你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

Azure 虚拟网络的 Azure Policy 内置定义

此页是 Azure 虚拟网络的 Azure Policy 内置策略定义的索引。 有关其他服务的其他 Azure Policy 内置定义,请参阅 Azure Policy 内置定义

每个内置策略定义链接(指向 Azure 门户中的策略定义)的名称。 使用“版本”列中的链接查看 Azure Policy GitHub 存储库上的源。

Azure 虚拟网络

名称
(Azure 门户)
说明 效果 版本
(GitHub)
[预览]:所有 Internet 流量都应通过所部署的 Azure 防火墙进行路由 Azure 安全中心已确认,你的某些子网未使用下一代防火墙进行保护。 通过使用 Azure 防火墙或受支持的下一代防火墙限制对子网的访问,保护子网免受潜在威胁的危害 AuditIfNotExists、Disabled 3.0.0-preview
[预览版]:容器注册表应使用虚拟网络服务终结点 此策略审核任何未配置为使用虚拟网络服务终结点的容器注册表。 Audit、Disabled 1.0.0-preview
必须将自定义 IPsec/IKE 策略应用到所有 Azure 虚拟网络网关连接 此策略可确保所有 Azure 虚拟网络网关连接均使用自定义 Internet 协议安全 (Ipsec)/Internet 密钥交换 (IKE) 策略。 支持的算法和密钥强度 - https://aka.ms/AA62kb0 Audit、Disabled 1.0.0
所有流日志资源都应处于启用状态 审核流日志资源以验证是否启用了流日志状态。 启用流日志后,可记录有关 IP 流量流动的信息。 该功能可用于优化网络流、监视吞吐量、验证合规性、检测入侵情况等。 Audit、Disabled 1.0.1
应用服务应用应使用虚拟网络服务终结点 使用虚拟网络服务终结点限制从 Azure 虚拟网络中的所选子网访问应用。 若要详细了解应用服务的服务终结点,请访问 https://aka.ms/appservice-vnet-service-endpoint AuditIfNotExists、Disabled 2.0.1
审核每个虚拟网络的流日志配置 审核虚拟网络以验证是否配置了流日志。 启用流日志后,可记录流经虚拟网络的 IP 流量的相关信息。 该功能可用于优化网络流、监视吞吐量、验证合规性、检测入侵情况等。 Audit、Disabled 1.0.1
应使用 Azure WAF 部署 Azure 应用程序网关 要求使用 Azure WAF 来部署 Azure 应用程序网关资源。 Audit、Deny、Disabled 1.0.0
Azure 防火墙经典版规则应迁移到防火墙策略 从 Azure 防火墙经典版规则迁移到防火墙策略,以利用 Azure 防火墙管理器等中央管理工具。 Audit、Deny、Disabled 1.0.0
应启用 Azure 防火墙策略分析 启用策略分析可增强流量流经 Azure 防火墙的可见性,从而优化防火墙配置,而不会影响应用程序性能 Audit、Disabled 1.0.0
Azure 防火墙策略应启用威胁情报 可以为防火墙启用基于威胁智能的筛选,以提醒和拒绝来自/到达已知恶意 IP 地址和域的流量。 IP 地址和域源自 Microsoft 威胁智能源。 Audit、Deny、Disabled 1.0.0
Azure 防火墙策略应启用 DNS 代理 启用 DNS 代理将使与此策略关联的 Azure 防火墙侦听端口 53 并将 DNS 请求转发到指定的 DNS 服务器 Audit、Disabled 1.0.0
应将 Azure 防火墙部署为跨多个可用性区域 建议将 Azure 防火墙部署为跨越多个可用性区域以提高可用性。 这可确保 Azure 防火墙在发生区域故障时仍可用。 Audit、Deny、Disabled 1.0.0
