帐户。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
启用按类别组将数据收集规则 (microsoft.insights/datacollectionrules) 的日志记录到事件中心 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到数据收集规则 (microsoft.insights/datacollectionrules) 的事件中心。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将数据收集规则 (microsoft.insights/datacollectionrules) 的日志记录到 Log Analytics | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到数据收集规则 (microsoft.insights/datacollectionrules) 的 Log Analytics 工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将数据收集规则 (microsoft.insights/datacollectionrules) 的日志记录到存储 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到数据收集规则 (microsoft.insights/datacollectionrules) 的存储帐户。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将缓存数据工厂 (V2) (microsoft.datafactory/factories) 的日志记录到事件中心 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,为 Data factories (V2) (microsoft.datafactory/factories) 将日志路由到事件中心。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
按类别组为 Data factories (V2) (microsoft.datafactory/factories) 启动到 Log Analytics 的日志记录 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,为 Data factories (V2) (microsoft.datafactory/factories) 将日志路由到 Log Analytics 工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
按类别组为 Data factories (V2) (microsoft.datafactory/factories) 启动到存储的日志记录 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,为 Data factories (V2) (microsoft.datafactory/factories) 将日志路由到存储帐户。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 Data Lake Analytics (microsoft.datalakeanalytics/accounts) 的日志记录到事件中心 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 Data Lake Analytics (microsoft.datalakeanalytics/accounts) 的事件中心。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 Data Lake Analytics (microsoft.datalakeanalytics/accounts) 的日志记录到 Log Analytics | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 Data Lake Analytics (microsoft.datalakeanalytics/accounts) 的 Log Analytics 工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 Data Lake Analytics (microsoft.datalakeanalytics/accounts) 的日志记录到存储 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 Data Lake Analytics (microsoft.datalakeanalytics/accounts) 的存储帐户。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 Data Lake Storage Gen1 (microsoft.datalakestore/accounts) 的日志记录到事件中心 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 Data Lake Storage Gen1 (microsoft.datalakestore/accounts) 的事件中心。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 Data Lake Storage Gen1 (microsoft.datalakestore/accounts) 的日志记录到 Log Analytics | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 Data Lake Storage Gen1 (microsoft.datalakestore/accounts) 的 Log Analytics 工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 Data Lake Storage Gen1 (microsoft.datalakestore/accounts) 的日志记录到存储 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 Data Lake Storage Gen1 (microsoft.datalakestore/accounts) 的存储帐户。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 Data Shares (microsoft.datashare/accounts) 的日志记录到事件中心 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 Data Shares (microsoft.datashare/accounts) 的事件中心。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 Data Shares (microsoft.datashare/accounts) 的日志记录到 Log Analytics | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 Data Shares (microsoft.datashare/accounts) 的 Log Analytics 工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 Data Shares (microsoft.datashare/accounts) 的日志记录到存储 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 Data Shares (microsoft.datashare/accounts) 的存储帐户。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将专用 SQL 池 (microsoft.synapse/workspaces/sqlpools) 的日志记录到事件中心 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到专用 SQL 池 (microsoft.synapse/workspaces/sqlpools) 的事件中心。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将专用 SQL 池 (microsoft.synapse/workspaces/sqlpools) 的日志记录到 Log Analytics | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到专用 SQL 池 (microsoft.synapse/workspaces/sqlpools) 的 Log Analytics 工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将专用 SQL 池 (microsoft.synapse/workspaces/sqlpools) 的日志记录到存储 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到专用 SQL 池 (microsoft.synapse/workspaces/sqlpools) 的存储帐户。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将开发人员中心 (microsoft.devcenter/devcenters) 的日志记录到事件中心 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到开发人员中心 (microsoft.devcenter/devcenters) 的事件中心。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将开发人员中心 (microsoft.devcenter/devcenters) 的日志记录到 Log Analytics | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到开发人员中心 (microsoft.devcenter/devcenters) 的 Log Analytics 工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将开发人员中心 (microsoft.devcenter/devcenters) 的日志记录到存储 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到开发人员中心 (microsoft.devcenter/devcenters) 的存储帐户。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 DICOM 服务 (microsoft.healthcareapis/workspaces/dicomservices) 的日志记录到事件中心 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 DICOM 服务 (microsoft.healthcareapis/workspaces/dicomservices) 的事件中心。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 DICOM 服务 (microsoft.healthcareapis/workspaces/dicomservices) 的日志记录到 Log Analytics | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 DICOM 服务 (microsoft.healthcareapis/workspaces/dicomservices) 的 Log Analytics 工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 DICOM 服务 (microsoft.healthcareapis/workspaces/dicomservices) 的日志记录到存储 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 DICOM 服务 (microsoft.healthcareapis/workspaces/dicomservices) 的存储帐户。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将终结点 (microsoft.cdn/profiles/endpoints) 的日志记录到事件中心 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到终结点 (microsoft.cdn/profiles/endpoints) 的事件中心。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将终结点 (microsoft.cdn/profiles/endpoints) 的日志记录到 Log Analytics | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到终结点 (microsoft.cdn/profiles/endpoints) 的 Log Analytics 工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将终结点 (microsoft.cdn/profiles/endpoints) 的日志记录到存储 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到终结点 (microsoft.cdn/profiles/endpoints) 的存储帐户。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
按类别组为事件网格域 (microsoft.eventgrid/domains) 启用到事件中心的日志记录 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,为事件网格域 (microsoft.eventgrid/domains) 将日志路由到事件中心。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.2.0 |
按类别组为事件网格域 (microsoft.eventgrid/domains) 启用到 Log Analytics 的日志记录 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,为事件网格域 (microsoft.eventgrid/domains) 将日志路由到 Log Analytics 工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
按类别组为事件网格域 (microsoft.eventgrid/domains) 启用到存储的日志记录 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,为事件网格域 (microsoft.eventgrid/domains) 将日志路由到存储帐户。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
按类别组为事件网格合作伙伴命名空间 (microsoft.eventgrid/partnernamespaces) 启用到事件中心的日志记录 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,为事件网格合作伙伴命名空间 (microsoft.eventgrid/partnernamespaces) 将日志路由到事件中心。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.2.0 |
按类别组为事件网格合作伙伴命名空间 (microsoft.eventgrid/partnernamespaces) 启用到 Log Analytics 的日志记录 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,为事件网格合作伙伴命名空间 (microsoft.eventgrid/partnernamespaces) 将日志路由到 Log Analytics 工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
按类别组为事件网格合作伙伴命名空间 (microsoft.eventgrid/partnernamespaces) 启用到存储的日志记录 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,为事件网格合作伙伴命名空间 (microsoft.eventgrid/partnernamespaces) 将日志路由到存储帐户。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
启用按类别组将事件网格合作伙伴主题 (microsoft.eventgrid/partnertopics) 的日志记录到事件中心 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到事件网格合作伙伴主题 (microsoft.eventgrid/partnertopics) 的事件中心。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将事件网格合作伙伴主题 (microsoft.eventgrid/partnertopics) 的日志记录到 Log Analytics | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到事件网格合作伙伴主题 (microsoft.eventgrid/partnertopics) 的 Log Analytics 工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将事件网格合作伙伴主题 (microsoft.eventgrid/partnertopics) 的日志记录到存储 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到事件网格合作伙伴主题 (microsoft.eventgrid/partnertopics) 的存储帐户。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将事件网格系统主题 (microsoft.eventgrid/systemtopics) 的日志记录到事件中心 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到事件网格系统主题 (microsoft.eventgrid/systemtopics) 的事件中心。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将事件网格系统主题 (microsoft.eventgrid/systemtopics) 的日志记录到 Log Analytics | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到事件网格系统主题 (microsoft.eventgrid/systemtopics) 的 Log Analytics 工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将事件网格系统主题 (microsoft.eventgrid/systemtopics) 的日志记录到存储 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到事件网格系统主题 (microsoft.eventgrid/systemtopics) 的存储帐户。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
按类别组为事件网格主题 (microsoft.eventgrid/topics) 启用到事件中心的日志记录 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,为事件网格主题 (microsoft.eventgrid/topics) 将日志路由到事件中心。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.2.0 |
按类别组为事件网格主题 (microsoft.eventgrid/topics) 启用到 Log Analytics 的日志记录 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,为事件网格主题 (microsoft.eventgrid/topics) 将日志路由到 Log Analytics 工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
按类别组为事件网格主题 (microsoft.eventgrid/topics) 启用到存储的日志记录 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,为事件网格主题 (microsoft.eventgrid/topics) 将日志路由到存储帐户。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
按类别组为事件中心命名空间 (microsoft.eventhub/namespaces) 启用到事件中心的日志记录 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,为事件中心命名空间 (microsoft.eventhub/namespaces) 将日志路由到事件中心。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.2.0 |
按类别组为事件中心命名空间 (microsoft.eventhub/namespaces) 启用到 Log Analytics 的日志记录 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,为事件中心命名空间 (microsoft.eventhub/namespaces) 将日志路由到 Log Analytics 工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
按类别组为事件中心命名空间 (microsoft.eventhub/namespaces) 启用到存储的日志记录 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,为事件中心命名空间 (microsoft.eventhub/namespaces) 将日志路由到存储账户。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
启用按类别组将试验工作区 (microsoft.experimentation/experimentworkspaces) 的日志记录到事件中心 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到试验工作区 (microsoft.experimentation/experimentworkspaces) 的事件中心。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将试验工作区 (microsoft.experimentation/experimentworkspaces) 的日志记录到 Log Analytics | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到试验工作区 (microsoft.experimentation/experimentworkspaces) 的 Log Analytics 工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将试验工作区 (microsoft.experimentation/experimentworkspaces) 的日志记录到存储 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到试验工作区 (microsoft.experimentation/experimentworkspaces) 的存储帐户。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 ExpressRoute 线路 (microsoft.network/expressroutecircuits) 的日志记录到事件中心 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 ExpressRoute 线路 (microsoft.network/expressroutecircuits) 的事件中心。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 ExpressRoute 线路 (microsoft.network/expressroutecircuits) 的日志记录到 Log Analytics | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 ExpressRoute 线路 (microsoft.network/expressroutecircuits) 的 Log Analytics 工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 ExpressRoute 线路 (microsoft.network/expressroutecircuits) 的日志记录到存储 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 ExpressRoute 线路 (microsoft.network/expressroutecircuits) 的存储帐户。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 FHIR 服务 (microsoft.healthcareapis/workspaces/fhirservices) 的日志记录到事件中心 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 FHIR 服务 (microsoft.healthcareapis/workspaces/fhirservices) 的事件中心。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 FHIR 服务 (microsoft.healthcareapis/workspaces/fhirservices) 的日志记录到 Log Analytics | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 FHIR 服务 (microsoft.healthcareapis/workspaces/fhirservices) 的 Log Analytics 工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 FHIR 服务 (microsoft.healthcareapis/workspaces/fhirservices) 的日志记录到存储 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 FHIR 服务 (microsoft.healthcareapis/workspaces/fhirservices) 的存储帐户。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
按类别组为防火墙 (microsoft.network/azurefirewalls) 启用到 Log Analytics 的日志记录 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,为防火墙 (microsoft.network/azurefirewalls) 将日志路由到 Log Analytics 工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将防火墙 (microsoft.network/azurefirewalls) 的日志记录到事件中心 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到防火墙 (microsoft.network/azurefirewalls) 的事件中心。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将防火墙 (microsoft.network/azurefirewalls) 的日志记录到 Log Analytics | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到防火墙 (microsoft.network/azurefirewalls) 的 Log Analytics 工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将防火墙 (microsoft.network/azurefirewalls) 的日志记录到存储 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到防火墙 (microsoft.network/azurefirewalls) 的存储帐户。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
按类别组为 Front Door 和 CDN 配置文件 (microsoft.cdn/profiles) 启用到事件中心的日志记录 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,为 Front Door 和 CDN 配置文件 (microsoft.cdn/profiles) 将日志路由到事件中心。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.2.0 |
按类别组为 Front Door 和 CDN 配置文件 (microsoft.cdn/profiles) 启用到 Log Analytics 的日志记录 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,为 Front Door 和 CDN 配置文件 (microsoft.cdn/profiles) 将日志路由到 Log Analytics 工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
按类别组为 Front Door 和 CDN 配置文件 (microsoft.cdn/profiles) 启用到存储的日志记录 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,为 Front Door 和 CDN 配置文件 (microsoft.cdn/profiles) 将日志路由到存储账户。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
按类别组为 Front Door 和 CDN 配置文件 (microsoft.network/frontdoors) 启用到事件中心的日志记录 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,为 Front Door 和 CDN 配置文件 (microsoft.network/frontdoors) 将日志路由到事件中心。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.2.0 |
按类别组为 Front Door 和 CDN 配置文件 (microsoft.network/frontdoors) 启用到 Log Analytics 的日志记录 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,为 Front Door 和 CDN 配置文件 (microsoft.network/frontdoors) 将日志路由到 Log Analytics 工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
按类别组为 Front Door 和 CDN 配置文件 (microsoft.network/frontdoors) 启用到存储的日志记录 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,为 Front Door 和 CDN 配置文件 (microsoft.network/frontdoors) 将日志路由到存储帐户。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
按类别组为函数应用 (microsoft.web/sites) 启用到 Log Analytics 的日志记录 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,为函数应用 (microsoft.web/sites) 将日志路由到 Log Analytics 工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
按类别组为主机池 (microsoft.desktopvirtualization/hostpools) 启用到 Log Analytics 的日志记录 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,为 Azure 虚拟桌面主机池 (microsoft.desktopvirtualization/hostpools) 将日志路由到 Log Analytics 工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将主机池 (microsoft.desktopvirtualization/hostpools) 的日志记录到事件中心 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到主机池 (microsoft.desktopvirtualization/hostpools) 的事件中心。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将主机池 (microsoft.desktopvirtualization/hostpools) 的日志记录到 Log Analytics | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到主机池 (microsoft.desktopvirtualization/hostpools) 的 Log Analytics 工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将主机池 (microsoft.desktopvirtualization/hostpools) 的日志记录到存储 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到主机池 (microsoft.desktopvirtualization/hostpools) 的存储帐户。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 HPC 缓存 (microsoft.storagecache/caches) 的日志记录到事件中心 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 HPC 缓存 (microsoft.storagecache/caches) 的事件中心。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 HPC 缓存 (microsoft.storagecache/caches) 的日志记录到 Log Analytics | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 HPC 缓存 (microsoft.storagecache/caches) 的 Log Analytics 工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 HPC 缓存 (microsoft.storagecache/caches) 的日志记录到存储 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 HPC 缓存 (microsoft.storagecache/caches) 的存储帐户。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将集成帐户 (microsoft.logic/integrationaccounts) 的日志记录到事件中心 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到集成帐户 (microsoft.logic/integrationaccounts) 的事件中心。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将集成帐户 (microsoft.logic/integrationaccounts) 的日志记录到 Log Analytics | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到集成帐户 (microsoft.logic/integrationaccounts) 的 Log Analytics 工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将集成帐户 (microsoft.logic/integrationaccounts) 的日志记录到存储 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到集成帐户 (microsoft.logic/integrationaccounts) 的存储帐户。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
按类别组为 IoT 中心 (microsoft.devices/iothubs) 启用到事件中心的日志记录 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,为 IoT 中心 (microsoft.devices/iothubs) 将日志路由到事件中心。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.2.0 |
按类别组为 IoT 中心 (microsoft.devices/iothubs) 启用到 Log Analytics 的日志记录 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,为 IoT 中心 (microsoft.devices/iothubs) 将日志路由到 Log Analytics 工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
按类别组为 IoT 中心 (microsoft.devices/iothubs) 启用到存储的日志记录 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,为 IoT 中心 (microsoft.devices/iothubs) 将日志路由到存储帐户。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
按类别组为密钥保管库 (microsoft.keyvault/vaults) 启用到事件中心的日志记录 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便为密钥保管库 (microsoft.keyvault/vaults) 将日志路由到事件中心。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.2.0 |
为密钥保管库 (microsoft.keyvault/vaults) 启用按类别组记录到 Log Analytics | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以将日志路由到密钥保管库 (microsoft.keyvault/vaults) 的 Log Analytics 工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
按类别组为密钥保管库 (microsoft.keyvault/vaults) 启用到存储的日志记录 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,为密钥保管库 (microsoft.keyvault/vaults) 将日志路由到存储账户。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
启用按类别组将实时事件 (microsoft.media/mediaservices/liveevents) 的日志记录到事件中心 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到实时事件 (microsoft.media/mediaservices/liveevents) 的事件中心。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将实时事件 (microsoft.media/mediaservices/liveevents) 的日志记录到 Log Analytics | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到实时事件 (microsoft.media/mediaservices/liveevents) 的 Log Analytics 工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将实时事件 (microsoft.media/mediaservices/liveevents) 的日志记录到存储 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到实时事件 (microsoft.media/mediaservices/liveevents) 的存储帐户。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将负载均衡器 (microsoft.network/loadbalancers) 的日志记录到事件中心 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到负载均衡器 (microsoft.network/loadbalancers) 的事件中心。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将负载均衡器 (microsoft.network/loadbalancers) 的日志记录到 Log Analytics | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到负载均衡器 (microsoft.network/loadbalancers) 的 Log Analytics 工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将负载均衡器 (microsoft.network/loadbalancers) 的日志记录到存储 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到负载均衡器 (microsoft.network/loadbalancers) 的存储帐户。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
