Integrierte Azure Policy-Richtlinieninitiativen
Diese Seite enthält einen Index der integrierten Azure Policy-Richtlinieninitiativen.
Die Namen der einzelnen Integrationen sind Links zur Quelle der Initiativendefinitionen im Azure Policy-GitHub-Repository. Die Integrationen sind basierend auf der Eigenschaft category in den Metadaten gruppiert. Um eine bestimmte Kategorie aufzurufen, verwenden Sie STRG-F, um die Suchfunktion Ihres Browsers zu aktivieren.
Automatische Verwaltung
| Name | BESCHREIBUNG | Richtlinien | Version |
|---|---|---|---|
| [Vorschau]: Überwachen der Konfiguration mit bewährten Methoden für Automanage | Bewährte Methoden für Automanage für Computern stellen sicher, dass verwaltete Ressourcen entsprechend dem gewünschten Zustand, der im zugewiesenen Konfigurationsprofil definiert ist, eingerichtet werden. | 6 | 1.0.1-preview |
ChangeTrackingAndInventory
| Name | BESCHREIBUNG | Richtlinien | Version |
|---|---|---|---|
| [Vorschau]: Aktivieren von Änderungsnachverfolgung und Bestand für Arc-fähige virtuelle Computer | Aktivieren Sie Änderungsnachverfolgung und Bestand für Arc-fähige virtuelle Computer. Verwendet die Datensammlungsregel-ID als Parameter und fragt nach einer Option zum Eingeben anwendbarer Speicherorte. | 6 | 1.0.0-preview |
| [Vorschau]: Aktivieren von Änderungsnachverfolgung und Bestand für VM-Skalierungsgruppen | Aktivieren Sie Änderungsnachverfolgung und Bestand für VM-Skalierungsgruppen. Verwendet die Datensammlungsregel-ID als Parameter und fragt nach einer Option zum Eingeben relevanter Speicherorte und einer benutzerseitig zugewiesenen Identität für den Azure Monitor-Agent. | 7 | 1.0.0-preview |
| [Vorschau]: Aktivieren von Änderungsnachverfolgung und Bestand für virtuelle Computer | Aktivieren Sie Änderungsnachverfolgung und Bestand für virtuelle Computer. Verwendet die Datensammlungsregel-ID als Parameter und fragt nach einer Option zum Eingeben relevanter Speicherorte und einer benutzerseitig zugewiesenen Identität für den Azure Monitor-Agent. | 7 | 1.0.0-preview |
Cosmos DB
| Name | BESCHREIBUNG | Richtlinien | Version |
|---|---|---|---|
| Azure Cosmos DB-Durchsatzrichtlinie aktivieren | Aktivieren Sie die Durchsatzsteuerung für Azure Cosmos DB-Ressourcen im angegebenen Bereich (Verwaltungsgruppe, Abonnement oder Ressourcengruppe). Als Parameter kann der maximale Durchsatz angegeben werden. Verwenden Sie diese Richtlinie, um die Durchsatzsteuerung über den Ressourcenanbieter zu erzwingen. | 2 | 1.0.0 |
Allgemein
| Name | BESCHREIBUNG | Richtlinien | Version |
|---|---|---|---|
| Ressourcen für Nutzungskosten zulassen | Zulassen, dass Ressourcen mit Ausnahme von MCPP, M365 bereitgestellt werden. | 2 | 1.0.0 |
Gastkonfiguration
| Name | BESCHREIBUNG | Richtlinien | Version |
|---|---|---|---|
| [Vorschau]: Bereitstellen von Voraussetzungen zum Aktivieren von Gastkonfigurationsrichtlinien auf virtuellen Computern mithilfe einer benutzerseitig zugewiesenen verwalteten Identität | Mit dieser Initiative wird eine benutzerseitig zugewiesene verwaltete Identität hinzugefügt und die plattformgerechte Erweiterung für die Gastkonfiguration auf VMs bereitgestellt, die zur Überwachung durch Gastkonfigurationsrichtlinien berechtigt sind. Dies ist eine Voraussetzung für alle Gastkonfigurationsrichtlinien und erfordert eine Zuweisung zum Richtlinienzuweisungsbereich, bevor eine Gastkonfigurationsrichtlinie verwendet werden kann. Weitere Informationen zur Gastkonfiguration finden Sie unter https://aka.ms/gcpol. | 3 | 1.0.0-preview |
| [Vorschau]: Windows-Computer müssen die Anforderungen für die Azure Compute-Sicherheitsbaseline erfüllen. | Diese Initiative überwacht Windows-Computer mit Einstellungen, die nicht die Azure Compute-Sicherheitsbaseline erfüllen. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. | 29 | 2.0.1-preview |
| Computer mit unsicheren Einstellungen zur Kennwortsicherheit überwachen | Diese Initiative sorgt für die Bereitstellung der erforderlichen Richtlinienkomponenten und überwacht Computer mit unsicheren Einstellungen für die Kennwortsicherheit. Weitere Informationen zu Richtlinien für die Gastkonfiguration finden Sie unter https://aka.ms/gcpol. | 9 | 1.1.0 |
| Konfigurieren sicherer Kommunikationsprotokolle (TLS 1.1 oder TLS 1.2) auf Windows-Computern (einschließlich Voraussetzungen) | Erstellt eine Gastkonfigurationszuweisung (einschließlich Voraussetzungen) zum Konfigurieren der angegebenen sicheren Protokollversion (TLS 1.1 oder TLS 1.2) auf einem Windows-Computer. Einzelheiten dazu finden Sie unter https://aka.ms/SetSecureProtocol. | 3 | 1.0.0 |
| Voraussetzungen zum Aktivieren der Gastkonfigurationsrichtlinien auf VMs bereitstellen | Mit dieser Initiative wird eine systemseitig zugewiesene verwaltete Identität hinzugefügt und die plattformgerechte Erweiterung für die Gastkonfiguration auf VMs bereitgestellt, die zur Überwachung durch Gastkonfigurationsrichtlinien berechtigt sind. Dies ist eine Voraussetzung für alle Gastkonfigurationsrichtlinien und erfordert eine Zuweisung zum Richtlinienzuweisungsbereich, bevor eine Gastkonfigurationsrichtlinie verwendet werden kann. Weitere Informationen zur Gastkonfiguration finden Sie unter https://aka.ms/gcpol. | 4 | 1.0.0 |