Azure 防火墙标准版 - 经典版规则应启用威胁智能 可以为防火墙启用基于威胁智能的筛选,以提醒和拒绝来自/到达已知恶意 IP 地址和域的流量。 IP 地址和域源自 Microsoft 威胁智能源。 Audit、Deny、Disabled 1.0.0
Azure 防火墙标准版应升级到高级版,以获得新一代保护 如果要查找新一代保护(如 IDPS 和 TLS 检查),应考虑将 Azure 防火墙升级到高级版 SKU。 Audit、Deny、Disabled 1.0.0
Azure VPN 网关不应使用“基本”SKU 此策略可确保 VPN 网关不使用“基本”SKU。 Audit、Disabled 1.0.0
Azure 应用程序网关上的 Azure Web 应用程序防火墙应启用请求正文检查 确保与 Azure 应用程序网关关联的 Web 应用程序防火墙已启用请求正文检查。 这样,WAF 就能检查 HTTP 正文中可能无法在 HTTP 标头、Cookie 或 URI 中评估的属性。 Audit、Deny、Disabled 1.0.0
Azure Front Door 上的 Azure Web 应用程序防火墙应启用请求正文检查 确保与 Azure Front Door 关联的 Web 应用程序防火墙已启用请求正文检查。 这样,WAF 就能检查 HTTP 正文中可能无法在 HTTP 标头、Cookie 或 URI 中评估的属性。 Audit、Deny、Disabled 1.0.0
应为 Azure Front Door 入口点启用 Azure Web 应用程序防火墙 将 Azure Web 应用程序防火墙 (WAF) 部署在面向公众的 Web 应用程序的前面,以便对传入流量进行额外检查。 Web 应用程序防火墙 (WAF) 为 Web 应用程序提供集中保护,使其免受常见攻击和漏洞的侵害,例如 SQL 注入、跨站脚本以及本地和远程文件执行。 还可以通过自定义规则,按国家/地区、IP 地址范围和其他 http(s) 参数限制对 Web 应用程序的访问。 Audit、Deny、Disabled 1.0.2
应为 Azure 应用程序网关 WAF 启用机器人防护 此策略可确保在所有 Azure 应用程序网关 Web 应用程序防火墙 (WAF) 策略中启用机器人防护 Audit、Deny、Disabled 1.0.0
应为 Azure Front Door WAF 启用机器人防护 此策略可确保在所有 Azure Front Door Web 应用程序防火墙 (WAF) 策略中启用机器人防护 Audit、Deny、Disabled 1.0.0
将 Azure 网络安全组的诊断设置配置到 Log Analytics 工作区 部署 Azure 网络安全组的诊断设置,以将资源日志流式传输到 Log Analytics 工作区。 DeployIfNotExists、Disabled 1.0.0
配置网络安全组以启用流量分析 对于在特定区域中托管的所有网络安全组,可以使用策略创建期间提供的设置来启用流量分析。 如果已启用流量分析,则策略不会覆盖其设置。 对于没有流量日志的网络安全组,也会启用流量日志。 流量分析是一种基于云的解决方案,可用于洞察云网络中的用户和应用程序活动。 DeployIfNotExists、Disabled 1.2.0
将网络安全组配置为使用特定工作区、存储帐户和流日志保留策略进行流量分析 如果已启用流量分析,则策略将用创建策略期间提供的设置覆盖其现有设置。 流量分析是一种基于云的解决方案,可用于洞察云网络中的用户和应用程序活动。 DeployIfNotExists、Disabled 1.2.0
配置虚拟网络以启用流日志和流量分析 对于在特定区域中托管的所有虚拟网络,可以使用策略创建期间提供的设置来启用流量分析和流日志。 此策略不会覆盖已启用这些功能的虚拟网络的当前设置。 流量分析是一种基于云的解决方案,可用于洞察云网络中的用户和应用程序活动。 DeployIfNotExists、Disabled 1.1.1
