إشعار
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تسجيل الدخول أو تغيير الدلائل.
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تغيير الدلائل.
هذه الصفحة هي فهرس Azure Policy تعريفات النهج المضمنة Azure Virtual Network. للحصول على Azure Policy إضافية مضمنة للخدمات الأخرى، راجع التعريفات المضمنة Azure Policy.
يرتبط اسم كل تعريف نهج مضمن بتعريف النهج في مدخل Azure. استخدم الارتباط في العمود Version لعرض المصدر على Azure Policy GitHub repo.
Azure Virtual Network
| Name (مدخل Azure) |
Description | Effect(s) | Version (GitHub) |
|---|---|---|---|
| حددت Azure Security Center أن بعض الشبكات الفرعية غير محمية بجدار حماية من الجيل التالي. حماية الشبكات الفرعية من التهديدات المحتملة عن طريق تقييد الوصول إليها باستخدام Azure Firewall أو جدار حماية الجيل التالي المدعوم | AuditIfNotExists، معطل | 3.0.0-preview | |
| [إصدار أولي]: يجب أن يستخدم سجل حاوية نقطة تقديم خدمة شبكة ظاهرية | يقوم هذا النهج بمراجعة أي "تسجيل حاوية" لم يتم تكوينه لاستخدام نقطة نهاية خدمة شبكة اتصال ظاهرية. | المراجعة، معطلة | 1.0.0-preview |
| يجب تطبيق نهج IPsec/IKE المخصص A على جميع اتصالات بوابة الشبكة الظاهرية Azure | يضمن هذا النهج أن جميع اتصالات بوابة الشبكة الظاهرية Azure تستخدم نهج أمان بروتوكول الإنترنت المخصص (Ipsec)/Internet Key Exchange (IKE). الخوارزميات المدعومة ونقاط القوة الرئيسية - https://aka.ms/AA62kb0 | المراجعة، معطلة | 1.0.0 |
| يجب أن تكون جميع موارد سجل التدفق في حالة التمكين | تدقيق موارد سجل التدفق للتحقق من تمكين سجل التدفق. يتيح تمكين سجلات التدفق تسجيل معلومات حول تدفق حركة مرور IP. ويمكن استخدامه لتحسين تدفقات الشبكة ورصد معدل النقل والتحقق من التوافق والكشف عن الاختراقات وغيره. | المراجعة، معطلة | 1.0.1 |
| يجب أن تستخدم تطبيقات App Service نقطة نهاية خدمة شبكة افتراضية | استخدم نقاط نهاية خدمة الشبكة الظاهرية لتقييد الوصول إلى تطبيقك من الشبكات الفرعية المحددة من شبكة ظاهرية Azure. لمعرفة المزيد حول نقاط نهاية خدمة لخدمة التطبيق، تفضل بزيارة https://aka.ms/appservice-vnet-service-endpoint. | AuditIfNotExists، معطل | 2.0.1 |
| تدقيق تكوين سجلات التدفق لكل شبكة ظاهرية | تدقيق الشبكة الظاهرية للتحقق مما إذا تم تكوين سجلات التدفق. يتيح تمكين سجلات التدفق تسجيل معلومات حول حركة مرور IP المتدفقة عبر الشبكة الظاهرية. ويمكن استخدامه لتحسين تدفقات الشبكة ورصد معدل النقل والتحقق من التوافق والكشف عن الاختراقات وغيره. | المراجعة، معطلة | 1.0.1 |
| يجب أن يكون Azure Application Gateway للحاويات نهج أمان | يضمن أن بوابة التطبيق للحاويات تحتوي على سياسة أمان واحدة على الأقل مهيأة | AuditIfNotExists، معطل | 1.0.0 |
| يجب نشر Azure Application Gateway مع Azure WAF | يتطلب توزيع موارد Azure Application Gateway باستخدام Azure WAF. | التدقيق، الرفض، التعطيل | 1.0.0 |
| Azure Firewall يجب ترحيل القواعد الكلاسيكية إلى نهج جدار الحماية | ترحيل من Azure Firewall القواعد الكلاسيكية إلى نهج جدار الحماية لاستخدام أدوات الإدارة المركزية مثل Azure Firewall Manager. | التدقيق، الرفض، التعطيل | 1.0.0 |