按类别组为 Log Analytics 工作区 (microsoft.operationalinsights/workspaces) 启用到事件中心的日志记录 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,为 Log Analytics 工作区 (microsoft.operationalinsights/workspaces) 将日志路由到事件中心。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.2.0 |
按类别组为 Log Analytics 工作区 (microsoft.operationalinsights/workspaces) 启用到 Log Analytics 的日志记录 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,为 Log Analytics 工作区 (microsoft.operationalinsights/workspaces) 将日志路由到 Log Analytics 工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
按类别组为 Log Analytics 工作区 (microsoft.operationalinsights/workspaces) 启用到存储的日志记录 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,为 Log Analytics 工作区 (microsoft.operationalinsights/workspaces) 将日志路由到存储账户。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
启用按类别组将逻辑应用 (microsoft.logic/workflows) 的日志记录到事件中心 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到逻辑应用 (microsoft.logic/workflows) 的事件中心。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将逻辑应用 (microsoft.logic/workflows) 的日志记录到 Log Analytics | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到逻辑应用 (microsoft.logic/workflows) 的 Log Analytics 工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将逻辑应用 (microsoft.logic/workflows) 的日志记录到存储 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到逻辑应用 (microsoft.logic/workflows) 的存储帐户。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将托管 CCF 应用 (microsoft.confidentialledger/managedccfs) 的日志记录到事件中心 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到托管 CCF 应用 (microsoft.confidentialledger/managedccfs) 的事件中心。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将托管 CCF 应用 (microsoft.confidentialledger/managedccfs) 的日志记录到 Log Analytics | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到托管 CCF 应用 (microsoft.confidentialledger/managedccfs) 的 Log Analytics 工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将托管 CCF 应用 (microsoft.confidentialledger/managedccfs) 的日志记录到存储 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到托管 CCF 应用 (microsoft.confidentialledger/managedccfs) 的存储帐户。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将托管数据库 (microsoft.sql/managedinstances/databases) 的日志记录到事件中心 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到托管数据库 (microsoft.sql/managedinstances/databases) 的事件中心。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将托管数据库 (microsoft.sql/managedinstances/databases) 的日志记录到 Log Analytics | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到托管数据库 (microsoft.sql/managedinstances/databases) 的 Log Analytics 工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将托管数据库 (microsoft.sql/managedinstances/databases) 的日志记录到存储 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到托管数据库 (microsoft.sql/managedinstances/databases) 的存储帐户。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
按类别组为托管 HSM (microsoft.keyvault/managedhsms) 启用到事件中心的日志记录 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便为托管 HSM (microsoft.keyvault/managedhsms) 将日志路由到事件中心。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.2.0 |
按类别组为托管 HSM (microsoft.keyvault/managedhsms) 启用到 Log Analytics 的日志记录 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便为托管 HSM (microsoft.keyvault/managedhsms) 将日志路由到 Log Analytics 工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
按类别组为托管 HSM (microsoft.keyvault/managedhsms) 启用到存储的日志记录 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,为托管 HSM (microsoft.keyvault/managedhsms) 将日志路由到存储账户。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
按类别组为媒体服务 (microsoft.media/mediaservices) 启用到事件中心的日志记录 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,为媒体服务 (microsoft.media/mediaservices) 将日志路由到事件中心。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.2.0 |
按类别组为媒体服务 (microsoft.media/mediaservices) 启用到 Log Analytics 的日志记录 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,为媒体服务 (microsoft.media/mediaservices) 将日志路由到 Log Analytics 工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
按类别组为媒体服务 (microsoft.media/mediaservices) 启用到存储的日志记录 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,为媒体服务 (microsoft.media/mediaservices) 将日志路由到存储账户。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
启用按类别组将医疗技术服务 (microsoft.healthcareapis/workspaces/iotconnectors) 的日志记录到事件中心 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到医疗技术服务 (microsoft.healthcareapis/workspaces/iotconnectors) 的事件中心。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将医疗技术服务 (microsoft.healthcareapis/workspaces/iotconnectors) 的日志记录到 Log Analytics | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到医疗技术服务 (microsoft.healthcareapis/workspaces/iotconnectors) 的 Log Analytics 工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将医疗技术服务 (microsoft.healthcareapis/workspaces/iotconnectors) 的日志记录到存储 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到医疗技术服务 (microsoft.healthcareapis/workspaces/iotconnectors) 的存储帐户。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
按类别组为 Microsoft Purview 帐户 (microsoft.purview/accounts) 启用到事件中心的日志记录 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,为 Microsoft Purview 帐户 (microsoft.purview/accounts) 将日志路由到事件中心。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.2.0 |
按类别组为 Microsoft Purview 帐户 (microsoft.purview/accounts) 启用到 Log Analytics 的日志记录 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,为 Microsoft Purview 帐户 (microsoft.purview/accounts) 将日志路由到 Log Analytics 工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
按类别组为 Microsoft Purview 帐户 (microsoft.purview/accounts) 启用到存储的日志记录 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,为 Microsoft Purview 帐户 (microsoft.purview/accounts) 将日志路由到存储账户。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
启用按类别组将 microsoft.autonomousdevelopmentplatform/workspaces 的日志记录到事件中心 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 microsoft.autonomousdevelopmentplatform/workspaces 的事件中心。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 microsoft.autonomousdevelopmentplatform/workspaces 的日志记录到 Log Analytics | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 microsoft.autonomousdevelopmentplatform/workspaces 的 Log Analytics 工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 microsoft.autonomousdevelopmentplatform/workspaces 的日志记录到存储 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 microsoft.autonomousdevelopmentplatform/workspaces 的存储帐户。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 microsoft.azuresphere/catalogs 的日志记录到事件中心 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 microsoft.azuresphere/catalogs 的事件中心。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 microsoft.azuresphere/catalogs 的日志记录到 Log Analytics | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 microsoft.azuresphere/catalogs 的 Log Analytics 工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 microsoft.azuresphere/catalogs 的日志记录到存储 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 microsoft.azuresphere/catalogs 的存储帐户。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 microsoft.cdn/cdnwebapplicationfirewallpolicies 的日志记录到事件中心 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 microsoft.cdn/cdnwebapplicationfirewallpolicies 的事件中心。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 microsoft.cdn/cdnwebapplicationfirewallpolicies 的日志记录到 Log Analytics | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 microsoft.cdn/cdnwebapplicationfirewallpolicies 的 Log Analytics 工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 microsoft.cdn/cdnwebapplicationfirewallpolicies 的日志记录到存储 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 microsoft.cdn/cdnwebapplicationfirewallpolicies 的存储帐户。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 microsoft.classicnetwork/networksecuritygroups 的日志记录到事件中心 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 microsoft.classicnetwork/networksecuritygroups 的事件中心。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 microsoft.classicnetwork/networksecuritygroups 的日志记录到 Log Analytics | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 microsoft.classicnetwork/networksecuritygroups 的 Log Analytics 工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 microsoft.classicnetwork/networksecuritygroups 的日志记录到存储 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 microsoft.classicnetwork/networksecuritygroups 的存储帐户。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 microsoft.community/communitytrainings 的日志记录到事件中心 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 microsoft.community/communitytrainings 的事件中心。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 microsoft.community/communitytrainings 的日志记录到 Log Analytics | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 microsoft.community/communitytrainings 的 Log Analytics 工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 microsoft.community/communitytrainings 的日志记录到存储 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 microsoft.community/communitytrainings 的存储帐户。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 microsoft.connectedcache/enterprisemcccustomers 的日志记录到事件中心 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 microsoft.connectedcache/enterprisemcccustomers 的事件中心。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 microsoft.connectedcache/enterprisemcccustomers 的日志记录到 Log Analytics | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 microsoft.connectedcache/enterprisemcccustomers 的 Log Analytics 工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 microsoft.connectedcache/enterprisemcccustomers 的日志记录到存储 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 microsoft.connectedcache/enterprisemcccustomers 的存储帐户。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 microsoft.customproviders/resourceproviders 的日志记录到事件中心 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 microsoft.customproviders/resourceproviders 的事件中心。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 microsoft.customproviders/resourceproviders 的日志记录到Log Analytics | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 microsoft.customproviders/resourceproviders 的 Log Analytics 工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 microsoft.customproviders/resourceproviders 的日志记录到存储 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 microsoft.customproviders/resourceproviders 的存储帐户。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 microsoft.d365customerinsights/instances 的日志记录到事件中心 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 microsoft.d365customerinsights/instances 的事件中心。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 microsoft.d365customerinsights/instances 的日志记录到 Log Analytics | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 microsoft.d365customerinsights/instances 的 Log Analytics 工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 microsoft.d365customerinsights/instances 的日志记录到存储 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 microsoft.d365customerinsights/instances 的存储帐户。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 microsoft.dbformysql/flexibleservers 的日志记录到事件中心 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 microsoft.dbformysql/flexibleservers 的事件中心。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 microsoft.dbformysql/flexibleservers 的日志记录到 Log Analytics | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 microsoft.dbformysql/flexibleservers 的 Log Analytics 工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 microsoft.dbformysql/flexibleservers 的日志记录到存储 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 microsoft.dbformysql/flexibleservers 的存储帐户。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 microsoft.dbforpostgresql/flexibleservers 的日志记录到事件中心 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 microsoft.dbforpostgresql/flexibleservers 的事件中心。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 microsoft.dbforpostgresql/flexibleservers 的日志记录到 Log Analytics | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 microsoft.dbforpostgresql/flexibleservers 的 Log Analytics 工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 microsoft.dbforpostgresql/flexibleservers 的日志记录到存储 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 microsoft.dbforpostgresql/flexibleservers 的存储帐户。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 microsoft.dbforpostgresql/servergroupsv2 的日志记录到事件中心 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 microsoft.dbforpostgresql/servergroupsv2 的事件中心。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 microsoft.dbforpostgresql/servergroupsv2 的日志记录到 Log Analytics | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 microsoft.dbforpostgresql/servergroupsv2 的 Log Analytics 工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 microsoft.dbforpostgresql/servergroupsv2 的日志记录到存储 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 microsoft.dbforpostgresql/servergroupsv2 的存储帐户。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 microsoft.dbforpostgresql/servers 的日志记录到事件中心 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 microsoft.dbforpostgresql/servers 的事件中心。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 microsoft.dbforpostgresql/servers 的日志记录到 Log Analytics | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 microsoft.dbforpostgresql/servers 的 Log Analytics 工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 microsoft.dbforpostgresql/servers 的日志记录到存储 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 microsoft.dbforpostgresql/servers 的存储帐户。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 microsoft.devices/provisioningservices 的日志记录到事件中心 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 microsoft.devices/provisioningservices 的事件中心。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 microsoft.devices/provisioningservices 的日志记录到 Log Analytics | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 microsoft.devices/provisioningservices 的 Log Analytics 工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 microsoft.devices/provisioningservices 的日志记录到存储 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 microsoft.devices/provisioningservices 的存储帐户。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 microsoft.documentdb/cassandraclusters 的日志记录到事件中心 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 microsoft.documentdb/cassandraclusters 的事件中心。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 microsoft.documentdb/cassandraclusters 的日志记录到 Log Analytics | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 microsoft.documentdb/cassandraclusters 的 Log Analytics 工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 microsoft.documentdb/cassandraclusters 的日志记录到存储 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 microsoft.documentdb/cassandraclusters 的存储帐户。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 microsoft.documentdb/mongoclusters 的日志记录到事件中心 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 microsoft.documentdb/mongoclusters 的事件中心。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 microsoft.documentdb/mongoclusters 的日志记录到 Log Analytics | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 microsoft.documentdb/mongoclusters 的 Log Analytics 工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 microsoft.documentdb/mongoclusters 的日志记录到存储 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 microsoft.documentdb/mongoclusters 的存储帐户。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 microsoft.insights/autoscalesettings 的日志记录到事件中心 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 microsoft.insights/autoscalesettings 的事件中心。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 microsoft.insights/autoscalesettings 的日志记录到 Log Analytics | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 microsoft.insights/autoscalesettings 的 Log Analytics 工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 microsoft.insights/autoscalesettings 的日志记录到存储 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 microsoft.insights/autoscalesettings 的存储帐户。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 microsoft.machinelearningservices/registries 的日志记录到事件中心 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 microsoft.machinelearningservices/registries 的事件中心。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 microsoft.machinelearningservices/registries 的日志记录到 Log Analytics | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 microsoft.machinelearningservices/registries 的 Log Analytics 工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 microsoft.machinelearningservices/registries 的日志记录到存储 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 microsoft.machinelearningservices/registries 的存储帐户。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 microsoft.machinelearningservices/workspaces/onlineendpoints 的日志记录到事件中心 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以将日志路由到 microsoft.machinelearningservices/workspaces/onlineendpoints 的事件中心。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 microsoft.machinelearningservices/workspaces/onlineendpoints 的日志记录到 Log Analytics | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 microsoft.machinelearningservices/workspaces/onlineendpoints 的 Log Analytics 工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 microsoft.machinelearningservices/workspaces/onlineendpoints 的日志记录到存储 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以将日志路由到 microsoft.machinelearningservices/workspaces/onlineendpoints 的存储帐户。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 microsoft.managednetworkfabric/networkdevices 的日志记录到事件中心 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 microsoft.managednetworkfabric/networkdevices 的事件中心。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 microsoft.managednetworkfabric/networkdevices 的日志记录到 Log Analytics | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 microsoft.managednetworkfabric/networkdevices 的 Log Analytics 工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 microsoft.managednetworkfabric/networkdevices 的日志记录到存储 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 microsoft.managednetworkfabric/networkdevices 的存储帐户。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 microsoft.network/dnsresolverpolicies 的日志记录到事件中心 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 microsoft.network/dnsresolverpolicies 的事件中心。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 microsoft.network/dnsresolverpolicies 的日志记录到 Log Analytics | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 microsoft.network/dnsresolverpolicies 的 Log Analytics 工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 microsoft.network/dnsresolverpolicies 的日志记录到存储 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 microsoft.network/dnsresolverpolicies 的存储帐户。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 microsoft.network/networkmanagers/ipampools 的日志记录到事件中心 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 microsoft.network/networkmanagers/ipampools 的事件中心。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 microsoft.network/networkmanagers/ipampools 的日志记录到 Log Analytics | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 microsoft.network/networkmanagers/ipampools 的 Log Analytics 工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 microsoft.network/networkmanagers/ipampools 的日志记录到存储 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 microsoft.network/networkmanagers/ipampools 的存储帐户。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 microsoft.network/networksecurityperimeters 的日志记录到事件中心 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 microsoft.network/networksecurityperimeters 的事件中心。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 microsoft.network/networksecurityperimeters 的日志记录到 Log Analytics | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 microsoft.network/networksecurityperimeters 的 Log Analytics 工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 microsoft.network/networksecurityperimeters 的日志记录到存储 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 microsoft.network/networksecurityperimeters 的存储帐户。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
