共用方式為


IRS 1075 2016 年 9 月 (Azure Government) 法規合規性內建方案的詳細資料

下列文章詳細說明 Azure 原則法規合規性內建方案定義如何對應於 IRS 1075 2016 年 9 月 (Azure Government) 中的合規性網域控制項。 如需此合規性標準的詳細資訊,請參閱 2016 年 9 月 IRS 1075。 若要了解所有權,請檢閱原則類型雲端中共同承擔的責任

以下是與 IRS 1075 2016 年 9 月控制項的對應。 許多控制措施都是以 Azure 原則方案定義實作的。 若要檢閱完整方案定義,請在 Azure 入口網站中開啟 [原則],然後選取 [定義] 頁面。 然後,尋找並選取 IRS 1075 2016 年 9 月法規合規性內建方案定義。

重要

下列每個控制措施都與一或多個 Azure 原則定義相關聯。 這些原則可協助您使用工具存取合規性;不過,控制措施和一或多個原則之間,通常不是一對一或完整對應。 因此,Azure 原則中的符合規範只是指原則定義本身,這不保證您完全符合所有控制措施需求的規範。 此外,合規性標準包含目前未由任何 Azure 原則定義解決的控制措施。 因此,Azure 原則中的合規性只是整體合規性狀態的部分觀點。 此合規性標準的合規性領域、控制措施與 Azure 原則定義之間的關聯,可能會隨著時間而改變。 若要檢視變更歷程記錄,請參閱 GitHub 認可歷程記錄 \(英文\)。

存取控制

遠端存取 (AC-17)

識別碼:IRS 1075 9.3.1.12

名稱
(Azure 入口網站)
描述 效果 版本
(GitHub)
在沒有任何身分識別的虛擬機器上新增系統指派的受控識別,以啟用客體設定指派 此原則會將系統指派的受控識別新增至 Azure 中裝載的虛擬機器 (受客體設定支援),但是沒有任何受控識別。 系統指派的受控識別是所有客體設定指派的必要條件,必須先新增到電腦,才能使用任何客體設定原則定義。 如需有關客體設定的詳細資訊,請造訪 https://aka.ms/gcpol 修改 1.3.0
在具有使用者指派身分識別的 VM 上新增系統指派受控識別,以啟用客體設定指派 此原則會將系統指派的受控識別新增至 Azure 中裝載的虛擬機器 (受客體設定支援),而且至少有一個使用者指派的身分識別,但是沒有系統指派的受控識別。 系統指派的受控識別是所有客體設定指派的必要條件,必須先新增到電腦,才能使用任何客體設定原則定義。 如需有關客體設定的詳細資訊,請造訪 https://aka.ms/gcpol 修改 1.3.0
App Service 應用程式應關閉遠端偵錯 遠端偵錯需要在 App Service 應用程式上開啟輸入連接埠。 應關閉遠端偵錯。 AuditIfNotExists, Disabled 2.0.0
稽核允許不使用密碼從帳戶遠端連線的 Linux 電腦 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果允許不使用密碼從帳戶遠端連線的 Linux 電腦,則電腦不相容 AuditIfNotExists, Disabled 1.4.0
部署 Linux 來賓設定延伸模組,以在 Linux 虛擬機器上啟用來賓設定指派 此原則會將受客體設定支援的 Linux 客體設定延伸模組部署至裝載於 Azure 的 Linux 虛擬機器主機。 Linux 客體設定延伸模組是所有 Linux 客體設定指派的必要條件,要使用任何 Linux 客體設定原則定義前,都必須先將此延伸模組部署到電腦上。 如需有關客體設定的詳細資訊,請造訪 https://aka.ms/gcpol deployIfNotExists 1.4.0
函數應用程式應關閉遠端偵錯 遠端偵錯需要在函數應用程式上開啟輸入連接埠。 應關閉遠端偵錯。 AuditIfNotExists, Disabled 2.0.0
儲存體帳戶應限制網路存取 應限制對儲存體帳戶的網路存取。 請設定網路規則,只允許來自認可之網路的應用程式存取儲存體帳戶。 若要允許來自特定網際網路或內部部署用戶端的連線,可將存取權授與來自特定 Azure 虛擬網路的流量,或授與公用網際網路 IP 位址範圍 Audit, Deny, Disabled 1.1.1