| Azure Firewall يجب تمكين تحليلات النهج | يوفر تمكين تحليلات النهج رؤية محسنة لنسبة استخدام الشبكة المتدفقة من خلال Azure Firewall، ما يتيح تحسين تكوين جدار الحماية دون التأثير على أداء التطبيق الخاص بك | المراجعة، معطلة | 1.0.0 |
| يجب أن يتيح نهج Azure Firewall التحليل الذكي للمخاطر | يمكن تمكين التصفية المستندة إلى تحليل ذكي للمخاطر لجدار الحماية الخاص بك لتنبيه حركة المرور من/إلى عناوين IP ومجالات ضارة معروفة ورفضها. يتم الحصول على عناوين IP والمجالات من موجز تحليل ذكي للمخاطر Microsoft. | التدقيق، الرفض، التعطيل | 1.0.0 |
| Azure Firewall يجب تمكين وكيل DNS | سيؤدي تمكين وكيل DNS إلى جعل Azure Firewall المقترنة بهذا النهج للاستماع على المنفذ 53 وإعادة توجيه طلبات DNS إلى خادم DNS محدد | المراجعة، معطلة | 1.0.0 |
| يجب نشر |
لزيادة التوفر، نوصي بنشر Azure Firewall الخاص بك لتمتد Availability Zones متعددة. يضمن هذا بقاء Azure Firewall متوفرا في حالة حدوث فشل في المنطقة. | التدقيق، الرفض، التعطيل | 1.0.0 |
| Azure Firewall Standard - يجب أن تمكن القواعد الكلاسيكية التحليل الذكي للمخاطر | يمكن تمكين التصفية المستندة إلى تحليل ذكي للمخاطر لجدار الحماية الخاص بك لتنبيه حركة المرور من/إلى عناوين IP ومجالات ضارة معروفة ورفضها. يتم الحصول على عناوين IP والمجالات من موجز تحليل ذكي للمخاطر Microsoft. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب ترقية Azure Firewall Standard إلى Premium لحماية الجيل التالي | إذا كنت تبحث عن الجيل التالي من الحماية مثل IDPS وفحص TLS، يجب أن تفكر في ترقية Azure Firewall إلى Premium sku. | التدقيق، الرفض، التعطيل | 1.0.0 |
| Azure يجب ألا تستخدم بوابات VPN SKU "الأساسية" | يضمن هذا النهج عدم استخدام بوابات Azure VPN وحدة حفظ المخزون «الأساسية» | المراجعة، معطلة | 1.0.0 |
| Azure Web Application Firewall على Azure Application Gateway يجب تمكين فحص الجسم للطلب | تأكد من تمكين فحص نص الطلب لجدران حماية تطبيق الويب المقترنة ببوابات Azure Application. يسمح هذا ل WAF بفحص الخصائص داخل نص HTTP التي قد لا يتم تقييمها في عناوين HTTP أو ملفات تعريف الارتباط أو URI. | التدقيق، الرفض، التعطيل | 1.0.0 |
| Azure Web Application Firewall على Azure Front Door يجب تمكين فحص الجسم للطلب | تأكد من تمكين فحص نص الطلب لجدران حماية تطبيق الويب المقترنة ب Azure Front Doors. يسمح هذا ل WAF بفحص الخصائص داخل نص HTTP التي قد لا يتم تقييمها في عناوين HTTP أو ملفات تعريف الارتباط أو URI. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب تمكين Azure Web Application Firewall لنقاط الدخول Azure Front Door | انشر Azure Web Application Firewall (WAF) أمام تطبيقات الويب العامة لفحص إضافي لنسبة استخدام الشبكة الواردة. يوفر Web Application Firewall (WAF) حماية مركزية لتطبيقات الويب الخاصة بك من الاستغلالات والثغرات الأمنية الشائعة مثل حقن SQL والبرمجة النصية عبر المواقع وعمليات تنفيذ الملفات المحلية والنائية. يمكنك أيضًا تقييد الوصول إلى تطبيقات الويب الخاصة بك حسب البلدان ونطاقات عناوين IP ومعلمات http(s) الأخرى عبر القواعد المخصصة. | التدقيق، الرفض، التعطيل | 1.0.2 |