按类别组为 microsoft.network/p2svpngateways 启用到事件中心的日志记录 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,为 microsoft.network/p2svpngateways 将日志路由到事件中心。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.2.0 |
按类别组为 microsoft.network/p2svpngateways 启用到 Log Analytics 的日志记录 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,为 microsoft.network/p2svpngateways 将日志路由到 Log Analytics 工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
按类别组为 microsoft.network/p2svpngateways 启用到存储的日志记录 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,为 microsoft.network/p2svpngateways 将日志路由到存储帐户。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
启用按类别组将 microsoft.network/vpngateways 的日志记录到事件中心 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 microsoft.network/vpngateways 的事件中心。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 microsoft.network/vpngateways 的日志记录到 Log Analytics | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 microsoft.network/vpngateways 的 Log Analytics 工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 microsoft.network/vpngateways 的日志记录到存储 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 microsoft.network/vpngateways 的存储帐户。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 microsoft.networkanalytics/dataproducts 的日志记录到事件中心 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 Microsoft.networkanalytics/dataproducts 的事件中心。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 microsoft.networkanalytics/dataproducts 的日志记录到 Log Analytics | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 microsoft.networkanalytics/dataproducts 的 Log Analytics 工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 microsoft.networkanalytics/dataproducts 的日志记录到存储 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 Microsoft.networkanalytics/dataproducts 的存储帐户。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 microsoft.networkcloud/baremetalmachines 的日志记录到事件中心 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 microsoft.networkcloud/baremetalmachines 的事件中心。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 microsoft.networkcloud/baremetalmachines 的日志记录到 Log Analytics | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 microsoft.networkcloud/baremetalmachines 的 Log Analytics 工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 microsoft.networkcloud/baremetalmachines 的日志记录到存储 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 microsoft.networkcloud/baremetalmachines 的存储帐户。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 microsoft.networkcloud/clusters 的日志记录到事件中心 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 microsoft.networkcloud/clusters 的事件中心。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 microsoft.networkcloud/clusters 的日志记录到 Log Analytics | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 microsoft.networkcloud/clusters 的 Log Analytics 工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 microsoft.networkcloud/clusters 的日志记录到存储 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 microsoft.networkcloud/clusters 的存储帐户。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 microsoft.networkcloud/storageappliances 的日志记录到事件中心 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 microsoft.networkcloud/storageappliances 的事件中心。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 microsoft.networkcloud/storageappliances 的日志记录到 Log Analytics | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 microsoft.networkcloud/storageappliances 的 Log Analytics 工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 microsoft.networkcloud/storageappliances 的日志记录到存储 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 microsoft.networkcloud/storageappliances 的存储帐户。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 microsoft.networkfunction/azuretrafficcollectors 的日志记录到事件中心 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 microsoft.networkfunction/azuretrafficcollectors 的事件中心。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 microsoft.networkfunction/azuretrafficcollectors 的日志记录到 Log Analytics | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 microsoft.networkfunction/azuretrafficcollectors 的 Log Analytics 工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 microsoft.networkfunction/azuretrafficcollectors 的日志记录到存储 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 microsoft.networkfunction/azuretrafficcollectors 的存储帐户。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 microsoft.notificationhubs/namespaces/notificationhubs 的日志记录到事件中心 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 microsoft.notificationhubs/namespaces/notificationhubs 的事件中心。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 microsoft.notificationhubs/namespaces/notificationhubs 的日志记录到 Log Analytics | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 microsoft.notificationhubs/namespaces/notificationhubs 的 Log Analytics 工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 microsoft.notificationhubs/namespaces/notificationhubs 的日志记录到存储 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 microsoft.notificationhubs/namespaces/notificationhubs 的存储帐户。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 microsoft.openenergyplatform/energyservices 的日志记录到事件中心 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 microsoft.openenergyplatform/energyservices 的事件中心。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 microsoft.openenergyplatform/energyservices 的日志记录到 Log Analytics | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 microsoft.openenergyplatform/energyservices 的 Log Analytics 工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 microsoft.openenergyplatform/energyservices 的日志记录到存储 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 microsoft.openenergyplatform/energyservices 的存储帐户。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 microsoft.powerbi/tenants/workspaces 的日志记录到事件中心 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 microsoft.powerbi/tenants/workspaces 的事件中心。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 microsoft.powerbi/tenants/workspaces 的日志记录到 Log Analytics | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 microsoft.powerbi/tenants/workspaces 的 Log Analytics 工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 microsoft.powerbi/tenants/workspaces 的日志记录到存储 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 microsoft.powerbi/tenants/workspaces 的存储帐户。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 microsoft.servicenetworking/trafficcontrollers 的日志记录到事件中心 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 microsoft.servicenetworking/trafficcontrollers 的事件中心。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 microsoft.servicenetworking/trafficcontrollers 的日志记录到 Log Analytics | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 microsoft.servicenetworking/trafficcontrollers 的 Log Analytics 工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 microsoft.servicenetworking/trafficcontrollers 的日志记录到存储 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 microsoft.servicenetworking/trafficcontrollers 的存储帐户。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 microsoft.synapse/workspaces/kustopools 的日志记录到事件中心 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 microsoft.synapse/workspaces/kustopools 的事件中心。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 microsoft.synapse/workspaces/kustopools 的日志记录到 Log Analytics | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 microsoft.synapse/workspaces/kustopools 的 Log Analytics 工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 microsoft.synapse/workspaces/kustopools 的日志记录到存储 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 microsoft.synapse/workspaces/kustopools 的存储帐户。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 microsoft.timeseriesinsights/environments 的日志记录到事件中心 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 microsoft.timeseriesinsights/environments 的事件中心。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 microsoft.timeseriesinsights/environments 的日志记录到 Log Analytics | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 microsoft.timeseriesinsights/environments 的 Log Analytics 工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 microsoft.timeseriesinsights/environments 的日志记录到存储 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 microsoft.timeseriesinsights/环境的存储帐户。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 microsoft.timeseriesinsights/environments/eventsources 的日志记录到事件中心 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 microsoft.timeseriesinsights/environments/eventsources 的事件中心。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 microsoft.timeseriesinsights/environments/eventsources 的日志记录到 Log Analytics | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 microsoft.timeseriesinsights/environments/eventsources 的 Log Analytics 工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 microsoft.timeseriesinsights/environments/eventsources 的日志记录到存储 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 microsoft.timeseriesinsights/environments/eventsources 的存储帐户。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 microsoft.workloads/sapvirtualinstances 的日志记录到事件中心 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 microsoft.workloads/sapvirtualinstances 的事件中心。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 microsoft.workloads/sapvirtualinstances 的日志记录到 Log Analytics | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 microsoft.workloads/sapvirtualinstances 的 Log Analytics 工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 microsoft.workloads/sapvirtualinstances 的日志记录到存储 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 microsoft.workloads/sapvirtualinstances 的存储帐户。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将网络管理器 (microsoft.network/networkmanagers) 的日志记录到事件中心 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到网络管理器 (microsoft.network/networkmanagers) 的事件中心。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将网络管理器 (microsoft.network/networkmanagers) 的日志记录到 Log Analytics | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到网络管理器 (microsoft.network/networkmanagers) 的 Log Analytics 工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将网络管理器 (microsoft.network/networkmanagers) 的日志记录到存储 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到网络管理器 (microsoft.network/networkmanagers) 的存储帐户。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将网络安全组 (microsoft.network/networksecuritygroups) 的日志记录到事件中心 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到网络安全组 (microsoft.network/networksecuritygroups) 的事件中心。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将网络安全组 (microsoft.network/networksecuritygroups) 的日志记录到 Log Analytics | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到网络安全组 (microsoft.network/networksecuritygroups) 的 Log Analytics 工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将网络安全组 (microsoft.network/networksecuritygroups) 的日志记录到存储 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到网络安全组 (microsoft.network/networksecuritygroups) 的存储帐户。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将通知中心命名空间 (microsoft.notificationhubs/namespaces) 的日志记录到事件中心 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到通知中心命名空间 (microsoft.notificationhubs/namespaces) 的事件中心。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将通知中心命名空间 (microsoft.notificationhubs/namespaces) 的日志记录到 Log Analytics | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到通知中心命名空间 (microsoft.notificationhubs/namespaces) 的 Log Analytics 工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将通知中心命名空间 (microsoft.notificationhubs/namespaces) 的日志记录到存储 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到通知中心命名空间 (microsoft.notificationhubs/namespaces) 的存储帐户。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 Playwright 测试 (microsoft.azureplaywrightservice/accounts) 的日志记录到事件中心 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 Playwright 测试 (microsoft.azureplaywrightservice/accounts) 的事件中心。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 Playwright 测试 (microsoft.azureplaywrightservice/accounts) 的日志记录到 Log Analytics | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 Playwright 测试 (microsoft.azureplaywrightservice/accounts) 的 Log Analytics 工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 Playwright 测试 (microsoft.azureplaywrightservice/accounts) 的日志记录到存储 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 Playwright 测试 (microsoft.azureplaywrightservice/accounts) 的存储帐户。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
按类别组为 PostgreSQL 灵活服务器 (microsoft.dbforpostgresql/flexibleservers) 启用到 Log Analytics 的日志记录 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,为 Azure Database for PostgreSQL 灵活服务器 (microsoft.dbforpostgresql/flexibleservers) 将日志路由到 Log Analytics 工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 Power BI Embedded (microsoft.powerbidedicated/capacities) 的日志记录到事件中心 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 Power BI Embedded (microsoft.powerbidedicated/capacities) 的事件中心。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 Power BI Embedded (microsoft.powerbidedicated/capacities) 的日志记录到 Log Analytics | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 Power BI Embedded (microsoft.powerbidedicated/capacities) 的 Log Analytics 工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 Power BI Embedded (microsoft.powerbidedicated/capacities) 的日志记录到存储 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 Power BI Embedded (microsoft.powerbidedicated/capacities) 的存储帐户。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
按类别组为公共 IP 地址 (microsoft.network/publicipaddresses) 启用到事件中心的日志记录 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,为公共 IP 地址 (microsoft.network/publicipaddresses) 将日志路由到事件中心。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.2.0 |
按类别组为公共 IP 地址 (microsoft.network/publicipaddresses) 启用到 Log Analytics 的日志记录 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,为公共 IP 地址 (microsoft.network/publicipaddresses) 将日志路由到 Log Analytics 工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
按类别组为公共 IP 地址 (microsoft.network/publicipaddresses) 启用到存储的日志记录 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,为公共 IP 地址 (microsoft.network/publicipaddresses) 将日志路由到存储帐户。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
启用按类别组将公共 IP 前缀 (microsoft.network/publicipprefixes) 的日志记录到事件中心 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到公共 IP 前缀 (microsoft.network/publicipprefixes) 的事件中心。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将公共 IP 前缀 (microsoft.network/publicipprefixes) 的日志记录到 Log Analytics | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到公共 IP 前缀 (microsoft.network/publicipprefixes) 的 Log Analytics 工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将公共 IP 前缀 (microsoft.network/publicipprefixes) 的日志记录到存储 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到公共 IP 前缀 (microsoft.network/publicipprefixes) 的存储帐户。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将恢复服务保管库 (microsoft.recoveryservices/vaults) 的日志记录到事件中心 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到恢复服务保管库 (microsoft.recoveryservices/vaults) 的事件中心。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将恢复服务保管库 (microsoft.recoveryservices/vaults) 的日志记录到 Log Analytics | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到恢复服务保管库 (microsoft.recoveryservices/vaults) 的 Log Analytics 工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将恢复服务保管库 (microsoft.recoveryservices/vaults) 的日志记录到存储 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到恢复服务保管库 (microsoft.recoveryservices/vaults) 的存储帐户。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 Relays (microsoft.relay/namespaces) 的日志记录到事件中心 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 Relays (microsoft.relay/namespaces) 的事件中心。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 Relays (microsoft.relay/namespaces) 的日志记录到 Log Analytics | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 Relays (microsoft.relay/namespaces) 的 Log Analytics 工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 Relays (microsoft.relay/namespaces) 的日志记录到存储 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 Relays (microsoft.relay/namespaces) 的存储帐户。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将缩放计划 (microsoft.desktopvirtualization/scalingplans) 的日志记录到事件中心 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到缩放计划 (microsoft.desktopvirtualization/scalingplans) 的事件中心。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将缩放计划 (microsoft.desktopvirtualization/scalingplans) 的日志记录到 Log Analytics | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到缩放计划 (microsoft.desktopvirtualization/scalingplans) 的 Log Analytics 工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将缩放计划 (microsoft.desktopvirtualization/scalingplans) 的日志记录到存储 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到缩放计划 (microsoft.desktopvirtualization/scalingplans) 的存储帐户。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 SCOPE 池 (microsoft.synapse/workspaces/scopepools) 的日志记录到事件中心 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 SCOPE 池 (microsoft.synapse/workspaces/scopepools) 的事件中心。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 SCOPE 池 (microsoft.synapse/workspaces/scopepools) 的日志记录到 Log Analytics | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 SCOPE 池 (microsoft.synapse/workspaces/scopepools) 的 Log Analytics 工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将 SCOPE 池 (microsoft.synapse/workspaces/scopepools) 的日志记录到存储 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 SCOPE 池 (microsoft.synapse/workspaces/scopepools) 的存储帐户。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将搜索服务 (microsoft.search/searchservices) 的日志记录到事件中心 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到搜索服务 (microsoft.search/searchservices) 的事件中心。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将搜索服务 (microsoft.search/searchservices) 的日志记录到 Log Analytics | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到搜索服务 (microsoft.search/searchservices) 的 Log Analytics 工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将搜索服务 (microsoft.search/searchservices) 的日志记录到存储 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到搜索服务 (microsoft.search/searchservices) 的存储帐户。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
按类别组为服务总线命名空间 (microsoft.servicebus/namespaces) 启用到事件中心的日志记录 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,为服务总线命名空间 (microsoft.servicebus/namespaces) 将日志路由到事件中心。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.2.0 |
按类别组为服务总线命名空间 (microsoft.servicebus/namespaces) 启用到 Log Analytics 的日志记录 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,为服务总线命名空间 (microsoft.servicebus/namespaces) 将日志路由到 Log Analytics 工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
按类别组为服务总线命名空间 (microsoft.servicebus/namespaces) 启用到存储的日志记录 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,为服务总线命名空间 (microsoft.servicebus/namespaces) 将日志路由到存储帐户。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