帳戶管理 (AC-2)

識別碼:IRS 1075 9.3.1.2

名稱
(Azure 入口網站)
描述 效果 版本
(GitHub)
應針對 SQL 伺服器佈建 Azure Active Directory 管理員 為 SQL Server 稽核 Azure Active Directory 系統管理員的佈建情況,以啟用 Azure AD 驗證。 Azure AD 驗證可針對資料庫使用者及其他 Microsoft 服務,簡化權限管理及集中管理身分識別 AuditIfNotExists, Disabled 1.0.0
稽核自訂 RBAC 角色的使用方式 稽核內建角色,例如「擁有者、參與者、讀取者」,而不是自訂的 RBAC 角色,這些角色容易發生錯誤。 使用自訂角色會視為例外狀況,而且需要嚴格審查和威脅模型化 Audit, Disabled 1.0.1
應移除對 Azure 資源具有擁有者權限的已封鎖帳戶 具有擁有者權限的已取代帳戶應該從您的訂用帳戶中移除。 已取代帳戶是已封鎖而無法登入的帳戶。 AuditIfNotExists, Disabled 1.0.0
具有 Azure 資源讀取和寫入權限的已封鎖帳戶應移除 已取代帳戶應該從您的訂用帳戶中移除。 已取代帳戶是已封鎖而無法登入的帳戶。 AuditIfNotExists, Disabled 1.0.0
具有 Azure 資源擁有者權限的來賓帳戶應移除 具有擁有者權限的外部帳戶應從您訂用帳戶移除,以避免未受監視的存取。 AuditIfNotExists, Disabled 1.0.0
具有 Azure 資源讀取權限的來賓帳戶應移除 請移除您訂用帳戶中,具有讀取權限的外部帳戶,以避免出現未受監視的存取。 AuditIfNotExists, Disabled 1.0.0
具有 Azure 資源寫入權限的來賓帳戶應移除 請移除您訂用帳戶中,具有寫入權限的外部帳戶,以避免出現未受監視的存取。 AuditIfNotExists, Disabled 1.0.0
應使用 Just-In-Time 網路存取控制來保護虛擬機器的管理連接埠 Azure 資訊安全中心會依建議監視可能的網路 Just-In-Time (JIT) 存取 AuditIfNotExists, Disabled 3.0.0
Service Fabric 叢集應只能使用 Azure Active Directory 進行用戶端驗證 稽核 Service Fabric 中僅透過 Azure Active Directory 的用戶端驗證使用方式 Audit, Deny, Disabled 1.1.0

資訊流程強制 (AC-4)

識別碼:IRS 1075 9.3.1.4

名稱
(Azure 入口網站)
描述 效果 版本
(GitHub)
App Service 應用程式不應將 CORS 設定為允許每個資源存取您的應用程式 跨原始資源共用 (CORS) 不應允許所有網域存取您的應用程式。 僅允許必要的網域與您的應用程式互動即可。 AuditIfNotExists, Disabled 2.0.0

職責區分 (AC-5)