| يجب تمكين Bot Protection Azure Application Gateway WAF | يضمن هذا النهج تمكين حماية الروبوت في جميع نهج Azure Application Gateway Web Application Firewall (WAF) | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب تمكين Bot Protection Azure Front Door WAF | يضمن هذا النهج تمكين حماية الروبوت في جميع نهج Azure Front Door Web Application Firewall (WAF) | التدقيق، الرفض، التعطيل | 1.0.0 |
| تكوين إعدادات التشخيص لمجموعات أمان الشبكة Azure إلى مساحة عمل Log Analytics | نشر إعدادات التشخيص إلى Azure مجموعات أمان الشبكة لدفق سجلات الموارد إلى مساحة عمل Log Analytics. | DeployIfNotExists، معطل | 1.0.0 |
| تكوين مجموعات أمان الشبكة لتمكين تحليلات نسبة استخدام الشبكة | يمكن تمكين تحليلات الحركة لجميع مجموعات أمان الشبكة المستضافة في منطقة معينة بجانب الإعدادات المقدمة أثناء إنشاء النهج. إذا كانت تحليلات الحركة ممكنة بالفعل، فإنه من ثمَّ لا يُعدل النهج إعداداته. يجوز تمكين سجلات التدفق أيضًا لمجموعات أمان الشبكة التي لا تملكها. تُعد تحليلات الحركة بمثابة حلول قائمة على التطبيقات السحابية توفر الرؤية لنشاط المستخدم والتطبيق في الشبكة السحابية | DeployIfNotExists، معطل | 1.2.0 |
| تكوين مجموعات أمان الشبكة لاستخدام مساحة عمل معينة وحساب تخزين ونهج استبقاء سجل التدفق لتحليلات نسبة استخدام الشبكة | إذا كان تحليلات الحركة مفعلة، فإنه من ثمَّ لا يسمح هذا النهج بتعديل إعداداته الحالية بالتعديلات المقدمة في أثناء إنشاء النهج. تُعد تحليلات الحركة بمثابة حلول قائمة على التطبيقات السحابية توفر الرؤية لنشاط المستخدم والتطبيق في الشبكة السحابية | DeployIfNotExists، معطل | 1.2.0 |
| تكوين الشبكة الظاهرية لتمكين سجل التدفق وتحليلات نسبة استخدام الشبكة | يمكن تمكين تحليلات نسبة استخدام الشبكة وسجلات التدفق لجميع الشبكات الظاهرية المستضافة في منطقة معينة مع الإعدادات المقدمة أثناء إنشاء النهج. لا يقوم هذا النهج بالكتابة فوق الإعداد الحالي للشبكات الظاهرية التي تم تمكين هذه الميزة بالفعل. تُعد تحليلات الحركة بمثابة حلول قائمة على التطبيقات السحابية توفر الرؤية لنشاط المستخدم والتطبيق في الشبكة السحابية | DeployIfNotExists، معطل | 1.1.1 |
| تكوين الشبكات الظاهرية لفرض مساحة العمل وحساب التخزين والفاصل الزمني للاحتفاظ بسجلات التدفق وتحليلات نسبة استخدام الشبكة | إذا تم تمكين تحليلات نسبة استخدام الشبكة بالفعل لشبكة ظاهرية، فسيستبدل هذا النهج إعداداته الحالية بالإعدادات المتوفرة أثناء إنشاء النهج. تُعد تحليلات الحركة بمثابة حلول قائمة على التطبيقات السحابية توفر الرؤية لنشاط المستخدم والتطبيق في الشبكة السحابية | DeployIfNotExists، معطل | 1.1.2 |
| يجب أن يستخدم Cosmos DB نقطة نهاية خدمة شبكة اتصال ظاهرية | يقوم هذا النهج بمراجعة قاعدة بيانات COSMOS DB التي لم تتم تهيئتها لاستخدام نقطة نهاية خدمة شبكة اتصال افتراضية. | المراجعة، معطلة | 1.0.0 |
| إنشاء مساحة عمل Log Analytics المركزية ل VNet Flowlog Traffic Analytics في مجموعة الموارد المحددة | إنشاء مساحة عمل Log Analytics مركزية في النطاق المعين وضمن مجموعة الموارد nwtarg-<subscriptionID> بشكل افتراضي لسجلات تدفق الشبكة الظاهرية. | DeployIfNotExists، معطل | 1.0.0 |
| إنشاء NetworkWatcher إقليمي في NetworkWatcherRG لسجلات تدفق الشبكة الظاهرية | ينشئ هذا النهج Network Watcher في المنطقة المحددة لتمكين Flowlogs للشبكات الظاهرية. | DeployIfNotExists، معطل | 1.0.0 |