按类别组为 SignalR (microsoft.signalrservice/signalr) 启用到事件中心的日志记录 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,为 SignalR (microsoft.signalrservice/signalr) 将日志路由到事件中心。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.2.0 |
按类别组为 SignalR (microsoft.signalrservice/signalr) 启用到 Log Analytics 的日志记录 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,为 SignalR (microsoft.signalrservice/signalr) 将日志路由到 Log Analytics 工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
按类别组为 SignalR (microsoft.signalrservice/signalr) 启用到存储的日志记录 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,为 SignalR (microsoft.signalrservice/signalr) 将日志路由到存储账户。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
按类别组为 SQL 数据库 (microsoft.sql/servers/databases) 启用到事件中心的日志记录 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,为 SQL 数据库 (microsoft.sql/servers/databases) 将日志路由到事件中心。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.2.0 |
按类别组为 SQL 数据库 (microsoft.sql/servers/databases) 启用到 Log Analytics 的日志记录 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,为 SQL 数据库 (microsoft.sql/servers/databases) 将日志路由到 Log Analytics 工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
按类别组为 SQL 数据库 (microsoft.sql/servers/databases) 启用到存储的日志记录 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,为 SQL 数据库 (microsoft.sql/servers/databases) 将日志路由到存储账户。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
按类别组为 SQL 托管实例 (microsoft.sql/managedinstances) 启用到事件中心的日志记录 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,为 SQL 托管实例 (microsoft.sql/managedinstances) 将日志路由到事件中心。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.2.0 |
按类别组为 SQL 托管实例 (microsoft.sql/managedinstances) 启用到 Log Analytics 的日志记录 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,为 SQL 托管实例 (microsoft.sql/managedinstances) 将日志路由到 Log Analytics 工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
按类别组为 SQL 托管实例 (microsoft.sql/managedinstances) 启用到存储的日志记录 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,为 SQL 托管实例 (microsoft.sql/managedinstances) 将日志路由到存储账户。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
启用按类别组将存储移动程序 (microsoft.storagemover/storagemovers) 的日志记录到事件中心 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到存储移动程序 (microsoft.storagemover/storagemovers) 的事件中心。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将存储移动程序 (microsoft.storagemover/storagemovers) 的日志记录到 Log Analytics | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到存储移动程序 (microsoft.storagemover/storagemovers) 的 Log Analytics 工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将存储移动程序 (microsoft.storagemover/storagemovers) 的日志记录到存储 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到存储移动程序 (microsoft.storagemover/storagemovers) 的存储帐户。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将流分析作业 (microsoft.streamanalytics/streamingjobs) 的日志记录到事件中心 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到流分析作业 (microsoft.streamanalytics/streamingjobs) 的事件中心。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将流分析作业 (microsoft.streamanalytics/streamingjobs) 的日志记录到 Log Analytics | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到流分析作业 (microsoft.streamanalytics/streamingjobs) 的 Log Analytics 工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将流分析作业 (microsoft.streamanalytics/streamingjobs) 的日志记录到存储 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到流分析作业 (microsoft.streamanalytics/streamingjobs) 的存储帐户。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将流式处理终结点 (microsoft.media/mediaservices/streamingendpoints) 的日志记录到事件中心 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到流式处理终结点 (microsoft.media/mediaservices/streamingendpoints) 的事件中心。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将流式处理终结点 (microsoft.media/mediaservices/streamingendpoints) 的日志记录到 Log Analytics | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到流式处理终结点 (microsoft.media/mediaservices/streamingendpoints) 的 Log Analytics 工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将流式处理终结点 (microsoft.media/mediaservices/streamingendpoints) 的日志记录到存储 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到流式处理终结点 (microsoft.media/mediaservices/streamingendpoints) 的存储帐户。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将流量管理器配置文件 (microsoft.network/trafficmanagerprofiles) 的日志记录到事件中心 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到流量管理器配置文件 (microsoft.network/trafficmanagerprofiles) 的事件中心。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将流量管理器配置文件 (microsoft.network/trafficmanagerprofiles) 的日志记录到 Log Analytics | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到流量管理器配置文件 (microsoft.network/trafficmanagerprofiles) 的 Log Analytics 工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将流量管理器配置文件 (microsoft.network/trafficmanagerprofiles) 的日志记录到存储 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到流量管理器配置文件 (microsoft.network/trafficmanagerprofiles) 的存储帐户。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
按类别组为视频分析器 (microsoft.media/videoanalyzers) 启用到事件中心的日志记录 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,为视频分析器 (microsoft.media/videoanalyzers) 将日志路由到事件中心。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.2.0 |
按类别组为视频分析器 (microsoft.media/videoanalyzers) 启用到 Log Analytics 的日志记录 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,为视频分析器 (microsoft.media/videoanalyzers) 将日志路由到 Log Analytics 工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
按类别组为视频分析器 (microsoft.media/videoanalyzers) 启用到存储的日志记录 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,为视频分析器 (microsoft.media/videoanalyzers) 将日志路由到存储账户。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
按类别组为虚拟网关 (microsoft.network/virtualnetworkgateways) 启用到事件中心的日志记录 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,为虚拟网关 (microsoft.network/virtualnetworkgateways) 将日志路由到事件中心。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.2.0 |
按类别组为虚拟网关 (microsoft.network/virtualnetworkgateways) 启用到 Log Analytics 的日志记录 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,为虚拟网关 (microsoft.network/virtualnetworkgateways) 将日志路由到 Log Analytics 工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
按类别组为虚拟网关 (microsoft.network/virtualnetworkgateways) 启用到存储的日志记录 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,为虚拟网关 (microsoft.network/virtualnetworkgateways) 将日志路由到存储帐户。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
启用按类别组将虚拟网络 (microsoft.network/virtualnetworks) 的日志记录到事件中心 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到虚拟网络 (microsoft.network/virtualnetworks) 的事件中心。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将虚拟网络 (microsoft.network/virtualnetworks) 的日志记录到 Log Analytics | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到虚拟网络 (microsoft.network/virtualnetworks) 的 Log Analytics 工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将虚拟网络 (microsoft.network/virtualnetworks) 的日志记录到存储 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到虚拟网络 (microsoft.network/virtualnetworks) 的存储帐户。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
按类别组为卷 (microsoft.netapp/netappaccounts/capacitypools/volumes) 启用到事件中心的日志记录 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,为卷 (microsoft.netapp/netappaccounts/capacitypools/volumes) 将日志路由到事件中心。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.2.0 |
按类别组为卷 (microsoft.netapp/netappaccounts/capacitypools/volumes) 启用到 Log Analytics 的日志记录 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,为卷 (microsoft.netapp/netappaccounts/capacitypools/volumes) 将日志路由到 Log Analytics 工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
按类别组为卷 (microsoft.netapp/netappaccounts/capacitypools/volumes) 启用到存储的日志记录 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,为卷 (microsoft.netapp/netappaccounts/capacitypools/volumes) 将日志路由到存储账户。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
按类别组为 Web PubSub Service (microsoft.signalrservice/webpubsub) 启用到事件中心的日志记录 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,为 Web PubSub Service (microsoft.signalrservice/webpubsub) 将日志路由到事件中心。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.2.0 |
按类别组为 Web PubSub Service (microsoft.signalrservice/webpubsub) 启用到 Log Analytics 的日志记录 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,为 Web PubSub Service (microsoft.signalrservice/webpubsub) 将日志路由到 Log Analytics 工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
按类别组为 Web PubSub Service (microsoft.signalrservice/webpubsub) 启用到存储的日志记录 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,为 Web PubSub Service (microsoft.signalrservice/webpubsub) 将日志路由到存储账户。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
按类别组为工作区 (microsoft.desktopvirtualization/workspaces) 启用到 Log Analytics 的日志记录 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,为 Azure 虚拟桌面工作区 (microsoft.desktopvirtualization/workspaces) 将日志路由到 Log Analytics 工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将工作区 (microsoft.desktopvirtualization/workspaces) 的日志记录到事件中心 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到工作区 (microsoft.desktopvirtualization/workspaces) 的事件中心。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将工作区 (microsoft.desktopvirtualization/workspaces) 的日志记录到 Log Analytics | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到工作区 (microsoft.desktopvirtualization/workspaces) 的 Log Analytics 工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
启用按类别组将工作区 (microsoft.desktopvirtualization/workspaces) 的日志记录到存储 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到工作区 (microsoft.desktopvirtualization/workspaces) 的存储帐户。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
已启用 Arc 的 Linux 计算机应已安装 Azure Monitor 代理 | 应通过部署的 Azure Monitor 代理对已启用 Arc 的 Linux 计算机进行监视和保护。 Azure Monitor 代理从来宾 OS 收集遥测数据。 此策略将审核支持区域中已启用 Arc 的计算机。 了解详细信息:https://aka.ms/AMAOverview。 | AuditIfNotExists、Disabled | 1.2.0 |
Linux 虚拟机规模集应已安装 Azure Monitor 代理 | 应通过部署的 Azure Monitor 代理监视并保护 Linux 虚拟机规模集。 Azure Monitor 代理从来宾 OS 收集遥测数据。 此策略将审核在支持区域中具有支持 OS 映像的虚拟机规模集。 了解详细信息:https://aka.ms/AMAOverview。 | AuditIfNotExists、Disabled | 3.3.0 |
Linux 虚拟机应安装 Azure Monitor 代理 | 应通过部署的 Azure Monitor 代理监视并保护 Linux 虚拟机。 Azure Monitor 代理从来宾 OS 收集遥测数据。 此策略将审核在支持区域中具有支持操作系统映像的虚拟机。 了解详细信息:https://aka.ms/AMAOverview。 | AuditIfNotExists、Disabled | 3.3.0 |
应在虚拟机规模集中为列出的虚拟机映像启用 Log Analytics 扩展 | 如果虚拟机映像不在定义的列表中且未安装扩展,则将虚拟机规模集报告为不合规。 | AuditIfNotExists、Disabled | 2.0.1 |
Log Analytics 工作区应阻止来自公共网络的日志引入和查询 | 通过阻止来自公共网络的日志引入和查询来改善工作区的安全性。 只有已连接到专用链接的网络才能引入和查询有关此工作区的日志。 更多信息请访问 https://aka.ms/AzMonPrivateLink#configure-log-analytics。 | audit、Audit、deny、Deny、disabled、Disabled | 1.1.0 |
Log Analytics 工作区应阻止基于非 Azure Active Directory 的引入。 | 通过强制日志引入要求 Azure Active Directory 身份验证,可以防止攻击者引入未经身份验证的日志,因为那样会导致系统中出现错误状态、虚假警报和错误日志。 | 拒绝、审核、禁用 | 1.0.0 |
公共 IP 地址应启用 Azure DDoS 防护的资源日志 | 在诊断设置中启用公共 IP 地址的资源日志以流式传输到 Log Analytics 工作区。 详细了解利用通知、报告和流日志降低 DDoS 攻击所采取的攻击流量和操作。 | AuditIfNotExists、DeployIfNotExists、Disabled | 1.0.1 |
应为受支持资源上的审核启用资源日志 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 所选资源类型上存在的类别组审核诊断设置可确保启用和捕获这些日志。 适用的资源类型是支持“审核”类别组的资源类型。 | AuditIfNotExists、Disabled | 1.0.0 |
应将 Azure Monitor 中已保存的查询保存在客户存储帐户中以进行日志加密 | 将存储帐户链接到 Log Analytics 工作区,以通过存储帐户加密保护保存的查询。 为了满足法规合规性并更好地控制对 Azure Monitor 中保存的查询的访问,通常需要使用客户管理的密钥。 有关上述内容的更多详细信息,请参阅 https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys?tabs=portal#customer-managed-key-for-saved-queries。 | audit、Audit、deny、Deny、disabled、Disabled | 1.1.0 |
必须使用 BYOK 对包含具有活动日志的容器的存储帐户进行加密 | 此策略审核是否已使用 BYOK 对包含具有活动日志的容器的存储帐户进行加密。 仅当存储帐户在设计上依赖于与活动日志相同的订阅时,此策略才起作用。 有关 Azure 存储静态加密的详细信息,请参阅 https://aka.ms/azurestoragebyok。 | AuditIfNotExists、Disabled | 1.0.0 |
不应在已启用 Azure Arc 的 Linux 服务器上安装旧版 Log Analytics 扩展 | 作为从旧版代理迁移到 Azure Monitor 代理的最后一步,自动阻止安装旧版 Log Analytics 代理。 卸载现有旧版扩展后,此策略将始终拒绝在已启用 Azure Arc 的 Linux 服务器上安装旧版代理扩展。 了解详细信息:https://aka.ms/migratetoAMA | 拒绝、审核、禁用 | 1.0.0 |
不应在已启用 Azure Arc 的 Windows 服务器上安装旧版 Log Analytics 扩展 | 作为从旧版代理迁移到 Azure Monitor 代理的最后一步,自动阻止安装旧版 Log Analytics 代理。 卸载现有旧版扩展后,此策略将始终拒绝在已启用 Azure Arc 的 Windows 服务器上安装旧版代理扩展。 了解详细信息:https://aka.ms/migratetoAMA | 拒绝、审核、禁用 | 1.0.0 |
不应在 Linux 虚拟机规模集上安装旧版 Log Analytics 扩展 | 作为从旧版代理迁移到 Azure Monitor 代理的最后一步,自动阻止安装旧版 Log Analytics 代理。 卸载现有旧版扩展后,此策略此后将始终拒绝在 Linux 虚拟机规模集上安装旧版代理扩展。 了解详细信息:https://aka.ms/migratetoAMA | 拒绝、审核、禁用 | 1.0.0 |
不应在 Linux 虚拟机上安装旧版 Log Analytics 扩展 | 作为从旧版代理迁移到 Azure Monitor 代理的最后一步,自动阻止安装旧版 Log Analytics 代理。 卸载现有旧版扩展后,此策略此后将始终拒绝在 Linux 虚拟机上安装旧版代理扩展。 了解详细信息:https://aka.ms/migratetoAMA | 拒绝、审核、禁用 | 1.0.0 |
不应在虚拟机规模集上安装旧版 Log Analytics 扩展 | 作为从旧版代理迁移到 Azure Monitor 代理的最后一步,自动阻止安装旧版 Log Analytics 代理。 卸载现有旧版扩展后,此策略此后将始终拒绝在 Windows 虚拟机规模集上安装旧版代理扩展。 了解详细信息:https://aka.ms/migratetoAMA | 拒绝、审核、禁用 | 1.0.0 |
不应在虚拟机上安装旧版 Log Analytics 扩展 | 作为从旧版代理迁移到 Azure Monitor 代理的最后一步,自动阻止安装旧版 Log Analytics 代理。 卸载现有旧版扩展后,此策略此后将始终拒绝在 Windows 虚拟机上安装旧版代理扩展。 了解详细信息:https://aka.ms/migratetoAMA | 拒绝、审核、禁用 | 1.0.0 |
应在虚拟机规模集上安装 Log Analytics 扩展 | 此策略审核是否有任何 Windows/Linux 虚拟机规模集未安装 Log Analytics 扩展。 | AuditIfNotExists、Disabled | 1.0.1 |
虚拟机应连接到指定的工作区 | 如果虚拟机未记录到策略/计划分配中指定的 Log Analytics 工作区,则将虚拟机报告为不合规。 | AuditIfNotExists、Disabled | 1.1.0 |
虚拟机应安装 Log Analytics 扩展 | 此策略审核是否有任何 Windows/Linux 虚拟机未安装 Log Analytics 扩展。 | AuditIfNotExists、Disabled | 1.0.1 |
已启用 Arc 的 Windows 计算机应已安装 Azure Monitor 代理 | 应通过部署的 Azure Monitor 代理对已启用 Arc 的 Windows 计算机进行监视和保护。 Azure Monitor 代理从来宾 OS 收集遥测数据。 针对 Azure Monitor 代理部署监视支持区域中已启用 Arc 的 Windows 计算机。 了解详细信息:https://aka.ms/AMAOverview。 | AuditIfNotExists、Disabled | 1.2.0 |
Windows 虚拟机规模集应安装 Azure Monitor 代理 | 应通过部署的 Azure Monitor 代理监视并保护 Windows 虚拟机规模集。 Azure Monitor 代理从来宾 OS 收集遥测数据。 监视在支持区域中具有支持 OS 的虚拟机规模集以进行 Azure Monitor 代理部署。 了解详细信息:https://aka.ms/AMAOverview。 | AuditIfNotExists、Disabled | 3.2.0 |
Windows 虚拟机应安装 Azure Monitor 代理 | 应通过部署的 Azure Monitor 代理监视并保护 Windows 虚拟机。 Azure Monitor 代理从来宾 OS 收集遥测数据。 监视在支持区域中具有支持 OS 的 Windows 虚拟机以进行 Azure Monitor 代理部署。 了解详细信息:https://aka.ms/AMAOverview。 | AuditIfNotExists、Disabled | 3.2.0 |
工作簿应保存到你控制的存储帐户 | 使用自带存储 (BYOS),工作簿将上传到你控制的存储帐户。 这意味着,你可以控制静态加密策略、生存期管理策略和网络访问。 但需支付与该存储帐户相关的费用。 有关详细信息,请访问 https://aka.ms/workbooksByos | 审核、审核、拒绝、拒绝、禁用、禁用 | 1.1.0 |
网络
名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
---|---|---|---|
[预览]:所有 Internet 流量都应通过所部署的 Azure 防火墙进行路由 | Azure 安全中心已确认,你的某些子网未使用下一代防火墙进行保护。 通过使用 Azure 防火墙或受支持的下一代防火墙限制对子网的访问,保护子网免受潜在威胁的危害 | AuditIfNotExists、Disabled | 3.0.0-preview |
[预览版]:容器注册表应使用虚拟网络服务终结点 | 此策略审核任何未配置为使用虚拟网络服务终结点的容器注册表。 | Audit、Disabled | 1.0.0-preview |
必须将自定义 IPsec/IKE 策略应用到所有 Azure 虚拟网络网关连接 | 此策略可确保所有 Azure 虚拟网络网关连接均使用自定义 Internet 协议安全 (Ipsec)/Internet 密钥交换 (IKE) 策略。 支持的算法和密钥强度 - https://aka.ms/AA62kb0 | Audit、Disabled | 1.0.0 |
所有流日志资源都应处于启用状态 | 审核流日志资源以验证是否启用了流日志状态。 启用流日志后,可记录有关 IP 流量流动的信息。 该功能可用于优化网络流、监视吞吐量、验证合规性、检测入侵情况等。 | Audit、Disabled | 1.0.1 |
应用服务应用应使用虚拟网络服务终结点 | 使用虚拟网络服务终结点限制从 Azure 虚拟网络中的所选子网访问应用。 若要详细了解应用服务的服务终结点,请访问 https://aka.ms/appservice-vnet-service-endpoint。 | AuditIfNotExists、Disabled | 2.0.1 |
审核每个虚拟网络的流日志配置 | 审核虚拟网络以验证是否配置了流日志。 启用流日志后,可记录流经虚拟网络的 IP 流量的相关信息。 该功能可用于优化网络流、监视吞吐量、验证合规性、检测入侵情况等。 | Audit、Disabled | 1.0.1 |
应使用 Azure WAF 部署 Azure 应用程序网关 | 要求使用 Azure WAF 来部署 Azure 应用程序网关资源。 | Audit、Deny、Disabled | 1.0.0 |
Azure 防火墙经典版规则应迁移到防火墙策略 | 从 Azure 防火墙经典版规则迁移到防火墙策略,以利用 Azure 防火墙管理器等中央管理工具。 | Audit、Deny、Disabled | 1.0.0 |
应启用 Azure 防火墙策略分析 | 启用策略分析可增强流量流经 Azure 防火墙的可见性,从而优化防火墙配置,而不会影响应用程序性能 | Audit、Disabled | 1.0.0 |
Azure 防火墙策略应启用威胁情报 | 可以为防火墙启用基于威胁智能的筛选,以提醒和拒绝来自/到达已知恶意 IP 地址和域的流量。 IP 地址和域源自 Microsoft 威胁智能源。 | Audit、Deny、Disabled | 1.0.0 |
Azure 防火墙策略应启用 DNS 代理 | 启用 DNS 代理将使与此策略关联的 Azure 防火墙侦听端口 53 并将 DNS 请求转发到指定的 DNS 服务器 | Audit、Disabled | 1.0.0 |
应将 Azure 防火墙部署为跨多个可用性区域 | 建议将 Azure 防火墙部署为跨越多个可用性区域以提高可用性。 这可确保 Azure 防火墙在发生区域故障时仍可用。 | Audit、Deny、Disabled | 1.0.0 |
Azure 防火墙标准版 - 经典版规则应启用威胁智能 | 可以为防火墙启用基于威胁智能的筛选,以提醒和拒绝来自/到达已知恶意 IP 地址和域的流量。 IP 地址和域源自 Microsoft 威胁智能源。 | Audit、Deny、Disabled | 1.0.0 |
Azure 防火墙标准版应升级到高级版,以获得新一代保护 | 如果要查找新一代保护(如 IDPS 和 TLS 检查),应考虑将 Azure 防火墙升级到高级版 SKU。 | Audit、Deny、Disabled | 1.0.0 |
Azure VPN 网关不应使用“基本”SKU | 此策略可确保 VPN 网关不使用“基本”SKU。 | Audit、Disabled | 1.0.0 |
Azure 应用程序网关上的 Azure Web 应用程序防火墙应启用请求正文检查 | 确保与 Azure 应用程序网关关联的 Web 应用程序防火墙已启用请求正文检查。 这样,WAF 就能检查 HTTP 正文中可能无法在 HTTP 标头、Cookie 或 URI 中评估的属性。 | Audit、Deny、Disabled | 1.0.0 |
Azure Front Door 上的 Azure Web 应用程序防火墙应启用请求正文检查 | 确保与 Azure Front Door 关联的 Web 应用程序防火墙已启用请求正文检查。 这样,WAF 就能检查 HTTP 正文中可能无法在 HTTP 标头、Cookie 或 URI 中评估的属性。 | Audit、Deny、Disabled | 1.0.0 |
应为 Azure Front Door 入口点启用 Azure Web 应用程序防火墙 | 将 Azure Web 应用程序防火墙 (WAF) 部署在面向公众的 Web 应用程序的前面,以便对传入流量进行额外检查。 Web 应用程序防火墙 (WAF) 为 Web 应用程序提供集中保护,使其免受常见攻击和漏洞的侵害,例如 SQL 注入、跨站脚本以及本地和远程文件执行。 还可以通过自定义规则,按国家/地区、IP 地址范围和其他 http(s) 参数限制对 Web 应用程序的访问。 | Audit、Deny、Disabled | 1.0.2 |
应为 Azure 应用程序网关 WAF 启用机器人防护 | 此策略可确保在所有 Azure 应用程序网关 Web 应用程序防火墙 (WAF) 策略中启用机器人防护 | Audit、Deny、Disabled | 1.0.0 |
应为 Azure Front Door WAF 启用机器人防护 | 此策略可确保在所有 Azure Front Door Web 应用程序防火墙 (WAF) 策略中启用机器人防护 | Audit、Deny、Disabled | 1.0.0 |
将 Azure 网络安全组的诊断设置配置到 Log Analytics 工作区 | 部署 Azure 网络安全组的诊断设置,以将资源日志流式传输到 Log Analytics 工作区。 | DeployIfNotExists、Disabled | 1.0.0 |
配置网络安全组以启用流量分析 | 对于在特定区域中托管的所有网络安全组,可以使用策略创建期间提供的设置来启用流量分析。 如果已启用流量分析,则策略不会覆盖其设置。 对于没有流量日志的网络安全组,也会启用流量日志。 流量分析是一种基于云的解决方案,可用于洞察云网络中的用户和应用程序活动。 | DeployIfNotExists、Disabled | 1.2.0 |
将网络安全组配置为使用特定工作区、存储帐户和流日志保留策略进行流量分析 | 如果已启用流量分析,则策略将用创建策略期间提供的设置覆盖其现有设置。 流量分析是一种基于云的解决方案,可用于洞察云网络中的用户和应用程序活动。 | DeployIfNotExists、Disabled | 1.2.0 |
配置虚拟网络以启用流日志和流量分析 | 对于在特定区域中托管的所有虚拟网络,可以使用策略创建期间提供的设置来启用流量分析和流日志。 此策略不会覆盖已启用这些功能的虚拟网络的当前设置。 流量分析是一种基于云的解决方案,可用于洞察云网络中的用户和应用程序活动。 | DeployIfNotExists、Disabled | 1.1.1 |
配置虚拟网络以将特定工作区、存储帐户和保留间隔用于流日志和流量分析 | 如果虚拟网络已启用流量分析,则此策略将用创建策略期间提供的设置覆盖其现有设置。 流量分析是一种基于云的解决方案,可用于洞察云网络中的用户和应用程序活动。 | DeployIfNotExists、Disabled | 1.1.2 |
Cosmos DB 应使用虚拟网络服务终结点 | 此策略审核任何未配置为使用虚拟网络服务终结点的 Cosmos DB。 | Audit、Disabled | 1.0.0 |
使用目标网络安全组来部署流日志资源 | 配置特定网络安全组的流日志。 使用流日志,可以记录有关流经网络安全组的 IP 流量的信息。 流日志有助于识别未知或不需要的流量、验证网络隔离以及是否符合企业访问规则,并分析来自已被入侵的 IP 和网络接口的网络流量。 | deployIfNotExists | 1.1.0 |
使用目标虚拟网络来部署流日志资源 | 配置特定虚拟网络的流日志。 这样,可记录流经虚拟网络的 IP 流量的相关信息。 流日志有助于识别未知或不需要的流量、验证网络隔离以及是否符合企业访问规则,并分析来自已被入侵的 IP 和网络接口的网络流量。 | DeployIfNotExists、Disabled | 1.1.1 |
创建虚拟网络时部署网络观察程序 | 此策略在具有虚拟网络的区域中创建网络观察程序资源。 需确保存在名为 networkWatcherRG 的资源组,该资源组用于部署网络观察程序实例。 | DeployIfNotExists | 1.0.0 |
启用速率限制规则来防范 Azure Front Door WAF 上的 DDoS 攻击 | Azure Front Door 的 Azure Web 应用程序防火墙 (WAF) 速率限制规则控制在速率限制期间允许从特定客户端 IP 地址发送到应用程序的请求数。 | Audit、Deny、Disabled | 1.0.0 |
事件中心应使用虚拟网络服务终结点 | 此策略审核任何未配置为使用虚拟网络服务终结点的事件中心。 | AuditIfNotExists、Disabled | 1.0.0 |
应为每个网络安全组配置流日志 | 审核网络安全组以验证是否配置了流日志。 启用流日志可以记录有关流经网络安全组的 IP 流量的信息。 该功能可用于优化网络流、监视吞吐量、验证合规性、检测入侵情况等。 | Audit、Disabled | 1.1.0 |
不应在网关子网中配置网络安全组 | 如果在网关子网中配置了网络安全组,则此策略会拒绝此配置。 将网络安全组分配到网关子网会导致网关停止运行。 | deny | 1.0.0 |
Key Vault 应使用虚拟网络服务终结点 | 此策略审核任何未配置为使用虚拟网络服务终结点的 Key Vault。 | Audit、Disabled | 1.0.0 |
将 WAF 从 WAF 配置迁移到应用程序网关上的 WAF 策略 | 如果你有 WAF 配置而非 WAF 策略,则可能需要移动到新的 WAF 策略。 之后,防火墙策略将支持 WAF 策略设置、托管规则集、排除项和禁用的规则组。 | Audit、Deny、Disabled | 1.0.0 |
网络接口应禁用 IP 转发 | 此策略拒绝启用了 IP 转发的网络接口。 IP 转发设置会禁止 Azure 在源和目标中检查网络接口。 网络安全团队应审查此设置。 | deny | 1.0.0 |
网络接口不应使用公共 IP | 此策略拒绝配置了任何公共 IP 的网络接口。 公共 IP 地址允许 Internet 资源以入站方式与 Azure 资源通信,并允许 Azure 资源以出站方式与 Internet 通信。 网络安全团队应审查此设置。 | deny | 1.0.0 |
网络观察程序流日志应启用流量分析 | 流量分析可分析流日志,帮助洞察 Azure 云中的流量流。 它可用于直观显示 Azure 订阅中的网络活动,并确定热点、识别安全威胁、了解流量流模式、查明网络错误配置等。 | Audit、Disabled | 1.0.1 |
应启用网络观察程序 | 网络观察程序是一个区域性服务,可用于在网络方案级别监视和诊断 Azure 内部以及传入和传出 Azure 的流量的状态。 使用方案级别监视可以诊断端到端网络级别视图的问题。 需要在存在虚拟网络的每个区域中创建一个网络观察程序资源组。 如果网络观察程序资源组在特定区域中不可用,则会启用警报。 | AuditIfNotExists、Disabled | 3.0.0 |
公共 IP 和公共 IP 前缀应具有 FirstPartyUsage 标记 | 确保所有公共 IP 地址和公共 IP 前缀都有 FirstPartyUsage 标记。 | Audit、Deny、Disabled | 1.0.0 |
SQL Server 应使用虚拟网络服务终结点 | 此策略审核任何未配置为使用虚拟网络服务终结点的 SQL Server。 | AuditIfNotExists、Disabled | 1.0.0 |
存储帐户应使用虚拟网络服务终结点 | 此策略审核任何未配置为使用虚拟网络服务终结点的存储帐户。 | Audit、Disabled | 1.0.0 |
