Freigeben über


Integrierte Azure Policy-Richtliniendefinitionen

Diese Seite enthält einen Index der integrierten Azure Policy-Richtliniendefinitionen.

Die Namen der einzelnen Integrationen sind Links zur entsprechenden Richtliniendefinition im Azure-Portal. Verwenden Sie den Link in der Spalte Quelle, um die Quelle im Azure Policy-GitHub-Repository anzuzeigen Die Integrationen sind basierend auf der Eigenschaft category in den Metadaten gruppiert. Um eine bestimmte Kategorie aufzurufen, verwenden Sie STRG-F, um die Suchfunktion Ihres Browsers zu aktivieren.

API für FHIR

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Azure API for FHIR muss einen kundenseitig verwalteten Schlüssel zum Verschlüsseln ruhender Daten verwenden Verwenden Sie einen kundenseitig verwalteten Schlüssel, um die Verschlüsselung der in Azure API for FHIR gespeicherten ruhenden Daten zu steuern, wenn dies gesetzlich vorgeschrieben ist oder als Konformitätsanforderung gilt. Kundenseitig verwaltete Schlüssel bieten außerdem eine doppelte Verschlüsselung, indem eine zweite Verschlüsselungsebene zusätzlich zur Standardverschlüsselung mit dienstseitig verwalteten Schlüsseln hinzugefügt wird. überprüfen, Überprüfung, deaktiviert, Deaktivierung 1.1.0
Azure API for FHIR sollte einen privaten Link verwenden Azure API for FHIR sollte über mindestens eine genehmigte private Endpunktverbindung verfügen. Clients in einem virtuellen Netzwerk können über Private Link-Instanzen sicher auf Ressourcen mit Verbindungen mit privaten Endpunkten zugreifen. Weitere Informationen finden Sie unter https://aka.ms/fhir-privatelink. Audit, Disabled 1.0.0
Zugriff auf API for FHIR über CORS nicht allen Domänen gestatten CORS (Cross-Origin Resource Sharing) darf nicht allen Domänen Zugriff auf Ihre API for FHIR-Instanz erteilen. Entfernen Sie zum Schützen Ihrer API for FHIR-Instanz den Zugriff für alle Domänen, und definieren Sie explizit die Domänen, für die die Verbindungsherstellung zulässig ist. überwachen, Überwachung, deaktiviert, Deaktivierung 1.1.0

API Management

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
API Management-APIs sollten nur verschlüsselte Protokolle verwenden Um die Sicherheit von Daten während der Übertragung zu gewährleisten, sollten APIs nur über verschlüsselte Protokolle wie HTTPS oder WSS verfügbar sein. Verwenden Sie keine ungesicherten Protokolle, wie HTTP oder WS. Audit, Disabled, Deny 2.0.2
API Management-Aufrufe an API-Back-Ends sollten authentifiziert werden Aufrufe von API Management an Backends sollten eine Form der Authentifizierung verwenden, sei es über Zertifikate oder Anmeldeinformationen. Gilt nicht für Service Fabric-Backends. Audit, Disabled, Deny 1.0.1
API Management-Aufrufe von API-Back-Ends sollten den Zertifikatfingerabdruck oder die Namensüberprüfung nicht umgehen Um die API-Sicherheit zu verbessern, sollte API Management das Back-End-Serverzertifikat für alle API-Aufrufe überprüfen. Aktivieren Sie den SSL-Zertifikatfingerabdruck und die Namensvalidierung. Audit, Disabled, Deny 1.0.2
Direkter API Management-Verwaltungsendpunkt sollte nicht aktiviert sein Die REST-API für die direkte Verwaltung in Azure API Management umgeht die Mechanismen für die rollenbasierte Azure Resource Manager-Zugriffssteuerung, -Autorisierung und -Drosselung und erhöht so das Sicherheitsrisiko Ihres Diensts. Audit, Disabled, Deny 1.0.2
Die Mindest-API-Version von API Management muss auf 01.12.2019 oder höher festgelegt werden Um zu verhindern, dass Dienstgeheimnisse für schreibgeschützte Benutzer freigegeben werden, sollte die API-Mindestversion auf 01.12.2019 oder höher festgelegt werden. Audit, Deny, Disabled 1.0.1
Geheime benannte API Management-Werte sollten in Azure Key Vault gespeichert werden Benannte Werte sind eine Sammlung von Name/Wert-Paaren in jedem API Management-Dienst. Geheime Werte können entweder als verschlüsselter Text in API Management (benutzerdefinierte Geheimnisse) oder durch Verweisen auf Geheimnisse in Azure Key Vault gespeichert werden. Um die Sicherheit von API Management und Geheimnissen zu verbessern, verweisen Sie aus Azure Key Vault auf geheime benannte Werte. Azure Key Vault unterstützt Richtlinien für die granulare Zugriffsverwaltung und die Geheimnisrotation. Audit, Disabled, Deny 1.0.2
API Management-Dienst muss eine SKU mit Unterstützung virtueller Netzwerke verwenden Für unterstützte API Management-SKUs führt die Dienstbereitstellung in einem virtuellen Netzwerk dazu, dass erweiterte Netzwerk- und Sicherheitsfeatures für API Management freigeschaltet werden, durch die Sie mehr Kontrolle über Ihre Netzwerksicherheitskonfiguration erhalten. Weitere Informationen finden Sie unter https://aka.ms/apimvnet. Audit, Deny, Disabled 1.0.0
API Management-Dienste müssen ein virtuelles Netzwerk verwenden Die Azure Virtual Network-Bereitstellung bietet verbesserte Sicherheit und Isolation und ermöglicht das Platzieren Ihres API Management-Diensts in einem Netzwerk ohne Internetrouting, für das Sie den Zugriff steuern. Diese Netzwerke können dann durch verschiedene VPN-Technologien mit Ihren lokalen Netzwerken verbunden werden, was den Zugriff auf Ihre Back-End-Dienste innerhalb des Netzwerks und/oder lokal ermöglicht. Das Entwicklerportal und das API-Gateway können so konfiguriert werden, dass darauf entweder über das Internet oder nur vom virtuellen Netzwerk aus zugegriffen werden kann. Audit, Deny, Disabled 1.0.2
API Management sollte den öffentlichen Netzwerkzugriff auf die Dienstkonfigurationsendpunkte deaktivieren. Um die Sicherheit von API Management-Diensten zu verbessern, schränken Sie die Konnektivität mit Dienstkonfigurationsendpunkten ein, z. B. die API für die direkte Zugriffsverwaltung, den Git-Konfigurationsverwaltungsendpunkt oder den Konfigurationsendpunkt für selbstgehostete Gateways. AuditIfNotExists, Disabled 1.0.1
Die Authentifizierung mit Benutzername und Kennwort sollte für API Management deaktiviert sein Um das Entwicklerportal besser zu schützen, sollte die Authentifizierung mit Benutzername und Kennwort in API Management deaktiviert werden. Konfigurieren Sie die Benutzerauthentifizierung über Azure AD- oder Azure AD B2C-Identitätsanbieter, und deaktivieren Sie die standardmäßige Authentifizierung mit Benutzername und Kennwort. Audit, Disabled 1.0.1
API Management-Abonnements sollten nicht für alle APIs gelten API Management-Abonnements sollten für ein Produkt oder eine einzelne API anstatt für alle APIs gelten, da dies sonst zu einer übermäßigen Datengefährdung führen kann. Audit, Disabled, Deny 1.1.0
Die Version der Azure API Management-Plattform sollte stv2 sein Die Version der Azure API Management-Computeplattform stv1 wird ab dem 31. August 2024 eingestellt, und diese Instanzen sollten zur stv2-Computeplattform migriert werden, um die Unterstützung weiterhin zu erhalten. Weitere Informationen finden Sie unter https://learn.microsoft.com/azure/api-management/breaking-changes/stv1-platform-retirement-august-2024. Audit, Deny, Disabled 1.0.0
Konfigurieren von API Management-Diensten zum Deaktivieren des Zugriffs auf öffentliche API Management-Dienstkonfigurationsendpunkte Um die Sicherheit von API Management-Diensten zu verbessern, schränken Sie die Konnektivität mit Dienstkonfigurationsendpunkten ein, z. B. die API für die direkte Zugriffsverwaltung, den Git-Konfigurationsverwaltungsendpunkt oder den Konfigurationsendpunkt für selbstgehostete Gateways. DeployIfNotExists, Disabled 1.1.0
Ändern von API Management, um die Authentifizierung mit Benutzername und Kennwort zu deaktivieren Konfigurieren Sie die Benutzerauthentifizierung über Azure AD- oder Azure AD B2C-Identitätsanbieter, und deaktivieren Sie die standardmäßige Authentifizierung mit Benutzername und Kennwort, um Benutzerkonten und deren Anmeldeinformationen für das Entwicklerportal besser zu schützen. Ändern 1.1.0

App Configuration

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
App Configuration muss den Zugriff über öffentliche Netzwerke deaktivieren Die Deaktivierung des Zugriffs über öffentliche Netzwerke erhöht die Sicherheit, da die Ressource nicht über das öffentliche Internet zugänglich ist. Sie können die Offenlegung von Ressourcen einschränken, indem Sie stattdessen private Endpunkte erstellen. Weitere Informationen finden Sie unter https://aka.ms/appconfig/private-endpoint. Audit, Deny, Disabled 1.0.0
App Configuration sollte einen kundenseitig verwalteten Schlüssel verwenden. Kundenseitig verwaltete Schlüssel bieten einen verbesserten Datenschutz, da Sie so Ihre Verschlüsselungsschlüssel verwalten können. Dies ist häufig zur Einhaltung von Compliancevorgaben erforderlich. Audit, Deny, Disabled 1.1.0
App Configuration muss eine SKU mit Unterstützung von Private Link verwenden Bei Verwendung einer unterstützten SKU können Sie mit Azure Private Link Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne an der Quelle oder am Ziel eine öffentliche IP-Adresse zu verwenden. Auf der Private Link-Plattform wird die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk verarbeitet. Indem Sie private Endpunkte nicht dem gesamten Dienst, sondern nur Ihren App Configuration-Instanzen zuordnen, sind Sie auch vor Risiken aufgrund von Datenlecks geschützt. Weitere Informationen finden Sie unter https://aka.ms/appconfig/private-endpoint. Audit, Deny, Disabled 1.0.0
App Configuration sollte Private Link verwenden. Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Auf der Private Link-Plattform wird die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk verarbeitet. Indem Sie private Endpunkte nicht dem gesamten Dienst, sondern nur Ihren App Configuration-Instanzen zuordnen, sind Sie auch vor Risiken aufgrund von Datenlecks geschützt. Weitere Informationen finden Sie unter https://aka.ms/appconfig/private-endpoint. AuditIfNotExists, Disabled 1.0.2
Lokale Authentifizierungsmethoden sollten für App Configuration-Speicher deaktiviert sein Durch das Deaktivieren lokaler Authentifizierungsmethoden verbessert sich die Sicherheit, da hierdurch sichergestellt wird, dass App Configuration-Speicher ausschließlich Microsoft Entra-Identitäten für die Authentifizierung anfordern. Weitere Informationen finden Sie unter https://go.microsoft.com/fwlink/?linkid=2161954. Audit, Deny, Disabled 1.0.1
Konfigurieren von App Configuration-Speicher für die Deaktivierung lokaler Authentifizierungsmethoden Deaktivieren Sie lokale Authentifizierungsmethoden, damit Ihre App Configuration-Speicher ausschließlich Microsoft Entra-Identitäten für die Authentifizierung anfordern. Weitere Informationen finden Sie unter https://go.microsoft.com/fwlink/?linkid=2161954. Modify, Disabled 1.0.1
Für App Configuration muss der Zugriff über öffentliche Netzwerke deaktiviert sein Deaktivieren Sie den Zugriff über öffentliche Netzwerke für die App Configuration-Instanz, sodass sie nicht über das öffentliche Internet zugänglich ist. Diese Konfiguration trägt zum Schutz vor Risiken aufgrund von Datenlecks bei. Sie können die Offenlegung von Ressourcen einschränken, indem Sie stattdessen private Endpunkte erstellen. Weitere Informationen finden Sie unter https://aka.ms/appconfig/private-endpoint. Modify, Disabled 1.0.0
Private DNS-Zonen für mit App Configuration verbundene private Endpunkte konfigurieren Verwenden Sie private DNS-Zonen, um die DNS-Auflösung für einen privaten Endpunkt außer Kraft zu setzen. Eine private DNS-Zone kann mit Ihrem virtuellen Netzwerk verknüpft werden, um App Configuration-Instanzen aufzulösen. Weitere Informationen finden Sie unter https://aka.ms/appconfig/private-endpoint. DeployIfNotExists, Disabled 1.0.0
Private Endpunkte für App Configuration konfigurieren Mit privaten Endpunkten können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne an der Quelle oder am Ziel eine öffentliche IP-Adresse zu verwenden. Durch das Zuordnen von privaten Endpunkten zu Ihren App Configuration-Instanzen wird das Risiko von Datenlecks verringert. Weitere Informationen finden Sie unter https://aka.ms/appconfig/private-endpoint. DeployIfNotExists, Disabled 1.0.0

App-Plattform

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
[Vorschau]: Azure Spring Cloud-Instanzen überwachen, bei denen die verteilte Ablaufverfolgung nicht aktiviert ist Die Tools für die verteilte Ablaufverfolgung in Azure Spring Cloud ermöglichen das Debuggen und Überwachen der komplexen Verbindungen zwischen Microservices in einer Anwendung. Die Tools für die verteilte Ablaufverfolgung sollten aktiviert und in einem fehlerfreien Zustand sein. Audit, Disabled 1.0.0-preview
Azure Spring Cloud muss Netzwerkinjektion verwenden Azure Spring Cloud-Instanzen sollten die VNET-Injektion für folgende Zwecke verwenden: 1. Azure Spring Cloud vom Internet isolieren. 2. Die Interaktion von Azure Spring Cloud mit Systemen in lokalen Rechenzentren oder im Azure-Dienst in anderen VNETs ermöglichen. 3. Kunden die Steuerung der eingehenden und ausgehenden Netzwerkkommunikation für Azure Spring Cloud erlauben Audit, Disabled, Deny 1.2.0

App Service

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
App Service-App-Slots sollten in ein virtuelles Netzwerk eingefügt werden. Durch die Einbindung von App Service-Apps in ein virtuelles Netzwerk werden erweiterte App Service-Netzwerk- und Sicherheitsfeatures freigeschaltet, und Sie erhalten eine größere Kontrolle über Ihre Netzwerksicherheitskonfiguration. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/app-service/web-sites-integrate-with-vnet. Audit, Deny, Disabled 1.0.0
App Service-App-Slots müssen den Zugriff über öffentliche Netzwerke deaktivieren. Die Deaktivierung des Zugriffs über öffentliche Netzwerke erhöht die Sicherheit, da sichergestellt wird, dass der App Service nicht über das öffentliche Internet zugänglich ist. Sie können die Offenlegung eines App Service einschränken, indem Sie private Endpunkte erstellen. Weitere Informationen finden Sie unter https://aka.ms/app-service-private-endpoint. Audit, Disabled, Deny 1.0.0
App Service App-Slots sollten das Konfigurationsrouting zu Azure Virtual Network aktivieren Standardmäßig werden App-Konfigurationen (etwa zum Pullen von Containerimages und Einbinden von Inhaltsspeicher) nicht über die regionale Integration des virtuellen Netzwerks weitergeleitet. Wenn Sie die Routingoptionen mithilfe der API auf „true“ festlegen, wird Konfigurationsdatenverkehr über Azure Virtual Network ermöglicht. Diese Einstellungen ermöglichen die Verwendung von Features wie Netzwerksicherheitsgruppen und benutzerdefinierten Routen sowie das Festlegen privater Dienstendpunkte. Weitere Informationen finden Sie unter https://aka.ms/appservice-vnet-configuration-routing. Audit, Deny, Disabled 1.0.0
App Service-App-Slots müssen ausgehenden Nicht-RFC 1918-Datenverkehr zu Azure Virtual Network aktivieren. Bei Verwendung der Azure Virtual Network-Integration (VNET) routet die App standardmäßig nur RFC 1918-Datenverkehr an das jeweilige virtuelle Netzwerk. Wenn Sie mithilfe der API „vnetRouteAllEnabled“ auf TRUE festlegen, wird der gesamte ausgehende Datenverkehr an Azure Virtual Network geroutet. Mithilfe dieser Einstellung können Features wie beispielsweise Netzwerksicherheitsgruppen und benutzerdefinierte Routen für den gesamten ausgehenden Datenverkehr von der App Service-App verwendet werden. Audit, Deny, Disabled 1.0.0
Für App Service-App-Slots sollten Clientzertifikate (eingehende Clientzertifikate) aktiviert sein Mithilfe von Clientzertifikaten kann die App ein Zertifikat für eingehende Anforderungen anfordern. Nur Clients mit einem gültigen Zertifikat können auf die App zugreifen. Diese Richtlinie gilt für Apps mit HTTP-Version 1.1. AuditIfNotExists, Disabled 1.0.0
Für App Service-App-Slots sollten lokale Authentifizierungsmethoden für FTP-Bereitstellungen deaktiviert sein Das Deaktivieren lokaler Authentifizierungsmethoden für FTP-Bereitstellungen verbessert die Sicherheit, da hierdurch sichergestellt wird, dass App Service-Slots ausschließlich Microsoft Entra-Identitäten für die Authentifizierung anfordern. Weitere Informationen finden Sie unter https://aka.ms/app-service-disable-basic-auth. AuditIfNotExists, Disabled 1.0.3
Für App Service App-Slots sollten lokale Authentifizierungsmethoden für SCM-Standortbereitstellungen deaktiviert sein Das Deaktivieren lokaler Authentifizierungsmethoden für SCM-Seiten verbessert die Sicherheit, da hierdurch sichergestellt wird, dass App Service-Slots ausschließlich Microsoft Entra-Identitäten für die Authentifizierung anfordern. Weitere Informationen finden Sie unter https://aka.ms/app-service-disable-basic-auth. AuditIfNotExists, Disabled 1.0.4
Für App Service-App-Slots muss Remotedebuggen deaktiviert sein. Für das Remotedebuggen müssen bei einer App Service-App eingehende Ports geöffnet werden. Das Remotedebuggen muss deaktiviert werden. AuditIfNotExists, Disabled 1.0.1
Für App Service-App-Slots müssen Ressourcenprotokolle aktiviert sein. Hiermit wird die Aktivierung von Ressourcenprotokollen für die App überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn Sie Sicherheitsincidents untersuchen oder Ihr Netzwerk gefährdet ist. AuditIfNotExists, Disabled 1.0.0
Für App Service-App-Slots sollte CORS nicht so konfiguriert sein, dass jede Ressource auf Ihre Apps zugreifen kann. Cross-Origin Resource Sharing (CORS) sollte nicht allen Domänen den Zugriff auf Ihre App ermöglichen. Erlauben Sie nur erforderlichen Domains, mit Ihrer App zu interagieren. AuditIfNotExists, Disabled 1.0.0
Zugriff auf App Service-App-Slots nur über HTTPS gestatten Durch die Verwendung von HTTPS wird die Server-/Dienstauthentifizierung sichergestellt, und Daten werden bei der Übertragung vor Abhörangriffen auf der Vermittlungsschicht geschützt. Audit, Disabled, Deny 2.0.0
App Service-App-Slots sollten nur FTPS erfordern. Aktivieren Sie die FTPS-Erzwingung für mehr Sicherheit. AuditIfNotExists, Disabled 1.0.0
App Service App-Slots sollten eine Azure-Dateifreigabe für das Inhaltsverzeichnis verwenden. Das Inhaltsverzeichnis einer API-App sollte sich auf einer Azure-Dateifreigabe befinden. Die Speicherkontoinformationen für die Dateifreigabe müssen vor jeder Veröffentlichungsaktivität bereitgestellt werden. Weitere Informationen zur Verwendung von Azure Files für das Hosting von App Service-Inhalten finden Sie unter https://go.microsoft.com/fwlink/?linkid=2151594. Audit, Disabled 1.0.0
App Service-App-Slots müssen die aktuelle „HTTP-Version“ verwenden. Für HTTP werden in regelmäßigen Abständen neue Versionen herausgegeben – entweder zum Beheben von Sicherheitsmängeln oder zum Bereitstellen neuer Funktionen. Verwenden Sie die aktuelle HTTP-Version für Web-Apps, um von Sicherheitsfixes (falls vorhanden) und/oder neuen Funktionen der neuesten Version zu profitieren. AuditIfNotExists, Disabled 1.0.0
App Service-App-Slots müssen eine verwaltete Identität verwenden. Verwaltete Identität zur Erhöhung der Authentifizierungssicherheit verwenden AuditIfNotExists, Disabled 1.0.0
App Service-App-Slots müssen die aktuelle TLS-Version verwenden. Für TLS werden in regelmäßigen Abständen neue Versionen herausgegeben – entweder zum Beheben von Sicherheitsmängeln, zum Bereitstellen neuer Funktionen oder zur Verbesserung der Geschwindigkeit. Führen Sie ein Upgrade auf die neueste TLS-Version für App Service-Apps durch, um von etwaigen Sicherheitsverbesserungen und/oder neuen Funktionen der neuesten Version zu profitieren. AuditIfNotExists, Disabled 1.0.0
App Service-App-Slots, die Java verwenden, sollten die angegebene ‚Java-Version‘ verwenden Für die Java-Software werden in regelmäßigen Abständen neue Versionen herausgegeben – entweder zum Beheben von Sicherheitsmängeln oder zum Bereitstellen neuer Funktionen. Die Verwendung der neuesten Java-Version für App Service-Anwendungen wird empfohlen, um von eventuellen Sicherheitsverbesserungen und/oder neuen Funktionen der neuesten Version zu profitieren. Diese Richtlinie gilt nur für Linux-Apps. Bei dieser Richtlinie müssen Sie eine Java-Version angeben, die Ihren Anforderungen entspricht. AuditIfNotExists, Disabled 1.0.0
App Service-App-Slots, die PHP verwenden, sollten die angegebene ‚PHP-Version‘ verwenden Für die PHP-Software werden in regelmäßigen Abständen neue Versionen herausgegeben – entweder zum Beheben von Sicherheitsmängeln oder zum Bereitstellen neuer Funktionen. Es wird empfohlen, die neueste PHP-Version für App Service-Apps zu verwenden, um gegebenenfalls Sicherheitsfixes und/oder neue Funktionen der neuesten Version zu nutzen. Diese Richtlinie gilt nur für Linux-Apps. Bei dieser Richtlinie müssen Sie eine PHP-Version angeben, die Ihren Anforderungen entspricht. AuditIfNotExists, Disabled 1.0.0
App Service-App-Slots, die Python verwenden, sollten die angegebene ‚Python-Version‘ verwenden Für die Python-Software werden in regelmäßigen Abständen neue Versionen herausgegeben – entweder zum Beheben von Sicherheitsmängeln oder zum Bereitstellen neuer Funktionen. Es wird empfohlen, die neueste Python-Version für App Service-Apps zu verwenden, um gegebenenfalls Sicherheitsfixes und/oder neue Funktionen der neuesten Version zu nutzen. Diese Richtlinie gilt nur für Linux-Apps. Bei dieser Richtlinie müssen Sie eine Python-Version angeben, die Ihren Anforderungen entspricht. AuditIfNotExists, Disabled 1.0.0
App Service-Apps sollten in ein virtuelles Netzwerk eingefügt werden Durch die Einbindung von App Service-Apps in ein virtuelles Netzwerk werden erweiterte App Service-Netzwerk- und Sicherheitsfeatures freigeschaltet, und Sie erhalten eine größere Kontrolle über Ihre Netzwerksicherheitskonfiguration. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/app-service/web-sites-integrate-with-vnet. Audit, Deny, Disabled 3.0.0
App Service-Apps müssen den Zugriff über öffentliche Netzwerke deaktivieren. Die Deaktivierung des Zugriffs über öffentliche Netzwerke erhöht die Sicherheit, da sichergestellt wird, dass der App Service nicht über das öffentliche Internet zugänglich ist. Sie können die Offenlegung eines App Service einschränken, indem Sie private Endpunkte erstellen. Weitere Informationen finden Sie unter https://aka.ms/app-service-private-endpoint. Audit, Disabled, Deny 1.1.0
App Service-Apps sollten das Konfigurationsrouting zu Azure Virtual Network aktivieren Standardmäßig werden App-Konfigurationen (etwa zum Pullen von Containerimages und Einbinden von Inhaltsspeicher) nicht über die regionale Integration des virtuellen Netzwerks weitergeleitet. Wenn Sie die Routingoptionen mithilfe der API auf „true“ festlegen, wird Konfigurationsdatenverkehr über Azure Virtual Network ermöglicht. Diese Einstellungen ermöglichen die Verwendung von Features wie Netzwerksicherheitsgruppen und benutzerdefinierten Routen sowie das Festlegen privater Dienstendpunkte. Weitere Informationen finden Sie unter https://aka.ms/appservice-vnet-configuration-routing. Audit, Deny, Disabled 1.0.0
App Service-Apps müssen ausgehenden Nicht-RFC 1918-Datenverkehr an Azure Virtual Network aktivieren Bei Verwendung der Azure Virtual Network-Integration (VNET) routet die App standardmäßig nur RFC 1918-Datenverkehr an das jeweilige virtuelle Netzwerk. Wenn Sie mithilfe der API „vnetRouteAllEnabled“ auf TRUE festlegen, wird der gesamte ausgehende Datenverkehr an Azure Virtual Network geroutet. Mithilfe dieser Einstellung können Features wie beispielsweise Netzwerksicherheitsgruppen und benutzerdefinierte Routen für den gesamten ausgehenden Datenverkehr von der App Service-App verwendet werden. Audit, Deny, Disabled 1.0.0
Für App Service-Apps sollte die Authentifizierung aktiviert sein Die Azure App Service-Authentifizierung ist eine Funktion, mit der Sie verhindern können, dass anonyme HTTP-Anforderungen die Web-App erreichen, oder die zu authentifizieren, die Token haben, bevor sie die Web-App erreichen. AuditIfNotExists, Disabled 2.0.1
App Service-Apps sollten „Client-Zertifikate (eingehende Client-Zertifikate)“ aktiviert haben Mithilfe von Clientzertifikaten kann die App ein Zertifikat für eingehende Anforderungen anfordern. Nur Clients mit einem gültigen Zertifikat können auf die App zugreifen. Diese Richtlinie gilt für Apps mit HTTP-Version 1.1. AuditIfNotExists, Disabled 1.0.0
Für App Service-Apps sollten lokale Authentifizierungsmethoden für FTP-Bereitstellungen deaktiviert sein Das Deaktivieren lokaler Authentifizierungsmethoden für FTP-Bereitstellungen verbessert die Sicherheit, da hierdurch sichergestellt wird, dass App Services ausschließlich Microsoft Entra-Identitäten für die Authentifizierung anfordern. Weitere Informationen finden Sie unter https://aka.ms/app-service-disable-basic-auth. AuditIfNotExists, Disabled 1.0.3
Für App Service-Apps sollten lokale Authentifizierungsmethoden für SCM-Standortbereitstellungen deaktiviert sein Das Deaktivieren lokaler Authentifizierungsmethoden für SCM-Seiten verbessert die Sicherheit, da hierdurch sichergestellt wird, dass App Services ausschließlich Microsoft Entra-Identitäten für die Authentifizierung anfordern. Weitere Informationen finden Sie unter https://aka.ms/app-service-disable-basic-auth. AuditIfNotExists, Disabled 1.0.3
Für App Service-Apps sollte das Remotedebuggen deaktiviert sein Für das Remotedebuggen müssen bei einer App Service-App eingehende Ports geöffnet werden. Das Remotedebuggen muss deaktiviert werden. AuditIfNotExists, Disabled 2.0.0
Für App Service-Apps sollten Ressourcenprotokolle aktiviert sein Hiermit wird die Aktivierung von Ressourcenprotokollen für die App überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn Sie Sicherheitsincidents untersuchen oder Ihr Netzwerk gefährdet ist. AuditIfNotExists, Disabled 2.0.1
Für App Service-Apps sollte CORS nicht so konfiguriert sein, dass jede Ressource auf Ihre Apps zugreifen kann Cross-Origin Resource Sharing (CORS) sollte nicht allen Domänen den Zugriff auf Ihre App ermöglichen. Erlauben Sie nur erforderlichen Domains, mit Ihrer App zu interagieren. AuditIfNotExists, Disabled 2.0.0
Zugriff auf App Service-Anwendungen sollte nur über HTTPS gestattet sein Durch die Verwendung von HTTPS wird die Server-/Dienstauthentifizierung sichergestellt, und Daten werden bei der Übertragung vor Abhörangriffen auf der Vermittlungsschicht geschützt. Audit, Disabled, Deny 4.0.0
App Service-Apps sollten nur FTPS erfordern Aktivieren Sie die FTPS-Erzwingung für mehr Sicherheit. AuditIfNotExists, Disabled 3.0.0
App Service-Apps müssen eine SKU verwenden, die Private Link unterstützt Bei Verwendung von unterstützten SKUs können Sie mit Azure Private Link Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne an der Quelle oder am Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Apps können Sie das Risiko von Datenlecks verringern. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/private-link. Audit, Deny, Disabled 4.1.0
App Service-Apps sollten eine Azure-Dateifreigabe für das Inhaltsverzeichnis verwenden Das Inhaltsverzeichnis einer API-App sollte sich auf einer Azure-Dateifreigabe befinden. Die Speicherkontoinformationen für die Dateifreigabe müssen vor jeder Veröffentlichungsaktivität bereitgestellt werden. Weitere Informationen zur Verwendung von Azure Files für das Hosting von App Service-Inhalten finden Sie unter https://go.microsoft.com/fwlink/?linkid=2151594. Audit, Disabled 3.0.0
App Service-Apps sollten die neueste „HTTP-Version“ verwenden Für HTTP werden in regelmäßigen Abständen neue Versionen herausgegeben – entweder zum Beheben von Sicherheitsmängeln oder zum Bereitstellen neuer Funktionen. Verwenden Sie die aktuelle HTTP-Version für Web-Apps, um von Sicherheitsfixes (falls vorhanden) und/oder neuen Funktionen der neuesten Version zu profitieren. AuditIfNotExists, Disabled 4.0.0
App Service-Apps sollten eine verwaltete Identität verwenden Verwaltete Identität zur Erhöhung der Authentifizierungssicherheit verwenden AuditIfNotExists, Disabled 3.0.0
App Service-Apps sollten eine private Verbindung verwenden Mit Azure Private Link können Sie Ihre virtuellen Netzwerke mit Azure-Diensten verbinden, ohne dass eine öffentliche IP-Adresse an der Quelle oder am Ziel vorhanden ist. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu App Service können Sie das Risiko von Datenlecks verringern. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/private-link. AuditIfNotExists, Disabled 1.0.1
App Service-Apps sollten die neueste TLS-Version verwenden Für TLS werden in regelmäßigen Abständen neue Versionen herausgegeben – entweder zum Beheben von Sicherheitsmängeln, zum Bereitstellen neuer Funktionen oder zur Verbesserung der Geschwindigkeit. Führen Sie ein Upgrade auf die neueste TLS-Version für App Service-Apps durch, um von etwaigen Sicherheitsverbesserungen und/oder neuen Funktionen der neuesten Version zu profitieren. AuditIfNotExists, Disabled 2.0.1
App Service-Apps, die Java verwenden, sollten eine spezifische „Java-Version“ verwenden Für die Java-Software werden in regelmäßigen Abständen neue Versionen herausgegeben – entweder zum Beheben von Sicherheitsmängeln oder zum Bereitstellen neuer Funktionen. Die Verwendung der neuesten Java-Version für App Service-Anwendungen wird empfohlen, um von eventuellen Sicherheitsverbesserungen und/oder neuen Funktionen der neuesten Version zu profitieren. Diese Richtlinie gilt nur für Linux-Apps. Bei dieser Richtlinie müssen Sie eine Java-Version angeben, die Ihren Anforderungen entspricht. AuditIfNotExists, Disabled 3.1.0
App Service-Apps, die PHP verwenden, sollten die angegebene „PHP-Version“ verwenden Für die PHP-Software werden in regelmäßigen Abständen neue Versionen herausgegeben – entweder zum Beheben von Sicherheitsmängeln oder zum Bereitstellen neuer Funktionen. Es wird empfohlen, die neueste PHP-Version für App Service-Apps zu verwenden, um gegebenenfalls Sicherheitsfixes und/oder neue Funktionen der neuesten Version zu nutzen. Diese Richtlinie gilt nur für Linux-Apps. Bei dieser Richtlinie müssen Sie eine PHP-Version angeben, die Ihren Anforderungen entspricht. AuditIfNotExists, Disabled 3.2.0
App Service-App, die Python verwenden, sollten die angegebene „Python-Version“ verwenden Für die Python-Software werden in regelmäßigen Abständen neue Versionen herausgegeben – entweder zum Beheben von Sicherheitsmängeln oder zum Bereitstellen neuer Funktionen. Es wird empfohlen, die neueste Python-Version für App Service-Apps zu verwenden, um gegebenenfalls Sicherheitsfixes und/oder neue Funktionen der neuesten Version zu nutzen. Diese Richtlinie gilt nur für Linux-Apps. Bei dieser Richtlinie müssen Sie eine Python-Version angeben, die Ihren Anforderungen entspricht. AuditIfNotExists, Disabled 4.1.0
Die Apps der App Service-Umgebung sollten nicht über das öffentliche Internet erreichbar sein Um sicherzustellen, dass Apps, die in einer App Service-Umgebung bereitgestellt werden, nicht über das öffentliche Internet zugänglich sind, sollten Sie die App Service-Umgebung mit einer IP-Adresse im virtuellen Netzwerk bereitstellen. Um die IP-Adresse auf eine IP-Adresse eines virtuellen Netzwerks zu setzen, muss die App Service-Umgebung mit einem internen Lastenausgleich bereitgestellt werden. Audit, Deny, Disabled 3.0.0
Die App Service-Umgebung sollte mit den stärksten TLS-Verschlüsselungssammlungen konfiguriert werden Die beiden minimalsten und stärksten Verschlüsselungssammlungen, die für die ordnungsgemäße Funktion der App Service-Umgebung erforderlich sind, lauten: TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 und TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256. Audit, Disabled 1.0.0
Die App Service-Umgebung sollte mit den neuesten Versionen bereitgestellt werden Lassen Sie nur die Bereitstellung der Version 2 oder Version 3 der App Service-Umgebung zu. Ältere Versionen der App Service-Umgebung erfordern eine manuelle Verwaltung von Azure-Ressourcen und haben größere Skalierungseinschränkungen. Audit, Deny, Disabled 1.0.0
In der App Service-Umgebung sollte die interne Verschlüsselung aktiviert sein Wenn Sie „InternalEncryption“ auf TRUE festlegen, werden die Auslagerungsdatei, die Workerdatenträger und der interne Netzwerkverkehr zwischen den Front-Ends und den Workern in einer App Service-Umgebung verschlüsselt. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/app-service/environment/app-service-app-service-environment-custom-settings#enable-internal-encryption. Audit, Disabled 1.0.1
Für die App Service-Umgebung sollte TLS 1.0 und 1.1 deaktiviert sein TLS 1.0 und TLS 1.1 sind veraltete Protokolle, die keine Unterstützung für moderne Kryptografiealgorithmen bieten. Die Deaktivierung von eingehendem TLS 1.0- und TLS 1.1-Datenverkehr trägt zum Schutz der Apps in einer App Service-Umgebung bei. Audit, Deny, Disabled 2.0.1
Konfigurieren Sie App Service-App-Slots, um die lokale Authentifizierung für FTP-Bereitstellungen zu deaktivieren Das Deaktivieren lokaler Authentifizierungsmethoden für FTP-Bereitstellungen verbessert die Sicherheit, da hierdurch sichergestellt wird, dass App Service-Slots ausschließlich Microsoft Entra-Identitäten für die Authentifizierung anfordern. Weitere Informationen finden Sie unter https://aka.ms/app-service-disable-basic-auth. DeployIfNotExists, Disabled 1.0.3
Konfigurieren Sie App Service-App-Slots, um die lokale Authentifizierung für SCM-Standorte zu deaktivieren Das Deaktivieren lokaler Authentifizierungsmethoden für SCM-Seiten verbessert die Sicherheit, da hierdurch sichergestellt wird, dass App Service-Slots ausschließlich Microsoft Entra-Identitäten für die Authentifizierung anfordern. Weitere Informationen finden Sie unter https://aka.ms/app-service-disable-basic-auth. DeployIfNotExists, Disabled 1.0.3
Konfigurieren von App Service App-Slots zum Deaktivieren des Zugriffs auf öffentliche Netzwerke Deaktivieren Sie für Ihre App Services den Zugriff über öffentliche Netzwerke, sodass sie nicht über das öffentliche Internet zugänglich sind. Dies kann das Risiko von Datenlecks verringern. Weitere Informationen finden Sie unter https://aka.ms/app-service-private-endpoint. Modify, Disabled 1.1.0
App Service-App-Slots konfigurieren, um den Zugriff nur über HTTPS zu gestatten Durch die Verwendung von HTTPS wird die Server-/Dienstauthentifizierung sichergestellt, und Daten werden bei der Übertragung vor Abhörangriffen auf der Vermittlungsschicht geschützt. Modify, Disabled 2.0.0
Konfigurieren von App Service-App-Slots zum Deaktivieren des Remotedebuggen Für das Remotedebuggen müssen bei einer App Service-App eingehende Ports geöffnet werden. Das Remotedebuggen muss deaktiviert werden. DeployIfNotExists, Disabled 1.1.0
Konfigurieren von App Service-App-Slots für die Verwendung der aktuellen TLS-Version Für TLS werden in regelmäßigen Abständen neue Versionen herausgegeben – entweder zum Beheben von Sicherheitsmängeln, zum Bereitstellen neuer Funktionen oder zur Verbesserung der Geschwindigkeit. Führen Sie ein Upgrade auf die neueste TLS-Version für App Service-Apps durch, um von etwaigen Sicherheitsverbesserungen und/oder neuen Funktionen der neuesten Version zu profitieren. DeployIfNotExists, Disabled 1.1.0
Konfigurieren Sie App Service-Apps, um die lokale Authentifizierung für FTP-Bereitstellungen zu deaktivieren Das Deaktivieren lokaler Authentifizierungsmethoden für FTP-Bereitstellungen verbessert die Sicherheit, da hierdurch sichergestellt wird, dass App Services ausschließlich Microsoft Entra-Identitäten für die Authentifizierung anfordern. Weitere Informationen finden Sie unter https://aka.ms/app-service-disable-basic-auth. DeployIfNotExists, Disabled 1.0.3
Konfigurieren Sie App Service-Apps, um die lokale Authentifizierung für SCM-Standorte zu deaktivieren Das Deaktivieren lokaler Authentifizierungsmethoden für SCM-Seiten verbessert die Sicherheit, da hierdurch sichergestellt wird, dass App Services ausschließlich Microsoft Entra-Identitäten für die Authentifizierung anfordern. Weitere Informationen finden Sie unter https://aka.ms/app-service-disable-basic-auth. DeployIfNotExists, Disabled 1.0.3
App Services-Apps zum Deaktivieren des Zugriffs über öffentliche Netzwerke konfigurieren Deaktivieren Sie für Ihre App Services den Zugriff über öffentliche Netzwerke, sodass sie nicht über das öffentliche Internet zugänglich sind. Dies kann das Risiko von Datenlecks verringern. Weitere Informationen finden Sie unter https://aka.ms/app-service-private-endpoint. Modify, Disabled 1.1.0
App Service-Apps konfigurieren, um den Zugriff nur über HTTPS zu gestatten Durch die Verwendung von HTTPS wird die Server-/Dienstauthentifizierung sichergestellt, und Daten werden bei der Übertragung vor Abhörangriffen auf der Vermittlungsschicht geschützt. Modify, Disabled 2.0.0
App Service-Apps zum Deaktivieren des Remotedebuggens konfigurieren Für das Remotedebuggen müssen bei einer App Service-App eingehende Ports geöffnet werden. Das Remotedebuggen muss deaktiviert werden. DeployIfNotExists, Disabled 1.0.0
Konfigurieren von App Service-Apps für die Verwendung privater DNS-Zonen Verwenden Sie private DNS-Zonen, um die DNS-Auflösung für einen privaten Endpunkt außer Kraft zu setzen. Eine private DNS-Zone verknüpft ein virtuelles Netzwerk mit einem App Service. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/app-service/networking/private-endpoint#dns. DeployIfNotExists, Disabled 1.0.1
App Service-Apps für die Verwendung der neuesten TLS-Version konfigurieren Für TLS werden in regelmäßigen Abständen neue Versionen herausgegeben – entweder zum Beheben von Sicherheitsmängeln, zum Bereitstellen neuer Funktionen oder zur Verbesserung der Geschwindigkeit. Führen Sie ein Upgrade auf die neueste TLS-Version für App Service-Apps durch, um von etwaigen Sicherheitsverbesserungen und/oder neuen Funktionen der neuesten Version zu profitieren. DeployIfNotExists, Disabled 1.0.1
Konfigurieren von Funktions-App-Slots zum Deaktivieren des Zugriffs auf öffentliche Netzwerke Deaktivieren Sie für Ihre Funktions-Apps den Zugriff über öffentliche Netzwerke, sodass sie nicht über das öffentliche Internet zugänglich sind. Dies kann das Risiko von Datenlecks verringern. Weitere Informationen finden Sie unter https://aka.ms/app-service-private-endpoint. Modify, Disabled 1.1.0
Funktions-App-Slots konfigurieren, damit nur über HTTPS darauf zugegriffen werden kann. Durch die Verwendung von HTTPS wird die Server-/Dienstauthentifizierung sichergestellt, und Daten werden bei der Übertragung vor Abhörangriffen auf der Vermittlungsschicht geschützt. Modify, Disabled 2.0.0
Funktions-App-Slots zum Deaktivieren des Remotedebuggen konfigurieren Für das Remotedebuggen müssen die eingehenden Ports für eine Funktions-App geöffnet sein. Das Remotedebuggen muss deaktiviert werden. DeployIfNotExists, Disabled 1.1.0
Konfigurieren von Funktions-App-Slots für die Verwendung der aktuellen TLS-Version Für TLS werden in regelmäßigen Abständen neue Versionen herausgegeben – entweder zum Beheben von Sicherheitsmängeln, zum Bereitstellen neuer Funktionen oder zur Verbesserung der Geschwindigkeit. Führen Sie ein Upgrade auf die neueste TLS-Version für Function-Apps durch, um von etwaigen Sicherheitsverbesserungen und/oder neuen Funktionen der neuesten Version zu profitieren. DeployIfNotExists, Disabled 1.1.0
Konfigurieren von Funktions-Apps zum Deaktivieren des Zugriffs auf öffentliche Netzwerke Deaktivieren Sie für Ihre Funktions-Apps den Zugriff über öffentliche Netzwerke, sodass sie nicht über das öffentliche Internet zugänglich sind. Dies kann das Risiko von Datenlecks verringern. Weitere Informationen finden Sie unter https://aka.ms/app-service-private-endpoint. Modify, Disabled 1.1.0
Funktions-Apps konfigurieren, damit nur über HTTPS darauf zugegriffen werden kann. Durch die Verwendung von HTTPS wird die Server-/Dienstauthentifizierung sichergestellt, und Daten werden bei der Übertragung vor Abhörangriffen auf der Vermittlungsschicht geschützt. Modify, Disabled 2.0.0
Funktions-Apps zum Deaktivieren des Remotedebuggens konfigurieren Für das Remotedebuggen müssen bei Funktions-Apps eingehende Ports geöffnet werden. Das Remotedebuggen muss deaktiviert werden. DeployIfNotExists, Disabled 1.0.0
Funktions-Apps für die Verwendung der neuesten TLS-Version konfigurieren Für TLS werden in regelmäßigen Abständen neue Versionen herausgegeben – entweder zum Beheben von Sicherheitsmängeln, zum Bereitstellen neuer Funktionen oder zur Verbesserung der Geschwindigkeit. Führen Sie ein Upgrade auf die neueste TLS-Version für Function-Apps durch, um von etwaigen Sicherheitsverbesserungen und/oder neuen Funktionen der neuesten Version zu profitieren. DeployIfNotExists, Disabled 1.0.1
Funktions-App-Slots müssen den öffentlichen Netzwerkzugriff deaktivieren. Die Deaktivierung des Zugriffs über öffentliche Netzwerke erhöht die Sicherheit, da sichergestellt wird, dass die Funktions-App nicht über das öffentliche Internet zugänglich ist. Sie können die Offenlegung einer Funktions-App einschränken, indem Sie private Endpunkte erstellen. Weitere Informationen finden Sie unter https://aka.ms/app-service-private-endpoint. Audit, Disabled, Deny 1.0.0
Für Funktions-App-Slots sollten Clientzertifikate (eingehende Clientzertifikate) aktiviert sein Mithilfe von Clientzertifikaten kann die App ein Zertifikat für eingehende Anforderungen anfordern. Nur Clients mit einem gültigen Zertifikat können auf die App zugreifen. Diese Richtlinie gilt für Apps mit HTTP-Version 1.1. AuditIfNotExists, Disabled 1.0.0
Für Funktions-App-Slots muss Remotedebuggen deaktiviert sein. Für das Remotedebuggen müssen bei Funktions-Apps eingehende Ports geöffnet werden. Das Remotedebuggen muss deaktiviert werden. AuditIfNotExists, Disabled 1.0.0
Für Funktions-App-Slots sollte CORS nicht so konfiguriert sein, dass jede Ressource auf Ihre Apps zugreifen kann. CORS (Cross-Origin Resource Sharing) darf nicht allen Domänen Zugriff auf Ihre Funktions-App erteilen. Gestatten Sie nur erforderlichen Domänen die Interaktion mit Ihrer Funktions-App. AuditIfNotExists, Disabled 1.0.0
Auf Funktions-App-Slots sollte nur über HTTPS zugegriffen werden können. Durch die Verwendung von HTTPS wird die Server-/Dienstauthentifizierung sichergestellt, und Daten werden bei der Übertragung vor Abhörangriffen auf der Vermittlungsschicht geschützt. Audit, Disabled, Deny 2.0.0
Funktions-App-Slots sollten nur FTPS erfordern. Aktivieren Sie die FTPS-Erzwingung für mehr Sicherheit. AuditIfNotExists, Disabled 1.0.0
Funktions-App-Slots sollten eine Azure-Dateifreigabe für das Inhaltsverzeichnis verwenden. Das Inhaltsverzeichnis einer Funktions-App sollte sich auf einer Azure-Dateifreigabe befinden. Die Speicherkontoinformationen für die Dateifreigabe müssen vor jeder Veröffentlichungsaktivität bereitgestellt werden. Weitere Informationen zur Verwendung von Azure Files für das Hosting von App Service-Inhalten finden Sie unter https://go.microsoft.com/fwlink/?linkid=2151594. Audit, Disabled 1.0.0
Funktions-App-Slots müssen die aktuelle „HTTP-Version“ verwenden. Für HTTP werden in regelmäßigen Abständen neue Versionen herausgegeben – entweder zum Beheben von Sicherheitsmängeln oder zum Bereitstellen neuer Funktionen. Verwenden Sie die aktuelle HTTP-Version für Web-Apps, um von Sicherheitsfixes (falls vorhanden) und/oder neuen Funktionen der neuesten Version zu profitieren. AuditIfNotExists, Disabled 1.0.0
Funktions-App-Slots müssen die aktuelle TLS-Version verwenden. Für TLS werden in regelmäßigen Abständen neue Versionen herausgegeben – entweder zum Beheben von Sicherheitsmängeln, zum Bereitstellen neuer Funktionen oder zur Verbesserung der Geschwindigkeit. Führen Sie ein Upgrade auf die neueste TLS-Version für Function-Apps durch, um von etwaigen Sicherheitsverbesserungen und/oder neuen Funktionen der neuesten Version zu profitieren. AuditIfNotExists, Disabled 1.0.0
Funktions-App-Slots, die Java verwenden, sollten die angegebene ‚Java-Version‘ verwenden Für die Java-Software werden in regelmäßigen Abständen neue Versionen herausgegeben – entweder zum Beheben von Sicherheitsmängeln oder zum Bereitstellen neuer Funktionen. Es wird empfohlen, die aktuelle Java-Version für Funktions-Apps zu verwenden, um von Sicherheitsfixes (falls vorhanden) und/oder neuen Funktionen der neuesten Version zu profitieren. Diese Richtlinie gilt nur für Linux-Apps. Bei dieser Richtlinie müssen Sie eine Java-Version angeben, die Ihren Anforderungen entspricht. AuditIfNotExists, Disabled 1.0.0
Funktions-App-Slots, die Python verwenden, sollten die angegebene ‚Python-Version‘ verwenden Für die Python-Software werden in regelmäßigen Abständen neue Versionen herausgegeben – entweder zum Beheben von Sicherheitsmängeln oder zum Bereitstellen neuer Funktionen. Es wird empfohlen, die aktuelle Python-Version für Funktions-Apps zu verwenden, um von Sicherheitsfixes (falls vorhanden) und/oder neuen Funktionen der neuesten Version zu profitieren. Diese Richtlinie gilt nur für Linux-Apps. Bei dieser Richtlinie müssen Sie eine Python-Version angeben, die Ihren Anforderungen entspricht. AuditIfNotExists, Disabled 1.0.0
Funktions-Apps müssen den öffentlichen Netzwerkzugriff deaktivieren. Die Deaktivierung des Zugriffs über öffentliche Netzwerke erhöht die Sicherheit, da sichergestellt wird, dass die Funktions-App nicht über das öffentliche Internet zugänglich ist. Sie können die Offenlegung einer Funktions-App einschränken, indem Sie private Endpunkte erstellen. Weitere Informationen finden Sie unter https://aka.ms/app-service-private-endpoint. Audit, Disabled, Deny 1.0.0
Für Funktions-Apps sollte die Authentifizierung aktiviert sein Die Azure App Service-Authentifizierung ist eine Funktion, mit der Sie verhindern können, dass anonyme HTTP-Anforderungen die Funktions-App erreichen, oder die zu authentifizieren, die Token haben, bevor sie die Funktions-App erreichen. AuditIfNotExists, Disabled 3.0.0
Für Funktions-Apps sollte „Clientzertifikate (eingehende Clientzertifikate)“ aktiviert sein. Mithilfe von Clientzertifikaten kann die App ein Zertifikat für eingehende Anforderungen anfordern. Nur Clients mit einem gültigen Zertifikat können auf die App zugreifen. Diese Richtlinie gilt für Apps mit HTTP-Version 1.1. AuditIfNotExists, Disabled 1.0.0
Für Funktions-Apps sollte das Remotedebuggen deaktiviert sein Für das Remotedebuggen müssen bei Funktions-Apps eingehende Ports geöffnet werden. Das Remotedebuggen muss deaktiviert werden. AuditIfNotExists, Disabled 2.0.0
Für Funktions-Apps sollte CORS nicht so konfiguriert sein, dass jede Ressource auf Ihre Apps zugreifen kann CORS (Cross-Origin Resource Sharing) darf nicht allen Domänen Zugriff auf Ihre Funktions-App erteilen. Gestatten Sie nur erforderlichen Domänen die Interaktion mit Ihrer Funktions-App. AuditIfNotExists, Disabled 2.0.0
Zugriff auf Funktions-Apps sollte nur über HTTPS gestattet sein Durch die Verwendung von HTTPS wird die Server-/Dienstauthentifizierung sichergestellt, und Daten werden bei der Übertragung vor Abhörangriffen auf der Vermittlungsschicht geschützt. Audit, Disabled, Deny 5.0.0
Funktions-Apps sollten nur FTPS erfordern Aktivieren Sie die FTPS-Erzwingung für mehr Sicherheit. AuditIfNotExists, Disabled 3.0.0
Funktions-Apps müssen eine Azure-Dateifreigabe für das zugehörige Inhaltsverzeichnis verwenden Das Inhaltsverzeichnis einer Funktions-App sollte sich auf einer Azure-Dateifreigabe befinden. Die Speicherkontoinformationen für die Dateifreigabe müssen vor jeder Veröffentlichungsaktivität bereitgestellt werden. Weitere Informationen zur Verwendung von Azure Files für das Hosting von App Service-Inhalten finden Sie unter https://go.microsoft.com/fwlink/?linkid=2151594. Audit, Disabled 3.0.0
Funktions-Apps sollten die neueste „HTTP Version“ verwenden Für HTTP werden in regelmäßigen Abständen neue Versionen herausgegeben – entweder zum Beheben von Sicherheitsmängeln oder zum Bereitstellen neuer Funktionen. Verwenden Sie die aktuelle HTTP-Version für Web-Apps, um von Sicherheitsfixes (falls vorhanden) und/oder neuen Funktionen der neuesten Version zu profitieren. AuditIfNotExists, Disabled 4.0.0
Funktions-Apps sollten eine verwaltete Identität verwenden Verwaltete Identität zur Erhöhung der Authentifizierungssicherheit verwenden AuditIfNotExists, Disabled 3.0.0
Funktions-Apps sollten die neueste TLS-Version verwenden Für TLS werden in regelmäßigen Abständen neue Versionen herausgegeben – entweder zum Beheben von Sicherheitsmängeln, zum Bereitstellen neuer Funktionen oder zur Verbesserung der Geschwindigkeit. Führen Sie ein Upgrade auf die neueste TLS-Version für Function-Apps durch, um von etwaigen Sicherheitsverbesserungen und/oder neuen Funktionen der neuesten Version zu profitieren. AuditIfNotExists, Disabled 2.0.1
Funktions-Apps, die Java verwenden, sollten die angegebene „Java-Version“ verwenden Für die Java-Software werden in regelmäßigen Abständen neue Versionen herausgegeben – entweder zum Beheben von Sicherheitsmängeln oder zum Bereitstellen neuer Funktionen. Es wird empfohlen, die aktuelle Java-Version für Funktions-Apps zu verwenden, um von Sicherheitsfixes (falls vorhanden) und/oder neuen Funktionen der neuesten Version zu profitieren. Diese Richtlinie gilt nur für Linux-Apps. Bei dieser Richtlinie müssen Sie eine Java-Version angeben, die Ihren Anforderungen entspricht. AuditIfNotExists, Disabled 3.1.0
Funktions-Apps, die Python verwenden, sollten die angegebene „Python-Version“ verwenden Für die Python-Software werden in regelmäßigen Abständen neue Versionen herausgegeben – entweder zum Beheben von Sicherheitsmängeln oder zum Bereitstellen neuer Funktionen. Es wird empfohlen, die aktuelle Python-Version für Funktions-Apps zu verwenden, um von Sicherheitsfixes (falls vorhanden) und/oder neuen Funktionen der neuesten Version zu profitieren. Diese Richtlinie gilt nur für Linux-Apps. Bei dieser Richtlinie müssen Sie eine Python-Version angeben, die Ihren Anforderungen entspricht. AuditIfNotExists, Disabled 4.1.0

