Freigeben über


Integrierte Azure Policy-Definitionen für Azure Backup

Diese Seite enthält einen Index der integrierten Azure Policy-Richtliniendefinitionen für Azure Backup. Weitere Azure Policy-Integrationen für andere Dienste finden Sie unter Integrierte Azure Policy-Richtliniendefinitionen.

Die Namen der einzelnen integrierten Richtliniendefinitionen sind Links zur entsprechenden Richtliniendefinition im Azure-Portal. Verwenden Sie den Link in der Spalte Version, um die Quelle im Azure Policy-GitHub-Repository anzuzeigen.

Azure Backup

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
[Vorschau]: Azure Recovery Services-Tresore sollten den Zugriff auf öffentliche Netzwerke deaktivieren Die Deaktivierung des Zugriffs über öffentliche Netzwerke erhöht die Sicherheit, da sichergestellt wird, dass der Recovery Services-Tresor nicht über das öffentliche Internet zugänglich ist. Durch das Erstellen privater Endpunkte kann die Verfügbarkeit von Media Services-Ressourcen eingeschränkt werden. Weitere Informationen finden Sie unter https://aka.ms/AB-PublicNetworkAccess-Deny. Audit, Deny, Disabled 1.0.0-preview
[Vorschau]: Azure Recovery Services Tresore sollten vom Kunden verwaltete Schlüssel für die Verschlüsselung von Sicherungsdaten verwenden Verwenden Sie kundenseitig verwaltete Schlüssel, um die Verschlüsselung im Ruhezustand für Ihre Sicherungsdaten zu verwalten. Standardmäßig werden Kundendaten mit dienstseitig verwalteten Schlüsseln verschlüsselt. Kundenseitig verwaltete Schlüssel sind jedoch häufig zur Einhaltung gesetzlicher Bestimmungen erforderlich. Mit kundenseitig verwalteten Schlüsseln können die Daten mit einem Azure Key Vault-Schlüssel verschlüsselt werden, der von Ihnen erstellt wird und sich in Ihrem Besitz befindet. Sie verfügen über die volle Kontrolle über und Verantwortung für den Schlüssellebenszyklus, einschließlich Rotation und Verwaltung. Weitere Informationen finden Sie unter https://aka.ms/AB-CmkEncryption. Audit, Deny, Disabled 1.0.0-preview
[Vorschau]: Azure Recovery Services Tresore sollten privaten Link für Backup verwenden Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Azure Recovery Services-Tresoren wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/AB-PrivateEndpoints. Audit, Disabled 2.0.0-preview
[Vorschau]: Backup und Site Recovery sollten zonenredundant sein. Die Dienste Backup und Site Recovery können so konfiguriert werden, dass sie zonenredundant oder nicht zonenredundant sind. Die Dienste Backup und Site Recovery sind zonenredundant, wenn die standardTierStorageRedundancy-Eigenschaft auf ZoneRedundant festgelegt ist. Durch das Erzwingen dieser Richtlinie wird sichergestellt, dass die Dienste Backup und Site Recovery für die Zonenresilienz entsprechend konfiguriert sind, wodurch das Risiko für Downtimes bei Zonenausfällen verringert wird. Audit, Deny, Disabled 1.0.0-preview
[Vorschau]: Konfigurieren von Azure Recovery Services-Tresoren zur Deaktivierung des öffentlichen Netzwerkzugriffs Deaktivieren Sie für Ihren Recovery Services-Tresor den Zugriff über öffentliche Netzwerke, sodass er nicht über das öffentliche Internet zugänglich ist. Dies kann das Risiko von Datenlecks verringern. Weitere Informationen finden Sie unter https://aka.ms/AB-PublicNetworkAccess-Deny. Modify, Disabled 1.0.0-preview
[Vorschau]: Private Endpunkte auf Azure Recovery Services Tresoren konfigurieren Private Endpunkte verbinden Ihr virtuelles Netzwerk ohne eine öffentliche IP-Adresse an Quelle oder Ziel mit Azure-Diensten. Durch die Zuordnung privater Endpunkte zu Ihren Sitewiederherstellungsressourcen von Recovery Services-Tresoren können Sie das Risiko von Datenlecks reduzieren. Für die Verwendung privater Links muss die Identität des verwalteten Diensts dem Recovery Services-Tresor zugewiesen werden. Weitere Informationen zu privaten Verbindungen finden Sie unter https://docs.microsoft.com/azure/site-recovery/azure-to-azure-how-to-enable-replication-private-endpoints. DeployIfNotExists, Disabled 1.0.0-preview