子网应该是专用的 | 通过阻止默认出站访问来确保子网在默认情况下是安全的。 有关详细信息,请转到 https://aka.ms/defaultoutboundaccessretirement | Audit、Deny、Disabled | 1.0.0 |
应使用 Azure 防火墙保护虚拟中心 | 将 Azure 防火墙部署到虚拟中心,以保护和精细控制 Internet 出口和入口流量。 | Audit、Deny、Disabled | 1.0.0 |
虚拟机应连接到已批准的虚拟网络 | 此策略审核任何已连接到未批准的虚拟网络的虚拟机。 | Audit、Deny、Disabled | 1.0.0 |
虚拟网络应受 Azure DDoS 防护保护 | 使用 Azure DDoS 防护来保护虚拟网络免受容量耗尽攻击和协议攻击。 有关详细信息,请访问 https://aka.ms/ddosprotectiondocs。 | Modify、Audit、Disabled | 1.0.1 |
虚拟网络应使用指定的虚拟网络网关 | 如果默认路由未指向指定的虚拟网络网关,则此策略会审核任何虚拟网络。 | AuditIfNotExists、Disabled | 1.0.0 |
VPN 网关应仅对点到站点用户使用 Azure Active Directory (Azure AD) 身份验证 | 禁用本地身份验证方法可确保 VPN 网关仅使用 Azure Active Directory 标识进行身份验证,从而提高安全性。 在 https://docs.microsoft.com/azure/vpn-gateway/openvpn-azure-ad-tenant 详细了解 Azure AD 身份验证 | Audit、Deny、Disabled | 1.0.0 |
应为应用程序网关启用 Web 应用程序防火墙 (WAF) | 将 Azure Web 应用程序防火墙 (WAF) 部署在面向公众的 Web 应用程序的前面,以便对传入流量进行额外检查。 Web 应用程序防火墙 (WAF) 为 Web 应用程序提供集中保护,使其免受常见攻击和漏洞的侵害,例如 SQL 注入、跨站脚本以及本地和远程文件执行。 还可以通过自定义规则,按国家/地区、IP 地址范围和其他 http(s) 参数限制对 Web 应用程序的访问。 | Audit、Deny、Disabled | 2.0.0 |
Web 应用程序防火墙 (WAF) 应对应用程序网关使用指定模式 | 要求对应用程序网关的所有 Web 应用程序防火墙策略启用“检测”或“防护”模式。 | Audit、Deny、Disabled | 1.0.0 |
Web 应用程序防火墙 (WAF) 应对 Azure Front Door 服务使用指定模式 | 要求对 Azure Front Door 服务的所有 Web 应用程序防火墙策略启用“检测”或“防护”模式。 | Audit、Deny、Disabled | 1.0.0 |
门户
名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
---|---|---|---|
共享仪表板不应包含具有内联内容的 Markdown 磁贴 | 禁止创建 Markdown 磁贴中包含内联内容的共享仪表板,并强制将内容存储为在线托管的 Markdown 文件。 如果在 Markdown 磁贴中使用内联内容,你无法管理该内容的加密。 通过配置自己的存储,可以实现加密、双重加密甚至创建自己的密钥。 如果启用此策略,会将用户限制为使用 2020-09-01-preview 或更高版本的共享仪表板 REST API。 | Audit、Deny、Disabled | 1.0.0 |
PostgreSQL
名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
---|---|---|---|
应为 PostgreSQL 灵活服务器预配 Microsoft Entra 管理员 | 对 PostgreSQL 灵活服务器的 Microsoft Entra 管理员预配进行审核来启用 Microsoft Entra 身份验证。 使用 Microsoft Entra 身份验证可简化权限管理,还可集中进行数据库用户和其他 Microsoft 服务的标识管理 | AuditIfNotExists、Disabled | 1.0.0 |
应为 PostgreSQL 灵活服务器启用 PgAudit 审核 | 此策略有助于审核环境中任何未启用使用 pgaudit 的 PostgreSQL 灵活服务器。 | AuditIfNotExists、Disabled | 1.0.0 |
应为 PostgreSQL 灵活服务器启用连接限制 | 此策略帮助审核环境中任何未启用连接限制的 PostgreSQL 灵活服务器。 无效密码登录失败次数过多时,可以使用此设置来按 IP 限制临时连接。 | AuditIfNotExists、Disabled | 1.0.0 |
将 PostgreSQL 灵活服务器的诊断设置部署到 Log Analytics 工作区 | 在创建或更新缺少此诊断设置的任何 PostgreSQL 灵活服务器时,将 PostgreSQL 灵活服务器的诊断设置流式部署到区域 Log Analytics 工作区。 | DeployIfNotExists、Disabled | 1.0.0 |
应为 PostgreSQL 灵活服务器记录断开连接 | 此策略帮助审核环境中任何未启用 log_disconnections 的 PostgreSQL 灵活服务器。 | AuditIfNotExists、Disabled | 1.0.1 |
应为 PostgreSQL 灵活服务器启用“强制 SSL 连接” | Azure Database for PostgreSQL 支持使用安全套接字层 (SSL) 将 Azure Database for PostgreSQL 灵活服务器连接到客户端应用程序。 通过在数据库灵活服务器与客户端应用程序之间强制实施 SSL 连接,可以加密服务器与应用程序之间的数据流,有助于防止“中间人”攻击。 此配置强制始终启用 SSL 以访问 PostgreSQL 灵活服务器。 | AuditIfNotExists、Disabled | 1.0.0 |
应为 Azure Database for PostgreSQL 灵活服务器启用异地冗余备份 | 通过 Azure Database for PostgreSQL 灵活服务器,可以为数据库服务器选择冗余选项。 它可以设置为异地冗余备份存储,其中数据不仅存储在托管服务器的区域内,还可以复制到配对区域,以便在区域发生故障时提供恢复选项。 只能在服务器创建期间为备份配置异地冗余存储。 | Audit、Disabled | 1.0.0 |
应为 PostgreSQL 灵活服务器启用“记录检查点” | 此策略帮助审核环境中任何未启用 log_checkpoints 设置的 PostgreSQL 灵活服务器。 | AuditIfNotExists、Disabled | 1.0.0 |
应为 PostgreSQL 灵活服务器启用“记录连接” | 此策略可帮助审核环境中的 PostgreSQL 灵活服务器,而无需启用 log_connections 设置。 | AuditIfNotExists、Disabled | 1.0.0 |
PostgreSQL 灵活服务器应运行 TLS 版本 1.2 或更高版本 | 此策略有助于审核环境中运行低于 1.2 的 TLS 版本的任何 PostgreSQL 灵活服务器。 | AuditIfNotExists、Disabled | 1.1.0 |
PostgreSQL 灵活服务器应使用客户管理的密钥进行静态数据加密 | 使用客户管理的密钥来管理 PostgreSQL 灵活服务器的静态加密。 默认情况下,使用服务管理的密钥对数据进行静态加密,但为了满足法规符合性标准,通常需要使用客户管理的密钥。 客户管理的密钥允许使用由你创建并拥有的 Azure Key Vault 密钥对数据进行加密。 你可以完全控制并负责关键生命周期,包括轮换和管理。 | Audit、Deny、Disabled | 1.1.0 |
应为 PostgreSQL 灵活服务器启用专用终结点 | 专用终结点连接通过启用到 Azure Database for PostgreSQL 的专用连接来加强安全通信。 配置专用终结点连接,以启用对仅来自已知网络的流量的访问,并防止访问所有其他 IP 地址,包括 Azure 内的地址。 | AuditIfNotExists、Disabled | 1.0.0 |
复原能力
名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
---|---|---|---|
[预览]:API 管理服务应为区域冗余 | API 管理服务可以配置为区域冗余或非区域冗余。 如果 API 管理服务的 SKU 名称为“高级”,并且其区域数组中至少有两个条目,则 API 管理服务为区域冗余。 此策略可标识缺少承受区域中断所需的冗余的 API 管理服务。 | Audit、Deny、Disabled | 1.0.1-preview |
[预览]:应用服务计划应为区域冗余 | 应用服务计划可配置为区域冗余或非区域冗余。 当应用服务计划的“zoneRedundant”属性设置为“false”时,不会为其配置区域冗余。 此策略标识并强制实施应用服务计划的区域冗余配置。 | Audit、Deny、Disabled | 1.0.0-preview |
[预览]:应用程序网关应为区域可复原 | 应用程序网关可配置为区域对齐、区域冗余或两者均不。 在其区域数组中恰好只有一个条目的应用程序网关被视为区域对齐。 相比之下,在其区域数组中拥有 3 个或更多条目的应用程序网关被识别为区域冗余。 此策略有助于识别和强制执行这些恢复配置。 | Audit、Deny、Disabled | 1.0.0-preview |
[预览]:Azure AI 搜索服务应为区域冗余 | Azure AI 搜索服务可以配置为区域冗余或非区域冗余。 将两个或更多个副本添加到搜索服务时,将使用可用性区域。 每个副本将放置在该地区内不同的可用性区域中。 | Audit、Deny、Disabled | 1.0.0-preview |
[预览版]: Azure Cache for Redis Enterprise & Flash 应为区域冗余 | Azure Cache for Redis Enterprise & Flash 可以配置为区域冗余或非区域冗余。 区域数组中少于 3 个条目的 Azure Cache for Redis Enterprise & Flash 实例不是区域冗余。 此策略可标识缺少承受区域中断所需的冗余的 Azure Cache for Redis Enterprise & Flash 实例。 | Audit、Deny、Disabled | 1.0.0-preview |
[预览]: Azure Cache for Redis 应为区域冗余 | Azure Cache for Redis 可以配置为区域冗余或非区域冗余。 区域数组中条目少于 2 个的 Azure Cache for Redis 实例不是区域冗余。 此策略可标识缺少承受区域中断所需的冗余的 Azure Cache for Redis 实例。 | Audit、Deny、Disabled | 1.0.0-preview |
[预览]:Azure 数据资源管理器群集应为区域冗余 | Azure 数据资源管理器群集可以配置为区域冗余或非区域冗余。 如果 Azure 数据资源管理器群集在其区域数组中至少有两个条目,则被视为区域冗余。 此策略有助于确保 Azure 数据资源管理器群集是区域冗余。 | Audit、Deny、Disabled | 1.0.0-preview |
[预览]:Azure Database for MySQL 灵活服务器应为区域可复原 | Azure Database for MySQL 灵活服务器可以配置为区域对齐、区域冗余或两者都不是。 选择同一区域中的备用服务器以实现高可用性的 MySQL 服务器被视为区域对齐。 相比之下,选择不同区域中的备用服务器以实现高可用性的 MySQL 服务器被识别为区域冗余。 此策略有助于识别和强制执行这些恢复配置。 | Audit、Deny、Disabled | 1.0.0-preview |
[预览]:Azure Database for PostgreSQL 灵活服务器应为区域可复原 | Azure Database for PostgreSQL 灵活服务器可以配置为区域对齐、区域冗余或两者都不是。 选择同一区域中的备用服务器以实现高可用性的 PostgreSQL 服务器被视为区域对齐。 相比之下,选择不同区域中的备用服务器以实现高可用性的 PostgreSQL 服务器被识别为区域冗余。 此策略有助于识别和强制执行这些恢复配置。 | Audit、Deny、Disabled | 1.0.0-preview |
[预览]:Azure HDInsight 应为区域对齐 | Azure HDInsight 可以配置为区域对齐或不对齐。 在其区域数组中恰好只有一个条目的 Azure HDInsight 被视为区域对齐。 此策略可确保 Azure HDInsight 群集配置为在单个可用性区域内运行。 | Audit、Deny、Disabled | 1.0.0-preview |
[预览]:Azure Kubernetes 服务托管群集应为区域冗余 | 可将 Azure Kubernetes 服务托管群集配置为区域冗余或非区域冗余。 该策略会检查群集中的节点池,并确保为所有节点池设置了可用性区域。 | Audit、Deny、Disabled | 1.0.0-preview |
[预览版]:Azure 托管 Grafana 应为区域冗余 | Azure 托管 Grafana 可配置为区域冗余或非区域冗余。 如果 Azure 托管 Grafana 实例的“zoneRedundancy”属性设置为“Enabled”,则该实例属于区域冗余。 强制实施此策略有助于确保适当配置 Azure 托管 Grafana 来实现区域复原,从而降低在区域中断期间发生停机的风险。 | Audit、Deny、Disabled | 1.0.0-preview |
[预览]:备份和 Site Recovery 应为区域冗余 | 备份和 Site Recovery 可以配置为区域冗余或非区域冗余。 如果“standardTierStorageRedundancy”属性设置为“ZoneRedundant”,则备份和 Site Recovery 是区域冗余。 强制实施此策略有助于确保适当配置备份和 Site Recovery 来实现区域复原,从而降低在区域中断期间发生停机的风险。 | Audit、Deny、Disabled | 1.0.0-preview |
[预览]:备份保管库应为区域冗余 | 备份保管库可配置为区域冗余或非区域冗余。 如果备份保管库的存储设置类型设置为“ZoneRedundant”,则备份保管库为区域冗余,并且被视为可复原。 异地冗余或本地冗余备份保管库不被视为可复原。 强制实施此策略有助于确保为备份保管库配置合适的区域复原能力,从而降低区域中断期间停机的风险。 | Audit、Deny、Disabled | 1.0.0-preview |
[预览]:容器应用应为区域冗余 | 容器应用可以配置为区域冗余或非区域冗余。 如果容器应用托管环境的“ZoneRedundant”属性设置为 true,则该容器应用为区域冗余。 此策略会标识缺少承受区域中断所需冗余的容器应用。 | Audit、Deny、Disabled | 1.0.0-preview |
[预览]:容器实例应为区域对齐 | 容器实例可以配置为区域对齐或不对齐。 如果它们在自己的区域数组中只有一个条目,则它们将被视为区域对齐。 此策略可确保它们配置为在单个可用性区域内运行。 | Audit、Deny、Disabled | 1.0.0-preview |
[预览]:容器注册表应为区域冗余 | 容器注册表可以配置为区域冗余或非区域冗余。 如果容器注册表的 zoneRedundancy 属性设置为“Disabled”,则表示注册表不是区域冗余的。 强制实施此策略有助于确保适当配置容器注册表来实现区域复原,从而降低在区域中断期间发生停机的风险。 | Audit、Deny、Disabled | 1.0.0-preview |
[预览]: Cosmos 数据库帐户应为区域冗余 | 可以将 Cosmos 数据库帐户配置为区域冗余或非区域冗余。 如果“enableMultipleWriteLocations”设置为“true”,则所有位置都必须具有“isZoneRedundant”属性,并且必须将其设置为“true”。 如果“enableMultipleWriteLocations”设置为“false”,则主位置(将“failoverPriority”设置为 0)必须具有“isZoneRedundant”属性,并且必须将其设置为“true”。 强制执行此策略可确保为区域冗余正确配置 Cosmos 数据库帐户。 | Audit、Deny、Disabled | 1.0.0-preview |
[预览]:事件中心应为区域冗余 | 可将事件中心配置为区域冗余或非区域冗余。 如果事件中心的“zoneRedundant”属性设置为“true”,则它为区域冗余。 强制实施此策略有助于确保为事件中心配置合适的区域复原能力,从而降低区域中断期间停机的风险。 | Audit、Deny、Disabled | 1.0.0-preview |
[预览]:防火墙应为区域可复原 | 防火墙可配置为区域对齐、区域冗余或两者均不。 在其区域数组中恰好只有一个条目的防火墙被视为区域对齐。 相比之下,在其区域数组中拥有 3 个或更多条目的防火墙被识别为区域冗余。 此策略有助于识别和强制执行这些恢复配置。 | Audit、Deny、Disabled | 1.0.0-preview |
[预览]:负载均衡器应为区域可复原 | 具有非基本 sku 的负载均衡器继承其前端中公共 IP 地址的复原能力。 当与“公共 IP 地址应为区域可复原”策略相结合时,此方法可确保必要的冗余来承受区域中断。 | Audit、Deny、Disabled | 1.0.0-preview |
[预览]:托管磁盘应具有区域复原能力 | 托管磁盘可配置为区域对齐、区域冗余或两者均不。 只有一个区域分配的托管磁盘是区域对齐的。 SKU 名称以 ZRS 结尾的托管磁盘是区域冗余的。 此策略有助于为托管磁盘标识和强制执行这些复原配置。 | Audit、Deny、Disabled | 1.0.0-preview |
[预览]:NAT 网关应为区域对齐 | NAT 网关可以配置为区域对齐或不对齐。 在其区域数组中恰好只有一个条目的 NAT 网关被视为区域对齐。 此策略可确保 NAT 网关配置为在单个可用性区域内运行。 | Audit、Deny、Disabled | 1.0.0-preview |
[预览]:公共 IP 地址应为区域可复原 | 可将公共 IP 地址配置为区域对齐、区域冗余或两者均不配置。 在其区域数组中恰好只有一个条目的区域性公共 IP 地址被视为区域对齐。 相比之下,拥有 3 个或更多条目的区域性公共 IP 地址在其区域数组中被识别为区域冗余。 此策略有助于识别和强制执行这些恢复配置。 | Audit、Deny、Disabled | 1.1.0-preview |
[预览]:公共 IP 前缀应为可复原区域 | 公共 IP 前缀可配置为区域对齐、区域冗余或两者均不配置。 在其区域数组中只有一个条目的公共 IP 前缀被视为区域对齐。 相比之下,拥有 3 个或更多条目的公共 IP 前缀在其区域数组中被识别为区域冗余。 此策略有助于识别和强制执行这些恢复配置。 | Audit、Deny、Disabled | 1.0.0-preview |
[预览]: 服务总线应该是区域冗余的 | 服务总线可配置为区域冗余或非区域冗余。 当服务总线的“zoneRedundant”属性设置为“false”时,表示未配置该属性来实现区域冗余。 此策略标识并强制执行服务总线实例的区域冗余配置。 | Audit、Deny、Disabled | 1.0.0-preview |
[预览]:Service Fabric 群集应为区域冗余 | Service Fabric 群集可配置为区域冗余或非区域冗余。 nodeType 的 multipleAvailabilityZones 未设置为 true 的 Servicefabric 群集不是区域冗余的。 此策略会标识缺少承受区域中断所需冗余的 Servicefabric 群集。 | Audit、Deny、Disabled | 1.0.0-preview |
[预览]:SQL 数据库应为区域冗余 | 可将 SQL 数据库配置为区域冗余或非区域冗余。 “zoneRedundant”设置为“false”的数据库未配置区域冗余。 此策略可帮助识别需要区域冗余配置的 SQL 数据库,以增强 Azure 中的可用性和复原能力。 | Audit、Deny、Disabled | 1.0.0-preview |
[预览]:SQL 弹性数据库池应为区域冗余 | SQL 弹性数据库池可配置为区域冗余或非区域冗余。 如果 SQL 弹性数据库池的“zoneRedundant”属性设置为“true”,则它为区域冗余。 强制实施此策略有助于确保为事件中心配置合适的区域复原能力,从而降低区域中断期间停机的风险。 | Audit、Deny、Disabled | 1.0.0-preview |
[预览]:SQL 托管实例应为区域冗余 | SQL 托管实例可配置为区域冗余或非区域冗余。 “zoneRedundant”设置为“false”的实例未配置区域冗余。 此策略可帮助识别需要区域冗余配置的 SQL 托管实例,以增强 Azure 中的可用性和复原能力。 | Audit、Deny、Disabled | 1.0.0-preview |
[预览]:存储帐户应为区域冗余 | 可以将存储帐户配置为区域冗余或非区域冗余。 如果存储帐户的 SKU 名称不以“ZRS”结尾,或者其类型为“存储”,则它不是区域冗余的。 此策略可确保存储帐户使用区域冗余配置。 | Audit、Deny、Disabled | 1.0.0-preview |
[预览]: 虚拟机规模集应为区域复原 | 虚拟机规模集可以配置为区域对齐、区域冗余或两者都不是。 在其区域数组中恰好有一个条目的虚拟机规模集将被视为区域对齐。 与之对比的是,如果虚拟机规模集在其区域数组中有 3 个或更多条目,且至少有 3 个容量,则它们将被识别为“区域冗余”。 此策略有助于识别和强制执行这些恢复配置。 | Audit、Deny、Disabled | 1.0.0-preview |
[预览]: 虚拟机应为区域对齐 | 虚拟机可以配置为区域对齐或不对齐。 如果它们在自己的区域数组中只有一个条目,则它们将被视为区域对齐。 此策略可确保它们配置为在单个可用性区域内运行。 | Audit、Deny、Disabled | 1.0.0-preview |
[预览]:虚拟网络网关应为区域冗余 | 可将虚拟网络网关配置为区域冗余或不配置。 SKU 名称或层不以“AZ”结尾的虚拟网络网关不是区域冗余。 此策略标识缺少承受区域中断所需冗余的虚拟网络网关。 | Audit、Deny、Disabled | 1.0.0-preview |
搜索
名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
---|---|---|---|
Azure 认知搜索服务应使用支持专用链接的 SKU | 使用 Azure 认知搜索的受支持的 SKU,可以通过 Azure 专用链接在源位置或目标位置没有公共 IP 地址的情况下将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到搜索服务,可以降低数据泄露风险。 有关详细信息,请访问:https://aka.ms/azure-cognitive-search/inbound-private-endpoints。 | Audit、Deny、Disabled | 1.0.0 |
Azure 认知搜索服务应禁用公用网络访问 | 禁用公用网络访问可确保 Azure 认知搜索服务不会在公共 Internet 上公开,从而提高安全性。 创建专用终结点可以限制搜索服务的公开。 有关详细信息,请访问:https://aka.ms/azure-cognitive-search/inbound-private-endpoints。 | Audit、Deny、Disabled | 1.0.0 |
Azure 认知搜索服务应禁用本地身份验证方法 | 禁用本地身份验证方法可确保 Azure 认知搜索服务仅将 Azure Active Directory 标识作为身份验证方法,从而提高安全性。 有关详细信息,请访问:https://aka.ms/azure-cognitive-search/rbac。 请注意,虽然禁用本地身份验证参数仍处于预览阶段,但此策略的拒绝效果可能会导致 Azure 认知搜索门户功能受限,因为门户的某些功能使用不支持此参数的 GA API。 | Audit、Deny、Disabled | 1.0.0 |
Azure 认知搜索服务应使用客户管理的密钥来加密静态数据 | 对 Azure 认知搜索使用客户管理的密钥启用静态加密,可对用于静态加密数据的密钥进行额外控制。 此功能通常适用于具有特殊合规性要求的客户,即要求使用密钥保管库来管理数据加密密钥。 | Audit、Deny、Disabled | 1.0.0 |
将 Azure 认知搜索服务配置为禁用本地身份验证 | 禁用本地身份验证方法,使 Azure 认知搜索服务仅将 Azure Active Directory 标识作为身份验证方法。 有关详细信息,请访问:https://aka.ms/azure-cognitive-search/rbac。 | 修改,已禁用 | 1.0.0 |
将 Azure 认知搜索服务配置为禁用公用网络访问 | 禁用 Azure 认知搜索服务的公用网络访问,确保无法通过公共 Internet 访问该服务。 这样可以减少数据泄露风险。 有关详细信息,请访问:https://aka.ms/azure-cognitive-search/inbound-private-endpoints。 | 修改,已禁用 | 1.0.0 |
将 Azure 认知搜索服务配置为使用专用 DNS 区域 | 使用专用 DNS 区域来替代专用终结点的 DNS 解析。 专用 DNS 区域会链接到虚拟网络,以解析到 Azure 认知搜索服务。 有关详细信息,请访问:https://aka.ms/azure-cognitive-search/inbound-private-endpoints。 | DeployIfNotExists、Disabled | 1.0.0 |
配置具有专用终结点的 Azure 认知搜索服务 | 专用终结点可在源或目标位置没有公共 IP 地址的情况下将虚拟网络连接到 Azure 服务。 将专用终结点映射到 Azure 认知搜索服务可以降低数据泄露的风险。 有关详细信息,请访问:https://aka.ms/azure-cognitive-search/inbound-private-endpoints。 | DeployIfNotExists、Disabled | 1.0.0 |
应启用搜索服务中的资源日志 | 对启用资源日志进行审核。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的 | AuditIfNotExists、Disabled | 5.0.0 |
安全中心
名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
---|---|---|---|
[预览版]:应在 Linux Arc 计算机上安装 Azure 安全代理 | 请在 Linux Arc 计算机上安装 Azure 安全代理,以监视计算机的安全配置和漏洞。 可以在 Azure 安全中心查看和管理评估结果。 | AuditIfNotExists、Disabled | 1.0.0-preview |
[预览版]:应在 Linux 虚拟机规模集上安装 Azure 安全代理 | 在 Linux 虚拟机规模集上安装 Azure 安全代理,以便监视计算机的安全配置和漏洞。 可以在 Azure 安全中心查看和管理评估结果。 | AuditIfNotExists、Disabled | 2.0.0-preview |
[预览版]:应在 Linux 虚拟机上安装 Azure 安全代理 | 在 Linux 虚拟机上安装 Azure 安全代理,以便监视计算机的安全配置和漏洞。 可以在 Azure 安全中心查看和管理评估结果。 | AuditIfNotExists、Disabled | 2.0.0-preview |
[预览版]:应在 Windows Arc 计算机上安装 Azure 安全代理 | 请在 Windows Arc 计算机上安装 Azure 安全代理,以监视计算机的安全配置和漏洞。 可以在 Azure 安全中心查看和管理评估结果。 | AuditIfNotExists、Disabled | 1.0.0-preview |
[预览版]:应在 Windows 虚拟机规模集上安装 Azure 安全代理 | 在 Windows 虚拟机规模集上安装 Azure 安全代理,以便监视计算机的安全配置和漏洞。 可以在 Azure 安全中心查看和管理评估结果。 | AuditIfNotExists、Disabled | 2.1.0-preview |
[预览版]:应在 Windows 虚拟机上安装 Azure 安全代理 | 在 Windows 虚拟机上安装 Azure 安全代理,以便监视计算机的安全配置和漏洞。 可以在 Azure 安全中心查看和管理评估结果。 | AuditIfNotExists、Disabled | 2.1.0-preview |
[预览版]:应在 Linux Arc 计算机上安装 ChangeTracking 扩展 | 在 Linux Arc 计算机上安装 ChangeTracking 扩展以在 Azure 安全中心启用文件完整性监视 (FIM)。 FIM 会检查操作系统文件、Windows 注册表、应用程序软件、Linux 系统文件等,以查找可能表明存在攻击的更改。 该扩展可以安装在 Azure 监视代理支持的虚拟机和位置。 | AuditIfNotExists、Disabled | 1.0.0-preview |
[预览版]:应在 Linux 虚拟机上安装 ChangeTracking 扩展 | 在 Linux 虚拟机上安装 ChangeTracking 扩展,以在 Azure 安全中心启用文件完整性监视 (FIM)。 FIM 会检查操作系统文件、Windows 注册表、应用程序软件、Linux 系统文件等,以查找可能表明存在攻击的更改。 该扩展可以安装在 Azure 监视代理支持的虚拟机和位置。 | AuditIfNotExists、Disabled | 2.0.0-preview |
[预览版]:应在 Linux 虚拟机规模集上安装 ChangeTracking 扩展 | 在 Linux 虚拟机规模集上安装 ChangeTracking 扩展,以在 Azure 安全中心启用文件完整性监视 (FIM)。 FIM 会检查操作系统文件、Windows 注册表、应用程序软件、Linux 系统文件等,以查找可能表明存在攻击的更改。 该扩展可以安装在 Azure 监视代理支持的虚拟机和位置。 | AuditIfNotExists、Disabled | 2.0.0-preview |
[预览版]:应在 Windows Arc 计算机上安装 ChangeTracking 扩展 | 在 Windows Arc 计算机上安装 ChangeTracking 扩展以在 Azure 安全中心启用文件完整性监视 (FIM)。 FIM 会检查操作系统文件、Windows 注册表、应用程序软件、Linux 系统文件等,以查找可能表明存在攻击的更改。 该扩展可以安装在 Azure 监视代理支持的虚拟机和位置。 | AuditIfNotExists、Disabled | 1.0.0-preview |
[预览版]:应在 Windows 虚拟机上安装 ChangeTracking 扩展 | 在 Windows 虚拟机上安装 ChangeTracking 扩展,以在 Azure 安全中心启用文件完整性监视 (FIM)。 FIM 会检查操作系统文件、Windows 注册表、应用程序软件、Linux 系统文件等,以查找可能表明存在攻击的更改。 该扩展可以安装在 Azure 监视代理支持的虚拟机和位置。 | AuditIfNotExists、Disabled | 2.0.0-preview |
[预览版]:应在 Windows 虚拟机规模集上安装 ChangeTracking 扩展 | 在 Windows 虚拟机规模集上安装 ChangeTracking 扩展,以在 Azure 安全中心启用文件完整性监视 (FIM)。 FIM 会检查操作系统文件、Windows 注册表、应用程序软件、Linux 系统文件等,以查找可能表明存在攻击的更改。 该扩展可以安装在 Azure 监视代理支持的虚拟机和位置。 | AuditIfNotExists、Disabled | 2.0.0-preview |
[预览]:在虚拟机上配置 Azure Defender for SQL 代理 | 将 Windows 计算机配置为自动安装 Azure Defender for SQL 代理,其中已安装 Azure Monitor 代理。 安全中心从代理收集事件,并使用这些事件来提供安全警报和定制的强化任务(建议)。 在计算机所在的同一区域中创建一个资源组和 Log Analytics 工作区。 目标虚拟机必须位于受支持的位置。 | DeployIfNotExists、Disabled | 1.0.0-preview |
[预览版]:为 Linux Arc 计算机配置 ChangeTracking 扩展 | 将 Linux Arc 计算机配置为自动安装 ChangeTracking 扩展,以在 Azure 安全中心启用文件完整性监视 (FIM)。 FIM 会检查操作系统文件、Windows 注册表、应用程序软件、Linux 系统文件等,以查找可能表明存在攻击的更改。 该扩展可以安装在 Azure Monitor 代理支持的虚拟机和位置。 | DeployIfNotExists、Disabled | 2.0.0-preview |
[预览版]:为 Linux 虚拟机规模集配置 ChangeTracking 扩展 | 将 Linux 虚拟机规模集配置为自动安装 ChangeTracking 扩展,以在 Azure 安全中心启用文件完整性监视 (FIM)。 FIM 会检查操作系统文件、Windows 注册表、应用程序软件、Linux 系统文件等,以查找可能表明存在攻击的更改。 该扩展可以安装在 Azure Monitor 代理支持的虚拟机和位置。 | DeployIfNotExists、Disabled | 2.0.0-preview |
[预览版]:为 Linux 虚拟机配置 ChangeTracking 扩展 | 将 Linux 虚拟机配置为自动安装 ChangeTracking 扩展,以在 Azure 安全中心启用文件完整性监视 (FIM)。 FIM 会检查操作系统文件、Windows 注册表、应用程序软件、Linux 系统文件等,以查找可能表明存在攻击的更改。 该扩展可以安装在 Azure Monitor 代理支持的虚拟机和位置。 | DeployIfNotExists、Disabled | 2.0.0-preview |
[预览版]:为 Windows Arc 计算机配置 ChangeTracking 扩展 | 将 Windows Arc 计算机配置为自动安装 ChangeTracking 扩展,以在 Azure 安全中心启用文件完整性监视 (FIM)。 FIM 会检查操作系统文件、Windows 注册表、应用程序软件、Linux 系统文件等,以查找可能表明存在攻击的更改。 该扩展可以安装在 Azure Monitor 代理支持的虚拟机和位置。 | DeployIfNotExists、Disabled | 2.0.0-preview |
[预览版]:为 Windows 虚拟机规模集配置 ChangeTracking 扩展 | 将 Windows 虚拟机规模集配置为自动安装 ChangeTracking 扩展,以在 Azure 安全中心启用文件完整性监视 (FIM)。 FIM 会检查操作系统文件、Windows 注册表、应用程序软件、Linux 系统文件等,以查找可能表明存在攻击的更改。 该扩展可以安装在 Azure Monitor 代理支持的虚拟机和位置。 | DeployIfNotExists、Disabled | 2.0.0-preview |
[预览版]:为 Windows 虚拟机配置 ChangeTracking 扩展 | 将 Windows 虚拟机配置为自动安装 ChangeTracking 扩展,以在 Azure 安全中心启用文件完整性监视 (FIM)。 FIM 会检查操作系统文件、Windows 注册表、应用程序软件、Linux 系统文件等,以查找可能表明存在攻击的更改。 该扩展可以安装在 Azure Monitor 代理支持的虚拟机和位置。 | DeployIfNotExists、Disabled | 2.0.0-preview |
[预览版]:配置受支持的 Linux Arc 计算机以自动安装 Azure 安全代理 | 配置受支持的 Linux Arc 计算机以自动安装 Azure 安全代理。 安全中心从代理收集事件,并使用这些事件来提供安全警报和定制的强化任务(建议)。 目标 Linux Arc 计算机必须位于受支持的位置。 | DeployIfNotExists、Disabled | 1.0.0-preview |
[预览版]:配置支持的 Linux 虚拟机规模集以自动安装 Azure 安全代理 | 配置受支持的 Linux 虚拟机规模集以自动安装 Azure 安全代理。 安全中心从代理收集事件,并使用这些事件来提供安全警报和定制的强化任务(建议)。 目标虚拟机必须位于受支持的位置。 | DeployIfNotExists、Disabled | 2.0.0-preview |
[预览版]:配置支持的 Linux 虚拟机规模集以自动安装来宾证明扩展 | 配置受支持的 Linux 虚拟机规模集以自动安装来宾证明扩展,使 Azure 安全中心能够主动证明并监视启动完整性。 启动完整性是通过远程证明来证明的。 | DeployIfNotExists、Disabled | 6.1.0-preview |
[预览版]:配置支持的 Linux 虚拟机以自动启用安全启动 | 配置受支持的 Linux 虚拟机以自动启用安全启动,从而减少对启动链的恶意和未经授权的更改。 启用后,只允许运行受信任的启动加载程序、内核和内核驱动程序。 | DeployIfNotExists、Disabled | 5.0.0-preview |
[预览版]:配置支持的 Linux 虚拟机以自动安装 Azure 安全代理 | 配置受支持的 Linux 虚拟机以自动安装 Azure 安全代理。 安全中心从代理收集事件,并使用这些事件来提供安全警报和定制的强化任务(建议)。 目标虚拟机必须位于受支持的位置。 | DeployIfNotExists、Disabled | 7.0.0-preview |
[预览版]:配置支持的 Linux 虚拟机以自动安装来宾证明扩展 | 配置受支持的 Linux 虚拟机以自动安装来宾证明扩展,使 Azure 安全中心能够主动证明并监视启动完整性。 启动完整性是通过远程证明来证明的。 | DeployIfNotExists、Disabled | 7.1.0-preview |
[预览版]:配置支持的虚拟机以自动启用 vTPM | 配置受支持的虚拟机以自动启用 vTPM,从而帮助实现受度量启动和其他需要 TPM 的 OS 安全功能。 启用后,vTPM 可用于证明引导完整性。 | DeployIfNotExists、Disabled | 2.0.0-preview |
[预览版]:配置支持的 Windows Arc 计算机以自动安装 Azure 安全代理 | 配置受支持的 Windows Arc 计算机以自动安装 Azure 安全代理。 安全中心从代理收集事件,并使用这些事件来提供安全警报和定制的强化任务(建议)。 目标 Windows Arc 计算机必须位于受支持的位置。 | DeployIfNotExists、Disabled | 1.0.0-preview |
[预览版]:配置支持的 Windows 计算机以自动安装 Azure 安全代理 | 配置受支持的 Windows 计算机以自动安装 Azure 安全代理。 安全中心从代理收集事件,并使用这些事件来提供安全警报和定制的强化任务(建议)。 目标虚拟机必须位于受支持的位置。 | DeployIfNotExists、Disabled | 5.1.0-preview |
[预览版]:配置支持的 Windows 虚拟机规模集以自动安装 Azure 安全代理 | 配置受支持的 Windows 虚拟机规模集以自动安装 Azure 安全代理。 安全中心从代理收集事件,并使用这些事件来提供安全警报和定制的强化任务(建议)。 目标 Windows 虚拟机规模集必须位于受支持的位置。 | DeployIfNotExists、Disabled | 2.1.0-preview |
[预览版]:配置支持的 Windows 虚拟机规模集以自动安装来宾证明扩展 | 配置受支持的 Windows 虚拟机规模集以自动安装来宾证明扩展,使 Azure 安全中心能够主动证明并监视启动完整性。 启动完整性是通过远程证明来证明的。 | DeployIfNotExists、Disabled | 4.1.0-preview |
[预览版]:配置支持的 Windows 虚拟机以自动启用安全启动 | 配置受支持的 Windows 虚拟机以自动启用安全启动,从而减少对启动链的恶意和未经授权的更改。 启用后,只允许运行受信任的启动加载程序、内核和内核驱动程序。 | DeployIfNotExists、Disabled | 3.0.0-preview |
[预览版]:配置支持的 Windows 虚拟机以自动安装来宾证明扩展 | 配置受支持的 Windows 虚拟机以自动安装来宾证明扩展,使 Azure 安全中心能够主动证明并监视启动完整性。 启动完整性是通过远程证明来证明的。 | DeployIfNotExists、Disabled | 5.1.0-preview |
[预览版]:配置使用共享映像库映像创建的 VM 以安装来宾证明扩展 | 配置使用共享映像库映像创建的虚拟机以自动安装来宾证明扩展,从而允许 Azure 安全中心主动证明并监视启动完整性。 启动完整性是通过远程证明来证明的。 | DeployIfNotExists、Disabled | 2.0.0-preview |
[预览版]:配置使用共享映像库映像创建的 VMSS 以安装来宾证明扩展 | 配置使用共享映像库映像创建的 VMSS 以自动安装来宾证明扩展,从而允许 Azure 安全中心主动证明并监视启动完整性。 启动完整性是通过远程证明来证明的。 | DeployIfNotExists、Disabled | 2.1.0-preview |
[预览版]:在 Linux 混合计算机上部署 Microsoft Defender for Endpoint 代理 | 在 Linux 混合计算机上部署 Microsoft Defender for Endpoint 代理 | DeployIfNotExists、AuditIfNotExists、Disabled | 2.0.1-preview |
[预览版]:在 Linux 虚拟机上部署 Microsoft Defender for Endpoint 代理 | 在适用的 Linux VM 映像上部署 Microsoft Defender for Endpoint 代理。 | DeployIfNotExists、AuditIfNotExists、Disabled | 3.0.0-preview |
[预览版]:在 Windows Azure Arc 计算机上部署 Microsoft Defender for Endpoint 代理 | 在 Windows Azure Arc 计算机上部署 Microsoft Defender for Endpoint。 | DeployIfNotExists、AuditIfNotExists、Disabled | 2.0.1-preview |
[预览版]:在 Windows 虚拟机上部署 Microsoft Defender for Endpoint 代理 | 在适用的 Windows VM 映像上部署 Microsoft Defender for Endpoint。 | DeployIfNotExists、AuditIfNotExists、Disabled | 2.0.1-preview |