Nachweis

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Azure Attestation-Anbieter sollten den Zugriff auf öffentliche Netzwerke deaktivieren Stellen Sie zum Verbessern der Sicherheit Ihres Azure Attestation-Diensts sicher, dass dieser nicht über das öffentliche Internet, sondern nur über einen privaten Endpunkt zugänglich ist. Deaktivieren Sie die Eigenschaft für den Zugriff über öffentliche Netzwerke wie unter „aka.ms/azureattestation“ beschrieben. Darüber hinaus werden alle Anmeldungen abgelehnt, die Firewallregeln auf Basis von IP-Adressen oder virtuellen Netzwerken entsprechen. Dadurch wird das Risiko von Datenlecks verringert. Audit, Deny, Disabled 1.0.0
Azure Attestation-Anbieter sollten private Endpunkte verwenden Mithilfe privater Endpunkte können Sie Azure Attestation-Anbieter mit Ihren Azure-Ressourcen verbinden, ohne Datenverkehr über das öffentliche Internet zu senden. Durch das Verhindern des öffentlichen Zugriffs können private Endpunkte vor nicht gewünschtem anonymen Zugriff schützen. AuditIfNotExists, Disabled 1.0.0

Automatische Verwaltung

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
[Vorschau]: Eine verwaltete Identität muss auf Ihren Computern aktiviert sein Ressourcen, die von Automanage verwaltet werden, sollten über eine verwaltete Identität verfügen. Audit, Disabled 1.0.0-preview
[Vorschau]: Automanage-Konfigurationsprofilzuweisung muss konform sein Ressourcen, die von Automanage verwaltet werden, sollten einen Status besitzen, der entweder „Conformant“ oder „ConformantCorrected“ lautet. AuditIfNotExists, Disabled 1.0.0-preview
[Vorschau]: Startdiagnose muss auf VMs aktiviert sein Auf virtuellen Azure-Computern sollte Boot Diagnostics aktiviert sein. Audit, Disabled 1.0.0-preview
VMs für das Onboarding in Azure Automanage konfigurieren Azure Automanage registriert, konfiguriert und überwacht VMs anhand von Best Practices, die im Microsoft Cloud Adoption Framework für Azure definiert sind. Verwenden Sie diese Richtlinie, um die automatische Verwaltung auf den ausgewählten Bereich anzuwenden. AuditIfNotExists, DeployIfNotExists, Disabled 2.4.0
Konfigurieren Sie VMs für das Onboarding in Azure Automanage mit benutzerdefiniertem Konfigurationsprofil Azure Automanage registriert, konfiguriert und überwacht VMs anhand von Best Practices, die im Microsoft Cloud Adoption Framework für Azure definiert sind. Verwenden Sie diese Richtlinie, um Automanage mit Ihrem eigenen angepassten Konfigurationsprofil auf Ihren ausgewählten Bereich anzuwenden. AuditIfNotExists, DeployIfNotExists, Disabled 1.4.0
Hotpatch muss für Azure Edition-VMs für Windows-Server aktiviert sein. Minimieren Sie Neustarts, und installieren Sie Updates schnell mit Hotpatch. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/automanage/automanage-hotpatch. Audit, Deny, Disabled 1.0.0

Automation

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Das Automatisierungskonto muss über eine verwaltete Identität verfügen Verwenden Sie verwaltete Identitäten als empfohlene Methode für die Authentifizierung bei Azure-Ressourcen aus den Runbooks. Die verwaltete Identität für die Authentifizierung ist sicherer und beseitigt den Verwaltungsaufwand, der mit der Verwendung des RunAs-Kontos in Ihrem Runbookcode verbunden ist. Audit, Disabled 1.0.0
Automation-Kontovariablen sollten verschlüsselt werden Es ist wichtig, die Verschlüsselung für Variablenobjekte von Automation-Konten zu aktivieren, wenn vertrauliche Daten gespeichert werden. Audit, Deny, Disabled 1.1.0
Azure Automation-Konten müssen den Zugriff über öffentliche Netzwerke deaktivieren Die Deaktivierung des Zugriffs über öffentliche Netzwerke erhöht die Sicherheit, da die Ressource nicht über das öffentliche Internet zugänglich ist. Sie können die Offenlegung von Automation-Kontoressourcen einschränken, indem Sie stattdessen private Endpunkte erstellen. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/automation/how-to/private-link-security. Audit, Deny, Disabled 1.0.0
Für das Azure Automation-Konto muss die lokale Authentifizierungsmethode deaktiviert sein Durch das Deaktivieren lokaler Authentifizierungsmethoden verbessert sich die Sicherheit, weil hierdurch gewährleistet wird, dass Azure Automation-Konten ausschließlich Azure Active Directory-Identitäten für die Authentifizierung anfordern. Audit, Deny, Disabled 1.0.0
Azure Automation-Konten müssen kundenseitig verwaltete Schlüssel zur Verschlüsselung ruhender Daten verwenden Verwenden Sie kundenseitig verwaltete Schlüssel, um die Verschlüsselung ruhender Daten Ihrer Azure Automation-Konten zu verwalten. Standardmäßig werden Kundendaten mit dienstseitig verwalteten Schlüsseln verschlüsselt. Kundenseitig verwaltete Schlüssel sind jedoch häufig zur Einhaltung gesetzlicher Bestimmungen erforderlich. Mit kundenseitig verwalteten Schlüsseln können die Daten mit einem Azure Key Vault-Schlüssel verschlüsselt werden, der von Ihnen erstellt wird und sich in Ihrem Besitz befindet. Sie verfügen über die volle Kontrolle über und Verantwortung für den Schlüssellebenszyklus, einschließlich Rotation und Verwaltung. Weitere Informationen finden Sie unter https://aka.ms/automation-cmk. Audit, Deny, Disabled 1.0.0
Das Azure Automation-Konto konfigurieren, um die lokale Authentifizierung zu deaktivieren Deaktivieren Sie lokale Authentifizierungsmethoden, damit Ihre Azure Automation-Konten ausschließlich Azure Active Directory-Identitäten für die Authentifizierung anfordern. Modify, Disabled 1.0.0
Azure Automation-Konten zum Deaktivieren des Zugriffs über öffentliche Netzwerke konfigurieren Deaktivieren Sie den Zugriff über öffentliche Netzwerke für Ihr Azure Automation-Konto, sodass es nicht über das öffentliche Internet zugänglich ist. Diese Konfiguration trägt zum Schutz vor Risiken aufgrund von Datenlecks bei. Sie können die Offenlegung von Automation-Kontoressourcen einschränken, indem Sie stattdessen private Endpunkte erstellen. Weitere Informationen finden Sie unter https://aka.ms/privateendpoints. Modify, Disabled 1.0.0
Azure Automation-Konten mit privaten DNS-Zonen konfigurieren Verwenden Sie private DNS-Zonen, um die DNS-Auflösung für einen privaten Endpunkt außer Kraft zu setzen. Sie benötigen eine ordnungsgemäß konfigurierte private DNS-Zone, um über Azure Private Link eine Verbindung mit dem Azure Automation-Konto herstellen zu können. Weitere Informationen finden Sie unter https://aka.ms/privatednszone. DeployIfNotExists, Disabled 1.0.0
Private Endpunktverbindungen für Azure Automation-Konten konfigurieren Private Endpunktverbindungen ermöglichen eine sichere Kommunikation, indem private Konnektivität mit Azure Automation-Konten ermöglicht wird, ohne dass öffentliche IP-Adressen an der Quelle oder am Ziel benötigt werden. Weitere Informationen zu privaten Endpunkten in Azure Automation finden Sie unter https://docs.microsoft.com/azure/automation/how-to/private-link-security. DeployIfNotExists, Disabled 1.0.0
Für Automation-Konten müssen private Endpunktverbindungen aktiviert sein Private Endpunktverbindungen ermöglichen eine sichere Kommunikation, indem private Konnektivität mit Automation-Konten ermöglicht wird, ohne dass öffentliche IP-Adressen an der Quelle oder am Ziel benötigt werden. Weitere Informationen zu privaten Endpunkten in Azure Automation finden Sie unter https://docs.microsoft.com/azure/automation/how-to/private-link-security. AuditIfNotExists, Disabled 1.0.0

Azure Active Directory

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Verwaltete Azure Active Directory Domain Services-Domänen müssen den reinen TLS 1.2-Modus verwenden Verwenden Sie für Ihre verwalteten Domänen den reinen TLS 1.2-Modus. Azure AD Domain Services aktiviert standardmäßig die Verwendung von Verschlüsselungsverfahren wie z. B. NTLM v1 und TLS v1. Diese Verschlüsselungen sind möglicherweise für einige Legacyanwendungen erforderlich, gelten jedoch als schwach und können deaktiviert werden, wenn Sie sie nicht benötigen. Wenn der reine TLS 1.2-Modus aktiviert ist und ein Client eine Anforderung ohne Verwendung von TLS 1.2 sendet, kommt es zu einem Fehler. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/active-directory-domain-services/secure-your-domain. Audit, Deny, Disabled 1.1.0

Azure KI-Services

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Bei Azure KI Services-Ressourcen sollte der Schlüsselzugriff deaktiviert sein (Deaktivieren der lokalen Authentifizierung). Es wird empfohlen, den Schlüsselzugriff (lokale Authentifizierung) für die Sicherheit zu deaktivieren. Azure OpenAI Studio wird in der Regel in der Entwicklung und für Tests verwendet, erfordert Schlüsselzugriff und funktioniert nicht, wenn dieser deaktiviert ist. Nach dem Deaktivieren ist Microsoft Entra ID die einzige Zugriffsmethode, die das Aufrechterhalten des Minimalberechtigungsprinzips und der präzisen Steuerung ermöglicht. Weitere Informationen finden Sie unter: https://aka.ms/AI/auth Audit, Deny, Disabled 1.1.0
Azure KI Services-Ressourcen sollten den Netzwerkzugriff einschränken. Durch Einschränken des Netzwerkzugriffs können Sie sicherstellen, dass nur zulässige Netzwerke auf den Dienst zugreifen können. Sie erreichen dies, wenn Sie die Netzwerkregeln so konfigurieren, dass nur Anwendungen aus zulässigen Netzwerken auf Azure KI Services zugreifen können. Audit, Deny, Disabled 3.2.0
Konfigurieren von Azure KI Services-Ressourcen zum Deaktivieren des lokalen Schlüsselzugriffs (lokale Authentifizierung deaktivieren) Es wird empfohlen, den Schlüsselzugriff (lokale Authentifizierung) für die Sicherheit zu deaktivieren. Azure OpenAI Studio wird in der Regel in der Entwicklung und für Tests verwendet, erfordert Schlüsselzugriff und funktioniert nicht, wenn dieser deaktiviert ist. Nach dem Deaktivieren ist Microsoft Entra ID die einzige Zugriffsmethode, die das Aufrechterhalten des Minimalberechtigungsprinzips und der präzisen Steuerung ermöglicht. Weitere Informationen finden Sie unter: https://aka.ms/AI/auth DeployIfNotExists, Disabled 1.0.0
Konfigurieren von Azure KI Services-Ressourcen zum Deaktivieren des lokalen Schlüsselzugriffs (lokale Authentifizierung deaktivieren) Es wird empfohlen, den Schlüsselzugriff (lokale Authentifizierung) für die Sicherheit zu deaktivieren. Azure OpenAI Studio wird in der Regel in der Entwicklung und für Tests verwendet, erfordert Schlüsselzugriff und funktioniert nicht, wenn dieser deaktiviert ist. Nach dem Deaktivieren ist Microsoft Entra ID die einzige Zugriffsmethode, die das Aufrechterhalten des Minimalberechtigungsprinzips und der präzisen Steuerung ermöglicht. Weitere Informationen finden Sie unter: https://aka.ms/AI/auth DeployIfNotExists, Disabled 1.0.0
In Azure KI Services sollten Diagnoseprotokolle aktiviert sein. Aktivieren Sie die Protokollierung für Azure KI Services-Ressourcen. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn Sie Sicherheitsincidents untersuchen oder Ihr Netzwerk gefährdet ist. AuditIfNotExists, Disabled 1.0.0

Azure Arc

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
[Vorschau]: Die Erstellung oder Änderung der erweiterten Sicherheitsupdates (ESUs) verweigern. Mit dieser Richtlinie können Sie die Erstellung oder Änderung von ESU-Lizenzen für Windows Server 2012 Arc-Computer einschränken. Weitere Details zu den Preisen finden Sie unter https://aka.ms/ArcWS2012ESUPricing Verweigern, deaktiviert 1.0.0-preview
[Vorschau]: Aktivieren Sie die Lizenz für erweiterte Sicherheitsupdates (Extended Security Updates, ESUs), um Windows 2012-Computer nach Beendigung des Supportlebenszyklus zu schützen. Aktivieren Sie die Lizenz für erweiterte Sicherheitsupdates (Extended Security Updates, ESUs), um Windows 2012-Computer auch nach Beendigung des Supportlebenszyklus zu schützen. Um zu erfahren, wie Sie sich darauf vorbereiten, erweiterte Sicherheitsupdates für Windows Server 2012 über AzureArc bereitzustellen, besuchen Sie bitte https://learn.microsoft.com/en-us/azure/azure-arc/servers/prepare-extended-security-updates. Weitere Details zu den Preisen finden Sie unter https://aka.ms/ArcWS2012ESUPricing DeployIfNotExists, Disabled 1.0.0-preview
Azure Arc Private Link-Bereiche sollten mit einem privaten Endpunkt konfiguriert werden Mit Azure Private Link können Sie Ihre virtuellen Netzwerke mit Azure-Diensten verbinden, ohne dass eine öffentliche IP-Adresse an der Quelle oder am Ziel vorhanden ist. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Private Link-Bereichen mit Azure Arc-Unterstützung können Sie das Risiko von Datenlecks verringern. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/arc/privatelink. Audit, Disabled 1.0.0
Private Link-Bereiche mit Azure Arc-Unterstützung sollten den Zugriff auf öffentliche Netzwerke deaktivieren Das Deaktivieren des Zugriffs auf öffentliche Netzwerke verbessert die Sicherheit, indem sichergestellt wird, dass Azure Arc-Ressourcen keine Verbindung über das öffentliche Internet herstellen können. Durch das Erstellen privater Endpunkte können Sie die Offenlegung von Azure Arc-Ressourcen einschränken. Weitere Informationen finden Sie unter https://aka.ms/arc/privatelink. Audit, Deny, Disabled 1.0.0
Azure Arc-fähige Kubernetes-Cluster sollten mit einem Azure Arc Private Link-Bereich konfiguriert werden. Mit Azure Private Link können Sie Ihre virtuellen Netzwerke mit Azure-Diensten verbinden, ohne dass eine öffentliche IP-Adresse an der Quelle oder am Ziel vorhanden ist. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch Zuordnen von Servern mit Azure Arc-Unterstützung zu einem Azure Arc Private Link-Bereich, der mit einem privaten Endpunkt konfiguriert ist, werden Datenleckrisiken verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/arc/privatelink. Audit, Deny, Disabled 1.0.0
Server mit Azure Arc-Unterstützung sollten mit einem Azure Arc Private Link-Bereich konfiguriert werden Mit Azure Private Link können Sie Ihre virtuellen Netzwerke mit Azure-Diensten verbinden, ohne dass eine öffentliche IP-Adresse an der Quelle oder am Ziel vorhanden ist. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch Zuordnen von Servern mit Azure Arc-Unterstützung zu einem Azure Arc Private Link-Bereich, der mit einem privaten Endpunkt konfiguriert ist, werden Datenleckrisiken verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/arc/privatelink. Audit, Deny, Disabled 1.0.0
Konfigurieren von Azure Arc Private Link-Bereichen zum Deaktivieren des Zugriffs auf öffentliche Netzwerke Deaktivieren Sie den Zugriff auf öffentliche Netzwerke für Ihren Azure Arc Private Link-Bereich, damit zugeordnete Azure Arc-Ressourcen nicht über das öffentliche Internet eine Verbindung mit Azure Arc-Diensten herstellen können. Dies kann das Risiko von Datenlecks verringern. Weitere Informationen finden Sie unter https://aka.ms/arc/privatelink. Modify, Disabled 1.0.0
Konfigurieren von Azure Arc Private Link-Bereichen für die Verwendung privater DNS-Zonen Verwenden Sie private DNS-Zonen, um die DNS-Auflösung für einen privaten Endpunkt außer Kraft zu setzen. Eine private DNS-Zone wird mit Ihrem virtuellen Netzwerk verknüpft, um Private Link-Bereiche von Azure Arc aufzulösen. Weitere Informationen finden Sie unter https://aka.ms/arc/privatelink. DeployIfNotExists, Disabled 1.2.0
Konfigurieren von Azure Arc Private Link-Bereichen mit privaten Endpunkten Private Endpunkte verbinden Ihre virtuellen Netzwerke ohne eine öffentliche IP-Adresse an Quelle oder Ziel mit Azure-Diensten. Durch das Zuordnen privater Endpunkte zu Azure Arc Private Link-Bereichen können Sie das Risiko von Datenlecks verringern. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/arc/privatelink. DeployIfNotExists, Disabled 2.0.0
Konfigurieren von Azure Arc-fähigen Kubernetes-Cluster für die Verwendung eines Azure Arc Private Link-Bereichs Mit Azure Private Link können Sie Ihre virtuellen Netzwerke mit Azure-Diensten verbinden, ohne dass eine öffentliche IP-Adresse an der Quelle oder am Ziel vorhanden ist. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch Zuordnen von Servern mit Azure Arc-Unterstützung zu einem Azure Arc Private Link-Bereich, der mit einem privaten Endpunkt konfiguriert ist, werden Datenleckrisiken verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/arc/privatelink. Modify, Disabled 1.0.0
Konfigurieren von Servern mit Azure Arc-Unterstützung für die Verwendung eines Azure Arc Private Link-Bereichs Mit Azure Private Link können Sie Ihre virtuellen Netzwerke mit Azure-Diensten verbinden, ohne dass eine öffentliche IP-Adresse an der Quelle oder am Ziel vorhanden ist. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch Zuordnen von Servern mit Azure Arc-Unterstützung zu einem Azure Arc Private Link-Bereich, der mit einem privaten Endpunkt konfiguriert ist, werden Datenleckrisiken verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/arc/privatelink. Modify, Disabled 1.0.0

Azure-Daten-Explorer

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Alle Datenbankadministratoren in Azure Data Explorer müssen deaktiviert sein Deaktivieren Sie die gesamte Datenbankadministratorrolle, um die Gewährung von benutzerrechtlich hoch privilegierten/administrativen Rollen einzuschränken. Audit, Deny, Disabled 1.0.0
Azure Data Explorer-Cluster muss private Verbindung verwenden Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Ihrem Azure Data Explorer-Cluster wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://learn.microsoft.com/en-us/azure/data-explorer/security-network-private-endpoint. Audit, Disabled 1.0.0
Azure Data Explorer-Verschlüsselung ruhender Daten muss einen kundenseitig verwalteten Schlüssel verwenden Das Aktivieren der Verschlüsselung ruhender Daten mit einem kundenseitig verwalteten Schlüssel in Ihrem Azure Data Explorer-Cluster bietet zusätzliche Kontrolle über den Schlüssel, der von der Verschlüsselung ruhender Schlüssel verwendet wird. Dieses Feature ist häufig für Kunden mit speziellen Complianceanforderungen relevant und erfordert eine Key Vault-Instanz zur Verwaltung der Schlüssel. Audit, Deny, Disabled 1.0.0
Azure Data Explorer muss eine SKU verwenden, die Private Link unterstützt Bei Verwendung von unterstützten SKUs können Sie mit Azure Private Link Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne an der Quelle oder am Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Apps können Sie das Risiko von Datenlecks verringern. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/private-link. Audit, Deny, Disabled 1.0.0
Konfigurieren von Azure Data Explorer-Clustern mit privaten Endpunkten Private Endpunkte verbinden Ihre virtuellen Netzwerke ohne eine öffentliche IP-Adresse an Quelle oder Ziel mit Azure-Diensten. Durch das Zuordnen privater Endpunkte zu Azure Data Explorer können Sie das Risiko von Datenlecks verringern. Weitere Informationen finden Sie unter: [ServiceSpecificAKA.ms]. DeployIfNotExists, Disabled 1.0.0
Azure Data Explorer zum Deaktivieren des Zugriffs über öffentliche Netzwerke konfigurieren Durch Deaktivieren der Eigenschaft für den Zugriff über öffentliche Netzwerke werden öffentliche Verbindungen blockiert, sodass der Zugriff auf Azure Data Explorer nur von einem privaten Endpunkt aus möglich ist. Durch diese Konfiguration wird der Zugriff über öffentliche Netzwerke für alle Azure Data Explorer-Cluster deaktiviert. Modify, Disabled 1.0.0
Datenträgerverschlüsselung muss in Azure Data Explorer aktiviert sein Durch das Aktivieren der Datenträgerverschlüsselung können Sie Ihre Daten schützen, um die Sicherheits- und Konformitätsverpflichtungen Ihrer Organisation zu erfüllen. Audit, Deny, Disabled 2.0.0
Doppelte Verschlüsselung muss für Azure Data Explorer aktiviert sein Durch das Aktivieren der doppelten Verschlüsselung können Sie Ihre Daten schützen, um die Sicherheits- und Konformitätsverpflichtungen Ihrer Organisation zu erfüllen. Wenn die doppelte Verschlüsselung aktiviert ist, werden Daten im Speicherkonto zweimal – einmal auf Dienstebene und einmal auf Infrastrukturebene – mit zwei unterschiedlichen Verschlüsselungsalgorithmen und zwei verschiedenen Schlüsseln verschlüsselt. Audit, Deny, Disabled 2.0.0
Für Azure Data Explorer muss „Zugriff über öffentliche Netzwerke“ deaktiviert sein Hiermit wird die Eigenschaft für den Zugriff über öffentliche Netzwerke deaktiviert. So wird die Sicherheit erhöht und gewährleistet, dass nur von einem privaten Endpunkt aus auf Azure Data Explorer zugegriffen werden kann. Durch diese Konfiguration werden alle Anmeldungen abgelehnt, die auf IP-Adressen oder virtuellen Netzwerken basierenden Firewallregeln entsprechen. Audit, Deny, Disabled 1.0.0
VNET-Einschleusung muss für Azure Data Explorer aktiviert sein Schützen Sie Ihren Netzwerkperimeter durch VNET-Einschleusung. So können Sie Regeln von Netzwerksicherheitsgruppen durchsetzen, lokale Verbindungen herstellen und Ihre Datenverbindungsquellen mit Dienstendpunkten absichern. Audit, Deny, Disabled 1.0.0

Azure Databricks

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Azure Databricks-Cluster sollten öffentliche IP-Adressen deaktivieren Das Deaktivieren der öffentlichen IP-Adresse von Clustern in Azure Databricks-Arbeitsbereichen verbessert die Sicherheit, weil damit sichergestellt wird, dass die Cluster nicht im öffentlichen Internet verfügbar gemacht werden. Weitere Informationen finden Sie unter https://learn.microsoft.com/azure/databricks/security/secure-cluster-connectivity. Audit, Deny, Disabled 1.0.1
Azure Databricks-Arbeitsbereiche sollten sich in einem virtuellen Netzwerk befinden Azure Virtual Networks bieten ein höheres Maß an Sicherheit und Isolation sowohl für Ihre Azure Databricks-Arbeitsbereiche. Sie profitieren außerdem von Richtlinien für die Zugriffssteuerung sowie von weiteren Features zur Einschränkung des Zugriffs. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/databricks/administration-guide/cloud-configurations/azure/vnet-inject. Audit, Deny, Disabled 1.0.2
Für Azure Databricks-Arbeitsbereiche ist die Premium-SKU erforderlich, die Funktionen private Verbindung und kundenseitig verwaltete Schlüssel für die Verschlüsselung unterstützt Lassen Sie nur Databricks-Arbeitsbereiche mit Premium-SKU zu, die Ihre Organisation bereitstellen kann, um Funktionen wie Private Link und kundenseitig verwaltete Schlüssel für die Verschlüsselung, zu unterstützen. Weitere Informationen finden Sie unter https://aka.ms/adbpe. Audit, Deny, Disabled 1.0.1
Azure Databricks-Arbeitsbereiche sollten den öffentlichen Netzwerkzugriff deaktivieren Die Deaktivierung des Zugriff über öffentliche Netzwerke erhöht die Sicherheit, da die Ressource nicht über das öffentliche Internet zugänglich ist. Sie können die Offenlegung von Ressourcen steuern, indem Sie private Endpunkte erstellen. Weitere Informationen finden Sie unter https://learn.microsoft.com/azure/databricks/administration-guide/cloud-configurations/azure/private-link. Audit, Deny, Disabled 1.0.1
Azure Databricks-Arbeitsbereiche sollten private Verbindungen verwenden Mit Azure Private Link können Sie Ihre virtuellen Netzwerke mit Azure-Diensten verbinden, ohne dass eine öffentliche IP-Adresse an der Quelle oder am Ziel vorhanden ist. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Azure Databricks-Arbeitsbereichen können Sie das Risiko von Datenlecks verringern. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/adbpe. Audit, Disabled 1.0.2
Azure Databricks-Arbeitsbereich für die Verwendung privater DNS-Zonen konfigurieren Verwenden Sie private DNS-Zonen, um die DNS-Auflösung für einen privaten Endpunkt außer Kraft zu setzen. Eine private DNS-Zone kann mit Ihrem virtuellen Netzwerk verknüpft werden, um einen Azure Synapse-Arbeitsbereich aufzulösen. Weitere Informationen finden Sie unter https://aka.ms/adbpe. DeployIfNotExists, Disabled 1.0.1
Azure Databricks-Arbeitsbereiche mit privaten Endpunkten konfigurieren Private Endpunkte verbinden Ihre virtuellen Netzwerke ohne eine öffentliche IP-Adresse an Quelle oder Ziel mit Azure-Diensten. Durch das Zuordnen privater Endpunkte zu Azure Databricks-Arbeitsbereichen können Sie das Risiko von Datenlecks verringern. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/adbpe. DeployIfNotExists, Disabled 1.0.2
Konfigurieren von Diagnoseeinstellungen für Azure Databricks-Arbeitsbereiche im Log Analytics-Arbeitsbereich Stellt die Diagnoseeinstellungen für Azure Databricks-Arbeitsbereiche bereit, um Ressourcenprotokolle an einen Log Analytics-Arbeitsbereich zu streamen, wenn ein Azure Databricks-Arbeitsbereich erstellt oder aktualisiert wird, in dem diese Diagnoseeinstellungen fehlen. DeployIfNotExists, Disabled 1.0.1
Ressourcenprotokolle in Azure Databricks-Arbeitsbereichen sollten aktiviert sein. Ressourcenprotokolle ermöglichen es, vergangene Aktivitäten nachzuvollziehen, wenn es zu einem Sicherheitsvorfall kommt oder Ihr Netzwerk kompromittiert wird. AuditIfNotExists, Disabled 1.0.1

Azure Edge Hardware Center

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Azure Edge Hardware Center-Geräte sollten die Unterstützung für doppelte Verschlüsselung aktiviert haben. Stellen Sie sicher, dass für über Azure Edge Hardware Center bestellte Geräte die Unterstützung für die doppelte Verschlüsselung aktiviert ist, um die ruhenden Daten auf dem Gerät zu schützen. Mit dieser Option wird eine zweite Ebene der Datenverschlüsselung hinzugefügt. Audit, Deny, Disabled 2.0.0

Azure-Auslastungstest

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Azure-Auslastungstestressource sollte kundenseitig verwaltete Schlüssel verwenden, um ruhende Daten zu verschlüsseln. Verwenden Sie kundenseitig verwaltete Schlüssel (Customer Managed Keys, CMKs), um die Verschlüsselung ruhender Daten Ihrer Azure Load Testing-Ressource zu verwalten. Die Verschlüsselung erfolgt standardmäßig mit dienstseitig verwalteten Schlüsseln. Kundenseitig verwaltete Schlüssel ermöglichen es, die Daten mit einem Azure Key Vault-Schlüssel zu verschlüsseln, der von Ihnen erstellt wird und sich in Ihrem Besitz befindet. Sie verfügen über die volle Kontrolle über und Verantwortung für den Schlüssellebenszyklus, einschließlich Rotation und Verwaltung. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/load-testing/how-to-configure-customer-managed-keys?tabs=portal. Audit, Deny, Disabled 1.0.0

Azure Purview

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Für Azure Purview-Konten muss Private Link verwendet werden. Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Auf der Private Link-Plattform wird die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk verarbeitet. Da private Endpunkte nicht dem gesamten Dienst, sondern den Azure Purview-Konten zugeordnet werden, sind Sie außerdem vor dem Risiko eines Datenlecks geschützt. Weitere Informationen finden Sie unter https://aka.ms/purview-private-link. Audit, Disabled 1.0.0

Azure Stack Edge

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Azure Stack Edge-Geräte sollten doppelte Verschlüsselung verwenden. Stellen Sie zum Schutz der ruhenden Daten auf dem Gerät Folgendes sicher: Die Daten sind doppelt verschlüsselt, der Zugriff auf Daten wird gesteuert, und nach der Deaktivierung des Geräts werden die Daten auf sichere Weise von den Datenträgern gelöscht. Bei der Mehrfachverschlüsselung werden zwei Verschlüsselungsebenen verwendet: Verschlüsselung vom Typ „BitLocker XTS-AES 256-Bit“ auf den Datenvolumes und integrierte Verschlüsselung der Festplatten. Weitere Informationen finden Sie in der Dokumentation zur Sicherheitsübersicht für das jeweilige Stack Edge-Gerät. überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung 1.1.0

Azure Update-Manager

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
[Vorschau]: Legt die Voraussetzung für die Planung wiederkehrender Updates auf virtuellen Azure-Maschinen fest. Diese Richtlinie legt die erforderliche Voraussetzung fest, um wiederkehrende Updates im Azure Update Manager zu planen, indem die Patch-Orchestrierung auf "Vom Kunden verwaltete Zeitpläne" konfiguriert wird. Diese Änderung legt den Patchmodus automatisch auf "AutomaticByPlatform" fest und aktiviert "BypassPlatformSafetyChecksOnUserSchedule" auf "True" auf Azure-VMs. Die Voraussetzung gilt nicht für Arc-fähige Server. Weitere Informationen - https://learn.microsoft.com/en-us/azure/update-manager/dynamic-scope-overview?tabs=avms#prerequisites DeployIfNotExists, Disabled 1.1.0-preview
Konfigurieren der regelmäßigen Überprüfung auf fehlende Systemupdates auf Azure Arc-fähigen Servern Konfigurieren Sie die automatische Bewertung (alle 24 Stunden) für Betriebssystemupdates auf Servern mit Azure Arc-Unterstützung. Sie können den Zuweisungsbereich gemäß Computerabonnement, Ressourcengruppe, Standort oder Tag steuern. Weitere Informationen für Windows: https://aka.ms/computevm-windowspatchassessmentmode, für Linux: https://aka.ms/computevm-linuxpatchassessmentmode. modify 2.2.1
Konfigurieren der regelmäßigen Überprüfung auf fehlende Systemupdates auf Azure-VMs Konfigurieren Sie die automatische Bewertung (alle 24 Stunden) für Betriebssystemupdates auf nativen virtuellen Azure-Computern. Sie können den Zuweisungsbereich gemäß Computerabonnement, Ressourcengruppe, Standort oder Tag steuern. Weitere Informationen für Windows: https://aka.ms/computevm-windowspatchassessmentmode, für Linux: https://aka.ms/computevm-linuxpatchassessmentmode. modify 4.8.0
Computer sollten so konfiguriert werden, dass regelmäßig nach fehlenden Systemupdates gesucht wird Um sicherzustellen, dass regelmäßige Bewertungen fehlender Systemupdates automatisch alle 24 Stunden ausgelöst werden, sollte die AssessmentMode-Eigenschaft auf „AutomaticByPlatform“ festgelegt werden. Erfahren Sie mehr über die AssessmentMode-Eigenschaft für Windows: https://aka.ms/computevm-windowspatchassessmentmode, für Linux: https://aka.ms/computevm-linuxpatchassessmentmode. Audit, Deny, Disabled 3.7.0
Planen wiederkehrender Updates mit dem Azure Update-Manager Sie können den Azure Update-Manager in Azure zum Speichern wiederkehrender Bereitstellungszeitpläne verwenden, um Betriebssystemupdates für Ihre Windows Server- und Linux-Computer in Azure, in lokalen Umgebungen und in anderen Cloudumgebungen zu installieren, die mit Servern mit Azure Arc-Unterstützung verbunden sind. Diese Richtlinie ändert auch den Patchmodus für die Azure Virtual Machine-VM in „AutomaticByPlatform“. Weitere Informationen: https://aka.ms/umc-scheduled-patching DeployIfNotExists, Disabled 3.12.0

Backup

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
[Vorschau]: Die Azure Backup-Erweiterung sollte in AKS-Clustern installiert sein. Stellen Sie den Schutz dadurch sicher, dass die Sicherungserweiterung in Ihren AKS-Clustern installiert ist, um Azure Backup zu nutzen. Azure Backup for AKS ist eine sichere und cloudnative Datenschutzlösung für AKS-Cluster. AuditIfNotExists, Disabled 1.0.0-preview
[Vorschau]: Azure Backup sollte für AKS-Cluster aktiviert sein. Stellen Sie den Schutz Ihrer AKS-Cluster sicher, indem Sie Azure Backup aktivieren. Azure Backup for AKS ist eine sichere und cloudnative Datenschutzlösung für AKS-Cluster. AuditIfNotExists, Disabled 1.0.0-preview
[Vorschau]: Azure Backup sollte für Blobs in Speicherkonten aktiviert sein. Stellen Sie den Schutz Ihrer Speicherkonten sicher, indem Sie Azure Backup aktivieren. Azure Backup ist eine sichere und kostengünstige Lösung zum Schutz von Daten für Azure. AuditIfNotExists, Disabled 1.0.0-preview
[Vorschau]: Azure Backup sollte für Managed Disks aktiviert sein. Stellen Sie den Schutz Ihrer Managed Disks-Instanz sicher, indem Sie Azure Backup aktivieren. Azure Backup ist eine sichere und kostengünstige Lösung zum Schutz von Daten für Azure. AuditIfNotExists, Disabled 1.0.0-preview
[Vorschau]: Azure Backup Vaults sollten vom Kunden verwaltete Schlüssel zum Verschlüsseln von Sicherungsdaten verwenden. Dies ist auch eine Option zum Erzwingen der Infra-Verschlüsselung. Diese Richtlinie folgt dem „Effekt“, wenn die Verschlüsselungseinstellungen für Backup Vaults im Bereich aktiviert sind. Darüber hinaus können Sie überprüfen, ob für Backup Vault auch die Infrastrukturverschlüsselung aktiviert ist. Weitere Informationen finden Sie unter https://aka.ms/az-backup-vault-encryption-at-rest-with-cmk. Beachten Sie, dass Sie beim Verwenden des Effekts „Verweigern“ Verschlüsselungseinstellungen für die vorhandenen Backup Vaults aktivieren müssen, um andere Aktualisierungsvorgänge im Tresor zuzulassen. Audit, Deny, Disabled 1.0.0-preview
[Vorschau]: Azure Recovery Services-Tresore sollten den Zugriff auf öffentliche Netzwerke deaktivieren Die Deaktivierung des Zugriffs über öffentliche Netzwerke erhöht die Sicherheit, da sichergestellt wird, dass der Recovery Services-Tresor nicht über das öffentliche Internet zugänglich ist. Durch das Erstellen privater Endpunkte kann die Verfügbarkeit von Media Services-Ressourcen eingeschränkt werden. Weitere Informationen finden Sie unter https://aka.ms/AB-PublicNetworkAccess-Deny. Audit, Deny, Disabled 1.0.0-preview
[Vorschau]: Azure Recovery Services Tresore sollten vom Kunden verwaltete Schlüssel für die Verschlüsselung von Sicherungsdaten verwenden Verwenden Sie kundenseitig verwaltete Schlüssel, um die Verschlüsselung im Ruhezustand für Ihre Sicherungsdaten zu verwalten. Standardmäßig werden Kundendaten mit dienstseitig verwalteten Schlüsseln verschlüsselt. Kundenseitig verwaltete Schlüssel sind jedoch häufig zur Einhaltung gesetzlicher Bestimmungen erforderlich. Mit kundenseitig verwalteten Schlüsseln können die Daten mit einem Azure Key Vault-Schlüssel verschlüsselt werden, der von Ihnen erstellt wird und sich in Ihrem Besitz befindet. Sie verfügen über die volle Kontrolle über und Verantwortung für den Schlüssellebenszyklus, einschließlich Rotation und Verwaltung. Weitere Informationen finden Sie unter https://aka.ms/AB-CmkEncryption. Audit, Deny, Disabled 1.0.0-preview
[Vorschau]: Azure Recovery Services Tresore sollten privaten Link für Backup verwenden Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Azure Recovery Services-Tresoren wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/AB-PrivateEndpoints. Audit, Disabled 2.0.0-preview
[Vorschau]: Konfigurieren von Azure Recovery Services-Tresoren zur Deaktivierung des öffentlichen Netzwerkzugriffs Deaktivieren Sie für Ihren Recovery Services-Tresor den Zugriff über öffentliche Netzwerke, sodass er nicht über das öffentliche Internet zugänglich ist. Dies kann das Risiko von Datenlecks verringern. Weitere Informationen finden Sie unter https://aka.ms/AB-PublicNetworkAccess-Deny. Modify, Disabled 1.0.0-preview
[Vorschau]: Konfigurieren der Sicherung für Azure-Datenträger (Managed Disks), die ein bestimmtes Tag für einen bestimmten Sicherungstresor in derselben Region enthalten Erzwingen der Sicherung für alle Azure-Datenträger (Managed Disks), die ein bestimmtes Tag für einen zentralen Sicherungstresor enthalten. Weitere Informationen finden Sie unter https://aka.ms/AB-DiskBackupAzPolicies. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0-preview
[Vorschau]: Konfigurieren der Sicherung für Azure-Datenträger (Managed Disks), die kein bestimmtes Tag für einen bestimmten Sicherungstresor in derselben Region enthalten Erzwingen der Sicherung für alle Azure-Datenträger (Managed Disks), die kein bestimmtes Tag für einen zentralen Sicherungstresor enthalten. Weitere Informationen finden Sie unter https://aka.ms/AB-DiskBackupAzPolicies. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0-preview
[Vorschau]: Konfigurieren der Sicherung für Blobs in Speicherkonten, die ein bestimmtes Tag für einen bestimmten Sicherungstresor in derselben Region enthalten Erzwingen Sie die Sicherung von Blobs für alle Speicherkonten, die ein bestimmtes Tag in einem zentralen Sicherungstresor enthalten. Auf diese Weise können Sie die Sicherung von Blobs verwalten, die in mehreren Speicherkonten im großen Stil enthalten sind. Weitere Informationen finden Sie unter https://aka.ms/AB-BlobBackupAzPolicies. DeployIfNotExists, AuditIfNotExists, Disabled 2.0.0-preview
[Vorschau]: Konfigurieren der Blobsicherung für alle Speicherkonten, die kein bestimmtes Tag für einen Sicherungstresor in derselben Region enthalten Erzwingen Sie die Sicherung von Blobs für alle Speicherkonten, die kein bestimmtes Tag in einem zentralen Sicherungstresor enthalten. Auf diese Weise können Sie die Sicherung von Blobs verwalten, die in mehreren Speicherkonten im großen Stil enthalten sind. Weitere Informationen finden Sie unter https://aka.ms/AB-BlobBackupAzPolicies. DeployIfNotExists, AuditIfNotExists, Disabled 2.0.0-preview
[Vorschau]: Recovery Services-Tresore für die Verwendung privater DNS-Zonen zur Sicherung konfigurieren Verwenden Sie private DNS-Zonen, um die DNS-Auflösung für einen privaten Endpunkt außer Kraft zu setzen. Eine private DNS-Zone wird mit Ihrem virtuellen Netzwerk verknüpft, um Ihren Recovery Services-Tresor aufzulösen. Weitere Informationen finden Sie unter https://aka.ms/AB-PrivateEndpoints. DeployIfNotExists, Disabled 1.0.1-preview
[Vorschau]: Konfigurieren von Recovery Services-Tresoren für die Verwendung privater Endpunkte zur Sicherung Private Endpunkte verbinden Ihre virtuellen Netzwerke ohne eine öffentliche IP-Adresse an Quelle oder Ziel mit Azure-Diensten. Durch Zuordnen privater Endpunkte zu Recovery Services-Tresoren können Sie das Risiko von Datenlecks verringern. Beachten Sie, dass Ihre Tresore bestimmte Voraussetzungen erfüllen müssen, um für die Konfiguration privater Endpunkte geeignet zu sein. Weitere Informationen finden Sie unter https://go.microsoft.com/fwlink/?linkid=2187162. DeployIfNotExists, Disabled 1.0.0-preview
[Vorschau]: Deaktivieren von abonnementübergreifender Wiederherstellung für Azure Recovery Services-Tresore Deaktivieren Sie die abonnementübergreifende Wiederherstellung für Ihren Recovery Services-Tresor temporär oder dauerhaft, damit sich die Wiederherstellungsziele nicht in einem anderen Abonnement als dem Tresorabonnement befinden können. Weitere Informationen finden Sie unter https://aka.ms/csrenhancements. Modify, Disabled 1.1.0-preview
[Vorschau]: Deaktivieren von abonnementübergreifender Wiederherstellung für Sicherungstresore Deaktivieren Sie abonnementübergreifende Wiederherstellung für Ihren Sicherungstresor temporär oder dauerhaft, damit sich die Wiederherstellungsziele nicht in einem anderen Abonnement als dem Tresorabonnement befinden können. Weitere Informationen finden Sie unter https://aka.ms/csrstatechange. Modify, Disabled 1.1.0-preview
[Vorschau]: Die Erstellung von Recovery Services-Tresoren mit ausgewählter Speicherredundanz nicht zulassen. Recovery Services Vaults können heute mit einer von drei Speicherredundanzoptionen erstellt werden, nämlich lokal redundantem Speicher, zonenredundantem Speicher und georedundantem Speicher. Wenn die Richtlinien Ihrer Organisation das Blockieren der Erstellung von Tresoren erfordern, die zu einem bestimmten Redundanztyp gehören, können Sie dies ebenfalls mithilfe dieser Azure-Richtlinie erreichen. Verweigern, deaktiviert 1.0.0-preview
[Vorschau]: Unveränderlichkeit muss für Sicherungstresore aktiviert werden Diese Richtlinie überwacht, ob die Eigenschaft, die Tresore als unveränderlich festlegt, für Sicherungstresore im Bereich aktiviert ist. Auf diese Weise können Sie verhindern, dass Ihre Sicherungsdaten vor dem vorgesehenen Ablaufdatum gelöscht werden. Weitere Informationen finden Sie unter https://aka.ms/AB-ImmutableVaults. Audit, Disabled 1.0.1-preview
[Vorschau]: Für Recovery Services-Tresore muss die Unveränderlichkeit aktiviert sein Diese Richtlinie prüft, ob die Eigenschaft „Unveränderliche Tresore“ für Recovery Services-Tresore im Geltungsbereich aktiviert ist. Auf diese Weise können Sie verhindern, dass Ihre Sicherungsdaten vor dem vorgesehenen Ablaufdatum gelöscht werden. Weitere Informationen finden Sie unter https://aka.ms/AB-ImmutableVaults. Audit, Disabled 1.0.1-preview
[Vorschau]: Installieren der Azure Backup-Erweiterung in AKS-Clustern (verwalteter Cluster) mit einem bestimmten Tag Die Installation der Azure Backup-Erweiterung ist eine Voraussetzung für den Schutz Ihrer AKS-Cluster. Erzwingen der Installation der Sicherungserweiterung auf allen AKS-Clustern, die ein bestimmtes Tag enthalten. Auf diese Weise können Sie die Sicherung von AKS-Clustern im großen Stil verwalten. AuditIfNotExists, DeployIfNotExists, Disabled 1.0.0-preview
[Vorschau]: Installieren der Azure Backup-Erweiterung in AKS-Clustern (verwalteter Cluster) ohne ein bestimmtes Tag Die Installation der Azure Backup-Erweiterung ist eine Voraussetzung für den Schutz Ihrer AKS-Cluster. Erzwingen der Installation der Sicherungserweiterung auf allen AKS-Clustern ohne einen bestimmten Tagwert. Auf diese Weise können Sie die Sicherung von AKS-Clustern im großen Stil verwalten. AuditIfNotExists, DeployIfNotExists, Disabled 1.0.0-preview
[Vorschau]: Mehrbenutzerautorisierung (MUA) muss für Sicherungstresore aktiviert sein. Diese Richtlinie überprüft, ob die Mehrbenutzerautorisierung (MUA) für Sicherungstresore aktiviert ist. Die MUA hilft bei der Sicherung Ihrer Sicherungstresore, indem sie kritischen Vorgängen eine zusätzliche Schutzebene hinzufügt. Weitere Informationen finden Sie unter https://aka.ms/mua-for-bv. Audit, Disabled 1.0.0-preview
[Vorschau]: Die Mehrbenutzerautorisierung (Multi-User Authorization, MUA) muss für Recovery Services Vaults aktiviert sein. Diese Richtlinie überprüft, ob die Mehrbenutzerautorisierung (Multi-User Authorization, MUA) für Recovery Services Vaults aktiviert ist. Die MUA hilft bei der Sicherung Ihrer Recovery Service Vaults, indem sie kritischen Vorgängen eine zusätzliche Schutzebene hinzufügt. Weitere Informationen finden Sie unter https://aka.ms/MUAforRSV. Audit, Disabled 1.0.0-preview
[Vorschau]: Vorläufiges Löschen muss für Recovery Services Vaults aktiviert sein. Mit dieser Richtlinie wird überprüft, ob das vorläufige Löschen für Recovery Services Vaults im Bereich aktiviert ist. Das vorläufige Löschen kann das Wiederherstellen gelöschter Daten erleichtern. Weitere Informationen finden Sie unter https://aka.ms/AB-SoftDelete. Audit, Disabled 1.0.0-preview
[Vorschau]: Vorläufiges Löschen sollte für Sicherungstresore aktiviert sein Mit dieser Richtlinie wird überprüft, ob das vorläufige Löschen für die Sicherungstresore im Bereich aktiviert ist. Das vorläufige Löschen kann das Wiederherstellen gelöschter Daten erleichtern. Weitere Informationen finden Sie unter https://aka.ms/AB-SoftDelete. Audit, Disabled 1.0.0-preview
Azure Backup muss für Virtual Machines aktiviert sein. Schützen Sie Ihre Azure Virtual Machines-Instanzen, indem Sie Azure Backup aktivieren. Azure Backup ist eine sichere und kostengünstige Lösung zum Schutz von Daten für Azure. AuditIfNotExists, Disabled 3.0.0
Sicherung für VMs mit angegebenem Tag in einem neuen Recovery Services-Tresor mit einer Standardrichtlinie konfigurieren Erzwingen Sie die Sicherung für alle virtuellen Computer, indem Sie einen Recovery Services-Tresor am gleichen Ort und in der gleichen Ressourcengruppe wie der virtuelle Computer bereitstellen. Dies ist nützlich, wenn verschiedenen Anwendungsteams in Ihrer Organisation separate Ressourcengruppen zugewiesen werden und sie ihre eigenen Sicherungen und Wiederherstellungen verwalten müssen. Sie können optional virtuelle Computer einschließen, die ein bestimmtes Tag enthalten, um den Umfang der Zuweisung zu kontrollieren. Siehe https://aka.ms/AzureVMAppCentricBackupIncludeTag. auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, deaktiviert, Deaktiviert 9.3.0
Sicherung für VMs mit angegebenem Tag in einem vorhandenen Recovery Services-Tresor am selben Standort konfigurieren Erzwingen Sie die Sicherung für alle virtuellen Computer, indem Sie sie in einem vorhandenen zentralen Recovery Services-Tresor am gleichen Ort und im gleichen Abonnement wie der virtuelle Computer sichern. Dies ist nützlich, wenn die Sicherungen für alle Ressourcen in einem Abonnement in Ihrer Organisation von einem zentralen Team verwaltet werden. Sie können optional virtuelle Computer einschließen, die ein bestimmtes Tag enthalten, um den Umfang der Zuweisung zu kontrollieren. Siehe https://aka.ms/AzureVMCentralBackupIncludeTag. auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, deaktiviert, Deaktiviert 9.3.0
Sicherung für VMs ohne angegebenes Tag in einem neuen Recovery Services-Tresor mit einer Standardrichtlinie konfigurieren Erzwingen Sie die Sicherung für alle virtuellen Computer, indem Sie einen Recovery Services-Tresor am gleichen Ort und in der gleichen Ressourcengruppe wie der virtuelle Computer bereitstellen. Dies ist nützlich, wenn verschiedenen Anwendungsteams in Ihrer Organisation separate Ressourcengruppen zugewiesen werden und sie ihre eigenen Sicherungen und Wiederherstellungen verwalten müssen. Sie können optional virtuelle Computer ausschließen, die ein bestimmtes Tag enthalten, um den Umfang der Zuweisung zu kontrollieren. Siehe https://aka.ms/AzureVMAppCentricBackupExcludeTag. auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, deaktiviert, Deaktiviert 9.3.0
Sicherung für VMs ohne angegebenes Tag in einem vorhandenen Recovery Services-Tresor am selben Standort konfigurieren Erzwingen Sie die Sicherung für alle virtuellen Computer, indem Sie sie in einem vorhandenen zentralen Recovery Services-Tresor am gleichen Ort und im gleichen Abonnement wie der virtuelle Computer sichern. Dies ist nützlich, wenn die Sicherungen für alle Ressourcen in einem Abonnement in Ihrer Organisation von einem zentralen Team verwaltet werden. Sie können optional virtuelle Computer ausschließen, die ein bestimmtes Tag enthalten, um den Umfang der Zuweisung zu kontrollieren. Siehe https://aka.ms/AzureVMCentralBackupExcludeTag. auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, deaktiviert, Deaktiviert 9.3.0
Stellen Sie dem Log Analytics-Arbeitsbereich für ressourcenspezifische Kategorien Diagnoseeinstellungen für den Recovery Services-Tresor bereit. Stellen Sie Diagnoseeinstellungen für den Recovery Services-Tresor bereit, um Daten für ressourcenspezifische Kategorien in den Log Analytics-Arbeitsbereich zu streamen. Wenn eine der ressourcenspezifischen Kategorien nicht aktiviert ist, wird eine neue Diagnoseeinstellung erstellt. deployIfNotExists 1.0.2

Batch

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Azure Batch-Konto muss kundenseitig verwaltete Schlüssel zur Datenverschlüsselung verwenden. Verwenden Sie kundenseitig verwaltete Schlüssel, um für die Daten Ihres Batch-Kontos die Verschlüsselung ruhender Daten zu verwalten. Standardmäßig werden Kundendaten mit dienstseitig verwalteten Schlüsseln verschlüsselt. Kundenseitig verwaltete Schlüssel sind jedoch häufig zur Einhaltung gesetzlicher Bestimmungen erforderlich. Mit kundenseitig verwalteten Schlüsseln können die Daten mit einem Azure Key Vault-Schlüssel verschlüsselt werden, der von Ihnen erstellt wird und sich in Ihrem Besitz befindet. Sie verfügen über die volle Kontrolle über und Verantwortung für den Schlüssellebenszyklus, einschließlich Rotation und Verwaltung. Weitere Informationen finden Sie unter https://aka.ms/Batch-CMK. Audit, Deny, Disabled 1.0.1
Für Azure Batch-Pools sollte die Datenträgerverschlüsselung aktiviert sein. Wenn Sie die Azure Batch-Datenträgerverschlüsselung aktivieren, wird sichergestellt, dass ruhende Daten in Ihrem Azure Batch-Computeknoten immer verschlüsselt sind. Weitere Informationen zur Datenträgerverschlüsselung in Batch finden Sie unter https://docs.microsoft.com/azure/batch/disk-encryption. Audit, Disabled, Deny 1.0.0
Für Batch-Konten sollten die lokalen Authentifizierungsmethoden deaktiviert sein. Durch das Deaktivieren lokaler Authentifizierungsmethoden verbessert sich die Sicherheit, weil hierdurch sichergestellt wird, dass Batch-Konten ausschließlich Azure Active Directory-Identitäten für die Authentifizierung anfordern. Weitere Informationen finden Sie unter https://aka.ms/batch/auth. Audit, Deny, Disabled 1.0.0
Batch-Konten für die Deaktivierung der lokalen Authentifizierung konfigurieren Deaktivieren Sie lokale Authentifizierungsmethoden, damit Ihre Batch-Konten ausschließlich Azure Active Directory-Identitäten für die Authentifizierung anfordern. Weitere Informationen finden Sie unter https://aka.ms/batch/auth. Modify, Disabled 1.0.0
Konfigurieren von Batch-Konten zum Deaktivieren des Zugriffs auf öffentliche Netzwerke Das Deaktivieren des Zugriffs auf das öffentliche Netzwerk für ein Batch-Konto verbessert die Sicherheit, indem sichergestellt wird, dass auf Ihr Batch-Konto nur von einem privaten Endpunkt aus zugegriffen werden kann. Weitere Informationen zum Deaktivieren des Zugriffs auf öffentliche Netzwerke finden Sie unter https://docs.microsoft.com/azure/batch/private-connectivity. Modify, Disabled 1.0.0
Batch-Konten mit privaten Endpunkten konfigurieren Private Endpunkte verbinden Ihr virtuelles Netzwerk ohne eine öffentliche IP-Adresse an Quelle oder Ziel mit Azure-Diensten. Durch das Zuordnen privater Endpunkte zu Batch-Konten können Sie das Risiko von Datenlecks verringern. Weitere Informationen zu privaten Verbindungen finden Sie unter https://docs.microsoft.com/azure/batch/private-connectivity. DeployIfNotExists, Disabled 1.0.0
Bereitstellen: Private DNS-Zonen für private Endpunkte zur Verbindungsherstellung mit Batch-Konten konfigurieren Über private DNS-Einträge können private Verbindungen mit privaten Endpunkten hergestellt werden. Private Endpunktverbindungen gewährleisten eine sichere Kommunikation, indem private Konnektivität mit Batch-Konten ermöglicht wird, ohne dass öffentliche IP-Adressen an der Quelle oder am Ziel erforderlich sind. Weitere Informationen zu privaten Endpunkten und DNS-Zonen in Batch finden Sie unter https://docs.microsoft.com/azure/batch/private-connectivity. DeployIfNotExists, Disabled 1.0.0
Für Batch-Konten müssen Warnungsregeln für Metriken konfiguriert sein Hiermit wird die Konfiguration von Metrikwarnungsregeln für ein Batch-Konto überwacht, um die erforderliche Metrik zu aktivieren. AuditIfNotExists, Disabled 1.0.0
Für Batch-Konten müssen private Endpunktverbindungen aktiviert sein Private Endpunktverbindungen ermöglichen eine sichere Kommunikation, indem private Konnektivität mit Batch-Konten ermöglicht wird, ohne dass öffentliche IP-Adressen an der Quelle oder am Ziel benötigt werden. Weitere Informationen zu privaten Endpunkten in Batch finden Sie unter https://docs.microsoft.com/azure/batch/private-connectivity. AuditIfNotExists, Disabled 1.0.0
Öffentlicher Netzwerkzugriff muss für Batch-Konten deaktiviert sein Das Deaktivieren des Zugriffs auf das öffentliche Netzwerk für ein Batch-Konto verbessert die Sicherheit, indem sichergestellt wird, dass auf Ihr Batch-Konto nur von einem privaten Endpunkt aus zugegriffen werden kann. Weitere Informationen zum Deaktivieren des Zugriffs auf öffentliche Netzwerke finden Sie unter https://docs.microsoft.com/azure/batch/private-connectivity. Audit, Deny, Disabled 1.0.0
In Batch-Konten müssen Ressourcenprotokolle aktiviert sein. Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. AuditIfNotExists, Disabled 5.0.0