Kubernetes
| Name | BESCHREIBUNG | Richtlinien | Version |
|---|---|---|---|
| [Vorschau]: Verwenden der Imageintegrität, um sicherzustellen, dass nur vertrauenswürdige Images bereitgestellt werden | Verwenden Sie Imageintegrität, um sicherzustellen, dass AKS-Cluster nur vertrauenswürdige Images bereitstellen, indem Sie die Imageintegrität und Azure Policy-Add-Ons in AKS-Clustern aktivieren. Das Imageintegritäts-Add-On und das Azure Policy-Add-On sind beide für die Verwendung der Imageintegrität erforderlich, um bei der Bereitstellung zu überprüfen, ob das Image signiert ist. Weitere Informationen finden Sie unter https://aka.ms/aks/image-integrity. | 3 | 1.1.0-preview |
| [Vorschau]: Schutzmaßnahmen für die Bereitstellung sollen Entwickler*innen zu den in AKS empfohlenen bewährten Methoden leiten | Eine Sammlung von bewährten Methoden für Kubernetes, die vom Azure Kubernetes Service (AKS) empfohlen werden. Am besten verwenden Sie Schutzmaßnahmen für die Bereitstellung, um diese Richtlinieninitiative zuzuweisen: https://aka.ms/aks/deployment-safeguards. Eine Voraussetzung für die Anwendung dieser bewährten Methoden auf Ihre Cluster ist das Azure Policy-Add-On für AKS. Anweisungen zum Aktivieren des Azure Policy-Add-Ons finden Sie unter aka.ms/akspolicydoc | 19 | 1.7.0-preview |
| Grundlegende Sicherheitsstandards für Kubernetes-Clusterpods für Linux-basierte Workloads | Diese Initiative enthält die Richtlinien für die grundlegenden Sicherheitsstandards für Kubernetes-Clusterpods. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Anweisungen zur Verwendung dieser Richtlinie finden Sie unter https://aka.ms/kubepolicydoc. | 5 | 1.4.0 |
| Sicherheitsstandards für Kubernetes-Clusterpods für Linux-basierte Workloads | Diese Initiative enthält die Richtlinien für die eingeschränkten Sicherheitsstandards für Kubernetes-Clusterpods. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Anweisungen zur Verwendung dieser Richtlinie finden Sie unter https://aka.ms/kubepolicydoc. | 8 | 2.5.0 |
Verwaltete Identität
| Name | BESCHREIBUNG | Richtlinien | Version |
|---|---|---|---|
| [Vorschau]: Verbundanmeldeinformationen für verwaltete Identitäten sollten genehmigte Typen aus genehmigten Verbundquellen aufweisen | Steuern Sie die Verwendung von Verbundanmeldeinformationen für verwaltete Identitäten. Diese Initiative enthält Richtlinien, um Anmeldeinformationen für Verbundidentitäten vollständig zu blockieren, die Verwendung auf bestimmte Verbundanbietertypen zu beschränken und Verbundbeziehungen auf genehmigte Quellen zu beschränken. | 3 | 1.0.0-preview |
Überwachung
| Name | BESCHREIBUNG | Richtlinien | Version |
|---|---|---|---|
| [Vorschau]: Konfigurieren von Azure Defender für SQL-Agents auf virtuellen Computern | Konfigurieren Sie virtuelle Computer für die automatische Installation von Azure Defender für SQL-Agent dort, wo der Azure Monitor-Agent installiert ist. Security Center sammelt Ereignisse von den Agents und verwendet diese, um Sicherheitswarnungen und maßgeschneiderte Härtungsempfehlungen bereitzustellen. Erstellt eine Ressourcengruppe und einen Log Analytics-Arbeitsbereich in der Region, in der sich der Computer befindet. Diese Richtlinie gilt nur für virtuelle Computer in einigen Regionen. | 2 | 1.0.0-preview |
| Konfigurieren von Linux-Computern zum Ausführen des Azure Monitor-Agents und zum Zuordnen dieser Computer zu einer Datensammlungsregel | Überwachen und schützen Sie Ihre virtuellen Linux-Computer, VM-Skalierungsgruppen und Computer mit Arc-Unterstützung, indem Sie die Azure Monitor-Agent-Erweiterung bereitstellen und die Computer einer angegebenen Datensammlungsregel zuordnen. Die Bereitstellung erfolgt auf Computern mit unterstützten Betriebssystemimages (oder Computern, die mit der bereitgestellten Liste von Images übereinstimmen) in unterstützten Regionen. | 4 | 3.2.0 |
| Konfigurieren von Windows-Computern zum Ausführen des Azure Monitor-Agents und zum Zuordnen dieser Computer zu einer Datensammlungsregel | Überwachen und schützen Sie Ihre virtuellen Windows-Computer, VM-Skalierungsgruppen und Computer mit Arc-Unterstützung, indem Sie die Azure Monitor-Agent-Erweiterung bereitstellen und die Computer einer angegebenen Datensammlungsregel zuordnen. Die Bereitstellung erfolgt auf Computern mit unterstützten Betriebssystemimages (oder Computern, die mit der bereitgestellten Liste von Images übereinstimmen) in unterstützten Regionen. | 4 | 3.2.0 |
| Bereitstellen von Linux Azure Monitor-Agent mit benutzerseitig zugewiesener verwalteter identitätsbasierter Authentifizierung und Zuordnen zur Datensammlungsregel | Überwachen Sie Ihre virtuellen Linux-Computer und VM-Skalierungsgruppen, indem Sie die Azure Monitor-Agent-Erweiterung mit einer benutzerseitig zugewiesenen verwalteten Identitätsauthentifizierung bereitstellen und einer bestimmten Datensammlungsregel zuordnen. Die Azure Monitor-Agent-Bereitstellung erfolgt auf Computern mit unterstützten Betriebssystemimages (oder Computern, die mit der bereitgestellten Liste von Images übereinstimmen) in unterstützten Regionen. | 5 | 2.3.0 |