識別碼:IRS 1075 9.3.1.5

名稱
(Azure 入口網站)
描述 效果 版本
(GitHub)
應針對您的訂用帳戶指定最多 3 位擁有者 建議您最多指定 3 位訂用帳戶擁有者,以降低遭入侵擁有者導致資料外洩的可能。 AuditIfNotExists, Disabled 3.0.0
在沒有任何身分識別的虛擬機器上新增系統指派的受控識別,以啟用客體設定指派 此原則會將系統指派的受控識別新增至 Azure 中裝載的虛擬機器 (受客體設定支援),但是沒有任何受控識別。 系統指派的受控識別是所有客體設定指派的必要條件,必須先新增到電腦,才能使用任何客體設定原則定義。 如需有關客體設定的詳細資訊,請造訪 https://aka.ms/gcpol 修改 1.3.0
在具有使用者指派身分識別的 VM 上新增系統指派受控識別,以啟用客體設定指派 此原則會將系統指派的受控識別新增至 Azure 中裝載的虛擬機器 (受客體設定支援),而且至少有一個使用者指派的身分識別,但是沒有系統指派的受控識別。 系統指派的受控識別是所有客體設定指派的必要條件,必須先新增到電腦,才能使用任何客體設定原則定義。 如需有關客體設定的詳細資訊,請造訪 https://aka.ms/gcpol 修改 1.3.0
稽核遺漏 Administrators 群組中任一指定成員的 Windows 電腦 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果本機系統管理員群組未包含原則參數中列出的一或多個成員,則電腦不相容。 auditIfNotExists 1.0.0
稽核具有 Administrators 群組中指定成員的 Windows 電腦 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果本機系統管理員群組未包含原則參數中列出的一或多個成員,則電腦不相容。 auditIfNotExists 1.0.0
在 Windows VM 上部署 Windows 客體設定擴充功能,以啟用客體設定指派 此原則會將受客體設定支援的 Windows 客體設定延伸模組部署至裝載於 Azure 的 Windows 虛擬機器主機。 Windows 客體設定延伸模組是所有 Windows 客體設定指派的必要條件,要使用任何 Windows 客體設定原則定義前,都必須先將此延伸模組部署到電腦上。 如需有關客體設定的詳細資訊,請造訪 https://aka.ms/gcpol deployIfNotExists 1.2.0
應將一個以上的擁有者指派給您的訂用帳戶 建議指定多位訂用帳戶擁有者,如此才能設定系統管理員存取備援。 AuditIfNotExists, Disabled 3.0.0

最低特殊權限 (AC-6)

識別碼:IRS 1075 9.3.1.6

名稱
(Azure 入口網站)
描述 效果 版本
(GitHub)
應針對您的訂用帳戶指定最多 3 位擁有者 建議您最多指定 3 位訂用帳戶擁有者,以降低遭入侵擁有者導致資料外洩的可能。 AuditIfNotExists, Disabled 3.0.0
在沒有任何身分識別的虛擬機器上新增系統指派的受控識別,以啟用客體設定指派 此原則會將系統指派的受控識別新增至 Azure 中裝載的虛擬機器 (受客體設定支援),但是沒有任何受控識別。 系統指派的受控識別是所有客體設定指派的必要條件,必須先新增到電腦,才能使用任何客體設定原則定義。 如需有關客體設定的詳細資訊,請造訪 https://aka.ms/gcpol 修改 1.3.0
在具有使用者指派身分識別的 VM 上新增系統指派受控識別,以啟用客體設定指派 此原則會將系統指派的受控識別新增至 Azure 中裝載的虛擬機器 (受客體設定支援),而且至少有一個使用者指派的身分識別,但是沒有系統指派的受控識別。 系統指派的受控識別是所有客體設定指派的必要條件,必須先新增到電腦,才能使用任何客體設定原則定義。 如需有關客體設定的詳細資訊,請造訪 https://aka.ms/gcpol 修改 1.3.0
稽核遺漏 Administrators 群組中任一指定成員的 Windows 電腦 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果本機系統管理員群組未包含原則參數中列出的一或多個成員,則電腦不相容。 auditIfNotExists 1.0.0
稽核具有 Administrators 群組中指定成員的 Windows 電腦 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果本機系統管理員群組未包含原則參數中列出的一或多個成員,則電腦不相容。 auditIfNotExists 1.0.0
在 Windows VM 上部署 Windows 客體設定擴充功能,以啟用客體設定指派 此原則會將受客體設定支援的 Windows 客體設定延伸模組部署至裝載於 Azure 的 Windows 虛擬機器主機。 Windows 客體設定延伸模組是所有 Windows 客體設定指派的必要條件,要使用任何 Windows 客體設定原則定義前,都必須先將此延伸模組部署到電腦上。 如需有關客體設定的詳細資訊,請造訪 https://aka.ms/gcpol deployIfNotExists 1.2.0
應將一個以上的擁有者指派給您的訂用帳戶 建議指定多位訂用帳戶擁有者,如此才能設定系統管理員存取備援。 AuditIfNotExists, Disabled 3.0.0