| إنشاء حساب تخزين إقليمي لسجلات تدفق الشبكة الظاهرية في resourceGroupName RG | إنشاء حساب تخزين إقليمي في النطاق المعين وضمن مجموعة الموارد nwtarg-subscriptionID<> بشكل افتراضي لسجلات تدفق VNet. | DeployIfNotExists، معطل | 1.0.0 |
| نشر مورد سجل تدفق مع مجموعة أمان الشبكة المستهدفة | تهيئة سجل التدفق لمجموعة أمان شبكة الاتصال المحددة. وسوف تسمح بتوفير سجل معلومات حول تدفق حركة بروتوكول الإنترنت من خلال مجموعة أمان الشبكة. يساعد سجل التدفق على تحديد الحركة غير المعروفة أو غير المرغوب فيها، والتحقق من عزل الشبكة والامتثال لقواعد الوصول إلى المؤسسة، وتحليل تدفقات الشبكة من برامج بروتوكول الإنترنت وواجهات الشبكة المخترقة. | deployIfNotExists | 1.1.0 |
| نشر مورد سجل التدفق مع الشبكة الظاهرية الهدف | تكوين سجل التدفق لشبكة ظاهرية معينة. سيسمح بتسجيل معلومات حول حركة مرور IP المتدفقة عبر شبكة ظاهرية. يساعد سجل التدفق على تحديد الحركة غير المعروفة أو غير المرغوب فيها، والتحقق من عزل الشبكة والامتثال لقواعد الوصول إلى المؤسسة، وتحليل تدفقات الشبكة من برامج بروتوكول الإنترنت وواجهات الشبكة المخترقة. | DeployIfNotExists، معطل | 1.1.1 |
| توزيع مراقب الشبكة عند إنشاء الشبكات الظاهرية | ينشئ هذا النهج مورد مراقب شبكة الاتصال في المناطق التي تظهر بها شبكات افتراضية. تحتاج إلى التأكد من وجود مجموعة موارد تسمى networkWatcherRG، والتي سيتم استخدامها لنشر حالات مراقب الشبكة. | DeployIfNotExists | 1.0.0 |
| نشر سجلات تدفق الشبكة الظاهرية باستخدام تحليلات نسبة استخدام الشبكة للشبكات الظاهرية مع التخزين الإقليمي Log Analytics المركزية. قبل المعالجة، تأكد من نشر مجموعة موارد resourceGroupName وحساب التخزين Log Analytics مساحة العمل Network Watcher بالفعل. | DeployIfNotExists، معطل | 1.0.0 | |
| قاعدة حد السعر القابل للحماية من هجمات DDoS على Azure Front Door WAF | تتحكم قاعدة حد سعر Azure Web Application Firewall (WAF) Azure Front Door في عدد الطلبات المسموح بها من عنوان IP لعميل معين إلى التطبيق خلال مدة حد المعدل. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب أن يستخدم Event Hub نقطة نهاية خدمة شبكة اتصال ظاهرية | يقوم هذا النهج بمراجعة أي Event Hub لم تتم تهيئته لاستخدام نقطة نهاية خدمة شبكة اتصال افتراضية. | AuditIfNotExists، معطل | 1.0.0 |
| يجب تكوين سجلات Flow لكل مجموعة أمان شبكة | تدقيق مجموعات أمان الشبكة للتحقق من تهيئة سجلات التدفق. يُتيح تمكين سجلات التدفق تسجيل معلومات حول حركة استخدام IP التي تتدفق عبر مجموعة أمان الشبكة. ويمكن استخدامه لتحسين تدفقات الشبكة ورصد معدل النقل والتحقق من التوافق والكشف عن الاختراقات وغيره. | المراجعة، معطلة | 1.1.0 |
| لا يجب تهيئة الشبكات الفرعية للبوابة مع مجموعة أمان شبكة الاتصال | يرفض هذا النهج إذا جرت تهيئة شبكة فرعية للبوابة مع مجموعة أمان شبكة الاتصال. سيؤدي تعيين مجموعة أمان شبكة الاتصال مع شبكة فرعية للبوابة إلى إيقاف التشغيل. | deny | 1.0.0 |
| يجب أن يستخدم Key Vault نقطة نهاية خدمة شبكة ظاهرية | يقوم هذا النهج بمراجعة أي Key Vault لم يتم تكوينها لاستخدام نقطة نهاية خدمة شبكة ظاهرية. | المراجعة، معطلة | 1.0.0 |