配置虚拟网络以将特定工作区、存储帐户和保留间隔用于流日志和流量分析 如果虚拟网络已启用流量分析,则此策略将用创建策略期间提供的设置覆盖其现有设置。 流量分析是一种基于云的解决方案,可用于洞察云网络中的用户和应用程序活动。 DeployIfNotExists、Disabled 1.1.2
Cosmos DB 应使用虚拟网络服务终结点 此策略审核任何未配置为使用虚拟网络服务终结点的 Cosmos DB。 Audit、Disabled 1.0.0
使用目标网络安全组来部署流日志资源 配置特定网络安全组的流日志。 使用流日志,可以记录有关流经网络安全组的 IP 流量的信息。 流日志有助于识别未知或不需要的流量、验证网络隔离以及是否符合企业访问规则,并分析来自已被入侵的 IP 和网络接口的网络流量。 deployIfNotExists 1.1.0
使用目标虚拟网络来部署流日志资源 配置特定虚拟网络的流日志。 这样,可记录流经虚拟网络的 IP 流量的相关信息。 流日志有助于识别未知或不需要的流量、验证网络隔离以及是否符合企业访问规则,并分析来自已被入侵的 IP 和网络接口的网络流量。 DeployIfNotExists、Disabled 1.1.1
创建虚拟网络时部署网络观察程序 此策略在具有虚拟网络的区域中创建网络观察程序资源。 需确保存在名为 networkWatcherRG 的资源组,该资源组用于部署网络观察程序实例。 DeployIfNotExists 1.0.0
启用速率限制规则来防范 Azure Front Door WAF 上的 DDoS 攻击 Azure Front Door 的 Azure Web 应用程序防火墙 (WAF) 速率限制规则控制在速率限制期间允许从特定客户端 IP 地址发送到应用程序的请求数。 Audit、Deny、Disabled 1.0.0
事件中心应使用虚拟网络服务终结点 此策略审核任何未配置为使用虚拟网络服务终结点的事件中心。 AuditIfNotExists、Disabled 1.0.0
应为每个网络安全组配置流日志 审核网络安全组以验证是否配置了流日志。 启用流日志可以记录有关流经网络安全组的 IP 流量的信息。 该功能可用于优化网络流、监视吞吐量、验证合规性、检测入侵情况等。 Audit、Disabled 1.1.0
不应在网关子网中配置网络安全组 如果在网关子网中配置了网络安全组,则此策略会拒绝此配置。 将网络安全组分配到网关子网会导致网关停止运行。 deny 1.0.0
Key Vault 应使用虚拟网络服务终结点 此策略审核任何未配置为使用虚拟网络服务终结点的 Key Vault。 Audit、Disabled 1.0.0
将 WAF 从 WAF 配置迁移到应用程序网关上的 WAF 策略 如果你有 WAF 配置而非 WAF 策略,则可能需要移动到新的 WAF 策略。 之后,防火墙策略将支持 WAF 策略设置、托管规则集、排除项和禁用的规则组。 Audit、Deny、Disabled 1.0.0
网络接口应禁用 IP 转发 此策略拒绝启用了 IP 转发的网络接口。 IP 转发设置会禁止 Azure 在源和目标中检查网络接口。 网络安全团队应审查此设置。 deny 1.0.0
网络接口不应使用公共 IP 此策略拒绝配置了任何公共 IP 的网络接口。 公共 IP 地址允许 Internet 资源以入站方式与 Azure 资源通信,并允许 Azure 资源以出站方式与 Internet 通信。 网络安全团队应审查此设置。 deny 1.0.0
网络观察程序流日志应启用流量分析 流量分析可分析流日志,帮助洞察 Azure 云中的流量流。 它可用于直观显示 Azure 订阅中的网络活动,并确定热点、识别安全威胁、了解流量流模式、查明网络错误配置等。 Audit、Disabled 1.0.1