風險評定

弱點掃描 (RA-5)

識別碼:IRS 1075 9.3.14.3

名稱
(Azure 入口網站)
描述 效果 版本
(GitHub)
應為未受保護的 Azure SQL 伺服器啟用適用於 SQL 的 Azure Defender 在沒有「進階資料安全性」的情況下稽核 SQL 伺服器 AuditIfNotExists, Disabled 2.0.1
應為未受保護的 SQL 受控執行個體啟用適用於 SQL 的 Azure Defender 在沒有進階資料安全性的情況下稽核 SQL 受控執行個體。 AuditIfNotExists, Disabled 1.0.2
SQL 資料庫應已解決發現的弱點 監視弱點評量掃描結果及如何補救資料庫弱點的建議。 AuditIfNotExists, Disabled 4.1.0
您應在機器上修復安全性組態的弱點 Azure 資訊安全中心會依建議監視不符合設定基準的伺服器 AuditIfNotExists, Disabled 3.1.0

系統與通訊保護

待用資訊的保護 (SC-28)

識別碼:IRS 1075 9.3.16.15

名稱
(Azure 入口網站)
描述 效果 版本
(GitHub)
應為未受保護的 Azure SQL 伺服器啟用適用於 SQL 的 Azure Defender 在沒有「進階資料安全性」的情況下稽核 SQL 伺服器 AuditIfNotExists, Disabled 2.0.1
應為未受保護的 SQL 受控執行個體啟用適用於 SQL 的 Azure Defender 在沒有進階資料安全性的情況下稽核 SQL 受控執行個體。 AuditIfNotExists, Disabled 1.0.2
應在 SQL 資料庫上啟用透明資料加密 應啟用透明資料加密,以保護待用資料,並滿足合規性需求 AuditIfNotExists, Disabled 2.0.0

阻斷服務保護 (SC-5)

識別碼:IRS 1075 9.3.16.4

名稱
(Azure 入口網站)
描述 效果 版本
(GitHub)
應該啟用 Azure DDoS 保護 所有虛擬網路只要其子網路屬於使用公用 IP 的應用程式閘道,就應啟用 DDoS 保護。 AuditIfNotExists, Disabled 3.0.1

界限保護 (SC-7)

識別碼:IRS 1075 9.3.16.5

名稱
(Azure 入口網站)
描述 效果 版本
(GitHub)
所有網路連接埠均應限制在與虛擬機器建立關聯的網路安全性群組 Azure 資訊安全中心發現您某些網路安全性群組的輸入規則過於寬鬆。 輸入規則不應允許來自「任何」或「網際網路」範圍的存取。 這可能會讓攻擊者鎖定您的資源。 AuditIfNotExists, Disabled 3.0.0
儲存體帳戶應限制網路存取 應限制對儲存體帳戶的網路存取。 請設定網路規則,只允許來自認可之網路的應用程式存取儲存體帳戶。 若要允許來自特定網際網路或內部部署用戶端的連線,可將存取權授與來自特定 Azure 虛擬網路的流量,或授與公用網際網路 IP 位址範圍 Audit, Deny, Disabled 1.1.1

傳輸機密性和完整性 (SC-8)