| ترحيل WAF من تكوين WAF إلى نهج WAF على بوابة التطبيق | إذا كان لديك تكوين WAF بدلا من نهج WAF، فقد تحتاج إلى الانتقال إلى نهج WAF الجديد. من الآن فصاعداً، ستدعم نهج جدار الحماية إعدادات نهج WAF، ومجموعات القواعد المُدارة، والاستثناءات، ومجموعات القواعد المعطلة. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب أن تعطل واجهات الشبكة إعادة توجيه IP | يرفض هذا النهج واجهات شبكة الاتصال التي مكنت إعادة توجيه بروتوكول الإنترنت. يؤدي إعداد إعادة توجيه IP إلى تعطيل فحص Azure للمصدر والوجهة لواجهة الشبكة. يجب مراجعة ذلك من جانب فريق أمان الشبكة. | deny | 1.0.0 |
| يجب ألا تحتوي واجهات الشبكة على عناوين IP عامة | يرفض هذا النهج واجهات شبكة الاتصال التي تم تهيئتها باستخدام بروتوكول إنترنت عام تسمح عناوين IP العامة لموارد الإنترنت بالاتصال الوارد إلى موارد Azure، Azure الموارد للاتصال الصادر إلى الإنترنت. يجب مراجعة ذلك من جانب فريق أمان الشبكة. | deny | 1.0.0 |
| Network Watcher يجب تمكين تحليلات نسبة استخدام الشبكة | تحلل تحليلات نسبة استخدام الشبكة سجلات التدفق لتوفير رؤى حول تدفق نسبة استخدام الشبكة في سحابة Azure. يمكن استخدامه لتصور نشاط الشبكة عبر اشتراكاتك Azure وتحديد النقاط الفعالة، وتحديد التهديدات الأمنية، وفهم أنماط تدفق حركة المرور، وتحديد التكوينات الخاطئة للشبكة والمزيد. | المراجعة، معطلة | 1.0.1 |
| يجب تمكين Network Watcher | Network Watcher هي خدمة إقليمية تمكنك من مراقبة الحالات وتشخيصها على مستوى سيناريو الشبكة في Azure وإي Azure. تُتيح لك مراقبة مستوى السيناريو تشخيص المشكلات في عرض مستوى الشبكة من البداية إلى النهاية. من الضروري أن تكون لديك مجموعة موارد لمراقبة الشبكة ليتم إنشاؤها في كل منطقة توجد بها شبكة ظاهرية. يتم تمكين تنبيه في حالة عدم توفر مجموعة موارد مراقب الشبكة في منطقة معينة. | AuditIfNotExists، معطل | 3.0.0 |
| يجب أن تحتوي عناوين IP العامة وبادئات IP العامة على علامة FirstPartyUsage | تأكد من أن جميع عناوين IP العامة وبادئات IP العامة لها علامة FirstPartyUsage. | التدقيق، الرفض، التعطيل | 1.1.0 |
| يجب أن يستخدم SQL Server نقطة نهاية خدمة شبكة ظاهرية | يقوم هذا النهج بمراجعة أي SQL Server لم يتم تكوينها لاستخدام نقطة نهاية خدمة شبكة ظاهرية. | AuditIfNotExists، معطل | 1.0.0 |
| تستخدم حسابات التخزين نقطة نهاية خدمة شبكة اتصال ظاهرية | يقوم هذا النهج بمراجعة أي حساب تخزين لم تُجرَ تهيئته لاستخدام نقطة نهاية خدمة شبكة اتصال افتراضية. | المراجعة، معطلة | 1.0.0 |
| يجب أن تكون الشبكات الفرعية خاصة | تأكد من أن الشبكات الفرعية آمنة بشكل افتراضي عن طريق منع الوصول الصادر الافتراضي. لمزيد من المعلومات، انتقل إلى https://aka.ms/defaultoutboundaccessretirement | التدقيق، الرفض، التعطيل | 1.1.0 |
| يجب حماية المراكز الظاهرية باستخدام Azure Firewall | انشر Azure Firewall إلى المراكز الظاهرية الخاصة بك لحماية حركة خروج الإنترنت والدخول والتحكم فيها بشكل دقيق. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب توصيل الأجهزة الظاهرية بشبكة ظاهرية معتمدة | يقوم هذا النهج بمراجعة أي جهاز افتراضي متصل بشبكة افتراضية غير معتمدة. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب حماية الشبكات الظاهرية بواسطة Azure حماية DDoS | حماية الشبكات الظاهرية من هجمات الحجم والبروتوكول باستخدام Azure DDoS Protection. لمزيد من المعلومات، تفضل بزيارة https://aka.ms/ddosprotectiondocs. | تعديل، تدقيق، تعطيل | 1.0.1 |