[预览版]:应在支持的 Linux 虚拟机上安装来宾证明扩展 | 在受支持的 Linux 虚拟机上安装来宾证明扩展,使 Azure 安全中心能够主动证明并监视启动完整性。 安装后,将通过远程证明来证明启动完整性。 此评估适用于受信任启动和机密 Linux 虚拟机。 | AuditIfNotExists、Disabled | 6.0.0-preview |
[预览版]:应在支持的 Linux 虚拟机规模集上安装来宾证明扩展 | 在受支持的 Linux 虚拟机规模集上安装来宾证明扩展,使 Azure 安全中心能够主动证明并监视启动完整性。 安装后,将通过远程证明来证明启动完整性。 此评估适用于受信任启动和机密 Linux 虚拟机规模集。 | AuditIfNotExists、Disabled | 5.1.0-preview |
[预览版]:应在支持的 Windows 虚拟机上安装来宾证明扩展 | 在受支持的虚拟机上安装来宾证明扩展,使 Azure 安全中心能够主动证明并监视启动完整性。 安装后,将通过远程证明来证明启动完整性。 此评估适用于受信任启动和机密 Windows 虚拟机。 | AuditIfNotExists、Disabled | 4.0.0-preview |
[预览版]:应在支持的 Windows 虚拟机规模集上安装来宾证明扩展 | 在受支持的虚拟机规模集上安装来宾证明扩展,使 Azure 安全中心能够主动证明并监视启动完整性。 安装后,将通过远程证明来证明启动完整性。 此评估适用于受信任启动和机密 Windows 虚拟机规模集。 | AuditIfNotExists、Disabled | 3.1.0-preview |
[预览版]:Linux 虚拟机应仅使用已签名且受信任的启动组件 | 所有 OS 启动组件(启动加载程序、内核、内核驱动程序)都必须由受信任的发布者签名。 Defender for Cloud 已识别一个或多个 Linux 虚拟机上不受信任的 OS 启动组件。 若要保护计算机免受潜在恶意组件的攻击,请将它们添加到你的允许列表,或删除已识别的组件。 | AuditIfNotExists、Disabled | 1.0.0-preview |
[预览版]:Linux 虚拟机应使用安全启动 | 若要防止安装基于恶意软件的 Rootkit 和引导工具包,请在受支持的 Linux 虚拟机上启用安全引导。 安全引导可确保仅允许运行已签名的操作系统和驱动程序。 这项评估仅适用于安装了 Azure Monitor 代理的 Linux 虚拟机。 | AuditIfNotExists、Disabled | 1.0.0-preview |
[预览]:计算机应关闭可能暴露攻击途径的端口 | Azure 使用条款禁止以可能损坏、禁用、超载或损害任何 Microsoft 服务器或网络的方式使用 Azure 服务。 为了持续安全,需要关闭此建议确定的暴露端口。 对于每个确定的端口,该建议还提供了对潜在威胁的解释。 | AuditIfNotExists、Disabled | 1.0.0-preview |
[预览版]:应在支持的 Windows 虚拟机上启用安全启动 | 在受支持的 Windows 虚拟机上启用安全启动,以减少对启动链的恶意和未经授权的更改。 启用后,只允许运行受信任的启动加载程序、内核和内核驱动程序。 此评估适用于受信任启动和机密 Windows 虚拟机。 | Audit、Disabled | 4.0.0-preview |
[预览版]:虚拟机来宾证明状态应为正常 | 通过向证明服务器发送受信任的日志 (TCGLog) 来执行来宾证明。 服务器使用这些日志来确定引导组件是否可信。 这项评估旨在检测引导链的泄漏,这可能是引导工具包或 Rootkit 感染所导致的。 这项评估仅适用于安装了来宾证明扩展且支持受信任启动的虚拟机。 | AuditIfNotExists、Disabled | 1.0.0-preview |
[预览版]:应在支持的虚拟机上启用 vTPM | 在受支持的虚拟机上启用虚拟 TPM 设备,以帮助实现受度量启动和其他需要 TPM 的 OS 安全功能。 启用后,vTPM 可用于证明引导完整性。 此评估仅适用于已启用受信任启动的虚拟机。 | Audit、Disabled | 2.0.0-preview |
只多只为订阅指定 3 个所有者 | 建议最多指定 3 个订阅所有者,以减少可能出现的已遭入侵的所有者做出的违规行为。 | AuditIfNotExists、Disabled | 3.0.0 |
应在虚拟机上启用漏洞评估解决方案 | 审核虚拟机以检测其是否正在运行受支持的漏洞评估解决方案。 每个网络风险和安全计划的核心部分都是识别和分析漏洞。 Azure 安全中心的标准定价层包括对虚拟机进行漏洞扫描,无需额外付费。 此外,安全中心可以自动为你部署此工具。 | AuditIfNotExists、Disabled | 3.0.0 |
对 Azure 资源拥有所有者权限的帐户应启用 MFA | 为了防止帐户或资源出现违规问题,应为所有拥有所有者权限的订阅帐户启用多重身份验证 (MFA)。 | AuditIfNotExists、Disabled | 1.0.0 |
对 Azure 资源拥有读取权限的帐户应启用 MFA | 为了防止帐户或资源出现违规问题,应为所有拥有读取特权的订阅帐户启用多重身份验证 (MFA)。 | AuditIfNotExists、Disabled | 1.0.0 |
对 Azure 资源拥有写入权限的帐户应启用 MFA | 为了防止帐户或资源出现违规问题,应为所有拥有写入特权的订阅帐户启用多重身份验证 (MFA)。 | AuditIfNotExists、Disabled | 1.0.0 |
应限制在与虚拟机关联的网络安全组上使用所有网络端口 | Azure 安全中心已识别到网络安全组的某些入站规则过于宽松。 入站规则不应允许从“任何”或“Internet”范围进行访问。 这有可能使得攻击者能够将你的资源定为攻击目标。 | AuditIfNotExists、Disabled | 3.0.0 |
应对 Azure API 管理中的 API 终结点进行身份验证 | Azure API 管理中发布的 API 终结点应强制实施身份验证,以帮助最大程度地降低安全风险。 有时,身份验证机制的实现会不正确或缺失。 这会允许攻击者利用实现缺陷并访问数据。 请在此处详细了解用户身份验证中断的 OWASP API 威胁:https://learn.microsoft.com/azure/api-management/mitigate-owasp-api-threats#broken-user-authentication | AuditIfNotExists、Disabled | 1.0.1 |
应禁用未使用的 API 终结点并将其从 Azure API 管理服务中移除 | 作为安全最佳做法,30 天内未收到流量的 API 终结点被视为未使用,并应从 Azure API 管理服务中移除。 保留未使用的 API 终结点可能会给组织带来安全风险。 这些 API 可能本应从 Azure API 管理服务中弃用,但意外保持了活动状态。 此类 API 通常不会受到最新的安全保护。 | AuditIfNotExists、Disabled | 1.0.1 |
应在 Kubernetes 服务上定义经授权的 IP 范围 | 通过仅向特定范围内的 IP 地址授予 API 访问权限,来限制对 Kubernetes 服务管理 API 的访问。 建议将访问权限限制给已获授权的 IP 范围,以确保只有受允许网络中的应用程序可以访问群集。 | Audit、Disabled | 2.0.1 |
应启用 Azure DDoS 防护 | 应对具有相关子网(属于具有公共 IP 的应用程序网关)的所有虚拟网络启用 DDoS 防护。 | AuditIfNotExists、Disabled | 3.0.1 |
应启用适用于应用服务的 Azure Defender | 适用于应用服务的 Azure Defender 利用云的规模以及 Azure 作为云提供商的可见性来监视常见的 Web 应用攻击。 | AuditIfNotExists、Disabled | 1.0.3 |
应启用适用于 Azure SQL 数据库服务器的 Azure Defender | Azure Defender for SQL 提供了以下功能:呈现和缓解潜在数据库漏洞、检测可能指示对 SQL 数据库产生威胁的异常活动,以及发现敏感数据并对其进行分类。 | AuditIfNotExists、Disabled | 1.0.2 |
应启用 Azure Defender for Key Vault | 适用于 Key Vault 的 Azure Defender 通过检测旨在访问或利用密钥保管库帐户的不寻常和可能有害的尝试,提供额外的保护层和安全智能。 | AuditIfNotExists、Disabled | 1.0.3 |
应启用适用于开源关系数据库的 Azure Defender | 适用于开源关系数据库的 Azure Defender 可以检测异常活动,这些活动指示有人企图以非寻常或可能有害的方式访问或恶意利用数据库。 若要详细了解有关适用于开源关系数据库的 Azure Defender 的功能,请参阅 https://aka.ms/AzDforOpenSourceDBsDocu。 重要提示:启用此计划将产生保护开源关系数据库的费用。 若要了解定价详细信息,请访问安全中心的定价页:https://aka.ms/pricing-security-center | AuditIfNotExists、Disabled | 1.0.0 |
应启用 Azure Defender for Resource Manager | Azure Defender for Resource Manager 会自动监视组织中的资源管理操作。 Azure Defender 会检测威胁,并向你发出有关可疑活动的警报。 若要详细了解 Azure Defender for Resource Manager 的功能,请参阅 https://aka.ms/defender-for-resource-manager。 启用此 Azure Defender 计划会产生费用。 若要了解各区域的定价详细信息,请访问安全中心的定价页:https://aka.ms/pricing-security-center。 | AuditIfNotExists、Disabled | 1.0.0 |
应启用适用于服务器的 Azure Defender | 适用于服务器的 Azure Defender 可为服务器工作负载提供实时威胁防护,并生成强化建议以及有关可疑活动的警报。 | AuditIfNotExists、Disabled | 1.0.3 |
应启用适用于计算机上的 SQL 服务器的 Azure Defender | Azure Defender for SQL 提供了以下功能:呈现和缓解潜在数据库漏洞、检测可能指示对 SQL 数据库产生威胁的异常活动,以及发现敏感数据并对其进行分类。 | AuditIfNotExists、Disabled | 1.0.2 |
应为未受保护的 MySQL 灵活服务器启用 Azure Defender for SQL | 审核没有高级数据安全的 MySQL 灵活服务器 | AuditIfNotExists、Disabled | 1.0.0 |
应为未受保护的 PostgreSQL 灵活服务器启用 Azure Defender for SQL | 审核没有高级数据安全的 PostgreSQL 灵活服务器 | AuditIfNotExists、Disabled | 1.0.0 |
Azure 注册表容器映像应已解决漏洞(由 Microsoft Defender 漏洞管理提供支持) | 容器映像漏洞评估会扫描注册表中的常见漏洞 (CVE),并为每个映像提供详细的漏洞报告。 解决漏洞可以极大地改善安全状况,确保在部署之前可以安全地使用映像。 | AuditIfNotExists、Disabled | 1.0.1 |
Azure 运行容器映像应已解决漏洞(由 Microsoft Defender 漏洞管理提供支持) | 容器映像漏洞评估会扫描注册表中的常见漏洞 (CVE),并为每个映像提供详细的漏洞报告。 此建议可显示出 Kubernetes 群集中当前运行的易受攻击映像。 修正当前正在运行的容器映像中的漏洞是改善安全状况的关键,可显著减少容器化工作负载的攻击面。 | AuditIfNotExists、Disabled | 1.0.1 |
应删除对 Azure 资源拥有所有者权限的已封锁帐户 | 应从订阅中删除拥有所有者权限的已弃用帐户。 已弃用帐户是已阻止登录的帐户。 | AuditIfNotExists、Disabled | 1.0.0 |
应删除对 Azure 资源拥有读取和写入权限的已封锁帐户 | 应从订阅中删除弃用的帐户。 已弃用帐户是已阻止登录的帐户。 | AuditIfNotExists、Disabled | 1.0.0 |
应安全配置云服务(外延支持)角色实例 | 确保云服务(外延支持)角色实例未暴露于任何 OS 漏洞下,以防止这些实例受到攻击。 | AuditIfNotExists、Disabled | 1.0.0 |
云服务(外延支持)角色实例应安装终结点保护解决方案 | 确保已在云服务(外延支持)角色实例上安装终结点保护解决方案,以防止这些实例受到威胁和漏洞侵害。 | AuditIfNotExists、Disabled | 1.0.0 |
云服务(外延支持)角色实例应安装系统更新 | 确保已在云服务(外延支持)角色实例上安装最新的安全更新和关键更新,从而对这些实例进行保护。 | AuditIfNotExists、Disabled | 1.0.0 |
在 Azure Database for MySQL 灵活服务器上将高级威胁防护配置为“启用” | 在 Azure Database for MySQL 灵活服务器上启用高级威胁防护,以检测异常活动,包括对数据库进行的不寻常的和可能有害的访问或攻击尝试。 | DeployIfNotExists、Disabled | 1.0.0 |
在 Azure Database for PostgreSQL 灵活服务器上将高级威胁防护配置为“启用” | 在 Azure Database for PostgreSQL 灵活服务器上启用高级威胁防护,以检测异常活动,包括对数据库进行的不寻常的和可能有害的访问或攻击尝试。 | DeployIfNotExists、Disabled | 1.1.0 |
配置已启用 Arc 的 SQL Server 以自动安装 Azure Monitor 代理 | 在启用 Windows Arc 的 SQL Server 上自动部署 Azure Monitor 代理扩展。 了解详细信息:https://aka.ms/AMAOverview。 | DeployIfNotExists、Disabled | 1.3.0 |
配置已启用 Arc 的 SQL Server 以自动安装 Microsoft Defender for SQL | 配置已启用 Windows Arc 的 SQL Server 以自动安装 Microsoft Defender for SQL 代理。 Microsoft Defender for SQL 从代理收集事件,并使用这些事件来提供安全警报和定制的强化任务(建议)。 | DeployIfNotExists、Disabled | 1.2.0 |
配置已启用 Arc 的 SQL Server 以使用 Log Analytics 工作区自动安装 Microsoft Defender for SQL 和 DCR | Microsoft Defender for SQL 从代理收集事件,并使用这些事件来提供安全警报和定制的强化任务(建议)。 在计算机所在的同一区域中创建资源组、数据收集规则和 Log Analytics 工作区。 | DeployIfNotExists、Disabled | 1.5.0 |
配置已启用 Arc 的 SQL Server 以使用用户定义的 LA 工作区自动安装 Microsoft Defender for SQL 和 DCR | Microsoft Defender for SQL 从代理收集事件,并使用这些事件来提供安全警报和定制的强化任务(建议)。 在用户定义的 Log Analytics 工作区所在的同一区域中创建资源组和数据收集规则。 | DeployIfNotExists、Disabled | 1.7.0 |
使用数据收集规则关联将已启用 Arc 的 SQL Server 配置为 Microsoft Defender for SQL DCR | 配置已启用 Arc 的 SQL Server 与 Microsoft Defender for SQL DCR 之间的关联。 删除此关联将中断对此已启用 Arc 的 SQL Server 的安全漏洞检测。 | DeployIfNotExists、Disabled | 1.1.0 |
使用数据收集规则关联将已启用 Arc 的 SQL Server 配置为 Microsoft Defender for SQL 用户定义的 DCR | 配置已启用 Arc 的 SQL Server 与 Microsoft Defender for SQL 用户定义的 DCR 之间的关联。 删除此关联将中断对此已启用 Arc 的 SQL Server 的安全漏洞检测。 | DeployIfNotExists、Disabled | 1.3.0 |
将适用于应用服务的 Azure Defender 配置为启用 | 适用于应用服务的 Azure Defender 利用云的规模以及 Azure 作为云提供商的可见性来监视常见的 Web 应用攻击。 | DeployIfNotExists、Disabled | 1.0.1 |
将适用于 Azure SQL 数据库的 Azure Defender 配置为启用 | Azure Defender for SQL 提供了以下功能:呈现和缓解潜在数据库漏洞、检测可能指示对 SQL 数据库产生威胁的异常活动,以及发现敏感数据并对其进行分类。 | DeployIfNotExists、Disabled | 1.0.1 |
应启用配置适用于开源关系数据库的 Azure Defender | 适用于开源关系数据库的 Azure Defender 可以检测异常活动,这些活动指示有人企图以非寻常或可能有害的方式访问或恶意利用数据库。 若要详细了解有关适用于开源关系数据库的 Azure Defender 的功能,请参阅 https://aka.ms/AzDforOpenSourceDBsDocu。 重要提示:启用此计划将产生保护开源关系数据库的费用。 若要了解定价详细信息,请访问安全中心的定价页:https://aka.ms/pricing-security-center | DeployIfNotExists、Disabled | 1.0.0 |
将 Azure Defender for Resource Manager 配置为启用 | Azure Defender for Resource Manager 会自动监视组织中的资源管理操作。 Azure Defender 会检测威胁,并向你发出有关可疑活动的警报。 若要详细了解 Azure Defender for Resource Manager 的功能,请参阅 https://aka.ms/defender-for-resource-manager。 启用此 Azure Defender 计划会产生费用。 若要了解各区域的定价详细信息,请访问安全中心的定价页:https://aka.ms/pricing-security-center。 | DeployIfNotExists、Disabled | 1.1.0 |
将适用于服务器的 Azure Defender 配置为启用 | 适用于服务器的 Azure Defender 可为服务器工作负载提供实时威胁防护,并生成强化建议以及有关可疑活动的警报。 | DeployIfNotExists、Disabled | 1.0.1 |
为要启用的计算机上的 SQL 服务器配置 Azure Defender | Azure Defender for SQL 提供了以下功能:呈现和缓解潜在数据库漏洞、检测可能指示对 SQL 数据库产生威胁的异常活动,以及发现敏感数据并对其进行分类。 | DeployIfNotExists、Disabled | 1.0.1 |
将基本 Microsoft Defender for Storage 配置为启用(仅限活动监视) | Microsoft Defender for Storage 是 Azure 原生安全智能层,用于检测对你的存储帐户的潜在威胁。 此策略将启用基本的 Defender for Storage 功能(活动监视)。 若要启用完全保护(其中还包括上传时恶意软件扫描和敏感数据威胁检测),请使用完整的启用策略:aka.ms/DefenderForStoragePolicy。 若要详细了解 efender for Storage 的功能和优势,请访问 aka.ms/DefenderForStorage。 | DeployIfNotExists、Disabled | 1.1.0 |
配置计算机以接收漏洞评估提供程序 | Azure Defender 包含适用于计算机的漏洞扫描,不额外收费。 你无需具备 Qualys 许可证,甚至还不需要 Qualys 帐户 - 所有操作都在安全中心内无缝执行。 启用此策略后,Azure Defender 会自动将 Qualys 漏洞评估提供程序部署到尚未安装该代理的所有受支持的计算机。 | DeployIfNotExists、Disabled | 4.0.0 |
配置 Microsoft Defender CSPM 计划 | Defender 云安全态势管理 (CSPM) 提供增强的态势功能和全新的智能云安全图,以帮助识别风险、确定风险优先级和减少风险。 除了 Defender for Cloud 中默认启用的免费基础安全态势功能,还提供 Defender CSPM。 | DeployIfNotExists、Disabled | 1.0.0 |
将 Microsoft Defender CSPM 配置为启用 | Defender 云安全态势管理 (CSPM) 提供增强的态势功能和全新的智能云安全图,以帮助识别风险、确定风险优先级和减少风险。 除了 Defender for Cloud 中默认启用的免费基础安全态势功能,还提供 Defender CSPM。 | DeployIfNotExists、Disabled | 1.0.2 |
将 Microsoft Defender for Azure Cosmos DB 配置为启用 | Microsoft Defender for Azure Cosmos DB 是 Azure 本机安全层,可检测企图利用 Azure Cosmos DB 帐户中的数据库的行为。 Defender for Azure Cosmos DB 检测潜在的 SQL 注入、已知恶意参与者(基于 Microsoft 威胁智能)、可疑访问模式以及通过泄露的标识或由恶意预览体验成员对数据库的潜在利用。 | DeployIfNotExists、Disabled | 1.0.0 |
配置 Microsoft Defender for Containers 计划 | Defender for Containers 计划在不断添加新功能,这些功能可能需要用户明确启用。 使用此策略可确保将启用所有新功能。 | DeployIfNotExists、Disabled | 1.0.0 |
应启用配置 Microsoft Defender for Containers | Microsoft Defender for Containers 为 Azure、混合和多云 Kubernetes 环境提供强化、漏洞评估和运行时保护。 | DeployIfNotExists、Disabled | 1.0.1 |
配置 Microsoft Defender for Endpoint 与 Microsoft Defender for Cloud 的集成设置 (WDATP_EXCLUDE_LINUX...) | 在 Microsoft Defender for Cloud(也称为 WDATP_EXCLUDE_LINUX_...)中配置 Microsoft Defender for Endpoint 集成设置,以便为 Linux 服务器启用 MDE 自动预配。 必须打开 WDATP 设置才能应用此设置。 有关详细信息,请参阅 https://learn.microsoft.com/azure/defender-for-cloud/integration-defender-for-endpoint。 | DeployIfNotExists、Disabled | 1.0.0 |
配置 Microsoft Defender for Endpoint 与 Microsoft Defender for Cloud 的集成设置 (WDATP_UNIFIED_SOLUTION) | 在 Microsoft Defender for Cloud(也称为 WDATP_UNIFIED_SOLUTION)中配置 Microsoft Defender for Endpoint 集成设置,以启用适用于 Windows Server 2012R2 和 2016 的 MDE 统一代理的自动预配。 必须打开 WDATP 设置才能应用此设置。 有关详细信息,请参阅 https://learn.microsoft.com/azure/defender-for-cloud/integration-defender-for-endpoint。 | DeployIfNotExists、Disabled | 1.0.0 |
配置 Microsoft Defender for Endpoint 与 Microsoft Defender for Cloud 的集成设置 (WDATP) | 在 Microsoft Defender for Cloud(也称为 WDATP)中,为通过 MMA 登录到 MDE 的 Windows 下层计算机配置 Microsoft Defender for Endpoint 集成设置,并在 Windows Server 2019、Windows 虚拟桌面及更高版本上自动预配 MDE。 必须开启才能使其他设置(WDATP_UNIFIED 等)正常工作。 有关详细信息,请参阅 https://learn.microsoft.com/azure/defender-for-cloud/integration-defender-for-endpoint。 | DeployIfNotExists、Disabled | 1.0.0 |
配置 Microsoft Defender for Key Vault 计划 | 适用于密钥保管库的 Microsoft Defender 通过检测访问或利用密钥保管库帐户的可能有害的异常尝试,提供额外的保护层和安全情报。 | DeployIfNotExists、Disabled | 1.1.0 |
配置 Microsoft Defender for Servers 计划 | Defender for Servers 在不断添加新功能,这些功能可能需要用户明确启用。 使用此策略可确保将启用所有新功能。 | DeployIfNotExists、Disabled | 1.0.0 |
将 Microsoft Defender for SQL 配置为在 Synapse 工作区上启用 | 在 Azure Synapse 工作区上启用 Microsoft Defender for SQL 可检测异常活动,这些活动表明 SQL 数据库遭到了异常的访问或利用尝试并且可能会造成损害。 | DeployIfNotExists、Disabled | 1.0.0 |
将 Microsoft Defender for Storage(经典版)配置为启用 | Microsoft Defender for Storage(经典版)可检测企图访问或恶意利用存储帐户的可能有害的异常尝试。 | DeployIfNotExists、Disabled | 1.0.2 |
将 Microsoft Defender for Storage 配置为启用 | Microsoft Defender for Storage 是 Azure 原生安全智能层,用于检测对你的存储帐户的潜在威胁。 此策略将启用所有 Defender for Storage 功能:活动监视、恶意软件扫描、敏感数据威胁检测。 若要详细了解 efender for Storage 的功能和优势,请访问 aka.ms/DefenderForStorage。 | DeployIfNotExists、Disabled | 1.4.0 |
为 AI 工作负载配置 Microsoft Defender 威胁防护 | 新功能正在不断添加到 AI 工作负载的威胁防护中,这可能需要用户的明确启用。 使用此策略可确保将启用所有新功能。 | DeployIfNotExists、Disabled | 1.0.0 |
配置 SQL 虚拟机以自动安装 Azure Monitor 代理 | 在 Windows SQL 虚拟机上自动部署 Azure Monitor 代理扩展。 了解详细信息:https://aka.ms/AMAOverview。 | DeployIfNotExists、Disabled | 1.5.0 |
配置 SQL 虚拟机以自动安装 Microsoft Defender for SQL | 配置 Windows SQL 虚拟机以自动安装 Microsoft Defender for SQL 扩展。 Microsoft Defender for SQL 从代理收集事件,并使用这些事件来提供安全警报和定制的强化任务(建议)。 | DeployIfNotExists、Disabled | 1.5.0 |
配置 SQL 虚拟机以使用 Log Analytics 工作区自动安装 Microsoft Defender for SQL 和 DCR | Microsoft Defender for SQL 从代理收集事件,并使用这些事件来提供安全警报和定制的强化任务(建议)。 在计算机所在的同一区域中创建资源组、数据收集规则和 Log Analytics 工作区。 | DeployIfNotExists、Disabled | 1.7.0 |
配置 SQL 虚拟机以使用用户定义的 LA 工作区自动安装 Microsoft Defender for SQL 和 DCR | Microsoft Defender for SQL 从代理收集事件,并使用这些事件来提供安全警报和定制的强化任务(建议)。 在用户定义的 Log Analytics 工作区所在的同一区域中创建资源组和数据收集规则。 | DeployIfNotExists、Disabled | 1.8.0 |
配置 Microsoft Defender for SQL Log Analytics 工作区 | Microsoft Defender for SQL 从代理收集事件,并使用这些事件来提供安全警报和定制的强化任务(建议)。 在计算机所在的同一区域中创建资源组和 Log Analytics 工作区。 | DeployIfNotExists、Disabled | 1.4.0 |
创建和分配内置用户分配的托管标识 | 创建内置用户分配的托管标识,并将其大规模分配给 SQL 虚拟机。 | AuditIfNotExists、DeployIfNotExists、Disabled | 1.7.0 |
部署 - 为 Azure 安全中心警报配置抑制规则 | 抑制 Azure 安全中心警报,通过在管理组或订阅上部署抑制规则来减少警报疲劳。 | deployIfNotExists | 1.0.0 |
为 Microsoft Defender for Cloud 数据将“导出到事件中心”部署为受信任的服务 | 将“导出到事件中心”作为 Microsoft Defender for Cloud 数据受信任的服务启用。 此策略会在分配的范围上使用所设定的条件和目标事件中心将“导出到事件中心”部署为受信任的服务配置。 若要在新建的订阅上部署此策略,请打开“合规性”选项卡,选择相关的不合规分配,并创建修正任务。 | DeployIfNotExists、Disabled | 1.0.0 |
部署 Microsoft Defender for Cloud 数据的“导出到事件中心” | 启用 Microsoft Defender for Cloud 数据的“导出到事件中心”。 此策略会在分配的作用域上使用所设定的条件和目标事件中心来部署“导出到事件中心”配置。 若要在新建的订阅上部署此策略,请打开“合规性”选项卡,选择相关的不合规分配,并创建修正任务。 | deployIfNotExists | 4.2.0 |
部署 Microsoft Defender for Cloud 数据的“导出到 Log Analytics 工作区” | 启用 Microsoft Defender for Cloud 数据的“导出到 Log Analytics 工作区”。 此策略会在分配的作用域上使用所设定的条件和目标工作区来部署“导出到 Log Analytics 工作区”配置。 若要在新建的订阅上部署此策略,请打开“合规性”选项卡,选择相关的不合规分配,并创建修正任务。 | deployIfNotExists | 4.1.0 |
为 Microsoft Defender for Cloud 警报部署工作流自动化 | 启用 Microsoft Defender for Cloud 警报的自动化。 此策略会在分配的作用域上使用所设定的条件和触发器来部署工作流自动化。 若要在新建的订阅上部署此策略,请打开“合规性”选项卡,选择相关的不合规分配,并创建修正任务。 | deployIfNotExists | 5.0.1 |
为 Microsoft Defender for Cloud 建议部署工作流自动化 | 启用 Microsoft Defender for Cloud 建议的自动化。 此策略会在分配的作用域上使用所设定的条件和触发器来部署工作流自动化。 若要在新建的订阅上部署此策略,请打开“合规性”选项卡,选择相关的不合规分配,并创建修正任务。 | deployIfNotExists | 5.0.1 |
为 Microsoft Defender for Cloud 合规性部署工作流自动化 | 启用 Microsoft Defender for Cloud 法规合规性的自动化。 此策略会在分配的作用域上使用所设定的条件和触发器来部署工作流自动化。 若要在新建的订阅上部署此策略,请打开“合规性”选项卡,选择相关的不合规分配,并创建修正任务。 | deployIfNotExists | 5.0.1 |
应启用高严重性警报的电子邮件通知 | 当某个订阅中存在潜在的安全漏洞时,若要确保组织中的相关人员收到通知,请在安全中心为高严重性警报启用电子邮件通知。 | AuditIfNotExists、Disabled | 1.2.0 |
应启用向订阅所有者发送高严重性警报的电子邮件通知 | 当订阅中存在潜在的安全漏洞时,若要确保订阅所有者收到通知,请在安全中心设置向订阅所有者发送高严重性警报的电子邮件通知。 | AuditIfNotExists、Disabled | 2.1.0 |
在订阅上启用 Microsoft Defender for Cloud | 标识不受 Microsoft Defender for Cloud 监视的现有订阅,并使用 Defender for Cloud 的免费功能保护它们。 已监视的订阅将被视为合规。 要注册新创建的订阅,请打开“合规性”选项卡,选择相关的不合规分配,然后创建修正任务。 | deployIfNotExists | 1.0.1 |
允许安全中心在你的订阅上自动预配包含自定义工作区的 Log Analytics 代理。 | 允许安全中心在你的订阅上自动预配 Log Analytics 代理,以使用自定义工作区来监视和收集安全数据。 | DeployIfNotExists、Disabled | 1.0.0 |
允许安全中心在你的订阅上自动预配包含默认工作区的 Log Analytics 代理。 | 允许安全中心在你的订阅上自动预配 Log Analytics 代理,以使用 ASC 默认工作区来监视和收集安全数据。 | DeployIfNotExists、Disabled | 1.0.0 |
为 AI 工作负载启用威胁防护 | 针对 AI 工作负载的 Microsoft 威胁防护提供情境化、基于证据的安全警报,旨在保护自主开发的由生成式 AI 提供支持的应用程序 | DeployIfNotExists、Disabled | 1.0.0 |
应在计算机上解决 Endpoint Protection 运行状况问题 | 解决虚拟机上的 Endpoint Protection 运行状况问题,以保护其免受最新威胁和漏洞的侵害。 此文档介绍了 Azure 安全中心支持的终结点保护解决方案 - https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions。 此文档介绍了终结点保护评估 - https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection。 | AuditIfNotExists、Disabled | 1.0.0 |
应在计算机上安装 Endpoint Protection | 若要保护计算机免受威胁和漏洞的侵害,请安装受支持的 Endpoint Protection 解决方案。 | AuditIfNotExists、Disabled | 1.0.0 |
应在虚拟机规模集上安装终结点保护解决方案 | 审核终结点保护解决方案在虚拟机规模集上的存在性和运行状况 ,以保护其免受威胁和漏洞的侵害。 | AuditIfNotExists、Disabled | 3.0.0 |
应删除对 Azure 资源拥有所有者权限的来宾帐户 | 为了防止发生未受监视的访问,应从订阅中删除拥有所有者权限的外部帐户。 | AuditIfNotExists、Disabled | 1.0.0 |
应删除对 Azure 资源拥有读取权限的来宾帐户 | 应从订阅中删除拥有读取特权的外部帐户,以防发生未受监视的访问。 | AuditIfNotExists、Disabled | 1.0.0 |
应删除对 Azure 资源拥有写入权限的来宾帐户 | 应从订阅中删除拥有写入特权的外部帐户,以防发生未受监视的访问。 | AuditIfNotExists、Disabled | 1.0.0 |
应在计算机上安装来宾配置扩展 | 若要确保安全配置计算机的来宾内设置,请安装来宾配置扩展。 该扩展监视的来宾内设置包括操作系统的配置、应用程序配置或状态以及环境设置。 安装后,来宾内策略将可用,如“应启用 Windows 攻击防护”。 更多信息请访问 https://aka.ms/gcpol。 | AuditIfNotExists、Disabled | 1.0.3 |
面向 Internet 的虚拟机应使用网络安全组进行保护 | 使用网络安全组 (NSG) 限制对 VM 的访问,以此防范 VM 遭受潜在威胁。 如需详细了解如何使用 NSG 控制流量,请访问 https://aka.ms/nsg-doc | AuditIfNotExists、Disabled | 3.0.0 |
应禁用虚拟机上的 IP 转发 | 在虚拟机的 NIC 上启用 IP 转发可让该计算机接收发往其他目标的流量。 极少需要启用 IP 转发(例如,将 VM 用作网络虚拟设备时),因此,此策略应由网络安全团队评审。 | AuditIfNotExists、Disabled | 3.0.0 |
Kubernetes 服务应升级到不易受攻击的 Kubernetes 版本 | 将 Kubernetes 服务群集升级到更高 Kubernetes 版本,以抵御当前 Kubernetes 版本中的已知漏洞。 Kubernetes 版本 1.11.9+、1.12.7+、1.13.5+ 和 1.14.0+ 中已修补漏洞 CVE-2019-9946 | Audit、Disabled | 1.0.2 |
应在云服务(外延支持)角色实例上安装 Log Analytics 代理 | 安全中心会从云服务(外延支持)角色实例中收集数据,以监视是否存在安全漏洞和威胁。 | AuditIfNotExists、Disabled | 2.0.0 |
计算机应已解决机密结果 | 审核虚拟机以检测它们是否包含虚拟机上机密扫描解决方案的机密发现结果。 | AuditIfNotExists、Disabled | 1.0.2 |
应通过即时网络访问控制来保护虚拟机的管理端口 | 建议通过 Azure 安全中心监视可能的网络适时 (JIT) 访问 | AuditIfNotExists、Disabled | 3.0.0 |
应关闭虚拟机上的管理端口 | 打开远程管理端口会使 VM 暴露在较高级别的 Internet 攻击风险之下。 此类攻击试图暴力破解凭据,来获取对计算机的管理员访问权限。 | AuditIfNotExists、Disabled | 3.0.0 |
应启用 Microsoft Defender CSPM | Defender 云安全态势管理 (CSPM) 提供增强的态势功能和全新的智能云安全图,以帮助识别风险、确定风险优先级和减少风险。 除了 Defender for Cloud 中默认启用的免费基础安全态势功能,还提供 Defender CSPM。 | AuditIfNotExists、Disabled | 1.0.0 |
应启用 Microsoft Defender for API | Microsoft Defender for API 引入了新的发现、保护、检测,以及用于监视常见基于 API 的攻击和安全性配置错误的响应覆盖。 | AuditIfNotExists、Disabled | 1.0.3 |
应启用 Microsoft Defender for Azure Cosmos DB | Microsoft Defender for Azure Cosmos DB 是 Azure 本机安全层,可检测企图利用 Azure Cosmos DB 帐户中的数据库的行为。 Defender for Azure Cosmos DB 检测潜在的 SQL 注入、已知恶意参与者(基于 Microsoft 威胁智能)、可疑访问模式以及通过泄露的标识或由恶意预览体验成员对数据库的潜在利用。 | AuditIfNotExists、Disabled | 1.0.0 |
应启用 Microsoft Defender for Containers | Microsoft Defender for Containers 为 Azure、混合和多云 Kubernetes 环境提供强化、漏洞评估和运行时保护。 | AuditIfNotExists、Disabled | 1.0.0 |
应为未受保护的 Synapse 工作区启用 Microsoft Defender for SQL | 启用 Defender for SQL 以保护 Synapse 工作区。 Defender for SQL 监视 Synapse SQL 以检测异常活动,这些活动表明数据库遭到了异常的访问或利用尝试并且可能会造成损害。 | AuditIfNotExists、Disabled | 1.0.0 |
Microsoft Defender for SQL 的状态应为“已为已启用 Arc 的 SQL Server 进行了保护” | Microsoft Defender for SQL 提供了以下功能:公开和缓解潜在数据库漏洞、检测可能对 SQL 数据库造成威胁的异常活动,发现和分类敏感数据。 启用后,保护状态指示资源受到主动监视。 即使启用了 Defender,也应该在代理、计算机、工作区和 SQL Server 上验证多个配置设置,以确保主动保护。 | Audit、Disabled | 1.0.1 |
应启用适用于存储的 Microsoft Defender | Microsoft Defender for Storage 检测存储帐户的潜在威胁。 它有助于避免威胁对数据和工作负载产生三个重大影响:恶意文件上传、敏感数据外泄和数据损坏。 新的 Defender for Storage 计划包括恶意软件扫描和敏感数据威胁检测。 此计划还提供了可预测的定价结构(按存储帐户),以便更好地控制覆盖范围和成本。 | AuditIfNotExists、Disabled | 1.0.0 |
监视 Azure 安全中心 Endpoint Protection 的缺失情况 | 建议通过 Azure 安全中心监视未安装 Endpoint Protection 代理的服务器 | AuditIfNotExists、Disabled | 3.0.0 |
应使用网络安全组来保护非面向 Internet 的虚拟机 | 使用网络安全组 (NSG) 限制对 VM 的访问,以此防范非面向 Internet 的 VM 遭受潜在威胁。 如需详细了解如何使用 NSG 控制流量,请访问 https://aka.ms/nsg-doc | AuditIfNotExists、Disabled | 3.0.0 |