識別碼:IRS 1075 9.3.16.6

名稱
(Azure 入口網站)
描述 效果 版本
(GitHub)
在沒有任何身分識別的虛擬機器上新增系統指派的受控識別,以啟用客體設定指派 此原則會將系統指派的受控識別新增至 Azure 中裝載的虛擬機器 (受客體設定支援),但是沒有任何受控識別。 系統指派的受控識別是所有客體設定指派的必要條件,必須先新增到電腦,才能使用任何客體設定原則定義。 如需有關客體設定的詳細資訊,請造訪 https://aka.ms/gcpol 修改 1.3.0
在具有使用者指派身分識別的 VM 上新增系統指派受控識別,以啟用客體設定指派 此原則會將系統指派的受控識別新增至 Azure 中裝載的虛擬機器 (受客體設定支援),而且至少有一個使用者指派的身分識別,但是沒有系統指派的受控識別。 系統指派的受控識別是所有客體設定指派的必要條件,必須先新增到電腦,才能使用任何客體設定原則定義。 如需有關客體設定的詳細資訊,請造訪 https://aka.ms/gcpol 修改 1.3.0
應該僅限透過 HTTPS 來存取 App Service 應用程式 使用 HTTPS 可確保伺服器/服務驗證,並保護傳輸中的資料不受網路層的竊聽攻擊。 稽核、停用、拒絕 4.0.0
在 Windows VM 上部署 Windows 客體設定擴充功能,以啟用客體設定指派 此原則會將受客體設定支援的 Windows 客體設定延伸模組部署至裝載於 Azure 的 Windows 虛擬機器主機。 Windows 客體設定延伸模組是所有 Windows 客體設定指派的必要條件,要使用任何 Windows 客體設定原則定義前,都必須先將此延伸模組部署到電腦上。 如需有關客體設定的詳細資訊,請造訪 https://aka.ms/gcpol deployIfNotExists 1.2.0
應只能透過 HTTPS 存取函數應用程式 使用 HTTPS 可確保伺服器/服務驗證,並保護傳輸中的資料不受網路層的竊聽攻擊。 稽核、停用、拒絕 5.0.0
只允許對您 Azure Cache for Redis 的安全連線 稽核只允許透過 SSL 對 Azure Cache for Redis 進行連線。 使用安全連線可確保伺服器與服務之間的驗證,避免傳輸中的資料遭受網路層的攻擊,例如中間人攻擊、竊聽及工作階段劫持 Audit, Deny, Disabled 1.0.0
應啟用儲存體帳戶的安全傳輸 稽核儲存體帳戶中安全傳輸的需求。 安全傳輸這個選項會強制您的儲存體帳戶僅接受來自安全連線 (HTTPS) 的要求。 使用 HTTPS 可確保伺服器與服務之間的驗證,避免傳輸中的資料遭受網路層的攻擊,例如中間人攻擊、竊聽及工作階段劫持 Audit, Deny, Disabled 2.0.0
Windows 機器應設定為使用安全通訊協定 若要保護透過網際網路通訊的資訊隱私權,您的機器應使用最新版的業界標準密碼編譯通訊協定,即傳輸層安全性 (TLS)。 TLS 會藉由加密機器之間的連線來保護透過網路的通訊。 AuditIfNotExists, Disabled 3.0.1

系統和資訊完整性

瑕疵補救 (SI-2)

識別碼:IRS 1075 9.3.17.2

名稱
(Azure 入口網站)
描述 效果 版本
(GitHub)
SQL 資料庫應已解決發現的弱點 監視弱點評量掃描結果及如何補救資料庫弱點的建議。 AuditIfNotExists, Disabled 4.1.0
您應在機器上修復安全性組態的弱點 Azure 資訊安全中心會依建議監視不符合設定基準的伺服器 AuditIfNotExists, Disabled 3.1.0

資訊系統監視 (SI-4)

