Azure 原則 Azure 自動化的內建定義
此頁面是 Azure 自動化 Azure 原則 內建原則定義的索引。 如需其他服務的其他內建 Azure 原則,請參閱 Azure 原則內建定義。
連結至 Azure 入口網站中原則定義的每個內建原則定義名稱。 使用 [版本] 資料行中的連結來查看 Azure 原則 GitHub 存放庫上的來源。
Azure 自動化
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 自動化帳戶應該有受控識別 | 使用受控識別作為從 Runbook 向 Azure 資源進行驗證的建議方法。 使用受控識別進行驗證更安全,且無須負擔在 Runbook 程式碼中使用 RunAs 帳戶相關聯的管理額外負荷。 | Audit, Disabled | 1.0.0 |
| 應加密自動化帳戶變數 | 儲存敏感性資料時,請務必為自動化帳戶變數資產啟用加密 | Audit, Deny, Disabled | 1.1.0 |
| 自動化帳戶應停用公用網路存取 | 停用公用網路存取權可確保資源不會在公用網際網路上公開,進而改善安全性。 您可以改為建立私人端點,以限制自動化帳戶資源的曝光狀況。 深入了解:https://docs.microsoft.com/azure/automation/how-to/private-link-security。 | Audit, Deny, Disabled | 1.0.0 |
| Azure 自動化帳戶應該已停用本機驗證方法 | 停用本機驗證方法可確保 Azure 自動化帳戶僅可透過 Azure Active Directory 識別身分來進行驗證,進而提升安全性。 | Audit, Deny, Disabled | 1.0.0 |
| Azure 自動化帳戶應使用客戶自控金鑰加密待用資料 | 使用客戶自控金鑰來管理 Azure 自動化帳戶的待用加密。 根據預設,客戶資料會使用服務管理的金鑰進行加密,但通常需要有客戶自控金鑰才能符合法規合規性標準。 客戶自控金鑰可讓您使用由您建立及擁有的 Azure Key Vault 金鑰來加密資料。 您對金鑰生命週期擁有完全的控制權和責任,包括輪替和管理。 深入了解:https://aka.ms/automation-cmk。 | Audit, Deny, Disabled | 1.0.0 |
| 設定 Azure 自動化帳戶以停用本機驗證 | 停用本機驗證方法,讓您的 Azure 自動化帳戶僅可透過 Azure Active Directory 識別身分來進行驗證。 | 修改、停用 | 1.0.0 |
| 設定 Azure 自動化帳戶以停用公用網路存取 | 停用 Azure 自動化帳戶資源的公用網路存取,便無法透過公用網際網路存取該資源。 此設定可協助保護其免於資料洩漏風險。 您可以改為建立私人端點,以限制自動化帳戶資源的曝光狀況。 深入了解:https://aka.ms/privateendpoints。 | 修改、停用 | 1.0.0 |
| 在 Azure 自動化帳戶上設定私人端點連線 | 私人端點連線允許安全通訊,方法是啟用 Azure 自動化帳戶的私人連線,而無需來源或目的地上的公用 IP 位址。 若要深入了解 Azure 自動化中的私人端點,請參閱 https://docs.microsoft.com/azure/automation/how-to/private-link-security。 | DeployIfNotExists, Disabled | 1.0.0 |
| 針對自動化帳戶 (microsoft.automation/automationaccounts) 啟用依類別群組記錄至事件中樞 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對自動化帳戶 (microsoft.automation/automationaccounts) 將記錄路由傳送至事件中樞。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.2.0 |
| 針對自動化帳戶 (microsoft.automation/automationaccounts) 啟用依類別群組記錄至 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對自動化帳戶 (microsoft.automation/automationaccounts) 將記錄路由傳送至 Log Analytics 工作區。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
| 針對自動化帳戶 (microsoft.automation/automationaccounts) 啟用依類別群組記錄至儲存體 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對自動化帳戶 (microsoft.automation/automationaccounts) 將記錄路由傳送至儲存體帳戶。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
| 應啟用自動化帳戶上的私人端點連線 | 私人端點連線允許安全通訊,方法是啟用自動化帳戶的私人連線,而無需來源或目的地上的公用 IP 位址。 若要深入了解 Azure 自動化中的私人端點,請參閱 https://docs.microsoft.com/azure/automation/how-to/private-link-security | AuditIfNotExists, Disabled | 1.0.0 |
下一步
- 請參閱 Azure 原則 GitHub 存放庫上的內建項目。
- 檢閱 Azure 原則定義結構。
- 檢閱了解原則效果。