应启用网络观察程序 网络观察程序是一个区域性服务,可用于在网络方案级别监视和诊断 Azure 内部以及传入和传出 Azure 的流量的状态。 使用方案级别监视可以诊断端到端网络级别视图的问题。 需要在存在虚拟网络的每个区域中创建一个网络观察程序资源组。 如果网络观察程序资源组在特定区域中不可用,则会启用警报。 AuditIfNotExists、Disabled 3.0.0
公共 IP 和公共 IP 前缀应具有 FirstPartyUsage 标记 确保所有公共 IP 地址和公共 IP 前缀都有 FirstPartyUsage 标记。 Audit、Deny、Disabled 1.0.0
SQL Server 应使用虚拟网络服务终结点 此策略审核任何未配置为使用虚拟网络服务终结点的 SQL Server。 AuditIfNotExists、Disabled 1.0.0
存储帐户应使用虚拟网络服务终结点 此策略审核任何未配置为使用虚拟网络服务终结点的存储帐户。 Audit、Disabled 1.0.0
子网应该是专用的 通过阻止默认出站访问来确保子网在默认情况下是安全的。 有关详细信息,请转到 https://aka.ms/defaultoutboundaccessretirement Audit、Deny、Disabled 1.0.0
应使用 Azure 防火墙保护虚拟中心 将 Azure 防火墙部署到虚拟中心,以保护和精细控制 Internet 出口和入口流量。 Audit、Deny、Disabled 1.0.0
虚拟机应连接到已批准的虚拟网络 此策略审核任何已连接到未批准的虚拟网络的虚拟机。 Audit、Deny、Disabled 1.0.0
虚拟网络应受 Azure DDoS 防护保护 使用 Azure DDoS 防护来保护虚拟网络免受容量耗尽攻击和协议攻击。 有关详细信息,请访问 https://aka.ms/ddosprotectiondocs Modify、Audit、Disabled 1.0.1
虚拟网络应使用指定的虚拟网络网关 如果默认路由未指向指定的虚拟网络网关,则此策略会审核任何虚拟网络。 AuditIfNotExists、Disabled 1.0.0
VPN 网关应仅对点到站点用户使用 Azure Active Directory (Azure AD) 身份验证 禁用本地身份验证方法可确保 VPN 网关仅使用 Azure Active Directory 标识进行身份验证,从而提高安全性。 在 https://docs.microsoft.com/azure/vpn-gateway/openvpn-azure-ad-tenant 详细了解 Azure AD 身份验证 Audit、Deny、Disabled 1.0.0
应为应用程序网关启用 Web 应用程序防火墙 (WAF) 将 Azure Web 应用程序防火墙 (WAF) 部署在面向公众的 Web 应用程序的前面,以便对传入流量进行额外检查。 Web 应用程序防火墙 (WAF) 为 Web 应用程序提供集中保护,使其免受常见攻击和漏洞的侵害,例如 SQL 注入、跨站脚本以及本地和远程文件执行。 还可以通过自定义规则,按国家/地区、IP 地址范围和其他 http(s) 参数限制对 Web 应用程序的访问。 Audit、Deny、Disabled 2.0.0
Web 应用程序防火墙 (WAF) 应对应用程序网关使用指定模式 要求对应用程序网关的所有 Web 应用程序防火墙策略启用“检测”或“防护”模式。 Audit、Deny、Disabled 1.0.0
Web 应用程序防火墙 (WAF) 应对 Azure Front Door 服务使用指定模式 要求对 Azure Front Door 服务的所有 Web 应用程序防火墙策略启用“检测”或“防护”模式。 Audit、Deny、Disabled 1.0.0