[Vorschau]: Konfigurieren von Recovery Services-Tresoren für die Verwendung privater Endpunkte zur Sicherung Private Endpunkte verbinden Ihre virtuellen Netzwerke ohne eine öffentliche IP-Adresse an Quelle oder Ziel mit Azure-Diensten. Durch Zuordnen privater Endpunkte zu Recovery Services-Tresoren können Sie das Risiko von Datenlecks verringern. Beachten Sie, dass Ihre Tresore bestimmte Voraussetzungen erfüllen müssen, um für die Konfiguration privater Endpunkte geeignet zu sein. Weitere Informationen finden Sie unter https://go.microsoft.com/fwlink/?linkid=2187162. DeployIfNotExists, Disabled 1.0.0-preview
[Vorschau]: Deaktivieren von abonnementübergreifender Wiederherstellung für Azure Recovery Services-Tresore Deaktivieren Sie die abonnementübergreifende Wiederherstellung für Ihren Recovery Services-Tresor temporär oder dauerhaft, damit sich die Wiederherstellungsziele nicht in einem anderen Abonnement als dem Tresorabonnement befinden können. Weitere Informationen finden Sie unter https://aka.ms/csrenhancements. Modify, Disabled 1.1.0-preview
[Vorschau]: Die Erstellung von Recovery Services-Tresoren mit ausgewählter Speicherredundanz nicht zulassen. Recovery Services Vaults können heute mit einer von drei Speicherredundanzoptionen erstellt werden, nämlich lokal redundantem Speicher, zonenredundantem Speicher und georedundantem Speicher. Wenn die Richtlinien Ihrer Organisation das Blockieren der Erstellung von Tresoren erfordern, die zu einem bestimmten Redundanztyp gehören, können Sie dies ebenfalls mithilfe dieser Azure-Richtlinie erreichen. Verweigern, deaktiviert 1.0.0-preview
[Vorschau]: Für Recovery Services-Tresore muss die Unveränderlichkeit aktiviert sein Diese Richtlinie prüft, ob die Eigenschaft „Unveränderliche Tresore“ für Recovery Services-Tresore im Geltungsbereich aktiviert ist. Auf diese Weise können Sie verhindern, dass Ihre Sicherungsdaten vor dem vorgesehenen Ablaufdatum gelöscht werden. Weitere Informationen finden Sie unter https://aka.ms/AB-ImmutableVaults. Audit, Disabled 1.0.1-preview
[Vorschau]: Die Mehrbenutzerautorisierung (Multi-User Authorization, MUA) muss für Recovery Services Vaults aktiviert sein. Diese Richtlinie überprüft, ob die Mehrbenutzerautorisierung (Multi-User Authorization, MUA) für Recovery Services Vaults aktiviert ist. Die MUA hilft bei der Sicherung Ihrer Recovery Service Vaults, indem sie kritischen Vorgängen eine zusätzliche Schutzebene hinzufügt. Weitere Informationen finden Sie unter https://aka.ms/MUAforRSV. Audit, Disabled 1.0.0-preview
[Vorschau]: Recovery Services Tresore sollten privaten Link verwenden Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Azure Recovery Services-Tresoren wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen für Azure Site Recovery finden Sie unter: https://aka.ms/HybridScenarios-PrivateLink und https://aka.ms/AzureToAzure-PrivateLink. Audit, Disabled 1.0.0-preview
[Vorschau]: Vorläufiges Löschen muss für Recovery Services Vaults aktiviert sein. Mit dieser Richtlinie wird überprüft, ob das vorläufige Löschen für Recovery Services Vaults im Bereich aktiviert ist. Das vorläufige Löschen kann das Wiederherstellen gelöschter Daten erleichtern. Weitere Informationen finden Sie unter https://aka.ms/AB-SoftDelete. Audit, Disabled 1.0.0-preview
Azure Backup muss für Virtual Machines aktiviert sein. Schützen Sie Ihre Azure Virtual Machines-Instanzen, indem Sie Azure Backup aktivieren. Azure Backup ist eine sichere und kostengünstige Lösung zum Schutz von Daten für Azure. AuditIfNotExists, Disabled 3.0.0
Sicherung für VMs mit angegebenem Tag in einem neuen Recovery Services-Tresor mit einer Standardrichtlinie konfigurieren Erzwingen Sie die Sicherung für alle virtuellen Computer, indem Sie einen Recovery Services-Tresor am gleichen Ort und in der gleichen Ressourcengruppe wie der virtuelle Computer bereitstellen. Dies ist nützlich, wenn verschiedenen Anwendungsteams in Ihrer Organisation separate Ressourcengruppen zugewiesen werden und sie ihre eigenen Sicherungen und Wiederherstellungen verwalten müssen. Sie können optional virtuelle Computer einschließen, die ein bestimmtes Tag enthalten, um den Umfang der Zuweisung zu kontrollieren. Siehe https://aka.ms/AzureVMAppCentricBackupIncludeTag. auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, deaktiviert, Deaktiviert 9.4.0