Botdienst

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Der Bot Service-Endpunkt muss ein gültiger HTTPS-URI sein. Daten können während der Übertragung manipuliert werden. Es gibt Protokolle, die eine Verschlüsselung ermöglichen, um Missbrauch und Manipulationen vorzubeugen. Um sicherzustellen, dass Ihre Bots ausschließlich über verschlüsselte Kanäle kommunizieren, legen Sie den Endpunkt auf einen gültigen HTTPS-URI fest. Dadurch wird sichergestellt, dass das HTTPS-Protokoll zum Verschlüsseln Ihrer Daten während der Übertragung verwendet wird. Darüber hinaus ist es häufig Voraussetzung zur Einhaltung gesetzlicher oder branchenüblicher Standards. Informationen finden Sie unter https://docs.microsoft.com/azure/bot-service/bot-builder-security-guidelines. überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung 1.1.0
Bot Service muss mit einem kundenseitig verwalteten Schlüssel (CMK) verschlüsselt werden Azure Bot Service verschlüsselt Ihre Ressource automatisch, um Ihre Daten zu schützen sowie die Sicherheits- und Complianceanforderungen der Organisation zu erfüllen. Standardmäßig werden von Microsoft verwaltete Verschlüsselungsschlüssel verwendet. Wählen Sie kundenseitig verwaltete Schlüssel (auch als Bring Your Own Key (BYOK) bezeichnet) aus, um mehr Flexibilität bei der Verwaltung von Schlüsseln oder der Steuerung des Zugriffs auf Ihr Abonnement zu haben. Weitere Informationen zur Azure Bot Service-Verschlüsselung finden Sie hier: https://docs.microsoft.com/azure/bot-service/bot-service-encryption. überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung 1.1.0
Für den Botdienst muss der isolierte Modus aktiviert sein Bots müssen auf den Modus „nur isoliert“ festgelegt werden. Mit dieser Einstellung werden Bot Service-Kanäle konfiguriert, für die der Datenverkehr über das öffentliche Internet deaktiviert sein muss. überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung 2.1.0
Für Bot Service müssen die lokalen Authentifizierungsmethoden deaktiviert sein. Durch das Deaktivieren lokaler Authentifizierungsmethoden wird die Sicherheit verbessert, indem sichergestellt wird, dass ein Bot AAD ausschließlich für die Authentifizierung verwendet. Audit, Deny, Disabled 1.0.0
Für Bot Service sollte der Zugriff über öffentliche Netzwerke deaktiviert sein Bots müssen auf den Modus „nur isoliert“ festgelegt werden. Mit dieser Einstellung werden Bot Service-Kanäle konfiguriert, für die der Datenverkehr über das öffentliche Internet deaktiviert sein muss. Audit, Deny, Disabled 1.0.0
BotService-Ressourcen müssen Private Link verwenden Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu BotService-Ressourcen wird das Risiko von Datenlecks verringert. Audit, Disabled 1.0.0
Konfigurieren Sie BotService-Ressourcen für die Verwendung privater DNS-Zonen Verwenden Sie private DNS-Zonen, um die DNS-Auflösung für einen privaten Endpunkt außer Kraft zu setzen. Eine private DNS-Zone wird mit Ihrem virtuellen Netzwerk verknüpft, um BotService-bezogene Ressourcen aufzulösen. Weitere Informationen finden Sie unter https://aka.ms/privatednszone. DeployIfNotExists, Disabled 1.0.0
Konfigurieren Sie BotService-Ressourcen mit privaten Endpunkten Private Endpunkte verbinden Ihr virtuelles Netzwerk ohne eine öffentliche IP-Adresse an Quelle oder Ziel mit Azure-Diensten. Durch das Zuordnen privater Endpunkte zu BotService-Ressourcen können Sie das Risiko von Datenlecks verringern. DeployIfNotExists, Disabled 1.0.0

Cache

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Azure Cache for Redis muss den Zugriff über öffentliche Netzwerke deaktivieren Die Deaktivierung des Zugriffs über öffentliche Netzwerke erhöht die Sicherheit, indem sichergestellt wird, dass Azure Cache for Redis nicht über das öffentliche Internet zugänglich ist. Sie können die Offenlegung von Azure Cache for Redis einschränken, indem Sie stattdessen private Endpunkte erstellen. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. Audit, Deny, Disabled 1.0.0
Azure Cache for Redis muss private Verbindung verwenden Mit privaten Endpunkten können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne dass eine öffentliche IP-Adresse an der Quelle oder am Ziel vorhanden ist. Durch das Zuordnen privater Endpunkte zu Ihren Azure Cache for Redis-Instanzen wird das Risiko von Datenlecks verringert. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. AuditIfNotExists, Disabled 1.0.0
Konfigurieren von Azure Cache for Redis zum Deaktivieren von nicht SSL-Ports Aktivieren Sie nur SSL-Verbindungen mit Azure Cache for Redis. Durch die Verwendung sicherer Verbindungen wird eine Authentifizierung zwischen dem Server und dem Dienst sichergestellt, und die übertragenen Daten werden vor Angriffen auf Netzwerkebene geschützt, wie z.B. Man-in-the-Middle-Angriffe, Abhörangriffe und Session Hijacking. Modify, Disabled 1.0.0
Azure Cache for Redis zum Deaktivieren des Zugriffs über öffentliche Netzwerke konfigurieren Deaktivieren Sie den Zugriff über öffentliche Netzwerke für Ihre Azure Cache for Redis-Ressource, sodass sie nicht über das öffentliche Internet zugänglich ist. Dies trägt dazu bei, den Cache vor dem Risiko von Datenlecks zu schützen. Modify, Disabled 1.0.0
Azure Cache for Redis für die Verwendung privater DNS-Zonen konfigurieren Verwenden Sie private DNS-Zonen, um die DNS-Auflösung für einen privaten Endpunkt außer Kraft zu setzen. Eine private DNS-Zone wird mit Ihrem virtuellen Netzwerk verknüpft, um Azure Cache for Redis-Instanzen aufzulösen. Weitere Informationen finden Sie unter https://aka.ms/privatednszone. DeployIfNotExists, Disabled 1.0.0
Azure Cache for Redis mit privaten Endpunkten konfigurieren Mit privaten Endpunkten können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne an der Quelle oder am Ziel eine öffentliche IP-Adresse zu verwenden. Durch das Zuordnen privater Endpunkte zu Ihren Azure Cache for Redis-Ressourcen können Sie das Risiko von Datenlecks verringern. Weitere Informationen finden Sie unter https://aka.ms/redis/privateendpoint. DeployIfNotExists, Disabled 1.0.0
Für Ihren Azure Cache for Redis dürfen nur sichere Verbindungen aktiviert sein. Aktivieren der Überprüfung nur für Verbindungen über SSL mit Azure Cache for Redis Durch die Verwendung sicherer Verbindungen wird eine Authentifizierung zwischen dem Server und dem Dienst sichergestellt, und die übertragenen Daten werden vor Angriffen auf Netzwerkebene geschützt, wie z.B. Man-in-the-Middle-Angriffe, Abhörangriffe und Session Hijacking. Audit, Deny, Disabled 1.0.0

CDN

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Azure Front Door-Profile sollten den Tarif „Premium“ verwenden, der verwaltete WAF-Regeln und private Verbindungen unterstützt Azure Front Door Premium unterstützt von Azure verwaltete WAF-Regeln und private Verbindungen zu unterstützten Azure-Ursprüngen. Audit, Deny, Disabled 1.0.0
Azure Front Door Standard und Premium müssen mindestens die TLS-Version 1.2 ausführen Das Festlegen der TLS-Mindestversion auf 1.2 verbessert die Sicherheit, da sichergestellt wird, dass nur Clients mit TLS 1.2 oder höher auf Ihre benutzerdefinierten Domänen zugreifen können. Die Verwendung von TLS-Versionen unter 1.2 wird nicht empfohlen, da sie schwach sind und keine modernen Kryptografiealgorithmen unterstützen. Audit, Deny, Disabled 1.0.0
Sichere private Konnektivität zwischen Azure Front Door Premium und Azure Storage Blob oder Azure App Service Eine private Verbindung stellt die private Konnektivität zwischen AFD Premium und Azure Storage Blob oder Azure App Service über das Azure-Backbonenetzwerk sicher, ohne dass Azure Storage Blob oder Azure App Service öffentlich im Internet verfügbar gemacht werden. Audit, Disabled 1.0.0

ChangeTrackingAndInventory

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
[Vorschau]: Konfigurieren von Linux-Computern mit Arc-Unterstützung für die Zuordnung zu einer Datensammlungsregel für Änderungsnachverfolgung und Bestand Stellen Sie eine Zuordnung bereit, um Linux-Computer mit Arc-Unterstützung mit der angegebenen Datensammlungsregel zu verknüpfen und so Änderungsnachverfolgung und Bestand zu aktivieren. Die Liste der Standorte wird im Laufe der Zeit bei erweiterter Unterstützung aktualisiert. DeployIfNotExists, Disabled 1.0.0-preview
[Vorschau]: Konfigurieren von Linux-Computern mit Arc-Unterstützung zum Installieren von AMA für Änderungsnachverfolgung und Bestand Automatisieren Sie die Bereitstellung der Azure Monitor-Agent-Erweiterung auf Ihren Linux-Computern mit Arc-Unterstützung zum Aktivieren von Änderungsnachverfolgung und Bestand. Mit dieser Richtlinie wird die Erweiterung installiert, wenn die Region unterstützt wird. Weitere Informationen finden Sie hier: https://aka.ms/AMAOverview. DeployIfNotExists, Disabled 1.3.0-preview
[Vorschau]: Konfigurieren virtueller Linux-Computer für die Zuordnung zu einer Datensammlungsregel für Änderungsnachverfolgung und Bestand Stellen Sie eine Zuordnung bereit, um virtuelle Linux-Computer mit der angegebenen Datensammlungsregel zu verknüpfen und so Änderungsnachverfolgung und Bestand zu aktivieren. Die Liste der Standorte und Betriebssystemimages wird im Laufe der Zeit bei erweiterter Unterstützung aktualisiert. DeployIfNotExists, Disabled 1.0.0-preview
[Vorschau]: Konfigurieren von Linux-VMs zum Installieren von AMA für Änderungsnachverfolgung und Bestand mit benutzerseitig zugewiesener verwalteter Identität Automatisieren Sie die Bereitstellung der Azure Monitor-Agent-Erweiterung auf Ihren virtuellen Linux-Computern zum Aktivieren von Änderungsnachverfolgung und Bestand. Diese Richtlinie installiert die Erweiterung und konfiguriert sie so, dass sie die angegebene, benutzerseitig zugewiesene verwaltete Identität verwendet, wenn das Betriebssystem und die Region unterstützt werden, und überspringt andernfalls die Installation. Weitere Informationen finden Sie hier: https://aka.ms/AMAOverview. DeployIfNotExists, Disabled 1.5.0-preview
[Vorschau]: Konfigurieren von Linux-VMSS für die Zuordnung zu einer Datensammlungsregel für Änderungsnachverfolgung und Bestand Stellen Sie eine Zuordnung bereit, um Linux-VM-Skalierungsgruppen mit der angegebenen Datensammlungsregel zu verknüpfen und so Änderungsnachverfolgung und Bestand zu aktivieren. Die Liste der Standorte und Betriebssystemimages wird im Laufe der Zeit bei erweiterter Unterstützung aktualisiert. DeployIfNotExists, Disabled 1.0.0-preview
[Vorschau]: Konfigurieren von Linux-VMMS zum Installieren von AMA für Änderungsnachverfolgung und Bestand mit benutzerseitig zugewiesener verwalteter Identität Automatisieren Sie die Bereitstellung der Azure Monitor-Agent-Erweiterung für Ihre Linux-VM-Skalierungsgruppen zum Aktivieren von Änderungsnachverfolgung und Bestand. Diese Richtlinie installiert die Erweiterung und konfiguriert sie so, dass sie die angegebene, benutzerseitig zugewiesene verwaltete Identität verwendet, wenn das Betriebssystem und die Region unterstützt werden, und überspringt andernfalls die Installation. Weitere Informationen finden Sie hier: https://aka.ms/AMAOverview. DeployIfNotExists, Disabled 1.4.0-preview
[Vorschau]: Konfigurieren von Windows-Computern mit Arc-Unterstützung für die Zuordnung zu einer Datensammlungsregel für Änderungsnachverfolgung und Bestand Stellen Sie eine Zuordnung bereit, um Windows-Computer mit Arc-Unterstützung mit der angegebenen Datensammlungsregel zu verknüpfen und so Änderungsnachverfolgung und Bestand zu aktivieren. Die Liste der Standorte wird im Laufe der Zeit bei erweiterter Unterstützung aktualisiert. DeployIfNotExists, Disabled 1.0.0-preview
[Vorschau]: Konfigurieren von Windows-Computern mit Arc-Unterstützung zum Installieren von AMA für Änderungsnachverfolgung und Bestand Automatisieren Sie die Bereitstellung der Azure Monitor-Agent-Erweiterung auf Ihren Windows-Computern mit Arc-Unterstützung zum Aktivieren von Änderungsnachverfolgung und Bestand. Mit dieser Richtlinie wird die Erweiterung installiert, wenn das Betriebssystem und die Region unterstützt werden und die systemseitig zugewiesene verwaltete Identität aktiviert ist. Andernfalls wird die Installation übersprungen. Weitere Informationen finden Sie hier: https://aka.ms/AMAOverview. DeployIfNotExists, Disabled 1.0.0-preview
[Vorschau]: Konfigurieren virtueller Windows-Computer für die Zuordnung zu einer Datensammlungsregel für Änderungsnachverfolgung und Bestand Stellen Sie eine Zuordnung bereit, um virtuelle Windows-Computer mit der angegebenen Datensammlungsregel zu verknüpfen und so Änderungsnachverfolgung und Bestand zu aktivieren. Die Liste der Standorte und Betriebssystemimages wird im Laufe der Zeit bei erweiterter Unterstützung aktualisiert. DeployIfNotExists, Disabled 1.0.0-preview
[Vorschau]: Konfigurieren von Windows-VMs zum Installieren von AMA für Änderungsnachverfolgung und Bestand mit benutzerseitig zugewiesener verwalteter Identität Automatisieren Sie die Bereitstellung der Azure Monitor-Agent-Erweiterung auf Ihren virtuellen Windows-Computern zum Aktivieren von Änderungsnachverfolgung und Bestand. Diese Richtlinie installiert die Erweiterung und konfiguriert sie so, dass sie die angegebene, benutzerseitig zugewiesene verwaltete Identität verwendet, wenn das Betriebssystem und die Region unterstützt werden, und überspringt andernfalls die Installation. Weitere Informationen finden Sie hier: https://aka.ms/AMAOverview. DeployIfNotExists, Disabled 1.1.0-preview
[Vorschau]: Konfigurieren von Windows-VMSS für die Zuordnung zu einer Datensammlungsregel für Änderungsnachverfolgung und Bestand Stellen Sie eine Zuordnung bereit, um Windows-VM-Skalierungsgruppen mit der angegebenen Datensammlungsregel zu verknüpfen und so Änderungsnachverfolgung und Bestand zu aktivieren. Die Liste der Standorte und Betriebssystemimages wird im Laufe der Zeit bei erweiterter Unterstützung aktualisiert. DeployIfNotExists, Disabled 1.0.0-preview
[Vorschau]: Konfigurieren von Windows-VMSS zum Installieren von AMA für Änderungsnachverfolgung und Bestand mit benutzerseitig zugewiesener verwalteter Identität Automatisieren Sie die Bereitstellung der Azure Monitor-Agent-Erweiterung für Ihre Windows-VM-Skalierungsgruppen zum Aktivieren von Änderungsnachverfolgung und Bestand. Diese Richtlinie installiert die Erweiterung und konfiguriert sie so, dass sie die angegebene, benutzerseitig zugewiesene verwaltete Identität verwendet, wenn das Betriebssystem und die Region unterstützt werden, und überspringt andernfalls die Installation. Weitere Informationen finden Sie hier: https://aka.ms/AMAOverview. DeployIfNotExists, Disabled 1.1.0-preview

Cognitive Services

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Cognitive Services-Konten müssen eine Datenverschlüsselung mit einem kundenseitig verwalteten Schlüssel aktivieren Kundenseitig verwaltete Schlüssel sind häufig zur Einhaltung gesetzlicher Bestimmungen erforderlich. Mit kundenseitig verwalteten Schlüsseln können die in Cognitive Services gespeicherten Daten mit einem Azure Key Vault-Schlüssel verschlüsselt werden, der von Ihnen erstellt wird und sich in Ihrem Besitz befindet. Sie verfügen über die volle Kontrolle über und Verantwortung für den Schlüssellebenszyklus, einschließlich Rotation und Verwaltung. Weitere Informationen zu kundenseitig verwalteten Schlüsseln finden Sie unter https://go.microsoft.com/fwlink/?linkid=2121321. Audit, Deny, Disabled 2.1.0
Cognitive Services-Konten müssen eine verwaltete Identität verwenden Das Zuweisen einer verwalteten Identität zu Ihrem Cognitive Services-Konto gewährleistet eine sichere Authentifizierung. Diese Identität wird von diesem Cognitive Services-Konto für die sichere Kommunikation mit anderen Azure-Diensten wie z. B. Azure Key Vault verwendet, ohne dass Sie Anmeldeinformationen verwalten müssen. Audit, Deny, Disabled 1.0.0
Cognitive Services-Konten müssen kundeneigenen Speicher verwenden Verwenden Sie den kundeneigenen Speicher, um ruhende Daten in Cognitive Services zu steuern. Weitere Informationen zum kundeneigenen Speicher finden Sie unter https://aka.ms/cogsvc-cmk. Audit, Deny, Disabled 2.0.0
Cognitive Services muss eine private Verbindung verwenden Mit Azure Private Link können Sie Ihre virtuellen Netzwerke mit Azure-Diensten verbinden, ohne dass eine öffentliche IP-Adresse an der Quelle oder am Ziel vorhanden ist. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Cognitive Services können Sie das Risiko von Datenlecks verringern. Weitere Informationen zu privaten Verbindungen finden Sie unter https://go.microsoft.com/fwlink/?linkid=2129800. Audit, Disabled 3.0.0
Cognitive Services-Konten konfigurieren, um lokale Authentifizierungsmethoden zu deaktivieren Deaktivieren Sie lokale Authentifizierungsmethoden, damit Ihre Cognitive Services-Konten ausschließlich Azure Active Directory-Identitäten für die Authentifizierung anfordern. Weitere Informationen finden Sie unter https://aka.ms/cs/auth. Modify, Disabled 1.0.0
Cognitive Services-Konten zum Deaktivieren des Zugriffs über öffentliche Netzwerke konfigurieren Deaktivieren Sie den Zugriff über öffentliche Netzwerke für Ihre Cognitive Services-Ressource, sodass sie nicht über das öffentliche Internet zugänglich ist. Dies kann das Risiko von Datenlecks verringern. Weitere Informationen finden Sie unter https://go.microsoft.com/fwlink/?linkid=2129800. Disabled, Modify 3.0.0
Cognitive Services-Konten für die Verwendung privater DNS-Zonen konfigurieren Verwenden Sie private DNS-Zonen, um die DNS-Auflösung für einen privaten Endpunkt außer Kraft zu setzen. Eine private DNS-Zone wird mit Ihrem virtuellen Netzwerk verknüpft, um Cognitive Services-Konten aufzulösen. Weitere Informationen finden Sie unter https://go.microsoft.com/fwlink/?linkid=2110097. DeployIfNotExists, Disabled 1.0.0
Konfigurieren Sie Cognitive Services-Konten mit privaten Endpunkten Private Endpunkte verbinden Ihre virtuellen Netzwerke ohne eine öffentliche IP-Adresse an Quelle oder Ziel mit Azure-Diensten. Durch das Zuordnen privater Endpunkte zu Cognitive Services können Sie das Risiko von Datenlecks verringern. Weitere Informationen zu privaten Verbindungen finden Sie unter https://go.microsoft.com/fwlink/?linkid=2129800. DeployIfNotExists, Disabled 3.0.0

Kommunikation

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Kommunikationsdienstressource muss eine verwaltete Identität verwenden Das Zuweisen einer verwalteten Identität zur Ihrer Kommunikationsdienstressource gewährleistet eine sicherere Authentifizierung. Diese Identität wird von diesem Kommunikationsdienstressource für die Kommunikation mit anderen Azure-Diensten wie z. B. Azure Storage verwendet, ohne dass Sie Anmeldeinformationen verwalten müssen. Audit, Deny, Disabled 1.0.0
Kommunikationsdienstressource muss aufgelisteten Datenspeicherort zulassen Erstellen Sie eine Kommunikationsdienstressource nur aus zugelassenen aufgelisteten Datenspeicherorten. Dieser Datenspeicherort bestimmt, wo die Daten der Kommunikationsdienstressource im Ruhezustand gespeichert werden, um sicherzustellen, dass Ihre bevorzugten Datenspeicherorte zugelassen werden, da dies nach der Ressourcenerstellung nicht mehr geändert werden kann. Audit, Deny, Disabled 1.0.0

Compute

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Zulässige SKUs für VM-Größen Über diese Richtlinie können Sie einen Satz von SKUs für VM-Größen angeben, die Ihre Organisation bereitstellen kann. Verweigern 1.0.1
VMs überwachen, für die keine Notfallwiederherstellung konfiguriert ist Hiermit werden VMs überwacht, für die keine Notfallwiederherstellung konfiguriert ist. Weitere Informationen zur Notfallwiederherstellung finden Sie unter https://aka.ms/asr-doc. auditIfNotExists 1.0.0
Virtuelle Computer überwachen, die keine verwalteten Datenträger verwenden Diese Richtlinie überwacht virtuelle Computer, die keine verwalteten Datenträger verwenden. Überwachung 1.0.0
Konfigurieren der Notfallwiederherstellung auf VMs durch Aktivieren der Replikation über Azure Site Recovery Virtuelle Computer ohne Notfallwiederherstellungskonfigurationen sind anfällig für Ausfälle und andere Unterbrechungen. Wenn für den virtuellen Computer noch keine Notfallwiederherstellung konfiguriert ist, wird dies durch Aktivieren der Replikation unter Verwendung vordefinierter Konfigurationen initiiert, um die Geschäftskontinuität zu gewährleisten. Sie können optional virtuelle Computer einschließen/ausschließen, die ein bestimmtes Tag enthalten, um den Umfang der Zuweisung zu kontrollieren. Weitere Informationen zur Notfallwiederherstellung finden Sie unter https://aka.ms/asr-doc. DeployIfNotExists, Disabled 2.1.0
Datenträgerzugriffsressourcen für die Verwendung privater DNS-Zonen konfigurieren Verwenden Sie private DNS-Zonen, um die DNS-Auflösung für einen privaten Endpunkt außer Kraft zu setzen. Eine private DNS-Zone wird mit Ihrem virtuellen Netzwerk verknüpft, um in einen verwalteten Datenträger aufgelöst zu werden. Weitere Informationen finden Sie unter https://aka.ms/disksprivatelinksdoc. DeployIfNotExists, Disabled 1.0.0
Datenträgerzugriffsressourcen mit privaten Endpunkten konfigurieren Private Endpunkte verbinden Ihre virtuellen Netzwerke ohne eine öffentliche IP-Adresse an Quelle oder Ziel mit Azure-Diensten. Durch das Zuordnen privater Endpunkte zu Datenträgerzugriffsressourcen können Sie das Risiko von Datenlecks verringern. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/disksprivatelinksdoc. DeployIfNotExists, Disabled 1.0.0
Verwaltete Datenträger zum Deaktivieren des Zugriffs über öffentliche Netzwerke konfigurieren Deaktivieren Sie den Zugriff über öffentliche Netzwerke für Ihre verwaltete Datenträgerressource, sodass sie nicht über das öffentliche Internet zugänglich ist. Dies kann das Risiko von Datenlecks verringern. Weitere Informationen finden Sie unter https://aka.ms/disksprivatelinksdoc. Modify, Disabled 2.0.0
Microsoft IaaSAntimalware-Standarderweiterung für Windows Server bereitstellen Mit dieser Richtlinie wird eine Microsoft IaaSAntimalware-Erweiterung mit einer Standardkonfiguration bereitgestellt, wenn eine VM nicht mit der Antischadsoftware-Erweiterung konfiguriert ist. deployIfNotExists 1.1.0
Datenträgerzugriffsressourcen müssen Private Link verwenden Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Datenträgerzugriffsressourcen wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/disksprivatelinksdoc. AuditIfNotExists, Disabled 1.0.0
Verwaltete Datenträger müssen sowohl mit plattformseitig als auch mit kundenseitig verwalteten Schlüsseln verschlüsselt werden Kunden mit besonders hohen Sicherheitsanforderungen, die befürchten, dass ein einzelner Verschlüsselungsalgorithmus, eine einzelne Verschlüsselungsimplementierung oder ein einzelner Verschlüsselungsschlüssel kompromittiert werden könnte, haben nun die Möglichkeit, eine zusätzliche Verschlüsselungsebene mit einem anderen Verschlüsselungsalgorithmus/-modus auf der Infrastrukturebene zu nutzen (unter Verwendung von plattformseitig verwalteten Schlüsseln). Für die Verwendung der Mehrfachverschlüsselung sind Datenträgerverschlüsselungssätze erforderlich. Weitere Informationen finden Sie unter https://aka.ms/disks-doubleEncryption. Audit, Deny, Disabled 1.0.0
Verwaltete Datenträger müssen den Zugriff über öffentliche Netzwerke deaktivieren Die Deaktivierung des Zugriffs über öffentliche Netzwerke erhöht die Sicherheit, indem sichergestellt wird, dass ein verwalteter Datenträger nicht über das öffentliche Internet zugänglich ist. Sie können die Offenlegung verwalteter Datenträger einschränken, indem Sie private Endpunkte erstellen. Weitere Informationen finden Sie unter https://aka.ms/disksprivatelinksdoc. Audit, Disabled 2.0.0
Verwaltete Datenträger müssen für die Verschlüsselung mit kundenseitig verwalteten Schlüsseln bestimmte Datenträgerverschlüsselungssätze verwenden Durch die Anforderung zur Verwendung bestimmter Datenträgerverschlüsselungssätze mit verwalteten Datenträgern erhalten Sie die Kontrolle über die Schlüssel, mit denen ruhende Daten verschlüsselt werden. Sie können beim Anfügen an einen Datenträger die zulässigen Verschlüsselungssätze auswählen und alle anderen Verschlüsselungssätze ablehnen. Weitere Informationen finden Sie unter https://aka.ms/disks-cmk. Audit, Deny, Disabled 2.0.0
Microsoft Antimalware für Azure muss für die automatische Aktualisierung von Schutzsignaturen konfiguriert sein Diese Richtlinie überwacht alle virtuellen Windows-Computer, die nicht für die automatische Aktualisierung von Microsoft Antimalware-Schutzsignaturen konfiguriert sind. AuditIfNotExists, Disabled 1.0.0
Die Microsoft IaaSAntimalware-Erweiterung muss auf Windows-Servern bereitgestellt werden Diese Richtlinie überwacht alle Windows Server-VMs ohne bereitgestellte Microsoft IaaSAntimalware-Erweiterung. AuditIfNotExists, Disabled 1.1.0
Es dürfen nur genehmigte VM-Erweiterungen installiert werden Diese Richtlinie regelt die nicht genehmigten VM-Erweiterungen. Audit, Deny, Disabled 1.0.0
Datenträger für Betriebssystem und Daten müssen mit einem kundenseitig verwalteten Schlüssel verschlüsselt werden Verwenden Sie kundenseitig verwaltete Schlüssel, um die Verschlüsselung ruhender Daten für die Inhalte Ihrer verwalteten Datenträger zu verwalten. Standardmäßig werden ruhende Daten mit plattformseitig verwalteten Schlüsseln verschlüsselt, aber zur Einhaltung behördlicher Konformitätsstandards werden häufig kundenseitig verwaltete Schlüssel benötigt. Mit kundenseitig verwalteten Schlüsseln können die Daten mit einem Azure Key Vault-Schlüssel verschlüsselt werden, der von Ihnen erstellt wird und sich in Ihrem Besitz befindet. Sie verfügen über die volle Kontrolle über und Verantwortung für den Schlüssellebenszyklus, einschließlich Rotation und Verwaltung. Weitere Informationen finden Sie unter https://aka.ms/disks-cmk. Audit, Deny, Disabled 3.0.0
Schützen Sie Ihre Daten mit Authentifizierungsanforderungen beim Exportieren oder Hochladen auf einen Datenträger oder in eine Momentaufnahme. Bei Verwendung der Export-/Upload-URL überprüft das System, ob der Benutzer über eine Identität in Azure Active Directory und über die erforderlichen Berechtigungen zum Exportieren/Hochladen der Daten verfügt. Weitere Informationen finden Sie unter „aka.ms/DisksAzureADAuth“. Modify, Disabled 1.0.0
Automatische Patches für Betriebssystemimages in VM-Skalierungsgruppen erzwingen Diese Richtlinie erzwingt die Aktivierung automatischer Patches für Betriebssystemimages in VM-Skalierungsgruppen zum ständigen Schutz virtueller Computer durch sicheres monatliches Anwenden der neuesten Sicherheitspatches. deny 1.0.0
Für VMs und VM-Skalierungsgruppen muss die Verschlüsselung auf dem Host aktiviert sein Verwenden Sie die Verschlüsselung auf dem Host, um eine End-to-End-Verschlüsselung für die Daten Ihrer VMs und VM-Skalierungsgruppen zu erzielen. Die Verschlüsselung auf dem Host ermöglicht die Verschlüsselung ruhender Daten für die Caches Ihrer temporären Datenträger und Ihrer Datenträger für Betriebssystem und Daten. Temporäre und kurzlebige Betriebssystemdatenträger werden mit plattformseitig verwalteten Schlüsseln verschlüsselt, wenn die Verschlüsselung auf dem Host aktiviert ist. Die Caches der Datenträger für Betriebssystem und Daten werden im Ruhezustand entweder mit einem kundenseitig oder einem plattformseitig verwalteten Schlüssel verschlüsselt. Dies richtet sich danach, welcher Verschlüsselungstyp für den Datenträger ausgewählt wurde. Weitere Informationen finden Sie unter https://aka.ms/vm-hbe. Audit, Deny, Disabled 1.0.0
VMs sollten zu neuen Azure Resource Manager-Ressourcen migriert werden Verwenden Sie den neuen Azure Resource Manager (ARM) für Ihre virtuellen Computer, um von den folgenden Sicherheitsverbesserungen zu profitieren: strengere Zugriffssteuerung (RBAC), bessere Überwachung, ARM-basierte Bereitstellung und Governance, Zugriff auf verwaltete Identitäten, Zugriff auf Schlüsseltresore für Geheimnisse, Azure AD-basierte Authentifizierung und Unterstützung von Tags und Ressourcengruppen zur Vereinfachung der Sicherheitsverwaltung. Audit, Deny, Disabled 1.0.0

Container-Apps

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Die Authentifizierung muss für Container Apps aktiviert sein Die Container Apps-Authentifizierung ist ein Feature, das verhindern kann, dass anonyme HTTP-Anforderungen die Container Apps-Instanz erreichen, oder diejenigen, die über Token verfügen, authentifizieren kann, bevor sie die Container Apps-Instanz erreichen. AuditIfNotExists, Disabled 1.0.1
Container Apps-Umgebungen sollten Netzwerkeinschleusung verwenden Container Apps-Umgebungen sollten die VNET-Einschleusung verwenden, um: 1. Container Apps vom öffentlichen Internet zu isolieren, 2. die Netzwerkintegration in lokale Ressourcen oder in andere virtuelle Azure-Netzwerke zu ermöglichen, und 3. eine genauere Kontrolle über den Netzwerkdatenverkehr, der in die Umgebung und aus ihr heraus fließt, zu erreichen. Audit, Disabled, Deny 1.0.2
Container Apps sollte mit Volumebereitstellung konfiguriert werden Erzwingen Sie die Verwendung von Volumebereitstellungen für Container Apps, um die Verfügbarkeit persistenter Speicherkapazität sicherzustellen. Audit, Deny, Disabled 1.0.1
Die Container Apps-Umgebung sollte den Zugriff auf öffentliche Netzwerke deaktivieren Deaktivieren Sie den öffentlichen Netzwerkzugriff, um die Sicherheit zu verbessern, indem Sie die Container Apps-Umgebung über einen internen Lastenausgleich verfügbar machen. Dadurch entfällt die Notwendigkeit einer öffentlichen IP-Adresse, und der Internetzugriff auf alle Container Apps-Instanzen innerhalb der Umgebung wird verhindert. Audit, Deny, Disabled 1.0.1
Container Apps muss den externen Netzwerkzugriff deaktivieren Deaktivieren Sie den externen Netzwerkzugriff auf Ihre Container Apps-Instanz, indem Sie ausschließlich internen Eingang erzwingen. Dadurch wird sichergestellt, dass die eingehende Kommunikation für Container Apps auf Aufrufer in der Container Apps-Umgebung beschränkt ist. Audit, Deny, Disabled 1.0.1
Auf Container Apps sollte nur über HTTPS zugegriffen werden können Durch die Verwendung von HTTPS wird die Server-/Dienstauthentifizierung sichergestellt, und Daten werden bei der Übertragung vor Abhörangriffen auf der Vermittlungsschicht geschützt. Das Deaktivieren von „allowInsecure“ führt dazu, dass die automatische Umleitung von Anforderungen von HTTP- auf HTTPS-Verbindungen für Container-Apps erfolgt. Audit, Deny, Disabled 1.0.1
Die verwaltete Identität muss für Container Apps aktiviert sein Durch das Erzwingen der verwalteten Identität wird sichergestellt, dass Container Apps sich sicher bei allen Ressourcen authentifizieren kann, die die Azure AD-Authentifizierung unterstützen. Audit, Deny, Disabled 1.0.1

Containerinstanz

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Azure Container Instances-Containergruppe muss in einem virtuellen Netzwerk bereitgestellt werden Schützen Sie die Kommunikation zwischen Ihren Containern mit virtuellen Azure-Netzwerken. Wenn Sie ein virtuelles Netzwerk angeben, können Ressourcen innerhalb des virtuellen Netzwerks sicher und privat miteinander kommunizieren. Audit, Disabled, Deny 2.0.0
Azure Container Instances-Containergruppe muss einen kundenseitig verwalteten Schlüssel für die Verschlüsselung verwenden Schützen Sie Ihre Container mithilfe von kundenseitig verwalteten Schlüsseln, um die Flexibilität zu erhöhen. Wenn Sie einen vom Kunden verwalteten Schlüssel angeben, wird dieser zum Schützen und Steuern des Zugriffs auf den Schlüssel verwendet, mit dem Ihre Daten verschlüsselt werden. Die Verwendung von kundenseitig verwalteten Schlüsseln bietet zusätzliche Funktionen zum Steuern der Rotation des Schlüsselverschlüsselungsschlüssels oder zum kryptografischen Löschen von Daten. Audit, Disabled, Deny 1.0.0
Diagnoseeinstellungen für Containergruppen in Log Analytics-Arbeitsbereich konfigurieren Stellt die Diagnoseeinstellungen für die Containerinstanz bereit, um Ressourcenprotokolle an einen Log Analytics-Arbeitsbereich zu streamen, wenn eine Containerinstanz, dem diese Diagnoseeinstellungen fehlen, erstellt oder aktualisiert wird. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0

Container Instances

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Konfigurieren der Diagnose für Containergruppen im Protokollanalysearbeitsbereich Fügt die angegebene Log Analytics workspaceId und workspaceKey an, wenn eine Containergruppe, der diese Felder fehlen, erstellt oder aktualisiert wird. Felder von Containergruppen, die vor Anwendung dieser Richtlinie erstellt wurden, werden erst beim Ändern der Ressourcengruppen geändert. Anfügen, Deaktiviert 1.0.0

Container Registry

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Konfigurieren Sie Containerregistrierungen, um die anonyme Authentifizierung zu deaktivieren. Deaktivieren Sie anonymes Pullen für Ihre Registrierung, damit nicht authentifizierte Benutzer nicht auf Daten zugreifen können. Das Deaktivieren lokaler Authentifizierungsmethoden wie Administratorbenutzer, repositorybezogene Zugriffstoken und anonymes Pullen verbessert die Sicherheit, da hierdurch sichergestellt wird, dass Containerregistrierungen ausschließlich Azure Active Directory-Identitäten für die Authentifizierung anfordern. Weitere Informationen finden Sie unter https://aka.ms/acr/authentication. Modify, Disabled 1.0.0
Konfigurieren Sie Containerregistrierungen, um die ARM-Zielgruppen-Token-Authentifizierung zu deaktivieren. Deaktivieren Sie Azure Active Directory ARM-Benutzergruppentoken für die Authentifizierung für Ihre Registrierung. Nur Azure Container Registry (ACR)-Zielgruppentoken werden für die Authentifizierung verwendet. Dadurch wird sichergestellt, dass nur Token für die Verwendung in der Registrierung für die Authentifizierung verwendet werden können. Das Deaktivieren von ARM-Zielgruppentoken wirkt sich nicht auf die Authentifizierung des Administratorbenutzers oder die Authentifizierung von Zugriffstoken im Bereich aus. Weitere Informationen finden Sie unter https://aka.ms/acr/authentication. Modify, Disabled 1.0.0
Konfigurieren Sie Containerregistrierungen, um das lokale Administratorkonto zu deaktivieren. Deaktivieren Sie das Administratorkonto für Ihre Registrierung, sodass der lokale Administrator nicht darauf zugreifen kann. Das Deaktivieren lokaler Authentifizierungsmethoden wie Administratorbenutzer, repositorybezogene Zugriffstoken und anonymer Pull verbessert die Sicherheit, indem sichergestellt wird, dass Containerregistrierungen ausschließlich Azure Active Directory-Identitäten für die Authentifizierung erfordern. Weitere Informationen finden Sie unter https://aka.ms/acr/authentication. Modify, Disabled 1.0.1
Containerregistrierungen zum Deaktivieren des Zugriffs über öffentliche Netzwerke konfigurieren Deaktivieren Sie den Zugriff über öffentliche Netzwerke für Ihre Container Registry-Ressource, sodass sie nicht über das öffentliche Internet zugänglich ist. Dies kann das Risiko von Datenlecks verringern. Weitere Informationen finden Sie unter https://aka.ms/acr/portal/public-network und https://aka.ms/acr/private-link. Modify, Disabled 1.0.0
Konfigurieren Sie Containerregistrierungen, um das Zugriffstoken mit Repositorybereich zu deaktivieren. Deaktivieren Sie repositorybezogene Zugriffstoken für Ihre Registrierung, damit Token nicht auf Repositorys zugreifen können. Das Deaktivieren lokaler Authentifizierungsmethoden wie Administratorbenutzer, repositorybezogene Zugriffstoken und anonymes Pullen verbessert die Sicherheit, da hierdurch sichergestellt wird, dass Containerregistrierungen ausschließlich Azure Active Directory-Identitäten für die Authentifizierung anfordern. Weitere Informationen finden Sie unter https://aka.ms/acr/authentication. Modify, Disabled 1.0.0
Containerregistrierungen für die Verwendung privater DNS-Zonen konfigurieren Verwenden Sie private DNS-Zonen, um die DNS-Auflösung für einen privaten Endpunkt außer Kraft zu setzen. Eine private DNS-Zone wird mit Ihrem virtuellen Netzwerk verknüpft, um Ihre Container Registry-Instanz aufzulösen. Weitere Informationen finden Sie unter https://aka.ms/privatednszone und https://aka.ms/acr/private-link. DeployIfNotExists, Disabled 1.0.1
Containerregistrierungen mit privaten Endpunkten konfigurieren Private Endpunkte verbinden Ihr virtuelles Netzwerk ohne eine öffentliche IP-Adresse an Quelle oder Ziel mit Azure-Diensten. Durch das Zuordnen privater Endpunkte zu Ihren Container Registry Premium-Ressourcen können Sie das Risiko von Datenlecks verringern Weitere Informationen finden Sie unter https://aka.ms/privateendpoints und https://aka.ms/acr/private-link. DeployIfNotExists, Disabled 1.0.0
Containerregistrierungen müssen mit einem kundenseitig verwalteten Schlüssel verschlüsselt werden. Verwenden Sie kundenseitig verwaltete Schlüssel, um die Verschlüsselung ruhender Daten für den Inhalt Ihrer Registrierungen zu verwalten. Standardmäßig werden die Daten im Ruhezustand mit dienstseitig verwalteten Schlüsseln verschlüsselt. Kundenseitig verwaltete Schlüssel sind jedoch häufig zur Einhaltung gesetzlicher Bestimmungen erforderlich. Mit kundenseitig verwalteten Schlüsseln können die Daten mit einem Azure Key Vault-Schlüssel verschlüsselt werden, der von Ihnen erstellt wird und sich in Ihrem Besitz befindet. Sie verfügen über die volle Kontrolle über und Verantwortung für den Schlüssellebenszyklus, einschließlich Rotation und Verwaltung. Weitere Informationen finden Sie unter https://aka.ms/acr/CMK. Audit, Deny, Disabled 1.1.2
Für Containerregistrierungen muss die anonyme Authentifizierung deaktiviert sein. Deaktivieren Sie anonymes Pullen für Ihre Registrierung, damit nicht authentifizierte Benutzer nicht auf Daten zugreifen können. Das Deaktivieren lokaler Authentifizierungsmethoden wie Administratorbenutzer, repositorybezogene Zugriffstoken und anonymes Pullen verbessert die Sicherheit, da hierdurch sichergestellt wird, dass Containerregistrierungen ausschließlich Azure Active Directory-Identitäten für die Authentifizierung anfordern. Weitere Informationen finden Sie unter https://aka.ms/acr/authentication. Audit, Deny, Disabled 1.0.0
Bei Containerregistrierungen sollte die ARM Zielgruppentoken-Authentifizierung deaktiviert sein. Deaktivieren Sie Azure Active Directory ARM-Benutzergruppentoken für die Authentifizierung für Ihre Registrierung. Nur Azure Container Registry (ACR)-Zielgruppentoken werden für die Authentifizierung verwendet. Dadurch wird sichergestellt, dass nur Token für die Verwendung in der Registrierung für die Authentifizierung verwendet werden können. Das Deaktivieren von ARM-Zielgruppentoken wirkt sich nicht auf die Authentifizierung des Administratorbenutzers oder die Authentifizierung von Zugriffstoken im Bereich aus. Weitere Informationen finden Sie unter https://aka.ms/acr/authentication. Audit, Deny, Disabled 1.0.0
Für Containerregistrierungen sollten Exporte deaktiviert sein Das Deaktivieren von Exporten erhöht die Sicherheit, indem sichergestellt wird, dass ausschließlich über die Datenebene auf Daten in einer Registrierung zugegriffen wird („docker pull“). Daten können nicht mittels „acr import“ oder „acr transfer“ aus der Registrierung verschoben werden. Um Exporte zu deaktivieren, muss der öffentliche Netzwerkzugriff deaktiviert werden. Weitere Informationen finden Sie unter https://aka.ms/acr/export-policy. Audit, Deny, Disabled 1.0.0
Für Containerregistrierungen muss das lokale Administratorkonto deaktiviert sein. Deaktivieren Sie das Administratorkonto für Ihre Registrierung, sodass der lokale Administrator nicht darauf zugreifen kann. Das Deaktivieren lokaler Authentifizierungsmethoden wie Administratorbenutzer, repositorybezogene Zugriffstoken und anonymer Pull verbessert die Sicherheit, indem sichergestellt wird, dass Containerregistrierungen ausschließlich Azure Active Directory-Identitäten für die Authentifizierung erfordern. Weitere Informationen finden Sie unter https://aka.ms/acr/authentication. Audit, Deny, Disabled 1.0.1
Für Containerregistrierungen muss das Zugriffstoken mit Repositorybereich deaktiviert sein. Deaktivieren Sie repositorybezogene Zugriffstoken für Ihre Registrierung, damit Token nicht auf Repositorys zugreifen können. Das Deaktivieren lokaler Authentifizierungsmethoden wie Administratorbenutzer, repositorybezogene Zugriffstoken und anonymes Pullen verbessert die Sicherheit, da hierdurch sichergestellt wird, dass Containerregistrierungen ausschließlich Azure Active Directory-Identitäten für die Authentifizierung anfordern. Weitere Informationen finden Sie unter https://aka.ms/acr/authentication. Audit, Deny, Disabled 1.0.0
Containerregistrierungen müssen SKUs mit Unterstützung für private Verbindungen verwenden Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Da private Endpunkte nicht dem gesamten Dienst, sondern Ihren Containerregistrierungen zugeordnet werden, wird das Risiko von Datenlecks verringert. Weitere Informationen finden Sie unter https://aka.ms/acr/private-link. Audit, Deny, Disabled 1.0.0
Containerregistrierungen dürfen keinen uneingeschränkten Netzwerkzugriff zulassen Azure-Containerregistrierungen akzeptieren standardmäßig Verbindungen über das Internet von Hosts in beliebigen Netzwerken. Lassen Sie den Zugriff nur über bestimmte private Endpunkte, öffentliche IP-Adressen oder Adressbereiche zu, um Ihre Registrierungen vor potenziellen Bedrohungen zu schützen. Wenn Ihre Registrierung nicht über konfigurierte Netzwerkregeln verfügt, wird sie unter den fehlerhaften Ressourcen aufgeführt. Weitere Informationen zu Container Registry-Netzwerkregeln finden Sie unter https://aka.ms/acr/privatelink, https://aka.ms/acr/portal/public-network und https://aka.ms/acr/vnet. Audit, Deny, Disabled 2.0.0
Containerregistrierungen sollten die Erstellung von Cacheregel verhindern Deaktivieren Sie die Erstellung von Cacheregel für Ihre Azure-Containerregistrierung, um Pull-Pulls durch den Cache zu verhindern. Weitere Informationen finden Sie unter https://aka.ms/acr/cache. Audit, Deny, Disabled 1.0.0
Containerregistrierungen sollten eine private Verbindung verwenden Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Indem Sie private Endpunkte nicht dem gesamten Dienst, sondern nur Ihren Containerregistrierungen zuordnen, sind Sie auch vor Risiken aufgrund von Datenlecks geschützt. Weitere Informationen finden Sie unter https://aka.ms/acr/private-link. Audit, Disabled 1.0.1
Zugriff über öffentliche Netzwerke muss für Containerregistrierungen deaktiviert sein Die Deaktivierung des Zugriffs über öffentliche Netzwerke erhöht die Sicherheit, da Containerregistrierungen nicht über das öffentliche Internet zugänglich sind. Durch das Erstellen privater Endpunkte können Sie die Offenlegung von Container Registry-Ressourcen einschränken. Weitere Informationen finden Sie unter https://aka.ms/acr/portal/public-network und https://aka.ms/acr/private-link. Audit, Deny, Disabled 1.0.0

Cosmos DB

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Azure Cosmos DB-Konten müssen über Firewallregeln verfügen. Für Ihre Azure Cosmos DB Konten sollten Firewallregeln definiert werden, um Datenverkehr von nicht autorisierten Quellen zu verhindern. Konten, für die mindestens eine IP-Regel mit aktiviertem VNET-Filter definiert ist, werden als konform eingestuft. Konten, die den öffentlichen Zugriff deaktivieren, werden ebenfalls als konform eingestuft. Audit, Deny, Disabled 2.1.0
Azure Cosmos DB-Konten sollten keinen Datenverkehr von allen Azure-Rechenzentren zulassen Die IP-Firewallregel „0.0.0.0.0“, die den gesamten Datenverkehr von allen Azure-Rechenzentren zulässt, soll nicht zugelassen werden. Weitere Informationen finden Sie unter https://aka.ms/cosmosdb-firewall. Audit, Deny, Disabled 1.0.0
Azure Cosmos DB Konten dürfen die maximal zulässige Anzahl von Tagen seit der letzten Neuerstellung des Kontoschlüssels nicht überschreiten. Generieren Sie Ihre Schlüssel in der angegebenen Zeit neu, um ihre Daten besser zu schützen. Audit, Disabled 1.0.0
Azure Cosmos DB-Konten sollten kundenseitig verwaltete Schlüssel zur Verschlüsselung ruhender Daten verwenden. Verwenden Sie kundenseitig verwaltete Schlüssel, um die Verschlüsselung ruhender Daten Ihrer Azure Cosmos DB-Instanzen zu verwalten. Standardmäßig werden die Daten im Ruhezustand mit dienstseitig verwalteten Schlüsseln verschlüsselt. Kundenseitig verwaltete Schlüssel sind jedoch häufig zur Einhaltung gesetzlicher Bestimmungen erforderlich. Mit kundenseitig verwalteten Schlüsseln können die Daten mit einem Azure Key Vault-Schlüssel verschlüsselt werden, der von Ihnen erstellt wird und sich in Ihrem Besitz befindet. Sie verfügen über die volle Kontrolle über und Verantwortung für den Schlüssellebenszyklus, einschließlich Rotation und Verwaltung. Weitere Informationen finden Sie unter https://aka.ms/cosmosdb-cmk. überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung 1.1.0
Für Azure Cosmos DB zulässige Standorte Mit dieser Richtlinie können Sie die Standorte einschränken, die Ihre Organisation beim Bereitstellen von Azure Cosmos DB-Ressourcen angeben kann. Wird zur Erzwingung Ihrer Geokonformitätsanforderungen verwendet. [parameters('policyEffect')] 1.1.0
Schlüsselbasierter Azure Cosmos DB-Schreibzugriff auf Metadaten muss deaktiviert werden Mit dieser Richtlinie können Sie sicherstellen, dass für alle Azure Cosmos DB-Konten der schlüsselbasierte Schreibzugriff auf Metadaten deaktiviert ist. append 1.0.0
Azure Cosmos DB muss den Zugriff über öffentliche Netzwerke deaktivieren Die Deaktivierung des Zugriffs über öffentliche Netzwerke erhöht die Sicherheit, indem sichergestellt wird, dass das CosmosDB-Konto nicht über das öffentliche Internet zugänglich ist. Sie können die Offenlegung des CosmosDB-Kontos einschränken, indem Sie private Endpunkte erstellen. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints#blocking-public-network-access-during-account-creation. Audit, Deny, Disabled 1.0.0
Azure Cosmos DB-Durchsatz muss begrenzt werden Mit dieser Richtlinie können Sie den maximalen Durchsatz einschränken, den Ihre Organisation beim Erstellen von Azure Cosmos DB-Datenbanken und -Containern über den Ressourcenanbieter angeben kann. Die Erstellung von Ressourcen mit Autoskalierung wird blockiert. überprüfen, Überprüfung, verweigern, Verweigerung, deaktivieren, Deaktivierung 1.1.0
Konfigurieren von Cosmos DB-Datenbankkonten zum Deaktivieren der lokalen Authentifizierung Deaktivieren Sie lokale Authentifizierungsmethoden, damit Ihre Cosmos DB-Datenbankkonten ausschließlich Azure Active Directory-Identitäten für die Authentifizierung anfordern. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/cosmos-db/how-to-setup-rbac#disable-local-auth. Modify, Disabled 1.1.0
CosmosDB-Konten zum Deaktivieren des Zugriffs über öffentliche Netzwerke konfigurieren Deaktivieren Sie für Ihre CosmosDB-Ressource den Zugriff über öffentliche Netzwerke, sodass sie nicht über das öffentliche Internet zugänglich ist. Dies kann das Risiko von Datenlecks verringern. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints#blocking-public-network-access-during-account-creation. Modify, Disabled 1.0.1
CosmosDB-Konten für die Verwendung privater DNS-Zonen konfigurieren Verwenden Sie private DNS-Zonen, um die DNS-Auflösung für einen privaten Endpunkt außer Kraft zu setzen. Eine private DNS-Zone wird mit Ihrem virtuellen Netzwerk verknüpft, um ein CosmosDB-Konto aufzulösen. Weitere Informationen finden Sie unter https://aka.ms/privatednszone. DeployIfNotExists, Disabled 2.0.0
CosmosDB-Konten mit privaten Endpunkten konfigurieren Private Endpunkte verbinden Ihr virtuelles Netzwerk ohne eine öffentliche IP-Adresse an Quelle oder Ziel mit Azure-Diensten. Durch das Zuordnen privater Endpunkte zu Ihrem CosmosDB-Konto können Sie das Risiko von Datenlecks verringern. Weitere Informationen zu privaten Verbindungen finden Sie unter https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. DeployIfNotExists, Disabled 1.0.0
Für Cosmos DB-Datenbankkonten sollten lokale Authentifizierungsmethoden deaktiviert sein Das Deaktivieren lokaler Authentifizierungsmethoden verbessert die Sicherheit, da hierdurch sichergestellt wird, dass Cosmos DB-Datenbankkonten ausschließlich Azure Active Directory-Identitäten für die Authentifizierung anfordern. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/cosmos-db/how-to-setup-rbac#disable-local-auth. Audit, Deny, Disabled 1.1.0
CosmosDB-Konten müssen Private Link verwenden Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform stellt über das Azure-Backbonenetzwerk Konnektivität zwischen dem Consumer und den Diensten her. Durch das Zuordnen privater Endpunkte zu Ihrem CosmosDB -Konto wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. Audit, Disabled 1.0.0
Advanced Threat Protection für Cosmos DB-Konten bereitstellen Mit dieser Richtlinie wird Advanced Threat Protection über Cosmos DB-Konten hinweg aktiviert. DeployIfNotExists, Disabled 1.0.0