| Bereitstellen des Windows Azure Monitor-Agents mit Authentifizierung basierend auf der benutzerseitig zugewiesenen verwalteten Identität und Zuordnen zur Datensammlungsregel | Überwachen Sie Ihre virtuellen Windows-Computer und VM-Skalierungsgruppen, indem Sie die Azure Monitor-Agent-Erweiterung mit einer benutzerseitig zugewiesenen verwalteten Identitätsauthentifizierung bereitstellen und einer bestimmten Datensammlungsregel zuordnen. Die Azure Monitor-Agent-Bereitstellung erfolgt auf Computern mit unterstützten Betriebssystemimages (oder Computern, die mit der bereitgestellten Liste von Images übereinstimmen) in unterstützten Regionen. | 5 | 2.3.0 |
| Aktivieren der Ressourcenprotokollierung für die Kategoriegruppe „Überwachung“ für unterstützte Ressourcen zu Event Hub | Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Initiative stellt die Diagnoseeinstellung mithilfe der Kategoriegruppe „Überwachung“ bereit, um Protokolle für alle unterstützten Ressourcen an Event Hub weiterzuleiten. | 33 | 1.0.0 |
| Aktivieren der Ressourcenprotokollierung für die Kategoriengruppe „Überwachung“ für unterstützte Ressourcen zu Log Analytics | Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Initiative stellt Diagnoseeinstellungen mithilfe der Kategoriegruppe „Überwachung“ bereit, um Protokolle für alle unterstützten Ressourcen an Log Analytics weiterzuleiten. | 33 | 1.0.0 |
| Aktivieren der Ressourcenprotokollierung für die Kategoriengruppe „Überwachung“ für unterstützte Ressourcen zum Speicher | Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Initiative stellt Diagnoseeinstellungen mithilfe der Kategoriegruppe „Überwachung“ bereit, um Protokolle für alle unterstützten Ressourcen an den Speicher weiterzuleiten. | 33 | 1.0.0 |
| Azure Monitor für Hybrid-VMs mit AMA aktivieren | Aktivieren Sie Azure Monitor für die virtuellen Hybridcomputer mit AMA. | 6 | 1.0.0 |
| Azure Monitor für VMs mit Azure Monitoring Agent (AMA) aktivieren | Aktivieren Sie Azure Monitor für die virtuellen Computer (VMs) mit AMA. | 7 | 1.0.0 |
| Azure Monitor für VM-Skalierungsgruppe mit Azure Monitoring Agent (AMA) aktivieren | Aktivieren Sie Azure Monitor für die VM-Skalierungsgruppe mit AMA. | 7 | 1.0.0 |
| Legacy – Azure Monitor für VM-Skalierungsgruppen aktivieren | Legacy – Aktivieren Sie Azure Monitor für die VM-Skalierungsgruppen im angegebenen Bereich (Verwaltungsgruppe, Abonnement oder Ressourcengruppe). Akzeptiert den Log Analytics-Arbeitsbereich als Parameter. Verwenden Sie die neue Initiative namens: Azure Monitor für VM-Skalierungsgruppen mit Azure Monitoring Agent (AMA) aktivieren Hinweis: Wenn „upgradePolicy“ für Ihre Skalierungsgruppe auf „Manuell“ festgelegt ist, müssen Sie die Erweiterung auf alle VMs in der Gruppe anwenden, indem Sie dafür ein Upgrade aufrufen. Führen Sie dazu in der CLI „az vmss update-instances“ aus. | 6 | 1.0.2 |
| Legacy – Azure Monitor für VMs aktivieren | Legacy – Aktivieren Sie Azure Monitor für die virtuellen Computer (VMs) in dem angegebenen Bereich (Verwaltungsgruppe, Abonnement oder Ressourcengruppe). Akzeptiert den Log Analytics-Arbeitsbereich als Parameter. Verwenden Sie die neue Initiative namens: Azure Monitor für VMs mit Azure Monitoring Agent (AMA) aktivieren | 10 | 2.0.1 |
Netzwerk
| Name | BESCHREIBUNG | Richtlinien | Version |
|---|---|---|---|
| Für jede Netzwerksicherheitsgruppe müssen Datenflussprotokolle konfiguriert und aktiviert sein | Hiermit werden Netzwerksicherheitsgruppen überwacht, um zu überprüfen, ob Datenflussprotokolle konfiguriert sind und der Status des Datenflussprotokolls aktiviert ist. Durch die Aktivierung von Datenflussprotokollen können Informationen zum IP-Datenverkehr protokolliert werden, der durch die Netzwerksicherheitsgruppe fließt. So können Sie Netzwerkdatenflüsse optimieren, den Durchsatz überwachen, Konformität sicherstellen, Eindringversuche erkennen und mehr. | 2 | 1.0.0 |
Einhaltung gesetzlicher Bestimmungen
| Name | BESCHREIBUNG | Richtlinien | Version |
|---|---|---|---|
| [Vorschau]: ISM PROTECTED der australischen Regierung | Diese Initiative umfasst Richtlinien, die eine Teilmenge der ISM-Steuerungen der australischen Regierung (Information Security Manual, Handbuch zur Informationssicherheit) abdecken. Zusätzliche Richtlinien werden in zukünftigen Versionen hinzugefügt. Weitere Informationen finden Sie unter https://aka.ms/auism-initiative. | 54 | 8.2.2-preview |
| [Vorschau]: CMMC 2.0 Level 2.0 | Diese Initiative umfasst Richtlinien, die eine Teilmenge der CMMC 2.0 Level 2-Methoden abdecken. Zusätzliche Richtlinien werden in zukünftigen Versionen hinzugefügt. Weitere Informationen finden Sie unter https://aka.ms/cmmc2l2-initiative. | 247 | 2.10.0-preview |