| يجب أن تستخدم الشبكات الافتراضية بوابة شبكة اتصال افتراضية محددة | يقوم هذا النهج بمراجعة أي شبكة اتصال افتراضية إذا لم يشر المسار الافتراضي إلى بوابة الشبكة الافتراضية المحددة. | AuditIfNotExists، معطل | 1.0.0 |
| يجب أن تستخدم بوابات VPN مصادقة Azure Active Directory (Azure AD) فقط لمستخدمي نقطة إلى موقع | يؤدي تعطيل أساليب المصادقة المحلية إلى تحسين الأمان من خلال التأكد من أن بوابات VPN تستخدم هويات Azure Active Directory فقط للمصادقة. تعرف على المزيد حول مصادقة Azure AD في https://docs.microsoft.com/azure/vpn-gateway/openvpn-azure-ad-tenant | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب تمكين Web Application Firewall (WAF) ل Application Gateway | انشر Azure Web Application Firewall (WAF) أمام تطبيقات الويب العامة لفحص إضافي لنسبة استخدام الشبكة الواردة. يوفر Web Application Firewall (WAF) حماية مركزية لتطبيقات الويب الخاصة بك من الاستغلالات والثغرات الأمنية الشائعة مثل حقن SQL والبرمجة النصية عبر المواقع وعمليات تنفيذ الملفات المحلية والنائية. يمكنك أيضًا تقييد الوصول إلى تطبيقات الويب الخاصة بك حسب البلدان ونطاقات عناوين IP ومعلمات http(s) الأخرى عبر القواعد المخصصة. | التدقيق، الرفض، التعطيل | 2.0.0 |
| يجب أن يستخدم Web Application Firewall (WAF) الوضع المحدد لبوابة التطبيق | يفرض استخدام وضع "الكشف" أو "الوقاية" ليكون نشطا في جميع نهج Web Application Firewall لبوابة التطبيق. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب أن يستخدم Web Application Firewall (WAF) الوضع المحدد ل Azure Front Door Service | تكليف استخدام وضع "الكشف" أو "الوقاية" ليكون نشطا في جميع السياسات Web Application Firewall Azure Front Door Service. | التدقيق، الرفض، التعطيل | 1.0.0 |
Tags
| Name (مدخل Azure) |
Description | Effect(s) | Version (GitHub) |
|---|---|---|---|
| إضافة علامة إلى مجموعات الموارد | إضافة العلامة والقيمة المحددتين عند إنشاء أو تحديث أي مجموعة موارد لا تحتوي على هذه العلامة. يمكن معالجة مجموعات الموارد الحالية من خلال تشغيل مهمة المعالجة. إذا كانت العلامة موجودة بقيمة مختلفة، فلن يتم تغييرها. | modify | 1.0.0 |
| إضافة علامة إلى الموارد | إضافة العلامة والقيمة المحددتين عند إنشاء أو تحديث أي مورد مفقود هذه العلامة. يمكن معالجة الموارد الموجودة عن طريق بدء مهمة المعالجة. إذا كانت العلامة موجودة بقيمة مختلفة، فلن يتم تغييرها. لا يتم تعديل العلامات على مجموعات الموارد. | modify | 1.0.0 |
| إضافة علامة إلى الاشتراكات | إضافة العلامة والقيمة المحددتين للاشتراكات عبر مهمة الإصلاح. إذا كانت العلامة موجودة بقيمة مختلفة، فلن يتم تغييرها. انظر https://aka.ms/azurepolicyremediation لمزيد من المعلومات حول معالجة السياسات. | modify | 1.0.0 |
| إضافة أو استبدال علامة في مجموعات الموارد | إضافة أو استبدال العلامة والقيمة المحددتين عند إنشاء أو تحديث أي مجموعة موارد. يمكن معالجة مجموعات الموارد الحالية من خلال تشغيل مهمة المعالجة. | modify | 1.0.0 |
| إضافة أو استبدال علامة على الموارد | إضافة أو استبدال العلامة والقيمة المحددتين عند إنشاء أو تحديث أي مورد. يمكن معالجة الموارد الموجودة عن طريق بدء مهمة المعالجة. لا يتم تعديل العلامات على مجموعات الموارد. | modify | 1.0.0 |