Benutzerdefinierter Anbieter

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Zuordnungen für einen benutzerdefinierten Anbieter bereitstellen Hiermit wird eine Zuordnungsressource bereitgestellt, die dem angegebenen benutzerdefinierten Anbieter ausgewählte Ressourcentypen zuordnet. Diese Richtlinienbereitstellung unterstützt keine geschachtelten Ressourcentypen. deployIfNotExists 1.0.0

Data Box

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Azure Data Box-Aufträge müssen die Mehrfachverschlüsselung für ruhende Daten auf dem Gerät aktivieren Aktivieren Sie eine zweite Ebene der softwarebasierten Verschlüsselung für ruhende Daten auf dem Gerät. Das Gerät ist bereits über eine AES-256-Verschlüsselung (Advanced Encryption Standard) für ruhende Daten geschützt. Mit dieser Option wird eine zweite Ebene der Datenverschlüsselung hinzugefügt. Audit, Deny, Disabled 1.0.0
Azure Data Box-Aufträge müssen einen kundenseitig verwalteten Schlüssel zum Verschlüsseln des Kennworts für die Geräteentsperrung verwenden Verwenden Sie einen kundenseitig verwalteten Schlüssel, um die Verschlüsselung des Kennworts für die Geräteentsperrung für Azure Data Box zu steuern. Kundenseitig verwaltete Schlüssel bieten zudem Unterstützung beim Verwalten des Zugriffs auf das Kennwort zur Geräteentsperrung durch den Data Box Dienst, um das Gerät vorzubereiten und Daten automatisiert zu kopieren. Die Daten auf dem Gerät selbst sind bereits im Ruhezustand mit einer AES-256-Verschlüsselung (Advanced Encryption Standard) verschlüsselt, und das Kennwort zur Geräteentsperrung wird standardmäßig mit einem von Microsoft verwalteten Schlüssel verschlüsselt. Audit, Deny, Disabled 1.0.0

Data Factory

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
[Vorschau]: Azure Data Factory Pipelines dürfen nur mit zulässigen Domänen kommunizieren Um Daten- und Tokenexfiltration zu verhindern, legen Sie die Domänen fest, mit denen Azure Data Factory kommunizieren darf. Hinweis: Während der öffentlichen Vorschau wird die Konformität für diese Richtlinie nicht gemeldet. Aktivieren Sie außerdem für die Anwendung der Richtlinie auf Data Factory die Funktionalität von Ausgangsregeln im ADF Studio. Weitere Informationen finden Sie unter https://aka.ms/data-exfiltration-policy. Verweigern, deaktiviert 1.0.0-preview
Azure Data Factorys müssen mit einem kundenseitig verwalteten Schlüssel verschlüsselt werden Verwenden Sie kundenseitig verwaltete Schlüssel, um die Verschlüsselung ruhender Daten für Ihre Azure Data Factory-Instanz zu verwalten. Standardmäßig werden Kundendaten mit dienstseitig verwalteten Schlüsseln verschlüsselt. Kundenseitig verwaltete Schlüssel sind jedoch häufig zur Einhaltung gesetzlicher Bestimmungen erforderlich. Mit kundenseitig verwalteten Schlüsseln können die Daten mit einem Azure Key Vault-Schlüssel verschlüsselt werden, der von Ihnen erstellt wird und sich in Ihrem Besitz befindet. Sie verfügen über die volle Kontrolle über und Verantwortung für den Schlüssellebenszyklus, einschließlich Rotation und Verwaltung. Weitere Informationen finden Sie unter https://aka.ms/adf-cmk. Audit, Deny, Disabled 1.0.1
Azure Data Factory Integration Runtime muss über einen Grenzwert für die Anzahl von Kernen verfügen Begrenzen Sie zur Verbesserung Ihres Ressourcen- und Kostenmanagements die Anzahl von Kernen für eine Integration Runtime. Audit, Deny, Disabled 1.0.0
Ressourcentyp des verknüpften Azure Data Factory-Diensts muss in Positivliste enthalten sein Definieren Sie die Positivliste für die Typen des verknüpften Azure Data Factory-Diensts. Die Begrenzung der zulässigen Ressourcentypen ermöglicht die Steuerung der Grenze für die Datenverschiebung. Beispielsweise können Sie einen Bereich so einschränken, dass nur Blobspeicher mit Data Lake Storage Gen1 und Gen2 für die Analyse zulässig ist oder dass nur SQL- und Kusto-Zugriff für Echtzeitabfragen zulässig ist. Audit, Deny, Disabled 1.1.0
Für verknüpfte Azure Data Factory-Dienste muss Key Vault zum Speichern von Geheimnissen verwendet werden Zur Sicherstellung einer sicheren Verwaltung von Geheimnissen (z. B. Verbindungszeichenfolgen) sollten Sie für Benutzer das Bereitstellen von Geheimnissen per Azure Key Vault-Instanz obligatorisch machen, anstatt die Inline-Eingabe in verknüpften Diensten zu nutzen. Audit, Deny, Disabled 1.0.0
Für verknüpfte Azure Data Factory-Dienste muss die Authentifizierung per systemseitig zugewiesener verwalteter Identität genutzt werden, falls dies unterstützt wird Durch die Nutzung von systemseitig zugewiesener verwalteter Identität bei der Kommunikation mit Datenspeichern über verknüpfte Dienste wird die Verwendung von weniger sicheren Anmeldeinformationen vermieden, z. B. Kennwörter oder Verbindungszeichenfolgen. Audit, Deny, Disabled 2.1.0
Für Azure Data Factory muss ein Git-Repository für die Quellcodeverwaltung genutzt werden Konfigurieren Sie nur Ihre Entwicklungs-Data Factory mit Git-Integration. Änderungen an Test und Produktion sollten über CI/CD bereitgestellt werden und keine Git-Integration aufweisen. Wenden Sie diese Richtlinie NICHT auf Ihre Data Factorys für QA/ Tests/ Produktion an. Audit, Deny, Disabled 1.0.1
Azure Data Factory muss Private Link verwenden Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Azure Data Factory wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://docs.microsoft.com/azure/data-factory/data-factory-private-link. AuditIfNotExists, Disabled 1.0.0
Data Factory-Instanzen zum Deaktivieren des Zugriffs über öffentliche Netzwerke konfigurieren Deaktivieren Sie für Ihre Data Factory-Instanz den Zugriff über öffentliche Netzwerke, sodass sie nicht über das öffentliche Internet zugänglich ist. Dies kann das Risiko von Datenlecks verringern. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/data-factory/data-factory-private-link. Modify, Disabled 1.0.0
Private DNS-Zonen für private Endpunkte zur Verbindungsherstellung mit Azure Data Factory konfigurieren Über private DNS-Einträge können private Verbindungen mit privaten Endpunkten hergestellt werden. Private Endpunktverbindungen gewährleisten eine sichere Kommunikation, indem private Konnektivität mit Ihrer Azure Data Factory-Instanz ermöglicht wird, ohne dass öffentliche IP-Adressen an der Quelle oder am Ziel erforderlich sind. Weitere Informationen zu privaten Endpunkten und DNS-Zonen in Azure Data Factory finden Sie unter https://docs.microsoft.com/azure/data-factory/data-factory-private-link. DeployIfNotExists, Disabled 1.0.0
Private Endpunkte für Data Factory-Instanzen konfigurieren Private Endpunkte verbinden Ihr virtuelles Netzwerk ohne eine öffentliche IP-Adresse an Quelle oder Ziel mit Azure-Diensten. Durch das Zuordnen privater Endpunkte zu Ihrer Azure Data Factory-Instanz können Sie das Risiko von Datenlecks verringern. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/data-factory/data-factory-private-link. DeployIfNotExists, Disabled 1.1.0
Für Azure Data Factory muss „Öffentlicher Netzwerkzugriff“ deaktiviert sein Das Deaktivieren der Eigenschaft „Öffentlicher Netzwerkzugriff“ verbessert die Sicherheit, indem sichergestellt wird, dass auf Ihre Azure Data Factory-Instanz nur von einem privaten Endpunkt aus zugegriffen werden kann. Audit, Deny, Disabled 1.0.0
SQL Server Integration Services Integration Runtime-Instanzen in Azure Data Factory müssen in ein virtuelles Netzwerk eingebunden werden Eine Azure Virtual Network-Bereitstellung bietet erweiterte Sicherheit und Isolation für Ihre SSIS Integration Runtime-Instanzen (SQL Server Integration Services) in Azure Data Factory und stellt außerdem Subnetze, Zugriffssteuerungsrichtlinien und andere Features zur weiteren Einschränkung des Zugriffs bereit. Audit, Deny, Disabled 2.3.0

Data Lake

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Verschlüsselung für Data Lake Storage-Konten erzwingen Diese Richtlinie stellt sicher, dass die Verschlüsselung für alle Data Lake Storage-Konten aktiviert ist. deny 1.0.0
In Azure Data Lake Store müssen Ressourcenprotokolle aktiviert sein Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. AuditIfNotExists, Disabled 5.0.0
In Data Lake Analytics müssen Ressourcenprotokolle aktiviert sein Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. AuditIfNotExists, Disabled 5.0.0

Desktop Virtualisierung

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Azure Virtual Desktop-Hostpools müssen den Zugriff über öffentliche Netzwerke deaktivieren Die Deaktivierung des Zugriffs über öffentliche Netzwerke erhöht die Sicherheit und schützt Ihre Daten, indem sichergestellt wird, dass der Zugriff auf den Azure Virtual Desktop-Dienst nicht für das öffentliche Internet verfügbar ist. Weitere Informationen finden Sie unter https://aka.ms/avdprivatelink. Audit, Deny, Disabled 1.0.0
Azure Virtual Desktop-Hostpools dürfen den Zugriff über öffentliche Netzwerke nur für Sitzungshosts deaktivieren Die Deaktivierung des Zugriffs über öffentliche Netzwerke für die Sitzungshosts Ihres Azure Virtual Desktop-Hostpools, aber das Zulassen des öffentlichen Zugriffs für Endbenutzer erhöht die Sicherheit, da die Gefährdung durch das öffentliche Internet begrenzt wird. Weitere Informationen finden Sie unter https://aka.ms/avdprivatelink. Audit, Deny, Disabled 1.0.0
Azure Virtual Desktop-Dienst muss private Verbindung verwenden Wenn Sie Azure Private Link mit Ihren Azure Virtual Desktop-Ressourcen verwenden, können Sie die Sicherheit verbessern und Ihre Daten schützen. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/avdprivatelink. Audit, Disabled 1.0.0
Azure Virtual Desktop-Arbeitsbereiche müssen den Zugriff über öffentliche Netzwerke deaktivieren Die Deaktivierung des Zugriffs über öffentliche Netzwerke für Ihre Azure Virtual Desktop-Arbeitsbereichsressource verhindert, dass der Feed über das öffentliche Internet zugänglich ist. Das Zulassen des Zugriffs ausschließlich über private Netzwerke erhöht die Sicherheit und sorgt für die Sicherheit Ihrer Daten. Weitere Informationen finden Sie unter https://aka.ms/avdprivatelink. Audit, Deny, Disabled 1.0.0
Azure Virtual Desktop-Ressourcen für die Verwendung privater DNS-Zonen konfigurieren Verwenden Sie private DNS-Zonen, um die DNS-Auflösung für einen privaten Endpunkt außer Kraft zu setzen. Eine private DNS-Zone kann mit Ihrem virtuellen Netzwerk verknüpft werden, um Ihre Azure Virtual Desktop Service-Ressource aufzulösen. Weitere Informationen finden Sie unter https://aka.ms/privatednszone. DeployIfNotExists, Disabled 1.0.0
Konfigurieren von Azure Virtual Desktop-Hostpools, um den Zugriff über öffentliche Netzwerke zu deaktivieren Deaktivieren Sie den Zugriff über öffentliche Netzwerke für Sitzungshosts und Endbenutzer für Ihre Azure Virtual Desktop-Hostpoolressource, damit sie nicht über das öffentliche Internet zugänglich ist. Dies erhöht die Sicherheit und schützt Ihre Daten. Weitere Informationen finden Sie unter https://aka.ms/avdprivatelink. Modify, Disabled 1.0.0
Konfigurieren von Azure Virtual Desktop-Hostpools, um den Zugriff über öffentliche Netzwerke nur für Sitzungshosts zu deaktivieren Deaktivieren Sie den Zugriff über öffentliche Netzwerke für Ihre Azure Virtual Desktop-Hostpoolsitzungshosts, aber lassen Sie den öffentlichen Zugriff für Endbenutzer zu. So können Benutzer weiterhin auf den AVD-Dienst zugreifen, während gleichzeitig sichergestellt wird, dass auf den Sitzungshost nur über private Routen zugegriffen werden kann. Weitere Informationen finden Sie unter https://aka.ms/avdprivatelink. Modify, Disabled 1.0.0
Konfigurieren von Azure Virtual Desktop-Hostpools mit privaten Endpunkten Private Endpunkte verbinden Ihr virtuelles Netzwerk ohne eine öffentliche IP-Adresse an Quelle oder Ziel mit Azure-Diensten. Durch das Zuordnen privater Endpunkte zu Ihren Azure Virtual Desktop-Ressourcen können Sie die Sicherheit verbessern und Ihre Daten schützen. Weitere Informationen finden Sie unter https://aka.ms/avdprivatelink. DeployIfNotExists, Disabled 1.0.0
Azure Virtual Desktop Arbeitsbereich-Ressourcen für die Verwendung privater DNS-Zonen konfigurieren Verwenden Sie private DNS-Zonen, um die DNS-Auflösung für einen privaten Endpunkt außer Kraft zu setzen. Eine private DNS-Zone kann mit Ihrem virtuellen Netzwerk verknüpft werden, um Ihre Azure Virtual Desktop Service-Ressource aufzulösen. Weitere Informationen finden Sie unter https://aka.ms/privatednszone. DeployIfNotExists, Disabled 1.0.0
Konfigurieren von Azure Virtual Desktop-Arbeitsbereichen, um den Zugriff über öffentliche Netzwerke zu deaktivieren Deaktivieren Sie den Zugriff über öffentliche Netzwerke für Ihre Azure Virtual Desktop-Arbeitsbereichsressource, damit auf den Feed nicht über das öffentliche Internet zugegriffen werden kann. Dies erhöht die Sicherheit und schützt Ihre Daten. Weitere Informationen finden Sie unter https://aka.ms/avdprivatelink. Modify, Disabled 1.0.0
Konfigurieren von Azure Virtual Desktop-Arbeitsbereichen mit privaten Endpunkten Private Endpunkte verbinden Ihr virtuelles Netzwerk ohne eine öffentliche IP-Adresse an Quelle oder Ziel mit Azure-Diensten. Durch das Zuordnen privater Endpunkte zu Ihren Azure Virtual Desktop-Ressourcen können Sie die Sicherheit verbessern und Ihre Daten schützen. Weitere Informationen finden Sie unter https://aka.ms/avdprivatelink. DeployIfNotExists, Disabled 1.0.0

DevCenter

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
[Vorschau]: Microsoft Dev Box Pools sollten keine Microsoft Hosted Networks verwenden. Verbietet die Verwendung von Microsoft Hosted Networks beim Erstellen von Poolressourcen. Audit, Deny, Disabled 1.0.0-preview

DevOpsInfrastructure

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
[Vorschau]: Von Microsoft verwaltete DevOps-Pools sollten mit einer gültigen Subnetzressource bereitgestellt werden, um mit einem eigenen virtuellen Netzwerk zu konfigurieren. Verbietet das Erstellen von Poolressourcen, wenn keine gültige Subnetzressource bereitgestellt wird. Audit, Deny, Disabled 1.0.0-preview

ElasticSan

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
ElasticSan muss den Zugriff über öffentliche Netzwerke deaktivieren Deaktivieren Sie für Ihre ElasticSan-Instanz den Zugriff über öffentliche Netzwerke, sodass sie nicht über das öffentliche Internet zugänglich ist. Dies kann das Risiko von Datenlecks verringern. Audit, Deny, Disabled 1.0.0
ElasticSan Volume Group sollte kundenseitig verwaltete Schlüssel verwenden, um ruhende Daten zu verschlüsseln Verwenden Sie vom Kunden verwaltete Schlüssel, um die Verschlüsselung im Ruhezustand Ihrer VolumeGroup zu verwalten. Standardmäßig werden Kundendaten mit plattformseitig verwalteten Schlüsseln verschlüsselt, CMKs sind jedoch üblicherweise erforderlich, um gesetzliche Compliancestandards zu erfüllen. Kundenseitig verwaltete Schlüssel ermöglichen es ihnen, die Daten mit einem Azure Key Vault-Schlüssel zu verschlüsseln, der von Ihnen erstellt wurde und Ihnen gehört, mit vollständiger Kontrolle und Verantwortung, einschließlich Rotation und Verwaltung. Audit, Disabled 1.0.0
ElasticSan-Volumegruppe muss private Endpunkte verwenden Mit privaten Endpunkten können Administrator*innen virtuelle Netzwerke ohne eine öffentliche IP-Adresse an Quelle oder Ziel mit Azure-Diensten verbinden. Durch Zuordnen privater Endpunkte zur Volumegruppe können Administrator*innen das Risiko von Datenlecks verringern. Audit, Disabled 1.0.0

Event Grid

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Azure Event Grid-Domänen müssen den Zugriff über öffentliche Netzwerke deaktivieren Die Deaktivierung des Zugriff über öffentliche Netzwerke erhöht die Sicherheit, da die Ressource nicht über das öffentliche Internet zugänglich ist. Sie können die Offenlegung von Ressourcen einschränken, indem Sie stattdessen private Endpunkte erstellen. Weitere Informationen finden Sie unter https://aka.ms/privateendpoints. Audit, Deny, Disabled 1.0.0
Für Azure Event Grid-Domänen müssen lokale Authentifizierungsmethoden deaktiviert sein Durch das Deaktivieren lokaler Authentifizierungsmethoden verbessert sich die Sicherheit, weil hierdurch gewährleistet wird, dass Azure Event Grid-Domänen ausschließlich Azure Active Directory-Identitäten für die Authentifizierung anfordern. Weitere Informationen finden Sie unter https://aka.ms/aeg-disablelocalauth. Audit, Deny, Disabled 1.0.0
Azure Event Grid-Domänen sollten Private Link verwenden. Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Indem Sie private Endpunkte nicht dem gesamten Dienst, sondern nur Ihrer Event Grid-Domäne zuordnen, sind Sie auch vor Risiken aufgrund von Datenlecks geschützt. Weitere Informationen finden Sie unter https://aka.ms/privateendpoints. Audit, Disabled 1.0.2
Azure Event Grid-Namespace MQTT-Broker sollte die private Verbindung verwenden Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch die Zuordnung privater Endpunkte zum Event Grid-Namespace anstelle des gesamten Diensts werden Sie auch vor Datenleckrisiken geschützt. Weitere Informationen finden Sie unter https://aka.ms/aeg-ns-privateendpoints. Audit, Disabled 1.0.0
Azure Event Grid-Namespace-Themenbroker sollte eine private Verbindung verwenden Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch die Zuordnung privater Endpunkte zum Event Grid-Namespace anstelle des gesamten Diensts werden Sie auch vor Datenleckrisiken geschützt. Weitere Informationen finden Sie unter https://aka.ms/aeg-ns-privateendpoints. Audit, Disabled 1.0.0
Azure Event Grid-Namespaces sollten den Zugriff über öffentliche Netzwerke deaktivieren Die Deaktivierung des Zugriff über öffentliche Netzwerke erhöht die Sicherheit, da die Ressource nicht über das öffentliche Internet zugänglich ist. Sie können die Offenlegung von Ressourcen einschränken, indem Sie stattdessen private Endpunkte erstellen. Weitere Informationen finden Sie unter https://aka.ms/aeg-ns-privateendpoints. Audit, Deny, Disabled 1.0.0
Für Azure Event Grid-Partnernamespaces müssen lokale Authentifizierungsmethoden deaktiviert sein Durch das Deaktivieren lokaler Authentifizierungsmethoden verbessert sich die Sicherheit, weil hierdurch gewährleistet wird, dass Azure Event Grid-Partnernamespaces ausschließlich Azure Active Directory-Identitäten für die Authentifizierung anfordern. Weitere Informationen finden Sie unter https://aka.ms/aeg-disablelocalauth. Audit, Deny, Disabled 1.0.0
Azure Event Grid-Themen müssen den Zugriff über öffentliche Netzwerke deaktivieren Die Deaktivierung des Zugriff über öffentliche Netzwerke erhöht die Sicherheit, da die Ressource nicht über das öffentliche Internet zugänglich ist. Sie können die Offenlegung von Ressourcen einschränken, indem Sie stattdessen private Endpunkte erstellen. Weitere Informationen finden Sie unter https://aka.ms/privateendpoints. Audit, Deny, Disabled 1.0.0
Für Azure Event Grid-Themen müssen lokale Authentifizierungsmethoden deaktiviert sein Durch das Deaktivieren lokaler Authentifizierungsmethoden verbessert sich die Sicherheit, weil hierdurch gewährleistet wird, dass Azure Event Grid-Themen ausschließlich Azure Active Directory-Identitäten für die Authentifizierung anfordern. Weitere Informationen finden Sie unter https://aka.ms/aeg-disablelocalauth. Audit, Deny, Disabled 1.0.0
Azure Event Grid-Themen sollten Private Link verwenden. Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Indem Sie private Endpunkte nicht dem gesamten Dienst, sondern nur Ihrem Event Grid-Thema zuordnen, sind Sie auch vor Risiken aufgrund von Datenlecks geschützt. Weitere Informationen finden Sie unter https://aka.ms/privateendpoints. Audit, Disabled 1.0.2
Azure Event Grid-Domänen konfigurieren, um die lokale Authentifizierung zu deaktivieren Deaktivieren Sie lokale Authentifizierungsmethoden, damit Ihre Azure Event Grid-Domänen ausschließlich Azure Active Directory-Identitäten für die Authentifizierung anfordern. Weitere Informationen finden Sie unter https://aka.ms/aeg-disablelocalauth. Modify, Disabled 1.0.0
Konfigurieren des Azure Event Grid-Namespace MQTT-Brokers mit privaten Endpunkten Mit privaten Endpunkten können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne an der Quelle oder am Ziel eine öffentliche IP-Adresse zu verwenden. Indem Sie Ihren Ressourcen private Endpunkte zuordnen, sind sie vor Risiken aufgrund von Datenlecks geschützt. Weitere Informationen finden Sie unter https://aka.ms/aeg-ns-privateendpoints. DeployIfNotExists, Disabled 1.0.0
Konfigurieren von Azure Event Grid-Namespaces mit privaten Endpunkten Mit privaten Endpunkten können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne an der Quelle oder am Ziel eine öffentliche IP-Adresse zu verwenden. Indem Sie Ihren Ressourcen private Endpunkte zuordnen, sind sie vor Risiken aufgrund von Datenlecks geschützt. Weitere Informationen finden Sie unter https://aka.ms/aeg-ns-privateendpoints. DeployIfNotExists, Disabled 1.0.0
Azure Event Grid-Partnernamespaces konfigurieren, um die lokale Authentifizierung zu deaktivieren Deaktivieren Sie lokale Authentifizierungsmethoden, damit Ihre Azure Event Grid-Partnernamespaces ausschließlich Azure Active Directory-Identitäten für die Authentifizierung anfordern. Weitere Informationen finden Sie unter https://aka.ms/aeg-disablelocalauth. Modify, Disabled 1.0.0
Azure Event Grid-Themen konfigurieren, um die lokale Authentifizierung zu deaktivieren Deaktivieren Sie lokale Authentifizierungsmethoden, damit Ihre Azure Event Grid-Themen ausschließlich Azure Active Directory-Identitäten für die Authentifizierung anfordern. Weitere Informationen finden Sie unter https://aka.ms/aeg-disablelocalauth. Modify, Disabled 1.0.0
Bereitstellen: Azure Event Grid-Domänen für die Verwendung privater DNS-Zonen konfigurieren Verwenden Sie private DNS-Zonen, um die DNS-Auflösung für einen privaten Endpunkt außer Kraft zu setzen. Weitere Informationen finden Sie unter https://aka.ms/privatednszone. deployIfNotExists, DeployIfNotExists, Disabled 1.1.0
Bereitstellen: Azure Event Grid-Domänen mit privaten Endpunkten konfigurieren Mit privaten Endpunkten können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne an der Quelle oder am Ziel eine öffentliche IP-Adresse zu verwenden. Indem Sie Ihren Ressourcen private Endpunkte zuordnen, sind sie vor Risiken aufgrund von Datenlecks geschützt. Weitere Informationen finden Sie unter https://aka.ms/privateendpoints. DeployIfNotExists, Disabled 1.0.0
Bereitstellen: Azure Event Grid-Themen für die Verwendung privater DNS-Zonen konfigurieren Verwenden Sie private DNS-Zonen, um die DNS-Auflösung für einen privaten Endpunkt außer Kraft zu setzen. Weitere Informationen finden Sie unter https://aka.ms/privatednszone. deployIfNotExists, DeployIfNotExists, Disabled 1.1.0
Bereitstellen: Azure Event Grid-Themen mit privaten Endpunkten konfigurieren Mit privaten Endpunkten können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne an der Quelle oder am Ziel eine öffentliche IP-Adresse zu verwenden. Indem Sie Ihren Ressourcen private Endpunkte zuordnen, sind sie vor Risiken aufgrund von Datenlecks geschützt. Weitere Informationen finden Sie unter https://aka.ms/privateendpoints. DeployIfNotExists, Disabled 1.0.0
Ändern: Azure Event Grid-Domänen zum Deaktivieren des Zugriffs über öffentliche Netzwerke konfigurieren Deaktivieren Sie den Zugriff über öffentliche Netzwerke für Ihre Azure Event Grid-Ressource, sodass sie nicht über das öffentliche Internet zugänglich ist. Dies trägt zum Schutz vor Risiken aufgrund von Datenlecks bei. Sie können die Offenlegung von Ressourcen einschränken, indem Sie stattdessen private Endpunkte erstellen. Weitere Informationen finden Sie unter https://aka.ms/privateendpoints. Modify, Disabled 1.0.0
Ändern: Azure Event Grid-Themen zum Deaktivieren des Zugriffs über öffentliche Netzwerke konfigurieren Deaktivieren Sie den Zugriff über öffentliche Netzwerke für Ihre Azure Event Grid-Ressource, sodass sie nicht über das öffentliche Internet zugänglich ist. Dies trägt zum Schutz vor Risiken aufgrund von Datenlecks bei. Sie können die Offenlegung von Ressourcen einschränken, indem Sie stattdessen private Endpunkte erstellen. Weitere Informationen finden Sie unter https://aka.ms/privateendpoints. Modify, Disabled 1.0.0

Event Hub

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Alle Autorisierungsregeln außer RootManageSharedAccessKey sollten aus dem Event Hub-Namespace entfernt werden Event Hub-Clients dürfen keine Zugriffsrichtlinie auf Namespace-Ebene verwenden, die Zugriff auf alle Warteschlangen und Themen in einem Namespace bereitstellt. Um dem Sicherheitsmodell der geringsten Rechte zu entsprechen, müssen Sie Zugriffsrichtlinien auf Entitätsebene erstellen, damit nur der jeweiligen Entität Zugriff auf Warteschlangen und Themen gewährt wird. Audit, Deny, Disabled 1.0.1
Für die Event Hub-Instanz müssen Autorisierungsregeln definiert werden Hiermit wird das Vorhandensein von Autorisierungsregeln für Event Hub-Entitäten überwacht, um Zugriff mit den geringsten Rechten zu gewähren. AuditIfNotExists, Disabled 1.0.0
Für Azure Event Hub-Namespaces sollten lokale Authentifizierungsmethoden deaktiviert sein Durch das Deaktivieren lokaler Authentifizierungsmethoden verbessert sich die Sicherheit, weil hierdurch gewährleistet wird, dass Azure Event Hub-Namespaces ausschließlich Microsoft Entra ID-Identitäten für die Authentifizierung erfordern. Weitere Informationen finden Sie unter https://aka.ms/disablelocalauth-eh. Audit, Deny, Disabled 1.0.1
Azure Event Hub-Namespaces zum Deaktivieren lokaler Authentifizierung konfigurieren Deaktivieren Sie lokale Authentifizierungsmethoden, damit Ihre Azure Event Hub-Namespaces ausschließlich Microsoft Entra ID-Identitäten für die Authentifizierung erfordern. Weitere Informationen finden Sie unter https://aka.ms/disablelocalauth-eh. Modify, Disabled 1.0.1
Event Hub-Namespaces für die Verwendung privater DNS-Zonen konfigurieren Verwenden Sie private DNS-Zonen, um die DNS-Auflösung für einen privaten Endpunkt außer Kraft zu setzen. Eine private DNS-Zone kann mit Ihrem virtuellen Netzwerk verknüpft werden, um Event Hub-Namespaces aufzulösen. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/event-hubs/private-link-service. DeployIfNotExists, Disabled 1.0.0
Event Hub-Namespaces mit privaten Endpunkten konfigurieren Private Endpunkte verbinden Ihr virtuelles Netzwerk ohne eine öffentliche IP-Adresse an Quelle oder Ziel mit Azure-Diensten. Durch das Zuordnen privater Endpunkte zu Event Hub-Namespaces können Sie das Risiko von Datenlecks verringern. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/event-hubs/private-link-service. DeployIfNotExists, Disabled 1.0.0
Event Hub-Namespaces sollten den öffentlichen Netzwerkzugriff deaktivieren Bei Azure Event Hub sollte der öffentliche Netzwerkzugriff deaktiviert sein. Die Deaktivierung des Zugriff über öffentliche Netzwerke erhöht die Sicherheit, da die Ressource nicht über das öffentliche Internet zugänglich ist. Sie können die Offenlegung von Ressourcen einschränken, indem Sie stattdessen private Endpunkte erstellen. Weitere Informationen finden Sie unter: https://docs.microsoft.com/azure/event-hubs/private-link-service Audit, Deny, Disabled 1.0.0
Für Event Hub-Namespaces sollte doppelte Verschlüsselung aktiviert sein Durch das Aktivieren der doppelten Verschlüsselung können Sie Ihre Daten schützen, um die Sicherheits- und Konformitätsverpflichtungen Ihrer Organisation zu erfüllen. Wenn die doppelte Verschlüsselung aktiviert ist, werden Daten im Speicherkonto zweimal – einmal auf Dienstebene und einmal auf Infrastrukturebene – mit zwei unterschiedlichen Verschlüsselungsalgorithmen und zwei verschiedenen Schlüsseln verschlüsselt. Audit, Deny, Disabled 1.0.0
Für Event Hub-Namespaces muss ein kundenseitig verwalteter Schlüssel zur Verschlüsselung verwendet werden Azure Event Hubs unterstützt die Option zum Verschlüsseln ruhender Daten mit von Microsoft verwalteten Schlüsseln (Standardeinstellung) oder kundenseitig verwalteten Schlüsseln. Wenn Sie Daten mithilfe von kundenseitig verwalteten Schlüsseln verschlüsseln, können Sie den Zugriff auf die Schlüssel zuweisen, rotieren, deaktivieren und widerrufen, die von Event Hub zum Verschlüsseln von Daten in Ihrem Namespace verwendet werden. Beachten Sie, dass Event Hub nur Verschlüsselung mit kundenseitig verwalteten Schlüsseln für Namespaces in dedizierten Clustern unterstützt. Audit, Disabled 1.0.0
Event Hub-Namespaces müssen Private Link verwenden Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Event Hub-Namespaces wird das Risiko von Datenlecks verringert. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/event-hubs/private-link-service. AuditIfNotExists, Disabled 1.0.0
In Event Hub müssen Ressourcenprotokolle aktiviert sein Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. AuditIfNotExists, Disabled 5.0.0

Azure Fluid Relay

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Fluid Relay sollte kundenseitig verwaltete Schlüssel verwenden, um ruhende Daten zu verschlüsseln Verwenden Sie kundenseitig verwaltete Schlüssel, um die Verschlüsselung ruhender Daten Ihrer Fluid Relay-Server zu verwalten. Standardmäßig werden Kundendaten mit dienstseitig verwalteten Schlüsseln verschlüsselt. Häufig sind aber kundenseitig verwaltete Schlüssel (CMKs) zur Einhaltung gesetzlicher Bestimmungen erforderlich. Kundenseitig verwaltete Schlüssel ermöglichen es ihnen, die Daten mit einem Azure Key Vault-Schlüssel zu verschlüsseln, der von Ihnen erstellt wurde und Ihnen gehört, mit vollständiger Kontrolle und Verantwortung, einschließlich Rotation und Verwaltung. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/azure-fluid-relay/concepts/customer-managed-keys. Audit, Disabled 1.0.0

Allgemein

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Zulässige Speicherorte Mit dieser Richtlinie können Sie die Speicherorte einschränken, die Ihre Organisation beim Bereitstellen von Ressourcen angeben kann. Wird zur Erzwingung Ihrer Geokonformitätsanforderungen verwendet. Schließt Ressourcengruppen, Microsoft.AzureActiveDirectory/b2c-Verzeichnisse und Ressourcen aus, die die Region „global“ verwenden. deny 1.0.0
Zulässige Standorte für Ressourcengruppen Mit dieser Richtlinie können Sie die Standorte einschränken, an denen Ihr Unternehmen Ressourcengruppen erstellen kann. Wird zur Erzwingung Ihrer Geokonformitätsanforderungen verwendet. deny 1.0.0
Zulässige Ressourcentypen Mit dieser Richtlinie können Sie die Ressourcentypen angeben, die Ihre Organisation bereitstellen kann. Diese Richtlinie gilt nur für Ressourcentypen, die „tags“ und „location“ unterstützen. Um alle Ressourcen einzuschränken, duplizieren Sie diese Richtlinie und ändern den Wert für „mode“ in „All“. deny 1.0.0
Übereinstimmung des Standorts von Ressource und Ressourcengruppe überwachen Hiermit wird überwacht, ob der Standort der Ressource mit dem Standort der Ressourcengruppe übereinstimmt. Überwachung 2.0.0
Verwendung benutzerdefinierter RBAC-Rollen überwachen Hiermit werden integrierte Rollen wie z.B. „Benutzer“, „Mitwirkender“ und „Leser“ anstelle benutzerdefinierter RBAC-Rollen überwacht, die fehleranfällig sind. Die Verwendung benutzerdefinierter Rollen wird als Ausnahme betrachtet und erfordert eine strenge Überprüfung und Bedrohungsmodellierung. Audit, Disabled 1.0.1
Abonnements zum Einrichten von Previewfunktionen konfigurieren Diese Richtlinie wertet die Previewfunktionen eines vorhandenen Abonnements aus. Abonnements können korrigiert werden, um bei einer neuen Previewfunktion registriert zu werden. Neue Abonnements werden nicht automatisch registriert. AuditIfNotExists, DeployIfNotExists, Disabled 1.0.1
Das Löschen von Ressourcentypen nicht zulassen Mit dieser Richtlinie können Sie die Ressourcentypen angeben, die Ihre Organisation vor versehentlichem Löschen schützen kann, indem Sie Löschaufrufe mithilfe von Verweigerungsaktionseffekten blockieren. DenyAction, Deaktiviert 1.0.1
M365-Ressourcen nicht zulassen Blockieren der Erstellung von M365-Ressourcen. Audit, Deny, Disabled 1.0.0
MCPP-Ressourcen nicht zulassen Blockieren der Erstellung von MCPP-Ressourcen. Audit, Deny, Disabled 1.0.0
Ausschließen von Ressourcen für Nutzungskosten Mit dieser Richtlinie können Sie Ressourcen für Nutzungskosten ausschließen. Zu den Nutzungskosten gehören Dinge wie gebührenpflichtiger Speicher und Azure-Ressourcen, die nutzungsabhängig abgerechnet werden. Audit, Deny, Disabled 1.0.0
Nicht zulässige Ressourcentypen Schränken Sie ein, welche Ressourcentypen in Ihrer Umgebung bereitgestellt werden können. Durch das Einschränken von Ressourcentypen können Sie die Komplexität und Angriffsfläche Ihrer Umgebung verringern und gleichzeitig die Kosten kontrollieren. Konformitätsergebnisse werden nur für nicht konforme Ressourcen angezeigt. Audit, Deny, Disabled 2.0.0