| [Vorschau]: Motion Picture Association of America (MPAA) | Diese Initiative umfasst Überwachungsrichtlinien und Bereitstellungsrichtlinien für Erweiterungen virtueller Computer, die eine Teilmenge der Kontrollen der Motion Picture Association of America (MPAA) abdecken. Zusätzliche Richtlinien werden in zukünftigen Versionen hinzugefügt. Weitere Informationen finden Sie unter https://aka.ms/mpaa-init. | 36 | 4.1.0-preview |
| [Vorschau]: [Vorschau]: Reserve Bank of India – IT-Framework für Banken | Diese Initiative umfasst Richtlinien, die eine Teilmenge des Reserve Bank of India IT-Framework für Banken behandeln. Zusätzliche Richtlinien werden in zukünftigen Versionen hinzugefügt. Weitere Informationen finden Sie unter https://aka.ms/rbiitfbanks-initiative. | 171 | 1.10.0-preview |
| [Vorschau]: Reserve Bank of India – IT-Framework für NBFC | Diese Initiative umfasst Richtlinien, die eine Teilmenge des Reserve Bank of India IT-Framework für NBFC-Kontrollen (Non-Banking Financial Companies) behandeln. Zusätzliche Richtlinien werden in zukünftigen Versionen hinzugefügt. Weitere Informationen finden Sie unter https://aka.ms/rbiitfnbfc-initiative. | 134 | 2.8.0-preview |
| [Preview]: Grundwerte für vertrauliche Richtlinien für Sovereignty | Die Microsoft Cloud for Sovereignty empfiehlt vertrauliche Richtlinien, die Organisationen dabei helfen, ihre Souveränitätsziele zu erreichen, indem sie standardmäßig die Erstellung von Ressourcen außerhalb genehmigter Regionen verweigern, Ressourcen verweigern, die nicht durch Azure Confidential Computing gesichert sind, und Datenspeicherressourcen verweigern, die keine Customer-Managed Keys verwenden. Weitere Details finden Sie hier: https://aka.ms/SovereigntyBaselinePolicies | 17 | 1.0.0-preview |
| [Preview]: Grundwerte für globale Richtlinien für Sovereignty | Die Microsoft Cloud for Sovereignty empfiehlt globale Richtlinien, um Organisationen dabei zu helfen, ihre Souveränitätsziele zu erreichen, indem sie standardmäßig die Erstellung von Ressourcen außerhalb genehmigter Regionen verweigern. Weitere Details finden Sie hier: https://aka.ms/SovereigntyBaselinePolicies | 3 | 1.0.0-preview |
| [Vorschau]: SWIFT CSP-CSCF v2020 | Diese Initiative umfasst Überwachungsrichtlinien und Bereitstellungsrichtlinien für Erweiterungen virtueller Computer, die eine Teilmenge der SWIFT CSP-CSCF v2020-Kontrollen abdecken. Zusätzliche Richtlinien werden in zukünftigen Versionen hinzugefügt. Weitere Informationen finden Sie unter https://aka.ms/swift2020-init. | 59 | 6.1.0-preview |
| [Vorschau]: SWIFT CSP-CSCF v2021 | Diese Initiative umfasst Richtlinien, die eine Teilmenge der Customer Security Controls Framework v2021-Kontrollen des Customer Security Program abdecken. Zusätzliche Richtlinien werden in zukünftigen Versionen hinzugefügt. Weitere Informationen finden Sie unter https://aka.ms/swift2021-init. | 138 | 4.6.0-preview |
| ACAT für Microsoft 365-Zertifizierung | Das App Compliance Automation Tool (ACAT) für Microsoft 365 vereinfacht den Prozess zum Erreichen der Microsoft 365-Zertifizierung; siehe https://aka.ms/acat. Diese Zertifizierung stellt sicher, dass Apps über strenge Sicherheits- und Compliancemethoden verfügen, um Kundendaten, Sicherheit und Datenschutz zu schützen. Diese Initiative umfasst Richtlinien, die eine Teilmenge der Microsoft 365-Zertifizierungssteuerelemente abdecken. Zusätzliche Richtlinien werden in zukünftigen Versionen hinzugefügt. | 24 | 1.0.0 |
| Canada Federal PBMM | Diese Initiative umfasst Richtlinien, die eine Teilmenge der Canada Federal PBMM-Kontrollen abdecken. Zusätzliche Richtlinien werden in zukünftigen Versionen hinzugefügt. Weitere Informationen finden Sie unter https://aka.ms/canadafederalpbmm-init. | 57 | 8.1.0 |
| CIS Microsoft Azure Foundations Benchmark v1.1.0 | Center for Internet Security (CIS) ist eine gemeinnützige Einrichtung, deren Aufgabe es ist, „Best-Practice-Lösungen für die Cyberverteidigung zu ermitteln, zu entwickeln, zu validieren, zu fördern und zu erhalten“. Die CIS-Benchmarks sind Konfigurationsgrundlagen und Best Practices für die sichere Konfiguration eines Systems. Diese Richtlinien beziehen sich auf eine Teilmenge der CIS Microsoft Azure Foundations Benchmark v1.1.0-Kontrollen. Weitere Informationen finden Sie unter https://aka.ms/cisazure110-initiative. | 163 | 16.4.0 |
| CIS Microsoft Azure Foundations Benchmark v1.3.0 | Center for Internet Security (CIS) ist eine gemeinnützige Einrichtung, deren Aufgabe es ist, „Best-Practice-Lösungen für die Cyberverteidigung zu ermitteln, zu entwickeln, zu validieren, zu fördern und zu erhalten“. Die CIS-Benchmarks sind Konfigurationsgrundlagen und Best Practices für die sichere Konfiguration eines Systems. Diese Richtlinien beziehen sich auf eine Teilmenge der CIS Microsoft Azure Foundations Benchmark v1.3.0-Kontrollen. Weitere Informationen finden Sie unter https://aka.ms/cisazure130-initiative. | 176 | 8.6.0 |
