Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Tato stránka je indexem Azure Policy předdefinovaných definic zásad pro Azure Virtual Network. Další integrované Azure Policy pro jiné služby najdete v tématu Azure Policy předdefinovaných definic.
Název každé předdefinované definice zásad odkazuje na definici zásady na portálu Azure. Pomocí odkazu ve sloupci Version zobrazte zdroj v úložišti Azure Policy GitHub.
Virtuální síť Azure
| Name (portál Azure) |
Description | Effect(s) | Version (GitHub) |
|---|---|---|---|
| [Preview]: Veškerý internetový provoz by se měl směrovat přes nasazený Azure Firewall | Azure Security Center zjistili, že některé z vašich podsítí nejsou chráněné bránou firewall nové generace. Ochrana podsítí před potenciálními hrozbami omezením přístupu k nim pomocí Azure Firewall nebo podporované brány firewall nové generace | AuditIfNotExists, deaktivováno | 3.0.0-preview |
| [Preview]: Container Registry by měl používat koncový bod služby virtuální sítě. | Tato zásada audituje všechny služby Container Registry, které nejsou nakonfigurované tak, aby používaly koncový bod služby virtuální sítě. | Audit, deaktivováno | 1.0.0-preview |
| A musí být použita vlastní zásada IPsec/IKE pro všechna připojení brány virtuální sítě Azure | Tato zásada zajišťuje, aby všechna připojení brány virtuální sítě Azure používala vlastní zásady protokolu Ipsec (Internet Protocol Security)/Internet Key Exchange(IKE). Podporované algoritmy a klíčové síly – https://aka.ms/AA62kb0 | Audit, deaktivováno | 1.0.0 |
| Všechny prostředky protokolu toku by měly být ve stavu povoleného. | Auditujte prostředky protokolu toku a ověřte, jestli je povolený stav protokolu toku. Povolení protokolů toků umožňuje protokolovat informace o toku provozu PROTOKOLU IP. Dá se použít k optimalizaci toků sítě, monitorování propustnosti, ověřování dodržování předpisů, zjišťování neoprávněných vniknutí a další. | Audit, deaktivováno | 1.0.1 |
| Aplikace služby App Service by měly používat koncový bod služby virtuální sítě. | Pomocí koncových bodů služby virtuální sítě omezte přístup k aplikaci z vybraných podsítí z Azure virtuální sítě. Další informace o koncových bodech služby App Service najdete v tématu https://aka.ms/appservice-vnet-service-endpoint. | AuditIfNotExists, deaktivováno | 2.0.1 |
| Konfigurace protokolů toku auditu pro každou virtuální síť | Auditujte virtuální síť a ověřte, jestli jsou nakonfigurované protokoly toku. Povolení protokolů toku umožňuje protokolovat informace o provozu PROTOKOLU IP procházejících přes virtuální síť. Dá se použít k optimalizaci toků sítě, monitorování propustnosti, ověřování dodržování předpisů, zjišťování neoprávněných vniknutí a další. | Audit, deaktivováno | 1.0.1 |
| Azure Application Gateway pro kontejnery musí mít zásady zabezpečení | Zajišťuje, že Application Gateway for Containers má alespoň jednu nakonfigurovanou bezpečnostní politiku | AuditIfNotExists, deaktivováno | 1.0.0 |
| Azure Application Gateway by se měly nasadit s Azure WAF | Vyžaduje, aby se Azure Application Gateway prostředky nasazovaly s Azure WAF. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Azure Firewall klasická pravidla by se měla migrovat na zásady brány firewall | Migrujte z Azure Firewall klasických pravidel na zásady brány firewall a využijte nástroje centrální správy, jako je Azure Firewall Manager. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Azure Firewall Policy Analytics by měla být povolená | Povolení služby Policy Analytics poskytuje lepší přehled o provozu procházejícího přes Azure Firewall a umožňuje optimalizaci konfigurace brány firewall, aniž by to mělo vliv na výkon aplikace. | Audit, deaktivováno | 1.0.0 |