Gastkonfiguration

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
[Vorschau]: Hinzufügen einer benutzerseitig zugewiesenen verwalteten Identität zum Aktivieren von Gastkonfigurationszuweisungen auf virtuellen Computern Mit dieser Richtlinie wird eine benutzerseitig zugewiesene verwaltete Identität für in Azure gehostete VMs hinzugefügt, die von der Gastkonfiguration unterstützt werden. Eine benutzerseitig zugewiesene verwaltete Identität ist eine Voraussetzung für alle Gastkonfigurationszuweisungen und muss auf den Computern bereitgestellt werden, bevor eine Richtliniendefinition der Gastkonfiguration verwendet werden kann. Weitere Informationen zur Gastkonfiguration finden Sie unter https://aka.ms/gcpol. AuditIfNotExists, DeployIfNotExists, Disabled 2.1.0-preview
[Vorschau]: Überwachen der SSH-Statuskontrolle auf Linux-Computern Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer sind nicht kompatibel, wenn der SSH-Server nicht sicher auf den Linux-Computern konfiguriert ist. AuditIfNotExists, Disabled 1.0.0-preview
[Vorschau]: Konfigurieren der SSH-Statuskontrolle auf Linux-Computern Diese Richtlinie erstellt eine Gastkonfigurationszuweisung, um die SSH-Statuskontrolle auf Linux-Computern festzulegen. DeployIfNotExists, Disabled 1.0.0-preview
[Vorschau]: Konfigurieren von Windows Server, um lokale Benutzer zu deaktivieren. Erstellt eine Gastkonfigurationszuweisung, um die Deaktivierung lokaler Benutzer unter Windows Server zu konfigurieren. Dadurch wird sichergestellt, dass auf Windows Server nur über ein AAD-Konto (Azure Active Directory) oder durch explizit durch diese Richtlinie zugelassene Benutzer zugegriffen werden kann, um den allgemeinen Sicherheitsstatus zu verbessern. DeployIfNotExists, Disabled 1.2.0-preview
[Vorschau]: Erweiterte Sicherheitsupdates sollten auf Windows Server 2012 Arc-Computern installiert werden. Windows Server 2012 Arc-Computer sollten alle von Microsoft veröffentlichten erweiterten Sicherheitsupdates installiert haben. Diese Richtlinie erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Einzelheiten dazu finden Sie unter https://aka.ms/gcpol. AuditIfNotExists, Disabled 1.0.0-preview
[Preview]: Linux-Computer müssen die Anforderungen der Azure-Sicherheitsbaseline für Docker-Hosts erfüllen Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Der Computer ist nicht richtig für eine der Empfehlungen in der Azure-Sicherheitsbaseline für Docker-Hosts konfiguriert. AuditIfNotExists, Disabled 1.2.0-preview
[Vorschau]: Linux-Computer müssen die STIG-Complianceanforderung für Azure Compute erfüllen Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer sind nicht konform, wenn der Computer für eine der Empfehlungen in den STIG-Konformitätsanforderungen für Azure Compute nicht richtig konfiguriert ist. DISA (Defense Information Systems Agency) bietet technische Leitfäden, STIG (Security Technical Implementation Guide), zur Sicherung des Compute-Betriebssystems gemäß den Anforderungen des US-Verteidigungsministeriums (Department of Defense, DoD). Weitere Details finden Sie unter https://public.cyber.mil/stigs/. AuditIfNotExists, Disabled 1.2.0-preview
[Vorschau]: Auf Linux-Computern mit installierter OMI muss mindestens Version 1.6.8-1 installiert sein Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Aufgrund eines Sicherheitsfixes, der in Version 1.6.8-1 des OMI-Pakets für Linux enthalten ist, sollten alle Computer auf das neueste Release aktualisiert werden. Upgraden Sie Apps/Pakete, die OMI verwenden, um das Problem zu beheben. Weitere Informationen finden Sie unter https://aka.ms/omiguidance. AuditIfNotExists, Disabled 1.2.0-preview
[Vorschau]: Nexus Compute Machines sollten die Sicherheitsbasis einhalten Verwendet den Azure Policy-Gastkonfigurations-Agent für die Überwachung. Diese Richtlinie stellt sicher, dass Computer die Nexus Compute-Sicherheitsbasis einhalten, die verschiedene Empfehlungen umfasst, um Computer gegen einer Reihe an Sicherheitsrisiken und unsicheren Konfigurationen (nur Linux) zu schützen. AuditIfNotExists, Disabled 1.1.0-preview
[Vorschau]: Windows-Computer müssen die STIG-Konformitätsanforderungen für Azure Compute erfüllen Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer sind nicht konform, wenn der Computer für eine der Empfehlungen in den STIG-Konformitätsanforderungen nicht richtig konfiguriert ist. DISA (Defense Information Systems Agency) bietet technische Leitfäden, STIG (Security Technical Implementation Guide), zur Sicherung des Compute-Betriebssystems gemäß den Anforderungen des US-Verteidigungsministeriums (Department of Defense, DoD). Weitere Details finden Sie unter https://public.cyber.mil/stigs/. AuditIfNotExists, Disabled 1.0.0-preview
Systemseitig zugewiesene verwaltete Identität hinzufügen, um Gastkonfigurationszuweisungen auf VMs ohne Identität zu aktivieren Mit dieser Richtlinie wird eine systemseitig zugewiesene verwaltete Identität für in Azure gehostete VMs hinzugefügt, die durch die Gastkonfiguration unterstützt werden, aber keine verwaltete Identität aufweisen. Eine systemseitig zugewiesene verwaltete Identität ist eine Voraussetzung für alle Gastkonfigurationszuweisungen und muss auf den Computern bereitgestellt werden, bevor eine Richtliniendefinition der Gastkonfiguration verwendet werden kann. Weitere Informationen zur Gastkonfiguration finden Sie unter https://aka.ms/gcpol. modify 4.1.0
Systemseitig zugewiesene verwaltete Identität hinzufügen, um Gastkonfigurationszuweisungen auf VMs mit einer benutzerseitig zugewiesenen Identität zu aktivieren Mit dieser Richtlinie wird eine systemseitig zugewiesene verwaltete Identität für in Azure gehostete VMs hinzugefügt, die durch die Gastkonfiguration unterstützt werden und mindestens eine benutzerseitig zugewiesene verwaltete Identität aufweisen, aber keine systemseitig zugewiesene verwaltete Identität. Eine systemseitig zugewiesene verwaltete Identität ist eine Voraussetzung für alle Gastkonfigurationszuweisungen und muss auf den Computern bereitgestellt werden, bevor eine Richtliniendefinition der Gastkonfiguration verwendet werden kann. Weitere Informationen zur Gastkonfiguration finden Sie unter https://aka.ms/gcpol. modify 4.1.0
Linux-Computer überwachen, die Remoteverbindungen über Konten ohne Kennwörter zulassen Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn es sich um Linux-Computer handelt, die Remoteverbindungen über Konten ohne Kennwörter zulassen. AuditIfNotExists, Disabled 3.1.0
Linux-Computer überwachen, bei denen die passwd-Dateiberechtigungen nicht auf 0644 festgelegt sind Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn es sich um Linux-Computer handelt, bei denen die passwd-Dateiberechtigungen nicht auf 0644 festgelegt sind. AuditIfNotExists, Disabled 3.1.0
Linux-Computer überwachen, auf denen die angegebenen Anwendungen nicht installiert sind Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn die Chef InSpec-Ressource angibt, dass mindestens eins der durch den Parameter angegebenen Pakete nicht installiert ist. AuditIfNotExists, Disabled 4.2.0
Linux-Computer überwachen, die Konten ohne Kennwörter verwenden Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn es sich um Linux-Computer handelt, die über Konten ohne Kennwörter verfügen. AuditIfNotExists, Disabled 3.1.0
Linux-Computer überwachen, auf denen die angegebenen Anwendungen installiert sind Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn die Chef InSpec-Ressource angibt, dass mindestens eins der durch den Parameter angegebenen Pakete installiert ist. AuditIfNotExists, Disabled 4.2.0
Windows-Computer überwachen, auf denen angegebene Mitglieder in der Administratorengruppe fehlen Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn mindestens eins der im Richtlinienparameter angegebenen Mitglieder nicht in der lokalen Administratorgruppe enthalten ist. auditIfNotExists 2.0.0
Netzwerkkonnektivität von Windows-Computern überwachen Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn ein Netzwerkverbindungsstatus für eine IP-Adresse oder einen TCP-Port nicht dem Richtlinienparameter entspricht. auditIfNotExists 2.0.0
Windows-Computer mit nicht konformer DSC-Konfiguration überwachen Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn durch den Windows PowerShell-Befehl „Get-DSCConfigurationStatus“ zurückgegeben wird, dass die DSC-Konfiguration für den Computer nicht konform ist. auditIfNotExists 3.0.0
Windows-Computer überwachen, auf denen der Log Analytics-Agent nicht wie erwartet verbunden ist Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn der Agent nicht installiert ist, oder wenn er installiert ist, das COM-Objekt „AgentConfigManager.MgmtSvcCfg“ jedoch zurückgibt, dass er nicht bei dem Arbeitsbereich registriert ist, der der im Richtlinienparameter angegebenen ID entspricht. auditIfNotExists 2.0.0
Windows-Computer überwachen, auf denen die angegebenen Dienste nicht installiert sind und ausgeführt werden Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn das Ergebnis des Windows PowerShell-Befehls „Get-Service“ nicht den Dienstnamen mit entsprechendem Status enthält (gemäß Angabe durch den Richtlinienparameter). auditIfNotExists 3.0.0
Windows-Computer ohne aktivierte serielle Windows-Konsole überwachen Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn auf dem Computer die Software der seriellen Konsole nicht installiert ist oder wenn die EMS-Portnummer oder die Baudrate nicht mit den Werten aus den Richtlinienparametern konfiguriert ist. auditIfNotExists 3.0.0
Windows-Computer überwachen, die die Wiederverwendung der Kennwörter nach der angegebenen Anzahl eindeutiger Kennwörter zulassen Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer sind nicht konform, wenn Windows-Computer, die die Wiederverwendung der Kennwörter nach der angegebenen Anzahl eindeutiger Kennwörter zulassen. Der Standardwert für eindeutige Kennwörter ist 24. AuditIfNotExists, Disabled 2.1.0
Windows-Computer überwachen, die nicht in die angegebene Domäne eingebunden sind Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn der Wert der Eigenschaft „Domain“ in der WMI-Klasse „win32_computersystem“ nicht dem Wert im Richtlinienparameter entspricht. auditIfNotExists 2.0.0
Windows-Computer überwachen, die nicht auf die angegebene Zeitzone festgelegt sind Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn der Wert der Eigenschaft „StandardName“ in der WMI-Klasse „Win32_TimeZone“ nicht der für den Richtlinienparameter ausgewählten Zeitzone entspricht. auditIfNotExists 3.0.0
Windows-Computer überwachen, auf denen Zertifikate innerhalb der angegebenen Anzahl von Tagen ablaufen Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn das Ablaufdatum von Zertifikaten im angegebenen Speicher außerhalb der als Parameter angegeben Anzahl von Tagen liegt. Die Richtlinie bietet auch die Möglichkeit, nur bestimmte Zertifikate zu überprüfen oder bestimmte Zertifikate auszuschließen, und Sie können angeben, ob abgelaufene Zertifikate gemeldet werden sollen. auditIfNotExists 2.0.0
Windows-Computer überwachen, die nicht die angegebenen Zertifikate im vertrauenswürdigen Stamm enthalten Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn mindestens eines der durch den Richtlinienparameter angegebenen Zertifikate nicht im vertrauenswürdigen Stammzertifikatspeicher des Computers (Cert:\LocalMachine\Root) enthalten ist. auditIfNotExists 3.0.0
Windows-Computer überwachen, für die nicht das maximale Kennwortalter auf die angegebene Anzahl von Tagen festgelegt ist Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer sind nicht konform, wenn Windows-Computer, auf denen das maximale Kennwortalter nicht auf die angegebene Anzahl von Tagen festgelegt ist. Der Standardwert für das maximale Kennwortalter beträgt 70 Tage. AuditIfNotExists, Disabled 2.1.0
Windows-Computer überwachen, für die nicht das minimale Kennwortalter auf die angegebene Anzahl von Tagen festgelegt ist Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer sind nicht konform, wenn Windows-Computer, auf denen das Mindestkennwortalter nicht auf die angegebene Anzahl von Tagen festgelegt ist. Der Standardwert für das Mindestalter des Kennworts beträgt 1 Tag. AuditIfNotExists, Disabled 2.1.0
Windows-Computer überwachen, auf denen nicht die Einstellung für die Kennwortkomplexität aktiviert ist Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn es sich um Windows-Computer handelt, auf denen nicht die Einstellung für die Kennwortkomplexität aktiviert ist. AuditIfNotExists, Disabled 2.0.0
Windows-VMs ohne die angegebene Windows PowerShell-Ausführungsrichtlinie überwachen Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn der Windows PowerShell-Befehl „Get-ExecutionPolicy“ einen anderen Wert zurückgibt als denjenigen, der im Richtlinienparameter angegeben wurde. AuditIfNotExists, Disabled 3.0.0
Windows-VMs ohne Installation der angegebenen Windows PowerShell-Module überwachen Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn ein Modul an einem durch die Umgebungsvariable „PSModulePath“ angegebenen Speicherort nicht verfügbar ist. AuditIfNotExists, Disabled 3.0.0
Windows-Computer überwachen, bei denen keine Mindestkennwortlänge auf eine bestimmte Anzahl von Zeichen festgelegt ist Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn es sich um Windows-Computer handelt, für die keine Mindestkennwortlänge festgelegt ist. Der Standardwert für die Mindestkennwortlänge beträgt 14 Zeichen AuditIfNotExists, Disabled 2.1.0
Windows-Computer überwachen, die Kennwörter nicht mit umkehrbarer Verschlüsselung speichern Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn es sich um Windows-Computer handelt, die Kennwörter nicht mit umkehrbarer Verschlüsselung speichern. AuditIfNotExists, Disabled 2.0.0
Windows-Computer überwachen, auf denen die angegebenen Anwendungen nicht installiert sind Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn der Anwendungsname an keinem der folgenden Registrierungspfade gefunden wird: „HKLM:SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall“, „HKLM:SOFTWARE\Wow6432node\Microsoft\Windows\CurrentVersion\Uninstall“, „HKCU:Software\Microsoft\Windows\CurrentVersion\Uninstall“. auditIfNotExists 2.0.0
Windows-Computer überwachen, die zusätzliche Konten in der Administratorgruppe enthalten Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn die lokale Administratorgruppe Mitglieder enthält, die im Richtlinienparameter nicht angegeben sind. auditIfNotExists 2.0.0
Windows-Computer überwachen, die nicht innerhalb der angegebenen Anzahl von Tagen neu gestartet wurden Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn die WMI-Eigenschaft „LastBootUpTime“ in der Klasse „Win32_Operatingsystem“ außerhalb des durch den Richtlinienparameter angegebenen Bereichs von Tagen liegt. auditIfNotExists 2.0.0
Windows-Computer überwachen, auf denen die angegebenen Anwendungen installiert sind Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn der Anwendungsname an einem der folgenden Registrierungspfade gefunden wird: „HKLM:SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall“, „HKLM:SOFTWARE\Wow6432node\Microsoft\Windows\CurrentVersion\Uninstall“, „HKCU:Software\Microsoft\Windows\CurrentVersion\Uninstall“. auditIfNotExists 2.0.0
Windows-Computer überwachen, auf denen die angegebenen Mitglieder in der Administratorengruppe enthalten sind Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn die lokale Administratorgruppe mindestens eins der Mitglieder enthält, die im Richtlinienparameter angegeben sind. auditIfNotExists 2.0.0
Windows-VMs mit ausstehendem Neustart überwachen Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn aus einem der folgenden Gründe ein Neustart des Computers aussteht: komponentenbasierte Wartung, Windows-Update, ausstehende Dateiumbenennung, ausstehende Computerumbenennung, ausstehender Neustart durch den Konfigurations-Manager. Jede Erkennung verfügt über einen eigenen Registrierungspfad. auditIfNotExists 2.0.0
Für die Authentifizierung bei Linux-Computern muss ein SSH-Schlüssel erforderlich sein SSH stellt zwar bereits eine verschlüsselte Verbindung bereit, bei Verwendung von Kennwörtern für SSH ist der virtuelle Computer jedoch weiterhin anfällig für Brute-Force-Angriffe. Die sicherste Option für die Authentifizierung bei einem virtuellen Azure-Computer unter Linux über SSH besteht in der Verwendung eines Schlüsselpaars aus öffentlichem und privatem Schlüssel (SSH-Schlüssel). Weitere Informationen finden Sie hier: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. AuditIfNotExists, Disabled 3.2.0
Konfigurieren eines Linux-Servers zum Deaktivieren lokaler Benutzer Erstellt eine Gastkonfigurationszuweisung, um die Deaktivierung lokaler Benutzer auf einem Linux-Server zu konfigurieren. Dadurch wird sichergestellt, dass auf Linux-Server nur über ein AAD-Konto (Azure Active Directory) oder durch explizit durch diese Richtlinie zugelassene Benutzer zugegriffen werden kann, um den allgemeinen Sicherheitsstatus zu verbessern. DeployIfNotExists, Disabled 1.3.0-preview
Konfigurieren sicherer Kommunikationsprotokolle (TLS 1.1 oder TLS 1.2) auf Windows-Computern Erstellt eine Gastkonfigurationszuweisung zum Konfigurieren der angegebenen sicheren Protokollversion (TLS 1.1 oder TLS 1.2) auf einem Windows-Computer. DeployIfNotExists, Disabled 1.0.1
Konfigurieren Sie die Zeitzone auf Windows-Computern. Diese Richtlinie erstellt eine Gastkonfigurationszuweisung, um die angegebene Zeitzone auf virtuellen Windows-Computern festzulegen. deployIfNotExists 2.1.0
Erweiterung für die Linux-Gastkonfiguration bereitstellen, um Gastkonfigurationszuweisungen für Linux-VMs zu aktivieren Mit dieser Richtlinie wird die Erweiterung für die Linux-Gastkonfiguration für in Azure gehostete Linux-VMs bereitgestellt, die durch die Gastkonfiguration unterstützt werden. Die Erweiterung für die Linux-Gastkonfiguration ist eine Voraussetzung für alle Linux-Gastkonfigurationszuweisungen und muss auf den Computern bereitgestellt werden, bevor eine Richtliniendefinition der Linux-Gastkonfiguration verwendet werden kann. Weitere Informationen zur Gastkonfiguration finden Sie unter https://aka.ms/gcpol. deployIfNotExists 3.1.0
Erweiterung für die Windows-Gastkonfiguration bereitstellen, um Gastkonfigurationszuweisungen für Windows-VMs zu aktivieren Mit dieser Richtlinie wird die Erweiterung für die Windows-Gastkonfiguration für in Azure gehostete Windows-VMs bereitgestellt, die durch die Gastkonfiguration unterstützt werden. Die Erweiterung für die Windows-Gastkonfiguration ist eine Voraussetzung für alle Windows-Gastkonfigurationszuweisungen und muss auf den Computern bereitgestellt werden, bevor eine Richtliniendefinition der Windows-Gastkonfiguration verwendet werden kann. Weitere Informationen zur Gastkonfiguration finden Sie unter https://aka.ms/gcpol. deployIfNotExists 1.2.0
Auf Linux-Computern muss der Log Analytics-Agent auf Azure Arc installiert sein Computer werden als nicht konform eingestuft, wenn der Log Analytics-Agent nicht auf einem Linux-Server mit Azure Arc-Unterstützung installiert ist. AuditIfNotExists, Disabled 1.1.0
Linux-Computer müssen die Anforderungen der Azure Compute-Sicherheitsbaseline erfüllen. Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer sind nicht konform, wenn der Computer für eine der Empfehlungen in der Azure Compute-Sicherheitsbaseline nicht richtig konfiguriert ist. AuditIfNotExists, Disabled 2.2.0
Linux-Computer sollten nur lokale Konten enthalten, die zulässig sind. Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Die Verwaltung von Benutzerkonten mit Azure Active Directory ist eine bewährte Methode für die Verwaltung von Identitäten. Das Reduzieren lokaler Computerkonten trägt dazu bei, die Verbreitung von Identitäten zu verhindern, die außerhalb eines zentralen Systems verwaltet werden. Computer sind nicht konform, wenn lokale Benutzerkonten vorhanden sind, die aktiviert und nicht im Richtlinienparameter aufgeführt sind. AuditIfNotExists, Disabled 2.2.0
Virtuelle Linux-Computer sollten Azure Disk Encryption oder EncryptionAtHost aktivieren. Obwohl die Datenträger für das Betriebssystem und für die Daten eines virtuellen Computers standardmäßig im Ruhezustand mithilfe von plattformseitig verwalteten Schlüsseln verschlüsselt werden; Ressourcendatenträger (temporäre Datenträger), Datencaches und Daten, die zwischen Compute- und Speicherressourcen übertragen werden, werden nicht verschlüsselt. Verwenden Sie Azure Disk Encryption oder EncryptionAtHost, um Abhilfe zu schaffen. Besuchen Sie https://aka.ms/diskencryptioncomparison, um die Verschlüsselungsangebote zu vergleichen. Für diese Richtlinie müssen zwei erforderliche Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. AuditIfNotExists, Disabled 1.2.1
Lokale Authentifizierungsmethoden sollten auf Linux-Servern deaktiviert werden Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer sind nicht konform, wenn lokale Authentifizierungsmethoden auf Linux-Servern nicht deaktiviert sind. Dadurch wird validiert, dass auf Linux-Server nur über ein AAD-Konto (Azure Active Directory) oder durch explizit durch diese Richtlinie zugelassene Benutzer zugegriffen werden kann, um den allgemeinen Sicherheitsstatus zu verbessern. AuditIfNotExists, Disabled 1.2.0-preview
Lokale Authentifizierungsmethoden sollten auf Windows-Servern deaktiviert werden Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer sind nicht konform, wenn lokale Authentifizierungsmethoden auf Windows-Servern nicht deaktiviert sind. Dadurch wird validiert, dass auf Windows-Server nur über ein AAD-Konto (Azure Active Directory) oder durch explizit durch diese Richtlinie zugelassene Benutzer zugegriffen werden kann, um den allgemeinen Sicherheitsstatus zu verbessern. AuditIfNotExists, Disabled 1.0.0-preview
Private Endpunkte für Gastkonfigurationszuweisungen sollten aktiviert sein Private Endpunktverbindungen erzwingen eine sichere Kommunikation, indem eine private Verbindung mit der Gastkonfiguration für VMs aktiviert wird. VMs sind nur dann konform, wenn sie über das Tag „EnablePrivateNetworkGC“ verfügen. Dieses Tag erzwingt die sichere Kommunikation über eine private Verbindung mit der Gastkonfiguration für VMs. Die private Verbindung schränkt den Zugriff auf Datenverkehr ein, der nur aus bekannten Netzwerken stammt, und verhindert den Zugriff von allen anderen IP-Adressen, einschließlich von Adressen innerhalb von Azure. Audit, Deny, Disabled 1.1.0
Windows Defender Exploit Guard muss auf Ihren Computern aktiviert sein Von Windows Defender Exploit Guard wird der Gastkonfigurations-Agent von Azure Policy verwendet. Exploit Guard verfügt über vier Komponenten für die Absicherung von Geräten gegen viele verschiedene Angriffsvektoren und Blockierungsverhalten, mit denen bei Angriffen mit Schadsoftware häufig zu rechnen ist. Darüber hinaus ermöglichen diese Komponenten es Unternehmen, zwischen Sicherheitsrisiken und Produktivitätsanforderungen abzuwägen (nur Windows). AuditIfNotExists, Disabled 2.0.0
Windows-Computer müssen zur Verwendung sicherer Kommunikationsprotokolle konfiguriert sein Um den Schutz von Informationen zu gewährleisten, die über das Internet kommuniziert werden, sollten Ihre Maschinen die neueste Version des Industriestandard-Verschlüsselungsprotokolls „TLS“ (Transport Layer Security) verwenden. TLS sichert die Kommunikation über ein Netzwerk, indem eine Verbindung zwischen Computern verschlüsselt wird. AuditIfNotExists, Disabled 4.1.1
Auf Windows-Computern muss Windows Defender so konfiguriert werden, dass Schutzsignaturen innerhalb eines Tages aktualisiert werden. Um einen angemessenen Schutz vor neu veröffentlichter Schadsoftware bereitzustellen, müssen Windows Defender-Schutzsignaturen regelmäßig aktualisiert werden, um neu veröffentlichte Schadsoftware zu berücksichtigen. Diese Richtlinie wird nicht auf Server mit Arc-Verbindung angewendet und erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Weitere Informationen zur Gastkonfiguration finden Sie unter https://aka.ms/gcpol. AuditIfNotExists, Disabled 1.0.1
Windows-Computer müssen Windows Defender-Echtzeitschutz aktivieren. Windows-Computer müssen den Echtzeitschutz in Windows Defender aktivieren, um ausreichenden Schutz vor neu veröffentlichter Schadsoftware zu bieten. Diese Richtlinie gilt nicht für Server mit Arc-Verbindung und erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Weitere Informationen zur Gastkonfiguration finden Sie unter https://aka.ms/gcpol. AuditIfNotExists, Disabled 1.0.1
Auf Windows-Computern muss der Log Analytics-Agent auf Azure Arc installiert sein Computer werden als nicht konform eingestuft, wenn der Log Analytics-Agent nicht auf einem Windows-Server mit Azure Arc-Unterstützung installiert ist. AuditIfNotExists, Disabled 2.0.0
Windows-Computer müssen die Anforderungen für „Administrative Vorlagen: Systemsteuerung“ erfüllen Windows-Computer müssen die angegebenen Gruppenrichtlinieneinstellungen in der Kategorie „Administrative Vorlagen: Systemsteuerung“ für die Eingabepersonalisierung und das Verhindern der Aktivierung von Sperrbildschirmen aufweisen. Diese Richtlinie erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
Windows-Computer müssen die Anforderungen für „Administrative Vorlagen: MSS (Legacy)“ erfüllen Windows-Computer müssen die angegebenen Gruppenrichtlinieneinstellungen in der Kategorie „Administrative Vorlagen: MSS (Legacy)“ für automatische Anmeldung, Bildschirmschoner, Netzwerkverhalten, sichere DLLs und Ereignisprotokoll aufweisen. Diese Richtlinie erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
Windows-Computer müssen die Anforderungen für „Administrative Vorlagen: Netzwerk“ erfüllen Windows-Computer müssen die angegebenen Gruppenrichtlinieneinstellungen in der Kategorie „Administrative Vorlagen: Netzwerk“ für Gastanmeldungen, gleichzeitige Verbindungen, Netzwerkbrücken, ICS und Multicastnamensauflösung aufweisen. Diese Richtlinie erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
Windows-Computer müssen die Anforderungen für „Administrative Vorlagen: System“ erfüllen Windows-Computer müssen die angegebenen Gruppenrichtlinieneinstellungen in der Kategorie „Administrative Vorlagen: System“ für Einstellungen zur Steuerung von Verwaltungsfunktionalität und Remoteunterstützung aufweisen. Diese Richtlinie erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
Windows-Computer müssen die Anforderungen für „Sicherheitsoptionen: Konten“ erfüllen Windows-Computer müssen die angegebenen Gruppenrichtlinieneinstellungen in der Kategorie „Sicherheitsoptionen: Konten“ für die Einschränkung der Verwendung lokaler Konten mit leeren Kennwörtern und den Gastkontostatus aufweisen. Diese Richtlinie erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
Windows-Computer müssen die Anforderungen für „Sicherheitsoptionen: Überwachen“ erfüllen Windows-Computer müssen über die angegebenen Gruppenrichtlinieneinstellungen in der Kategorie „Sicherheitsoptionen: Überwachen“ zum Erzwingen der Unterkategorie der Überwachungsrichtlinie und zum Herunterfahren verfügen, wenn Sicherheitsüberwachungen nicht protokolliert werden können. Diese Richtlinie erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
Windows-Computer müssen die Anforderungen für „Sicherheitsoptionen: Geräte“ erfüllen Windows-Computer müssen die angegebenen Gruppenrichtlinieneinstellungen in der Kategorie „Sicherheitsoptionen: Geräte“ für das Abdocken ohne Anmeldung, für die Installation von Druckertreibern und das Formatieren/Auswerfen von Medien aufweisen. Diese Richtlinie erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
Windows-Computer müssen die Anforderungen für „Sicherheitsoptionen: Interaktive Anmeldung“ erfüllen Windows-Computer müssen die angegebenen Gruppenrichtlinieneinstellungen in der Kategorie „Sicherheitsoptionen: Interaktive Anmeldung“ zur Anzeige des Namens des letzten Benutzers und zum Anfordern von STRG+ALT+ENT aufweisen. Diese Richtlinie erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
Windows-Computer müssen die Anforderungen für „Sicherheitsoptionen: Microsoft-Netzwerk (Client)“ erfüllen Windows-Computer müssen die angegebenen Gruppenrichtlinieneinstellungen in der Kategorie „Sicherheitsoptionen: Microsoft-Netzwerk (Client)“ für das Microsoft-Netzwerk (Client/Server) und SMB v1 aufweisen. Diese Richtlinie erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
Windows-Computer müssen die Anforderungen für „Sicherheitsoptionen: Microsoft-Netzwerk (Server)“ erfüllen Windows-Computer müssen die angegebenen Gruppenrichtlinieneinstellungen in der Kategorie „Sicherheitsoptionen: Microsoft-Netzwerk (Server)“ zum Deaktivieren des SMB v1-Servers aufweisen. Diese Richtlinie erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
Windows-Computer müssen die Anforderungen für „Sicherheitsoptionen: Netzwerkzugriff“ erfüllen Windows-Computer müssen die angegebenen Gruppenrichtlinieneinstellungen in der Kategorie „Sicherheitsoptionen: Netzwerkzugriff“ für anonyme Benutzer, lokale Konten und den Remotezugriff auf die Registrierung aufweisen. Diese Richtlinie erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
Windows-Computer müssen die Anforderungen für „Sicherheitsoptionen: Netzwerksicherheit“ erfüllen Windows-Computer müssen die angegebenen Gruppenrichtlinieneinstellungen in der Kategorie „Sicherheitsoptionen: Netzwerksicherheit“ für lokales Systemverhalten, PKU2U, LAN Manager, LDAP-Client und NTLM-SSP aufweisen. Diese Richtlinie erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
Windows-Computer müssen die Anforderungen für „Sicherheitsoptionen: Wiederherstellungskonsole“ erfüllen Windows-Computer müssen die angegebenen Gruppenrichtlinieneinstellungen in der Kategorie „Sicherheitsoptionen: Wiederherstellungskonsole“ für das Zulassen von Diskettenkopiervorgängen und den Zugriff auf alle Laufwerke und Ordner aufweisen. Diese Richtlinie erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
Windows-Computer müssen die Anforderungen für „Sicherheitsoptionen: Herunterfahren“ erfüllen Windows-Computer müssen die angegebenen Gruppenrichtlinieneinstellungen in der Kategorie „Sicherheitsoptionen: Herunterfahren“ zum Zulassen des Herunterfahrens ohne Anmeldung und zum Löschen der Auslagerungsdatei des virtuellen Arbeitsspeichers aufweisen. Diese Richtlinie erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
Windows-Computer müssen die Anforderungen für „Sicherheitsoptionen: Systemobjekte“ erfüllen Windows-Computer müssen die angegebenen Gruppenrichtlinieneinstellungen in der Kategorie „Sicherheitsoptionen: Systemobjekte“ zur Groß-/Kleinschreibung für Nicht-Windows-Subsysteme und den Berechtigungen interner Systemobjekte aufweisen. Diese Richtlinie erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
Windows-Computer müssen die Anforderungen für „Sicherheitsoptionen: Systemeinstellungen“ erfüllen Windows-Computer müssen die angegebenen Gruppenrichtlinieneinstellungen in der Kategorie „Sicherheitsoptionen: Systemeinstellungen“ für Zertifikatregeln ausführbarer Dateien für SRP und optionale Subsysteme aufweisen. Diese Richtlinie erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
Windows-Computer müssen die Anforderungen für „Sicherheitsoptionen: Benutzerkontensteuerung“ erfüllen Windows-Computer müssen die angegebenen Gruppenrichtlinieneinstellungen in der Kategorie „Sicherheitsoptionen: Benutzerkontensteuerung“ für Administratormodus, Verhalten der Eingabeaufforderung für erhöhte Rechte und die Virtualisierung von Fehlern bei Schreibvorgängen für Dateien und Registrierung aufweisen. Diese Richtlinie erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
Windows-Computer müssen die Anforderungen für „Sicherheitseinstellungen: Kontorichtlinien“ erfüllen Windows-Computer müssen die angegebenen Gruppenrichtlinieneinstellungen in der Kategorie „Sicherheitseinstellungen: Kontorichtlinien“ für Kennwortverlauf, Kennwortalter, Kennwortlänge, Kennwortkomplexität und die Speicherung von Kennwörtern mit umkehrbarer Verschlüsselung aufweisen. Diese Richtlinie erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
Windows-Computer müssen die Anforderungen für „Systemüberwachungsrichtlinien: Kontoanmeldung“ erfüllen Windows-Computer müssen die angegebenen Gruppenrichtlinieneinstellungen in der Kategorie „Systemüberwachungsrichtlinien: Kontoanmeldung“ zum Überwachen der Überprüfung von Anmeldeinformationen und anderer Kontoanmeldeereignisse aufweisen. Diese Richtlinie erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
Windows-Computer müssen die Anforderungen für „Systemüberwachungsrichtlinien: Kontoverwaltung“ erfüllen Windows-Computer müssen die angegebenen Gruppenrichtlinieneinstellungen in der Kategorie „Systemüberwachungsrichtlinien: Kontoverwaltung“ zum Überwachen der Anwendungs-, Sicherheits- und Benutzergruppenverwaltung und anderer Verwaltungsereignisse aufweisen. Diese Richtlinie erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
Windows-Computer müssen die Anforderungen für „Systemüberwachungsrichtlinien: Detaillierte Nachverfolgung“ erfüllen Windows-Computer müssen die angegebenen Gruppenrichtlinieneinstellungen in der Kategorie „Systemüberwachungsrichtlinien: Detaillierte Nachverfolgung“ zum Überwachen von DPAPI, Prozesserstellung/-beendigung, RPC-Ereignissen und PNP-Aktivität aufweisen. Diese Richtlinie erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
Windows-Computer müssen die Anforderungen für „Systemüberwachungsrichtlinien: Anmelden/Abmelden“ erfüllen Windows-Computer müssen die angegebenen Gruppenrichtlinieneinstellungen in der Kategorie „Systemüberwachungsrichtlinien: Anmelden/Abmelden“ zum Überwachen von IPSec, Netzwerkrichtlinie, Ansprüchen, Kontosperrung, Gruppenmitgliedschaft und Anmelde-/Abmeldeereignissen aufweisen. Diese Richtlinie erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
Windows-Computer müssen die Anforderungen für „Systemüberwachungsrichtlinien: Objektzugriff“ erfüllen Windows-Computer müssen die angegebenen Gruppenrichtlinieneinstellungen in der Kategorie „Systemüberwachungsrichtlinien: Objektzugriff“ zum Überwachen von Dateien, Registrierung, SAM, Speicher, Filterung, Kernel und weiteren Systemtypen aufweisen. Diese Richtlinie erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
Windows-Computer müssen die Anforderungen für „Systemüberwachungsrichtlinien: Richtlinienänderung“ erfüllen Windows-Computer müssen die angegebenen Gruppenrichtlinieneinstellungen in der Kategorie „Systemüberwachungsrichtlinien: Kontoanmeldung“ zum Überwachen von Änderungen an Systemüberwachungsrichtlinien aufweisen. Diese Richtlinie erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
Windows-Computer müssen die Anforderungen für „Systemüberwachungsrichtlinien: Rechteverwendung“ erfüllen Windows-Computer müssen die angegebenen Gruppenrichtlinieneinstellungen in der Kategorie „Systemüberwachungsrichtlinien: Rechteverwendung“ zum Überwachen nicht sensibler und anderer Rechte aufweisen. Diese Richtlinie erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
Windows-Computer müssen die Anforderungen für „Systemüberwachungsrichtlinien: System“ erfüllen Windows-Computer müssen die angegebenen Gruppenrichtlinieneinstellungen in der Kategorie „Systemüberwachungsrichtlinien: System“ zum Überwachen von IPsec-Treiber, Systemintegrität, Systemerweiterungen, Statusänderungen und weiteren Systemereignissen aufweisen. Diese Richtlinie erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
Windows-Computer müssen die Anforderungen für „Zuweisen von Benutzerrechten“ erfüllen Windows-Computer müssen die angegebenen Gruppenrichtlinieneinstellungen in der Kategorie „Zuweisen von Benutzerrechten“ für lokale Anmeldung, RDP, Zugriff aus dem Netzwerk und viele weitere Benutzeraktivitäten aufweisen. Diese Richtlinie erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
Windows-Computer müssen die Anforderungen für „Windows-Komponenten“ erfüllen Windows-Computer müssen die angegebenen Gruppenrichtlinieneinstellungen in der Kategorie „Windows-Komponenten“ für Standardauthentifizierung, unverschlüsselten Datenverkehr, Microsoft-Konten, Telemetrie, Cortana und das Windows-Verhalten in Bezug auf weitere Aspekte aufweisen. Diese Richtlinie erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
Windows-Computer müssen die Anforderungen für „Windows-Firewalleigenschaften“ erfüllen Windows-Computer müssen die angegebenen Gruppenrichtlinieneinstellungen in der Kategorie „Windows-Firewalleigenschaften“ für Firewallzustand, Verbindungen, Regelverwaltung und Benachrichtigungen aufweisen. Diese Richtlinie erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
Windows-Computer müssen die Anforderungen der Azure Compute-Sicherheitsbaseline erfüllen Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer sind nicht konform, wenn der Computer für eine der Empfehlungen in der Azure Compute-Sicherheitsbaseline nicht richtig konfiguriert ist. AuditIfNotExists, Disabled 2.0.0
Windows-Computer sollten nur lokale Konten enthalten, die zulässig sind. Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Diese Definition wird unter Windows Server 2012 oder 2012 R2 nicht unterstützt. Die Verwaltung von Benutzerkonten mit Azure Active Directory ist eine bewährte Methode für die Verwaltung von Identitäten. Das Reduzieren lokaler Computerkonten trägt dazu bei, die Verbreitung von Identitäten zu verhindern, die außerhalb eines zentralen Systems verwaltet werden. Computer sind nicht konform, wenn lokale Benutzerkonten vorhanden sind, die aktiviert und nicht im Richtlinienparameter aufgeführt sind. AuditIfNotExists, Disabled 2.0.0
Virtuelle Windows-Computer sollten Azure Disk Encryption oder EncryptionAtHost aktivieren. Obwohl die Datenträger für das Betriebssystem und für die Daten eines virtuellen Computers standardmäßig im Ruhezustand mithilfe von plattformseitig verwalteten Schlüsseln verschlüsselt werden; Ressourcendatenträger (temporäre Datenträger), Datencaches und Daten, die zwischen Compute- und Speicherressourcen übertragen werden, werden nicht verschlüsselt. Verwenden Sie Azure Disk Encryption oder EncryptionAtHost, um Abhilfe zu schaffen. Besuchen Sie https://aka.ms/diskencryptioncomparison, um die Verschlüsselungsangebote zu vergleichen. Für diese Richtlinie müssen zwei erforderliche Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. AuditIfNotExists, Disabled 1.1.1

HDInsight

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Azure HDInsight-Cluster müssen in ein virtuelles Netzwerk eingebunden werden Durch die Einbindung von Azure HDInsight-Clustern in ein virtuelles Netzwerk werden erweiterte HDInsight-Netzwerk- und Sicherheitsfeatures freigeschaltet, und Sie erhalten die Kontrolle über Ihre Netzwerksicherheitskonfiguration. Audit, Disabled, Deny 1.0.0
Azure HDInsight-Cluster müssen kundenseitig verwaltete Schlüssel zur Verschlüsselung ruhender Daten verwenden Verwenden Sie kundenseitig verwaltete Schlüssel, um die Verschlüsselung ruhender Daten Ihrer Azure HDInsight-Cluster zu verwalten. Standardmäßig werden Kundendaten mit dienstseitig verwalteten Schlüsseln verschlüsselt. Kundenseitig verwaltete Schlüssel sind jedoch häufig zur Einhaltung gesetzlicher Bestimmungen erforderlich. Mit kundenseitig verwalteten Schlüsseln können die Daten mit einem Azure Key Vault-Schlüssel verschlüsselt werden, der von Ihnen erstellt wird und sich in Ihrem Besitz befindet. Sie verfügen über die volle Kontrolle über und Verantwortung für den Schlüssellebenszyklus, einschließlich Rotation und Verwaltung. Weitere Informationen finden Sie unter https://aka.ms/hdi.cmk. Audit, Deny, Disabled 1.0.1
Azure HDInsight-Cluster müssen Verschlüsselung auf dem Host zur Verschlüsselung ruhender Daten verwenden Durch das Aktivieren der Verschlüsselung auf dem Host können Sie Ihre Daten schützen, um die Sicherheits- und Konformitätsverpflichtungen Ihrer Organisation zu erfüllen. Wenn Sie die Verschlüsselung auf dem Host aktivieren, werden die auf dem VM-Host gespeicherten Daten ruhend verschlüsselt und verschlüsselt an den Speicherdienst übermittelt. Audit, Deny, Disabled 1.0.0
Azure HDInsight-Cluster müssen Verschlüsselung während der Übertragung für die Verschlüsselung der Kommunikation zwischen Azure HDInsight-Clusterknoten verwenden Daten können während der Übertragung zwischen Azure HDInsight-Clusterknoten manipuliert werden. Zur Vermeidung von Missbrauch und Manipulation können die Daten durch Aktivieren der Verschlüsselung während der Übertragung verschlüsselt werden. Audit, Deny, Disabled 1.0.0
Azure HDInsight sollten Private Link verwenden. Mit Azure Private Link können Sie Ihre virtuellen Netzwerke mit Azure-Diensten verbinden, ohne dass eine öffentliche IP-Adresse an der Quelle oder am Ziel vorhanden ist. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Azure HDInsight-Clustern können Sie das Risiko von Datenlecks verringern. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/hdi.pl. AuditIfNotExists, Disabled 1.0.0
Konfigurieren von Azure HDInsight-Clustern für die Verwendung privater DNS-Zonen Verwenden Sie private DNS-Zonen, um die DNS-Auflösung für einen privaten Endpunkt außer Kraft zu setzen. Eine private DNS-Zone kann mit Ihrem virtuellen Netzwerk verknüpft werden, um Azure HDInsight-Cluster aufzulösen. Weitere Informationen finden Sie unter https://aka.ms/hdi.pl. DeployIfNotExists, Disabled 1.0.0
Konfigurieren von Azure HDInsight-Clustern mit privaten Endpunkten Private Endpunkte verbinden Ihre virtuellen Netzwerke ohne eine öffentliche IP-Adresse an Quelle oder Ziel mit Azure-Diensten. Durch das Zuordnen privater Endpunkte zu Azure HDInsight-Clustern können Sie das Risiko von Datenlecks verringern. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/hdi.pl. DeployIfNotExists, Disabled 1.0.0

Health Bot

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Azure Health Bots sollten kundenseitig verwaltete Schlüssel verwenden, um ruhende Daten zu verschlüsseln Verwenden Sie kundenseitig verwaltete Schlüssel (Customer Managed Keys, CMKs), um die Verschlüsselung ruhender Daten Ihrer Healthbots zu verwalten. Standardmäßig werden die Daten im Ruhezustand mit dienstseitig verwalteten Schlüsseln verschlüsselt. Kundenseitig verwaltete Schlüssel (Customer-Managed Key, CMK) sind jedoch häufig zur Einhaltung gesetzlicher Bestimmungen erforderlich. Mit CMKs können die Daten mit einem Azure Key Vault-Schlüssel verschlüsselt werden, der von Ihnen erstellt wird und sich in Ihrem Besitz befindet. Sie verfügen über die volle Kontrolle über und Verantwortung für den Schlüssellebenszyklus, einschließlich Rotation und Verwaltung. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/health-bot/cmk. Audit, Disabled 1.0.0

Health Data Services-Arbeitsbereich

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Der Azure Health Data Services-Arbeitsbereich sollte eine private Verbindung verwenden. Beim Health Data Services-Arbeitsbereich sollte es mindestens eine genehmigte private Endpunktverbindung geben. Clients in einem virtuellen Netzwerk können über Private Link-Instanzen sicher auf Ressourcen mit Verbindungen mit privaten Endpunkten zugreifen. Weitere Informationen finden Sie unter https://aka.ms/healthcareapisprivatelink. Audit, Disabled 1.0.0

Healthcare-APIs

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Zugriff auf Ihren FHIR-Dienst über CORS nicht allen Domänen gestatten Die ursprungsübergreifende Ressourcenfreigabe (Cross-Origin Resource Sharing, CORS) sollte nicht allen Domänen den Zugriff auf Ihren FHIR-Dienst gestatten. Entfernen Sie den Zugriff für alle Domänen zum Schutz Ihres FHIR-Diensts, und definieren Sie explizit diejenigen Domänen, die eine Verbindung herstellen dürfen. überprüfen, Überprüfung, deaktiviert, Deaktivierung 1.1.0
DICOM-Dienst sollte einen vom Kunden verwalteten Schlüssel verwenden, um ruhende Daten zu verschlüsseln Verwenden Sie einen kundenseitig verwalteten Schlüssel, um die ruhende Verschlüsselung gespeicherter Daten zu steuern, die in Azure Health Data Services DICOM Service gespeichert sind, wenn dies eine regulatorische oder Complianceanforderung ist. Kundenseitig verwaltete Schlüssel bieten außerdem eine doppelte Verschlüsselung, indem eine zweite Verschlüsselungsebene zusätzlich zur Standardverschlüsselung mit dienstseitig verwalteten Schlüsseln hinzugefügt wird. Audit, Disabled 1.0.0
FHIR-Dienst sollte einen vom Kunden verwalteten Schlüssel verwenden, um ruhende Daten zu verschlüsseln Verwenden Sie einen kundenseitig verwalteten Schlüssel, um die ruhende Verschlüsselung gespeicherter Daten zu steuern, die in Azure Health Data Services FHIR Service gespeichert sind, wenn dies eine regulatorische oder Complianceanforderung ist. Kundenseitig verwaltete Schlüssel bieten außerdem eine doppelte Verschlüsselung, indem eine zweite Verschlüsselungsebene zusätzlich zur Standardverschlüsselung mit dienstseitig verwalteten Schlüsseln hinzugefügt wird. Audit, Disabled 1.0.0

Internet der Dinge

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
[Vorschau]: Azure IoT Hub muss einen kundenseitig verwalteten Schlüssel zum Verschlüsseln von ruhenden Daten verwenden Durch die Verschlüsselung ruhender IoT Hub-Daten mithilfe eines kundenseitig verwalteten Schlüssels wird zusätzlich zur Standardverschlüsselung mit dienstseitig verwalteten Schlüsseln eine weitere Verschlüsselungsebene bereitgestellt. Der Kunde erhält die Kontrolle über die Schlüssel, kann benutzerdefinierte Richtlinien für die Rotation festlegen und durch eine Schlüsselzugriffskontrolle den Zugriff auf die Daten steuern. Kundenseitig verwaltete Schlüssel müssen während der Erstellung des IoT-Hubs konfiguriert werden. Weitere Informationen zum Konfigurieren kundenseitig verwalteter Schlüssel finden Sie unter https://aka.ms/iotcmk. Audit, Deny, Disabled 1.0.0-preview
[Vorschau]: Daten des IoT Hub-Gerätebereitstellungsdiensts müssen mithilfe von kundenseitig verwalteten Schlüsseln (CMKs) verschlüsselt werden Verwenden Sie kundenseitig verwaltete Schlüssel, um die Verschlüsselung ruhender Daten für Ihren IoT Hub-Gerätebereitstellungsdienst zu verwalten. Ruhende Daten werden automatisch mit dienstseitig verwalteten Schlüsseln verschlüsselt, aber zur Einhaltung behördlicher Konformitätsstandards werden häufig kundenseitig verwaltete Schlüssel (Customer-Managed Keys, CMKs) benötigt. Mit CMKs können die Daten mit einem Azure Key Vault-Schlüssel verschlüsselt werden, der von Ihnen erstellt wird und sich in Ihrem Besitz befindet. Weitere Informationen zur CMK-Verschlüsselung finden Sie unter https://aka.ms/dps/CMK. Audit, Deny, Disabled 1.0.0-preview
Azure Device Update-Konten müssen für die Verschlüsselung von ruhenden Daten einen kundenseitig verwalteten Schlüssel verwenden Durch die Verschlüsselung ruhender Azure-Geräteupdates mithilfe eines kundenseitig verwalteten Schlüssels wird zusätzlich zur Standardverschlüsselung mit dienstseitig verwalteten Schlüsseln eine weitere Verschlüsselungsebene bereitgestellt. Der Kunde erhält die Kontrolle über die Schlüssel, kann benutzerdefinierte Richtlinien für die Rotation festlegen und durch eine Schlüsselzugriffskontrolle den Zugriff auf die Daten steuern. Weitere Informationen finden Sie unter: https://learn.microsoft.com/azure/iot-hub-device-update/device-update-data-encryption. Audit, Deny, Disabled 1.0.0
Für Azure Device Update for IoT Hub-Konten muss Private Linke verwendet werden. Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch die Zuordnung privater Endpunkte zu Azure Device Update für IoT Hub-Konten wird das Risiko von Datenlecks reduziert. AuditIfNotExists, Disabled 1.0.0
Für Azure IoT Hub sollten die lokalen Authentifizierungsmethoden für Dienst-APIs deaktiviert sein. Das Deaktivieren lokaler Authentifizierungsmethoden verbessert die Sicherheit, da hierdurch sichergestellt wird, dass Azure IoT Hub ausschließlich Azure Active Directory-Identitäten für die Dienst-API-Authentifizierung anfordert. Weitere Informationen finden Sie unter https://aka.ms/iothubdisablelocalauth. Audit, Deny, Disabled 1.0.0
Konfigurieren von Azure Device Update for IoT Hub-Konten, um den Zugriff über öffentliche Netzwerke zu deaktivieren Hiermit wird die Eigenschaft für den Zugriff über öffentliche Netzwerke deaktiviert. So wird die Sicherheit erhöht und gewährleistet, dass auf Ihre Device Update for IoT Hub-Instanz nur von einem privaten Endpunkt aus zugegriffen werden kann. Durch diese Richtlinie wird der Zugriff über öffentliche Netzwerke auf Device Update for IoT Hub-Ressourcen deaktiviert. Modify, Disabled 1.0.0
Konfigurieren von Azure Device Update for IoT Hub-Konten für die Verwendung von privaten DNS-Zonen Privates Azure-DNS bietet einen zuverlässigen, sicheren DNS-Dienst zum Verwalten und Auflösen von Domänennamen in einem virtuellen Netzwerk, ohne dass Sie eine benutzerdefinierte DNS-Lösung hinzufügen müssen. Mithilfe von privaten DNS-Zonen können Sie die DNS-Lösung außer Kraft setzen und eigene benutzerdefinierte Domänennamen für einen privaten Endpunkt verwenden. Diese Richtlinie stellt eine private DNS-Zone für private Device Update for IoT Hub-Endpunkte bereit. DeployIfNotExists, Disabled 1.0.0
Konfigurieren von Azure Device Update for IoT Hub-Konten mit privatem Endpunkt Ein privater Endpunkt ist eine private IP-Adresse, die innerhalb eines kundeneigenen virtuellen Netzwerks zugewiesen wird und über die eine Azure-Ressource erreichbar ist. Mit dieser Richtlinie wird ein privater Endpunkt für Ihre Device Update for IoT Hub-Instanz bereitgestellt, damit Dienste innerhalb Ihres virtuellen Netzwerks diese Ressource erreichen können, ohne dass Datenverkehr an den öffentlichen Endpunkt von Device Update for IoT Hub gesendet werden muss. DeployIfNotExists, Disabled 1.1.0
Azure IoT Hub zum Deaktivieren der lokalen Authentifizierung konfigurieren Deaktivieren Sie lokale Authentifizierungsmethoden, damit Azure IoT Hub ausschließlich Azure Active Directory-Identitäten für die Authentifizierung anfordert. Weitere Informationen finden Sie unter https://aka.ms/iothubdisablelocalauth. Modify, Disabled 1.0.0
IoT Hub Device Provisioning-Instanzen für die Verwendung privater DNS-Zonen konfigurieren Verwenden Sie private DNS-Zonen, um die DNS-Auflösung für einen privaten Endpunkt außer Kraft zu setzen. Eine private DNS-Zone wird mit Ihrem virtuellen Netzwerk verknüpft, um eine IoT Hub Device Provisioning Service-Instanz aufzulösen. Weitere Informationen finden Sie unter https://aka.ms/iotdpsvnet. DeployIfNotExists, Disabled 1.0.0
IoT Hub Device Provisioning-Instanz zum Deaktivieren des Zugriffs über öffentliche Netzwerke konfigurieren Deaktivieren Sie für Ihre IoT Hub Device Provisioning-Instanz den Zugriff über öffentliche Netzwerke, sodass sie nicht über das öffentliche Internet zugänglich ist. Dies kann das Risiko von Datenlecks verringern. Weitere Informationen finden Sie unter https://aka.ms/iotdpsvnet. Modify, Disabled 1.0.0
IoT Hub Device Provisioning Service-Instanzen mit privaten Endpunkten konfigurieren Private Endpunkte verbinden Ihr virtuelles Netzwerk ohne eine öffentliche IP-Adresse an Quelle oder Ziel mit Azure-Diensten. Durch das Zuordnen privater Endpunkte zu IoT Hub Device Provisioning Service können Sie das Risiko von Datenlecks verringern. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/iotdpsvnet. DeployIfNotExists, Disabled 1.0.0
Bereitstellen: Azure IoT Hub für die Verwendung privater DNS-Zonen konfigurieren Privates Azure-DNS bietet einen zuverlässigen, sicheren DNS-Dienst zum Verwalten und Auflösen von Domänennamen in einem virtuellen Netzwerk, ohne dass Sie eine benutzerdefinierte DNS-Lösung hinzufügen müssen. Mithilfe von privaten DNS-Zonen können Sie die DNS-Lösung außer Kraft setzen und eigene benutzerdefinierte Domänennamen für einen privaten Endpunkt verwenden. Mit dieser Richtlinie wird eine private DNS-Zone für private IoT Hub-Endpunkte bereitgestellt. deployIfNotExists, DeployIfNotExists, disabled, Disabled 1.1.0
Bereitstellen: Azure IoT Hub mit privaten Endpunkten konfigurieren Ein privater Endpunkt ist eine private IP-Adresse, die innerhalb eines kundeneigenen virtuellen Netzwerks zugewiesen wird und über die eine Azure-Ressource erreichbar ist. Mit dieser Richtlinie wird ein privater Endpunkt für Ihre IoT Hub-Instanz bereitgestellt, damit Dienste innerhalb Ihres virtuellen Netzwerks IoT Hub erreichen können, ohne dass Datenverkehr an den öffentlichen Endpunkt von IoT Hub gesendet werden muss. DeployIfNotExists, Disabled 1.0.0
Bereitstellen – Konfigurieren von IoT Central für die Verwendung privater DNS-Zonen Privates Azure-DNS bietet einen zuverlässigen, sicheren DNS-Dienst zum Verwalten und Auflösen von Domänennamen in einem virtuellen Netzwerk, ohne dass Sie eine benutzerdefinierte DNS-Lösung hinzufügen müssen. Mithilfe von privaten DNS-Zonen können Sie die DNS-Lösung außer Kraft setzen und eigene benutzerdefinierte Domänennamen für einen privaten Endpunkt verwenden. Mit dieser Richtlinie wird eine private DNS-Zone für private IoT Central-Endpunkte bereitgestellt. DeployIfNotExists, Disabled 1.0.0
Bereitstellen – Konfigurieren von IoT Central mit privaten Endpunkten Ein privater Endpunkt ist eine private IP-Adresse, die innerhalb eines kundeneigenen virtuellen Netzwerks zugewiesen wird und über die eine Azure-Ressource erreichbar ist. Mit dieser Richtlinie wird ein privater Endpunkt für Ihre IoT Central-Instanz bereitgestellt, damit Dienste innerhalb Ihres virtuellen Netzwerks IoT Central erreichen können, ohne dass Datenverkehr an den öffentlichen Endpunkt von IoT Central gesendet werden muss. DeployIfNotExists, Disabled 1.0.0
IoT Central sollte eine private Verbindung verwenden Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Indem Sie private Endpunkte nicht dem gesamten Dienst, sondern Ihrer IoT Central-Anwendung zuordnen, wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/iotcentral-network-security-using-pe. Audit, Deny, Disabled 1.0.0
IoT Hub Device Provisioning Service-Instanzen müssen den Zugriff über öffentliche Netzwerke deaktivieren Die Deaktivierung des Zugriffs über öffentliche Netzwerke erhöht die Sicherheit, indem sichergestellt wird, dass die IoT Hub Device Provisioning Service-Instanz nicht über das öffentliche Internet zugänglich ist. Sie können die Offenlegung der IoT Hub Device Provisioning Service-Instanz einschränken, indem Sie private Endpunkte erstellen. Weitere Informationen finden Sie unter https://aka.ms/iotdpsvnet. Audit, Deny, Disabled 1.0.0
IoT Hub Device Provisioning Service-Instanzen müssen Private Link verwenden Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform stellt über das Azure-Backbonenetzwerk Konnektivität zwischen dem Consumer und den Diensten her. Durch das Zuordnen privater Endpunkte zu IoT Hub Device Provisioning Service wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/iotdpsvnet. Audit, Disabled 1.0.0
Ändern: Azure IoT Hub zum Deaktivieren des Zugriffs über öffentliche Netzwerke konfigurieren Hiermit wird die Eigenschaft für den Zugriff über öffentliche Netzwerke deaktiviert. So wird die Sicherheit erhöht und gewährleistet, dass auf Ihre Azure IoT Hub-Instanz nur von einem privaten Endpunkt aus zugegriffen werden kann. Durch diese Richtlinie wird der Zugriff über öffentliche Netzwerke auf IoT Hub-Ressourcen deaktiviert. Modify, Disabled 1.0.0
Ändern – Konfigurieren Sie IoT Central zum Deaktivieren des Zugriffs auf öffentliche Netzwerke Hiermit wird die Eigenschaft für den Zugriff über öffentliche Netzwerke deaktiviert. So wird die Sicherheit erhöht und gewährleistet, dass auf Ihre Azure IoT Central-Instanz nur von einem privaten Endpunkt aus zugegriffen werden kann. Durch diese Richtlinie wird der Zugriff über öffentliche Netzwerke auf IoT Hub-Ressourcen deaktiviert. Modify, Disabled 1.0.0
Für IoT Hub muss ein privater Endpunkt aktiviert sein Private Endpunktverbindungen erzwingen eine sichere Kommunikation, indem private Konnektivität mit IoT Hub ermöglicht wird. Konfigurieren Sie eine private Endpunktverbindung, um nur Zugriff auf Datenverkehr zu ermöglichen, der aus bekannten Netzwerken stammt, und Zugriff von allen anderen IP-Adressen, auch solchen in Azure, zu verhindern. Audit, Disabled 1.0.0
Der Zugriff über öffentliche Netzwerke für Azure Device Update for IoT Hub-Konten muss deaktiviert sein Hiermit wird die Eigenschaft für den Zugriff über öffentliche Netzwerke deaktiviert. So wird die Sicherheit erhöht und gewährleistet, dass nur von einem privaten Endpunkt aus auf Ihre Azure Device Update for IoT Hub-Instanz zugegriffen werden kann. Audit, Deny, Disabled 1.0.0
Für Azure IoT Hub muss der Zugriff über öffentliche Netzwerke deaktiviert sein Hiermit wird die Eigenschaft für den Zugriff über öffentliche Netzwerke deaktiviert. So wird die Sicherheit erhöht und gewährleistet, dass auf Ihre Azure IoT Hub-Instanz nur von einem privaten Endpunkt aus zugegriffen werden kann. Audit, Deny, Disabled 1.0.0
Der öffentliche Netzwerkzugriff sollte für IoT Central deaktiviert werden Stellen Sie zum Verbessern der Sicherheit von ioT Central sicher, dass dieser nicht über das öffentliche Internet, sondern nur über einen privaten Endpunkt zugänglich ist. Deaktivieren Sie die Eigenschaft für den Zugriff über öffentliche Netzwerke wie unter https://aka.ms/iotcentral-restrict-public-access beschrieben. Darüber hinaus werden alle Anmeldungen abgelehnt, die Firewallregeln auf Basis von IP-Adressen oder virtuellen Netzwerken entsprechen. Dadurch wird das Risiko von Datenlecks verringert. Audit, Deny, Disabled 1.0.0
In IoT Hub müssen Ressourcenprotokolle aktiviert sein Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. AuditIfNotExists, Disabled 3.1.0

Key Vault

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
[Vorschau]: Von Azure Key Vault verwaltete HSM-Schlüssel sollten ein Ablaufdatum haben. Um die Vorschauversion dieser Richtlinie zu verwenden, müssen Sie zunächst diesen Anweisungen unter https://aka.ms/mhsmgovernance folgen. Kryptografische Schlüssel sollten ein definiertes Ablaufdatum aufweisen und nicht dauerhaft sein. Schlüssel, die immer gültig sind, bieten einem potenziellen Angreifer mehr Zeit, um den Schlüssel zu kompromittieren. Als empfohlene Sicherheitsmethode sollte für kryptografische Schlüssel ein Ablaufdatum festgelegt werden. Audit, Deny, Disabled 1.0.1-preview
[Vorschau]: Von Azure Key Vault verwaltete HSM-Schlüssel sollten mehr als die angegebene Anzahl von Tagen vor dem Ablauf vorweisen. Um die Vorschauversion dieser Richtlinie zu verwenden, müssen Sie zunächst diesen Anweisungen unter https://aka.ms/mhsmgovernance folgen. Wenn sich ein Schlüssel zu nah an seinem Ablaufdatum befindet, kann es bei einer organisationsbedingten Verzögerung der Rotation des Schlüssels zu einem Ausfall kommen. Schlüssel sollten nach einer angegebenen Anzahl von Tagen vor ihrem Ablauf rotiert werden, damit genügend Zeit ist, um auf Fehler reagieren zu können. Audit, Deny, Disabled 1.0.1-preview
[Vorschau]: Von Azure Key Vault verwaltete HSM-Schlüssel, die Kryptografie für elliptische Kurve verwenden, sollten die angegebenen Kurvennamen haben. Um die Vorschauversion dieser Richtlinie zu verwenden, müssen Sie zunächst diesen Anweisungen unter https://aka.ms/mhsmgovernance folgen. Schlüssel, die durch Kryptografie für elliptische Kurve gesichert sind, können andere Kurvennamen besitzen. Einige Anwendungen sind nur mit bestimmten elliptischen Kurvenschlüsseln kompatibel. Erzwingen Sie die Typen elliptischer Kurvenschlüssel, die für die Erstellung in Ihrer Umgebung zugelassen sind. Audit, Deny, Disabled 1.0.1-preview
[Vorschau]: Von Azure Key Vault verwaltete HSM-Schlüssel, die RSA-Kryptografie verwenden, sollten eine angegebene Mindestschlüsselgröße haben. Um die Vorschauversion dieser Richtlinie zu verwenden, müssen Sie zunächst diesen Anweisungen unter https://aka.ms/mhsmgovernance folgen. Legen Sie die zulässige Mindestschlüsselgröße fest, die mit ihren Schlüsseltresoren verwendet werden kann. Die Verwendung kleiner RSA-Schlüssel ist kein sicheres Verfahren und verstößt gegen viele Zertifizierungsanforderungen nach Industriestandard. Audit, Deny, Disabled 1.0.1-preview
[Vorschau]: Das verwaltete HSM von Azure Key Vault muss den Zugriff über öffentliche Netzwerke deaktivieren. Deaktivieren Sie für verwaltetes HSM von Azure Key Vault den Zugriff über öffentliche Netzwerke, sodass es nicht über das öffentliche Internet zugänglich ist. Dies kann das Risiko von Datenlecks verringern. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link#allow-trusted-services-to-access-managed-hsm. Audit, Deny, Disabled 1.0.0-preview
[Vorschau]: Das verwaltete HSM von Azure Key Vault muss Private Link verwenden. Private Link bietet eine Möglichkeit, das verwaltete HSM von Azure Key Vault mit Ihren Azure-Ressourcen zu verbinden, ohne Datenverkehr über das öffentliche Internet zu senden. Der private Link bietet umfassenden Schutz vor Datenexfiltration. Weitere Informationen finden Sie unter: https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link Audit, Disabled 1.0.0-preview
[Vorschau]: Zertifikate müssen von der angegebenen nicht integrierten Zertifizierungsstelle ausgestellt werden Hiermit werden die Konformitätsanforderungen Ihrer Organisation verwaltet, indem benutzerdefinierte oder interne Zertifizierungsstellen angegeben werden, die Zertifikate in Ihrem Schlüsseltresor ausstellen können. Audit, Deny, Disabled 1.0.0-preview
[Vorschau]: Verwaltetes Azure Key Vault-HSM für das Deaktivieren des Zugriffs über öffentliche Netzwerke konfigurieren. Deaktivieren Sie für verwaltetes HSM von Azure Key Vault den Zugriff über öffentliche Netzwerke, sodass es nicht über das öffentliche Internet zugänglich ist. Dies kann das Risiko von Datenlecks verringern. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link#allow-trusted-services-to-access-managed-hsm. Modify, Disabled 2.0.0-preview
[Vorschau]: Konfigurieren des verwalteten HSM von Azure Key Vault mit privaten Endpunkten. Private Endpunkte verbinden Ihre virtuellen Netzwerke ohne eine öffentliche IP-Adresse an Quelle oder Ziel mit Azure-Diensten. Indem Sie private Endpunkte dem verwalteten HSM von Azure Key Vault zuordnen, wird das Risiko von Datenlecks verringert. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link. DeployIfNotExists, Disabled 1.0.0-preview
Für ein verwaltetes Azure Key Vault-HSM muss der Löschschutz aktiviert sein Das böswillige Löschen eines verwalteten Azure Key Vault-HSM kann zu dauerhaftem Datenverlust führen. Ein böswilliger Insider in Ihrer Organisation kann ein verwaltetes Azure Key Vault-HSM löschen oder bereinigen. Der Löschschutz schützt Sie vor Insiderangriffen, indem ein verbindlicher Aufbewahrungszeitraum für ein vorläufig gelöschtes verwaltetes Azure Key Vault-HSM durchgesetzt wird. Niemand innerhalb Ihrer Organisation oder von Microsoft kann Ihr verwaltetes Azure Key Vault-HSM während des Aufbewahrungszeitraums für vorläufiges Löschen löschen. Audit, Deny, Disabled 1.0.0
Für Azure Key Vault muss der Zugriff über öffentliche Netzwerke deaktiviert werden. Deaktivieren Sie für Ihren Schlüsseltresor den Zugriff über öffentliche Netzwerke, sodass er nicht über das öffentliche Internet zugänglich ist. Dies kann das Risiko von Datenlecks verringern. Weitere Informationen finden Sie unter https://aka.ms/akvprivatelink. Audit, Deny, Disabled 1.1.0
Azure Key Vault sollte eine aktive Firewall haben Aktivieren Sie die Key Vault-Firewall, damit auf den Key Vault standardmäßig nicht über öffentliche IP-Adressen zugegriffen werden kann. Optional können Sie bestimmte IP-Bereiche konfigurieren, um den Zugriff auf diese Netzwerke einzuschränken. Weitere Informationen finden Sie unter: https://docs.microsoft.com/azure/key-vault/general/network-security Audit, Deny, Disabled 3.2.1
Azure Key Vault sollte das RBAC-Berechtigungsmodell verwenden. Aktivieren Sie das RBAC-Berechtigungsmodell in Schlüsseltresoren. Weitere Informationen finden Sie unter: https://learn.microsoft.com/en-us/azure/key-vault/general/rbac-migration Audit, Deny, Disabled 1.0.1
Azure Key Vault-Instanzen müssen private Verbindungen verwenden Mit Azure Private Link können Sie Ihre virtuellen Netzwerke mit Azure-Diensten verbinden, ohne dass eine öffentliche IP-Adresse an der Quelle oder am Ziel vorhanden ist. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Ihrem Schlüsseltresor können Sie das Risiko von Datenlecks verringern. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/akvprivatelink. [parameters('audit_effect')] 1.2.1
Zertifikate müssen von der angegebenen integrierten Zertifizierungsstelle ausgestellt werden Hiermit werden die Konformitätsanforderungen Ihrer Organisation verwaltet, indem die in Azure integrierten Zertifizierungsstellen angegeben werden, die Zertifikate in Ihrem Schlüsseltresor ausstellen können. Beispiel: Digicert oder GlobalSign. überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung 2.1.0
Zertifikate müssen von der angegebenen nicht integrierten Zertifizierungsstelle ausgestellt werden Hiermit werden die Konformitätsanforderungen Ihrer Organisation verwaltet, indem die benutzerdefinierten oder internen Zertifizierungsstellen angegeben werden, die Zertifikate in Ihrem Schlüsseltresor ausstellen können. überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung 2.1.1
Zertifikate müssen die angegebenen Aktionstrigger für die Gültigkeitsdauer aufweisen Hiermit werden die Konformitätsanforderungen Ihrer Organisation verwaltet, indem angegeben wird, ob nach Ablauf eines bestimmten Prozentsatzes der Zertifikatlaufzeit oder bei Erreichen einer bestimmten Anzahl von Tagen vor Ablauf des Zertifikats eine Aktion zur Zertifikatlebensdauer ausgelöst wird. überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung 2.1.0
Zertifikate müssen die angegebene maximale Gültigkeitsdauer aufweisen Hiermit werden die Konformitätsanforderungen Ihrer Organisation verwaltet, indem die maximale Zeitspanne angegeben wird, für die ein Zertifikat innerhalb Ihres Schlüsseltresors gültig sein darf. überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung 2.2.1
Zertifikate dürfen nicht innerhalb der angegebenen Anzahl von Tagen ablaufen Hiermit werden Zertifikate verwaltet, die innerhalb einer angegebenen Anzahl von Tagen ablaufen. So wird sichergestellt, dass Ihre Organisation über genügend Zeit verfügt, vor Ablauf des Zertifikats eine Rotation durchzuführen. überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung 2.1.1
Zertifikate müssen zulässige Schlüsseltypen verwenden Hiermit werden die Konformitätsanforderungen Ihrer Organisation verwaltet, indem die für Zertifikate zulässigen Schlüsseltypen eingeschränkt werden. überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung 2.1.0
Zertifikate mit Kryptografie für elliptische Kurve müssen zulässige Kurvennamen verwenden Hiermit werden die zulässigen Kurvennamen für ECC-Zertifikate verwaltet, die im Schlüsseltresor gespeichert sind. Weitere Informationen finden Sie unter https://aka.ms/akvpolicy. überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung 2.1.0
Zertifikate mit Verwendung von RSA-Kryptografie müssen die angegebene Mindestgröße für Schlüssel aufweisen Hiermit werden die Konformitätsanforderungen Ihrer Organisation verwaltet, indem eine mindestens erforderliche Schlüsselgröße für RSA-Zertifikate angegeben wird, die in Ihrem Schlüsseltresor gespeichert sind. überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung 2.1.0
Konfigurieren von Azure Key Vault-Instanzen für die Verwendung privater DNS-Zonen Verwenden Sie private DNS-Zonen, um die DNS-Auflösung für einen privaten Endpunkt außer Kraft zu setzen. Eine private DNS-Zone wird mit Ihrem virtuellen Netzwerk verknüpft, um einen Schlüsseltresor aufzulösen. Weitere Informationen finden Sie unter https://aka.ms/akvprivatelink. DeployIfNotExists, Disabled 1.0.1
Azure Key Vault-Instanzen mit privaten Endpunkten konfigurieren Private Endpunkte verbinden Ihre virtuellen Netzwerke ohne eine öffentliche IP-Adresse an Quelle oder Ziel mit Azure-Diensten. Durch das Zuordnen privater Endpunkte zu Ihrem Schlüsseltresor können Sie das Risiko von Datenlecks verringern. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/akvprivatelink. DeployIfNotExists, Disabled 1.0.1
Schlüsseltresore zum Aktivieren der Firewall konfigurieren Aktivieren Sie die Key Vault-Firewall, damit auf den Key Vault standardmäßig nicht über öffentliche IP-Adressen zugegriffen werden kann. Sie können dann bestimmte IP-Bereiche konfigurieren, um den Zugriff auf diese Netzwerke einzuschränken. Weitere Informationen finden Sie unter: https://docs.microsoft.com/azure/key-vault/general/network-security Modify, Disabled 1.1.1
Bereitstellen: Diagnoseeinstellungen für Azure Key Vault in Log Analytics-Arbeitsbereich konfigurieren Hiermit werden die Diagnoseeinstellungen für Azure Key Vault zum Streaming von Ressourcenprotokollen in einen Log Analytics-Arbeitsbereich bereitgestellt, wenn eine Key Vault-Instanz erstellt oder aktualisiert wird, in der diese Diagnoseeinstellungen fehlen. DeployIfNotExists, Disabled 2.0.1
Bereitstellen: Diagnoseeinstellungen zur Aktivierung eines Event Hubs in einem verwalteten Azure Key Vault-HSM konfigurieren Hiermit werden die Diagnoseeinstellungen für ein verwaltetes Azure Key Vault-HSM zum Streaming an einen regionalen Event Hub bereitgestellt, wenn ein verwaltetes Azure Key Vault-HSM erstellt oder aktualisiert wird, in dem diese Diagnoseeinstellungen fehlen. DeployIfNotExists, Disabled 1.0.0
Diagnoseeinstellungen für Key Vault in Event Hub bereitstellen Hiermit werden die Diagnoseeinstellungen für Key Vault zum Streamen in eine regionale Event Hub-Instanz bereitgestellt, wenn eine Key Vault-Instanz erstellt oder aktualisiert wird, in der diese Diagnoseeinstellungen fehlen. DeployIfNotExists, Disabled 3.0.1
Key Vault-Schlüssel sollten ein Ablaufdatum aufweisen. Kryptografische Schlüssel sollten ein definiertes Ablaufdatum aufweisen und nicht dauerhaft sein. Schlüssel, die immer gültig sind, bieten einem potenziellen Angreifer mehr Zeit, um den Schlüssel zu kompromittieren. Als empfohlene Sicherheitsmethode sollte für kryptografische Schlüssel ein Ablaufdatum festgelegt werden. Audit, Deny, Disabled 1.0.2
Key Vault-Geheimnisse sollten ein Ablaufdatum aufweisen. Geheimnisse sollten ein definiertes Ablaufdatum aufweisen und nicht dauerhaft sein. Geheimnisse, die immer gültig sind, bieten einem potenziellen Angreifer mehr Zeit, sie zu kompromittieren. Als empfohlene Sicherheitsmethode sollte für Geheimnisse ein Ablaufdatum festgelegt werden. Audit, Deny, Disabled 1.0.2
Für Schlüsseltresore sollte der Löschschutz aktiviert sein. Das böswillige Löschen eines Schlüsseltresors kann zu dauerhaftem Datenverlust führen. Sie können dauerhaften Datenverlust verhindern, indem Sie den Löschschutz und das vorläufige Löschen aktivieren. Der Löschschutz schützt Sie vor Insiderangriffen, indem ein verbindlicher Aufbewahrungszeitraum für vorläufig gelöschte Schlüsseltresore durchgesetzt wird. Niemand innerhalb Ihrer Organisation oder von Microsoft kann Ihre Schlüsseltresore während des Aufbewahrungszeitraums für vorläufiges Löschen löschen. Beachten Sie, dass für Schlüsseltresore, die nach dem 1. September 2019 erstellt wurden, das vorläufige Löschen standardmäßig aktiviert ist. Audit, Deny, Disabled 2.1.0
Für Schlüsseltresore sollte vorläufiges Löschen aktiviert sein. Wenn Sie einen Schlüsseltresor löschen und vorläufiges Löschen nicht aktiviert ist, werden alle Geheimnisse, Schlüssel und Zertifikate, die im Schlüsseltresor gespeichert sind, dauerhaft gelöscht. Das versehentliche Löschen eines Schlüsseltresors kann zu dauerhaftem Datenverlust führen. Vorläufiges Löschen ermöglicht es Ihnen, einen versehentlich gelöschten Schlüsseltresor innerhalb des konfigurierbaren Aufbewahrungszeitraums wiederherzustellen. Audit, Deny, Disabled 3.0.0
Schlüssel müssen durch ein Hardwaresicherheitsmodul (HSM) gesichert werden Mit einem Hardwaresicherheitsmodul (HSM) werden Schlüssel gespeichert. Hierbei handelt es sich um eine physische Schutzschicht für kryptografische Schlüssel. Der kryptografische Schlüssel kann ein physisches HSM nicht verlassen, sodass dieser einen höheren Schutz als ein Softwareschlüssel bietet. Audit, Deny, Disabled 1.0.1
Schlüssel müssen den angegebenen kryptografischen Typ (RSA oder EC) aufweisen Für einige Anwendungen ist die Verwendung von Schlüsseln erforderlich, die auf einem bestimmten kryptografischen Typ beruhen. Hiermit erzwingen Sie in Ihrer Umgebung einen bestimmten kryptografischen Schlüsseltyp: RSA oder EC. Audit, Deny, Disabled 1.0.1
Schlüssel sollten eine Rotationsrichtlinie haben, die sicherstellt, dass ihre Rotation innerhalb der angegebenen Anzahl von Tagen nach der Erstellung geplant ist. Verwalten Sie Ihre organisatorischen Complianceanforderungen, indem Sie die maximale Anzahl von Tagen nach der Schlüsselerstellung festlegen, bis der Schlüssel rotiert werden muss. Audit, Disabled 1.0.0
Für Schlüssel müssen mehr als die angegebene Anzahl von Tagen vor Ablauf vorliegen Wenn sich ein Schlüssel zu nah an seinem Ablaufdatum befindet, kann es bei einer organisationsbedingten Verzögerung der Rotation des Schlüssels zu einem Ausfall kommen. Schlüssel sollten nach einer angegebenen Anzahl von Tagen vor ihrem Ablauf rotiert werden, damit genügend Zeit ist, um auf Fehler reagieren zu können. Audit, Deny, Disabled 1.0.1
Schlüssel müssen die angegebene maximale Gültigkeitsdauer aufweisen Hiermit werden die Konformitätsanforderungen Ihrer Organisation verwaltet, indem die maximale Zeitspanne in Tagen angegeben wird, für die ein Schlüssel innerhalb Ihres Schlüsseltresors gültig sein darf. Audit, Deny, Disabled 1.0.1
Schlüssel dürfen nicht länger als die angegebene Anzahl von Tagen aktiv sein Geben Sie die Anzahl von Tagen an, die ein Schlüssel aktiv sein soll. Schlüssel, die für einen längeren Zeitraum verwendet werden, erhöhen die Wahrscheinlichkeit, dass ein Angreifer den Schlüssel kompromittieren könnte. Stellen Sie als bewährte Sicherheitsmaßnahme sicher, dass Ihre Schlüssel nicht länger als zwei Jahre aktiv waren. Audit, Deny, Disabled 1.0.1
Schlüssel mit Kryptografie für elliptische Kurve müssen die angegebenen Kurvennamen verwenden Schlüssel, die durch Kryptografie für elliptische Kurve gesichert sind, können andere Kurvennamen besitzen. Einige Anwendungen sind nur mit bestimmten elliptischen Kurvenschlüsseln kompatibel. Erzwingen Sie die Typen elliptischer Kurvenschlüssel, die für die Erstellung in Ihrer Umgebung zugelassen sind. Audit, Deny, Disabled 1.0.1
Schlüssel mit RSA-Kryptografie müssen eine angegebene Mindestgröße für Schlüssel aufweisen Legen Sie die zulässige Mindestschlüsselgröße fest, die mit ihren Schlüsseltresoren verwendet werden kann. Die Verwendung kleiner RSA-Schlüssel ist kein sicheres Verfahren und verstößt gegen viele Zertifizierungsanforderungen nach Industriestandard. Audit, Deny, Disabled 1.0.1
In einem verwalteten Azure Key Vault-HSM müssen Ressourcenprotokolle aktiviert sein Sie können eine Überwachung durchführen, indem Sie Ressourcenprotokolle für verwaltete HSMs aktivieren. Auf diese Weise können Sie zu Untersuchungszwecken vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. Befolgen Sie die hier aufgeführten Anweisungen: https://docs.microsoft.com/azure/key-vault/managed-hsm/logging. AuditIfNotExists, Disabled 1.1.0
In Key Vault müssen Ressourcenprotokolle aktiviert sein. Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. AuditIfNotExists, Disabled 5.0.0
Festlegen des Inhaltstyps für Geheimnisse erforderlich Mithilfe eines Inhaltstyptags können Sie identifizieren, ob ein Geheimnis ein Kennwort, eine Verbindungszeichenfolge usw. ist. Andere Geheimnisse haben andere Rotationsanforderungen. Das Inhaltstyptag sollte für Geheimnisse festgelegt werden. Audit, Deny, Disabled 1.0.1
Für Geheimnisse müssen mehr als die angegebene Anzahl von Tagen vor Ablauf vorliegen Wenn sich ein Geheimnis zu nah an seinem Ablaufdatum befindet, kann es bei einer organisationsbedingten Verzögerung der Rotation des Geheimnisses zu einem Ausfall kommen. Geheimnisse sollten nach einer angegebenen Anzahl von Tagen vor ihrem Ablauf rotiert werden, damit genügend Zeit ist, um auf Fehler reagieren zu können. Audit, Deny, Disabled 1.0.1
Geheimnisse müssen die angegebene maximale Gültigkeitsdauer aufweisen Hiermit werden die Konformitätsanforderungen Ihrer Organisation verwaltet, indem die maximale Zeitspanne in Tagen angegeben wird, für die ein Geheimnis innerhalb Ihres Schlüsseltresors gültig sein darf. Audit, Deny, Disabled 1.0.1
Geheimnisse dürfen nicht länger als die angegebene Anzahl von Tagen aktiv sein Wenn Ihre Geheimnisse mit einem in der Zukunft liegenden Aktivierungsdatum erstellt wurden, müssen Sie sicherstellen, dass Ihre Geheimnisse nicht länger als für die angegebene Dauer aktiv sind. Audit, Deny, Disabled 1.0.1