| CIS Microsoft Azure Foundations Benchmark v1.4.0 | Center for Internet Security (CIS) ist eine gemeinnützige Einrichtung, deren Aufgabe es ist, „Best-Practice-Lösungen für die Cyberverteidigung zu ermitteln, zu entwickeln, zu validieren, zu fördern und zu erhalten“. Die CIS-Benchmarks sind Konfigurationsgrundlagen und Best Practices für die sichere Konfiguration eines Systems. Diese Richtlinien beziehen sich auf eine Teilmenge der CIS Microsoft Azure Foundations Benchmark v1.4.0-Kontrollen. Weitere Informationen finden Sie unter https://aka.ms/cisazure140-initiative. | 175 | 1.7.0 |
| CIS Microsoft Azure Foundations Benchmark v2.0.0 | Center for Internet Security (CIS) ist eine gemeinnützige Einrichtung, deren Aufgabe es ist, „Best-Practice-Lösungen für die Cyberverteidigung zu ermitteln, zu entwickeln, zu validieren, zu fördern und zu erhalten“. Die CIS-Benchmarks sind Konfigurationsgrundlagen und Best Practices für die sichere Konfiguration eines Systems. Diese Richtlinien beziehen sich auf eine Teilmenge der CIS Microsoft Azure Foundations Benchmark v2.0.0-Kontrollen. Weitere Informationen finden Sie unter https://aka.ms/cisazure200-initiative. | 211 | 1.1.0 |
| CMMC Level 3 | Diese Initiative umfasst Richtlinien, die eine Teilmenge der CMMC Level 3-Anforderungen (Cybersecurity Maturity Model Certification) abdecken. Zusätzliche Richtlinien werden in zukünftigen Versionen hinzugefügt. Weitere Informationen finden Sie unter https://aka.ms/cmmc-initiative. | 162 | 11.6.0 |
| FedRAMP High | FedRAMP ist ein Programm der US-Regierung, mit dem ein standardisierter Ansatz zur Sicherheitsbewertung, Autorisierung und kontinuierlichen Überwachung von cloudbasierten Produkten und Diensten bereitgestellt wird. FedRAMP definiert eine Reihe von Steuerelementen für Systeme mit geringer, mittlerer oder hoher Auswirkung auf die Sicherheit, die auf NIST-Basiskontrollen basieren. Diese Richtlinien behandeln eine Teilmenge von FedRAMP Kontrollen (High). Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/compliance/offerings/offering-fedramp. | 732 | 17.11.0 |
| FedRAMP Moderate | FedRAMP ist ein Programm der US-Regierung, mit dem ein standardisierter Ansatz zur Sicherheitsbewertung, Autorisierung und kontinuierlichen Überwachung von cloudbasierten Produkten und Diensten bereitgestellt wird. FedRAMP definiert eine Reihe von Steuerelementen für Systeme mit geringer, mittlerer oder hoher Auswirkung auf die Sicherheit, die auf NIST-Basiskontrollen basieren. Diese Richtlinien behandeln eine Teilmenge von FedRAMP-Kontrollen (Moderate). Zusätzliche Richtlinien werden in zukünftigen Versionen hinzugefügt. Weitere Informationen finden Sie unter https://www.fedramp.gov/documents-templates/. | 663 | 17.10.0 |
| HITRUST/HIPAA | Die Health Information Trust Alliance (HITRUST) hilft Organisationen aus allen Branchen, insbesondere aber im Gesundheitswesen, Daten, Informationsrisiken und Compliance effektiv zu verwalten. DIE HITRUST-Zertifizierung bedeutet, dass die Organisation eine gründliche Bewertung des Informationssicherheitsprogramms durchlaufen hat. Diese Richtlinien behandeln eine Teilmenge der HITRUST-Kontrollen. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/governance/policy/samples/hipaa-hitrust-9-2. | 610 | 14.3.0 |
| IRS1075 September 2016 | Diese Initiative umfasst Richtlinien, die eine Teilmenge der IRS1075-Kontrollen (September 2016) abdecken. Zusätzliche Richtlinien werden in zukünftigen Versionen hinzugefügt. Weitere Informationen finden Sie unter https://aka.ms/irs1075-init. | 60 | 8.1.0 |
| ISO 27001:2013 | Die ISO-Norm 27001 stellt Anforderungen an die Einrichtung, Implementierung, Wartung und kontinuierliche Verbesserung eines Information Security Management Systems (ISMS). Diese Richtlinien behandeln eine Teilmenge der ISO 27001:2013-Kontrollen. Zusätzliche Richtlinien werden in zukünftigen Versionen hinzugefügt. Weitere Informationen finden Sie unter https://aka.ms/iso27001-init. | 460 | 8.1.0 |
| NIST SP 800-171 Rev. 2 | Das US National Institute of Standards and Technology (NIST) fördert und verwaltet Messstandards und Richtlinien, um die Informationen und die Informationssysteme von Bundesbehörden zu schützen. Als Reaktion auf die Verfügung des US-Präsidenten 13556 zur Verwaltung kontrollierter nicht klassifizierter Informationen (CUI) hat es NIST SP 800-171 veröffentlicht. Diese Richtlinien behandeln eine Teilmenge der NIST SP 800-171 Rev. 2-Kontrollen. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/compliance/offerings/offering-nist-800-171. | 462 | 15.10.0 |
| NIST SP 800-53 Rev. 4 | NIST SP 800-53 R4 bietet einen standardisierten Ansatz zum Bewerten, Überwachen und Autorisieren von Cloud Computing-Produkten und -Diensten zum Verwalten von Informationssicherheitsrisiken. Diese Richtlinien behandeln eine Teilmenge der NIST SP 800-53 R4-Kontrollen. Zusätzliche Richtlinien werden in zukünftigen Versionen hinzugefügt. Weitere Informationen finden Sie unter https://aka.ms/nist800-53r4-initiative. | 733 | 17.10.0 |