应在 Kubernetes 服务中使用基于角色的访问控制 (RBAC) | 若要对用户可以执行的操作提供粒度筛选,请使用基于角色的访问控制 (RBAC) 来管理 Kubernetes 服务群集中的权限并配置相关授权策略。 | Audit、Disabled | 1.0.4 |
应选择安全中心标准定价层 | 标准定价层为网络和虚拟机启用威胁检测,在 Azure 安全中心提供威胁情报、异常检测和行为分析 | Audit、Disabled | 1.1.0 |
设置订阅以过渡到备用漏洞评估解决方案 | Microsoft Defender for Cloud 可为计算机提供漏洞扫描服务,而无需额外付费。 启用此策略将导致 Defender for Cloud 自动将内置 Microsoft Defender 漏洞管理解决方案中的结果传播到所有受支持的计算机。 | DeployIfNotExists、Disabled | 1.0.0-preview |
SQL 数据库应已解决漏洞结果 | 监视漏洞评估扫描结果,并提供有关如何消除数据库漏洞的建议。 | AuditIfNotExists、Disabled | 4.1.0 |
应为计算机上的 SQL Server 计划启用针对 SQL Server 的自动预配 | 为了确保 SQL VM 和已启用 Arc 的 SQL Server 受到保护,请确保将针对 SQL 的 Azure 监视代理配置为自动进行部署。 如果你之前配置了 Microsoft 监视代理的自动预配,那么这也是必要的,因为该组件将被弃用。 了解详细信息:https://aka.ms/SQLAMAMigration | AuditIfNotExists、Disabled | 1.0.0 |
计算机上的 SQL Server 应已解决漏洞结果 | SQL 漏洞评估会扫描数据库中的安全漏洞,并显示与最佳做法之间的任何偏差,例如配置错误、权限过多和敏感数据未受保护。 解决发现的漏洞可以极大地改善数据库安全态势。 | AuditIfNotExists、Disabled | 1.0.0 |
子网应与网络安全组关联 | 使用网络安全组 (NSG) 限制对 VM 的访问,以此防范子网遭受潜在威胁。 NSG 包含一系列访问控制列表 (ACL) 规则,这些规则可以允许或拒绝流向子网的网络流量。 | AuditIfNotExists、Disabled | 3.0.0 |
订阅应有一个联系人电子邮件地址,用于接收安全问题通知 | 当某个订阅中存在潜在的安全漏洞时,若要确保组织中的相关人员收到通知,请设置一个安全联系人,以接收来自安全中心的电子邮件通知。 | AuditIfNotExists、Disabled | 1.0.1 |
应在计算机上安装系统更新(由更新中心提供技术支持) | 计算机缺少系统、安全和关键更新。 软件更新通常包括安全漏洞的关键补丁。 恶意软件攻击中经常会利用这些漏洞,因此保持软件更新至关重要。 若要安装所有重要补丁并保护你的计算机,请遵循修正步骤。 | AuditIfNotExists、Disabled | 1.0.1 |
应为订阅分配了多个所有者 | 建议指定多个订阅所有者,这样才会有管理员访问冗余。 | AuditIfNotExists、Disabled | 3.0.0 |
应使用系统分配的托管标识来部署虚拟机的来宾配置扩展 | 来宾配置扩展需要系统分配的托管标识。 如果安装了来宾配置扩展,但没有系统分配的托管标识,则此策略作用域内的 Azure 虚拟机是不合规的。 有关详细信息,请访问 https://aka.ms/gcpol | AuditIfNotExists、Disabled | 1.0.1 |
应修复计算机上安全配置中的漏洞 | 建议通过 Azure 安全中心监视不满足配置的基线的服务器 | AuditIfNotExists、Disabled | 3.1.0 |
安全中心 - 精细定价
名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
---|---|---|---|
将 Azure Defender for Servers 配置为对所有资源禁用(资源级别) | Azure Defender for Servers 可为服务器工作负荷提供实时威胁防护,并生成强化建议以及有关可疑活动的警报。 此策略将为选定范围(订阅或资源组)中的所有资源(VM、VMSS 和 ARC 计算机)禁用 Defender for Servers 计划。 | DeployIfNotExists、Disabled | 1.0.0 |
将 Azure Defender for Servers 配置为对具有所选标记的资源(资源级别)禁用 | Azure Defender for Servers 可为服务器工作负荷提供实时威胁防护,并生成强化建议以及有关可疑活动的警报。 此策略将为具有选定标记名称和标记值的所有资源(VM、VMSS 和 ARC 计算机)禁用 Defender for Servers 计划。 | DeployIfNotExists、Disabled | 1.0.0 |
将 Azure Defender for Servers 配置为对具有所选标记的所有资源(资源级别)启用(“P1”子计划) | Azure Defender for Servers 可为服务器工作负荷提供实时威胁防护,并生成强化建议以及有关可疑活动的警报。 此策略将为具有选定标记名称和标记值的所有资源(VM 和 ARC 计算机)启用 Defender for Servers 计划(和“P1”子计划配合使用)。 | DeployIfNotExists、Disabled | 1.0.0 |
将 Azure Defender for Servers 配置为对所有资源(资源级别)启用(和“P1”子计划配合使用) | Azure Defender for Servers 可为服务器工作负荷提供实时威胁防护,并生成强化建议以及有关可疑活动的警报。 此策略将为选定范围(订阅或资源组)中的所有资源(VM 和 ARC 计算机)启用 Defender for Servers 计划(和“P1”子计划配合使用)。 | DeployIfNotExists、Disabled | 1.0.0 |
服务总线
名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
---|---|---|---|
应从服务总线命名空间中删除 RootManageSharedAccessKey 以外的所有授权规则 | 服务总线客户端不应使用提供对命名空间中所有队列和主题的访问的命名空间级访问策略。 为了与最低权限安全模型保持一致,应在实体级别为队列和主题创建访问策略,以便仅提供对特定实体的访问权限 | Audit、Deny、Disabled | 1.0.1 |
Azure 服务总线命名空间应禁用本地身份验证方法 | 禁用本地身份验证方法可确保 Azure 服务总线命名空间仅将 Microsoft Entra ID 标识作为身份验证方法,从而提高安全性。 有关详细信息,请访问:https://aka.ms/disablelocalauth-sb。 | Audit、Deny、Disabled | 1.0.1 |
Azure 服务总线命名空间应使用专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到服务总线命名空间,可以降低数据泄露风险。 有关详细信息,请访问:https://docs.microsoft.com/azure/service-bus-messaging/private-link-service。 | AuditIfNotExists、Disabled | 1.0.0 |
配置 Azure 服务总线命名空间以禁用本地身份验证 | 禁用本地身份验证方法,使 Azure 服务总线命名空间仅将 Microsoft Entra ID 标识作为身份验证方法。 有关详细信息,请访问:https://aka.ms/disablelocalauth-sb。 | 修改,已禁用 | 1.0.1 |
将服务总线命名空间配置为使用专用 DNS 区域 | 使用专用 DNS 区域来替代专用终结点的 DNS 解析。 专用 DNS 区域会链接到虚拟网络,以解析到服务总线命名空间。 有关详细信息,请访问:https://docs.microsoft.com/azure/service-bus-messaging/private-link-service。 | DeployIfNotExists、Disabled | 1.0.0 |
为服务总线命名空间配置专用终结点 | 专用终结点可在源或目标位置没有公共 IP 地址的情况下将虚拟网络连接到 Azure 服务。 通过将专用终结点映射到服务总线命名空间,可以降低数据泄露风险。 有关详细信息,请访问:https://docs.microsoft.com/azure/service-bus-messaging/private-link-service。 | DeployIfNotExists、Disabled | 1.0.0 |
应启用服务总线中的资源日志 | 对启用资源日志进行审核。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的 | AuditIfNotExists、Disabled | 5.0.0 |
服务总线命名空间应禁用公用网络访问 | Azure 服务总线应禁用公用网络访问。 禁用公用网络访问可确保资源不会在公共 Internet 上公开,从而提高了安全性。 你可以通过创建专用终结点来限制资源的公开。 了解详细信息:https://docs.microsoft.com/azure/service-bus-messaging/private-link-service | Audit、Deny、Disabled | 1.1.0 |
服务总线命名空间应启用双重加密 | 启用双重加密有助于保护数据,使组织能够信守在安全性与合规性方面作出的承诺。 启用双重加密后,将使用两种不同的加密算法和两个不同的密钥对存储帐户中的数据进行两次加密,一次在服务级别,一次在基础结构级别。 | Audit、Deny、Disabled | 1.0.0 |
服务总线高级命名空间应使用客户管理的密钥进行加密 | Azure 服务总线支持通过 Microsoft 管理的密钥(默认)或客户管理的密钥来加密静态数据。 如果选择使用客户管理的密钥加密数据,则可分配、轮换、禁用和撤销对服务总线将用于加密命名空间中的数据的密钥的访问权限。 请注意,服务总线仅支持使用客户管理的密钥对高级命名空间进行加密。 | Audit、Disabled | 1.0.0 |
Service Fabric
名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
---|---|---|---|
Service Fabric 群集应将 ClusterProtectionLevel 属性设置为 EncryptAndSign | Service Fabric 使用主要群集证书为节点之间的通信提供三个保护级别(None、Sign 和 EncryptAndSign)。 设置保护级别以确保所有节点到节点消息均已进行加密和数字签名 | Audit、Deny、Disabled | 1.1.0 |
Service Fabric 群集应仅使用 Azure Active Directory 进行客户端身份验证 | 审核 Service Fabric 中仅通过 Azure Active Directory 进行客户端身份验证 | Audit、Deny、Disabled | 1.1.0 |
SignalR
名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
---|---|---|---|
Azure SignalR 服务应禁用公用网络访问 | 若要提高 Azure SignalR 服务资源的安全性,请确保它不会公开到公共 Internet,并且只能从专用终结点访问。 如 https://aka.ms/asrs/networkacls 中所述禁用公共网络访问属性。 此选项禁止访问 Azure IP 范围之外的任何公共地址空间,并拒绝与 IP 或基于虚拟网络的防火墙规则匹配的所有登录。 这样会降低数据泄露风险。 | Audit、Deny、Disabled | 1.1.0 |
Azure SignalR 服务应启用诊断日志 | 审核是否已启用诊断日志。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的 | AuditIfNotExists、Disabled | 1.0.0 |
Azure SignalR 服务应已禁用本地身份验证方法 | 禁用本地身份验证方法可确保 Azure SignalR 服务仅将 Azure Active Directory 标识作为身份验证方法,从而提高安全性。 | Audit、Deny、Disabled | 1.0.0 |
Azure SignalR 服务应使用支持专用链接的 SKU | Azure 专用链接可让你在源或目标位置没有公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务,从而使你的资源免遭公共数据泄露风险。 此策略将你限制为对 Azure SignalR 服务使用支持专用链接的 SKU。 请访问 https://aka.ms/asrs/privatelink,详细了解专用链接。 | Audit、Deny、Disabled | 1.0.0 |
Azure SignalR 服务应使用专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到 Azure SignalR 服务资源而不是整个服务,可降低数据泄露风险。 有关专用链接的详细信息,请访问:https://aka.ms/asrs/privatelink。 | Audit、Disabled | 1.0.0 |
配置 Azure SignalR 服务以禁用本地身份验证 | 禁用本地身份验证方法,以便 Azure SignalR 服务仅需要 Azure Active Directory 标识进行身份验证。 | 修改,已禁用 | 1.0.0 |
将专用终结点配置到 Azure SignalR 服务 | 专用终结点可在源或目标位置没有公共 IP 地址的情况下将虚拟网络连接到 Azure 服务。 通过将专用终结点映射到 Azure Synapse 服务资源,可以降低数据泄露风险。 更多信息请访问 https://aka.ms/asrs/privatelink。 | DeployIfNotExists、Disabled | 1.0.0 |
部署 - 为连接到 Azure SignalR 服务的专用终结点配置专用 DNS 区域 | 使用专用 DNS 区域来替代专用终结点的 DNS 解析。 专用 DNS 区域会链接到要解析为 Azure SignalR 服务资源的虚拟网络。 有关详细信息,请访问:https://aka.ms/asrs/privatelink。 | DeployIfNotExists、Disabled | 1.0.0 |
修改 Azure SignalR 服务资源以禁用公用网络访问 | 若要提高 Azure SignalR 服务资源的安全性,请确保它不会公开到公共 Internet,并且只能从专用终结点访问。 如 https://aka.ms/asrs/networkacls 中所述禁用公共网络访问属性。 此选项禁止访问 Azure IP 范围之外的任何公共地址空间,并拒绝与 IP 或基于虚拟网络的防火墙规则匹配的所有登录。 这样会降低数据泄露风险。 | 修改,已禁用 | 1.1.0 |
Site Recovery
名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
---|---|---|---|
预览版:配置 Azure 恢复服务保管库以使用专用 DNS 区域 | 使用专用 DNS 区域来替代专用终结点的 DNS 解析。 专用 DNS 区域会链接到虚拟网络,以解析到恢复服务保管库。 有关详细信息,请访问:https://aka.ms/privatednszone。 | DeployIfNotExists、Disabled | 1.0.0-preview |
[预览版]:在 Azure 恢复服务保管库上配置专用终结点 | 专用终结点可在源或目标位置没有公共 IP 地址的情况下将虚拟网络连接到 Azure 服务。 将专用终结点映射到恢复服务保管库的站点恢复资源可以降低数据泄露风险。 若要使用专用链接,必须将托管服务标识分配给恢复服务保管库。 有关专用链接的详细信息,请访问:https://docs.microsoft.com/azure/site-recovery/azure-to-azure-how-to-enable-replication-private-endpoints。 | DeployIfNotExists、Disabled | 1.0.0-preview |
[预览版]:恢复服务保管库应使用专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到 Azure 恢复服务保管库,可以减少数据泄漏风险。 在以下位置详细了解 Azure Site Recovery 的专用链接:https://aka.ms/HybridScenarios-PrivateLink 和 https://aka.ms/AzureToAzure-PrivateLink。 | Audit、Disabled | 1.0.0-preview |
SQL
名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
---|---|---|---|
[预览]:Azure PostgreSQL 灵活服务器应启用“仅限 Microsoft Entra 身份验证” | 通过禁用本地身份验证方法并允许“仅限 Microsoft Entra 身份验证”,可确保 Azure PostgreSQL 灵活服务器只能由 Microsoft Entra 标识访问,从而提高安全性。 | Audit、Disabled | 1.0.0-preview |
应为 MySQL 服务器预配 Microsoft Entra 管理员 | 对 MySQL 服务器的 Microsoft Entra 管理员预配进行审核来启用 Microsoft Entra 身份验证。 使用 Microsoft Entra 身份验证可简化权限管理,还可集中进行数据库用户和其他 Microsoft 服务的标识管理 | AuditIfNotExists、Disabled | 1.1.1 |
应为 PostgreSQL 服务器预配 Microsoft Entra 管理员 | 对 PostgreSQL 服务器的 Microsoft Entra 管理员预配进行审核来启用 Microsoft Entra 身份验证。 使用 Microsoft Entra 身份验证可简化权限管理,还可集中进行数据库用户和其他 Microsoft 服务的标识管理 | AuditIfNotExists、Disabled | 1.0.1 |
应该为 SQL 服务器预配 Azure Active Directory 管理员 | 审核确认已为 SQL Server 预配了 Azure Active Directory 管理员以启用 Azure AD 身份验证。 使用 Azure AD 身份验证可以简化权限管理,以及集中化数据库用户和其他 Microsoft 服务的标识管理 | AuditIfNotExists、Disabled | 1.0.0 |
应启用 SQL 服务器上的审核 | 应在 SQL 服务器上启用审核以跟踪服务器上所有数据库的数据库活动,并将其保存在审核日志中。 | AuditIfNotExists、Disabled | 2.0.0 |
应为未受保护的 Azure SQL 服务器启用 Azure Defender for SQL | 审核没有高级数据安全的 SQL 服务器 | AuditIfNotExists、Disabled | 2.0.1 |
应为未受保护的 SQL 托管实例启用 Azure Defender for SQL | 审核所有未启用高级数据安全的 SQL 托管实例。 | AuditIfNotExists、Disabled | 1.0.2 |
Azure MySQL 灵活服务器应启用仅 Microsoft Entra 身份验证 | 通过禁用本地身份验证方法并仅允许 Microsoft Entra 身份验证,可确保 Azure MySQL 灵活服务器只能由 Microsoft Entra 标识访问,从而提高安全性。 | AuditIfNotExists、Disabled | 1.0.1 |
Azure SQL 数据库应运行 TLS 版本 1.2 或更高版本 | 将 TLS 版本设置为 1.2 或更高版本,可以确保只能从使用 TLS 1.2 或更高版本的客户端访问 Azure SQL 数据库,从而提高安全性。 不建议使用低于 1.2 的 TLS 版本,因为它们存在有据可查的安全漏洞。 | 审核、已禁用、拒绝 | 2.0.0 |
Azure SQL 数据库应启用仅 Microsoft Entra 身份验证 | 要求 Azure SQL 逻辑服务器使用纯 Microsoft Entra 身份验证。 此策略不会阻止创建启用本地身份验证的服务器。 它确实会阻止在创建资源后启用本地身份验证。 考虑使用“纯 Microsoft Entra 身份验证”计划,而不是同时要求使用这两者。 有关详细信息,请访问:https://aka.ms/adonlycreate。 | Audit、Deny、Disabled | 1.0.0 |
Azure SQL 数据库应在创建期间启用纯 Microsoft Entra 身份验证 | 要求使用纯 Microsoft Entra 身份验证创建 Azure SQL 逻辑服务器。 此策略不会阻止在创建资源后重新启用本地身份验证。 考虑使用“纯 Microsoft Entra 身份验证”计划,而不是同时要求使用这两者。 有关详细信息,请访问:https://aka.ms/adonlycreate。 | Audit、Deny、Disabled | 1.2.0 |
Azure SQL 托管实例应启用仅 Microsoft Entra 身份验证 | 要求 Azure SQL 托管实例使用纯 Microsoft Entra 身份验证。 此策略不会阻止创建启用本地身份验证的 Azure SQL 托管实例。 它确实会阻止在创建资源后启用本地身份验证。 考虑使用“纯 Microsoft Entra 身份验证”计划,而不是同时要求使用这两者。 有关详细信息,请访问:https://aka.ms/adonlycreate。 | Audit、Deny、Disabled | 1.0.0 |
Azure SQL 托管实例应禁用公用网络访问 | 禁用 Azure SQL 托管实例上的公用网络访问(公共终结点)可确保只能从其虚拟网络内部或专用终结点访问它们,从而提高安全性。 若要了解有关公共网络访问的详细信息,请访问 https://aka.ms/mi-public-endpoint。 | Audit、Deny、Disabled | 1.0.0 |
Azure SQL 托管实例应在创建期间启用纯 Microsoft Entra 身份验证 | 要求使用纯 Microsoft Entra 身份验证创建 Azure SQL 托管实例。 此策略不会阻止在创建资源后重新启用本地身份验证。 考虑使用“纯 Microsoft Entra 身份验证”计划,而不是同时要求使用这两者。 有关详细信息,请访问:https://aka.ms/adonlycreate。 | Audit、Deny、Disabled | 1.2.0 |
在 Azure Database for MariaDB 服务器上将高级威胁防护配置为“启用” | 在非基本层 Azure Database for MariaDB 服务器上启用高级威胁防护,以检测异常活动,包括对数据库进行的不寻常的和可能有害的访问或攻击尝试。 | DeployIfNotExists、Disabled | 1.2.0 |
配置要在 Azure Database for MySQL 服务器上启用的高级威胁防护 | 在非基本层 Azure Database for MySQL 服务器上启用高级威胁防护,以检测异常活动,包括对数据库进行的不寻常的和可能有害的访问或攻击尝试。 | DeployIfNotExists、Disabled | 1.2.0 |
在 Azure Database for PostgreSQL 服务器上将高级威胁防护配置为“启用” | 在非基本层 Azure Database for PostgreSQL 服务器上启用高级威胁防护,以检测异常活动,包括对数据库进行的不寻常的和可能有害的访问或攻击尝试。 | DeployIfNotExists、Disabled | 1.2.0 |
将 Azure Defender 配置为在 SQL 托管实例上启用 | 在 Azure SQL 托管实例上启用 Azure Defender 可检测异常活动,此类活动表明数据库遭到了异常的访问或利用尝试并且可能会造成损害。 | DeployIfNotExists、Disabled | 2.0.0 |
将 Azure Defender 配置为在 SQL 服务器上启用 | 在 Azure SQL 服务器上启用 Azure Defender 可检测异常活动,此类活动表明数据库遭到了异常的访问或利用尝试并且可能会造成损害。 | DeployIfNotExists | 2.1.0 |
对 Log Analytics 工作区配置 Azure SQL 数据库服务器诊断设置 | 为 Azure SQL 数据库服务器启用审核日志,并在创建或更新缺少此审核的任何 SQL 服务器时,将日志流式传输到 Log Analytics 工作区 | DeployIfNotExists、Disabled | 1.0.2 |
将 Azure SQL Server 配置为禁用公用网络访问 | “禁用公用网络访问”属性会关闭公共连接,这样就只能从专用终结点访问 Azure SQL Server。 此配置会禁止通过公用网络访问 Azure SQL Server 下的所有数据库。 | 修改,已禁用 | 1.0.0 |
将 Azure SQL Server 配置为启用专用终结点连接 | 使用专用终结点连接,可以通过虚拟网络中的专用 IP 地址与 Azure SQL 数据库建立专用连接。 此配置可改善安全态势,并且支持 Azure 网络工具和方案。 | DeployIfNotExists、Disabled | 1.0.0 |
将 SQL 服务器配置为启用审核 | 为了确保捕获针对 SQL 资产执行的操作,SQL 服务器应该启用审核。 为了符合监管标准,有时需要这样做。 | DeployIfNotExists、Disabled | 3.0.0 |
将 SQL Server 配置为对 Log Analytics 工作区启用审核 | 为了确保捕获针对 SQL 资产执行的操作,SQL 服务器应该启用审核。 如果未启用审核,此策略会将审核事件配置为流向指定的 Log Analytics 工作区。 | DeployIfNotExists、Disabled | 1.0.0 |
应为 PostgreSQL 数据库服务器启用连接限制 | 此策略帮助审核环境中任何未启用连接限制的 PostgreSQL 数据库。 无效密码登录失败次数过多时,可以使用此设置来按 IP 限制临时连接。 | AuditIfNotExists、Disabled | 1.0.0 |
部署 - 配置 SQL 数据库的诊断设置,以部署到 Log Analytics 工作区 | 为 SQL 数据库部署诊断设置,以便在创建或更新缺少此诊断设置的任何 SQL 数据库时,将资源日志流式传输到 Log Analytics 工作区。 | DeployIfNotExists、Disabled | 4.0.0 |
在 SQL 服务器上部署高级数据安全 | 此策略在 SQL 服务器上启用高级数据安全性。 这包括启用威胁检测和漏洞评估。 它自动在 SQL 服务器所在的同一区域和资源组中,创建一个带有“sqlva”前缀存储帐户用于存储扫描结果。 | DeployIfNotExists | 1.3.0 |
将 Azure SQL 数据库的诊断设置部署到事件中心 | 在创建或更新缺少 Azure SQL 数据库的诊断设置的 Azure SQL 数据库时,将此诊断设置流式部署到区域事件中心。 | DeployIfNotExists | 1.2.0 |
部署 SQL DB 透明数据加密 | 在 SQL 数据库上启用透明数据加密 | DeployIfNotExists、Disabled | 2.2.0 |
应为 PostgreSQL 数据库服务器记录断开连接 | 此策略帮助审核环境中任何未启用 log_disconnections 的 PostgreSQL 数据库。 | AuditIfNotExists、Disabled | 1.0.0 |
应为 MySQL 数据库服务器启用“强制 SSL 连接” | Azure Database for MySQL 支持使用安全套接字层 (SSL) 将 Azure Database for MySQL 服务器连接到客户端应用程序。 通过在数据库服务器与客户端应用程序之间强制实施 SSL 连接,可以加密服务器与应用程序之间的数据流,有助于防止“中间人”攻击。 此配置强制始终启用 SSL 以访问数据库服务器。 | Audit、Disabled | 1.0.1 |
应为 PostgreSQL 数据库服务器启用“强制 SSL 连接” | Azure Database for MySQL 支持使用安全套接字层 (SSL) 将 Azure Database for MySQL 服务器连接到客户端应用程序。 通过在数据库服务器与客户端应用程序之间强制实施 SSL 连接,可以加密服务器与应用程序之间的数据流,有助于防止“中间人”攻击。 此配置强制始终启用 SSL 以访问数据库服务器。 | Audit、Disabled | 1.0.1 |
应为 Azure Database for MariaDB 启用异地冗余备份 | 通过 Azure Database for MariaDB,你可以为数据库服务器选择冗余选项。 它可以设置为异地冗余备份存储,其中数据不仅存储在托管服务器的区域内,还可以复制到配对区域,以便在区域发生故障时提供恢复选项。 只能在服务器创建期间为备份配置异地冗余存储。 | Audit、Disabled | 1.0.1 |
应为 Azure Database for MySQL 启用异地冗余备份 | 通过 Azure Database for MySQL,你可以为数据库服务器选择冗余选项。 它可以设置为异地冗余备份存储,其中数据不仅存储在托管服务器的区域内,还可以复制到配对区域,以便在区域发生故障时提供恢复选项。 只能在服务器创建期间为备份配置异地冗余存储。 | Audit、Disabled | 1.0.1 |
应为 Azure Database for PostgreSQL 启用异地冗余备份 | 通过 Azure Database for PostgreSQL,你可以为数据库服务器选择冗余选项。 它可以设置为异地冗余备份存储,其中数据不仅存储在托管服务器的区域内,还可以复制到配对区域,以便在区域发生故障时提供恢复选项。 只能在服务器创建期间为备份配置异地冗余存储。 | Audit、Disabled | 1.0.1 |
应为 Azure Database for MySQL 服务器启用基础结构加密 | 为 Azure Database for MySQL 服务器启用基础结构加密,以便增强数据安全。 启用基础结构加密后,将使用符合 FIPS 140-2 的 Microsoft 托管密钥对静态数据进行两次加密。 | Audit、Deny、Disabled | 1.0.0 |
应为 Azure Database for PostgreSQL 服务器启用基础结构加密 | 为 Azure Database for PostgreSQL 服务器启用基础结构加密,以便增强数据安全。 启用基础结构加密后,将使用符合 FIPS 140-2 的 Microsoft 托管密钥对静态数据进行两次加密 | Audit、Deny、Disabled | 1.0.0 |
应为 PostgreSQL 数据库服务器启用“记录检查点” | 此策略帮助审核环境中任何未启用 log_checkpoints 设置的 PostgreSQL 数据库。 | AuditIfNotExists、Disabled | 1.0.0 |
应为 PostgreSQL 数据库服务器启用“记录连接” | 此策略帮助审核环境中任何未启用 log_connections 设置的 PostgreSQL 数据库。 | AuditIfNotExists、Disabled | 1.0.0 |
应为 PostgreSQL 数据库服务器启用“记录持续时间” | 此策略帮助审核环境中任何未启用 log_duration 设置的 PostgreSQL 数据库。 | AuditIfNotExists、Disabled | 1.0.0 |
应为 Azure SQL 数据库启用长期异地冗余备份 | 此策略将审核未启用长期异地冗余备份的任何 Azure SQL 数据库。 | AuditIfNotExists、Disabled | 2.0.0 |
MariaDB 服务器应使用虚拟网络服务终结点 | 基于虚拟网络的防火墙规则用于支持从特定子网到 Azure Database for MariaDB 的流量,同时确保流量停留在 Azure 边界内。 此策略提供了一种方法来审核 Azure Database for MariaDB 是否正在使用虚拟网络服务终结点。 | AuditIfNotExists、Disabled | 1.0.2 |
MySQL 服务器应使用虚拟网络服务终结点 | 基于虚拟网络的防火墙规则用于支持从特定子网到 Azure Database for MySQL 的流量,同时确保流量停留在 Azure 边界内。 此策略提供了一种方法来审核 Azure Database for MySQL 是否正在使用虚拟网络服务终结点。 | AuditIfNotExists、Disabled | 1.0.2 |
MySQL 服务器应使用客户管理的密钥进行静态数据加密 | 使用客户管理的密钥来管理 MySQL 服务器的静态加密。 默认情况下,使用服务管理的密钥对数据进行静态加密,但为了满足法规符合性标准,通常需要使用客户管理的密钥。 客户管理的密钥允许使用由你创建并拥有的 Azure Key Vault 密钥对数据进行加密。 你可以完全控制并负责关键生命周期,包括轮换和管理。 | AuditIfNotExists、Disabled | 1.0.4 |
PostgreSQL 服务器应使用虚拟网络服务终结点 | 基于虚拟网络的防火墙规则用于支持从特定子网到 Azure Database for PostgreSQL 的流量,同时确保流量停留在 Azure 边界内。 此策略提供了一种方法来审核 Azure Database for PostgreSQL 是否正在使用虚拟网络服务终结点。 | AuditIfNotExists、Disabled | 1.0.2 |
PostgreSQL 服务器应使用客户管理的密钥进行静态数据加密 | 使用客户管理的密钥来管理 PostgreSQL 服务器的静态加密。 默认情况下,使用服务管理的密钥对数据进行静态加密,但为了满足法规符合性标准,通常需要使用客户管理的密钥。 客户管理的密钥允许使用由你创建并拥有的 Azure Key Vault 密钥对数据进行加密。 你可以完全控制并负责关键生命周期,包括轮换和管理。 | AuditIfNotExists、Disabled | 1.0.4 |
应启用 Azure SQL 数据库上的专用终结点连接 | 专用终结点连接通过启用到 Azure SQL 数据库的专用连接来加强安全通信。 | Audit、Disabled | 1.1.0 |
应为 MariaDB 服务器启用专用终结点 | 专用终结点连接通过启用到 Azure Database for MariaDB 的专用连接来加强安全通信。 配置专用终结点连接,以启用对仅来自已知网络的流量的访问,并防止访问所有其他 IP 地址,包括 Azure 内的地址。 | AuditIfNotExists、Disabled | 1.0.2 |
应为 MySQL 服务器启用专用终结点 | 专用终结点连接通过启用到 Azure Database for MySQL 的专用连接来加强安全通信。 配置专用终结点连接,以启用对仅来自已知网络的流量的访问,并防止访问所有其他 IP 地址,包括 Azure 内的地址。 | AuditIfNotExists、Disabled | 1.0.2 |
应为 PostgreSQL 服务器启用专用终结点 | 专用终结点连接通过启用到 Azure Database for PostgreSQL 的专用连接来加强安全通信。 配置专用终结点连接,以启用对仅来自已知网络的流量的访问,并防止访问所有其他 IP 地址,包括 Azure 内的地址。 | AuditIfNotExists、Disabled | 1.0.2 |
应禁用 Azure SQL 数据库上的公用网络访问 | 禁用公用网络访问属性可确保只能从专用终结点访问 Azure SQL 数据库,从而提高安全性。 此配置拒绝所有符合基于 IP 或虚拟网络的防火墙规则的登录。 | Audit、Deny、Disabled | 1.1.0 |
应为 MariaDB 服务器禁用公用网络访问 | 禁用公用网络访问属性以提高安全性,并确保只能从专用终结点访问 Azure Database for MariaDB。 此配置严格禁止访问 Azure IP 范围之外的任何公共地址空间,并拒绝与 IP 或基于虚拟网络的防火墙规则匹配的所有登录。 | Audit、Deny、Disabled | 2.0.0 |
应为 MySQL 灵活服务器禁用公用网络访问 | 禁用公用网络访问属性可确保只能从专用终结点访问 Azure Database for MySQL 灵活服务器,从而提高安全性。 此配置严格禁止访问 Azure IP 范围之外的任何公共地址空间,并拒绝与 IP 或基于虚拟网络的防火墙规则匹配的所有登录。 | Audit、Deny、Disabled | 2.1.0 |
应为 MySQL 服务器禁用公用网络访问 | 禁用公用网络访问属性以提高安全性,并确保只能从专用终结点访问 Azure Database for MySQL。 此配置严格禁止访问 Azure IP 范围之外的任何公共地址空间,并拒绝与 IP 或基于虚拟网络的防火墙规则匹配的所有登录。 | Audit、Deny、Disabled | 2.0.0 |
应为 PostgreSQL 灵活服务器禁用公用网络访问 | 禁用公用网络访问属性可确保只能从专用终结点访问 Azure Database for PostgreSQL 灵活服务器,从而提高安全性。 此配置严格禁止访问 Azure IP 范围之外的任何公共地址空间,并拒绝与基于 IP 的防火墙规则匹配的所有登录。 | Audit、Deny、Disabled | 3.1.0 |
应为 PostgreSQL 服务器禁用公用网络访问 | 禁用公用网络访问属性以提高安全性,并确保只能从专用终结点访问 Azure Database for PostgreSQL。 此配置禁止访问 Azure IP 范围之外的任何公共地址空间,并拒绝与 IP 或基于虚拟网络的防火墙规则匹配的所有登录。 | Audit、Deny、Disabled | 2.0.1 |
SQL 审核设置中应包含配置为捕获关键活动的操作组 | AuditActionsAndGroups 属性应至少包含 SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP FAILED_DATABASE_AUTHENTICATION_GROUP、BATCH_COMPLETED_GROUP 以确保全面审核日志记录 | AuditIfNotExists、Disabled | 1.0.0 |
SQL 数据库应避免使用 GRS 备份冗余 | 如果数据驻留规则要求数据驻留在特定区域内,那么数据库应避免使用默认异地冗余存储进行备份。 注意:使用 T-SQL 创建数据库时,不会强制实施 Azure Policy。 如果未显式指定,则通过 T-SQL 创建具有异地冗余备份存储的数据库。 | 拒绝、已禁用 | 2.0.0 |
SQL 托管实例的最低 TLS 版本应为 1.2 | 将最低 TLS 版本设置为 1.2 可以确保只能从使用 TLS 1.2 的客户端访问 SQL 托管实例,从而提高安全性。 不建议使用低于 1.2 的 TLS 版本,因为它们存在有据可查的安全漏洞。 | Audit、Disabled | 1.0.1 |
SQL 托管实例应避免使用 GRS 备份冗余 | 如果数据驻留规则要求数据驻留在特定区域内,那么托管实例应避免使用默认异地冗余存储进行备份。 注意:使用 T-SQL 创建数据库时,不会强制实施 Azure Policy。 如果未显式指定,则通过 T-SQL 创建具有异地冗余备份存储的数据库。 | 拒绝、已禁用 | 2.0.0 |
SQL 托管实例应使用客户管理的密钥进行静态数据加密 | 使用你自己的密钥实现透明数据加密 (TDE) 可增加透明度和对 TDE 保护器的控制,增强由 HSM 提供支持的外部服务的安全性,并促进职责划分。 此建议适用于具有相关合规性要求的组织。 | Audit、Deny、Disabled | 2.0.0 |
SQL Server 应使用客户管理的密钥进行静态数据加密 | 使用你自己的密钥实现透明数据加密 (TDE) 可增加透明度和对 TDE 保护器的控制,增强由 HSM 提供支持的外部服务的安全性,并促进职责划分。 此建议适用于具有相关合规性要求的组织。 | Audit、Deny、Disabled | 2.0.1 |
对存储帐户目标进行审核的 SQL Server 应配置至少 90 天的保留期 | 为便于调查事件,建议将 SQL Server 审核数据在存储帐户目标中的数据保留期设置为至少 90 天。 确认你遵守所运营区域的必要保留规则。 为了符合监管标准,有时需要这样做。 | AuditIfNotExists、Disabled | 3.0.0 |
应在 SQL 数据库上启用透明数据加密 | 应启用透明数据加密以保护静态数据并满足符合性要求 | AuditIfNotExists、Disabled | 2.0.0 |
应启用 Azure SQL 数据库上的虚拟网络防火墙规则,以允许来自指定子网的流量 | 基于虚拟网络的防火墙规则用于支持从特定子网到 Azure SQL 数据库的流量,同时确保流量停留在 Azure 边界内。 | AuditIfNotExists | 1.0.0 |
应在 SQL 托管实例上启用漏洞评估 | 审核未启用定期漏洞评估扫描的每个 SQL 托管实例。 漏洞评估可发现、跟踪和帮助你修正潜在数据库漏洞。 | AuditIfNotExists、Disabled | 1.0.1 |
应对 SQL 服务器启用漏洞评估 | 审核未正确配置漏洞评估的 Azure SQL 服务器。 漏洞评估可发现、跟踪和帮助你修正潜在数据库漏洞。 | AuditIfNotExists、Disabled | 3.0.0 |
SQL 托管实例
名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
---|---|---|---|
客户管理的密钥加密必须用作 Arc SQL 托管实例的 CMK 加密的一部分。 | 作为 CMK 加密的一部分,必须使用客户管理的密钥加密。 更多信息请访问 https://aka.ms/EnableTDEArcSQLMI。 | Audit、Disabled | 1.0.0 |
TLS 协议 1.2 必须用于 Arc SQL 托管实例。 | 作为网络设置的一部分,Microsoft 建议在 SQL Server 中使用 TLS 协议时仅允许使用 TLS 1.2。 若要详细了解 SQL Server 的网络设置,请参阅 https://aka.ms/TlsSettingsSQLServer。 | Audit、Disabled | 1.0.0 |
必须为 Arc SQL 托管实例启用透明数据加密。 | 在启用了 Azure Arc 的 SQL 托管实例上启用静态透明数据加密 (TDE)。 更多信息请访问 https://aka.ms/EnableTDEArcSQLMI。 | Audit、Disabled | 1.0.0 |
SQL Server
名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
---|---|---|---|
[预览]: 为 SQL 虚拟机启用系统分配的标识 | 大规模对 SQL 虚拟机启用系统分配的标识。 需要在订阅级别分配此策略。 在资源组级别分配将无法按预期工作。 | DeployIfNotExists、Disabled | 1.0.0-preview |