Kubernetes

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
[Vorschau]: [Bildintegrität] Kubernetes-Cluster dürfen nur Bilder verwenden, die mit Notation signiert sind Verwenden Sie mit Notation signierte Bilder, um sicherzustellen, dass Bilder aus vertrauenswürdigen Quellen stammen und nicht böswillig geändert werden. Weitere Informationen finden Sie unter https://aka.ms/aks/image-integrity. Audit, Disabled 1.0.0-preview
[Vorschau]: Für Azure Arc-fähige Kubernetes-Cluster muss die Microsoft Defender für Cloud-Erweiterung installiert sein. Die Microsoft Defender für Cloud-Erweiterung für Azure Arc bietet Bedrohungsschutz für Ihre Arc-fähigen Kubernetes-Cluster. Die Erweiterung sammelt Daten von allen Knoten im Cluster und sendet sie zur weiteren Analyse an das Azure Defender für Kubernetes-Back-End in der Cloud. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. AuditIfNotExists, Disabled 6.0.0-preview
[Vorschau]: Einzelne Knoten können nicht bearbeitet werden Einzelne Knoten können nicht bearbeitet werden. Benutzer*innen sollten einzelne Knoten nicht bearbeiten. Bearbeiten Sie Knotenpools. Das Ändern einzelner Knoten kann zu inkonsistenten Einstellungen, betrieblichen Herausforderungen und potenziellen Sicherheitsrisiken führen. Audit, Deny, Disabled 1.1.1-preview
[Vorschau]: Konfigurieren von Kubernetes-Clustern mit Azure Arc-Unterstützung für die Installation der Microsoft Defender für Cloud-Erweiterung Die Microsoft Defender für Cloud-Erweiterung für Azure Arc bietet Bedrohungsschutz für Ihre Arc-fähigen Kubernetes-Cluster. Die Erweiterung sammelt Daten von allen Knoten im Cluster und sendet sie zur weiteren Analyse an das Azure Defender für Kubernetes-Back-End in der Cloud. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. DeployIfNotExists, Disabled 7.1.0-preview
[Vorschau]: Bereitstellen der Imageintegrität in Azure Kubernetes Service Stellen Sie sowohl das Imageintegritäts-Add-On als auch das Policy-Add-On in Azure Kubernetes-Clustern bereit. Weitere Informationen finden Sie unter https://aka.ms/aks/image-integrity. DeployIfNotExists, Disabled 1.0.5-preview
[Vorschau]: Kubernetes-Cluster-Containermages müssen den preStop-Hook enthalten Erfordert, dass Containerimages einen PreStop-Hook enthalten, um Prozesse während des Herunterfahrens von Pods ordnungsgemäß zu beenden. Audit, Deny, Disabled 1.0.0-preview
[Vorschau]: Kubernetes-Cluster-Containerimages sollten nicht das neueste Imagetag enthalten Erfordert, dass Containerimages nicht das neueste Tag in Kubernetes verwenden. Es empfiehlt sich, die Reproduzierbarkeit sicherzustellen, unbeabsichtigte Updates zu verhindern und das Debuggen und Rollbacks mithilfe expliziter Containerimages und Containerimages mit Versionsangabe zu vereinfachen. Audit, Deny, Disabled 1.0.0-preview
[Vorschau]: Kubernetes-Clustercontainer sollten nur Images pullen, wenn Geheimnisse für das Pullen von Images vorhanden sind Schränkt das Pullen von Images durch den Container ein, um das Vorhandensein von ImagePullSecrets zu erzwingen und damit einen sicheren und autorisierten Zugriff auf Images in einem Kubernetes-Cluster sicherzustellen Audit, Deny, Disabled 1.1.0-preview
[Vorschau]: Kubernetes-Clusterdienste sollten eindeutige Selektoren verwenden Stellen Sie sicher, dass Dienste in einem Namespace eindeutige Selektoren haben. Eine eindeutige Dienstauswahl stellt sicher, dass jeder Dienst innerhalb eines Namespace basierend auf bestimmten Kriterien eindeutig identifizierbar ist. Diese Richtlinie synchronisiert eingehende Ressourcen über Gatekeeper in OPA. Prüfen Sie vor der Anwendung, ob die Speicherkapazität von Gatekeeper-Pods nicht überschritten wird. Parameter gelten für bestimmte Namespaces, synchronisiert aber alle Ressourcen dieses Typs in allen Namespaces. Derzeit in der Vorschau für Kubernetes Service (AKS). Audit, Deny, Disabled 1.1.1-preview
[Vorschau]: Kubernetes-Cluster sollte präzise Budgets für die Unterbrechung von Pods implementieren Verhindert fehlerhafte Pod-Unterbrechungsbudgets und stellt so eine minimale Anzahl betriebsbereiter Pods sicher. Details dazu finden Sie in der offiziellen Kubernetes-Dokumentation. Basiert auf der Gatekeeper-Datenreplikation und synchronisiert alle eingehenden Ressourcen, die darauf aufgeteilt sind, in OPA. Stellen Sie vor der Anwendung dieser Richtlinie sicher, dass die synchronisierten Eingangsressourcen Ihre Speicherkapazität nicht belasten. Obwohl Parameter bestimmte Namespaces auswerten, werden alle Ressourcen dieser Art in allen Namespaces synchronisiert. Hinweis: Derzeit in der Vorschau für Kubernetes Service (AKS). Audit, Deny, Disabled 1.1.1-preview
[Vorschau]: Kubernetes-Cluster sollen das Erstellen des angegebenen Ressourcentyps einschränken. Der angegebene Kubernetes-Ressourcentyp sollte in bestimmten Namespaces nicht bereitgestellt werden. Audit, Deny, Disabled 2.2.0-preview
[Vorschau]: Antiaffinitätsregeln müssen festgelegt sein Diese Richtlinie stellt sicher, dass Pods auf verschiedenen Knoten innerhalb des Clusters geplant werden. Durch das Erzwingen von Antiaffinitätsregeln wird die Verfügbarkeit auch dann beibehalten, wenn einer der Knoten nicht mehr verfügbar ist. Pods werden weiterhin auf anderen Knoten ausgeführt, wodurch die Resilienz verbessert wird. Audit, Deny, Disabled 1.1.1-preview
[Vorschau]: Keine spezifischen AKS-Bezeichnungen Verhindert, dass Kunden AKS-spezifische Bezeichnungen anwenden. AKS verwendet Bezeichnungen mit dem Präfix kubernetes.azure.com, um AKS-eigene Komponenten zu kennzeichnen. Der Kunde sollte diese Bezeichnungen nicht verwenden. Audit, Deny, Disabled 1.1.1-preview
[Vorschau]: Reservierte Systempool-Taints Beschränkt den CriticalAddonsOnly-Taint auf nur den Systempool. AKS verwendet den CriticalAddonsOnly-Taint, um Kunden-Pods vom Systempool fernzuhalten. Sie sorgt für eine klare Trennung zwischen AKS-Komponenten und Kunden-Pods, und verhindert, dass Kunden-Pods entfernt werden, wenn sie den CriticalAddonsOnly-Taint nicht tolerieren. Audit, Deny, Disabled 1.1.1-preview
[Vorschau]: Beschränkt den CriticalAddonsOnly-Taint nur auf den Systempool. Um die Entfernung von Benutzer-Apps aus Benutzerpools zu vermeiden und die Trennung von Bedenken zwischen den Benutzer- und Systempools aufrechtzuerhalten, sollte der Taint „CriticalAddonsOnly“ nicht auf Benutzerpools angewendet werden. Mutieren, deaktiviert 1.1.0-preview
[Vorschau]: Legt CPU-Grenzwerte für Kubernetes-Clustercontainer auf Standardwerte fest, falls keine Grenzwerte vorhanden sind. Um Ressourcenauslastungsgsangriffe in einem Kubernetes-Cluster zu verhindern, werden Grenzwerte für die Container-CPU festgelegt. Mutieren, deaktiviert 1.1.1-preview
[Vorschau]: Legt CPU-Grenzwerte für Kubernetes-Clustercontainer auf Standardwerte fest, falls keine Grenzwerte vorhanden sind. Um Ressourcenauslastungsangriffe in einem Kubernetes-Cluster zu verhindern, werden Grenzwerte für den Containerarbeitsspeicher festgelegt. Mutieren, deaktiviert 1.1.1-preview
[Vorschau]: Legt maxUnavailable-Pods auf 1 für PodDisruptionBudget-Ressourcen fest Durch das Festlegen des maximal nicht verfügbaren Pod-Werts auf 1 wird sichergestellt, dass Ihre Anwendung oder Ihr Dienst während einer Unterbrechung verfügbar ist Mutieren, deaktiviert 1.1.0-preview
[Vorschau]: Legt readOnlyRootFileSystem in der Pod-Spezifikation in Init-Containern auf „true“ fest, wenn es nicht festgelegt ist. Das Festlegen von readOnlyRootFileSystem auf „true" erhöht die Sicherheit, indem Container daran gehindert werden, in das Stammdateisystem zu schreiben. Dies funktioniert nur mit Linux-Containern. Mutieren, deaktiviert 1.1.0-preview
[Vorschau]: Legt readOnlyRootFileSystem in der Pod-Spezifikation auf „true“ fest, wenn es nicht festgelegt ist. Das Festlegen von readOnlyRootFileSystem auf „true" erhöht die Sicherheit, indem Container daran gehindert werden, in das Stammdateisystem zu schreiben Mutieren, deaktiviert 1.1.0-preview
Für Azure Arc-fähige Kubernetes-Cluster sollte die Azure Policy-Erweiterung installiert sein Die Azure Policy-Erweiterung für Azure Arc bietet zentrale und konsistente Erzwingungs- und Schutzfunktionen für Ihre Kubernetes-Cluster mit Arc-Unterstützung. Weitere Informationen finden Sie unter https://aka.ms/akspolicydoc. AuditIfNotExists, Disabled 1.1.0
Azure Arc-fähige Kubernetes-Cluster sollten die Open Service Mesh-Erweiterung installiert haben Die Open Service Mesh-Erweiterung bietet alle standardmäßigen Service Mesh-Funktionen für Sicherheit, Datenverkehrsverwaltung und Einblick in Anwendungsdienste. Weitere Informationen finden Sie hier: https://aka.ms/arc-osm-doc DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Für Azure Arc-fähige Kubernetes-Cluster muss die Strimzi Kafka-Erweiterung installiert sein Die Strimzi Kafka-Erweiterung bietet den Operatoren die Möglichkeit, Kafka zum Erstellen von Echtzeitdatenpipelines und Streaminganwendungen mit Sicherheits- und Einblickfunktionen zu installieren. Weitere Informationen finden Sie hier: https://aka.ms/arc-strimzikafka-doc. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Azure Kubernetes-Cluster sollten SSH deaktivieren Durch die Deaktivieren von SSH können Sie Ihren Cluster sichern und die Angriffsfläche reduzieren. Weitere Informationen finden Sie unter: aka.ms/aks/disablessh Audit, Disabled 1.0.0
Azure Kubernetes-Cluster sollten Container Storage Interface (CSI) aktivieren. Container Storage Interface (CSI) ist ein Standard für die Bereitstellung beliebiger Block- und Dateispeichersysteme für containerisierte Workloads in Azure Kubernetes Service. Weitere Informationen finden Sie unter https://aka.ms/aks-csi-driver Audit, Disabled 1.0.0
Azure Kubernetes-Cluster sollten den Schlüsselverwaltungsdienst (Key Management Service, KMS) aktivieren Verwenden Sie den Schlüsselverwaltungsdienst (Key Management Service, KMS), um ruhende Geheimnisdaten in etcd für die Kubernetes-Clustersicherheit zu verschlüsseln. Weitere Informationen finden Sie unter https://aka.ms/aks/kmsetcdencryption. Audit, Disabled 1.0.0
Azure Kubernetes-Cluster sollten Azure CNI verwenden Azure CNI ist eine Voraussetzung für einige Azure Kubernetes Service-Funktionen, einschließlich Azure-Netzwerkrichtlinien, Windows-Knotenpools und Add-Ons für virtuelle Knoten. Weitere Informationen finden Sie unter: https://aka.ms/aks-azure-cni Audit, Disabled 1.0.1
Azure Kubernetes Service-Cluster sollten den Befehlsaufruf deaktivieren Das Deaktivieren von Befehlsaufrufen kann die Sicherheit erhöhen, da die Umgehung des eingeschränkten Netzwerkzugriffs oder der rollenbasierten Zugriffssteuerung von Kubernetes vermieden wird. Audit, Disabled 1.0.1
Azure Kubernetes Service-Cluster sollten das automatische Upgrade von Clustern aktivieren Das automatische Upgrade von AKS-Clustern kann sicherstellen, dass Ihre Cluster auf dem neuesten Stand sind und Sie die neuesten AKS-Features oder Patches von AKS und der Upstreamversion von Kubernetes nicht verpassen. Weitere Informationen finden Sie unter https://learn.microsoft.com/en-us/azure/aks/auto-upgrade-cluster. Audit, Disabled 1.0.0
Azure Kubernetes-Dienstcluster sollten Image Cleaner aktivieren Image Cleaner führt die automatische Erkennung und Entfernung von anfälligen und unbenutzten Images durch, sodass das Risiko veralteter Images verringert und die Zeit für das Bereinigen reduziert wird. Weitere Informationen finden Sie unter https://aka.ms/aks/image-cleaner. Audit, Disabled 1.0.0
In Azure Kubernetes Service-Clustern sollte die Microsoft Entra ID-Integration aktiviert sein Die von AKS verwaltete Microsoft Entra ID-Integration kann den Zugriff auf die Cluster verwalten, indem die rollenbasierte Zugriffssteuerung von Kubernetes (Kubernetes RBAC) basierend auf der Identität oder Verzeichnisgruppenmitgliedschaft von Benutzer*innen konfiguriert wird. Weitere Informationen finden Sie unter https://aka.ms/aks-managed-aad. Audit, Disabled 1.0.2
Azure Kubernetes-Dienstcluster sollten das automatische Upgrade des Knotenbetriebssystems aktivieren Das automatische Upgrade des AKS-Knotens steuert Betriebssystem-Sicherheitsupdates auf Knotenebene. Weitere Informationen finden Sie unter https://learn.microsoft.com/en-us/azure/aks/auto-upgrade-node-image. Audit, Disabled 1.0.0
Azure Kubernetes Service-Cluster sollten die Workloadidentität aktivieren Die Workloadidentität ermöglicht es, jedem Kubernetes-Pod eine eindeutige Identität zuzuweisen und sie mit durch Azure AD geschützten Ressourcen wie Azure Key Vault zu verknüpfen, was den sicheren Zugriff auf diese Ressourcen innerhalb des Pods ermöglicht. Weitere Informationen finden Sie unter https://aka.ms/aks/wi. Audit, Disabled 1.0.0
Für den Azure Kubernetes Service-Cluster sollte das Defender-Profil aktiviert sein Microsoft Defender für Container bietet cloudnative Kubernetes-Sicherheitsfunktionen wie Umgebungshärtung, Workloadschutz und Laufzeitschutz. Wenn Sie SecurityProfile.AzureDefender in Ihrem Azure Kubernetes Service-Cluster aktivieren, wird ein Agent in Ihrem Cluster bereitgestellt, um Sicherheitsereignisdaten zu sammeln. Weitere Informationen zu Azure Defender für Container finden Sie unter https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks. Audit, Disabled 2.0.1
Für Azure Kubernetes Service-Cluster sollten lokale Authentifizierungsmethoden deaktiviert sein Das Deaktivieren lokaler Authentifizierungsmethoden verbessert die Sicherheit, da hierdurch sichergestellt wird, dass Azure Kubernetes Service-Cluster ausschließlich Azure Active Directory-Identitäten für die Authentifizierung anfordern. Weitere Informationen finden Sie unter https://aka.ms/aks-disable-local-accounts. Audit, Deny, Disabled 1.0.1
Azure Kubernetes Service-Cluster sollten verwaltete Identitäten verwenden Verwenden Sie verwaltete Identitäten, um Dienstprinzipale zu umschließen, die Clusterverwaltung zu vereinfachen und die Komplexität zu vermeiden, die für verwaltete Dienstprinzipale erforderlich ist. Weitere Informationen finden Sie unter: https://aka.ms/aks-update-managed-identities Audit, Disabled 1.0.1
Private Azure Kubernetes Service-Cluster müssen aktiviert sein Aktivieren Sie das Feature für private Cluster für Ihren Azure Kubernetes Service-Cluster, um den Netzwerkdatenverkehr zwischen Ihrem API-Server und Ihren Knotenpools auf das private Netzwerk zu beschränken. Diese Verschlüsselung ist eine gängige Anforderung in vielen gesetzlichen und branchenspezifischen Konformitätsstandards. Audit, Deny, Disabled 1.0.1
Das Azure Policy-Add-On für den Kubernetes-Dienst (AKS) muss auf Ihren Clustern installiert und aktiviert sein. Das Azure Policy-Add-On für den Kubernetes-Dienst (AKS) erweitert Gatekeeper v3, einen OPA-Webhook (Open Policy Agent) für die Zugangssteuerung, um umfassende Durchsetzungen und Schutzvorrichtungen für Ihre Cluster zentral und konsistent anzuwenden. Audit, Disabled 1.0.2
Datenträger für Betriebssysteme und Daten in Azure Kubernetes Service-Clustern müssen mithilfe von kundenseitig verwalteten Schlüsseln verschlüsselt werden Das Verschlüsseln von Datenträgern für Betriebssystem und Daten mithilfe von kundenseitig verwalteten Schlüsseln bietet mehr Kontrolle und größere Flexibilität bei der Schlüsselverwaltung. Diese Verschlüsselung ist eine gängige Anforderung in vielen gesetzlichen und branchenspezifischen Konformitätsstandards. Audit, Deny, Disabled 1.0.1
Azure Arc-fähige Kubernetes-Cluster für die Installation der Azure Policy-Erweiterung konfigurieren Stellen Sie die Azure Policy-Erweiterung für Azure Arc bereit, um skalierbare Erzwingungs- und Schutzfunktionen zentral und einheitlich für Kubernetes-Cluster mit Arc-Unterstützung zur Verfügung zu stellen. Weitere Informationen finden Sie unter https://aka.ms/akspolicydoc. DeployIfNotExists, Disabled 1.1.0
Konfigurieren des Azure Kubernetes Service-Clusters zum Aktivieren des Defender-Profils Microsoft Defender für Container bietet cloudnative Kubernetes-Sicherheitsfunktionen wie Umgebungshärtung, Workloadschutz und Laufzeitschutz. Wenn Sie SecurityProfile.Defender in Ihrem Azure Kubernetes Service-Cluster aktivieren, wird ein Agent in Ihrem Cluster bereitgestellt, um Sicherheitsereignisdaten zu sammeln. Erfahren Sie mehr über Microsoft Defender für Container: https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks. DeployIfNotExists, Disabled 4.2.0
Konfigurieren der Installation der Flux-Erweiterung im Kubernetes-Cluster Installieren Sie die Flux-Erweiterung im Kubernetes-Cluster, um die Bereitstellung von „fluxconfigurations“ im Cluster zu aktivieren. DeployIfNotExists, Disabled 1.0.0
Konfigurieren von Kubernetes-Clustern mit Flux v2-Konfiguration mittels Bucketquelle und Geheimnissen in Key Vault Hiermit wird durch eine Bereitstellung von „fluxConfiguration“ für Kubernetes-Cluster sichergestellt, dass die Cluster ihre SSOT (Single Source of Truth) für Workloads und Konfigurationen aus dem definierten Bucket abrufen. Für diese Definition ist ein Bucket-SecretKey erforderlich, der in Key Vault gespeichert ist. Anweisungen finden Sie unter https://aka.ms/GitOpsFlux2Policy. DeployIfNotExists, Disabled 1.0.0
Konfigurieren von Kubernetes-Clustern mit Flux v2-Konfiguration mittels Git-Repository und HTTPS-Zertifikat der Zertifizierungsstelle Hiermit wird durch eine Bereitstellung von „fluxConfiguration“ für Kubernetes-Cluster sichergestellt, dass die Cluster ihre SSOT (Single Source of Truth) für Workloads und Konfigurationen aus dem definierten Git-Repository abrufen. Für diese Definition ist ein HTTPS-Zertifikat der Zertifizierungsstelle erforderlich. Anweisungen finden Sie unter https://aka.ms/GitOpsFlux2Policy. DeployIfNotExists, Disabled 1.0.1
Konfigurieren von Kubernetes-Clustern mit Flux v2-Konfiguration mittels Git-Repository und HTTPS-Geheimnissen Hiermit wird durch eine Bereitstellung von „fluxConfiguration“ für Kubernetes-Cluster sichergestellt, dass die Cluster ihre SSOT (Single Source of Truth) für Workloads und Konfigurationen aus dem definierten Git-Repository abrufen. Für diese Definition ist ein HTTPS-Schlüsselgeheimnis erforderlich, das in Key Vault gespeichert ist. Anweisungen finden Sie unter https://aka.ms/GitOpsFlux2Policy. DeployIfNotExists, Disabled 1.0.0
Konfigurieren von Kubernetes-Clustern mit Flux v2-Konfiguration mittels Git-Repository und lokalen Geheimnissen Hiermit wird durch eine Bereitstellung von „fluxConfiguration“ für Kubernetes-Cluster sichergestellt, dass die Cluster ihre SSOT (Single Source of Truth) für Workloads und Konfigurationen aus dem definierten Git-Repository abrufen. Für diese Definition sind lokale Authentifizierungsgeheimnisse erforderlich, die im Kubernetes-Cluster gespeichert sind. Anweisungen finden Sie unter https://aka.ms/GitOpsFlux2Policy. DeployIfNotExists, Disabled 1.0.0
Konfigurieren von Kubernetes-Clustern mit Flux v2-Konfiguration mittels Git-Repository und SSH-Geheimnissen Hiermit wird durch eine Bereitstellung von „fluxConfiguration“ für Kubernetes-Cluster sichergestellt, dass die Cluster ihre SSOT (Single Source of Truth) für Workloads und Konfigurationen aus dem definierten Git-Repository abrufen. Für diese Definition ist ein privates SSH-Schlüsselgeheimnis erforderlich, das in Key Vault gespeichert ist. Anweisungen finden Sie unter https://aka.ms/GitOpsFlux2Policy. DeployIfNotExists, Disabled 1.0.0
Konfigurieren von Kubernetes-Clustern mit Flux v2-Konfiguration mittels einem öffentlichen Git-Repository Hiermit wird durch eine Bereitstellung von „fluxConfiguration“ für Kubernetes-Cluster sichergestellt, dass die Cluster ihre SSOT (Single Source of Truth) für Workloads und Konfigurationen aus dem definierten Git-Repository abrufen. Für diese Definition werden keine Geheimnisse benötigt. Anweisungen finden Sie unter https://aka.ms/GitOpsFlux2Policy. DeployIfNotExists, Disabled 1.0.0
Konfigurieren von Kubernetes-Clustern mit der angegebenen Flux v2-Bucketquelle mittels lokalen Geheimnissen Hiermit wird durch eine Bereitstellung von „fluxConfiguration“ für Kubernetes-Cluster sichergestellt, dass die Cluster ihre SSOT (Single Source of Truth) für Workloads und Konfigurationen aus dem definierten Bucket abrufen. Für diese Definition sind lokale Authentifizierungsgeheimnisse erforderlich, die im Kubernetes-Cluster gespeichert sind. Anweisungen finden Sie unter https://aka.ms/GitOpsFlux2Policy. DeployIfNotExists, Disabled 1.0.0
Kubernetes-Cluster mit der angegebenen GitOps-Konfiguration unter Verwendung von HTTPS-Geheimnissen konfigurieren Hiermit wird durch eine Bereitstellung von „sourceControlConfiguration“ für Kubernetes-Cluster sichergestellt, dass die Cluster ihre SSOT (Single Source of Truth) für Workloads und Konfigurationen aus dem definierten Git-Repository abrufen. Für diese Definition müssen HTTPS-Benutzer und -Schlüsselgeheimnisse in Key Vault gespeichert werden. Anweisungen finden Sie unter https://aka.ms/K8sGitOpsPolicy. auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, deaktiviert, Deaktiviert 1.1.0
Kubernetes-Clustern mit der angegebenen GitOps-Konfiguration ohne Verwendung von Geheimnissen konfigurieren Hiermit wird durch eine Bereitstellung von „sourceControlConfiguration“ für Kubernetes-Cluster sichergestellt, dass die Cluster ihre SSOT (Single Source of Truth) für Workloads und Konfigurationen aus dem definierten Git-Repository abrufen. Für diese Definition werden keine Geheimnisse benötigt. Anweisungen finden Sie unter https://aka.ms/K8sGitOpsPolicy. auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, deaktiviert, Deaktiviert 1.1.0
Kubernetes-Cluster mit der angegebenen GitOps-Konfiguration unter Verwendung von SSH-Geheimnissen konfigurieren Hiermit wird durch eine Bereitstellung von „sourceControlConfiguration“ für Kubernetes-Cluster sichergestellt, dass die Cluster ihre SSOT (Single Source of Truth) für Workloads und Konfigurationen aus dem definierten Git-Repository abrufen. Für diese Definition muss ein Geheimnis für einen privaten SSH-Schlüssel in Key Vault gespeichert werden. Anweisungen finden Sie unter https://aka.ms/K8sGitOpsPolicy. auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, deaktiviert, Deaktiviert 1.1.0
Mit Microsoft Entra ID integrierte Azure Kubernetes Service-Cluster mit erforderlichem Administratorgruppenzugriff konfigurieren Stellen Sie sicher, dass Sie die Clustersicherheit verbessern, indem Sie den Administratorzugriff auf die in Microsoft Entra ID integrierten AKS-Cluster zentral steuern. DeployIfNotExists, Disabled 2.1.0
Konfigurieren des automatischen Upgrades des Knotenbetriebssystems auf Azure Kubernetes Cluster Verwenden Sie das automatische Upgrade des Node OS, um Betriebssystem-Sicherheitsupdates auf Knotenebene von Azure Kubernetes Service (AKS)-Clustern zu steuern. Weitere Informationen finden Sie unter https://learn.microsoft.com/en-us/azure/aks/auto-upgrade-node-image. DeployIfNotExists, Disabled 1.0.1
Bereitstellen: Diagnoseeinstellungen für Azure Kubernetes Service in Log Analytics-Arbeitsbereich konfigurieren Hiermit werden die Diagnoseeinstellungen für Azure Kubernetes Service bereitgestellt, um Ressourcenprotokolle an einen Log Analytics-Arbeitsbereich zu streamen. DeployIfNotExists, Disabled 3.0.0
Azure Policy-Add-On für Azure Kubernetes Service-Cluster bereitstellen Verwenden Sie das Azure Policy-Add-On, um den Konformitätsstatus Ihrer AKS-Cluster (Azure Kubernetes Service) zu verwalten und zu melden. Weitere Informationen finden Sie unter https://aka.ms/akspolicydoc. DeployIfNotExists, Disabled 4.1.0
Bereitstellen von Image Cleaner auf Azure Kubernetes Service Stellen Sie Image Cleaner auf Azure Kubernetes-Clustern bereit. Weitere Informationen finden Sie unter https://aka.ms/aks/image-cleaner. DeployIfNotExists, Disabled 1.0.4
Bereitstellen der geplanten Wartung zum Planen und Steuern von Upgrades für Ihren Azure Kubernetes Service (AKS)-Cluster Mit der geplanten Wartung können Sie wöchentliche Wartungsfenster planen, um Updates durchzuführen und die Auswirkungen auf Workloads zu minimieren. Nach der Planung werden Upgrades nur noch während des festgelegten Zeitfensters durchgeführt. Weitere Informationen finden Sie unter: https://aka.ms/aks/planned-maintenance DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Deaktivieren des Befehlsaufrufs in Azure Kubernetes Service-Clustern Das Deaktivieren des Befehlsaufrufs kann die Sicherheit erhöhen, da der Befehlsaufrufzugriff auf den Cluster abgelehnt wird. DeployIfNotExists, Disabled 1.2.0
Stellen Sie sicher, dass für Clustercontainer Bereitschafts- oder Livetests konfiguriert sind Diese Richtlinie erzwingt, dass für alle Pods Bereitschafts- und/oder Livetests konfiguriert sind. Testtypen können tcpSocket, httpGet und exec sein. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Anweisungen zur Verwendung dieser Richtlinie finden Sie unter https://aka.ms/kubepolicydoc. Audit, Deny, Disabled 3.2.0
CPU- und Arbeitsspeicherressourcen für Container in einem Kubernetes-Cluster dürfen die angegebenen Limits nicht überschreiten Hiermit werden Ressourcenlimits für Container-CPU und Arbeitsspeicher erzwungen, um Ressourcenauslastungsangriffe in einem Kubernetes-Cluster zu verhindern. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung 9.2.0
Container im Kubernetes-Cluster dürfen den Namespace für Hostprozess-ID oder Host-IPC nicht freigeben Hiermit wird verhindert, dass Podcontainer die Namespaces für Hostprozess-ID und Host-IPC in einem Kubernetes-Cluster freigeben. Diese Empfehlung ist Bestandteil von CIS 5.2.2 und CIS 5.2.3, mit denen die Sicherheit Ihrer Kubernetes-Umgebungen verbessert werden soll. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung 5.1.0
Container in einem Kubernetes-Cluster dürfen keine unzulässigen sysctl-Schnittstellen verwenden Hiermit wird verhindert, dass Container unzulässige sysctl-Schnittstellen in einem Kubernetes-Cluster verwenden. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung 7.1.1
Container in einem Kubernetes-Cluster dürfen nur zulässige AppArmor-Profile verwenden Hiermit wird sichergestellt, dass Container nur zugelassene AppArmor-Profile in einem Kubernetes-Cluster verwenden dürfen. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung 6.1.1
Container in einem Kubernetes-Cluster dürfen nur zulässige Funktionen verwenden Hiermit wird durch eine Einschränkung von Funktionen die Angriffsfläche von Containern in einem Kubernetes-Cluster verringert. Diese Empfehlung ist Bestandteil von CIS 5.2.8 und CIS 5.2.9, mit denen die Sicherheit Ihrer Kubernetes-Umgebungen verbessert werden soll. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung 6.1.0
Container in einem Kubernetes-Cluster dürfen nur zugelassene Images verwenden Hiermit werden Images aus vertrauenswürdigen Registrierungen verwendet. So wird das Risiko einer Einführung unbekannter Schwachstellen, Sicherheitsprobleme und schädlicher Images für Ihren Kubernetes-Clusters verringert. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung 9.2.0
Container in einem Kubernetes-Cluster dürfen nur einen zulässigen ProcMountType verwenden Hiermit wird sichergestellt, dass Podcontainer nur zugelassene ProcMountTypes in einem Kubernetes-Cluster verwenden können. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung 8.1.1
Kubernetes-Clustercontainer dürfen nur zulässige Pullrichtlinien verwenden. Einschränken der Pullrichtlinie von Containern, um zu erzwingen, dass Container nur zulässige Images für Bereitstellungen verwenden Audit, Deny, Disabled 3.1.0
Container in einem Kubernetes-Cluster dürfen nur zulässige seccomp-Profile verwenden Hiermit wird sichergestellt, dass Podcontainer nur zugelassene seccomp-Profile in einem Kubernetes-Cluster verwenden können. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung 7.1.1
Container im Kubernetes-Cluster müssen mit einem schreibgeschützten Stammdateisystem ausgeführt werden Hiermit werden Container mit einem schreibgeschützten Stammdateisystem ausgeführt. So werden Container vor Änderungen zur Laufzeit geschützt, bei denen in einem Kubernetes-Cluster schädliche Binärdateien in PATH eingefügt werden. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung 6.2.0
Pods in einem Kubernetes-Cluster dürfen nur zulässige FlexVolume-Volumes verwenden Hiermit wird sichergestellt, dass FlexVolume-Podvolumes in einem Kubernetes-Cluster nur zugelassene Treiber verwenden können. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung 5.1.1
Für hostPath-Volumes von Pods in einem Kubernetes-Cluster dürfen nur zulässige Hostpfade verwendet werden Hiermit wird die Bereitstellung von Pod HostPath-Volumes auf die zugelassenen Hostpfade in einem Kubernetes-Cluster beschränkt. Diese Richtlinie ist für Kubernetes Service (AKS) und Azure Arc-fähiges Kubernetes allgemein verfügbar. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung 6.1.1
Pods und Container in einem Kubernetes-Cluster dürfen nur mit genehmigten Benutzer- und Gruppen-IDs ausgeführt werden Hiermit werden die IDs für Benutzer, primäre Gruppen, zusätzliche Gruppen und Dateisystemgruppen gesteuert, die Pods und Container zur Ausführung in einem Kubernetes-Cluster verwenden können. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung 6.1.1
Kubernetes-Clusterpods und -container dürfen nur zulässige SELinux-Optionen verwenden. Hiermit wird sichergestellt, dass Pods und Container nur zugelassene SELinux-Optionen in einem Kubernetes-Cluster verwenden können. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung 7.1.1
Pods in Kubernetes-Clustern dürfen nur zulässige Volumetypen verwenden Hiermit wird sichergestellt, dass Pods nur zugelassene Volumetypen in einem Kubernetes-Cluster verwenden können. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung 5.1.1
Pods im Kubernetes-Cluster dürfen nur genehmigte Hostnetzwerke und Portbereiche verwenden Schränken Sie den Podzugriff auf das Hostnetzwerk und den zulässigen Hostportbereich in einem Kubernetes-Cluster ein. Diese Empfehlung ist Teil von CIS 5.2.4, um die Sicherheit Ihrer Kubernetes-Umgebungen zu verbessern. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung 6.1.0
Pods in einem Kubernetes-Cluster müssen die angegebenen Bezeichnungen verwenden Hiermit werden die angegebenen Bezeichnungen verwendet, um die Pods in einem Kubernetes-Cluster zu identifizieren. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung 7.1.0
Kubernetes-Clusterdienste dürfen nur an zugelassenen Ports lauschen Hiermit wird erzwungen, dass Dienste nur an zugelassenen Ports lauschen können, um den Zugriff auf den Kubernetes-Cluster abzusichern. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung 8.1.0
Von Kubernetes-Clusterdiensten dürfen nur zulässige externe IP-Adressen verwendet werden. Verwenden Sie zulässige externe IP-Adressen, um den potenziellen Angriff (CVE-2020-8554) in einem Kubernetes-Cluster zu vermeiden. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung 5.1.0
Kubernetes-Cluster dürfen keine privilegierten Container zulassen Hiermit wird verhindert, dass privilegierte Container in einem Kubernetes-Cluster erstellt werden. Diese Empfehlung ist Bestandteil von CIS 5.2.1, mit dem die Sicherheit Ihrer Kubernetes-Umgebungen verbessert werden soll. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung 9.1.0
Kubernetes-Cluster sollten keine Naked Pods verwenden Blockieren Sie die Verwendung von Naked Pods. Naked Pods werden im Falle eines Knotenausfalls nicht neu geplant. Pods sollten durch Deployment, Replicset, Daemonset oder Jobs verwaltet werden. Audit, Deny, Disabled 2.1.0
Windows-Container in Kubernetes-Clustern sollten CPU und Arbeitsspeicher nicht überlasten Windows-Containerressourcenanforderungen müssen höchstens dem Ressourcenlimit entsprechen oder nicht angegeben sein, um einen übermäßigen Commit zu vermeiden. Wenn der Windows-Arbeitsspeicher überlastet ist, verarbeitet er Seiten auf dem Datenträger, anstatt den Container mit dem Fehler „Nicht genügend Arbeitsspeicher“ zu beenden. Dies kann die Leistung beeinträchtigen. Audit, Deny, Disabled 2.1.0
Windows-Container in Kubernetes-Clustern sollten nicht als ContainerAdministrator ausgeführt werden. Verhindern Sie die Verwendung von ContainerAdministrator als Benutzer*in zum Ausführen der Containerprozesse für Windows-Pods oder -Container. Diese Empfehlung soll die Sicherheit von Windows-Knoten verbessern. Weitere Informationen finden Sie unter https://kubernetes.io/docs/concepts/windows/intro/. Audit, Deny, Disabled 1.1.0
Windows-Container in Kubernetes-Clustern dürfen nur mit genehmigten Benutzer- und Domänenbenutzergruppen ausgeführt werden Steuern Sie den Benutzer, mit dem Windows-Pods und -Container in einem Kubernetes-Cluster ausgeführt werden können. Diese Empfehlung ist Teil der Podsicherheitsrichtlinien auf Windows-Knoten, mit denen die Sicherheit Ihrer Kubernetes-Umgebungen verbessert werden soll. Audit, Deny, Disabled 2.1.0
Auf Kubernetes-Cluster sollte nur über HTTPS zugegriffen werden können. Durch die Verwendung von HTTPS wird die Authentifizierung sichergestellt, und Daten werden bei der Übertragung vor Abhörangriffen auf der Vermittlungsschicht geschützt. Diese Funktion ist derzeit für Kubernetes Service (AKS) allgemein verfügbar und steht für Azure Arc-fähiges Kubernetes als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung 8.1.0
Für Kubernetes-Cluster muss die automatische Bereitstellung von API-Anmeldeinformationen deaktiviert werden Deaktivieren Sie die automatische Bereitstellung von API-Anmeldeinformationen, damit eine potenziell kompromittierte Podressource keine API-Befehle für Kubernetes-Cluster ausführen kann. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung 4.1.0
Kubernetes-Cluster sollten sicherstellen, dass die Rolle „Clusteradministrator*in“ nur bei Bedarf verwendet wird Die Rolle „Clusteradministrator*in“ bietet umfassende Befugnisse über die Umgebung und sollte nur bei Bedarf verwendet werden. Audit, Disabled 1.0.0
Kubernetes-Cluster sollten die Verwendung von Platzhaltern in Rollen und Clusterrollen minimieren Die Verwendung des Platzhalterzeichens „*“ kann ein Sicherheitsrisiko darstellen, da es umfassende Berechtigungen gewährt, die für eine bestimmte Rolle möglicherweise nicht erforderlich sind. Wenn eine Rolle über zu viele Berechtigungen verfügt, kann sie von Angreifer*innen oder kompromittierten Benutzer*innen missbraucht werden, um nicht autorisierten Zugriff auf Ressourcen im Cluster zu erhalten. Audit, Disabled 1.0.0
Kubernetes-Cluster dürfen keine Rechteausweitung zulassen Hiermit wird verhindert, dass Container mit einer Rechteausweitung auf „Root“ in einem Kubernetes-Cluster ausgeführt werden. Diese Empfehlung ist Bestandteil von CIS 5.2.5, mit dem die Sicherheit Ihrer Kubernetes-Umgebungen verbessert werden soll. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung 7.1.0
Kubernetes-Cluster dürfen keine Berechtigungen zum Bearbeiten von Endpunkten von ClusterRole/System zulassen: Aggregate-to-Edit ClusterRole/System: „Aggregate-to-Edit“ darf keine Berechtigungen zum Bearbeiten von Endpunkten zulassen, da aufgrund von CVE-2021-25740 EndPoint- und EndpointSlice-Berechtigungen die namespaceübergreifende Weiterleitung zulassen (https://github.com/kubernetes/kubernetes/issues/103675). Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. Audit, Disabled 3.1.0
Kubernetes-Cluster sollten keine CAP_SYS_ADMIN-Sicherheitsfunktionen gewähren Schränken Sie CAP_SYS_ADMIN-Linux-Funktionen ein, um die Angriffsfläche Ihrer Container zu verringern. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung 5.1.0
Kubernetes-Cluster dürfen keine spezifischen Sicherheitsfunktionen verwenden Unterbinden Sie bestimmte Sicherheitsfunktionen in Kubernetes-Clustern, um nicht erteilte Berechtigungen für die Podressource zu vermeiden. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung 5.1.0
Kubernetes-Cluster dürfen nicht den Standardnamespace verwenden Verhindern Sie die Verwendung des Standardnamespace in Kubernetes-Clustern, um ConfigMap-, Pod-, Geheimnis-, Dienst- und Dienstkontoressourcen vor einem nicht autorisierten Zugriff zu schützen. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung 4.1.0
Kubernetes-Cluster sollten Container Storage Interface(CSI)-Treiber StorageClass verwenden Container Storage Interface (CSI) ist ein Standard für die Bereitstellung beliebiger Block- und Dateispeichersysteme für containerisierte Workloads in Kubernetes. Die In-Tree-Provisioner-StorageClass sollte seit AKS-Version 1.21 veraltet sein. Weitere Informationen finden Sie unter https://aka.ms/aks-csi-driver Audit, Deny, Disabled 2.2.0
Kubernetes-Cluster müssen interne Lastenausgleichsmodule verwenden Hiermit wird über interne Lastenausgleichsmodule sichergestellt, dass eine Kubernetes Service-Instanz nur für Anwendungen zugänglich sind, die im selben virtuellen Netzwerk wie der Kubernetes-Cluster ausgeführt werden. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung 8.1.0
Kubernetes-Ressourcen sollten die erforderlichen Anmerkungen haben Stellen Sie sicher, dass erforderliche Anmerkungen an eine bestimmte Kubernetes-Ressourcenart angefügt werden, um die Ressourcenverwaltung Ihrer Kubernetes-Ressourcen zu verbessern. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. Audit, Deny, Disabled 3.1.0
Ressourcenprotokolle müssen im Azure Kubernetes Service aktiviert sein Azure Kubernetes Service-Ressourcenprotokolle können bei der Untersuchung von Sicherheitsvorfällen dabei helfen, Aktivitätspfade neu zu erstellen. Aktivieren Sie diese Option, um sicherzustellen, dass die Protokolle bei Bedarf vorhanden sind. AuditIfNotExists, Disabled 1.0.0
Temporäre Datenträger und der Cache für Agent-Knotenpools in Azure Kubernetes Service-Clustern müssen auf dem Host verschlüsselt werden. Um die Datensicherheit zu erhöhen, sollten die auf dem VM-Host Ihrer Azure Kubernetes Service-Knoten-VMs gespeicherten Daten im Ruhezustand verschlüsselt werden. Diese Verschlüsselung ist eine gängige Anforderung in vielen gesetzlichen und branchenspezifischen Konformitätsstandards. Audit, Deny, Disabled 1.0.1

Lab Services

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Lab-Dienste sollten alle Optionen für das automatische Herunterfahren aktivieren Diese Richtlinie bietet Hilfe beim Kostenmanagement, indem erzwungen wird, dass alle Optionen für ein automatisches Herunterfahren für ein Lab aktiviert werden. Audit, Deny, Disabled 1.1.0
Lab-Dienste sollten keine Vorlagen-VMs für Labs zulassen Diese Richtlinie verhindert die Erstellung und Anpassung einer Vorlagen-VM für Labs, die über Lab-Dienste verwaltet werden. Audit, Deny, Disabled 1.1.0
Lab-Dienste sollten einen Nicht-Administratorbenutzer für Labs erfordern Diese Richtlinie erfordert, dass Nicht-Administratorbenutzerkonten für die Labs erstellt werden, die über Lab-Dienste verwaltet werden. Audit, Deny, Disabled 1.1.0
Lab-Dienste sollten zulässige VM-SKU-Größen einschränken Mit dieser Richtlinie können Sie bestimmte Compute-VM-SKUs für Labs einschränken, die über Lab-Dienste verwaltet werden. Damit werden bestimmte VM-Größen eingeschränkt. Audit, Deny, Disabled 1.1.0

Lighthouse

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Allow managing tenant ids to onboard through Azure Lighthouse (Verwaltungsmandanten-IDs das Onboarding über Azure Lighthouse gestatten) Das Beschränken der Azure Lighthouse-Delegierungen auf bestimmte Verwaltungsmandanten erhöht die Sicherheit, da sich der Personenkreis verkleinert, der Ihre Azure-Ressourcen verwalten kann. deny 1.0.1
Delegierung von Bereichen an Verwaltungsmandanten überwachen Hiermit wird die Delegierung von Bereichen an einen Verwaltungsmandanten über Azure Lighthouse überwacht. Audit, Disabled 1.0.0

Logic Apps

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Logic Apps-Integrationsdienstumgebung muss mit kundenseitig verwalteten Schlüsseln verschlüsselt werden Führen Sie eine Bereitstellung in einer Integrationsdienstumgebung durch, um die Verschlüsselung ruhender Logic Apps-Daten mithilfe kundenseitig verwalteter Schlüssel zu verwalten. Standardmäßig werden Kundendaten mit dienstseitig verwalteten Schlüsseln verschlüsselt. Kundenseitig verwaltete Schlüssel sind jedoch häufig zur Einhaltung gesetzlicher Bestimmungen erforderlich. Mit kundenseitig verwalteten Schlüsseln können die Daten mit einem Azure Key Vault-Schlüssel verschlüsselt werden, der von Ihnen erstellt wird und sich in Ihrem Besitz befindet. Sie verfügen über die volle Kontrolle über und Verantwortung für den Schlüssellebenszyklus, einschließlich Rotation und Verwaltung. Audit, Deny, Disabled 1.0.0
Logic Apps muss in Integrationsdienstumgebung bereitgestellt werden Durch das Bereitstellen von Logic Apps in einer Integrationsdienstumgebung in einem virtuellen Netzwerk werden erweiterte Logic Apps-Netzwerkfeatures und -Sicherheitsfeatures freigeschaltet, und Sie erhalten mehr Kontrolle über Ihre Netzwerkkonfiguration. Weitere Informationen finden Sie unter https://aka.ms/integration-service-environment. Durch die Bereitstellung in einer Integrationsdienstumgebung ist es außerdem möglich, eine Verschlüsselung mit kundenseitig verwalteten Schlüsseln durchzuführen. Diese Option bietet erweiterten Datenschutz, weil Sie Ihre Verschlüsselungsschlüssel selbst verwalten können. Dies ist häufig erforderlich, um die Konformitätsanforderungen zu erfüllen. Audit, Deny, Disabled 1.0.0
In Logic Apps müssen Ressourcenprotokolle aktiviert sein. Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. AuditIfNotExists, Disabled 5.1.0

Machine Learning

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
[Vorschau]: Registrierungsbereitstellungen des Azure Machine Learning-Modells sind eingeschränkt mit Ausnahme der zulässigen Registrierung Stellen Sie Registrierungsmodelle nur in der zulässigen Registrierung bereit und die nicht eingeschränkt sind. Verweigern, deaktiviert 1.0.0-preview
Azure Machine Learning Compute-Instanz sollte im Leerlauf heruntergefahren werden. Durch einen Zeitplan für Herunterfahren im Leerlauf werden Kosten reduziert, indem Computeressourcen heruntergefahren werden, die sich nach einem vordefinierten Aktivitätszeitraum im Leerlauf befinden. Audit, Deny, Disabled 1.0.0
Azure Machine Learning-Computeinstanzen sollten neu erstellt werden, um die neuesten Softwareupdates zu erhalten. Stellen Sie sicher, dass Azure Machine Learning-Computeinstanzen unter dem neuesten verfügbaren Betriebssystem ausgeführt werden. Die Sicherheit wird verbessert und Sicherheitsrisiken werden verringert, indem sie mit den neuesten Sicherheitspatches ausgeführt werden. Weitere Informationen finden Sie unter https://aka.ms/azureml-ci-updates/. [parameters('effects')] 1.0.3
Azure Machine Learning Computeressourcen sollten sich in einem virtuellen Netzwerk befinden Azure Virtual Networks bieten ein höheres Maß an Sicherheit und Isolation sowohl für Ihre Azure Machine Learning Compute-Cluster und -Instanzen als auch für Ihre Subnetze. Sie profitieren außerdem von Richtlinien für die Zugriffssteuerung sowie von weiteren Features zur Einschränkung des Zugriffs. Wenn eine Computeressource mit einem virtuellen Netzwerk konfiguriert wird, ist sie nicht öffentlich adressierbar, und auf das virtuelle Netzwerk kann nur über VMs und Anwendungen innerhalb des virtuellen Netzwerks zugegriffen werden. Audit, Disabled 1.0.1
Bei Azure Machine Learning-Computeressourcen sollten lokale Authentifizierungsmethoden deaktiviert sein Durch das Deaktivieren lokaler Authentifizierungsmethoden verbessert sich die Sicherheit, weil hierdurch sichergestellt wird, dass Machine Learning-Computeressourcen ausschließlich Azure Active Directory-Identitäten für die Authentifizierung anfordern. Weitere Informationen finden Sie unter https://aka.ms/azure-ml-aad-policy. Audit, Deny, Disabled 2.1.0
Azure Machine Learning-Arbeitsbereiche müssen mit einem kundenseitig verwalteten Schlüssel verschlüsselt werden. Verwalten Sie die Verschlüsselung ruhender Daten für Daten im Azure Machine Learning-Arbeitsbereich mit kundenseitig verwalteten Schlüsseln. Standardmäßig werden Kundendaten mit dienstseitig verwalteten Schlüsseln verschlüsselt. Kundenseitig verwaltete Schlüssel sind jedoch häufig zur Einhaltung gesetzlicher Bestimmungen erforderlich. Mit kundenseitig verwalteten Schlüsseln können die Daten mit einem Azure Key Vault-Schlüssel verschlüsselt werden, der von Ihnen erstellt wird und sich in Ihrem Besitz befindet. Sie verfügen über die volle Kontrolle über und Verantwortung für den Schlüssellebenszyklus, einschließlich Rotation und Verwaltung. Weitere Informationen finden Sie unter https://aka.ms/azureml-workspaces-cmk. Audit, Deny, Disabled 1.0.3
Für Azure Machine Learning-Arbeitsbereiche sollte der Zugriff über öffentliche Netzwerke deaktiviert sein Die Deaktivierung des Zugriffs über öffentliche Netzwerke erhöht die Sicherheit, da die Machine Learning-Arbeitsbereiche nicht über das öffentliche Internet verfügbar sind. Sie können die Offenlegung von Arbeitsbereichen steuern, indem Sie stattdessen private Endpunkte erstellen. Weitere Informationen finden Sie unter: https://learn.microsoft.com/azure/machine-learning/how-to-configure-private-link?view=azureml-api-2&tabs=azure-portal. Audit, Deny, Disabled 2.0.1
Azure Machine Learning-Arbeitsbereiche sollten V1LegacyMode aktivieren, um die Abwärtskompatibilität der Netzwerkisolation zu unterstützen Derzeit erfolgt ein Übergang von Azure ML zu einer neuen V2-API-Plattform in Azure Resource Manager. Sie können die API-Plattformversion mit dem V1LegacyMode-Parameter steuern. Durch das Aktivieren des V1LegacyMode-Parameters können Sie die Netzwerkisolation von V1 für Ihre Arbeitsbereiche, obwohl die neuen V2-Features nicht verfügbar sind. Es wird empfohlen, den V1-Legacymodus nur zu aktivieren, wenn Sie die Daten der AzureML-Steuerungsebene in Ihren privaten Netzwerken beibehalten möchten. Weitere Informationen finden Sie unter https://aka.ms/V1LegacyMode. Audit, Deny, Disabled 1.0.0
Azure Machine Learning-Arbeitsbereiche müssen private Links verwenden. Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Azure Machine Learning-Arbeitsbereichen wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. Audit, Disabled 1.0.0
Azure Machine Learning-Arbeitsbereiche müssen eine benutzerseitig zugewiesene verwaltete Identität verwenden Verwalten Sie den Zugriff auf den Azure ML-Arbeitsbereich und die zugehörigen Ressourcen, Azure Container Registry, Key Vault, Storage und App Insights mithilfe einer benutzerseitig zugewiesenen verwalteten Identität. Standardmäßig verwendet der Azure ML-Arbeitsbereich eine systemseitig zugewiesene verwaltete Identität für den Zugriff auf die zugehörigen Ressourcen. Bei Verwendung einer benutzerseitig zugewiesenen verwalteten Identität können Sie die Identität als Azure-Ressource erstellen und den Lebenszyklus dieser Identität verwalten. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/machine-learning/how-to-use-managed-identities?tabs=python. Audit, Deny, Disabled 1.0.0
Azure Machine Learning-Computeressourcen zum Deaktivieren lokaler Authentifizierungsmethoden konfigurieren Deaktivieren Sie lokale Authentifizierungsmethoden, damit Ihre Machine Learning-Computeressourcen ausschließlich Azure Active Directory-Identitäten für die Authentifizierung anfordern. Weitere Informationen finden Sie unter https://aka.ms/azure-ml-aad-policy. Modify, Disabled 2.1.0
Azure Machine Learning-Arbeitsbereich für die Verwendung privater DNS-Zonen konfigurieren Verwenden Sie private DNS-Zonen, um die DNS-Auflösung für einen privaten Endpunkt außer Kraft zu setzen. Eine private DNS-Zone wird mit Ihrem virtuellen Netzwerk verknüpft, um Azure Machine Learning-Arbeitsbereiche aufzulösen. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/machine-learning/how-to-network-security-overview. DeployIfNotExists, Disabled 1.1.0
Azure Machine Learning-Arbeitsbereiche für das Deaktivieren des Zugriffs über öffentliche Netzwerke konfigurieren Deaktivieren Sie den Zugriff auf das öffentliche Netzwerk für Azure Machine Learning-Arbeitsbereiche, damit Ihre Arbeitsbereiche nicht über das öffentliche Internet zugänglich sind. Dies trägt zum Schutz der Arbeitsbereiche vor Datenlecks bei. Sie können die Offenlegung von Arbeitsbereichen steuern, indem Sie stattdessen private Endpunkte erstellen. Weitere Informationen finden Sie unter: https://learn.microsoft.com/azure/machine-learning/how-to-configure-private-link?view=azureml-api-2& tabs=azure-portal. Modify, Disabled 1.0.3
Azure Machine Learning-Arbeitsbereiche mit privaten Endpunkten konfigurieren Private Endpunkte verbinden Ihr virtuelles Netzwerk ohne eine öffentliche IP-Adresse an Quelle oder Ziel mit Azure-Diensten. Durch das Zuordnen privater Endpunkte zu Ihrem Azure Machine Learning-Arbeitsbereich können Sie das Risiko von Datenlecks verringern. Weitere Informationen zu privaten Verbindungen finden Sie unter https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. DeployIfNotExists, Disabled 1.0.0
Konfigurieren von Diagnoseeinstellungen für Azure Machine Learning-Arbeitsbereiche im Log Analytics-Arbeitsbereich Stellt die Diagnoseeinstellungen für den Azure Machine Learning-Arbeitsbereich bereit, um Ressourcenprotokolle an einen Log Analytics-Arbeitsbereich zu streamen, wenn ein Azure Machine Learning-Arbeitsbereich erstellt oder aktualisiert wird, in dem diese Diagnoseeinstellungen fehlen. DeployIfNotExists, Disabled 1.0.1
Ressourcenprotokolle im Azure Machine Learning-Arbeitsbereich sollten aktiviert sein. Ressourcenprotokolle ermöglichen es, vergangene Aktivitäten nachzuvollziehen, wenn es zu einem Sicherheitsvorfall kommt oder Ihr Netzwerk kompromittiert wird. AuditIfNotExists, Disabled 1.0.1

Verwaltete Anwendung

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Die Anwendungsdefinition für die verwaltete Anwendung sollte ein vom Kunden angegebenes Speicherkonto verwenden. Verwenden Sie Ihr eigenes Speicherkonto, um die Anwendungsdefinitionsdaten zu steuern, wenn dies gesetzlich vorgeschrieben ist oder als Konformitätsanforderung gilt. Sie können die Definition der verwalteten Anwendung in einem von Ihnen während der Erstellung angegebenen Speicherkonto speichern. Dadurch können sein Speicherort und der Zugriff zur Erfüllung Ihrer gesetzlichen Konformitätsanforderungen vollständig von Ihnen verwaltet werden. überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung 1.1.0
Zuordnungen für eine verwaltete Anwendung bereitstellen Hiermit wird eine Zuordnungsressource bereitgestellt, die der angegebenen verwalteten Anwendung ausgewählte Ressourcentypen zuordnet. Diese Richtlinienbereitstellung unterstützt keine geschachtelten Ressourcentypen. deployIfNotExists 1.0.0

Grafana (verwaltet)

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Azure Managed Grafana-Arbeitsbereiche sollten E-Mail-Einstellungen deaktivieren Hiermit wird die Konfiguration von SMTP-Einstellungen von E-Mail-Kontaktpunkten für Warnungen im Grafana-Arbeitsbereich deaktiviert. Audit, Deny, Disabled 1.0.0
Azure Managed Grafana-Arbeitsbereiche sollten das Grafana Enterprise-Upgrade deaktivieren Deaktiviert das Grafana Enterprise-Upgrade im Grafana-Arbeitsbereich Audit, Deny, Disabled 1.0.0
Für Azure Managed Grafana-Arbeitsbereiche muss der Zugriff über öffentliche Netzwerke deaktiviert sein Die Deaktivierung des Zugriffs über öffentliche Netzwerke erhöht die Sicherheit, da Ihr Azure Managed Grafana-Arbeitsbereich nicht über das öffentliche Internet zugänglich ist. Durch das Erstellen privater Endpunkte können Sie die Offenlegung Ihrer Arbeitsbereiche einschränken. Audit, Deny, Disabled 1.0.0
Azure Managed Grafana-Arbeitsbereiche sollten Dienstkonten deaktivieren Deaktiviert API-Schlüssel und das Dienstkonto für automatisierte Workloads im Grafana-Arbeitsbereich Audit, Deny, Disabled 1.0.0
Azure Managed Grafana-Arbeitsbereiche sollten private Verbindungen verwenden Mit Azure Private Link können Sie Ihre virtuellen Netzwerke mit Azure-Diensten verbinden, ohne dass eine öffentliche IP-Adresse an der Quelle oder am Ziel vorhanden ist. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch Zuordnen privater Endpunkte zu Managed Grafana können Sie das Risiko von Datenlecks verringern. Audit, Disabled 1.0.1
Konfigurieren von Azure Managed Grafana-Arbeitsbereichen, um den Zugriff über öffentliche Netzwerke zu deaktivieren Deaktivieren Sie für Ihren Azure Managed Grafana-Arbeitsbereich den Zugriff über öffentliche Netzwerke, sodass er nicht über das öffentliche Internet zugänglich ist. Dies kann das Risiko von Datenlecks verringern. Modify, Disabled 1.0.0
Azure Managed Grafana-Arbeitsbereiche für die Verwendung privater DNS-Zonen konfigurieren Verwenden Sie private DNS-Zonen, um die DNS-Auflösung für einen privaten Endpunkt außer Kraft zu setzen. Eine private DNS-Zone wird mit Ihrem virtuellen Netzwerk verknüpft, um Azure Managed Grafana-Arbeitsbereiche aufzulösen. DeployIfNotExists, Disabled 1.0.0
Konfigurieren von Azure Managed Grafana-Arbeitsbereichen mit privaten Endpunkten Private Endpunkte verbinden Ihre virtuellen Netzwerke ohne eine öffentliche IP-Adresse an Quelle oder Ziel mit Azure-Diensten. Durch Zuordnen privater Endpunkte zu Azure Managed Grafana können Sie das Risiko von Datenlecks verringern. DeployIfNotExists, Disabled 1.0.1

Verwaltete Identität

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
[Vorschau]: Verbundanmeldeinformationen für verwaltete Identitäten aus Azure Kubernetes müssen aus vertrauenswürdigen Quellen stammen Diese Richtlinie beschränkt den Verbund mit Azure Kubernetes-Clustern auf Cluster von genehmigten Mandanten und genehmigten Regionen sowie eine bestimmte Ausnahmeliste mit zusätzlichen Clustern. Audit, Disabled, Deny 1.0.0-preview
[Vorschau]: Verbundanmeldeinformationen für verwaltete Identitäten aus Github müssen von vertrauenswürdigen Repositorybesitzern stammen Diese Richtlinie beschränkt den Verbund mit Github-Repositorys auf genehmigte Repositorybesitzer. Audit, Disabled, Deny 1.0.1-preview
[Vorschau]: Verbundanmeldeinformationen für verwaltete Identitäten müssen von zulässigen Zertifikatausstellertypen stammen Diese Richtlinie schränkt ein, ob verwaltete Identitäten Verbundanmeldeinformationen verwenden können, welche gängigen Zertifikatausstellertypen zulässig sind, und stellt eine Liste der zulässigen Zertifikatausstellerausnahmen bereit. Audit, Disabled, Deny 1.0.0-preview
[Vorschau]: Zuweisen einer integrierten benutzerseitig zugewiesenen verwalteten Identität zu VM-Skalierungsgruppen Erstellen Sie eine integrierte, benutzerseitig zugewiesene, verwaltete Identität, und weisen Sie sie zu, oder weisen Sie eine vorab erstellte, benutzerseitig zugewiesene, verwaltete Identität im großen Stil VM-Skalierungsgruppen zu. Ausführlichere Dokumentation finden Sie unter aka.ms/managedidentitypolicy. AuditIfNotExists, DeployIfNotExists, Disabled 1.1.0-preview
[Vorschau]: Zuweisen einer integrierten benutzerseitig zugewiesenen verwalteten Identität zu virtuellen Computern Erstellen Sie eine integrierte, benutzerseitig zugewiesene, verwaltete Identität, und weisen Sie sie zu, oder weisen Sie eine vorab erstellte, benutzerseitig zugewiesene, verwaltete Identität im großen Stil VMs zu. Ausführlichere Dokumentation finden Sie unter aka.ms/managedidentitypolicy. AuditIfNotExists, DeployIfNotExists, Disabled 1.1.0-preview

Maps

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
CORS sollte nicht allen Ressourcen den Zugriff auf das Zuordnungskonto erlauben. CORS (Cross-Origin Resource Sharing) darf nicht allen Domänen Zugriff auf Ihr Zuordnungskonto erteilen. Gestatten Sie nur erforderlichen Domänen die Interaktion mit Ihrem Zuordnungskonto. Deaktiviert, Überprüfen, Verweigern 1.0.0

Media Services

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Azure Media Services-Konten müssen den Zugriff über öffentliche Netzwerke deaktivieren Die Deaktivierung des Zugriffs über öffentliche Netzwerke erhöht die Sicherheit, da Media Services-Ressourcen nicht über das öffentliche Internet zugänglich sind. Private Endpunkte können die Verfügbarkeit von Media Services-Ressourcen einschränken. Weitere Informationen finden Sie unter https://aka.ms/mediaservicesprivatelinkdocs. Audit, Deny, Disabled 1.0.0
Azure Media Services-Konten sollten ein API verwenden, welches Private Link unterstützt Media Services-Konten sollten mit einem API erstellt werden, welches Private Link unterstützt. Audit, Deny, Disabled 1.0.0
Azure Media Services-Konten, die Zugriff auf die Legacy-API (v2) erlauben, sollten blockiert werden Die Media Services Legacy-API (v2) gestattet Anforderungen, die nicht über Azure Policy verwaltet werden können. Media Services-Ressourcen, die mit der API vom 01.05.2020 oder neuer erstellt wurden, blockieren den Zugriff auf die Legacy-API (v2). Audit, Deny, Disabled 1.0.0
Azure Media Services-Richtlinien für symmetrische Schlüssel sollten die Tokenauthentifizierung verwenden Richtlinien für symmetrische Schlüssel definieren die Bedingungen, die für den Zugriff auf symmetrische Schlüssel erfüllt sein müssen. Eine Tokeneinschränkung stellt sicher, dass nur Benutzer mit gültigen Token von einem Authentifizierungsdienst, z. B. Microsoft Entra ID, auf symmetrische Schlüssel zugreifen können. Audit, Deny, Disabled 1.0.1
Azure Media Services-Aufträge mit HTTPS-Eingaben sollten Eingabe-URIs auf zulässige URI-Muster begrenzen Beschränken Sie HTTPS-Eingaben, die von Media Services-Aufträgen verwendet werden, auf bekannte Endpunkte. Eingaben von HTTPS-Endpunkten können vollständig deaktiviert werden, indem eine leere Liste mit zulässigen Auftragseingabemustern festgelegt wird. Wenn in Auftragseingaben ein „baseUri“ angegeben wird, werden die Muster mit diesem Wert abgeglichen. Wenn „baseUri“ nicht festgelegt ist, wird das Muster mit der „files“-Eigenschaft abgeglichen. Verweigern, deaktiviert 1.0.1
Azure Media Services-Instanzen müssen kundenseitig verwaltete Schlüssel zur Verschlüsselung ruhender Daten verwenden Verwenden Sie kundenseitig verwaltete Schlüssel, um die Verschlüsselung ruhender Daten Ihres Media Services-Kontos zu verwalten. Standardmäßig werden Kundendaten mit dienstseitig verwalteten Schlüsseln verschlüsselt. Kundenseitig verwaltete Schlüssel sind jedoch häufig zur Einhaltung gesetzlicher Bestimmungen erforderlich. Mit kundenseitig verwalteten Schlüsseln können die Daten mit einem Azure Key Vault-Schlüssel verschlüsselt werden, der von Ihnen erstellt wird und sich in Ihrem Besitz befindet. Sie verfügen über die volle Kontrolle über und Verantwortung für den Schlüssellebenszyklus, einschließlich Rotation und Verwaltung. Weitere Informationen finden Sie unter https://aka.ms/mediaservicescmkdocs. Audit, Deny, Disabled 1.0.0
Azure Media Services muss Private Link verwenden Mit Azure Private Link können Sie Ihre virtuellen Netzwerke mit Azure-Diensten verbinden, ohne dass eine öffentliche IP-Adresse an der Quelle oder am Ziel vorhanden ist. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Media Service können Sie das Risiko von Datenlecks verringern. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/mediaservicesprivatelinkdocs. AuditIfNotExists, Disabled 1.0.0
Azure Media Services für die Verwendung privater DNS-Zonen konfigurieren Verwenden Sie private DNS-Zonen, um die DNS-Auflösung für einen privaten Endpunkt außer Kraft zu setzen. Eine private DNS-Zone wird mit Ihrem virtuellen Netzwerk verknüpft, um Media Services-Konten aufzulösen. Weitere Informationen finden Sie unter https://aka.ms/mediaservicesprivatelinkdocs. DeployIfNotExists, Disabled 1.0.0
Azure Media Services mit privaten Endpunkten konfigurieren Private Endpunkte verbinden Ihre virtuellen Netzwerke ohne eine öffentliche IP-Adresse an Quelle oder Ziel mit Azure-Diensten. Durch das Zuordnen privater Endpunkte zu Media Service können Sie das Risiko von Datenlecks verringern. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/mediaservicesprivatelinkdocs. DeployIfNotExists, Disabled 1.0.0

Migrate

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Azure Migrate-Ressourcen für die Verwendung privater DNS-Zonen konfigurieren Verwenden Sie private DNS-Zonen, um die DNS-Auflösung für einen privaten Endpunkt außer Kraft zu setzen. Eine private DNS-Zone wird mit Ihrem virtuellen Netzwerk verknüpft, um Ihr Azure Migrate-Projekt aufzulösen. Weitere Informationen finden Sie unter https://aka.ms/privatednszone. DeployIfNotExists, Disabled 1.0.0

Mobilfunknetz

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Konfigurieren des Diagnosezugriffs auf die Packet Core-Steuerungsebene für die Verwendung des Authentifizierungstyps Microsoft EntraID Der Authentifizierungstyp muss Microsoft EntraID für den Packet Core-Diagnosezugriff über lokale APIs sein Modify, Disabled 1.0.0
Der Diagnosezugriff auf Packet Core-Steuerungsebene sollte nur den Microsoft EntraID-Authentifizierungstyp verwenden Der Authentifizierungstyp muss Microsoft EntraID für den Packet Core-Diagnosezugriff über lokale APIs sein Audit, Deny, Disabled 1.0.0
SIM-Gruppe sollte vom Kunden verwaltete Schlüssel verwenden, um ruhende Daten zu verschlüsseln Verwenden Sie vom Kunden verwaltete Schlüssel, um die Verschlüsselung ruhender SIM-Geheimnisse in einer SIM-Gruppe zu verwalten. Vom Kunden verwaltete Schlüssel sind in der Regel erforderlich, um regulatorische Compliancestandards zu erfüllen, und sie ermöglichen es Ihnen, die Daten mit einem Azure Key Vault-Schlüssel zu verschlüsseln, der von Ihnen erstellt wurde und Ihnen gehört. Sie verfügen über die volle Kontrolle über und Verantwortung für den Schlüssellebenszyklus, einschließlich Rotation und Verwaltung. Audit, Deny, Disabled 1.0.0