| NIST SP 800-53 Rev. 5 | NIST SP 800-53 Rev. 5 bietet einen standardisierten Ansatz zum Bewerten, Überwachen und Autorisieren von Cloud Computing-Produkten und -Diensten zum Verwalten von Informationssicherheitsrisiken. Diese Richtlinien behandeln eine Teilmenge der NIST SP 800-53 R5-Kontrollen. Zusätzliche Richtlinien werden in zukünftigen Versionen hinzugefügt. Weitere Informationen finden Sie unter https://aka.ms/nist800-53r5-initiative. | 718 | 14.10.0 |
| NL BIO Cloud-Design | Diese Initiative umfasst Richtlinien, die sich mit den niederländischen Baseline Informatiebeveiliging (BIO)-Kontrollen speziell für die „thema-uitwerking Clouddiensten“ befassen und umfasst Richtlinien, die unter die SOC2- und ISO 27001:2013-Kontrollen fallen. | 251 | 1.4.0 |
| PCI DSS v4 | Der „Payment Card Industry (PCI) Data Security Standard (DSS)“ ist ein weltweiter Sicherheitsstandard für Zahlungsdaten, mit dem Betrug verhindert werden soll, indem Kreditkartendaten besser kontrolliert werden. PCI DSS muss von jeder Organisation eingehalten werden, die Zahlungs- und Karteninhaberdaten speichert, verarbeitet oder übermittelt. Diese Richtlinien behandeln eine Teilmenge der -DSS v4-Kontrollen. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/governance/policy/samples/pci-dss-3-2-1. | 277 | 1.1.0 |
| PCI v3.2.1:2018 | Diese Initiative umfasst Richtlinien, die eine Teilmenge der PCI v3.2.1:2018-Kontrollen abdecken. Zusätzliche Richtlinien werden in zukünftigen Versionen hinzugefügt. Weitere Informationen finden Sie unter https://aka.ms/pciv321-init. | 36 | 6.1.0 |
| RMIT Malaysia | Diese Initiative umfasst Richtlinien, die eine Teilmenge der RMIT-Kontrollen abdecken. Zusätzliche Richtlinien werden in zukünftigen Versionen hinzugefügt. Weitere Informationen finden Sie unter aka.ms/rmit-initiative. | 208 | 9.7.0 |
| SOC 2, Typ 2 | System and Organization Controls (SOC) 2 ist ein Bericht, der auf den Trust Service Principles and Criteria basiert, die vom American Institute of Certified Public Accountants (AICPA) erstellt wurden. Der Bericht bewertet das Informationssystem einer Organisation in Bezug auf die folgenden Prinzipien: Sicherheit, Verfügbarkeit, Verarbeitungsintegrität, Vertraulichkeit und Datenschutz. Diese Richtlinien behandeln eine Teilmenge der SOC 2 Typ 2-Kontrollen. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/compliance/offerings/offering-soc-2. | 319 | 1.6.0 |
| SWIFT CSP-CSCF v2022 | Das Kundensicherheitsprogramm (Customer Security Programme, CSP) von SWIFT unterstützt Finanzinstitute dabei sicherzustellen, dass ihre Abwehrmaßnahmen gegen Cyberangriffe aktuell und wirksam sind, um die Integrität des größeren Finanznetzes zu schützen. Benutzer vergleichen die von ihnen implementierten Sicherheitsmaßnahmen mit den im Customer Security Controls Framework (CSCF) beschriebenen Sicherheitsmaßnahmen. Diese Richtlinien behandeln eine Teilmenge der SWIFT-Kontrollen. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/governance/policy/samples/swift-cscf-v2021. | 343 | 2.3.0 |
| UK OFFICIAL und UK NHS | Diese Initiative umfasst Überwachungsrichtlinien und Bereitstellungsrichtlinien für Erweiterungen virtueller Computer, die eine Teilmenge der UK OFFICIAL- und UK NHS-Kontrollen abdecken. Zusätzliche Richtlinien werden in zukünftigen Versionen hinzugefügt. Weitere Informationen finden Sie unter https://aka.ms/ukofficial-init und https://aka.ms/uknhs-init. | 57 | 9.1.0 |
Resilienz
| Name | BESCHREIBUNG | Richtlinien | Version |
|---|---|---|---|
| [Vorschau]: Ressourcen sollten zonenresilient sein | Einige Ressourcentypen können zonenredundant bereitgestellt werden (z. B. SQL-Datenbanken); einige können zonenausgerichtet bereitstellen (z. B. virtuelle Computer); und einige können entweder zonenausgerichtet oder zonenredundant (z. B. Vm Scale Sets) bereitgestellt werden. Die Zonenausrichtung ist keine Garantie für Ausfallsicherheit, aber sie ist die Grundlage, auf der eine ausfallsichere Lösung aufgebaut werden kann (z. B. drei Virtual Machine Scale Sets, die auf drei verschiedene Zonen in derselben Region mit einem Load Balancer ausgerichtet sind). Weitere Informationen finden Sie unter https://aka.ms/AZResilience. | 34 | 1.10.0-preview |
SDN
| Name | BESCHREIBUNG | Richtlinien | Version |
|---|---|---|---|
| Überwachen des Zugriffs auf öffentliche Netzwerke | Überwachen von Azure-Ressourcen, die den Zugriff über das öffentliche Internet zulassen | 35 | 4.2.0 |
| Auswerten der Private Link-Nutzung für alle unterstützten Azure-Ressourcen | Konforme Ressourcen weisen mindestens eine genehmigte Verbindung mit privatem Endpunkt auf | 30 | 1.1.0 |
Security Center
| Name | BESCHREIBUNG | Richtlinien | Version |
|---|---|---|---|
| [Vorschau]: Bereitstellen des Agents für Microsoft Defender für Endpunkt | Stellen Sie den Agent für Microsoft Defender für Endpunkt auf den entsprechenden Images bereit. | 4 | 1.0.0-preview |
| Advanced Threat Protection für die Aktivierung in relationalen Open-Source-Datenbanken konfigurieren | Aktivieren Sie Advanced Threat Protection für Ihre relationalen Open-Source-Datenbanken außerhalb des Basic-Tarifs, um anomale Aktivitäten zu ermitteln, die auf ungewöhnliche und potenziell schädliche Zugriffs- oder Exploitversuche für Datenbanken hinweisen. Siehe https://aka.ms/AzDforOpenSourceDBsDocu. | 5 | 1.2.0 |