識別碼:IRS 1075 9.3.17.4

名稱
(Azure 入口網站)
描述 效果 版本
(GitHub)
[預覽]:列出的虛擬機器映像應啟用 Log Analytics 延伸模組 若虛擬機器映像不在定義的清單中,而且未安裝延伸模組,便會將虛擬機器回報為不符合規範。 AuditIfNotExists, Disabled 2.0.1-preview
應為未受保護的 Azure SQL 伺服器啟用適用於 SQL 的 Azure Defender 在沒有「進階資料安全性」的情況下稽核 SQL 伺服器 AuditIfNotExists, Disabled 2.0.1
應為未受保護的 SQL 受控執行個體啟用適用於 SQL 的 Azure Defender 在沒有進階資料安全性的情況下稽核 SQL 受控執行個體。 AuditIfNotExists, Disabled 1.0.2
應在所列出虛擬機器映像的虛擬機器擴展集中啟用 Log Analytics 延伸模組 若虛擬機器映像不在定義的清單中,而且未安裝延伸模組,便會將虛擬機器擴展集回報為不符合規範。 AuditIfNotExists, Disabled 2.0.1
虛擬機器應連線到指定的工作區 若虛擬機器不是登入原則/方案指派中指定的 Log Analytics 工作區,便會將其回報為不符合規範。 AuditIfNotExists, Disabled 1.1.0

認知和訓練

稽核產生 (AU-12)

識別碼:IRS 1075 9.3.3.11

名稱
(Azure 入口網站)
描述 效果 版本
(GitHub)
[預覽]:列出的虛擬機器映像應啟用 Log Analytics 延伸模組 若虛擬機器映像不在定義的清單中,而且未安裝延伸模組,便會將虛擬機器回報為不符合規範。 AuditIfNotExists, Disabled 2.0.1-preview
稽核所選資源類型的診斷設定 稽核所選資源類型的診斷設定。 務必只選取支援診斷設定的資源類型。 AuditIfNotExists 2.0.1
應啟用 SQL 伺服器上的稽核 應在 SQL Server 上啟用稽核,以追蹤伺服器上所有資料庫的活動,並儲存在稽核記錄中。 AuditIfNotExists, Disabled 2.0.0
應為未受保護的 Azure SQL 伺服器啟用適用於 SQL 的 Azure Defender 在沒有「進階資料安全性」的情況下稽核 SQL 伺服器 AuditIfNotExists, Disabled 2.0.1
應為未受保護的 SQL 受控執行個體啟用適用於 SQL 的 Azure Defender 在沒有進階資料安全性的情況下稽核 SQL 受控執行個體。 AuditIfNotExists, Disabled 1.0.2
應在所列出虛擬機器映像的虛擬機器擴展集中啟用 Log Analytics 延伸模組 若虛擬機器映像不在定義的清單中,而且未安裝延伸模組,便會將虛擬機器擴展集回報為不符合規範。 AuditIfNotExists, Disabled 2.0.1
虛擬機器應連線到指定的工作區 若虛擬機器不是登入原則/方案指派中指定的 Log Analytics 工作區,便會將其回報為不符合規範。 AuditIfNotExists, Disabled 1.1.0

稽核記錄的內容 (AU-3)

識別碼:IRS 1075 9.3.3.3

名稱
(Azure 入口網站)
描述 效果 版本
(GitHub)
[預覽]:列出的虛擬機器映像應啟用 Log Analytics 延伸模組 若虛擬機器映像不在定義的清單中,而且未安裝延伸模組,便會將虛擬機器回報為不符合規範。 AuditIfNotExists, Disabled 2.0.1-preview
應在所列出虛擬機器映像的虛擬機器擴展集中啟用 Log Analytics 延伸模組 若虛擬機器映像不在定義的清單中,而且未安裝延伸模組,便會將虛擬機器擴展集回報為不符合規範。 AuditIfNotExists, Disabled 2.0.1
虛擬機器應連線到指定的工作區 若虛擬機器不是登入原則/方案指派中指定的 Log Analytics 工作區,便會將其回報為不符合規範。 AuditIfNotExists, Disabled 1.1.0