标记

名称
(Azure 门户)
说明 效果 版本
(GitHub)
将标记添加到资源组 创建或更新任何缺少此标记的资源组时添加指定的标记和值。 可以通过触发修正任务来修正现有资源组。 如果存在具有不同值的标记,则不会更改该资源组。 modify 1.0.0
将标记添加到资源 创建或更新任何缺少此标记的资源时添加指定的标记和值。 可以通过触发修正任务来修正现有资源。 如果存在具有不同值的标记,则不会更改该资源组。 而不会修改资源组上的标记。 modify 1.0.0
向订阅添加标记 通过修正任务将指定的标记和值添加到订阅。 如果存在具有不同值的标记,则不会更改该资源组。 有关策略修正的详细信息,请参阅 https://aka.ms/azurepolicyremediation modify 1.0.0
在资源组中添加或替换标记 创建或更新任何资源组时添加或替换指定的标记和值。 可以通过触发修正任务来修正现有资源组。 modify 1.0.0
在资源中添加或替换标记 创建或更新任何资源时添加或替换指定的标记和值。 可以通过触发修正任务来修正现有资源。 而不会修改资源组上的标记。 modify 1.0.0
在订阅上添加或替换标记 通过修正任务在订阅上添加或替换指定的标记和值。 可以通过触发修正任务来修正现有资源组。 有关策略修正的详细信息,请参阅 https://aka.ms/azurepolicyremediation modify 1.0.0
追加资源组的标记及其值 创建或更新任何缺少此标记的资源时,从资源组追加指定的标记及其值。 在更改这些资源之前,请不要修改应用此策略之前创建的资源的标记。 新的“modify”效果策略已可供使用,这些策略支持对现有资源中的标记进行修正(请参阅 https://aka.ms/modifydoc)。 append 1.0.0
将标记及其值追加到资源组 创建或更新任何缺少此标记的资源组时追加指定的标记和值。 在更改这些资源组之前,请不要修改应用此策略之前创建的资源组的标记。 新的“modify”效果策略已可供使用,这些策略支持对现有资源中的标记进行修正(请参阅 https://aka.ms/modifydoc)。 append 1.0.0
将标记及其值追加到资源 创建或更新任何缺少此标记的资源时追加指定的标记和值。 在更改这些资源之前,请不要修改应用此策略之前创建的资源的标记。 不要应用到资源组。 新的“modify”效果策略已可供使用,这些策略支持对现有资源中的标记进行修正(请参阅 https://aka.ms/modifydoc)。 append 1.0.1
从资源组继承标记 创建或更新任何资源时,添加或替换父资源组中指定的标记和值。 可以通过触发修正任务来修正现有资源。 modify 1.0.0
从资源组继承标记(如果缺少此标记) 创建或更新任何缺少此标记的资源时,从父资源组添加指定的标记及其值。 可以通过触发修正任务来修正现有资源。 如果存在具有不同值的标记,则不会更改该资源组。 modify 1.0.0
从订阅继承标记 创建或更新任何资源时,添加或替换包含订阅中指定的标记和值。 可以通过触发修正任务来修正现有资源。 modify 1.0.0
从订阅继承标记(如果缺少) 创建或更新任何缺少此标记的资源时,从包含订阅添加指定的标记及其值。 可以通过触发修正任务来修正现有资源。 如果存在具有不同值的标记,则不会更改该资源组。 modify 1.0.0
需要资源组上的标记及其值 强制要求资源组中存在所需的标记及其值。 deny 1.0.0
需要资源上的标记及其值 强制执行所需的标记及其值。 不要应用到资源组。 deny 1.0.1
需要资源组上的标记 强制要求资源组中存在某个标记。 deny 1.0.0
需要资源上的标记 强制要求存在某个标记。 不要应用到资源组。 deny 1.0.1

常规

名称
(Azure 门户)
说明 效果 版本
(GitHub)
允许的位置 通过此策略,可限制组织在部署资源时可指定的位置。 用于强制执行异地符合性要求。 排除资源组、Microsoft.AzureActiveDirectory/b2cDirectories 以及使用“全局”区域的资源。 deny 1.0.0
允许的资源组位置 通过此策略,可限制组织可以创建资源组的位置。 用于强制执行异地符合性要求。 deny 1.0.0
允许的资源类型 此策略可用于指定组织可以部署的资源类型。 只有支持“tags”和“location”的资源类型才会受此策略影响。 若要限制所有资源,请复制此策略并将“mode”更改为“All”。 deny 1.0.0
审核资源位置是否匹配资源组位置 审核资源位置是否与其资源组位置匹配。 审核 2.0.0
审核自定义 RBAC 角色的使用情况 审核“所有者、参与者、读者”等内置角色而不是容易出错的自定义 RBAC 角色。 使用自定义角色被视为例外,需要进行严格的审查和威胁建模 Audit、Disabled 1.0.1
配置订阅以设置预览功能 此策略评估现有订阅的预览功能。 可以修复订阅以将其注册到新的预览功能。 新订阅不会自动注册。 AuditIfNotExists、DeployIfNotExists、Disabled 1.0.1
不允许删除资源类型 此策略让你可以通过使用拒绝操作效果来阻止删除调用,从而指定组织可以防止被意外删除的资源类型。 DenyAction,Disabled 1.0.1
不允许 M365 资源 阻止创建 M365 资源。 Audit、Deny、Disabled 1.0.0
不允许 MCPP 资源 阻止创建 MCPP 资源。 Audit、Deny、Disabled 1.0.0
排除使用成本资源 此策略使你能够显示使用成本资源。 使用成本包括按流量计费的存储和根据使用情况计费的 Azure 资源等。 Audit、Deny、Disabled 1.0.0
不允许的资源类型 限制可以在环境中部署的资源类型。 限制资源类型可以降低环境的复杂性和攻击面,同时也有助于管理成本。 仅显示不符合要求的资源的符合性结果。 Audit、Deny、Disabled 2.0.0

后续步骤