| Konfigurieren von Azure Defender für die Aktivierung auf SQL Servern und SQL Managed Instances-Instanzen | Aktivieren Sie Azure Defender für SQL Server und SQL Managed Instance-Instanzen, um anomale Aktivitäten zu erkennen, die auf ungewöhnliche und potenziell schädliche Versuche hinweisen, auf Datenbanken zuzugreifen oder sie missbräuchlich zu verwenden. | 3 | 3.0.0 |
| Konfigurieren von Microsoft Defender für Cloud-Plänen | Microsoft Defender für Cloud bietet von der Entwicklung bis zur Laufzeit umfassenden, cloudnativen Schutz in Multi-Cloud-Umgebungen. Verwenden Sie die Richtlinieninitiative, um Defender für Cloud-Pläne und Erweiterungen so zu konfigurieren, dass sie für ausgewählte Bereiche aktiviert werden. | 11 | 1.0.0 |
| Konfigurieren der Aktivierung von Microsoft Defender für Datenbanken | Konfigurieren Sie Microsoft Defender für Datenbanken zum Schutz Ihrer Azure SQL Datenbanken, verwalteten Instanzen, relationalen Open-Source-Datenbanken und Cosmos DB. | 4 | 1.0.0 |
| Konfigurieren mehrerer Integrationseinstellungen von Microsoft Defender für Endpunkt mit Microsoft Defender für Cloud | Konfigurieren Sie die Integrationseinstellungen von Microsoft Defender für Endpunkt mit Microsoft Defender für Cloud (WDATP, WDATP_EXCLUDE_LINUX_PUBLIC_PREVIEW, WDATP_UNIFIED_SOLUTION usw.). Weitere Informationen finden Sie unter https://learn.microsoft.com/azure/defender-for-cloud/integration-defender-for-endpoint. | 3 | 1.0.0 |
| Konfigurieren von SQL-VMs und SQL-Servern mit Azure Arc-Unterstützung zur Installation von Microsoft Defender für SQL und Azure Monitor-Agent (AMA) mit einem Log Analytics (LA)-Arbeitsbereich | Microsoft Defender for SQL erfasst Ereignisse von den Agents und verwendet diese, um Sicherheitswarnungen und maßgeschneiderte Härtungsaufgaben (Empfehlungen) bereitzustellen. Erstellt eine Ressourcengruppe, eine Datensammlungsregel und einen Log Analytics-Arbeitsbereich in der gleichen Region, in der sich der Computer befindet. | 9 | 1.2.1 |
| Konfigurieren von SQL-VMs und SQL-Servern mit Azure Arc-Unterstützung zur Installation von Microsoft Defender für SQL und Azure Monitor-Agent (AMA) mit einem benutzerdefinierten Log Analytics (LA)-Arbeitsbereich | Microsoft Defender for SQL erfasst Ereignisse von den Agents und verwendet diese, um Sicherheitswarnungen und maßgeschneiderte Härtungsaufgaben (Empfehlungen) bereitzustellen. Erstellt eine Ressourcengruppe und eine Datensammlungsregel in der gleichen Region, in der sich der benutzerdefinierte Log Analytics-Arbeitsbereich befindet. | 8 | 1.1.1 |
| Microsoft-Benchmark für Cloudsicherheit | Die Initiative „Microsoft-Benchmark für Cloudsicherheit“ stellt die Richtlinien und Steuerelemente dar, die die in „Microsoft-Benchmark für Cloudsicherheit“ definierten Sicherheitsempfehlungen implementieren; siehe https://aka.ms/azsecbm. Diese dient auch als Standardrichtlinieninitiative für Microsoft Defender für Cloud. Sie können diese Initiative direkt zuweisen oder Ihre Richtlinien und Konformitätsergebnisse in Microsoft Defender für Cloud verwalten. | 241 | 57.37.0 |
SQL
| Name | BESCHREIBUNG | Richtlinien | Version |
|---|---|---|---|
| Azure SQL-Datenbank sollte über die reine Microsoft Entra-Authentifizierung verfügen | Fordern Sie die reine Microsoft Entra-Authentifizierung für Azure SQL-Datenbank, und deaktivieren Sie lokale Authentifizierungsmethoden. Dies ermöglicht den Zugriff ausschließlich über Microsoft Entra-Identitäten und verbessert die Sicherheit mit modernen Authentifizierungserweiterungen, einschließlich MFA, SSO und programmgesteuerten Zugriff ohne Geheimnisse mit verwalteten Identitäten. | 2 | 1.0.0 |
| Azure SQL Managed Instance sollte über die reine Microsoft Entra-Authentifizierung verfügen | Fordern Sie die reine Microsoft Entra-Authentifizierung für verwaltete Azure SQL-Instanzen, und deaktivieren Sie lokale Authentifizierungsmethoden. Dies ermöglicht den Zugriff ausschließlich über Microsoft Entra-Identitäten und verbessert die Sicherheit mit modernen Authentifizierungserweiterungen, einschließlich MFA, SSO und programmgesteuerten Zugriff ohne Geheimnisse mit verwalteten Identitäten. | 2 | 1.0.0 |
Synapse
| Name | BESCHREIBUNG | Richtlinien | Version |
|---|---|---|---|
| Konfigurieren von Synapse-Arbeitsbereiche, damit nur reine Microsoft Entra-Identitäten für die Authentifizierung verwenden werden dürfen | Fordern und konfigurieren Sie die reine Microsoft Entra-Authentifizierung für Synapse-Arbeitsbereiche, und deaktivieren Sie lokale Authentifizierungsmethoden. Dies ermöglicht den Zugriff ausschließlich über Microsoft Entra-Identitäten und verbessert die Sicherheit mit modernen Authentifizierungserweiterungen, einschließlich MFA, SSO und programmgesteuerten Zugriff ohne Geheimnisse mit verwalteten Identitäten. | 2 | 1.0.0 |
| Synapse-Arbeitsbereiche sollten über die reine Microsoft Entra-Authentifizierung verfügen | Fordern Sie die reine Microsoft Entra-Authentifizierung für Synapse-Arbeitsbereiche, und deaktivieren Sie lokale Authentifizierungsmethoden. Dies ermöglicht den Zugriff ausschließlich über Microsoft Entra-Identitäten und verbessert die Sicherheit mit modernen Authentifizierungserweiterungen, einschließlich MFA, SSO und programmgesteuerten Zugriff ohne Geheimnisse mit verwalteten Identitäten. | 2 | 1.0.0 |
Vertrauenswürdiger Start
| Name | BESCHREIBUNG | Richtlinien | Version |
|---|---|---|---|
| [Vorschau]: Konfigurieren Sie die Voraussetzungen, um den Gastnachweis für virtuelle Computer mit „vertrauenswürdigem Start“ zu aktivieren. | Konfigurieren Sie die virtuellen Computer mit „vertrauenswürdigem Start“, um die Erweiterung „Gastnachweis“ automatisch zu installieren und die systemseitig zugewiesene verwaltete Identität zu aktivieren, damit Azure Security Center die Startintegrität proaktiv bestätigen und überwachen kann. Der Nachweis der Startintegrität erfolgt per Remotenachweis. Weitere Informationen finden Sie unter folgendem Link: https://aka.ms/trustedlaunch. | 7 | 3.0.0-preview |
VirtualEnclaves
| Name | BESCHREIBUNG | Richtlinien | Version |
|---|---|---|---|
| [Preview]: Steuern der Verwendung von AKS in einer virtuellen Enklave | Diese Initiative stellt Azure-Richtlinien für AKS bereit, die den Begrenzungsschutz dieser Ressource sicherstellen, während sie innerhalb der logisch getrennten Struktur von Azure Virtual Enclaves ausgeführt wird. https://aka.ms/VirtualEnclaves | 9 | 1.0.0-preview |
| [Preview]: Steuern der Verwendung von App Service in einer virtuellen Enklave | Diese Initiative stellt Azure-Richtlinien für App Service bereit, die den Begrenzungsschutz dieser Ressource sicherstellen, während sie innerhalb der logisch getrennten Struktur von Azure Virtual Enclaves ausgeführt wird. https://aka.ms/VirtualEnclaves | 44 | 1.0.0-preview |
| [Preview]: Steuern der Verwendung von Container Registry in einer virtuellen Enklave | Diese Initiative stellt Azure-Richtlinien für Container Registry bereit, die den Begrenzungsschutz dieser Ressource sicherstellen, während sie innerhalb der logisch getrennten Struktur von Azure Virtual Enclaves ausgeführt wird. https://aka.ms/VirtualEnclaves | 8 | 1.0.0-preview |
| [Preview]: Steuern der Verwendung von CosmosDB in einer virtuellen Enklave | Diese Initiative stellt Azure-Richtlinien für CosmosDB bereit, die den Begrenzungsschutz dieser Ressource sicherstellen, während sie innerhalb der logisch getrennten Struktur von Azure Virtual Enclaves ausgeführt wird. https://aka.ms/VirtualEnclaves | 8 | 1.0.0-preview |
| [Vorschau]: Steuern der Verwendung von Diagnoseeinstellungen für bestimmte Ressourcen in einer virtuellen Enklave | Diese Initiative stellt Azure-Richtlinien bereit, um die Konfiguration bestimmter Ressourcentypen in virtuellen Azure-Enklaven sicherzustellen. https://aka.ms/VirtualEnclaves | 25 | 1.0.0-preview |
| [Preview]: Steuern der Verwendung von Key Vault in einer virtuellen Enklave | Diese Initiative stellt Azure-Richtlinien für Key Vault bereit, die den Begrenzungsschutz dieser Ressource sicherstellen, während sie innerhalb der logisch getrennten Struktur von Azure Virtual Enclaves ausgeführt wird. https://aka.ms/VirtualEnclaves | 2 | 1.0.0-preview |
| [Preview]: Steuern der Verwendung von Microsoft SQL in einer virtuellen Enklave | Diese Initiative stellt Azure-Richtlinien für Microsoft SQL bereit, die den Begrenzungsschutz dieser Ressource sicherstellen, während sie innerhalb der logisch getrennten Struktur von Azure Virtual Enclaves ausgeführt wird. https://aka.ms/VirtualEnclaves | 24 | 1.0.0-preview |
| [Preview]: Steuern der Verwendung von PostgreSql in einer virtuellen Enklave | Diese Initiative stellt Azure-Richtlinien für PostgreSql bereit, die den Begrenzungsschutz dieser Ressource sicherstellen, während sie innerhalb der logisch getrennten Struktur von Azure Virtual Enclaves ausgeführt wird. https://aka.ms/VirtualEnclaves | 10 | 1.0.0-preview |
| [Preview]: Steuern der Verwendung von Service Bus in einer virtuellen Enklave | Diese Initiative stellt Azure-Richtlinien für Service Bus bereit, die den Begrenzungsschutz dieser Ressource sicherstellen, während sie innerhalb der logisch getrennten Struktur von Azure Virtual Enclaves ausgeführt wird. https://aka.ms/VirtualEnclaves | 7 | 1.0.0-preview |
| [Preview]: Steuern der Verwendung von Speicherkonten in einer virtuellen Enklave | Diese Initiative stellt Azure-Richtlinien für Speicherkonten bereit, die den Begrenzungsschutz dieser Ressource sicherstellen, während sie innerhalb der logisch getrennten Struktur von Azure Virtual Enclaves ausgeführt wird. https://aka.ms/VirtualEnclaves | 11 | 1.1.0-preview |
Nächste Schritte
- Sehen Sie sich die Integrationen im Azure Policy-GitHub-Repository an.
- Lesen Sie die Informationen unter Struktur von Azure Policy-Definitionen.
- Lesen Sie Grundlegendes zu Richtlinienauswirkungen.