稽核處理失敗時的回應 (AU-5)

識別碼:IRS 1075 9.3.3.5

名稱
(Azure 入口網站)
描述 效果 版本
(GitHub)
稽核所選資源類型的診斷設定 稽核所選資源類型的診斷設定。 務必只選取支援診斷設定的資源類型。 AuditIfNotExists 2.0.1
應啟用 SQL 伺服器上的稽核 應在 SQL Server 上啟用稽核,以追蹤伺服器上所有資料庫的活動,並儲存在稽核記錄中。 AuditIfNotExists, Disabled 2.0.0
應為未受保護的 Azure SQL 伺服器啟用適用於 SQL 的 Azure Defender 在沒有「進階資料安全性」的情況下稽核 SQL 伺服器 AuditIfNotExists, Disabled 2.0.1
應為未受保護的 SQL 受控執行個體啟用適用於 SQL 的 Azure Defender 在沒有進階資料安全性的情況下稽核 SQL 受控執行個體。 AuditIfNotExists, Disabled 1.0.2

稽核檢閱、分析和報告 (AU-6)

識別碼:IRS 1075 9.3.3.6

名稱
(Azure 入口網站)
描述 效果 版本
(GitHub)
[預覽]:列出的虛擬機器映像應啟用 Log Analytics 延伸模組 若虛擬機器映像不在定義的清單中,而且未安裝延伸模組,便會將虛擬機器回報為不符合規範。 AuditIfNotExists, Disabled 2.0.1-preview
應在所列出虛擬機器映像的虛擬機器擴展集中啟用 Log Analytics 延伸模組 若虛擬機器映像不在定義的清單中,而且未安裝延伸模組,便會將虛擬機器擴展集回報為不符合規範。 AuditIfNotExists, Disabled 2.0.1
虛擬機器應連線到指定的工作區 若虛擬機器不是登入原則/方案指派中指定的 Log Analytics 工作區,便會將其回報為不符合規範。 AuditIfNotExists, Disabled 1.1.0

應變計劃

備用處理網站 (CP-7)

識別碼:IRS 1075 9.3.6.6

名稱
(Azure 入口網站)
描述 效果 版本
(GitHub)
稽核未設定災害復原的虛擬機器 稽核未設定災害復原的虛擬機器。 若要深入了解災害復原,請造訪 https://aka.ms/asr-doc auditIfNotExists 1.0.0

驗證與授權

身分識別與驗證 (組織使用者) (IA-2)

識別碼:IRS 1075 9.3.7.2

名稱
(Azure 入口網站)
描述 效果 版本
(GitHub)
具有 Azure 資源擁有者權限的帳戶應啟用 MFA 具備擁有者權限的所有訂用帳戶,均應啟用多重要素驗證 (MFA),以避免發生帳戶或資源資料外洩。 AuditIfNotExists, Disabled 1.0.0
對 Azure 資源具有讀取權限的帳戶應啟用 MFA 具備讀取權限的所有訂用帳戶,均應啟用多重要素驗證 (MFA),以避免發生帳戶或資源資料外洩。 AuditIfNotExists, Disabled 1.0.0
具有 Azure 資源寫入權限的帳戶應啟用 MFA 具備寫入權限的所有訂用帳戶,均應啟用多重要素驗證 (MFA),以避免發生帳戶或資源資料外洩。 AuditIfNotExists, Disabled 1.0.0

驗證器管理 (IA-5)