| zásady Azure Firewall by měly povolit analýzu hrozeb | Pro bránu firewall můžete povolit filtrování na základě analýzy hrozeb, které umožňuje upozorňovat na provoz ze známých škodlivých IP adres a domén nebo z nich a zamítat ho. IP adresy a domény pocházejí z informačního kanálu Microsoft Threat Intelligence. | Audit, Odepřít, Zakázáno | 1.0.0 |
| zásady Azure Firewall by měly mít povolené proxy server DNS | Povolením proxy serveru DNS se Azure Firewall přidružené k této zásadě nastaví tak, aby naslouchal na portu 53 a předával požadavky DNS na zadaný server DNS. | Audit, deaktivováno | 1.0.0 |
| Azure Firewall byste měli nasadit tak, aby přesahovaly více Availability Zones | Pokud chcete zvýšit dostupnost, doporučujeme nasadit Azure Firewall pro více Availability Zones. Tím zajistíte, že vaše Azure Firewall zůstanou dostupné v případě selhání zóny. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Azure Firewall Standard – Klasická pravidla by měla povolit analýzu hrozeb | Pro bránu firewall můžete povolit filtrování na základě analýzy hrozeb, které umožňuje upozorňovat na provoz ze známých škodlivých IP adres a domén nebo z nich a zamítat ho. IP adresy a domény pocházejí z informačního kanálu Microsoft Threat Intelligence. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Azure Firewall Standard by se měl upgradovat na Úroveň Premium pro ochranu nové generace | Pokud hledáte ochranu nové generace, jako je kontrola IDPS a TLS, měli byste zvážit upgrade Azure Firewall na skladovou položku Premium. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Azure brány VPN by neměly používat skladovou položku Basic | Tato zásada zajišťuje, že brány VPN nepoužívají skladovou položku Basic. | Audit, deaktivováno | 1.0.0 |
| Azure Web Application Firewall u Azure Application Gateway by měla být povolena kontrola subjektu žádostí | Ujistěte se, že brány firewall webových aplikací přidružené ke službě Azure Application Gateway mají povolenou kontrolu těla požadavku. To umožňuje WAF kontrolovat vlastnosti v těle HTTP, které nemusí být vyhodnoceny v hlavičkách HTTP, souborech cookie nebo identifikátoru URI. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Azure Web Application Firewall Azure Front Door by měla mít povolenou kontrolu subjektu žádostí | Ujistěte se, že brány firewall webových aplikací přidružené ke službě Azure Front Door mají povolenou kontrolu těla požadavku. To umožňuje WAF kontrolovat vlastnosti v těle HTTP, které nemusí být vyhodnoceny v hlavičkách HTTP, souborech cookie nebo identifikátoru URI. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Azure Web Application Firewall by měly být povolené pro vstupní body Azure Front Door | Nasaďte Azure Web Application Firewall (WAF) před veřejně přístupné webové aplikace pro další kontrolu příchozího provozu. Web Application Firewall (WAF) poskytuje centralizovanou ochranu webových aplikací před běžným zneužitím a ohrožením zabezpečení, jako jsou injektáže SQL, skriptování mezi weby, místní a vzdálené spouštění souborů. Přístup k webovým aplikacím můžete omezit také podle zemí, rozsahů IP adres a dalších parametrů HTTP prostřednictvím vlastních pravidel. | Audit, Odepřít, Zakázáno | 1.0.2 |
| Bot Protection by měla být povolená pro Azure Application Gateway WAF | Tato zásada zajišťuje, že je ochrana robota povolená ve všech zásadách Azure Application Gateway Web Application Firewall (WAF). | Audit, Odepřít, Zakázáno | 1.0.0 |
| Bot Protection by měla být povolená pro Azure Front Door WAF | Tato zásada zajišťuje, že je ochrana robotů povolená ve všech zásadách Azure Front Door Web Application Firewall (WAF). | Audit, Odepřít, Zakázáno | 1.0.0 |
| Konfigurování nastavení diagnostiky pro skupiny zabezpečení sítě Azure pro Log Analytics pracovní prostor | Nasaďte nastavení diagnostiky pro Azure skupiny zabezpečení sítě pro streamování protokolů prostředků do pracovního prostoru Log Analytics. | "DeployIfNotExists", zakázáno | 1.0.0 |
| Konfigurace skupin zabezpečení sítě pro povolení analýzy provozu | Analýzu provozu je možné povolit pro všechny skupiny zabezpečení sítě hostované v konkrétní oblasti s nastavením poskytovaným během vytváření zásad. Pokud už je povolená analýza provozu, zásady nepřepíšou jeho nastavení. Protokoly toku jsou také povolené pro skupiny zabezpečení sítě, které je nemají. Analýza provozu je cloudové řešení, které poskytuje přehled o aktivitách uživatelů a aplikací v cloudových sítích. | "DeployIfNotExists", zakázáno | 1.2.0 |
| Konfigurace skupin zabezpečení sítě pro použití konkrétního pracovního prostoru, účtu úložiště a zásad uchovávání toku pro analýzu provozu | Pokud už má povolenou analýzu provozu, zásada přepíše stávající nastavení pomocí těch, které jsou k dispozici při vytváření zásad. Analýza provozu je cloudové řešení, které poskytuje přehled o aktivitách uživatelů a aplikací v cloudových sítích. | "DeployIfNotExists", zakázáno | 1.2.0 |
| Konfigurace virtuální sítě pro povolení služby Flow Log a Traffic Analytics | Protokoly analýzy provozu a toku je možné povolit pro všechny virtuální sítě hostované v konkrétní oblasti s nastavením poskytnutým během vytváření zásad. Tato zásada nepřepíše aktuální nastavení pro virtuální sítě, které už mají tuto funkci povolenou. Analýza provozu je cloudové řešení, které poskytuje přehled o aktivitách uživatelů a aplikací v cloudových sítích. | "DeployIfNotExists", zakázáno | 1.1.1 |
| Konfigurace virtuálních sítí pro vynucení pracovního prostoru, účtu úložiště a intervalu uchovávání pro protokoly toku a analýzu provozu | Pokud už má virtuální síť povolenou analýzu provozu, tato zásada přepíše stávající nastavení těmi, které jsou k dispozici při vytváření zásad. Analýza provozu je cloudové řešení, které poskytuje přehled o aktivitách uživatelů a aplikací v cloudových sítích. | "DeployIfNotExists", zakázáno | 1.1.2 |
| Cosmos DB by měl používat koncový bod služby virtuální sítě. | Tato zásada audituje jakoukoli službu Cosmos DB, která není nakonfigurovaná tak, aby používala koncový bod služby virtuální sítě. | Audit, deaktivováno | 1.0.0 |
| Vytvoření centrálního pracovního prostoru Log Analytics pro analýzu provozu toku virtuální sítě v zadané skupině prostředků | Vytvořte centrální pracovní prostor Log Analytics v přiřazeném oboru a ve skupině prostředků nwtarg-<subscriptionID> ve výchozím nastavení pro toky virtuální sítě. | "DeployIfNotExists", zakázáno | 1.0.0 |
| Vytvoření regionálního networkwatcheru ve službě NetworkWatcherRG pro toky virtuální sítě | Tato zásada vytvoří Network Watcher v zadané oblasti, aby bylo možné povolit flowlogy pro virtuální sítě. | "DeployIfNotExists", zakázáno | 1.0.0 |
| Vytvoření místního účtu úložiště pro toky virtuální sítě v resourceGroupName RG | Ve výchozím nastavení vytvoří účet regionálního úložiště v přiřazeném oboru a ve skupině prostředků nwtarg-subscriptionID<> pro toky virtuální sítě. | "DeployIfNotExists", zakázáno | 1.0.0 |
| Nasazení prostředku protokolu toku s cílovou skupinou zabezpečení sítě | Konfiguruje protokol toku pro konkrétní skupinu zabezpečení sítě. Umožní protokolovat informace o provozu PROTOKOLU IP procházejících skupinou zabezpečení sítě. Protokol toku pomáhá identifikovat neznámý nebo nežádoucí provoz, ověřit izolaci sítě a dodržování předpisů podnikovým přístupem, analyzovat toky sítě z ohrožených IP adres a síťových rozhraní. | deployIfNotExists | 1.1.0 |
| Nasazení prostředku protokolu toku s cílovou virtuální sítí | Konfiguruje protokol toku pro konkrétní virtuální síť. Umožní protokolovat informace o provozu PROTOKOLU IP procházejících přes virtuální síť. Protokol toku pomáhá identifikovat neznámý nebo nežádoucí provoz, ověřit izolaci sítě a dodržování předpisů podnikovým přístupem, analyzovat toky sítě z ohrožených IP adres a síťových rozhraní. | "DeployIfNotExists", zakázáno | 1.1.1 |
| Nasazení služby Network Watcher při vytváření virtuálních sítí | Tato zásada vytvoří prostředek sledovacího modulu sítě v oblastech s virtuálními sítěmi. Potřebujete zajistit existenci skupiny prostředků s názvem networkWatcherRG, která se použije k nasazení instancí network watcheru. | DeployIfNotExists | 1.0.0 |
| protokoly toku virtuální sítě Deploy s analýzou provozu pro virtuální sítě s regionálním úložištěm a centralizovaným Log Analytics | Nasaďte protokoly toku virtuální sítě pomocí Analýzy provozu pro virtuální sítě s regionálním úložištěm a centralizovaným Log Analytics. Před nápravou se ujistěte, že skupina prostředků resourceGroupName, účet úložiště, Log Analytics pracovní prostor, Network Watcher už jsou nasazené. | "DeployIfNotExists", zakázáno | 1.0.0 |
| Pravidlo Omezení rychlosti umožňující ochranu před útoky DDoS na Azure Front Door WAF | Pravidlo omezení rychlosti Azure Web Application Firewall (WAF) pro Azure Front Door řídí počet požadavků povolených z konkrétní IP adresy klienta do aplikace během doby trvání omezení rychlosti. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Centrum událostí by mělo používat koncový bod služby virtuální sítě. | Tato zásada audituje jakékoli centrum událostí, které není nakonfigurované tak, aby používalo koncový bod služby virtuální sítě. | AuditIfNotExists, deaktivováno | 1.0.0 |
| Protokoly toku by měly být nakonfigurované pro každou skupinu zabezpečení sítě. | Auditujte skupiny zabezpečení sítě a ověřte, jestli jsou nakonfigurované protokoly toku. Povolení protokolů toku umožňuje protokolovat informace o provozu PROTOKOLU IP procházejících přes skupinu zabezpečení sítě. Dá se použít k optimalizaci toků sítě, monitorování propustnosti, ověřování dodržování předpisů, zjišťování neoprávněných vniknutí a další. | Audit, deaktivováno | 1.1.0 |
| Podsítě brány by neměly být nakonfigurované se skupinou zabezpečení sítě. | Tato zásada odmítne, pokud je podsíť brány nakonfigurovaná se skupinou zabezpečení sítě. Přiřazení skupiny zabezpečení sítě k podsíti brány způsobí, že brána přestane fungovat. | deny | 1.0.0 |
| Key Vault by měl používat koncový bod služby virtuální sítě | Tato zásada audituje všechny Key Vault, které nejsou nakonfigurované tak, aby používaly koncový bod služby virtuální sítě. | Audit, deaktivováno | 1.0.0 |
| Migrace WAF z konfigurace WAF na zásady WAF ve službě Application Gateway | Pokud máte konfiguraci WAF místo zásad WAF, možná budete chtít přejít na novou zásadu WAF. V budoucnu budou zásady brány firewall podporovat nastavení zásad WAF, sady spravovaných pravidel, vyloučení a zakázané skupiny pravidel. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Síťová rozhraní by měla zakázat předávání IP | Tato zásada zakazuje síťová rozhraní, která povolila předávání IP. Nastavení předávání IP zakáže kontrolu zdroje a cíle síťového rozhraní Azure. To by měl zkontrolovat tým zabezpečení sítě. | deny | 1.0.0 |
| Síťová rozhraní by neměla mít veřejné IP adresy | Tato zásada zakazuje síťová rozhraní, která jsou nakonfigurovaná s libovolnou veřejnou IP adresou. Veřejné IP adresy umožňují internetovým prostředkům komunikovat příchozí s Azure prostředky a Azure prostředky ke komunikaci odchozích dat s internetem. To by měl zkontrolovat tým zabezpečení sítě. | deny | 1.0.0 |
| protokoly toku Network Watcher by měly mít povolené analýzy provozu | Analýza provozu analyzuje protokoly toku, aby poskytovala přehledy o toku provozu ve vašem Azure cloudu. Dá se použít k vizualizaci síťové aktivity napříč předplatnými Azure a identifikaci horkých míst, identifikaci bezpečnostních hrozeb, pochopení vzorců toku provozu, určení chyb konfigurace sítě a další. | Audit, deaktivováno | 1.0.1 |
| Network Watcher by měla být povolená | Network Watcher je regionální služba, která umožňuje monitorovat a diagnostikovat podmínky na úrovni scénáře sítě v Azure a z Azure. Monitorování na úrovni scénáře umožňuje diagnostikovat problémy na úrovni sítě na konci až do zobrazení na úrovni sítě. Je nutné mít skupinu prostředků sledovacího nástroje sítě, která se má vytvořit v každé oblasti, kde je virtuální síť přítomná. Výstraha je povolená, pokud skupina prostředků sledovacího prostředí sítě není v konkrétní oblasti dostupná. | AuditIfNotExists, deaktivováno | 3.0.0 |
| Veřejné IP adresy a předpony veřejných IP adres by měly mít značku FirstPartyUsage. | Ujistěte se, že všechny veřejné IP adresy a předpony veřejných IP adres mají značku FirstPartyUsage. | Audit, Odepřít, Zakázáno | 1.1.0 |
| SQL Server by měl používat koncový bod služby virtuální sítě | Tato zásada provede audit všech SQL Server, které nejsou nakonfigurované tak, aby používaly koncový bod služby virtuální sítě. | AuditIfNotExists, deaktivováno | 1.0.0 |
| Účty úložiště by měly používat koncový bod služby virtuální sítě. | Tato zásada audituje všechny účty úložiště, které nejsou nakonfigurované tak, aby používaly koncový bod služby virtuální sítě. | Audit, deaktivováno | 1.0.0 |
| Podsítě by měly být privátní. | Ujistěte se, že vaše podsítě jsou ve výchozím nastavení zabezpečené, protože brání výchozímu odchozímu přístupu. Další informace najdete tady: https://aka.ms/defaultoutboundaccessretirement. | Audit, Odepřít, Zakázáno | 1.1.0 |
| Virtual Hubs by měla být chráněná pomocí Azure Firewall | Nasaďte do služby Virtual Hubs Azure Firewall, abyste chránili a podrobně kontrolují přenosy výchozího a příchozího přenosu dat z internetu. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Virtuální počítače by měly být připojené ke schválené virtuální síti. | Tato zásada provede audit všech virtuálních počítačů připojených k virtuální síti, která není schválena. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Virtuální sítě by měly být chráněné službou Azure DDoS Protection | Chraňte své virtuální sítě před multilicenčními útoky a útoky na protokoly pomocí služby Azure DDoS Protection. Další informace najdete na adrese https://aka.ms/ddosprotectiondocs. | Úprava, audit, zakázáno | 1.0.1 |
| Virtuální sítě by měly používat zadanou bránu virtuální sítě. | Tato zásada provede audit všech virtuálních sítí, pokud výchozí trasa neodkazuje na zadanou bránu virtuální sítě. | AuditIfNotExists, deaktivováno | 1.0.0 |
| brány VPN by měly používat pouze ověřování Azure Active Directory (Azure AD) pro uživatele typu point-to-site | Zakázání místních metod ověřování zlepšuje zabezpečení tím, že zajišťuje, aby brány VPN Gateway používaly pouze Azure Active Directory identit pro ověřování. Další informace o ověřování Azure AD najdete v tématu https://docs.microsoft.com/azure/vpn-gateway/openvpn-azure-ad-tenant | Audit, Odepřít, Zakázáno | 1.0.0 |
| Web Application Firewall (WAF) by měla být povolená pro službu Application Gateway | Nasaďte Azure Web Application Firewall (WAF) před veřejně přístupné webové aplikace pro další kontrolu příchozího provozu. Web Application Firewall (WAF) poskytuje centralizovanou ochranu webových aplikací před běžným zneužitím a ohrožením zabezpečení, jako jsou injektáže SQL, skriptování mezi weby, místní a vzdálené spouštění souborů. Přístup k webovým aplikacím můžete omezit také podle zemí, rozsahů IP adres a dalších parametrů HTTP prostřednictvím vlastních pravidel. | Audit, Odepřít, Zakázáno | 2.0.0 |
| Web Application Firewall (WAF) by měl používat zadaný režim pro Službu Application Gateway | Vyžaduje, aby používání režimu Detekce nebo Prevence byly aktivní ve všech zásadách Web Application Firewall pro službu Application Gateway. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Web Application Firewall (WAF) by měl používat zadaný režim pro Azure Front Door Service | Vyžaduje, aby byl režim detekce nebo prevence aktivní ve všech zásadách Web Application Firewall pro Azure Front Door Service. | Audit, Odepřít, Zakázáno | 1.0.0 |
Tags
| Name (portál Azure) |
Description | Effect(s) | Version (GitHub) |
|---|---|---|---|
| Přidat značku do skupin prostředků | Tyto zásady při vytvoření nebo aktualizaci jakékoli skupiny prostředků bez zadané značky přidají zadanou značku a hodnotu. Stávající skupiny prostředků je možné napravit aktivací úlohy nápravy. Pokud daná značka existuje, ale s jinou hodnotou, nezmění se. | modify | 1.0.0 |
| Přidat značku do prostředků | Tyto zásady při vytvoření nebo aktualizaci jakéhokoli prostředku bez zadané značky přidají zadanou značku a hodnotu. Stávající prostředky je možné napravit aktivací úlohy nápravy. Pokud daná značka existuje, ale s jinou hodnotou, nezmění se. Značky ve skupinách prostředků se neupravují. | modify | 1.0.0 |
| Přidání značky k předplatným | Přidá zadanou značku a hodnotu do předplatných prostřednictvím úlohy nápravy. Pokud daná značka existuje, ale s jinou hodnotou, nezmění se. Další https://aka.ms/azurepolicyremediation informace o nápravězásadch | modify | 1.0.0 |
| Přidat nebo nahradit značku ve skupinách prostředků | Tyto zásady při vytvoření nebo aktualizaci jakékoli skupiny prostředků přidají nebo nahradí zadanou značku a hodnotu. Stávající skupiny prostředků je možné napravit aktivací úlohy nápravy. | modify | 1.0.0 |
| Přidat nebo nahradit značku v prostředcích | Tyto zásady při vytvoření nebo aktualizaci jakéhokoli prostředku přidají nebo nahradí zadanou značku a hodnotu. Stávající prostředky je možné napravit aktivací úlohy nápravy. Značky ve skupinách prostředků se neupravují. | modify | 1.0.0 |
| Přidání nebo nahrazení značky u předplatných | Přidá nebo nahradí zadanou značku a hodnotu u předplatných prostřednictvím úlohy nápravy. Stávající skupiny prostředků je možné napravit aktivací úlohy nápravy. Další https://aka.ms/azurepolicyremediation informace o nápravězásadch | modify | 1.0.0 |
| Připojit značku a její hodnotu ze skupiny prostředků | Tyto zásady při vytvoření nebo aktualizaci jakéhokoli prostředku bez zadané značky připojí zadanou značku a její hodnotu ze skupiny prostředků. Tyto zásady neupravují značky prostředků vytvořené před použitím těchto zásad, dokud nedojde ke změně těchto prostředků. K dispozici jsou nové zásady účinku úpravy, které podporují nápravu značek u existujících prostředků (viz https://aka.ms/modifydoc). | připojit | 1.0.0 |
| Připojit značku a její hodnotu ke skupinám prostředků | Tyto zásady při vytvoření nebo aktualizaci jakékoli skupiny prostředků bez zadané značky připojí zadanou značku a hodnotu. Tyto zásady neupravují značky skupin prostředků vytvořené před použitím těchto zásad, dokud nedojde ke změně těchto skupin prostředků. K dispozici jsou nové zásady účinku úpravy, které podporují nápravu značek u existujících prostředků (viz https://aka.ms/modifydoc). | připojit | 1.0.0 |
| Připojit značku a její hodnotu k prostředkům | Tyto zásady při vytvoření nebo aktualizaci jakéhokoli prostředku bez zadané značky připojí zadanou značku a hodnotu. Tyto zásady neupravují značky prostředků vytvořené před použitím těchto zásad, dokud nedojde ke změně těchto prostředků. Tyto zásady se nevztahují na skupiny prostředků. K dispozici jsou nové zásady účinku úpravy, které podporují nápravu značek u existujících prostředků (viz https://aka.ms/modifydoc). | připojit | 1.0.1 |
| Zdědit značku ze skupiny prostředků | Tyto zásady při vytvoření nebo aktualizaci jakéhokoli prostředku přidají nebo nahradí zadanou značku a hodnotu z nadřazené skupiny prostředků. Stávající prostředky je možné napravit aktivací úlohy nápravy. | modify | 1.0.0 |
| Zdědit značku ze skupiny prostředků, pokud chybí | Tyto zásady při vytvoření nebo aktualizaci jakéhokoli prostředku bez zadané značky přidají zadanou značku a její hodnotu z nadřazené skupiny prostředků. Stávající prostředky je možné napravit aktivací úlohy nápravy. Pokud daná značka existuje, ale s jinou hodnotou, nezmění se. | modify | 1.0.0 |
| Zdědit značku z předplatného | Tyto zásady při vytvoření nebo aktualizaci jakéhokoli prostředku přidají nebo nahradí zadanou značku a hodnotu z nadřazeného předplatného. Stávající prostředky je možné napravit aktivací úlohy nápravy. | modify | 1.0.0 |
| Zdědit značku z předplatného, pokud chybí | Tyto zásady při vytvoření nebo aktualizaci jakéhokoli prostředku bez zadané značky přidají zadanou značku a její hodnotu z nadřazeného předplatného. Stávající prostředky je možné napravit aktivací úlohy nápravy. Pokud daná značka existuje, ale s jinou hodnotou, nezmění se. | modify | 1.0.0 |
| Vyžadovat značku a její hodnotu ve skupinách prostředků | Tyto zásady vynucují požadovanou značku a její hodnotu ve skupinách prostředků. | deny | 1.0.0 |
| Vyžadovat značku a její hodnotu v prostředcích | Tyto zásady vynucují požadovanou značku a její hodnotu. Tyto zásady se nevztahují na skupiny prostředků. | deny | 1.0.1 |
| Vyžadovat značku ve skupinách prostředků | Tyto zásady vynucují existenci značky ve skupinách prostředků. | deny | 1.0.0 |
| Vyžadovat značku v prostředcích | Tyto zásady vynucují existenci značky. Tyto zásady se nevztahují na skupiny prostředků. | deny | 1.0.1 |
General
| Name (portál Azure) |
Description | Effect(s) | Version (GitHub) |
|---|---|---|---|
| Povolené lokality | Tyto zásady umožňují omezit umístění, která může vaše organizace zadat při nasazování prostředků. Můžete je využít k vynucování vašich požadavků na geografické dodržování předpisů. Vyloučí skupiny prostředků Microsoft. AzureActiveDirectory/b2cDirectories a prostředky, které používají globální oblast. | Audit, Odepřít, Zakázáno | 1.1.0 |
| Povolená umístění pro skupiny prostředků | Tato zásada umožňuje omezit umístění, ve kterých může vaše organizace vytvářet skupiny prostředků. Můžete je využít k vynucování vašich požadavků na geografické dodržování předpisů. | Audit, Odepřít, Zakázáno | 1.1.0 |
| Povolené typy prostředků | Tato zásada umožňuje zadat typy prostředků, které může vaše organizace nasadit. Tyto zásady ovlivní jenom typy prostředků, které podporují značky a umístění. Chcete-li omezit všechny prostředky, duplikujte tuto zásadu a změňte režim na Vše. | Audit, Odepřít, Zakázáno | 1.1.0 |
| Auditovat umístění prostředků odpovídá umístění skupiny prostředků | Auditování, že umístění prostředku odpovídá umístění skupiny prostředků | Audit, Odepřít, Zakázáno | 2.1.0 |
| Auditování využití vlastních rolí RBAC | Auditujte předdefinované role, jako je Vlastník, Přispěvatel, Čtenář, Místo vlastních rolí RBAC, které jsou náchylné k chybám. Použití vlastních rolí se považuje za výjimku a vyžaduje důkladnou kontrolu a modelování hrozeb. | Audit, deaktivováno | 1.0.1 |
| Konfigurace předplatných pro nastavení funkcí ve verzi Preview | Tato zásada vyhodnocuje funkce preview stávajícího předplatného. Předplatná je možné napravit, aby se zaregistrovala k nové funkci Preview. Nová předplatná se nebudou automaticky registrovat. | AuditPokudNeexistuje, NasaditPokudNeexistuje, Deaktivováno | 1.0.1 |
| Nepovolit odstranění typů prostředků | Tato zásada umožňuje určit typy prostředků, které vaše organizace může chránit před náhodným odstraněním blokováním volání odstranění pomocí efektu akce zamítnutí. | DenyAction, Zakázáno | 1.0.1 |
| Nepovolit prostředky M365 | Blokování vytváření prostředků M365 | Audit, Odepřít, Zakázáno | 1.0.0 |
| Nepovolit prostředky MCPP | Blokování vytváření prostředků MCPP | Audit, Odepřít, Zakázáno | 1.0.0 |
| Vyloučení prostředků nákladů na využití | Tato zásada umožňuje zobrazit zdroje nákladů na využití. Náklady na využití zahrnují například měřené úložiště a Azure prostředky, které se účtují na základě využití. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Nepovolené typy prostředků | Omezte, které typy prostředků je možné nasadit ve vašem prostředí. Omezení typů prostředků může snížit složitost a prostor pro útoky na vaše prostředí a zároveň pomáhá spravovat náklady. Výsledky dodržování předpisů se zobrazují jenom pro nevyhovující prostředky. | Audit, Odepřít, Zakázáno | 2.0.0 |
| Uživatelé se musí ověřit pomocí vícefaktorového ověřování, aby mohli vytvářet nebo aktualizovat prostředky. | Tato definice zásady blokuje operace vytváření a aktualizace prostředků, pokud volající není ověřený prostřednictvím vícefaktorového ověřování. Další informace najdete na adrese https://aka.ms/mfaforazure. | Audit, Odepřít, Zakázáno | 1.1.0 |
| Uživatelé se musí ověřovat pomocí vícefaktorového ověřování, aby bylo možné odstranit prostředky. | Tato definice zásady blokuje operace odstranění prostředků, pokud volající není ověřený prostřednictvím vícefaktorového ověřování. Další informace najdete na adrese https://aka.ms/mfaforazure. | Auditování, Odmítnout, Zakázáno | 1.1.0 |
Další kroky
- Prohlédněte si integrované iny v úložišti Azure Policy GitHub.
- Zkontrolujte strukturu definic Azure Policy.
- Projděte si Vysvětlení efektů zásad.