| إضافة علامة أو استبدالها في الاشتراكات | إضافة أو استبدال العلامة والقيمة المحددتين للاشتراكات عبر مهمة المعالجة. يمكن معالجة مجموعات الموارد الحالية من خلال تشغيل مهمة المعالجة. انظر https://aka.ms/azurepolicyremediation لمزيد من المعلومات حول معالجة السياسات. | modify | 1.0.0 |
| إرفاق علامة وقيمتها من مجموعة الموارد | لإرفاق العلامة المحددة بقيمتها من مجموعة الموارد عند إنشاء أو تحديث أي مورد يفتقد هذه العلامة. لا يتم تعديل علامات الموارد التي تم إنشاؤها قبل تطبيق هذه السياسة حتى يتم تغيير هذه الموارد. تتوفر سياسات تأثير "التعديل" الجديدة التي تدعم معالجة العلامات على الموارد الحالية (راجع https://aka.ms/modifydoc). | append | 1.0.0 |
| إرفاق علامة وقيمتها بمجموعات الموارد | لإرفاق العلامة والقيمة المحددتين عند إنشاء أو تحديث أي مجموعة موارد تفتقد إلى هذه العلامة. لا يتم تعديل علامات مجموعات الموارد التي تم إنشاؤها قبل تطبيق هذه السياسة حتى يتم تغيير مجموعات الموارد هذه. تتوفر سياسات تأثير "التعديل" الجديدة التي تدعم معالجة العلامات على الموارد الحالية (راجع https://aka.ms/modifydoc). | append | 1.0.0 |
| إرفاق علامة وقيمتها بالموارد | لإرفاق العلامة والقيمة المحددتين عند إنشاء أو تحديث أي مورد يفتقد إلى هذه العلامة. لا يتم تعديل علامات الموارد التي تم إنشاؤها قبل تطبيق هذه السياسة حتى يتم تغيير هذه الموارد. لا ينطبق على مجموعات الموارد. تتوفر سياسات تأثير "التعديل" الجديدة التي تدعم معالجة العلامات على الموارد الحالية (راجع https://aka.ms/modifydoc). | append | 1.0.1 |
| استيراد علامة من مجموعة الموارد | إضافة أو استبدال العلامة والقيمة المحددتين من مجموعة الموارد الرئيسية عند إنشاء أي مورد أو تحديثه. يمكن معالجة الموارد الموجودة عن طريق بدء مهمة المعالجة. | modify | 1.0.0 |
| استيراد علامة من مجموعة الموارد في حالة فقدها | إضافة العلامة المحددة بقيمتها من مجموعة الموارد الرئيسية عند إنشاء أو تحديث أي مورد مفقود هذه العلامة. يمكن معالجة الموارد الموجودة عن طريق بدء مهمة المعالجة. إذا كانت العلامة موجودة بقيمة مختلفة، فلن يتم تغييرها. | modify | 1.0.0 |
| استيراد علامة من الاشتراك | استيراد أو استبدال العلامة والقيمة المحددتين من الاشتراك المتضمن عند إنشاء أي مورد أو تحديثه. يمكن معالجة الموارد الموجودة عن طريق بدء مهمة المعالجة. | modify | 1.0.0 |
| استيراد علامة من الاشتراك في حالة فقدها | إضافة العلامة المحددة بقيمتها من الاشتراك المتضمن عند إنشاء أو تحديث أي مورد لا يحتوي على هذه العلامة. يمكن معالجة الموارد الموجودة عن طريق بدء مهمة المعالجة. إذا كانت العلامة موجودة بقيمة مختلفة، فلن يتم تغييرها. | modify | 1.0.0 |
| طلب علامة وقيمتها في مجموعات الموارد | فرض علامة مطلوبة وقيمتها على مجموعات الموارد. | deny | 1.0.0 |
| طلب علامة وقيمتها في الموارد | فرض العلامة المطلوبة وقيمتها. لا ينطبق على مجموعات الموارد. | deny | 1.0.1 |
| طلب علامة في مجموعات الموارد | فرض وجود علامة على مجموعات الموارد. | deny | 1.0.0 |
| طلب علامة على الموارد | فرض وجود علامة. لا ينطبق على مجموعات الموارد. | deny | 1.0.1 |
General
| Name (مدخل Azure) |
Description | Effect(s) | Version (GitHub) |
|---|---|---|---|