識別碼:IRS 1075 9.3.7.5

名稱
(Azure 入口網站)
描述 效果 版本
(GitHub)
在沒有任何身分識別的虛擬機器上新增系統指派的受控識別,以啟用客體設定指派 此原則會將系統指派的受控識別新增至 Azure 中裝載的虛擬機器 (受客體設定支援),但是沒有任何受控識別。 系統指派的受控識別是所有客體設定指派的必要條件,必須先新增到電腦,才能使用任何客體設定原則定義。 如需有關客體設定的詳細資訊,請造訪 https://aka.ms/gcpol 修改 1.3.0
在具有使用者指派身分識別的 VM 上新增系統指派受控識別,以啟用客體設定指派 此原則會將系統指派的受控識別新增至 Azure 中裝載的虛擬機器 (受客體設定支援),而且至少有一個使用者指派的身分識別,但是沒有系統指派的受控識別。 系統指派的受控識別是所有客體設定指派的必要條件,必須先新增到電腦,才能使用任何客體設定原則定義。 如需有關客體設定的詳細資訊,請造訪 https://aka.ms/gcpol 修改 1.3.0
稽核密碼檔權限未設為 0644 的 Linux 電腦 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果密碼檔案權限未設為 0644 的 Linux 電腦,則電腦不相容 AuditIfNotExists, Disabled 1.4.0
稽核有不需要密碼之帳戶的 Linux 電腦 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果 Linux 電腦有不需要密碼的帳戶,則電腦不相容 AuditIfNotExists, Disabled 1.4.0
稽核允許在指定的唯一密碼數目之後重複使用密碼的 Windows 電腦 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果 Windows 機器允許在指定的唯一密碼數目之後重複使用密碼,則機器不符合規範。 唯一密碼的預設值為 24 AuditIfNotExists, Disabled 1.1.0
稽核未將密碼最長有效期設定為指定天數的 Windows 電腦 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果 Windows 機器未將密碼最長有效期設定為指定天數,則機器不符合規範。 密碼最長有效期的預設值為 70 天 AuditIfNotExists, Disabled 1.1.0
稽核未將密碼最短有效期設定為指定天數的 Windows 電腦 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果 Windows 機器未將密碼最短有效期設定為指定天數,則機器不符合規範。 密碼最短有效期的預設值為 1 天 AuditIfNotExists, Disabled 1.1.0
稽核未啟用密碼複雜度設定的 Windows 電腦 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果 Windows 電腦未啟用密碼複雜度設定,則電腦不相容 AuditIfNotExists, Disabled 1.0.0
稽核未將密碼長度下限限制為指定字元數的 Windows 電腦 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果 Windows 機器未將密碼長度下限限制為指定的字元數,機器就不符合規範。 密碼長度下限的預設值為 14 個字元 AuditIfNotExists, Disabled 1.1.0
稽核未使用可逆加密來儲存密碼的 Windows 電腦 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果 Windows 電腦未使用可逆加密來儲存密碼,則電腦不相容 AuditIfNotExists, Disabled 1.0.0
部署 Linux 來賓設定延伸模組,以在 Linux 虛擬機器上啟用來賓設定指派 此原則會將受客體設定支援的 Linux 客體設定延伸模組部署至裝載於 Azure 的 Linux 虛擬機器主機。 Linux 客體設定延伸模組是所有 Linux 客體設定指派的必要條件,要使用任何 Linux 客體設定原則定義前,都必須先將此延伸模組部署到電腦上。 如需有關客體設定的詳細資訊,請造訪 https://aka.ms/gcpol deployIfNotExists 1.4.0
在 Windows VM 上部署 Windows 客體設定擴充功能,以啟用客體設定指派 此原則會將受客體設定支援的 Windows 客體設定延伸模組部署至裝載於 Azure 的 Windows 虛擬機器主機。 Windows 客體設定延伸模組是所有 Windows 客體設定指派的必要條件,要使用任何 Windows 客體設定原則定義前,都必須先將此延伸模組部署到電腦上。 如需有關客體設定的詳細資訊,請造訪 https://aka.ms/gcpol deployIfNotExists 1.2.0

下一步

有關 Azure 原則的其他文章: