Předdefinované definice služby Azure Policy pro azure Virtual Network
Tato stránka je indexem předdefinovaných definic zásad služby Azure Policy pro službu Azure Virtual Network. Další integrované iny Azure Policy pro jiné služby najdete v tématu Předdefinované definice služby Azure Policy.
Název každé předdefinované definice zásad odkazuje na definici zásad na webu Azure Portal. Pomocí odkazu ve sloupci Verze zobrazte zdroj v úložišti Azure Policy na GitHubu.
Azure Virtual Network
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| [Preview]: Veškerý internetový provoz by se měl směrovat přes nasazenou bránu Azure Firewall. | Služba Azure Security Center zjistila, že některé z vašich podsítí nejsou chráněné bránou firewall nové generace. Ochrana podsítí před potenciálními hrozbami omezením přístupu k nim pomocí služby Azure Firewall nebo podporované brány firewall nové generace | AuditIfNotExists, zakázáno | 3.0.0-preview |
| [Preview]: Container Registry by měl používat koncový bod služby virtuální sítě. | Tato zásada audituje všechny služby Container Registry, které nejsou nakonfigurované tak, aby používaly koncový bod služby virtuální sítě. | Audit, zakázáno | 1.0.0-preview |
| Na všechna připojení brány virtuální sítě Azure se musí použít vlastní zásady IPsec/IKE. | Tato zásada zajišťuje, že všechna připojení brány virtuální sítě Azure používají vlastní zásady protokolu Ipsec (Internet Protocol Security)/Internet Key Exchange(IKE). Podporované algoritmy a klíčové síly – https://aka.ms/AA62kb0 | Audit, zakázáno | 1.0.0 |
| Všechny prostředky protokolu toku by měly být ve stavu povoleného. | Auditujte prostředky protokolu toku a ověřte, jestli je povolený stav protokolu toku. Povolení protokolů toků umožňuje protokolovat informace o toku provozu PROTOKOLU IP. Dá se použít k optimalizaci toků sítě, monitorování propustnosti, ověřování dodržování předpisů, zjišťování neoprávněných vniknutí a další. | Audit, zakázáno | 1.0.1 |
| Aplikace služby App Service by měly používat koncový bod služby virtuální sítě. | Pomocí koncových bodů služby virtuální sítě omezte přístup k vaší aplikaci z vybraných podsítí z virtuální sítě Azure. Další informace o koncových bodech služby App Service najdete v tématu https://aka.ms/appservice-vnet-service-endpoint. | AuditIfNotExists, zakázáno | 2.0.1 |
| Konfigurace protokolů toku auditu pro každou virtuální síť | Auditujte virtuální síť a ověřte, jestli jsou nakonfigurované protokoly toku. Povolení protokolů toku umožňuje protokolovat informace o provozu PROTOKOLU IP procházejících přes virtuální síť. Dá se použít k optimalizaci toků sítě, monitorování propustnosti, ověřování dodržování předpisů, zjišťování neoprávněných vniknutí a další. | Audit, zakázáno | 1.0.1 |
| Aplikace Azure Gateway by se měla nasadit s Azure WAF | Vyžaduje, aby se prostředky brány Aplikace Azure nasazovaly s Azure WAF. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Zásady brány Azure Firewall by měly povolit kontrolu protokolu TLS v rámci pravidel aplikace. | Povolení kontroly protokolu TLS se doporučuje, aby všechna pravidla aplikace zjistila, upozorňovala a zmírňovala škodlivou aktivitu v protokolu HTTPS. Další informace o kontrole protokolu TLS pomocí služby Azure Firewall najdete v tématu https://aka.ms/fw-tlsinspect | Audit, Odepřít, Zakázáno | 1.0.0 |
| Azure Firewall Premium by měl nakonfigurovat platný zprostředkující certifikát pro povolení kontroly protokolu TLS. | Nakonfigurujte platný zprostředkující certifikát a povolte kontrolu protokolu TLS služby Azure Firewall Premium, abyste zjistili, upozorňovali a zmírňovali škodlivou aktivitu v protokolu HTTPS. Další informace o kontrole protokolu TLS pomocí služby Azure Firewall najdete v tématu https://aka.ms/fw-tlsinspect | Audit, Odepřít, Zakázáno | 1.0.0 |
| Brány Azure VPN by neměly používat skladovou položku Basic. | Tato zásada zajišťuje, že brány VPN nepoužívají skladovou položku Basic. | Audit, zakázáno | 1.0.0 |
| Brána firewall webových aplikací Azure ve službě Aplikace Azure Gateway by měla mít povolenou kontrolu těla požadavku. | Ujistěte se, že brány firewall webových aplikací přidružené ke službě Aplikace Azure Gateway mají povolenou kontrolu těla požadavku. To umožňuje WAF kontrolovat vlastnosti v těle HTTP, které nemusí být vyhodnoceny v hlavičkách HTTP, souborech cookie nebo identifikátoru URI. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Brána firewall webových aplikací Azure ve službě Azure Front Door by měla mít povolenou kontrolu těla požadavku. | Ujistěte se, že brány firewall webových aplikací přidružené ke službě Azure Front Door mají povolenou kontrolu těla požadavku. To umožňuje WAF kontrolovat vlastnosti v těle HTTP, které nemusí být vyhodnoceny v hlavičkách HTTP, souborech cookie nebo identifikátoru URI. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Firewall webových aplikací Azure by měl být povolený pro vstupní body služby Azure Front Door. | Nasaďte firewall webových aplikací Azure (WAF) před veřejně přístupné webové aplikace pro další kontrolu příchozího provozu. Firewall webových aplikací (WAF) poskytuje centralizovanou ochranu webových aplikací před běžným zneužitím a ohrožením zabezpečení, jako jsou injektáže SQL, skriptování mezi weby, místní a vzdálené spouštění souborů. Přístup k webovým aplikacím můžete omezit také podle zemí, rozsahů IP adres a dalších parametrů HTTP prostřednictvím vlastních pravidel. | Audit, Odepřít, Zakázáno | 1.0.2 |
| Pro waF služby Aplikace Azure Gateway by měla být povolená ochrana před roboty. | Tato zásada zajišťuje, že je ochrana robota povolená ve všech zásadách firewallu webových aplikací brány Aplikace Azure Gateway (WAF). | Audit, Odepřít, Zakázáno | 1.0.0 |
| Pro WAF služby Azure Front Door by měla být povolená ochrana před roboty. | Tato zásada zajišťuje, že je ochrana robota povolená ve všech zásadách firewallu webových aplikací služby Azure Front Door (WAF). | Audit, Odepřít, Zakázáno | 1.0.0 |
| Seznam obejití systému detekce a prevence neoprávněných vniknutí (IDPS) by měl být prázdný v zásadách brány firewall Premium. | Seznam obejití systému detekce a prevence neoprávněných vniknutí umožňuje nefiltrovat provoz na žádné IP adresy, rozsahy a podsítě zadané v seznamu obejití. Povolení ZPROSTŘEDKOVATELE IDENTITY se ale doporučuje pro všechny toky provozu, aby bylo možné lépe identifikovat známé hrozby. Další informace o podpisech systému pro detekci a prevenci neoprávněných vniknutí (IDPS) ve službě Azure Firewall Premium najdete v tématu . https://aka.ms/fw-idps-signature | Audit, Odepřít, Zakázáno | 1.0.0 |
| Konfigurace nastavení diagnostiky pro skupiny zabezpečení sítě Azure do pracovního prostoru služby Log Analytics | Nasaďte nastavení diagnostiky do skupin zabezpečení sítě Azure pro streamování protokolů prostředků do pracovního prostoru služby Log Analytics. | DeployIfNotExists, zakázáno | 1.0.0 |
| Konfigurace skupin zabezpečení sítě pro povolení analýzy provozu | Analýzu provozu je možné povolit pro všechny skupiny zabezpečení sítě hostované v konkrétní oblasti s nastavením poskytovaným během vytváření zásad. Pokud už je povolená analýza provozu, zásady nepřepíšou jeho nastavení. Protokoly toku jsou také povolené pro skupiny zabezpečení sítě, které je nemají. Analýza provozu je cloudové řešení, které poskytuje přehled o aktivitách uživatelů a aplikací v cloudových sítích. | DeployIfNotExists, zakázáno | 1.2.0 |
| Konfigurace skupin zabezpečení sítě pro použití konkrétního pracovního prostoru, účtu úložiště a zásad uchovávání toku pro analýzu provozu | Pokud už má povolenou analýzu provozu, zásada přepíše stávající nastavení pomocí těch, které jsou k dispozici při vytváření zásad. Analýza provozu je cloudové řešení, které poskytuje přehled o aktivitách uživatelů a aplikací v cloudových sítích. | DeployIfNotExists, zakázáno | 1.2.0 |
| Konfigurace virtuální sítě pro povolení služby Flow Log a Traffic Analytics | Protokoly analýzy provozu a toku je možné povolit pro všechny virtuální sítě hostované v konkrétní oblasti s nastavením poskytnutým během vytváření zásad. Tato zásada nepřepíše aktuální nastavení pro virtuální sítě, které už mají tuto funkci povolenou. Analýza provozu je cloudové řešení, které poskytuje přehled o aktivitách uživatelů a aplikací v cloudových sítích. | DeployIfNotExists, zakázáno | 1.1.1 |
| Konfigurace virtuálních sítí pro vynucení pracovního prostoru, účtu úložiště a intervalu uchovávání pro protokoly toku a analýzu provozu | Pokud už má virtuální síť povolenou analýzu provozu, tato zásada přepíše stávající nastavení těmi, které jsou k dispozici při vytváření zásad. Analýza provozu je cloudové řešení, které poskytuje přehled o aktivitách uživatelů a aplikací v cloudových sítích. | DeployIfNotExists, zakázáno | 1.1.2 |
| Cosmos DB by měl používat koncový bod služby virtuální sítě. | Tato zásada audituje jakoukoli službu Cosmos DB, která není nakonfigurovaná tak, aby používala koncový bod služby virtuální sítě. | Audit, zakázáno | 1.0.0 |
| Nasazení prostředku protokolu toku s cílovou skupinou zabezpečení sítě | Konfiguruje protokol toku pro konkrétní skupinu zabezpečení sítě. Umožní protokolovat informace o provozu PROTOKOLU IP procházejících skupinou zabezpečení sítě. Protokol toku pomáhá identifikovat neznámý nebo nežádoucí provoz, ověřit izolaci sítě a dodržování předpisů podnikovým přístupem, analyzovat toky sítě z ohrožených IP adres a síťových rozhraní. | deployIfNotExists | 1.1.0 |
| Nasazení prostředku protokolu toku s cílovou virtuální sítí | Konfiguruje protokol toku pro konkrétní virtuální síť. Umožní protokolovat informace o provozu PROTOKOLU IP procházejících přes virtuální síť. Protokol toku pomáhá identifikovat neznámý nebo nežádoucí provoz, ověřit izolaci sítě a dodržování předpisů podnikovým přístupem, analyzovat toky sítě z ohrožených IP adres a síťových rozhraní. | DeployIfNotExists, zakázáno | 1.1.1 |
| Nasazení služby Network Watcher při vytváření virtuálních sítí | Tato zásada vytvoří prostředek sledovacího modulu sítě v oblastech s virtuálními sítěmi. Potřebujete zajistit existenci skupiny prostředků s názvem networkWatcherRG, která se použije k nasazení instancí network watcheru. | DeployIfNotExists | 1.0.0 |
| Povolení pravidla omezení rychlosti pro ochranu před útoky DDoS na WAF služby Azure Front Door | Pravidlo omezení rychlosti firewallu webových aplikací Azure (WAF) pro Azure Front Door řídí počet požadavků povolených z konkrétní IP adresy klienta do aplikace během doby trvání omezení rychlosti. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Centrum událostí by mělo používat koncový bod služby virtuální sítě. | Tato zásada audituje jakékoli centrum událostí, které není nakonfigurované tak, aby používalo koncový bod služby virtuální sítě. | AuditIfNotExists, zakázáno | 1.0.0 |
| Zásady brány firewall Premium by měly povolit všechna pravidla podpisu IDPS pro monitorování všech příchozích a odchozích toků provozu. | Povolení všech pravidel pro detekci a prevenci neoprávněných vniknutí (IDPS) se doporučuje lépe identifikovat známé hrozby v tocích provozu. Další informace o podpisech systému pro detekci a prevenci neoprávněných vniknutí (IDPS) ve službě Azure Firewall Premium najdete v tématu . https://aka.ms/fw-idps-signature | Audit, Odepřít, Zakázáno | 1.0.0 |
| Zásady brány firewall Premium by měly povolit systém detekce a prevence neoprávněných vniknutí (IDPS). | Povolení systému pro detekci a prevenci neoprávněných vniknutí umožňuje monitorovat síť pro škodlivou aktivitu, protokolovat informace o této aktivitě, hlásit ji a volitelně se ji pokusit zablokovat. Další informace o systému detekce a prevence neoprávněných vniknutí (IDPS) ve službě Azure Firewall Premium najdete v tématu . https://aka.ms/fw-idps | Audit, Odepřít, Zakázáno | 1.0.0 |
| Protokoly toku by měly být nakonfigurované pro každou skupinu zabezpečení sítě. | Auditujte skupiny zabezpečení sítě a ověřte, jestli jsou nakonfigurované protokoly toku. Povolení protokolů toku umožňuje protokolovat informace o provozu PROTOKOLU IP procházejících přes skupinu zabezpečení sítě. Dá se použít k optimalizaci toků sítě, monitorování propustnosti, ověřování dodržování předpisů, zjišťování neoprávněných vniknutí a další. | Audit, zakázáno | 1.1.0 |
| Podsítě brány by neměly být nakonfigurované se skupinou zabezpečení sítě. | Tato zásada odmítne, pokud je podsíť brány nakonfigurovaná se skupinou zabezpečení sítě. Přiřazení skupiny zabezpečení sítě k podsíti brány způsobí, že brána přestane fungovat. | deny | 1.0.0 |
| Služba Key Vault by měla používat koncový bod služby virtuální sítě. | Tato zásada audituje všechny služby Key Vault, které nejsou nakonfigurované tak, aby používaly koncový bod služby virtuální sítě. | Audit, zakázáno | 1.0.0 |
| Migrace WAF z konfigurace WAF na zásady WAF ve službě Application Gateway | Pokud máte konfiguraci WAF místo zásad WAF, možná budete chtít přejít na novou zásadu WAF. V budoucnu budou zásady brány firewall podporovat nastavení zásad WAF, sady spravovaných pravidel, vyloučení a zakázané skupiny pravidel. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Síťová rozhraní by měla zakázat předávání IP | Tato zásada zakazuje síťová rozhraní, která povolila předávání IP. Nastavení předávání IP zakáže kontrolu zdroje a cíle síťového rozhraní Azure. To by měl zkontrolovat tým zabezpečení sítě. | deny | 1.0.0 |
| Síťová rozhraní by neměla mít veřejné IP adresy | Tato zásada zakazuje síťová rozhraní, která jsou nakonfigurovaná s libovolnou veřejnou IP adresou. Veřejné IP adresy umožňují internetovým prostředkům příchozí komunikaci s prostředky Azure a prostředkům Azure odchozí komunikaci s internetem. To by měl zkontrolovat tým zabezpečení sítě. | deny | 1.0.0 |
| Protokoly toku služby Network Watcher by měly mít povolenou analýzu provozu. | Analýza provozu analyzuje protokoly toku, aby poskytovala přehled o toku provozu ve vašem cloudu Azure. Dá se použít k vizualizaci síťové aktivity napříč předplatnými Azure a identifikaci horkých míst, identifikaci bezpečnostních hrozeb, pochopení vzorců toku provozu, určení chyb konfigurace sítě a další. | Audit, zakázáno | 1.0.1 |
| Služba Network Watcher by měla být povolená. | Network Watcher je regionální služba, která umožňuje monitorovat a diagnostikovat podmínky na úrovni scénáře sítě v Azure a z Azure. Monitorování na úrovni scénáře umožňuje diagnostikovat problémy na úrovni sítě na konci až do zobrazení na úrovni sítě. Je nutné mít skupinu prostředků sledovacího nástroje sítě, která se má vytvořit v každé oblasti, kde je virtuální síť přítomná. Výstraha je povolená, pokud skupina prostředků sledovacího prostředí sítě není v konkrétní oblasti dostupná. | AuditIfNotExists, zakázáno | 3.0.0 |
| SQL Server by měl používat koncový bod služby virtuální sítě. | Tato zásada audituje jakýkoli SQL Server, který není nakonfigurovaný tak, aby používal koncový bod služby virtuální sítě. | AuditIfNotExists, zakázáno | 1.0.0 |
| Účty úložiště by měly používat koncový bod služby virtuální sítě. | Tato zásada audituje všechny účty úložiště, které nejsou nakonfigurované tak, aby používaly koncový bod služby virtuální sítě. | Audit, zakázáno | 1.0.0 |
| Předplatné by mělo nakonfigurovat Azure Firewall Premium tak, aby poskytovalo další vrstvu ochrany. | Azure Firewall Premium poskytuje pokročilou ochranu před hrozbami, která splňuje požadavky vysoce citlivých a regulovaných prostředí. Nasaďte službu Azure Firewall Premium do svého předplatného a ujistěte se, že veškerý provoz služby je chráněný službou Azure Firewall Premium. Další informace o službě Azure Firewall Premium najdete v tématu . https://aka.ms/fw-premium | AuditIfNotExists, zakázáno | 1.0.0 |
| Virtuální počítače by měly být připojené ke schválené virtuální síti. | Tato zásada provede audit všech virtuálních počítačů připojených k virtuální síti, která není schválena. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Virtuální sítě by měly být chráněné službou Azure DDoS Protection. | Chraňte své virtuální sítě před multilicenčními útoky a útoky pomocí služby Azure DDoS Protection. Další informace najdete na adrese https://aka.ms/ddosprotectiondocs. | Úprava, audit, zakázáno | 1.0.1 |
| Virtuální sítě by měly používat zadanou bránu virtuální sítě. | Tato zásada provede audit všech virtuálních sítí, pokud výchozí trasa neodkazuje na zadanou bránu virtuální sítě. | AuditIfNotExists, zakázáno | 1.0.0 |
| Brány VPN by měly používat pouze ověřování Azure Active Directory (Azure AD) pro uživatele typu point-to-site. | Zakázání místních metod ověřování zlepšuje zabezpečení tím, že brány VPN Gateway k ověřování používají pouze identity Azure Active Directory. Další informace o ověřování Azure AD najdete na adrese https://docs.microsoft.com/azure/vpn-gateway/openvpn-azure-ad-tenant | Audit, Odepřít, Zakázáno | 1.0.0 |
| Firewall webových aplikací (WAF) by měl být povolený pro službu Application Gateway. | Nasaďte firewall webových aplikací Azure (WAF) před veřejně přístupné webové aplikace pro další kontrolu příchozího provozu. Firewall webových aplikací (WAF) poskytuje centralizovanou ochranu webových aplikací před běžným zneužitím a ohrožením zabezpečení, jako jsou injektáže SQL, skriptování mezi weby, místní a vzdálené spouštění souborů. Přístup k webovým aplikacím můžete omezit také podle zemí, rozsahů IP adres a dalších parametrů HTTP prostřednictvím vlastních pravidel. | Audit, Odepřít, Zakázáno | 2.0.0 |
| Firewall webových aplikací (WAF) by měl povolit všechna pravidla brány firewall pro službu Application Gateway. | Povolení všech pravidel firewallu webových aplikací (WAF) posiluje zabezpečení vaší aplikace a chrání vaše webové aplikace před běžnými ohroženími zabezpečení. Další informace o firewallu webových aplikací (WAF) se službou Application Gateway najdete v tématu . https://aka.ms/waf-ag | Audit, Odepřít, Zakázáno | 1.0.1 |
| Firewall webových aplikací (WAF) by měl používat zadaný režim služby Application Gateway. | Vyžaduje, aby byl režim Detekce nebo Prevence aktivní ve všech zásadách firewallu webových aplikací pro službu Application Gateway. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Firewall webových aplikací (WAF) by měl používat zadaný režim pro službu Azure Front Door Service. | Vyžaduje, aby byl režim Detekce nebo Prevence aktivní ve všech zásadách firewallu webových aplikací pro službu Azure Front Door Service. | Audit, Odepřít, Zakázáno | 1.0.0 |
Značky
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Přidat značku do skupin prostředků | Tyto zásady při vytvoření nebo aktualizaci jakékoli skupiny prostředků bez zadané značky přidají zadanou značku a hodnotu. Stávající skupiny prostředků je možné napravit aktivací úlohy nápravy. Pokud daná značka existuje, ale s jinou hodnotou, nezmění se. | modify (úprava) | 1.0.0 |
| Přidat značku do prostředků | Tyto zásady při vytvoření nebo aktualizaci jakéhokoli prostředku bez zadané značky přidají zadanou značku a hodnotu. Stávající prostředky je možné napravit aktivací úlohy nápravy. Pokud daná značka existuje, ale s jinou hodnotou, nezmění se. Značky ve skupinách prostředků se neupravují. | modify (úprava) | 1.0.0 |
| Přidání značky k předplatným | Přidá zadanou značku a hodnotu do předplatných prostřednictvím úlohy nápravy. Pokud daná značka existuje, ale s jinou hodnotou, nezmění se. Další https://aka.ms/azurepolicyremediation informace o nápravězásadch | modify (úprava) | 1.0.0 |
| Přidat nebo nahradit značku ve skupinách prostředků | Tyto zásady při vytvoření nebo aktualizaci jakékoli skupiny prostředků přidají nebo nahradí zadanou značku a hodnotu. Stávající skupiny prostředků je možné napravit aktivací úlohy nápravy. | modify (úprava) | 1.0.0 |
| Přidat nebo nahradit značku v prostředcích | Tyto zásady při vytvoření nebo aktualizaci jakéhokoli prostředku přidají nebo nahradí zadanou značku a hodnotu. Stávající prostředky je možné napravit aktivací úlohy nápravy. Značky ve skupinách prostředků se neupravují. | modify (úprava) | 1.0.0 |
| Přidání nebo nahrazení značky u předplatných | Přidá nebo nahradí zadanou značku a hodnotu u předplatných prostřednictvím úlohy nápravy. Stávající skupiny prostředků je možné napravit aktivací úlohy nápravy. Další https://aka.ms/azurepolicyremediation informace o nápravězásadch | modify (úprava) | 1.0.0 |
| Připojit značku a její hodnotu ze skupiny prostředků | Tyto zásady při vytvoření nebo aktualizaci jakéhokoli prostředku bez zadané značky připojí zadanou značku a její hodnotu ze skupiny prostředků. Tyto zásady neupravují značky prostředků vytvořené před použitím těchto zásad, dokud nedojde ke změně těchto prostředků. K dispozici jsou nové zásady účinku úpravy, které podporují nápravu značek u existujících prostředků (viz https://aka.ms/modifydoc). | připojit | 1.0.0 |
| Připojit značku a její hodnotu ke skupinám prostředků | Tyto zásady při vytvoření nebo aktualizaci jakékoli skupiny prostředků bez zadané značky připojí zadanou značku a hodnotu. Tyto zásady neupravují značky skupin prostředků vytvořené před použitím těchto zásad, dokud nedojde ke změně těchto skupin prostředků. K dispozici jsou nové zásady účinku úpravy, které podporují nápravu značek u existujících prostředků (viz https://aka.ms/modifydoc). | připojit | 1.0.0 |
| Připojit značku a její hodnotu k prostředkům | Tyto zásady při vytvoření nebo aktualizaci jakéhokoli prostředku bez zadané značky připojí zadanou značku a hodnotu. Tyto zásady neupravují značky prostředků vytvořené před použitím těchto zásad, dokud nedojde ke změně těchto prostředků. Tyto zásady se nevztahují na skupiny prostředků. K dispozici jsou nové zásady účinku úpravy, které podporují nápravu značek u existujících prostředků (viz https://aka.ms/modifydoc). | připojit | 1.0.1 |
| Zdědit značku ze skupiny prostředků | Tyto zásady při vytvoření nebo aktualizaci jakéhokoli prostředku přidají nebo nahradí zadanou značku a hodnotu z nadřazené skupiny prostředků. Stávající prostředky je možné napravit aktivací úlohy nápravy. | modify (úprava) | 1.0.0 |
| Zdědit značku ze skupiny prostředků, pokud chybí | Tyto zásady při vytvoření nebo aktualizaci jakéhokoli prostředku bez zadané značky přidají zadanou značku a její hodnotu z nadřazené skupiny prostředků. Stávající prostředky je možné napravit aktivací úlohy nápravy. Pokud daná značka existuje, ale s jinou hodnotou, nezmění se. | modify (úprava) | 1.0.0 |
| Zdědit značku z předplatného | Tyto zásady při vytvoření nebo aktualizaci jakéhokoli prostředku přidají nebo nahradí zadanou značku a hodnotu z nadřazeného předplatného. Stávající prostředky je možné napravit aktivací úlohy nápravy. | modify (úprava) | 1.0.0 |
| Zdědit značku z předplatného, pokud chybí | Tyto zásady při vytvoření nebo aktualizaci jakéhokoli prostředku bez zadané značky přidají zadanou značku a její hodnotu z nadřazeného předplatného. Stávající prostředky je možné napravit aktivací úlohy nápravy. Pokud daná značka existuje, ale s jinou hodnotou, nezmění se. | modify (úprava) | 1.0.0 |
| Vyžadovat značku a její hodnotu ve skupinách prostředků | Tyto zásady vynucují požadovanou značku a její hodnotu ve skupinách prostředků. | deny | 1.0.0 |
| Vyžadovat značku a její hodnotu v prostředcích | Tyto zásady vynucují požadovanou značku a její hodnotu. Tyto zásady se nevztahují na skupiny prostředků. | deny | 1.0.1 |
| Vyžadovat značku ve skupinách prostředků | Tyto zásady vynucují existenci značky ve skupinách prostředků. | deny | 1.0.0 |
| Vyžadovat značku v prostředcích | Tyto zásady vynucují existenci značky. Tyto zásady se nevztahují na skupiny prostředků. | deny | 1.0.1 |
| Vyžaduje, aby prostředky neměly určitou značku. | Odmítne vytvoření prostředku, který obsahuje danou značku. Tyto zásady se nevztahují na skupiny prostředků. | Audit, Odepřít, Zakázáno | 2.0.0 |
Obecné
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Povolené lokality | Tyto zásady umožňují omezit umístění, která může vaše organizace zadat při nasazování prostředků. Můžete je využít k vynucování vašich požadavků na geografické dodržování předpisů. Vyloučí skupiny prostředků, Microsoft.AzureActiveDirectory/b2cDirectories a prostředky, které používají globální oblast. | deny | 1.0.0 |
| Povolená umístění pro skupiny prostředků | Tato zásada umožňuje omezit umístění, ve kterých může vaše organizace vytvářet skupiny prostředků. Můžete je využít k vynucování vašich požadavků na geografické dodržování předpisů. | deny | 1.0.0 |
| Povolené typy prostředků | Tato zásada umožňuje zadat typy prostředků, které může vaše organizace nasadit. Tyto zásady ovlivní jenom typy prostředků, které podporují značky a umístění. Chcete-li omezit všechny prostředky, duplikujte tuto zásadu a změňte režim na Vše. | deny | 1.0.0 |
| Auditovat umístění prostředků odpovídá umístění skupiny prostředků | Auditování, že umístění prostředku odpovídá umístění skupiny prostředků | audit | 2.0.0 |
| Auditování využití vlastních rolí RBAC | Auditujte předdefinované role, jako je Vlastník, Přispěvatel, Čtenář, Místo vlastních rolí RBAC, které jsou náchylné k chybám. Použití vlastních rolí se považuje za výjimku a vyžaduje důkladnou kontrolu a modelování hrozeb. | Audit, zakázáno | 1.0.1 |
| Konfigurace předplatných pro nastavení funkcí ve verzi Preview | Tato zásada vyhodnocuje funkce preview stávajícího předplatného. Předplatná je možné napravit, aby se zaregistrovala k nové funkci Preview. Nová předplatná se nebudou automaticky registrovat. | AuditIfNotExists, DeployIfNotExists, Disabled | 1.0.1 |
| Nepovolit odstranění typů prostředků | Tato zásada umožňuje určit typy prostředků, které vaše organizace může chránit před náhodným odstraněním blokováním volání odstranění pomocí efektu akce zamítnutí. | DenyAction, Zakázáno | 1.0.1 |
| Nepovolit prostředky M365 | Blokování vytváření prostředků M365 | Audit, Odepřít, Zakázáno | 1.0.0 |
| Nepovolit prostředky MCPP | Blokování vytváření prostředků MCPP | Audit, Odepřít, Zakázáno | 1.0.0 |
| Vyloučení prostředků nákladů na využití | Tato zásada umožňuje zobrazit zdroje nákladů na využití. Náklady na využití zahrnují například měřené úložiště a prostředky Azure, které se účtují na základě využití. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Nepovolené typy prostředků | Omezte, které typy prostředků je možné nasadit ve vašem prostředí. Omezení typů prostředků může snížit složitost a prostor pro útoky na vaše prostředí a zároveň pomáhá spravovat náklady. Výsledky dodržování předpisů se zobrazují jenom pro nevyhovující prostředky. | Audit, Odepřít, Zakázáno | 2.0.0 |
Další kroky
- Projděte si předdefinované možnosti v úložišti služby Azure Policy na GitHubu.
- Projděte si strukturu definic Azure Policy.
- Projděte si Vysvětlení efektů zásad.