将安装了 SQL Server 扩展的已启用 Arc 的服务器配置为启用或禁用 SQL 最佳做法评估。 | 在已启用 Arc 的服务器上的 SQL Server 实例中启用或禁用 SQL 最佳做法评估,以评估最佳做法。 更多信息请访问 https://aka.ms/azureArcBestPracticesAssessment。 | DeployIfNotExists、Disabled | 1.0.1 |
为符合条件的已启用 Arc 的 SQL Server 实例订阅扩展安全更新。 | 为符合条件的已启用 Arc 并将“许可证类型”设置为“付费”或“PAYG”的 SQL Server 实例订阅扩展安全更新。 有关扩展安全更新 https://go.microsoft.com/fwlink/?linkid=2239401 的详细信息。 | DeployIfNotExists、Disabled | 1.0.0 |
Stack HCI
名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
---|---|---|---|
[预览版]:Azure Stack HCI 服务器应一致地强制实施应用程序控制策略 | 至少在所有 Azure Stack HCI 服务器上以强制模式应用 Microsoft WDAC 基本策略。 应用的 Windows Defender 应用程序控制 (WDAC) 策略必须在同一群集中的服务器之间保持一致。 | Audit、Disabled、AuditIfNotExists | 1.0.0-preview |
[预览版]:Azure Stack HCI 服务器应满足安全核心要求 | 确保所有 Azure Stack HCI 服务器都满足安全核心要求。 若要启用安全核心服务器要求:1。 在 Azure Stack HCI 群集页中,转到 Windows Admin Center 并选择“连接”。 2. 转到“安全扩展插件”并选择“安全核心”。 3. 选择未启用的任何设置,然后单击“启用”。 | Audit、Disabled、AuditIfNotExists | 1.0.0-preview |
[预览版]:Azure Stack HCI 系统应具有加密卷 | 使用 BitLocker 加密 Azure Stack HCI 系统上的 OS 和数据卷。 | Audit、Disabled、AuditIfNotExists | 1.0.0-preview |
[预览版]:主机和 VM 网络应在 Azure Stack HCI 系统上受保护 | 保护 Azure Stack HCI 主机网络和虚拟机网络连接上的数据。 | Audit、Disabled、AuditIfNotExists | 1.0.0-preview |
存储
名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
---|---|---|---|
[预览]:应禁止存储帐户公共访问 | 对 Azure 存储中的容器和 blob 进行匿名公共读取访问虽然是共享数据的一种简便方法,但可能会带来安全风险。 为了防止不希望的匿名访问导致数据泄露,Microsoft 建议禁止对存储帐户的公共访问,除非你的方案需要。 | audit、Audit、deny、Deny、disabled、Disabled | 3.1.0-preview |
Azure 文件同步应使用专用链接 | 为指定的存储同步服务资源创建专用终结点,可以从组织网络的专用 IP 地址空间中寻址存储同步服务资源,而不是通过可通过 Internet 访问的公共终结点。 单独创建专用终结点并不会禁用公共终结点。 | AuditIfNotExists、Disabled | 1.0.0 |
Azure NetApp 文件 SMB 卷应使用 SMB3 加密 | 禁止在没有 SMB3 加密的情况下创建 SMB 卷,以确保数据完整性和数据隐私。 | Audit、Deny、Disabled | 1.0.0 |
NFSv4.1 类型的 Azure NetApp 文件卷应使用 Kerberos 数据加密 | 只允许使用 Kerberos 隐私 (5p) 安全模式,以确保数据被加密。 | Audit、Deny、Disabled | 1.0.0 |
NFSv4.1 类型的 Azure NetApp 文件卷应使用 Kerberos 数据完整性或数据加密 | 确保至少选择了 Kerberos 完整性(krb5i)或 Kerberos 隐私(krb5p),以确保数据完整性和数据隐私。 | Audit、Deny、Disabled | 1.0.0 |
Azure NetApp 文件卷不得使用 NFSv3 协议类型 | 不允许使用 NFSv3 协议类型来防止对卷进行不安全的访问。 应使用带有 Kerberos 协议的 NFSv4.1 来访问 NFS 卷,以确保数据完整性和加密。 | Audit、Deny、Disabled | 1.0.0 |
为 Blob groupID 配置专用 DNS 区域 ID | 配置专用 DNS 区域组以替代 Blob groupID 专用终结点的 DNS 解析。 | DeployIfNotExists、Disabled | 1.0.0 |
为 blob_secondary groupID 配置专用 DNS 区域 ID | 配置专用 DNS 区域组以替代 blob_secondary groupID 专用终结点的 DNS 解析。 | DeployIfNotExists、Disabled | 1.0.0 |
为 dfs groupID 配置专用 DNS 区域 ID | 配置专用 DNS 区域组以替代 dfs groupID 专用终结点的 DNS 解析。 | DeployIfNotExists、Disabled | 1.0.0 |
为 dfs_secondary groupID 配置专用 DNS 区域 ID | 配置专用 DNS 区域组以替代 dfs_secondary groupID 专用终结点的 DNS 解析。 | DeployIfNotExists、Disabled | 1.0.0 |
为文件 groupID 配置专用 DNS 区域 ID | 配置专用 DNS 区域组以替代文件 groupID 专用终结点的 DNS 解析。 | DeployIfNotExists、Disabled | 1.0.0 |
为队列 groupID 配置专用 DNS 区域 ID | 配置专用 DNS 区域组以替代队列 groupID 专用终结点的 DNS 解析。 | DeployIfNotExists、Disabled | 1.0.0 |
为 queue_secondary groupID 配置专用 DNS 区域 ID | 配置专用 DNS 区域组以替代 queue_secondary groupID 专用终结点的 DNS 解析。 | DeployIfNotExists、Disabled | 1.0.0 |
为表 groupID 配置专用 DNS 区域 ID | 配置专用 DNS 区域组以替代表 groupID 专用终结点的 DNS 解析。 | DeployIfNotExists、Disabled | 1.0.0 |
为 table_secondary groupID 配置专用 DNS 区域 ID | 配置专用 DNS 区域组以替代 table_secondary groupID 专用终结点的 DNS 解析。 | DeployIfNotExists、Disabled | 1.0.0 |
为 Web groupID 配置专用 DNS 区域 ID | 配置专用 DNS 区域组以替代 Web groupID 专用终结点的 DNS 解析。 | DeployIfNotExists、Disabled | 1.0.0 |
为 web_secondary groupID 配置专用 DNS 区域 ID | 配置专用 DNS 区域组以替代 web_secondary groupID 专用终结点的 DNS 解析。 | DeployIfNotExists、Disabled | 1.0.0 |
将 Azure 文件同步配置为使用专用 DNS 区域 | 若要从已注册的服务器访问存储同步服务资源接口的专用终结点,需要将 DNS 配置为将正确的名称解析为专用终结点的专用 IP 地址。 此策略将为存储同步服务专用终结点的接口创建必要的 Azure 专用 DNS 区域和 A 记录。 | DeployIfNotExists、Disabled | 1.1.0 |
为 Azure 文件同步配置专用终结点 | 为指示的存储同步服务资源部署专用终结点。 这样就可以从组织网络的专用 IP 地址空间内部(而不是通过可从 Internet 访问的公共终结点)对存储同步服务资源进行寻址。 存在一个或多个单独的专用终结点不会禁用公共终结点。 | DeployIfNotExists、Disabled | 1.0.0 |
为 Blob 服务配置诊断设置,以便流式传输到 Log Analytics 工作区 | 为 Blob 服务部署诊断设置,以便在创建或更新缺少此诊断设置的任何 Blob 服务时,将资源日志流式传输到 Log Analytics 工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 4.0.0 |
为文件服务配置诊断设置,以便流式传输到 Log Analytics 工作区 | 为文件服务部署诊断设置,以便在创建或更新缺少此诊断设置的任何文件服务时,将资源日志流式传输到 Log Analytics 工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 4.0.0 |
为队列服务配置诊断设置,以便流式传输到 Log Analytics 工作区 | 为队列服务部署诊断设置,以便在创建或更新缺少此诊断设置的任何队列服务时,将资源日志流式传输到 Log Analytics 工作区。 注意:创建存储帐户时不会触发此策略,需要创建修正任务才能针对帐户进行更新。 | DeployIfNotExists、AuditIfNotExists、Disabled | 4.0.1 |
为存储帐户配置诊断设置,以便流式传输到 Log Analytics 工作区 | 为存储帐户部署诊断设置,以便在创建或更新缺少此诊断设置的任何存储帐户时,将资源日志流式传输到 Log Analytics 工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 4.0.0 |
为表服务配置诊断设置,以便流式传输到 Log Analytics 工作区 | 为表服务部署诊断设置,以便在创建或更新缺少此诊断设置的表服务时,将资源日志流式传输到 Log Analytics 工作区。 注意:创建存储帐户时不会触发此策略,需要创建修正任务才能针对帐户进行更新。 | DeployIfNotExists、AuditIfNotExists、Disabled | 4.0.1 |
在存储帐户上配置数据的安全传输 | 安全传输选项会强制存储帐户仅接受来自安全连接 (HTTPS) 的请求。 使用 HTTPS 可确保服务器和服务之间的身份验证并保护传输中的数据免受中间人攻击、窃听和会话劫持等网络层攻击 | 修改,已禁用 | 1.0.0 |
将存储帐户配置为使用专用链接连接 | 专用终结点可在源或目标位置没有公共 IP 地址的情况下将虚拟网络连接到 Azure 服务。 将专用终结点映射到存储帐户可以降低数据泄露风险。 有关专用链接的详细信息,请访问 https://aka.ms/azureprivatelinkoverview。 | DeployIfNotExists、Disabled | 1.0.0 |
将存储帐户配置为禁用公用网络访问 | 若要提高存储帐户的安全性,请确保它不会暴露到公共 Internet,并且只能从专用终结点访问。 如 https://aka.ms/storageaccountpublicnetworkaccess 中所述禁用公共网络访问属性。 此选项禁止访问 Azure IP 范围之外的任何公共地址空间,并拒绝与 IP 或基于虚拟网络的防火墙规则匹配的所有登录。 这样会降低数据泄露风险。 | 修改,已禁用 | 1.0.1 |
将存储帐户公共访问配置为不允许 | 对 Azure 存储中的容器和 blob 进行匿名公共读取访问虽然是共享数据的一种简便方法,但可能会带来安全风险。 为了防止不希望的匿名访问导致数据泄露,Microsoft 建议禁止对存储帐户的公共访问,除非你的方案需要。 | 修改,已禁用 | 1.0.0 |
配置存储帐户以启用 Blob 版本控制 | 可以启用 Blob 存储版本控制来自动维护对象的先前版本。 启用 blob 版本控制后,如果修改或删除了数据,可以访问 blob 的先前版本以恢复数据。 | Audit、Deny、Disabled | 1.0.0 |
在存储帐户上部署 Defender for Storage(经典) | 此策略在存储帐户上启用 Defender for Storage(经典)。 | DeployIfNotExists、Disabled | 1.0.1 |
应为存储帐户启用异地冗余存储 | 使用异地冗余创建高可用性应用程序 | Audit、Disabled | 1.0.0 |
HPC 缓存帐户应使用客户管理的密钥进行加密 | 使用客户管理的密钥来管理 Azure HPC 缓存的静态加密。 默认情况下,使用服务管理的密钥对客户数据进行加密,但为了满足法规符合性标准,通常需要使用客户管理的密钥。 客户管理的密钥允许使用由你创建并拥有的 Azure Key Vault 密钥对数据进行加密。 你可以完全控制并负责关键生命周期,包括轮换和管理。 | 审核、已禁用、拒绝 | 2.0.0 |
修改 - 将 Azure 文件同步配置为禁用公用网络访问 | 组织策略已禁用 Azure 文件同步的可通过 Internet 访问的公共终结点。 仍可以通过存储同步服务的专用终结点来访问该服务。 | 修改,已禁用 | 1.0.0 |
修改 - 配置存储帐户以启用 Blob 版本控制 | 可以启用 Blob 存储版本控制来自动维护对象的先前版本。 启用 blob 版本控制后,如果修改或删除了数据,可以访问 blob 的先前版本以恢复数据。 请注意,不会修改现有存储帐户来启用 Blob 存储版本控制。 只有新创建的存储帐户才会启用 Blob 存储版本控制 | 修改,已禁用 | 1.0.0 |
应禁用对 Azure 文件同步进行公用网络访问 | 禁用公共终结点可以仅限发往组织网络中已批准的专用终结点的请求能够访问存储同步服务资源。 允许向公共终结点发出请求不会固有地造成安全问题,但你可能出于满足法规、法律或组织政策要求的原因而希望禁用公共终结点。 可以通过将资源的 incomingTrafficPolicy 设置为 AllowVirtualNetworksOnly 来禁用存储同步服务的公共终结点。 | Audit、Deny、Disabled | 1.0.0 |
队列存储应使用客户管理的密钥进行加密 | 使用客户管理的密钥更灵活地保护队列存储。 指定客户托管密钥时,该密钥用于保护和控制对数据加密密钥的访问。 使用客户管理的密钥可提供附加功能来控制密钥加密密钥的轮换或以加密方式擦除数据。 | Audit、Deny、Disabled | 1.0.0 |
应启用安全传输到存储帐户 | 审核存储帐户中安全传输的要求。 安全传输选项会强制存储帐户仅接受来自安全连接 (HTTPS) 的请求。 使用 HTTPS 可确保服务器和服务之间的身份验证并保护传输中的数据免受中间人攻击、窃听和会话劫持等网络层攻击 | Audit、Deny、Disabled | 2.0.0 |
存储帐户加密范围应使用客户管理的密钥对静态数据进行加密 | 使用客户管理的密钥来管理存储帐户加密范围的静态加密。 客户管理的密钥允许使用由你创建并拥有的 Azure 密钥保管库密钥对数据进行加密。 你可以完全控制并负责关键生命周期,包括轮换和管理。 若要详细了解存储帐户加密范围,请访问 https://aka.ms/encryption-scopes-overview。 | Audit、Deny、Disabled | 1.0.0 |
存储帐户加密范围应对静态数据使用双重加密 | 为存储帐户加密范围的静态加密启用基础结构加密,以增加安全性。 基础结构加密可确保你的数据加密两次。 | Audit、Deny、Disabled | 1.0.0 |
存储帐户密钥不应过期 | 当设置密钥过期策略时,请确保用户存储帐户密钥未过期,以便在密钥过期时采取措施改进帐户密钥的安全性。 | Audit、Deny、Disabled | 3.0.0 |
存储帐户应允许从受信任的 Microsoft 服务进行访问 | 某些与存储帐户交互的 Microsoft 服务在网络上运行,但这些网络无法通过网络规则获得访问权限。 若要帮助此类服务按预期方式工作,请允许受信任的 Microsoft 服务集绕过网络规则。 这些服务随后会使用强身份验证访问存储帐户。 | Audit、Deny、Disabled | 1.0.0 |
存储帐户应受到允许的 SKU 的限制 | 限制组织可以部署的存储帐户 SKU 集。 | Audit、Deny、Disabled | 1.1.0 |
存储帐户应迁移到新的 Azure 资源管理器资源 | 使用新的 Azure 资源管理器为存储帐户提供安全增强功能,例如:更强大的访问控制 (RBAC)、更好的审核、基于 Azure 资源管理器的部署和监管、对托管标识的访问权限、访问密钥保管库以获取机密、基于 Azure AD 的身份验证以及对标记和资源组的支持,以简化安全管理 | Audit、Deny、Disabled | 1.0.0 |
存储帐户应禁用公用网络访问 | 若要提高存储帐户的安全性,请确保它不会暴露到公共 Internet,并且只能从专用终结点访问。 如 https://aka.ms/storageaccountpublicnetworkaccess 中所述禁用公共网络访问属性。 此选项禁止访问 Azure IP 范围之外的任何公共地址空间,并拒绝与 IP 或基于虚拟网络的防火墙规则匹配的所有登录。 这样会降低数据泄露风险。 | Audit、Deny、Disabled | 1.0.1 |
存储帐户应具有基础结构加密 | 启用基础结构加密,以便增强数据安全。 启用基础结构加密后,存储帐户中的数据将加密两次。 | Audit、Deny、Disabled | 1.0.0 |
应为存储帐户配置共享访问签名 (SAS) 策略 | 确保为存储帐户启用共享访问签名 (SAS) 过期策略。 用户使用 SAS 来委托对 Azure 存储帐户中的资源的访问权限。 当用户创建 SAS 令牌时,SAS 过期策略将建议过期时间上限。 | Audit、Deny、Disabled | 1.0.0 |
存储帐户应具有指定的最低 TLS 版本 | 为客户端应用程序和存储帐户之间的安全通信配置最低 TLS 版本。 为最大程度降低安全风险,建议的最低 TLS 版本为最新发布的版本,目前为 TLS 1.2。 | Audit、Deny、Disabled | 1.0.0 |
存储帐户应阻止跨租户对象复制 | 审核存储帐户的对象复制限制。 默认情况下,用户可以使用一个 Azure AD 租户中的源存储帐户和另一个租户中的目标帐户来配置对象复制。 这会造成安全隐患,因为客户的数据可以复制到该客户拥有的存储帐户中。 如果将 allowCrossTenantReplication 设置为 false,则仅当源帐户和目标帐户位于同一个 Azure AD 租户中时,才能配置对象复制。 | Audit、Deny、Disabled | 1.0.0 |
存储帐户应阻止共享密钥访问 | 审核 Azure Active Directory (Azure AD) 授予存储帐户请求权限的要求。 默认情况下,可以使用 Azure Active Directory 凭据对请求进行授权,或使用帐户访问密钥对其进行共享密钥授权。 在这两种类型的授权中,与共享密钥相比,Azure AD 提供更高级别的安全性和易用性,是 Microsoft 推荐的授权方法。 | Audit、Deny、Disabled | 2.0.0 |
应限制对存储帐户的网络访问 | 应限制对存储帐户的网络访问。 配置网络规则,以便只允许来自允许的网络的应用程序访问存储帐户。 若要允许来自特定 Internet 或本地客户端的连接,可以向来自特定 Azure 虚拟网络的流量或公共 Internet IP 地址范围授予访问权限 | Audit、Deny、Disabled | 1.1.1 |
存储帐户应使用虚拟网络规则来限制网络访问 | 使用虚拟网络规则作为首选方法(而不使用基于 IP 的筛选),保护存储帐户免受潜在威胁危害。 禁用基于 IP 的筛选可以阻止公共 IP 访问你的存储帐户。 | Audit、Deny、Disabled | 1.0.1 |
存储帐户应使用客户管理的密钥进行加密 | 使用客户管理的密钥更灵活地保护 blob 和文件存储帐户。 指定客户托管密钥时,该密钥用于保护和控制对数据加密密钥的访问。 使用客户管理的密钥可提供附加功能来控制密钥加密密钥的轮换或以加密方式擦除数据。 | Audit、Disabled | 1.0.3 |
存储帐户应使用专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 将专用终结点映射到存储帐户可以降低数据泄露风险。 有关专用链接的详细信息,请访问 https://aka.ms/azureprivatelinkoverview。 | AuditIfNotExists、Disabled | 2.0.0 |
表存储应使用客户管理的密钥进行加密 | 使用客户管理的密钥更灵活地保护表存储。 指定客户托管密钥时,该密钥用于保护和控制对数据加密密钥的访问。 使用客户管理的密钥可提供附加功能来控制密钥加密密钥的轮换或以加密方式擦除数据。 | Audit、Deny、Disabled | 1.0.0 |
流分析
名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
---|---|---|---|
Azure 流分析作业应使用客户管理的密钥来加密数据 | 当你想要将流分析作业的任何元数据和专用数据资产安全地存储在存储帐户中时,请使用客户管理的密钥。 这样就可以完全控制流分析数据的加密方式。 | audit、Audit、deny、Deny、disabled、Disabled | 1.1.0 |
应启用 Azure 流分析中的资源日志 | 对启用资源日志进行审核。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的 | AuditIfNotExists、Disabled | 5.0.0 |
流分析作业应连接到受信任的输入和输出 | 确保流分析作业不具有未在允许列表中定义的任意输入或输出连接。 这将检查流分析作业是否会通过连接到组织外部的任意接收器来外泄数据。 | 拒绝、已禁用、审核 | 1.1.0 |
流分析作业应使用托管标识对终结点进行身份验证 | 确保流分析作业仅使用托管标识身份验证连接到终结点。 | 拒绝、已禁用、审核 | 1.0.0 |
Synapse
名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
---|---|---|---|
应启用 Synapse 工作区上的审核 | 应启用 Synapse 工作区上的审核,以跟踪专用 SQL 池中所有数据库的数据库活动,并将它们保存在审核日志中。 | AuditIfNotExists、Disabled | 1.0.0 |
Azure Synapse Analytics 专用 SQL 池应启用加密 | 为 Azure Synapse Analytics 专用 SQL 池启用透明数据加密,以保护静态数据并满足合规性要求。 请注意,为池启用透明数据加密可能会影响查询性能。 有关更多详细信息,请参阅 https://go.microsoft.com/fwlink/?linkid=2147714 | AuditIfNotExists、Disabled | 1.0.0 |
Azure Synapse 工作区 SQL Server 应运行 TLS 版本 1.2 或更高版本 | 将 TLS 版本设置为 1.2 或更高版本,可以确保只能从使用 TLS 1.2 或更高版本的客户端访问 Azure Synapse 工作区 SQL server,从而提高安全性。 不建议使用低于 1.2 的 TLS 版本,因为它们存在有据可查的安全漏洞。 | Audit、Deny、Disabled | 1.1.0 |
Azure Synapse 工作区应该只允许传送到已批准目标的出站数据流量 | 通过只允许传送到已批准目标的出站数据流量来提升 Synapse 工作区的安全性。 此做法会在发送数据之前验证目标,有助于防止数据外泄。 | 审核、已禁用、拒绝 | 1.0.0 |
Azure Synapse 工作区应禁用公用网络访问 | 禁用公用网络访问可确保 Synapse 工作区不会在公共 Internet 上公开,从而提高安全性。 创建专用终结点可以限制 Synapse 工作区公开。 有关详细信息,请访问:https://docs.microsoft.com/azure/synapse-analytics/security/connectivity-settings。 | Audit、Deny、Disabled | 1.0.0 |
Azure Synapse 工作区应使用客户管理的密钥来加密静态数据 | 使用客户管理的密钥来控制对 Azure Synapse 工作区中存储的数据的静态加密。 客户管理的密钥提供双重加密,方法是在使用服务托管密钥完成的默认加密层上添加另一层加密。 | Audit、Deny、Disabled | 1.0.0 |
Azure Synapse 工作区应使用专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到 Azure Synapse 工作区,可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links。 | Audit、Disabled | 1.0.1 |
配置 Azure Synapse 工作区专用 SQL 最低 TLS 版本 | 对于新的 Synapse 工作区或现有的工作区,客户可以使用 API 提高或降低最低 TLS 版本。 因此,需要在工作区中使用较低客户端版本的用户可以连接,而具有安全要求的用户可以提高最低 TLS 版本。 有关详细信息,请访问:https://docs.microsoft.com/azure/synapse-analytics/security/connectivity-settings。 | 修改,已禁用 | 1.1.0 |
将 Azure Synapse 工作区配置为禁用公用网络访问 | 禁用对 Synapse 工作区的公用网络访问,确保无法通过公共 Internet 对其进行访问。 这样可以减少数据泄露风险。 有关详细信息,请访问:https://docs.microsoft.com/azure/synapse-analytics/security/connectivity-settings。 | 修改,已禁用 | 1.0.0 |
将 Azure Synapse 工作区配置为使用专用 DNS 区域 | 使用专用 DNS 区域来替代专用终结点的 DNS 解析。 专用 DNS 区域会链接到虚拟网络,以解析到 Azure Synapse 工作区。 有关详细信息,请访问:https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-from-restricted-network#appendix-dns-registration-for-private-endpoint。 | DeployIfNotExists、Disabled | 2.0.0 |
为 Azure Synapse 工作区配置专用终结点 | 专用终结点可在源或目标位置没有公共 IP 地址的情况下将虚拟网络连接到 Azure 服务。 通过将专用终结点映射到 Azure Synapse 工作区,可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links。 | DeployIfNotExists、Disabled | 1.0.0 |
将 Synapse 工作区配置为启用审核 | 为了确保捕获针对 SQL 资产执行的操作,应让 Synapse 工作区启用审核。 为了符合监管标准,有时需要这样做。 | DeployIfNotExists、Disabled | 2.0.0 |
将 Synapse 工作区配置为对 Log Analytics 工作区启用审核 | 为了确保捕获针对 SQL 资产执行的操作,应让 Synapse 工作区启用审核。 如果未启用审核,此策略会将审核事件配置为流向指定的 Log Analytics 工作区。 | DeployIfNotExists、Disabled | 1.0.0 |
将 Synapse 工作区配置为仅使用 Microsoft Entra 标识进行身份验证 | 要求并重新配置 Synapse 工作区使用纯 Microsoft Entra 身份验证。 此策略不会阻止创建启用本地身份验证的工作区。 它会阻止启用本地身份验证,并在创建资源后重新启用纯 Microsoft Entra 身份验证。 考虑使用“纯 Microsoft Entra 身份验证”计划,而不是同时要求使用这两者。 有关详细信息,请访问:https://aka.ms/Synapse。 | 修改,已禁用 | 1.0.0 |
配置 Synapse 工作区在工作区创建期间仅使用 Microsoft Entra 标识进行身份验证 | 要求并重新配置使用纯 Microsoft Entra 身份验证创建 Synapse 工作区。 此策略不会阻止在创建资源后重新启用本地身份验证。 考虑使用“纯 Microsoft Entra 身份验证”计划,而不是同时要求使用这两者。 有关详细信息,请访问:https://aka.ms/Synapse。 | 修改,已禁用 | 1.2.0 |
应删除 Azure Synapse 工作区上的 IP 防火墙规则 | 删除所有 IP 防火墙规则可确保只能从专用终结点访问 Azure Synapse 工作区,从而提高安全性。 此配置会对创建允许公用网络访问工作区的防火墙规则进行审核。 | Audit、Disabled | 1.0.0 |
应启用 Azure Synapse 工作区上的托管工作区虚拟网络 | 启用托管工作区虚拟网络可确保你的工作区网络与其他工作区隔离。 在此虚拟网络中部署的数据集成和 Spark 资源还为 Spark 活动提供了用户级隔离。 | Audit、Deny、Disabled | 1.0.0 |
Synapse 托管专用终结点应仅连接到已批准的 Azure Active Directory 租户中的资源 | 仅允许连接到已批准的 Azure Active Directory (Azure AD) 租户中的资源,以保护 Synapse 工作区。 可以在策略分配过程中定义已批准的 Azure AD 租户。 | 审核、已禁用、拒绝 | 1.0.0 |
Synapse 工作区审核设置应配置操作组来捕获关键活动 | 为了确保审核日志尽可能全面,应让 AuditActionsAndGroups 属性包含所有相关的组。 建议至少添加 SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP、FAILED_DATABASE_AUTHENTICATION_GROUP 和 BATCH_COMPLETED_GROUP。 为了符合监管标准,有时需要这样做。 | AuditIfNotExists、Disabled | 1.0.0 |
Synapse 工作区应该启用纯 Microsoft Entra 身份验证 | 要求 Synapse 工作区使用纯 Microsoft Entra 身份验证。 此策略不会阻止创建启用本地身份验证的工作区。 它确实会阻止在创建资源后启用本地身份验证。 考虑使用“纯 Microsoft Entra 身份验证”计划,而不是同时要求使用这两者。 有关详细信息,请访问:https://aka.ms/Synapse。 | Audit、Deny、Disabled | 1.0.0 |
Synapse 工作区应在工作区创建期间仅使用 Microsoft Entra 标识进行身份验证 | 要求使用纯 Microsoft Entra 身份验证创建 Synapse 工作区。 此策略不会阻止在创建资源后重新启用本地身份验证。 考虑使用“纯 Microsoft Entra 身份验证”计划,而不是同时要求使用这两者。 有关详细信息,请访问:https://aka.ms/Synapse。 | Audit、Deny、Disabled | 1.2.0 |
对存储帐户目标进行 SQL 审核的 Synapse 工作区应配置有 90 天或更高的保留期 | 为便于调查事件,我们建议将对存储帐户目标进行 SQL 审核的 Synapse 工作区保留期设置为至少 90 天。 确认你遵守所运营区域的必要保留规则。 为了符合监管标准,有时需要这样做。 | AuditIfNotExists、Disabled | 2.0.0 |
应对 Synapse 工作区启用漏洞评估 | 通过在 Synapse 工作区上配置定期 SQL 漏洞评估扫描来发现、跟踪和修复潜在的漏洞。 | AuditIfNotExists、Disabled | 1.0.0 |
标记
名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
---|---|---|---|
将标记添加到资源组 | 创建或更新任何缺少此标记的资源组时添加指定的标记和值。 可以通过触发修正任务来修正现有资源组。 如果存在具有不同值的标记,则不会更改该资源组。 | modify | 1.0.0 |
将标记添加到资源 | 创建或更新任何缺少此标记的资源时添加指定的标记和值。 可以通过触发修正任务来修正现有资源。 如果存在具有不同值的标记,则不会更改该资源组。 而不会修改资源组上的标记。 | modify | 1.0.0 |
向订阅添加标记 | 通过修正任务将指定的标记和值添加到订阅。 如果存在具有不同值的标记,则不会更改该资源组。 有关策略修正的详细信息,请参阅 https://aka.ms/azurepolicyremediation。 | modify | 1.0.0 |
在资源组中添加或替换标记 | 创建或更新任何资源组时添加或替换指定的标记和值。 可以通过触发修正任务来修正现有资源组。 | modify | 1.0.0 |
在资源中添加或替换标记 | 创建或更新任何资源时添加或替换指定的标记和值。 可以通过触发修正任务来修正现有资源。 而不会修改资源组上的标记。 | modify | 1.0.0 |
在订阅上添加或替换标记 | 通过修正任务在订阅上添加或替换指定的标记和值。 可以通过触发修正任务来修正现有资源组。 有关策略修正的详细信息,请参阅 https://aka.ms/azurepolicyremediation。 | modify | 1.0.0 |
追加资源组的标记及其值 | 创建或更新任何缺少此标记的资源时,从资源组追加指定的标记及其值。 在更改这些资源之前,请不要修改应用此策略之前创建的资源的标记。 新的“modify”效果策略已可供使用,这些策略支持对现有资源中的标记进行修正(请参阅 https://aka.ms/modifydoc)。 | append | 1.0.0 |
将标记及其值追加到资源组 | 创建或更新任何缺少此标记的资源组时追加指定的标记和值。 在更改这些资源组之前,请不要修改应用此策略之前创建的资源组的标记。 新的“modify”效果策略已可供使用,这些策略支持对现有资源中的标记进行修正(请参阅 https://aka.ms/modifydoc)。 | append | 1.0.0 |
将标记及其值追加到资源 | 创建或更新任何缺少此标记的资源时追加指定的标记和值。 在更改这些资源之前,请不要修改应用此策略之前创建的资源的标记。 不要应用到资源组。 新的“modify”效果策略已可供使用,这些策略支持对现有资源中的标记进行修正(请参阅 https://aka.ms/modifydoc)。 | append | 1.0.1 |
从资源组继承标记 | 创建或更新任何资源时,添加或替换父资源组中指定的标记和值。 可以通过触发修正任务来修正现有资源。 | modify | 1.0.0 |
从资源组继承标记(如果缺少此标记) | 创建或更新任何缺少此标记的资源时,从父资源组添加指定的标记及其值。 可以通过触发修正任务来修正现有资源。 如果存在具有不同值的标记,则不会更改该资源组。 | modify | 1.0.0 |
从订阅继承标记 | 创建或更新任何资源时,添加或替换包含订阅中指定的标记和值。 可以通过触发修正任务来修正现有资源。 | modify | 1.0.0 |
从订阅继承标记(如果缺少) | 创建或更新任何缺少此标记的资源时,从包含订阅添加指定的标记及其值。 可以通过触发修正任务来修正现有资源。 如果存在具有不同值的标记,则不会更改该资源组。 | modify | 1.0.0 |
需要资源组上的标记及其值 | 强制要求资源组中存在所需的标记及其值。 | deny | 1.0.0 |
需要资源上的标记及其值 | 强制执行所需的标记及其值。 不要应用到资源组。 | deny | 1.0.1 |
需要资源组上的标记 | 强制要求资源组中存在某个标记。 | deny | 1.0.0 |
需要资源上的标记 | 强制要求存在某个标记。 不要应用到资源组。 | deny | 1.0.1 |
受信任启动
名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
---|---|---|---|
磁盘和 OS 映像应支持 TrustedLaunch | TrustedLaunch 提高了需要 OS 磁盘和 OS 映像来支持它的虚拟机的安全性(第 2 代)。 要详细了解 TrustedLaunch,请访问 https://aka.ms/trustedlaunch | Audit、Disabled | 1.0.0 |
虚拟机应已启用 TrustedLaunch | 在虚拟机上启用 TrustedLaunch 以增强安全性,并使用支持 TrustedLaunch 的 VM SKU(第 2 代)。 要详细了解 TrustedLaunch,请访问 https://learn.microsoft.com/en-us/azure/virtual-machines/trusted-launch | Audit、Disabled | 1.0.0 |
VirtualEnclaves
名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
---|---|---|---|
配置存储帐户以仅通过网络 ACL 旁路配置来限制网络访问。 | 要提高存储帐户的安全性,请仅通过网络 ACL 旁路启用访问。 此策略应与专用终结点结合使用,以便访问存储帐户。 | 修改,已禁用 | 1.0.0 |
不允许创建允许列表之外的资源类型 | 此策略防止部署明确允许的类型之外的资源类型,以维护虚拟 enclave 中的安全性。 https://aka.ms/VirtualEnclaves | Audit、Deny、Disabled | 1.0.0 |
不允许创建指定的资源类型或特定提供程序下的类型 | 未经安全团队明确批准,不允许创建通过参数列表指定的资源提供程序和类型。 如果策略分配获得豁免,则可以在 enclave 内利用资源。 https://aka.ms/VirtualEnclaves | Audit、Deny、Disabled | 1.0.0 |
网络接口应连接到已批准虚拟网络的已批准子网 | 此策略阻止网络接口连接到未经批准的虚拟网络或子网。 https://aka.ms/VirtualEnclaves | Audit、Deny、Disabled | 1.0.0 |
存储帐户应仅通过网络 ACL 旁路配置来限制网络访问。 | 要提高存储帐户的安全性,请仅通过网络 ACL 旁路启用访问。 此策略应与专用终结点结合使用,以便访问存储帐户。 | Audit、Deny、Disabled | 1.0.0 |
VM 映像生成器
名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
---|---|---|---|
VM 映像生成器模板应使用专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 将专用终结点映射到 VM 映像生成器生成资源可以降低数据泄露的风险。 有关专用链接的详细信息,请访问:https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet。 | 审核、已禁用、拒绝 | 1.1.0 |
Web PubSub
名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
---|---|---|---|
Azure Web PubSub 服务应禁用公用网络访问 | 禁用公用网络访问可确保 Azure Web PubSub 服务不会在公共 Internet 上公开,从而提高安全性。 创建专用终结点可以限制 Azure Web PubSub 服务的公开。 有关详细信息,请访问:https://aka.ms/awps/networkacls。 | Audit、Deny、Disabled | 1.0.0 |
Azure Web PubSub 服务应启用诊断日志 | 审核是否已启用诊断日志。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的 | AuditIfNotExists、Disabled | 1.0.0 |
Azure Web PubSub Service 应禁用本地身份验证方法 | 禁用本地身份验证方法可确保 Azure Web PubSub Service 仅需要 Azure Active Directory 标识进行身份验证,从而提高安全性。 | Audit、Deny、Disabled | 1.0.0 |
Azure Web PubSub 服务应使用支持专用链接的 SKU | 使用受支持的 SKU 时,Azure 专用链接可让你在源或目标位置没有公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到 Azure Web PubSub 服务,可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://aka.ms/awps/privatelink。 | Audit、Deny、Disabled | 1.0.0 |
Azure Web PubSub 服务应使用专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 将专用终结点映射到 Azure Web PubSub 服务可以降低数据泄露的风险。 有关专用链接的详细信息,请访问:https://aka.ms/awps/privatelink。 | Audit、Disabled | 1.0.0 |
配置 Azure Web PubSub Service 以禁用本地身份验证 | 禁用本地身份验证方法,使 Azure Web PubSub Service 仅需要 Azure Active Directory 标识进行身份验证。 | 修改,已禁用 | 1.0.0 |
配置 Azure Web PubSub 服务以禁用公用网络访问 | 禁用对 Azure Web PubSub 资源的公用网络访问,确保无法通过公共 Internet 对其进行访问。 这样可以减少数据泄露风险。 有关详细信息,请访问:https://aka.ms/awps/networkacls。 | 修改,已禁用 | 1.0.0 |
将 Azure Web PubSub 服务配置为使用专用 DNS 区域 | 使用专用 DNS 区域来替代专用终结点的 DNS 解析。 专用 DNS 区域会链接到虚拟网络,以解析到 Azure Web PubSub 服务。 有关详细信息,请访问:https://aka.ms/awps/privatelink。 | DeployIfNotExists、Disabled | 1.0.0 |
使用专用终结点配置 Azure Web PubSub 服务 | 在没有公共 IP 地址的情况下,专用终结点可在源或目标位置将虚拟网络连接到 Azure 服务。 通过将专用终结点映射到 Azure Web PubSub 服务,可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://aka.ms/awps/privatelink。 | DeployIfNotExists、Disabled | 1.0.0 |
后续步骤
- 在 Azure Policy GitHub 存储库中查看这些内置项。
- 查看 Azure Policy 定义结构。
- 查看了解策略效果。