| المواقع المسموح بها | يمكّنك هذا النهج من تقييد المواقع التي يمكن لمؤسستك تحديدها عند توزيع الموارد. تُستخدم لفرض متطلبات التوافق الجغرافي الخاصة بك. يستبعد مجموعات الموارد، Microsoft. AzureActiveDirectory/b2cDirectories والموارد التي تستخدم المنطقة "العمومية". | التدقيق، الرفض، التعطيل | 1.1.0 |
| المواقع المسموح بها لمجموعات الموارد | تمكّنك هذه السياسة من تقييد المواقع التي يمكن لمؤسستك إنشاء مجموعات موارد فيها. تُستخدم لفرض متطلبات التوافق الجغرافي الخاصة بك. | التدقيق، الرفض، التعطيل | 1.1.0 |
| أنواع الموارد المسموح بها | يمكّنك هذا النهج من تحديد أنواع الموارد التي يمكن لمؤسستك نشرها. لن تتأثر سوى أنواع الموارد التي تدعم "العلامات" و"الموقع" بهذه السياسة. لتقييد جميع الموارد، يرجى تكرار هذه السياسة وتغيير الوضع إلى "All". | التدقيق، الرفض، التعطيل | 1.1.0 |
| يطابق موقع مورد التدقيق موقع مجموعة الموارد | تحقق من مطابقة موقع المورد لموقع مجموعة الموارد الخاصة به | التدقيق، الرفض، التعطيل | 2.1.0 |
| تدقيق استخدام أدوار RBAC المخصصة | تدقيق الأدوار المضمنة مثل Owner وContributer وReader بدلاً من أدوار RBAC المخصصة، والتي تعد عرضة للخطأ. يتم التعامل مع استخدام الأدوار المخصصة كاستثناء، ويتطلب مراجعة صارمة ووضع نمذجة للتهديدات | المراجعة، معطلة | 1.0.1 |
| تكوين الاشتراكات لإعداد ميزات المعاينة | يقيم هذا النهج ميزات معاينة الاشتراك الموجودة. يمكن معالجة الاشتراكات للتسجيل في ميزة معاينة جديدة. لن يتم تسجيل الاشتراكات الجديدة تلقائيا. | AuditIfNotExists، DeployIfNotExists، مُعطل | 1.0.1 |
| عدم السماح بحذف أنواع الموارد | يمكنك هذا النهج من تحديد أنواع الموارد التي يمكن لمؤسستك حمايتها من الحذف العرضي عن طريق حظر استدعاءات الحذف باستخدام تأثير إجراء الرفض. | DenyAction، معطلة | 1.0.1 |
| عدم السماح بموارد M365 | حظر إنشاء موارد M365. | التدقيق، الرفض، التعطيل | 1.0.0 |
| عدم السماح بموارد MCPP | حظر إنشاء موارد MCPP. | التدقيق، الرفض، التعطيل | 1.0.0 |
| استبعاد موارد تكاليف الاستخدام | يمكنك هذا النهج من exlcude Usage Costs Resources. تشمل تكاليف الاستخدام أشياء مثل التخزين المحدود وموارد Azure التي تتم فوترتها بناء على الاستخدام. | التدقيق، الرفض، التعطيل | 1.0.0 |
| أنواع الموارد غير المسموح بها | تقييد أنواع الموارد التي يمكن نشرها في بيئتك. يمكن أن يؤدي الحد من أنواع الموارد إلى تقليل التعقيد والهجوم على سطح بيئتك بينما يساعد أيضًا في إدارة التكاليف. لا يتم عرض سوى نتائج الامتثال الخاصة بالموارد غير المتوافقة. | التدقيق، الرفض، التعطيل | 2.0.0 |
| يجب على المستخدمين المصادقة باستخدام مصادقة متعددة العوامل لإنشاء الموارد أو تحديثها | يمنع تعريف النهج هذا عمليات إنشاء الموارد وتحديثها عندما لا تتم مصادقة المتصل عبر MFA. لمزيد من المعلومات، تفضل بزيارة https://aka.ms/mfaforazure. | التدقيق، الرفض، التعطيل | 1.1.0 |
| يجب على المستخدمين المصادقة باستخدام مصادقة متعددة العوامل لحذف الموارد | يمنع تعريف النهج هذا عمليات حذف الموارد عندما لا تتم مصادقة المتصل عبر MFA. لمزيد من المعلومات، تفضل بزيارة https://aka.ms/mfaforazure. | AuditAction ، DenyAction ، معطل | 1.1.0 |
الخطوات التالية
- راجع المضمنات في Azure Policy GitHub repo.
- راجع بنية تعريف Azure Policy.
- راجع فهم تأثيرات النهج.