Sicherung für VMs mit angegebenem Tag in einem vorhandenen Recovery Services-Tresor am selben Standort konfigurieren Erzwingen Sie die Sicherung für alle virtuellen Computer, indem Sie sie in einem vorhandenen zentralen Recovery Services-Tresor am gleichen Ort und im gleichen Abonnement wie der virtuelle Computer sichern. Dies ist nützlich, wenn die Sicherungen für alle Ressourcen in einem Abonnement in Ihrer Organisation von einem zentralen Team verwaltet werden. Sie können optional virtuelle Computer einschließen, die ein bestimmtes Tag enthalten, um den Umfang der Zuweisung zu kontrollieren. Siehe https://aka.ms/AzureVMCentralBackupIncludeTag. auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, deaktiviert, Deaktiviert 9.4.0
Sicherung für VMs ohne angegebenes Tag in einem neuen Recovery Services-Tresor mit einer Standardrichtlinie konfigurieren Erzwingen Sie die Sicherung für alle virtuellen Computer, indem Sie einen Recovery Services-Tresor am gleichen Ort und in der gleichen Ressourcengruppe wie der virtuelle Computer bereitstellen. Dies ist nützlich, wenn verschiedenen Anwendungsteams in Ihrer Organisation separate Ressourcengruppen zugewiesen werden und sie ihre eigenen Sicherungen und Wiederherstellungen verwalten müssen. Sie können optional virtuelle Computer ausschließen, die ein bestimmtes Tag enthalten, um den Umfang der Zuweisung zu kontrollieren. Siehe https://aka.ms/AzureVMAppCentricBackupExcludeTag. auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, deaktiviert, Deaktiviert 9.4.0
Sicherung für VMs ohne angegebenes Tag in einem vorhandenen Recovery Services-Tresor am selben Standort konfigurieren Erzwingen Sie die Sicherung für alle virtuellen Computer, indem Sie sie in einem vorhandenen zentralen Recovery Services-Tresor am gleichen Ort und im gleichen Abonnement wie der virtuelle Computer sichern. Dies ist nützlich, wenn die Sicherungen für alle Ressourcen in einem Abonnement in Ihrer Organisation von einem zentralen Team verwaltet werden. Sie können optional virtuelle Computer ausschließen, die ein bestimmtes Tag enthalten, um den Umfang der Zuweisung zu kontrollieren. Siehe https://aka.ms/AzureVMCentralBackupExcludeTag. auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, deaktiviert, Deaktiviert 9.4.0
Stellen Sie dem Log Analytics-Arbeitsbereich für ressourcenspezifische Kategorien Diagnoseeinstellungen für den Recovery Services-Tresor bereit. Stellen Sie Diagnoseeinstellungen für den Recovery Services-Tresor bereit, um Daten für ressourcenspezifische Kategorien in den Log Analytics-Arbeitsbereich zu streamen. Wenn eine der ressourcenspezifischen Kategorien nicht aktiviert ist, wird eine neue Diagnoseeinstellung erstellt. deployIfNotExists 1.0.2
Aktivieren der Protokollierung nach Kategoriegruppe für Recovery Services Vaults (microsoft.recoveryservices/vaults) auf Event Hub Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Event Hub for Recovery Services Vaults (microsoft.recoveryservices/vaults) weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Aktivieren der Protokollierung nach Kategoriegruppe für Recovery Services Vaults (microsoft.recoveryservices/vaults) in Log Analytics Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Log Analytics-Arbeitsbereich für Recovery Services Vaults (microsoft.recoveryservices/vaults) weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Aktivieren der Protokollierung nach Kategoriegruppe für Recovery Services Vaults (microsoft.recoveryservices/vaults) zum Speicher Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Speicherkonto für Recovery Services Vaults (microsoft.recoveryservices/vaults) weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0

Nächste Schritte