Überwachung

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
[Vorschau]: Konfigurieren Sie Azure Arc-fähige Linux-Computer mit Log Analytics-Agents, die mit dem Log Analytics-Standardarbeitsbereich verbunden sind Schützen Sie Ihre Azure Arc-fähigen Linux-Computer mit Microsoft Defender für Cloud-Funktionen, indem Sie Log Analytics-Agents installieren, die Daten an einen von Microsoft Defender für Cloud erstellten Log Analytics-Standardarbeitsbereich senden. DeployIfNotExists, Disabled 1.0.0-preview
[Vorschau]: Konfigurieren Sie Azure Arc-fähige Windows-Computer mit Log Analytics-Agents, die mit dem Log Analytics-Standardarbeitsbereich verbunden sind Schützen Sie Ihre Azure Arc-fähigen Windows-Computer mit Microsoft Defender für Cloud-Funktionen, indem Sie Log Analytics-Agents installieren, die Daten an einen von Microsoft Defender für Cloud erstellten Log Analytics-Standardarbeitsbereich senden. DeployIfNotExists, Disabled 1.1.0-preview
[Vorschau]: Konfigurieren einer systemseitig zugewiesenen verwalteten Identität zum Aktivieren von Azure Monitor-Zuweisungen auf VMs Konfigurieren Sie eine systemseitig zugewiesene verwaltete Identität für in Azure gehostete VMs, die von Azure Monitor unterstützt werden und über keine systemseitig zugewiesene verwaltete Identität verfügen. Eine systemseitig zugewiesene verwaltete Identität ist Voraussetzung für sämtliche Azure Monitor-Zuweisungen und muss den Computern zugewiesen werden, bevor eine Azure Monitor-Erweiterung verwendet wird. Ziel-VMs müssen sich an einem unterstützten Standort befinden. Modify, Disabled 6.0.0-preview
[Vorschau]: Die Log Analytics-Erweiterung sollte für die aufgeführten VM-Images aktiviert sein Meldet virtuelle Computer als nicht konform, wenn das VM-Image nicht in der definierten Liste vorhanden und die Erweiterung nicht installiert ist. AuditIfNotExists, Disabled 2.0.1-preview
[Vorschau]: Die Log Analytics-Erweiterung sollte auf Ihren Azure Arc-Computern unter Linux installiert sein Diese Richtlinie überwacht Azure Arc-Computer unter Linux, wenn die Log Analytics-Erweiterung nicht installiert ist. AuditIfNotExists, Disabled 1.0.1-preview
[Vorschau]: Die Log Analytics-Erweiterung sollte auf Ihren Azure Arc-Computern unter Windows installiert sein Diese Richtlinie überwacht Azure Arc-Computer unter Windows, wenn die Log Analytics-Erweiterung nicht installiert ist. AuditIfNotExists, Disabled 1.0.1-preview
[Vorschau]: Der Datensammlungs-Agent für Netzwerkdatenverkehr muss auf virtuellen Linux-Computern installiert werden Security Center verwendet den Microsoft Dependency-Agent, um Daten zum Netzwerkdatenverkehr Ihrer Azure-VMs zu erfassen. Dies ermöglicht die Aktivierung erweiterter Netzwerkschutzfunktionen, darunter die Datenverkehrsvisualisierung in der Netzwerkübersicht sowie Empfehlungen zur Netzwerkhärtung und zu bestimmten Netzwerkbedrohungen. AuditIfNotExists, Disabled 1.0.2-preview
[Vorschau]: Der Datensammlungs-Agent für Netzwerkdatenverkehr muss auf virtuellen Windows-Computern installiert werden Security Center verwendet den Microsoft Dependency-Agent, um Daten zum Netzwerkdatenverkehr Ihrer Azure-VMs zu erfassen. Dies ermöglicht die Aktivierung erweiterter Netzwerkschutzfunktionen, darunter die Datenverkehrsvisualisierung in der Netzwerkübersicht sowie Empfehlungen zur Netzwerkhärtung und zu bestimmten Netzwerkbedrohungen. AuditIfNotExists, Disabled 1.0.2-preview
Das Aktivitätsprotokoll muss mindestens ein Jahr lang aufbewahrt werden Diese Richtlinie überwacht das Aktivitätsprotokoll, wenn die Aufbewahrung nicht auf 365 Tage oder unbegrenzt (Festlegung der Aufbewahrungstage auf 0) festgelegt ist. AuditIfNotExists, Disabled 1.0.0
Für bestimmte administrative Vorgänge muss eine Aktivitätsprotokollwarnung vorliegen Diese Richtlinie überwacht bestimmte administrative Vorgänge ohne Konfiguration von Aktivitätsprotokollwarnungen. AuditIfNotExists, Disabled 1.0.0
Für bestimmte Richtlinienvorgänge muss eine Aktivitätsprotokollwarnung vorliegen Diese Richtlinie überwacht bestimmte Richtlinienvorgänge ohne Konfiguration von Aktivitätsprotokollwarnungen. AuditIfNotExists, Disabled 3.0.0
Für bestimmte Sicherheitsvorgänge muss eine Aktivitätsprotokollwarnung vorliegen Diese Richtlinie überwacht bestimmte Sicherheitsvorgänge ohne Konfiguration von Aktivitätsprotokollwarnungen. AuditIfNotExists, Disabled 1.0.0
Protokollerfassung und -abfrage aus öffentlichen Netzwerken in Application Insights-Komponenten blockieren Verbessern Sie die Sicherheit von Application Insights, indem Sie die Protokollerfassung und -abfrage aus öffentlichen Netzwerken blockieren. Nur über eine private Verbindung verbundene Netzwerke können Protokolle dieser Komponente erfassen und abfragen. Weitere Informationen finden Sie unter https://aka.ms/AzMonPrivateLink#configure-application-insights. überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung 1.1.0
Komponenten von Application Insights sollten eine Erfassung, die nicht auf Azure Active Directory basiert, blockieren. Wenn eine Azure Active Directory-Authentifizierung für die Protokollerfassung erzwungen wird, werden nicht authentifizierte Protokolle von Angreifern verhindert, welche zu einem falschen Status, falschen Warnungen und falschen Protokollen führen können, die im System gespeichert werden. Deny, Audit, Disabled 1.0.0
Komponenten von Application Insights, bei denen Private Link aktiviert ist, sollten „Bring Your Own Storage“-Konten für Profiler und Debugger verwenden. Erstellen Sie Ihr eigenes Speicherkonto für Profiler und Debugger, um Private Link und kundenseitig verwaltete Schlüsselrichtlinien zu unterstützen. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/azure-monitor/app/profiler-bring-your-own-storage Deny, Audit, Disabled 1.0.0
Hiermit wird die Diagnoseeinstellung für ausgewählte Ressourcentypen überwacht. Überwachen der Diagnoseeinstellung für ausgewählte Ressourcentypen. Achten Sie darauf, nur Ressourcentypen auszuwählen, die Diagnoseeinstellungen unterstützen. Auswirkung „AuditIfNotExists“ 2.0.1
Für Azure Application Gateway sollten Ressourcenprotokolle aktiviert sein. Aktivieren Sie Ressourcenprotokolle für Azure Application Gateway (plus WAF), und streamen Sie sie in einen Log Analytics-Arbeitsbereich. Erhalten Sie detaillierte Einblicke in eingehenden Webdatenverkehr und Aktionen zur Abwehr von Angriffen. AuditIfNotExists, Disabled 1.0.0
Für Azure Front Door müssen Ressourcenprotokolle aktiviert sein Aktivieren Sie Ressourcenprotokolle für Azure Front Door (plus WAF), und streamen Sie sie in einen Log Analytics-Arbeitsbereich. Erhalten Sie detaillierte Einblicke in eingehenden Webdatenverkehr und Aktionen zur Abwehr von Angriffen. AuditIfNotExists, Disabled 1.0.0
Für Azure Front Door Standard oder Premium (Plus WAF) müssen Ressourcenprotokolle aktiviert sein Aktivieren Sie Ressourcenprotokolle für Azure Front Door Standard oder Premium (plus WAF), und streamen Sie sie in einen Log Analytics-Arbeitsbereich. Erhalten Sie detaillierte Einblicke in eingehenden Webdatenverkehr und Aktionen zur Abwehr von Angriffen. AuditIfNotExists, Disabled 1.0.0
Warnungen der Azure-Protokollsuche über Log Analytics-Arbeitsbereiche müssen kundenseitig verwaltete Schlüssel verwenden Stellen Sie sicher, dass Warnungen für die Azure-Protokollsuche vom Kunden verwaltete Schlüssel implementieren, indem der Abfragetext mithilfe des Speicherkontos protokolliert wird, das der Kunde für den abgefragten Log Analytics-Arbeitsbereich eingerichtet hatte. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview. Audit, Disabled, Deny 1.0.0
Das Azure Monitor-Protokollprofil muss Protokolle für die Kategorien „write“, „delete“ und „action“ erfassen Diese Richtlinie stellt sicher, dass ein Protokollprofil Protokolle für die Kategorien „write“, „delete“ und „action“ sammelt. AuditIfNotExists, Disabled 1.0.0
Azure Monitor-Protokollcluster müssen mit aktivierter Infrastrukturverschlüsselung erstellt werden (Mehrfachverschlüsselung) Verwenden Sie einen dedizierten Azure Monitor-Cluster, um sicherzustellen, dass die sichere Datenverschlüsselung auf der Dienst- und Infrastrukturebene mit zwei unterschiedlichen Verschlüsselungsalgorithmen und zwei unterschiedlichen Schlüsseln aktiviert ist. Diese Option ist standardmäßig aktiviert, sofern sie in der jeweiligen Region unterstützt wird. Informationen hierzu finden Sie unter https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview. überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung 1.1.0
Azure Monitor-Protokollcluster müssen mit einem kundenseitig verwalteten Schlüssel verschlüsselt werden Erstellen Sie Azure Monitor-Protokollcluster mit Verschlüsselung durch kundenseitig verwaltete Schlüssel. Standardmäßig werden die Protokolldaten mit dienstseitig verwalteten Schlüsseln verschlüsselt. Kundenseitig verwaltete Schlüssel sind aber häufig zur Einhaltung gesetzlicher Bestimmungen erforderlich. Mit dem kundenseitig verwalteten Schlüssel in Azure Monitor haben Sie eine bessere Kontrolle über den Zugriff auf Ihre Daten. Informationen hierzu finden Sie unter https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys. überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung 1.1.0
Azure Monitor-Protokolle für Application Insights müssen mit einem Log Analytics-Arbeitsbereich verknüpft sein Verknüpfen Sie die Application Insights-Komponente für die Protokollverschlüsselung mit einem Log Analytics-Arbeitsbereich. Kundenseitig verwaltete Schlüssel sind häufig erforderlich, um gesetzliche Bestimmungen einzuhalten und eine bessere Kontrolle des Zugriffs auf Ihre Daten in Azure Monitor zu erhalten. Durch das Verknüpfen Ihrer Komponente mit einem Log Analytics-Arbeitsbereich, für den ein kundenseitig verwalteter Schlüssel aktiviert ist, wird sichergestellt, dass Ihre Application Insights-Protokolle diese Konformitätsanforderung erfüllen. Informationen hierzu finden Sie unter https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys. überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung 1.1.0
Der Azure Monitor Private Link-Bereich sollte den Zugriff auf Nicht-Private Link-Ressourcen blockieren Mit Azure Private Link können Sie Ihre virtuellen Netzwerke mit Azure-Ressourcen über einen privaten Endpunkt mit einem Azure Monitor Private Link-Bereich (AMPLS) verbinden. Es werden Private Link-Zugriffsmodi für Ihren AMPLS festgelegt, um zu steuern, ob Erfassungs- und Abfrageanforderungen aus Ihren Netzwerken alle Ressourcen oder nur Private Link-Ressourcen erreichen können (um Datenexfiltration zu verhindern). Weitere Informationen zu privaten Verbindungen finden Sie unter https://docs.microsoft.com/azure/azure-monitor/logs/private-link-security#private-link-access-modes-private-only-vs-open. Audit, Deny, Disabled 1.0.0
Der Azure Monitor Private Link-Bereich sollte Private Link verwenden Mit Azure Private Link können Sie Ihre virtuellen Netzwerke mit Azure-Diensten verbinden, ohne dass eine öffentliche IP-Adresse an der Quelle oder am Ziel vorhanden ist. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zum Azure Monitor Private Link-Bereich können Sie das Risiko von Datenlecks verringern. Weitere Informationen zu privaten Verbindungen finden Sie unter https://docs.microsoft.com/azure/azure-monitor/logs/private-link-security. AuditIfNotExists, Disabled 1.0.0
Azure Monitor muss Aktivitätsprotokolle aus allen Regionen erfassen Diese Richtlinie überwacht das Azure Monitor-Protokollprofil darauf, dass keine Aktivitäten aus allen unterstützten Azure-Regionen, einschließlich „Global“, exportiert werden. AuditIfNotExists, Disabled 2.0.0
Azure Monitor-Lösung „Sicherheit und Überwachung“ muss bereitgestellt werden Diese Richtlinie stellt sicher, dass „Sicherheit und Überwachung“ bereitgestellt wird. AuditIfNotExists, Disabled 1.0.0
Azure-Abonnements benötigen ein Protokollprofil für das Aktivitätsprotokoll Diese Richtlinie stellt sicher, dass ein Protokollprofil für den Export von Aktivitätsprotokollen aktiviert ist. Sie überwacht, ob für den Export der Protokolle entweder in ein Speicherkonto oder in einen Event Hub ein Protokollprofil erstellt wurde. AuditIfNotExists, Disabled 1.0.0
Azure-Aktivitätsprotokolle zum Streaming an einen angegebenen Log Analytics-Arbeitsbereich konfigurieren Legt Diagnoseeinstellungen für Azure-Aktivitäten fest, damit Überwachungsprotokolle von Abonnements an einen Log Analytics-Arbeitsbereich gestreamt werden, um Ereignisse auf Abonnementebene zu überwachen. DeployIfNotExists, Disabled 1.0.0
Konfigurieren von Azure Application Insights-Komponenten für die Deaktivierung des Zugriffs aus öffentlichen Netzwerken für die Protokollerfassung und -Abfrage Deaktivieren Sie den Zugriff aus öffentlichen Netzwerken für die Protokollerfassung und -abfrage für Komponenten, um die Sicherheit zu verbessern. Nur über eine private Verbindung verbundene Netzwerke können Protokolle dieses Arbeitsbereichs erfassen und abfragen. Weitere Informationen finden Sie unter https://aka.ms/AzMonPrivateLink#configure-application-insights. Modify, Disabled 1.1.0
Konfigurieren von Azure Log Analytics-Arbeitsbereichen für die Deaktivierung des Zugriffs aus öffentlichen Netzwerken für die Protokollerfassung und -Abfrage Verbessern Sie die Sicherheit von Arbeitsbereichen, indem Sie die Protokollerfassung und -abfrage aus öffentlichen Netzwerken blockieren. Nur über eine private Verbindung verbundene Netzwerke können Protokolle dieses Arbeitsbereichs erfassen und abfragen. Weitere Informationen finden Sie unter https://aka.ms/AzMonPrivateLink#configure-log-analytics. Modify, Disabled 1.1.0
Konfigurieren des Azure Monitor Private Link-Bereichs zum Blockieren des Zugriffs auf Nicht-Private Link-Ressourcen Mit Azure Private Link können Sie Ihre virtuellen Netzwerke mit Azure-Ressourcen über einen privaten Endpunkt mit einem Azure Monitor Private Link-Bereich (AMPLS) verbinden. Es werden Private Link-Zugriffsmodi für Ihren AMPLS festgelegt, um zu steuern, ob Erfassungs- und Abfrageanforderungen aus Ihren Netzwerken alle Ressourcen oder nur Private Link-Ressourcen erreichen können (um Datenexfiltration zu verhindern). Weitere Informationen zu privaten Verbindungen finden Sie unter https://docs.microsoft.com/azure/azure-monitor/logs/private-link-security#private-link-access-modes-private-only-vs-open. Modify, Disabled 1.0.0
Konfigurieren von Azure Monitor Private Link-Bereichen für die Verwendung privater DNS-Zonen Verwenden Sie private DNS-Zonen, um die DNS-Auflösung für einen privaten Endpunkt außer Kraft zu setzen. Eine private DNS-Zone wird mit Ihrem virtuellen Netzwerk verknüpft, um Azure Monitor Private Link-Bereiche aufzulösen. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/azure-monitor/logs/private-link-security#connect-to-a-private-endpoint. DeployIfNotExists, Disabled 1.0.0
Konfigurieren von Azure Monitor Private Link-Bereichen mit privaten Endpunkten Private Endpunkte verbinden Ihre virtuellen Netzwerke ohne eine öffentliche IP-Adresse an Quelle oder Ziel mit Azure-Diensten. Durch das Zuordnen privater Endpunkte zu Azure Monitor Private Link-Bereichen können Sie das Risiko von Datenlecks verringern. Weitere Informationen zu privaten Verbindungen finden Sie unter https://docs.microsoft.com/azure/azure-monitor/logs/private-link-security. DeployIfNotExists, Disabled 1.0.0
Dependency-Agent für Linux-Server mit Azure Arc-Unterstützung konfigurieren Aktivieren Sie VM Insights für Server und Computer, die über Server mit Arc-Unterstützung mit Azure verbunden sind, indem Sie die VM-Erweiterung für den Dependency-Agent installieren. VM Insights nutzt den Dependency-Agent, um Netzwerkmetriken zu sammeln und Daten zu auf dem Computer ausgeführten Prozessen sowie externe Prozessabhängigkeiten zu erfassen. Weitere Informationen finden Sie unter https://aka.ms/vminsightsdocs. DeployIfNotExists, Disabled 2.0.0
Konfigurieren des Dependency-Agents auf Azure Arc-aktivierten Linux-Servern mit den Azure Monitoring-Agent-Einstellungen Aktivieren Sie VM Insights für Server und Computer, die über Server mit Arc-Unterstützung mit Azure verbunden sind, indem Sie die VM-Erweiterung für den Dependency-Agent mit Azure Monitoring-Agent-Einstellungen installieren. VM Insights nutzt den Dependency-Agent, um Netzwerkmetriken zu sammeln und Daten zu auf dem Computer ausgeführten Prozessen sowie externe Prozessabhängigkeiten zu erfassen. Weitere Informationen finden Sie unter https://aka.ms/vminsightsdocs. DeployIfNotExists, Disabled 1.1.2
Dependency-Agent für Windows-Server mit Azure Arc-Unterstützung konfigurieren Aktivieren Sie VM Insights für Server und Computer, die über Server mit Arc-Unterstützung mit Azure verbunden sind, indem Sie die VM-Erweiterung für den Dependency-Agent installieren. VM Insights nutzt den Dependency-Agent, um Netzwerkmetriken zu sammeln und Daten zu auf dem Computer ausgeführten Prozessen sowie externe Prozessabhängigkeiten zu erfassen. Weitere Informationen finden Sie unter https://aka.ms/vminsightsdocs. DeployIfNotExists, Disabled 2.0.0
Konfigurieren des Dependency-Agents auf Azure Arc-aktivierten Windows-Servern mit Azure Monitoring-Agent-Einstellungen Aktivieren Sie VM Insights für Server und Computer, die über Server mit Arc-Unterstützung mit Azure verbunden sind, indem Sie die VM-Erweiterung für den Dependency-Agent mit Azure Monitoring-Agent-Einstellungen installieren. VM Insights nutzt den Dependency-Agent, um Netzwerkmetriken zu sammeln und Daten zu auf dem Computer ausgeführten Prozessen sowie externe Prozessabhängigkeiten zu erfassen. Weitere Informationen finden Sie unter https://aka.ms/vminsightsdocs. DeployIfNotExists, Disabled 1.1.2
Konfigurieren von Linux-Computern mit Arc-Unterstützung für die Zuordnung zu einer Datensammlungsregel oder einem Datensammlungsendpunkt Stellen Sie eine Zuordnung bereit, um Linux-Computer mit Arc-Unterstützung mit der angegebenen Datensammlungsregel oder dem angegebenen Datensammlungsendpunkt zu verknüpfen. Die Liste der Standorte wird im Laufe der Zeit bei erweiterter Unterstützung aktualisiert. DeployIfNotExists, Disabled 2.2.0
Konfigurieren von Arc-fähigen Linux-Computern zum Ausführen des Azure Monitor-Agents Automatisieren Sie die Bereitstellung der Azure Monitor-Agent-Erweiterung auf Ihren Arc-fähigen Linux-Computern zum Sammeln von Telemetriedaten vom Gastbetriebssystem. Mit dieser Richtlinie wird die Erweiterung installiert, wenn die Region unterstützt wird. Weitere Informationen finden Sie hier: https://aka.ms/AMAOverview. DeployIfNotExists, Disabled 2.4.0
Konfigurieren von Linux-Computern für die Zuordnung zu einer Datensammlungsregel oder einem Datensammlungsendpunkt Stellen Sie eine Zuordnung bereit, um virtuelle Linux-Computer, VM-Skalierunggruppen und Arc-Computer mit der angegebenen Datensammlungsregel oder dem angegebenen Datensammlungsendpunkt zu verknüpfen. Die Liste der Standorte und Betriebssystemimages wird im Laufe der Zeit bei erweiterter Unterstützung aktualisiert. DeployIfNotExists, Disabled 6.4.0
Konfigurieren von Linux Virtual Machine Scale Sets für die Zuordnung zu einer Datensammlungsregel oder einem Datensammlungsendpunkt Stellen Sie eine Zuordnung bereit, um Linux-VM-Skalierungsgruppen mit der angegebenen Datensammlungsregel oder dem angegebenen Datensammlungsendpunkt zu verknüpfen. Die Liste der Standorte und Betriebssystemimages wird im Laufe der Zeit bei erweiterter Unterstützung aktualisiert. DeployIfNotExists, Disabled 4.3.0
Konfigurieren Sie Linux-VM-Skalierungsgruppen, um Azure Monitor-Agent mit systemseitig zugewiesener verwalteter identitätsbasierter Authentifizierung auszuführen Automatisieren Sie die Bereitstellung der Azure Monitor-Agent-Erweiterung in Ihren Linux-VM-Skalierungsgruppen zum Sammeln von Telemetriedaten vom Gastbetriebssystem. Mit dieser Richtlinie wird die Erweiterung installiert, wenn das Betriebssystem und die Region unterstützt werden und die systemseitig zugewiesene verwaltete Identität aktiviert ist. Andernfalls wird die Installation übersprungen. Weitere Informationen finden Sie hier: https://aka.ms/AMAOverview. DeployIfNotExists, Disabled 3.5.0
Konfigurieren Sie Linux-VM-Skalierungsgruppen, um Azure Monitor-Agent mit benutzerseitig zugewiesener verwalteter identitätsbasierter Authentifizierung auszuführen Automatisieren Sie die Bereitstellung der Azure Monitor-Agent-Erweiterung in Ihren Linux-VM-Skalierungsgruppen zum Sammeln von Telemetriedaten vom Gastbetriebssystem. Diese Richtlinie installiert die Erweiterung und konfiguriert sie so, dass sie die angegebene, benutzerseitig zugewiesene verwaltete Identität verwendet, wenn das Betriebssystem und die Region unterstützt werden, und überspringt andernfalls die Installation. Weitere Informationen finden Sie hier: https://aka.ms/AMAOverview. DeployIfNotExists, Disabled 3.7.0
Konfigurieren virtueller Linux-Computer für die Zuordnung zu einer Datensammlungsregel oder einem Datensammlungsendpunkt Stellen Sie eine Zuordnung bereit, um virtuelle Linux-Computer mit der angegebenen Datensammlungsregel oder dem angegebenen Datensammlungsendpunkt zu verknüpfen. Die Liste der Standorte und Betriebssystemimages wird im Laufe der Zeit bei erweiterter Unterstützung aktualisiert. DeployIfNotExists, Disabled 4.3.0
Konfigurieren Sie Linux-VMs, um Azure Monitor-Agent mit systemseitig zugewiesener verwalteter identitätsbasierter Authentifizierung auszuführen Automatisieren Sie die Bereitstellung der Azure Monitor-Agent-Erweiterung auf Ihren virtuellen Linux-Computern zum Sammeln von Telemetriedaten vom Gastbetriebssystem. Mit dieser Richtlinie wird die Erweiterung installiert, wenn das Betriebssystem und die Region unterstützt werden und die systemseitig zugewiesene verwaltete Identität aktiviert ist. Andernfalls wird die Installation übersprungen. Weitere Informationen finden Sie hier: https://aka.ms/AMAOverview. DeployIfNotExists, Disabled 3.5.0
Konfigurieren Sie Linux-VMs, um Azure Monitor-Agent mit benutzerseitig zugewiesener verwalteter identitätsbasierter Authentifizierung auszuführen Automatisieren Sie die Bereitstellung der Azure Monitor-Agent-Erweiterung auf Ihren virtuellen Linux-Computern zum Sammeln von Telemetriedaten vom Gastbetriebssystem. Diese Richtlinie installiert die Erweiterung und konfiguriert sie so, dass sie die angegebene, benutzerseitig zugewiesene verwaltete Identität verwendet, wenn das Betriebssystem und die Region unterstützt werden, und überspringt andernfalls die Installation. Weitere Informationen finden Sie hier: https://aka.ms/AMAOverview. DeployIfNotExists, Disabled 3.7.0
Konfigurieren der Log Analytics-Erweiterung auf Linux-Servern mit Azure Arc-Unterstützung. Weitere Informationen finden Sie weiter unten im „Hinweis zur Einstellung der Unterstützung“. Aktivieren Sie VM Insights für Server und Computer, die über Server mit Arc-Unterstützung mit Azure verbunden sind, indem Sie die Log Analytics-VM-Erweiterung installieren. VM Insights nutzt den Log Analytics-Agent, um Daten zum Gastbetriebssystem zu sammeln und liefert Erkenntnisse zu dessen Leistung. Weitere Informationen finden Sie unter https://aka.ms/vminsightsdocs. Hinweis zur Einstellung der Unterstützung: Der Log Analytics-Agent befindet sich in einem veralteten Pfad und wird nach dem 31. August 2024 nicht mehr unterstützt. Sie müssen vor diesem Datum zum Azure Monitor-Agent als Ersatz migrieren. DeployIfNotExists, Disabled 2.1.1
Konfigurieren der Log Analytics-Erweiterung auf Windows-Servern mit Azure Arc-Unterstützung Aktivieren Sie VM Insights für Server und Computer, die über Server mit Arc-Unterstützung mit Azure verbunden sind, indem Sie die Log Analytics-VM-Erweiterung installieren. VM Insights nutzt den Log Analytics-Agent, um Daten zum Gastbetriebssystem zu sammeln und liefert Erkenntnisse zu dessen Leistung. Weitere Informationen finden Sie unter https://aka.ms/vminsightsdocs. Hinweis zur Einstellung der Unterstützung: Der Log Analytics-Agent befindet sich in einem veralteten Pfad und wird nach dem 31. August 2024 nicht mehr unterstützt. Sie müssen vor diesem Datum zum Azure Monitor-Agent als Ersatz migrieren. DeployIfNotExists, Disabled 2.1.1
Konfigurieren des Log Analytics-Arbeitsbereichs und des Automation-Kontos zum Zentralisieren von Protokollen und Überwachungen Stellen Sie die Ressourcengruppe mit dem Log Analytics-Arbeitsbereich und dem verknüpften Automation-Konto bereit, um Protokolle und Überwachungen zu zentralisieren. Das Automation-Konto ist für Lösungen wie Updates und Änderungsnachverfolgung erforderlich. DeployIfNotExists, AuditIfNotExists, Disabled 2.0.0
Konfigurieren von Windows-Computern mit Arc-Unterstützung für die Zuordnung zu einer Datensammlungsregel oder einem Datensammlungsendpunkt Stellen Sie eine Zuordnung bereit, um Windows-Computer mit Arc-Unterstützung mit der angegebenen Datensammlungsregel oder dem angegebenen Datensammlungsendpunkt zu verknüpfen. Die Liste der Standorte wird im Laufe der Zeit bei erweiterter Unterstützung aktualisiert. DeployIfNotExists, Disabled 2.2.0
Konfigurieren von Arc-fähigen Windows-Computern für die Ausführung des Azure Monitor-Agents Automatisieren Sie die Bereitstellung der Azure Monitor-Agent-Erweiterung auf Ihren Arc-fähigen Windows-Computern zum Sammeln von Telemetriedaten vom Gastbetriebssystem. Mit dieser Richtlinie wird die Erweiterung installiert, wenn das Betriebssystem und die Region unterstützt werden und die systemseitig zugewiesene verwaltete Identität aktiviert ist. Andernfalls wird die Installation übersprungen. Weitere Informationen finden Sie hier: https://aka.ms/AMAOverview. DeployIfNotExists, Disabled 2.4.0
Konfigurieren von Windows-Computern für die Zuordnung zu einer Datensammlungsregel oder einem Datensammlungsendpunkt Stellen Sie eine Zuordnung bereit, um virtuelle Windows-Computer, VM-Skalierunggruppen und Arc-Computer mit der angegebenen Datensammlungsregel oder dem angegebenen Datensammlungsendpunkt zu verknüpfen. Die Liste der Standorte und Betriebssystemimages wird im Laufe der Zeit bei erweiterter Unterstützung aktualisiert. DeployIfNotExists, Disabled 4.5.0
Konfigurieren von Windows Virtual Machine Scale Sets für die Zuordnung zu einer Datensammlungsregel oder einem Datensammlungsendpunkt Stellen Sie eine Zuordnung bereit, um Windows-VM-Skalierungsgruppen mit der angegebenen Datensammlungsregel oder dem angegebenen Datensammlungsendpunkt zu verknüpfen. Die Liste der Standorte und Betriebssystemimages wird im Laufe der Zeit bei erweiterter Unterstützung aktualisiert. DeployIfNotExists, Disabled 3.3.0
Konfigurieren Sie Skalierungsgruppen von Windows-VMs für die Ausführung von Azure Monitor-Agents mithilfe der systemseitig zugewiesenen verwalteten Identität Automatisieren Sie die Bereitstellung der Azure Monitor-Agent-Erweiterung in Ihren Windows-VM-Skalierungsgruppen zum Sammeln von Telemetriedaten vom Gastbetriebssystem. Mit dieser Richtlinie wird die Erweiterung installiert, wenn das Betriebssystem und die Region unterstützt werden und die systemseitig zugewiesene verwaltete Identität aktiviert ist. Andernfalls wird die Installation übersprungen. Weitere Informationen finden Sie hier: https://aka.ms/AMAOverview. DeployIfNotExists, Disabled 3.4.0
Konfigurieren Sie Skalierungsgruppen von Windows-VMs für die Ausführung von Azure Monitor-Agents mithilfe von verwalteter identitätsbasierter Authentifizierung Automatisieren Sie die Bereitstellung der Azure Monitor-Agent-Erweiterung in Ihren Windows-VM-Skalierungsgruppen zum Sammeln von Telemetriedaten vom Gastbetriebssystem. Diese Richtlinie installiert die Erweiterung und konfiguriert sie so, dass sie die angegebene, benutzerseitig zugewiesene verwaltete Identität verwendet, wenn das Betriebssystem und die Region unterstützt werden, und überspringt andernfalls die Installation. Weitere Informationen finden Sie hier: https://aka.ms/AMAOverview. DeployIfNotExists, Disabled 1.5.0
Konfigurieren virtueller Windows-Computer für die Zuordnung zu einer Datensammlungsregel oder einem Datensammlungsendpunkt Stellen Sie eine Zuordnung bereit, um virtuelle Windows-Computer mit der angegebenen Datensammlungsregel oder dem angegebenen Datensammlungsendpunkt zu verknüpfen. Die Liste der Standorte und Betriebssystemimages wird im Laufe der Zeit bei erweiterter Unterstützung aktualisiert. DeployIfNotExists, Disabled 3.3.0
Konfigurieren Sie Windows-VMs für die Ausführung von Azure Monitor-Agents mithilfe der systemseitig zugewiesenen verwalteten Identität Automatisieren Sie die Bereitstellung der Azure Monitor-Agent-Erweiterung auf Ihren virtuellen Windows-Computern zum Sammeln von Telemetriedaten vom Gastbetriebssystem. Mit dieser Richtlinie wird die Erweiterung installiert, wenn das Betriebssystem und die Region unterstützt werden und die systemseitig zugewiesene verwaltete Identität aktiviert ist. Andernfalls wird die Installation übersprungen. Weitere Informationen finden Sie hier: https://aka.ms/AMAOverview. DeployIfNotExists, Disabled 4.4.0
Konfigurieren Sie Windows-VMs für die Ausführung von Azure Monitor-Agents mit benutzerseitig zugewiesener verwalteter identitätsbasierter Authentifizierung Automatisieren Sie die Bereitstellung der Azure Monitor-Agent-Erweiterung auf Ihren virtuellen Windows-Computern zum Sammeln von Telemetriedaten vom Gastbetriebssystem. Diese Richtlinie installiert die Erweiterung und konfiguriert sie so, dass sie die angegebene, benutzerseitig zugewiesene verwaltete Identität verwendet, wenn das Betriebssystem und die Region unterstützt werden, und überspringt andernfalls die Installation. Weitere Informationen finden Sie hier: https://aka.ms/AMAOverview. DeployIfNotExists, Disabled 1.5.0
Für die aufgelisteten VM-Images muss der Dependency-Agent aktiviert werden Meldet VMs als nicht konform, wenn das VM-Image nicht in der definierten Liste enthalten und der Agent nicht installiert ist. Die Liste der Betriebssystemimages wird mit der Zeit aktualisiert, während Unterstützung hinzugefügt wird. AuditIfNotExists, Disabled 2.0.0
Für die aufgelisteten VM-Images muss der Dependency-Agent in VM-Skalierungsgruppen aktiviert werden Meldet VM-Skalierungsgruppen als nicht konform, wenn das VM-Image nicht in der definierten Liste enthalten und der Agent nicht installiert ist. Die Liste der Betriebssystemimages wird mit der Zeit aktualisiert, während Unterstützung hinzugefügt wird. AuditIfNotExists, Disabled 2.0.0
Bereitstellen: Aktivierung des Dependency-Agents in Windows-VM-Skalierungsgruppen konfigurieren Hiermit wird der Dependency-Agent für Windows-VM-Skalierungsgruppen bereitgestellt, wenn das VM-Image in der definierten Liste vorhanden und der Agent nicht installiert ist. Wenn für Ihre Skalierungsgruppe „upgradePolicy“ auf „Manual“ festgelegt ist, müssen Sie die Erweiterung auf alle VMs in der Gruppe anwenden, indem Sie diese aktualisieren. DeployIfNotExists, Disabled 3.1.0
Bereitstellen: Aktivierung des Dependency-Agents auf Windows-VMs konfigurieren Hiermit wird der Dependency-Agent für Windows-VMs bereitgestellt, wenn das VM-Image in der definierten Liste vorhanden und der Agent nicht installiert ist. DeployIfNotExists, Disabled 3.1.0
Bereitstellen: Diagnoseeinstellungen zur Aktivierung eines Log Analytics-Arbeitsbereichs in einem verwalteten Azure Key Vault-HSM konfigurieren Hiermit werden die Diagnoseeinstellungen für ein verwaltetes Azure Key Vault-HSM zum Streaming an einen regionalen Log Analytics-Arbeitsbereich bereitgestellt, wenn ein verwaltetes Azure Key Vault-HSM erstellt oder aktualisiert wird, in dem diese Diagnoseeinstellungen fehlen. DeployIfNotExists, Disabled 1.0.0
Bereitstellen – Konfigurieren der Log Analytics-Erweiterung zum Aktivieren in Windows-VM-Skalierungsgruppen Stellen Sie die Log Analytics-Erweiterung für Windows-VM-Skalierungsgruppen bereit, wenn das VM-Image in der definierten Liste vorhanden und die Erweiterung nicht installiert ist. Wenn für Ihre Skalierungsgruppe „upgradePolicy“ auf „Manual“ festgelegt ist, müssen Sie die Erweiterung auf alle VMs in der Gruppe anwenden, indem Sie diese aktualisieren. Hinweis zur Einstellung der Unterstützung: Der Log Analytics-Agent befindet sich in einem veralteten Pfad und wird nach dem 31. August 2024 nicht mehr unterstützt. Sie müssen vor diesem Datum zum Azure Monitor-Agent als Ersatz migrieren. DeployIfNotExists, Disabled 3.1.0
Bereitstellen – Konfigurieren der Log Analytics-Erweiterung zum Aktivieren auf virtuellen Windows-Computern Stellen Sie die Log Analytics-Erweiterung für Windows-VMs bereit, wenn das VM-Image in der definierten Liste vorhanden und die Erweiterung nicht installiert ist. Hinweis zur Einstellung der Unterstützung: Der Log Analytics-Agent befindet sich in einem veralteten Pfad und wird nach dem 31. August 2024 nicht mehr unterstützt. Sie müssen vor diesem Datum zum Azure Monitor-Agent als Ersatz migrieren. DeployIfNotExists, Disabled 3.1.0
Dependency-Agent für Linux-VM-Skalierungsgruppen bereitstellen Hiermit wird der Dependency-Agent für Linux-VM-Skalierungsgruppen bereitgestellt, wenn das VM-Image (Betriebssystem) in der definierten Liste enthalten und der Agent nicht installiert ist. Hinweis: Wenn „upgradePolicy“ für Ihre Skalierungsgruppe auf „Manuell“ festgelegt ist, müssen Sie die Erweiterung auf alle virtuellen Computer in der Gruppe anwenden, indem Sie dafür ein Upgrade aufrufen. Führen Sie dazu in der CLI „az vmss update-instances“ aus. deployIfNotExists 5.0.0
Bereitstellen des Dependency-Agents für Linux-VM-Skalierungsgruppen mit Azure Monitoring-Agent-Einstellungen Hiermit wird der Dependency-Agent für VM-Skalierungsgruppen unter Linux mit den Azure Monitoring-Agent-Einstellungen bereitgestellt, wenn das VM-Image (Betriebssystem) in der definierten Liste vorhanden und der Agent nicht installiert ist. Hinweis: Wenn „upgradePolicy“ für Ihre Skalierungsgruppe auf „Manuell“ festgelegt ist, müssen Sie die Erweiterung auf alle virtuellen Computer in der Gruppe anwenden, indem Sie dafür ein Upgrade aufrufen. Führen Sie dazu in der CLI „az vmss update-instances“ aus. DeployIfNotExists, Disabled 3.1.1
Dependency-Agent für Linux-VMs bereitstellen Geben Sie den Dependency-Agent für Linux-VMs an, wenn das VM-Image (Betriebssystem) in der definierten Liste enthalten und der Agent nicht installiert ist. deployIfNotExists 5.0.0
Bereitstellen des Dependency-Agents für Linux-VMs mit Azure Monitoring-Agent-Einstellungen Hiermit wird der Dependency-Agent für virtuelle Linux-Computer mit den Azure Monitoring-Agent-Einstellungen bereitgestellt, wenn das VM-Image (Betriebssystem) in der definierten Liste vorhanden und der Agent nicht installiert ist. DeployIfNotExists, Disabled 3.1.1
Bereitstellen des Dependency-Agents, der für Windows-VM-Skalierungsgruppen mit Azure Monitoring-Agent-Einstellungen aktiviert werden soll Hiermit wird der Dependency-Agent für VM-Skalierungsgruppe unter Windows mit dem Azure Monitoring-Agent-Einstellungen bereitgestellt, wenn das VM-Image in der definierten Liste vorhanden und der Agent nicht installiert ist. Wenn für Ihre Skalierungsgruppe „upgradePolicy“ auf „Manual“ festgelegt ist, müssen Sie die Erweiterung auf alle VMs in der Gruppe anwenden, indem Sie diese aktualisieren. DeployIfNotExists, Disabled 1.2.2
Bereitstellen des Dependency-Agents, der für virtuelle Windows-Computer mit Azure Monitoring-Agent-Einstellungen aktiviert werden soll Hiermit wird der Dependency-Agent für virtuelle Windows-Computer mit Azure Monitoring-Agent-Einstellungen bereitgestellt, wenn das VM-Image in der definierten Liste vorhanden und der Agent nicht installiert ist. DeployIfNotExists, Disabled 1.2.2
Diagnoseeinstellungen für Batch-Konto in Event Hub bereitstellen Hiermit werden die Diagnoseeinstellungen für ein Batch-Konto zum Streamen in eine regionale Event Hub-Instanz bereitgestellt, wenn ein Batch-Konto erstellt oder aktualisiert wird, in dem diese Diagnoseeinstellungen fehlen. DeployIfNotExists, Disabled 2.0.0
Diagnoseeinstellungen für Batch-Konto in Log Analytics-Arbeitsbereich bereitstellen Hiermit werden die Diagnoseeinstellungen für ein Batch-Konto zum Streamen in einen regionalen Log Analytics-Arbeitsbereich bereitgestellt, wenn ein Batch-Konto erstellt oder aktualisiert wird, in dem diese Diagnoseeinstellungen fehlen. DeployIfNotExists, Disabled 1.1.0
Diagnoseeinstellungen für Data Lake Analytics in Event Hub bereitstellen Hiermit werden die Diagnoseeinstellungen für Data Lake Analytics zum Streamen in eine regionale Event Hub-Instanz bereitgestellt, wenn eine Data Lake Analytics-Instanz erstellt oder aktualisiert wird, in der diese Diagnoseeinstellungen fehlen. DeployIfNotExists, Disabled 2.0.0
Diagnoseeinstellungen für Data Lake Analytics in Log Analytics-Arbeitsbereich bereitstellen Hiermit werden die Diagnoseeinstellungen für Data Lake Analytics zum Streamen in einen regionalen Log Analytics-Arbeitsbereich bereitgestellt, wenn eine Data Lake Analytics-Instanz erstellt oder aktualisiert wird, in der diese Diagnoseeinstellungen fehlen. DeployIfNotExists, Disabled 1.0.0
Diagnoseeinstellungen für Data Lake Storage Gen1 in Event Hub bereitstellen Hiermit werden die Diagnoseeinstellungen für Data Lake Storage Gen1 zum Streamen in eine regionale Event Hub-Instanz bereitgestellt, wenn eine Data Lake Storage Gen1-Instanz erstellt oder aktualisiert wird, in der diese Diagnoseeinstellungen fehlen. DeployIfNotExists, Disabled 2.0.0
Diagnoseeinstellungen für Data Lake Storage Gen1 in Log Analytics-Arbeitsbereich bereitstellen Hiermit werden die Diagnoseeinstellungen für Data Lake Storage Gen1 zum Streamen in einen regionalen Log Analytics-Arbeitsbereich bereitgestellt, wenn eine Data Lake Storage Gen1-Instanz erstellt oder aktualisiert wird, in der diese Diagnoseeinstellungen fehlen. DeployIfNotExists, Disabled 1.0.0
Diagnoseeinstellungen für Event Hub in Event Hub bereitstellen Hiermit werden die Diagnoseeinstellungen für Event Hub zum Streamen in eine regionale Event Hub-Instanz bereitgestellt, wenn eine Event Hub-Instanz erstellt oder aktualisiert wird, in der diese Diagnoseeinstellungen fehlen. DeployIfNotExists, Disabled 2.1.0
Diagnoseeinstellungen für Event Hub in Log Analytics-Arbeitsbereich bereitstellen Hiermit werden die Diagnoseeinstellungen für Event Hub zum Streamen in einen regionalen Log Analytics-Arbeitsbereich bereitgestellt, wenn eine Event Hub-Instanz erstellt oder aktualisiert wird, in der diese Diagnoseeinstellungen fehlen. DeployIfNotExists, Disabled 2.0.0
Diagnoseeinstellungen für Key Vault in Log Analytics-Arbeitsbereich bereitstellen Hiermit werden die Diagnoseeinstellungen für Key Vault zum Streamen in einen regionalen Log Analytics-Arbeitsbereich bereitgestellt, wenn eine Key Vault-Instanz erstellt oder aktualisiert wird, in der diese Diagnoseeinstellungen fehlen. DeployIfNotExists, Disabled 3.0.0
Diagnoseeinstellungen für Logic Apps in Event Hub bereitstellen Hiermit werden die Diagnoseeinstellungen für Logic Apps zum Streamen in eine regionale Event Hub-Instanz bereitgestellt, wenn eine Logic Apps-Instanz erstellt oder aktualisiert wird, in der diese Diagnoseeinstellungen fehlen. DeployIfNotExists, Disabled 2.0.0
Diagnoseeinstellungen für Logic Apps in Log Analytics-Arbeitsbereich bereitstellen Hiermit werden die Diagnoseeinstellungen für Logic Apps zum Streamen in einen regionalen Log Analytics-Arbeitsbereich bereitgestellt, wenn eine Logic Apps-Instanz erstellt oder aktualisiert wird, in der diese Diagnoseeinstellungen fehlen. DeployIfNotExists, Disabled 1.0.0
Diagnoseeinstellungen für Netzwerksicherheitsgruppen bereitstellen Diese Richtlinie stellt automatisch Diagnoseeinstellungen für Netzwerksicherheitsgruppen bereit. Es wird automatisch ein Speicherkonto mit dem Namen „{storagePrefixParameter}{NSGLocation}“ erstellt. deployIfNotExists 2.0.1
Diagnoseeinstellungen für Suchdienste in Event Hub bereitstellen Hiermit werden die Diagnoseeinstellungen für Suchdienste zum Streamen in eine regionale Event Hub-Instanz bereitgestellt, wenn ein Suchdienst erstellt oder aktualisiert wird, in dem diese Diagnoseeinstellungen fehlen. DeployIfNotExists, Disabled 2.0.0
Diagnoseeinstellungen für Suchdienste in Log Analytics-Arbeitsbereich bereitstellen Hiermit werden die Diagnoseeinstellungen für Suchdienste zum Streamen in einen regionalen Log Analytics-Arbeitsbereich bereitgestellt, wenn ein Suchdienst erstellt oder aktualisiert wird, in dem diese Diagnoseeinstellungen fehlen. DeployIfNotExists, Disabled 1.0.0
Diagnoseeinstellungen für Service Bus in Event Hub bereitstellen Hiermit werden die Diagnoseeinstellungen für Service Bus zum Streamen in eine regionale Event Hub-Instanz bereitgestellt, wenn eine Service Bus-Instanz erstellt oder aktualisiert wird, in der diese Diagnoseeinstellungen fehlen. DeployIfNotExists, Disabled 2.0.0
Diagnoseeinstellungen für Service Bus in Log Analytics-Arbeitsbereich bereitstellen Hiermit werden die Diagnoseeinstellungen für Service Bus zum Streamen in einen regionalen Log Analytics-Arbeitsbereich bereitgestellt, wenn eine Service Bus-Instanz erstellt oder aktualisiert wird, in der diese Diagnoseeinstellungen fehlen. DeployIfNotExists, Disabled 2.1.0
Diagnoseeinstellungen für Stream Analytics in Event Hub bereitstellen Hiermit werden die Diagnoseeinstellungen für Stream Analytics zum Streamen in eine regionale Event Hub-Instanz bereitgestellt, wenn eine Stream Analytics-Instanz erstellt oder aktualisiert wird, in der diese Diagnoseeinstellungen fehlen. DeployIfNotExists, Disabled 2.0.0
Diagnoseeinstellungen für Stream Analytics in Log Analytics-Arbeitsbereich bereitstellen Hiermit werden die Diagnoseeinstellungen für Stream Analytics zum Streamen in einen regionalen Log Analytics-Arbeitsbereich bereitgestellt, wenn eine Stream Analytics-Instanz erstellt oder aktualisiert wird, in der diese Diagnoseeinstellungen fehlen. DeployIfNotExists, Disabled 1.0.0
Stellen Sie die Log Analytics-Erweiterung für Linux-VM-Skalierungsgruppen bereit. Weitere Informationen finden Sie weiter unten im „Hinweis zur Einstellung der Unterstützung“. Stellen Sie die Log Analytics-Erweiterung für Linux-VM-Skalierungsgruppen bereit, wenn das VM-Image (Betriebssystem) in der definierten Liste vorhanden und die Erweiterung nicht installiert ist. Hinweis: Wenn „upgradePolicy“ für Ihre Skalierungsgruppe auf „Manuell“ festgelegt ist, müssen Sie die Erweiterung auf alle VMs in der Gruppe anwenden, indem Sie dafür ein Upgrade aufrufen. Führen Sie dazu in der CLI „az vmss update-instances“ aus. Veraltungshinweis: Der Log Analytics-Agent wird nach dem 31. August 2024 nicht mehr unterstützt. Sie müssen vor diesem Datum zum Azure Monitor-Agent als Ersatz migrieren. deployIfNotExists 3.0.0
Stellen Sie die Log Analytics-Erweiterung für Linux-VMs bereit. Weitere Informationen finden Sie weiter unten im „Hinweis zur Einstellung der Unterstützung“. Stellen Sie die Log Analytics-Erweiterung für Linux-VMs bereit, wenn das VM-Image (Betriebssystem) in der definierten Liste vorhanden und die Erweiterung nicht installiert ist. Hinweis zur Einstellung der Unterstützung: Der Log Analytics-Agent befindet sich in einem veralteten Pfad und wird nach dem 31. August 2024 nicht mehr unterstützt. Sie müssen vor diesem Datum zum Azure Monitor-Agent als Ersatz migrieren. deployIfNotExists 3.0.0
Aktivieren der Protokollierung nach Kategoriegruppe für 1ES Hosted Pools (microsoft.cloudtest/hostedpools) auf Event Hub Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Event Hub für 1ES Hosted Pools (microsoft.cloudtest/hostedpools) weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Aktivieren der Protokollierung nach Kategoriegruppe für 1ES Hosted Pools (microsoft.cloudtest/hostedpools) in Log Analytics Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Log Analytics-Arbeitsbereich für 1ES Hosted Pools (microsoft.cloudtest/hostedpools) weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Aktivieren der Protokollierung nach Kategoriegruppe für 1ES Hosted Pools (microsoft.cloudtest/hostedpools) zum Speicher Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an ein Speicherkonto für 1ES Hosted Pools (microsoft.cloudtest/hostedpools) weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Aktivieren der Protokollierung nach Kategoriegruppe für Analysis Services (microsoft.analysisservices/servers) auf Event Hub Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Event Hub für Analysis Services (microsoft.analysisservices/servers) weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Aktivieren der Protokollierung nach Kategoriegruppe für Analysis Services (microsoft.analysisservices/servers) in Log Analytics Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Log Analytics-Arbeitsbereich für Analysis Services (microsoft.analysisservices/servers) weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Aktivieren der Protokollierung nach Kategoriegruppe für Analysis Services (microsoft.analysisservices/servers) zum Speicher Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an ein Speicherkonto für Analysis Services (microsoft.analysisservices/servers) weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Aktivieren der Protokollierung nach Kategoriegruppe für Apache Spark Pools (microsoft.synapse/workspaces/bigdatapools) auf Event Hub Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Event Hub für Apache Spark Pools (microsoft.synapse/workspaces/bigdatapools) weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Aktivieren der Protokollierung nach Kategoriegruppe für Apache Spark Pools (microsoft.synapse/workspaces/bigdatapools) in Log Analytics Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Log Analytics-Arbeitsbereich für Apache Spark Pools (microsoft.synapse/workspaces/bigdatapools) weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Aktivieren der Protokollierung nach Kategoriegruppe für Apache Spark Pools (microsoft.synapse/workspaces/bigdatapools) zum Speicher Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an ein Speicherkonto für Apache Spark Pools (microsoft.synapse/workspaces/bigdatapools) weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Aktivieren der Protokollierung nach Kategoriegruppe für API Management-Dienste (microsoft.apimanagement/service) für Event Hub Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Event Hub für API Management zu routen (microsoft.apimanagement/service). DeployIfNotExists, AuditIfNotExists, Disabled 1.2.0
Aktivieren der Protokollierung nach Kategoriegruppe für API Management-Dienste (microsoft.apimanagement/service) für Log Analytics Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Log Analytics-Arbeitsbereich für API Management zu routen (microsoft.apimanagement/service). DeployIfNotExists, AuditIfNotExists, Disabled 1.1.0
Aktivieren der Protokollierung nach Kategoriegruppe für API Management-Dienste (microsoft.apimanagement/service) für Storage Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an ein Storage-Konto für API Management zu routen (microsoft.apimanagement/service). DeployIfNotExists, AuditIfNotExists, Disabled 1.1.0
Aktivieren der Protokollierung nach Kategoriegruppe für App Configuration (microsoft.appconfiguration/configurationstores) in Event Hub Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Event Hub für App Configuration (microsoft.appconfiguration/configurationstores) weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.2.0
Aktivieren der Protokollierung nach Kategoriegruppe für App Configuration (microsoft.appconfiguration/configurationstores) in Protokollanalyse Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Protokollanalysearbeitsbereich für App Configuration (microsoft.appconfiguration/configurationstores) weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.1.0
Aktivieren der Protokollierung nach Kategoriegruppe für App Configuration (microsoft.appconfiguration/configurationstores) in Storage Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an ein Speicherkonto für App Configuration (microsoft.appconfiguration/configurationstores) weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.1.0
Aktivieren der Protokollierung nach Kategoriegruppe für App Service (microsoft.web/sites) in Log Analytics Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt mithilfe einer Kategoriegruppe eine Diagnoseeinstellung bereit, um Protokolle für App Service (microsoft.web/sites) an einen Log Analytics-Arbeitsbereich weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Aktivieren der Protokollierung nach Kategoriegruppe für App-Dienstumgebungen (microsoft.web/hostingenvironments) auf Event Hub Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Event Hub für App Service-Umgebungen (microsoft.web/hostingenvironments) weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Aktivieren der Protokollierung nach Kategoriegruppe für App Service-Umgebungen (microsoft.web/hostingenvironments) in Log Analytics Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt mithilfe einer Kategoriegruppe eine Diagnoseeinstellung bereit, um Protokolle für App Service-Umgebungen (microsoft.web/hostingenvironments) an einen Log Analytics-Arbeitsbereich weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Aktivieren der Protokollierung nach Kategoriegruppe für App Service-Umgebungen (microsoft.web/hostingenvironments) in Speicher Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an ein Speicherkonto für App Service-Umgebungen (microsoft.web/hostingenvironments) weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Aktivieren der Protokollierung nach Kategoriegruppe für Anwendungsgateways (microsoft.network/applicationgateways) zum Event Hub Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Event Hub für Anwendungsgateways (microsoft.network/applicationgateways) weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Aktivieren der Protokollierung nach Kategoriegruppe für Anwendungsgateways (microsoft.network/applicationgateways) in Log Analytics Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Log Analytics-Arbeitsbereich für Anwendungsgateways (microsoft.network/applicationgateways) weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Aktivieren der Protokollierung nach Kategoriegruppe für Anwendungsgateways (microsoft.network/applicationgateways) zum Speicher Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an ein Speicherkonto für Anwendungsgateways (microsoft.network/applicationgateways) weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Aktivieren der Protokollierung nach Kategoriegruppe für die Anwendungsgruppe (microsoft.desktopvirtualization/applicationgroups) in Log Analytics Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt mithilfe einer Kategoriegruppe eine Diagnoseeinstellung bereit, um Protokolle für die Azure Virtual Desktop-Anwendungsgruppe (microsoft.desktopvirtualization/applicationgroups) an einen Log Analytics-Arbeitsbereich weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Aktivieren der Protokollierung nach Kategoriegruppe für die Anwendungsgruppe (microsoft.desktopvirtualization/applicationgroups) zu Log Analytics Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Event Hub für Anwendungsgruppen (microsoft.desktopvirtualization/applicationgroups) weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Aktivieren der Protokollierung nach Kategoriegruppe für die Anwendungsgruppen (microsoft.desktopvirtualization/applicationgroups) zu Log Analytics Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Log Analytics-Arbeitsbereich für Anwendungsgruppen (microsoft.desktopvirtualization/applicationgroups) weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Aktivieren der Protokollierung nach Kategoriegruppe für die Anwendungsgruppen (microsoft.desktopvirtualization/applicationgroups) zum Speicher Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an ein Speicherkonto für Anwendungsgruppen (microsoft.desktopvirtualization/applicationgroups) weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Aktivieren der Protokollierung nach Kategoriegruppe für Application Insights (microsoft.insights/components) zu Event Hub Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt mithilfe einer Kategoriegruppe eine Diagnoseeinstellung bereit, um Protokolle für Application Insights (microsoft.insights/components) an Event Hub weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Aktivieren der Protokollierung nach Kategoriegruppe für Application Insights (microsoft.insights/components) in Log Analytics Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt mithilfe einer Kategoriegruppe eine Diagnoseeinstellung bereit, um Protokolle für Application Insights (microsoft.insights/components) an einen Log Analytics-Arbeitsbereich weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Aktivieren der Protokollierung nach Kategoriegruppe für Application Insights (Microsoft.Insights/components) in Log Analytics (Virtual Enclaves) Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt mithilfe einer Kategoriegruppe eine Diagnoseeinstellung bereit, um Protokolle für Application Insights (Microsoft.Insights/components) an einen Log Analytics-Arbeitsbereich weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.1
Aktivieren der Protokollierung nach Kategoriegruppe für Application Insights (microsoft.insights/components) zum Speicher Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt mithilfe einer Kategoriegruppe eine Diagnoseeinstellung bereit, um Protokolle für Application Insights (microsoft.insights/components) an ein Speicherkonto weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Aktivieren der Protokollierung nach Kategoriegruppe für Nachweisanbieter (microsoft.attestation/attestationproviders) in Event Hub Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Event Hub für Nachweisanbieter (microsoft.attestation/attestationproviders) weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.2.0
Aktivieren der Protokollierung nach Kategoriegruppe für Nachweisanbieter (microsoft.attestation/attestationproviders) in Log Analytics Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Log Analytics-Arbeitsbereich für Nachweisanbieter (microsoft.attestation/attestationproviders) weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.1.0
Aktivieren der Protokollierung nach Kategoriegruppe für Nachweisanbieter (microsoft.attestation/attestationproviders) in Storage Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an ein Storage-Konto für Nachweisanbieter (microsoft.attestation/attestationproviders) weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.1.0
Aktivieren der Protokollierung nach Kategoriegruppe für Automation-Konten (microsoft.automation/automationaccounts) in Event Hub Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Event Hub für Automation-Konten (microsoft.automation/automationaccounts) weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.2.0
Aktivieren der Protokollierung nach Kategoriegruppe für Automation-Konten (microsoft.automation/automationaccounts) in Log Analytics Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Log Analytics-Arbeitsbereich für Automation-Konten (microsoft.automation/automationaccounts) weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.1.0
Aktivieren der Protokollierung nach Kategoriegruppe für Automation-Konten (microsoft.automation/automationaccounts) in Storage Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an ein Storage-Konto für Automation-Konten (microsoft.automation/automationaccounts) weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.1.0
Aktivieren der Protokollierung nach Kategoriegruppe für private AVS-Clouds (microsoft.avs/privateclouds) in Event Hub Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Event Hub für private AVS-Clouds (microsoft.avs/privateclouds) weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.2.0
Aktivieren der Protokollierung nach Kategoriegruppe für private AVS-Clouds (microsoft.avs/privateclouds) in Log Analytics Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Log Analytics-Arbeitsbereich für private AVS-Clouds (microsoft.avs/privateclouds) weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.1.0
Aktivieren der Protokollierung nach Kategoriegruppe für private AVS-Clouds (microsoft.avs/privateclouds) in Storage Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an ein Storage-Konto für private AVS-Clouds (microsoft.avs/privateclouds) weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.1.0
Aktivieren der Protokollierung nach Kategoriegruppe für Azure AD Domain Services (microsoft.aad/domainservices) zu Event Hub Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Event Hub for Azure AD Domain Services (microsoft.aad/domainservices) weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Aktivieren der Protokollierung nach Kategoriegruppe für Azure AD Domain Services (microsoft.aad/domainservices) in Log Analytics Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Log Analytics-Arbeitsbereich für Azure AD Domain Services (microsoft.aad/domainservices) weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Aktivieren der Protokollierung nach Kategoriegruppe für Azure AD Domain Services (microsoft.aad/domainservices) zum Speicher Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an ein Speicherkonto für Azure AD Domain Services (microsoft.aad/domainservices) weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Aktivieren der Protokollierung nach Kategoriegruppe für Azure-API für FHIR (microsoft.healthcareapis/services) auf Event Hub Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Event Hub für Azure-API für FHIR (microsoft.healthcareapis/services) weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Aktivieren der Protokollierung nach Kategoriegruppe für Azure-API für FHIR (microsoft.healthcareapis/services) in Log Analytics Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Log Analytics-Arbeitsbereich für Azure API für FHIR (microsoft.healthcareapis/services) weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Aktivieren der Protokollierung nach Kategoriegruppe für Azure-API für FHIR (microsoft.healthcareapis/services) zum Speicher Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an ein Speicherkonto für Azure-API für FHIR (microsoft.healthcareapis/services) weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Protokollierung nach Kategoriegruppe für Azure Cache for Redis (microsoft.cache/redis) für Event Hub aktivieren Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Event Hub für Azure Cache for Redis (microsoft.cache/redis) weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.2.0
Protokollierung nach Kategoriegruppe für Azure Cache for Redis (microsoft.cache/redis) für Log Analytics aktivieren Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Log Analytics-Arbeitsbereich für Azure Cache for Redis (microsoft.cache/redis) weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.1.0
Protokollierung nach Kategoriegruppe für Azure Cache for Redis (microsoft.cache/redis) für Speicher aktivieren Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an ein Speicherkonto für Azure Cache for Redis (microsoft.cache/redis) weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.1.0
Aktivieren der Protokollierung nach Kategoriegruppe für Azure Cosmos DB (microsoft.documentdb/databaseaccounts) in Log Analytics Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt mithilfe einer Kategoriegruppe eine Diagnoseeinstellung bereit, um Protokolle für Azure Cosmos DB (microsoft.documentdb/databaseaccounts) an einen Log Analytics-Arbeitsbereich weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Aktivieren der Protokollierung nach Kategoriegruppe für Azure Cosmos DB Konten (microsoft.documentdb/databaseaccounts) in Event Hub Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt mithilfe einer Kategoriegruppe eine Diagnoseeinstellung bereit, um Protokolle für Azure Cosmos DB Konten (microsoft.documentdb/databaseaccounts) an einen Event Hub weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Aktivieren der Protokollierung nach Kategoriegruppe für Azure Cosmos DB Konten (microsoft.documentdb/databaseaccounts) in Log Analytics Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt mithilfe einer Kategoriegruppe eine Diagnoseeinstellung bereit, um Protokolle für Azure Cosmos DB Konten (microsoft.documentdb/databaseaccounts) an einen Log Analytics-Arbeitsbereich weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Aktivieren der Protokollierung nach Kategoriegruppe für Azure Cosmos DB (microsoft.documentdb/databaseaccounts) zum Speicher Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt mithilfe einer Kategoriegruppe eine Diagnoseeinstellung bereit, um Protokolle für Azure Cosmos DB Konten (microsoft.documentdb/databaseaccounts) an ein Speicherkonto weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Aktivieren der Protokollierung nach Kategoriegruppe für Azure Data Explorer Cluster (microsoft.kusto/clusters) auf Event Hub Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Event Hub für Azure Data Explorer Cluster (microsoft.kusto/clusters) weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Aktivieren der Protokollierung nach Kategoriegruppe für Azure Data Explorer Cluster (microsoft.kusto/clusters) in Log Analytics Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Log Analytics-Arbeitsbereich für Azure Data Explorer Cluster (microsoft.kusto/clusters) weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Aktivieren der Protokollierung nach Kategoriegruppe für Azure Data Explorer Cluster (microsoft.kusto/clusters) zum Speicher Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an ein Speicherkonto für Azure Data Explorer Cluster (microsoft.kusto/clusters) weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Aktivieren der Protokollierung nach Kategoriegruppe für MariaDB-Server (microsoft.dbformariadb/servers) auf Event Hub Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Event Hub für MariaDB-Server (microsoft.dbformariadb/servers) weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Aktivieren der Protokollierung nach Kategoriegruppe für MariaDB-Server (microsoft.dbformariadb/servers) in Log Analytics Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Log Analytics-Arbeitsbereich für Azure Database for MariaDB-Server (microsoft.dbformariadb/servers) weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Aktivieren der Protokollierung nach Kategoriegruppe für Azure Database for MariaDB-Server (microsoft.dbformariadb/servers) zum Speicher Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an ein Speicherkonto for Azure Database for MariaDB-Server (microsoft.dbformariadb/servers) weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Aktivieren der Protokollierung nach Kategoriegruppe für Azure DB for MySQL-Server (microsoft.dbformysql/servers) auf Event Hub Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Event Hub für Azure DB for MySQL-Server (microsoft.dbformysql/servers) weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Aktivieren der Protokollierung nach Kategoriegruppe für Azure Database for MySQL-Server (microsoft.dbformysql/servers) in Log Analytics Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Log Analytics-Arbeitsbereich für Azure Database for MySQL-Server (microsoft.dbformysql/servers) weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Aktivieren der Protokollierung nach Kategoriegruppe für Azure Database for MySQL-Server (microsoft.dbformysql/servers) zum Speicher Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an ein Speicherkonto für Azure Database for MySQL-Server (microsoft.dbformysql/servers) weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Aktivieren der Protokollierung nach Kategoriegruppe für Azure Databricks Services (microsoft.databricks/workspaces) auf Event Hub Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Event Hub für Azure Databricks Services (microsoft.databricks/workspaces) weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Aktivieren der Protokollierung nach Kategoriegruppe für Azure Databricks Services (microsoft.databricks/workspaces) in Log Analytics Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Log Analytics-Arbeitsbereich für Azure Databricks Services (microsoft.apimanagement/service) weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Aktivieren der Protokollierung nach Kategoriegruppe für Azure Databricks Services (microsoft.databricks/workspaces) zum Speicher Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an ein Speicherkonto für Azure Databricks Services (microsoft.databricks/workspaces) weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Aktivieren der Protokollierung nach Kategoriegruppe für Azure Digital Twins (microsoft.digitaltwins/digitaltwinsinstances) für Event Hub Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Event Hub für Azure Digital Twins (microsoft.digitaltwins/digitaltwinsinstances) weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Aktivieren der Protokollierung nach Kategoriegruppe für Azure Digital Twins (microsoft.digitaltwins/digitaltwinsinstances) in Log Analytics Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Log Analytics-Arbeitsbereich für Azure Digital Twins (microsoft.digitaltwins/digitaltwinsinstances) weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Aktivieren der Protokollierung nach Kategoriegruppe für Azure Digital Twins (microsoft.digitaltwins/digitaltwinsinstances) zum Speicher Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an ein Speicherkonto für Azure Digital Twins (microsoft.digitaltwins/digitaltwinsinstances) weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Aktivieren der Protokollierung nach Kategoriegruppe für Azure FarmBeats (microsoft.agfoodplatform/farmbeats) in Event Hub Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Event Hub für Azure FarmBeats (microsoft.agfoodplatform/farmbeats) weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.2.0
Aktivieren der Protokollierung nach Kategoriegruppe für Azure FarmBeats (microsoft.agfoodplatform/farmbeats) in Log Analytics Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Log Analytics-Arbeitsbereich für Azure FarmBeats (microsoft.agfoodplatform/farmbeats) weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.1.0
Aktivieren der Protokollierung nach Kategoriegruppe für Azure FarmBeats (microsoft.agfoodplatform/farmbeats) in Storage Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an ein Storage-Konto für Azure FarmBeats (microsoft.agfoodplatform/farmbeats) weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.1.0
Aktivieren der Protokollierung nach Kategoriegruppe für Azure Load Testing (microsoft.loadtestservice/loadtests) auf Event Hub Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Event Hub für Azure Load Testing (microsoft.loadtestservice/loadtests) weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Aktivieren der Protokollierung nach Kategoriegruppe für Azure Load Testing (microsoft.loadtestservice/loadtests) in Log Analytics Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Log Analytics-Arbeitsbereich für Azure Load Testing (microsoft.loadtestservice/loadtests) weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Aktivieren der Protokollierung nach Kategoriegruppe für Azure Load Testing (microsoft.loadtestservice/loadtests) zum Speicher Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an ein Speicherkonto für Azure Load Testing (microsoft.loadtestservice/loadtests) weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Aktivieren der Protokollierung nach Kategoriegruppe für Azure Machine Learning (microsoft.machinelearningservices/workspaces) in Event Hub Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Event Hub für Azure Machine Learning (microsoft.machinelearningservices/workspaces) weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.2.0
Aktivieren der Protokollierung nach Kategoriegruppe für Azure Machine Learning (microsoft.machinelearningservices/workspaces) in Log Analytics Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Log Analytics-Arbeitsbereich für Azure Machine Learning (microsoft.machinelearningservices/workspaces) weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.1.0
Aktivieren der Protokollierung nach Kategoriegruppe für Azure Machine Learning (microsoft.machinelearningservices/workspaces) in Storage Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an ein Storage-Konto für Azure Machine Learning (microsoft.machinelearningservices/workspaces) weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.1.0
Aktivieren der Protokollierung nach Kategoriegruppe für Azure Managed Grafana (microsoft.dashboard/grafana) auf Event Hub Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Event Hub für Azure Managed Grafana (microsoft.dashboard/grafana) weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Aktivieren der Protokollierung nach Kategoriegruppe für Azure Managed Grafana (microsoft.dashboard/grafana) in Log Analytics Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Log Analytics-Arbeitsbereich für Azure Managed Grafana (microsoft.dashboard/grafana) weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Aktivieren der Protokollierung nach Kategoriegruppe für Azure Managed Grafana (microsoft.dashboard/grafana) zum Speicher Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an ein Speicherkonto für Azure Managed Grafana (microsoft.dashboard/grafana) weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Aktivieren der Protokollierung nach Kategoriegruppe für Azure Spring Apps (microsoft.appplatform/spring) auf Event Hub Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Event Hub für Azure Spring Apps (microsoft.appplatform/spring) weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Aktivieren der Protokollierung nach Kategoriegruppe für Azure Spring Apps (microsoft.appplatform/spring) in Log Analytics Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Log Analytics-Arbeitsbereich für Azure Spring Apps (microsoft.appplatform/spring) weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Aktivieren der Protokollierung nach Kategoriegruppe für Azure Spring Apps (microsoft.appplatform/spring) zum Speicher Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an ein Speicherkonto für Azure Spring Apps (microsoft.appplatform/spring) weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Aktivieren der Protokollierung nach Kategoriegruppe für Azure Synapse Analytics (microsoft.synapse/workspaces) auf Event Hub Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Event Hub für Azure Synapse Analytics (microsoft.synapse/workspaces) weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Aktivieren der Protokollierung nach Kategoriegruppe für Azure Synapse Analytics (microsoft.synapse/workspaces) in Log Analytics Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Log Analytics-Arbeitsbereich für Azure Synapse Analytics (microsoft.synapse/workspaces) weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Aktivieren der Protokollierung nach Kategoriegruppe für Azure Synapse Analytics (microsoft.synapse/workspaces) zum Speicher Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an ein Speicherkonto für Azure Synapse Analytics (microsoft.synapse/workspaces) weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Aktivieren der Protokollierung nach Kategoriegruppe für Azure Video Indexer (microsoft.videoindexer/accounts) auf Event Hub Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Event Hub für Azure Video Indexer (microsoft.videoindexer/accounts) weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Aktivieren der Protokollierung nach Kategoriegruppe für Azure Video Indexer (microsoft.videoindexer/accounts) in Log Analytics Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt mithilfe einer Kategoriegruppe eine Diagnoseeinstellung bereit, um Protokolle für Azure Video Indexer (microsoft.videoindexer/accounts) an einen Log Analytics-Arbeitsbereich weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Aktivieren der Protokollierung nach Kategoriegruppe für Azure Video Indexer (microsoft.videoindexer/accounts) zum Speicher Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an ein Speicherkonto für Azure Video Indexer (microsoft.videoindexer/accounts) weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Aktivieren der Protokollierung nach Kategoriegruppe für Backup Vaults (microsoft.dataprotection/backupvaults) auf Event Hub Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Event Hub für Backup Vaults (microsoft.dataprotection/backupvaults) weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Aktivieren der Protokollierung nach Kategoriegruppe für Backup Vaults (microsoft.dataprotection/backupvaults) in Log Analytics Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Log Analytics-Arbeitsbereich für Backup Vaults (microsoft.dataprotection/backupvaults) weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Aktivieren der Protokollierung nach Kategoriegruppe für Backup Vaults (microsoft.dataprotection/backupvaults) zum Speicher Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an ein Speicherkonto für Backup Vaults (microsoft.dataprotection/backupvaults) weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Aktivieren der Protokollierung nach Kategoriegruppe für Bastions (microsoft.network/bastionhosts) in Event Hub Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Event Hub für Bastations (microsoft.keyvault/vaults) weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.2.0
Aktivieren der Protokollierung nach Kategoriegruppe für Bastions (microsoft.network/bastionhosts) in Log Analytics Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Log Analytics-Arbeitsbereich für Bastions (microsoft.network/bastionhosts) weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.1.0
Aktivieren der Protokollierung nach Kategoriegruppe für Bastions (microsoft.network/bastionhosts) in Storage Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Speicherkonto für Bastions (microsoft.keyvault/vaults) weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.1.0
Aktivieren der Protokollierung nach Kategoriegruppe für Batch-Konten (microsoft.batch/batchaccounts) für Event Hub Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Event Hub für Batch-Konten (microsoft.batch/batchaccounts) weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Aktivieren der Protokollierung nach Kategoriegruppe für Batch-Konten (microsoft.batch/batchaccounts) in Log Analytics Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Log Analytics-Arbeitsbereich für Batch-Konten (microsoft.batch/batchaccounts) weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Aktivieren der Protokollierung nach Kategoriegruppe für Batch-Konten (microsoft.batch/batchaccounts) zum Speicher Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an ein Speicherkonto für Batch-Konten (microsoft.batch/batchaccounts) weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Aktivieren der Protokollierung nach Kategoriegruppe für Bot Services (microsoft.botservice/botservices) für Event Hub Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Event Hub für Bot Services (microsoft.botservice/botservices) weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Aktivieren der Protokollierung nach Kategoriegruppe für Bot Services (microsoft.botservice/botservices) in Log Analytics Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Log Analytics-Arbeitsbereich für Bot Services (microsoft.botservices/botservices) weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Aktivieren der Protokollierung nach Kategoriegruppe für Bot Services (microsoft.botservice/botservices) zum Speicher Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an ein Speicherkonto für Bot Services (microsoft.botservice/botservices) weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Aktivieren der Protokollierung nach Kategoriegruppe für Caches (microsoft.cache/redisenterprise/databases) auf Event Hub Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Event Hub für Caches (microsoft.cache/redisenterprise/databases) weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Aktivieren der Protokollierung nach Kategoriegruppe für Caches (microsoft.cache/redisenterprise/databases) in Log Analytics Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Log Analytics-Arbeitsbereich für Caches (microsoft.cache/redisenterprise/databases) weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Aktivieren der Protokollierung nach Kategoriegruppe für Caches (microsoft.cache/redisenterprise/databases) zum Speicher Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an ein Speicherkonto für Caches (microsoft.cache/redisenterprise/databases) weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Protokollierung nach Kategoriegruppe für Chaos Experiments (microsoft.chaos/experiments) in Event Hub aktivieren Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Event Hub for Chaos Experiments (microsoft.chaos/experiments) weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Protokollierung nach Kategoriegruppe für Chaos Experiments (microsoft.chaos/experiments) in Log Analytics aktivieren Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Log Analytics-Arbeitsbereich für Chaos Experiments (microsoft.chaos/experiments) weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Protokollierung nach Kategoriegruppe für Chaos Experiments (microsoft.chaos/experiments) im Speicher aktivieren Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an ein Speicherkonto für Chaos Experiments (microsoft.chaos/experiments) weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Aktivieren der Protokollierung nach Kategoriegruppe für Codesignaturkonten (microsoft.codesigning/codesigningaccounts) auf Event Hub Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Event Hub für Codesigningkonten (microsoft.codesigning/codesigningaccounts) weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Aktivieren der Protokollierung nach Kategoriegruppe für Codesigningkonten (microsoft.codesigning/codesigningaccounts) in Log Analytics Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Log Analytics-Arbeitsbereich für Codesigningkonten (microsoft.codesigning/codesigningaccounts) weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Aktivieren der Protokollierung nach Kategoriegruppe für Codesignaturkonten (microsoft.codesigning/codesigningaccounts) zum Speicher Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an ein Speicherkonto für Codesigningkonten (microsoft.codesigning/codesigningaccounts) weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Aktivieren der Protokollierung nach Kategoriegruppe für Cognitive Services (microsoft.cognitiveservices/accounts) in Event Hub Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Event Hub for Cognitive Services zu routen (microsoft.cognitiveservices/accounts). DeployIfNotExists, AuditIfNotExists, Disabled 1.2.0
Aktivieren der Protokollierung nach Kategoriegruppe für Cognitive Services (microsoft.cognitiveservices/accounts) in Protokollanalyse Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an ein Log Analytics Workspace for Cognitive Services zu routen (microsoft.cognitiveservices/accounts). DeployIfNotExists, AuditIfNotExists, Disabled 1.1.0
Aktivieren der Protokollierung nach Kategoriegruppe für Cognitive Services (microsoft.cognitiveservices/accounts) in Storage Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriengruppe bereit, um Protokolle an ein Storage-Konto for Cognitive Services zu routen (microsoft.cognitiveservices/accounts). DeployIfNotExists, AuditIfNotExists, Disabled 1.1.0
Aktivieren der Protokollierung nach Kategoriegruppe für Communication Services (microsoft.communication/communicationservices) auf Event Hub Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Event Hub for Communication Services (microsoft.communication/communicationservices) weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Protokollierung nach Kategoriegruppe für Communication Services (microsoft.communication/communicationservices) in Log Analytics aktivieren Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Log Analytics-Arbeitsbereich für Communication Services (microsoft.communication/communicationservices) weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Protokollierung nach Kategoriegruppe für Communication Services (microsoft.communication/communicationservices) zum Speicher aktivieren Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an ein Speicherkonto für Communication Services (microsoft.communication/communicationservices) weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Aktivieren der Protokollierung nach Kategoriegruppe für Connected Cache Resources (microsoft.connectedcache/ispcustomers) auf Event Hub Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Event Hub für Connected Cache Resources (microsoft.connectedcache/ispcustomers) weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Aktivieren der Protokollierung nach Kategoriegruppe für Connected Cache Resources (microsoft.connectedcache/ispcustomers) in Log Analytics Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Log Analytics-Arbeitsbereich für Connected Cache Resources (microsoft.connectedcache/ispcustomers) weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Aktivieren der Protokollierung nach Kategoriegruppe für Connected Cache Resources (microsoft.connectedcache/ispcustomers) zum Speicher Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an ein Speicherkonto für Connected Cache Resources (microsoft.connectedcache/ispcustomers) weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Aktivieren der Protokollierung nach Kategoriegruppe für Container Apps Umgebungen (microsoft.app/managedenvironments) auf Event Hub Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Event Hub für Container Apps Umgebungen (microsoft.app/managedenvironments) weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Aktivieren der Protokollierung nach Kategoriegruppe für Container Apps Umgebungen (microsoft.app/managedenvironments) in Log Analytics Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Log Analytics-Arbeitsbereich für Container Apps Umgebungen (microsoft.app/managedenvironments) weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Aktivieren der Protokollierung nach Kategoriegruppe für Container Apps Umgebungen (microsoft.app/managedenvironments) zum Speicher Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an ein Speicherkonto für Container Apps Umgebungen (microsoft.app/managedenvironments) weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Aktivieren der Protokollierung nach Kategoriegruppe für Containerinstanzen (microsoft.containerinstance/containergroups) für Event Hub Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Event Hub für Containerinstanzen (microsoft.containerinstance/containergroups) weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Aktivieren der Protokollierung nach Kategoriegruppe für Containerinstanzen (microsoft.containerinstance/containergroups) in Log Analytics Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Log Analytics-Arbeitsbereich für Containerinstanzen (microsoft.containerinstance/containergroups) weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Aktivieren der Protokollierung nach Kategoriegruppe für Containerinstanzen (microsoft.containerinstance/containergroups) zum Speicher Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an ein Speicherkonto für Containerinstanzen (microsoft.containerinstance/containergroups) weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Protokollierung nach Kategoriegruppe für Containerregistrierungen (microsoft.containerregistry/registries) in Event Hub aktivieren Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Event Hub für Containerregistrierungen (microsoft.containerregistry/registries) weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.2.0
Protokollierung nach Kategoriegruppe für Containerregistrierungen (microsoft.containerregistry/registries) in Log Analytics aktivieren Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Log Analytics-Arbeitsbereich für Containerregistrierungen (microsoft.containerregistry/registries) weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.1.0
Protokollierung nach Kategoriegruppe für Containerregistrierungen (microsoft.containerregistry/registries) im Speicher aktivieren Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an ein Speicherkonto für Containerregistrierungen (microsoft.containerregistry/registries) weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.1.0
Aktivieren der Protokollierung nach Kategoriegruppe für Datensammlungsregeln (microsoft.insights/datacollectionrules) in Event Hub Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Event Hub für Datensammlungsregeln (microsoft.insights/datacollectionrules) weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Aktivieren der Protokollierung nach Kategoriegruppe für Datensammlungsregeln (microsoft.insights/datacollectionrules) in Log Analytics Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Log Analytics-Arbeitsbereich für Datensammlungsregeln (microsoft.insights/datacollectionrules) weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Aktivieren der Protokollierung nach Kategoriegruppe für Datensammlungsregeln (microsoft.insights/datacollectionrules) im Speicher Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an ein Speicherkonto für Datensammlungsregeln (microsoft.insights/datacollectionrules) weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Aktivieren der Protokollierung nach Kategoriegruppe für Datenfabriken (V2) (microsoft.datafactory/factories) auf Event Hub Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Event Hub für Datenfabriken (V2) (microsoft.datafactory/factories) weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Aktivieren der Protokollierung nach Kategoriegruppe für Datenfabriken (V2) (microsoft.datafactory/factories) in Log Analytics Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Log Analytics-Arbeitsbereich für Datenfabriken (V2) (microsoft.datafactory/factories) weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Aktivieren der Protokollierung nach Kategoriegruppe für Datenfabriken (V2) (microsoft.datafactory/factories) zum Speicher Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an ein Speicherkonto für Datenfabriken (V2) (microsoft.datafactory/factories) weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Aktivieren der Protokollierung nach Kategoriegruppe für Data Lake Analytics (microsoft.datalakeanalytics/accounts) auf Event Hub Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Event Hub für Data Lake Analytics (microsoft.datalakeanalytics/accounts) weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Aktivieren der Protokollierung nach Kategoriegruppe für Data Lake Analytics (microsoft.datalakeanalytics/accounts) in Log Analytics Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Log Analytics-Arbeitsbereich für Data Lake Analytics (microsoft.datalakeanalytics/accounts) weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Aktivieren der Protokollierung nach Kategoriegruppe für Data Lake Analytics (microsoft.datalakeanalytics/accounts) zum Speicher Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an ein Speicherkonto für Data Lake Analytics (microsoft.datalakeanalytics/accounts) weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Aktivieren der Protokollierung nach Kategoriegruppe für Data Lake Storage Gen1 (microsoft.datalakestore/accounts) auf Event Hub Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Event Hub für Data Lake Storage Gen1 (microsoft.datalakestore/accounts) weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Aktivieren der Protokollierung nach Kategoriegruppe für Data Lake Storage Gen1 (microsoft.datalakestore/accounts) in Log Analytics Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Log Analytics-Arbeitsbereich für Data Lake Storage Gen1 (microsoft.datalakestore/accounts) weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Aktivieren der Protokollierung nach Kategoriegruppe für Data Lake Storage Gen1 (microsoft.datalakestore/accounts) zum Speicher Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an ein Speicherkonto für Data Lake Storage Gen1 (microsoft.datalakestore/accounts) weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Aktivieren der Protokollierung nach Kategoriegruppe für Datenfreigaben (microsoft.datashare/accounts) auf Event Hub Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Event Hub für Data Shares (microsoft.datashare/accounts) weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Aktivieren der Protokollierung nach Kategoriegruppe für Datenfreigaben (microsoft.datashare/accounts) in Log Analytics Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Log Analytics-Arbeitsbereich für Data Shares (microsoft.datashare/accounts) weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Aktivieren der Protokollierung nach Kategoriegruppe für Datenfreigaben (microsoft.datashare/accounts) im Speicher Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an ein Speicherkonto für Data Shares (microsoft.datashare/accounts) weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Aktivieren der Protokollierung nach Kategoriegruppe für dedizierte SQL-Pools (microsoft.synapse/workspaces/sqlpools) auf Event Hub Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Event Hub für dedizierte SQL-Pools (microsoft.synapse/workspaces/sqlpools) weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Aktivieren der Protokollierung nach Kategoriegruppe für dedizierte SQL-Pools (microsoft.synapse/workspaces/sqlpools) in Log Analytics Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Log Analytics-Arbeitsbereich für dedizierte SQL-Pools (microsoft.synapse/workspaces/sqlpools) weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Aktivieren der Protokollierung nach Kategoriegruppe für dedizierte SQL-Pools (microsoft.synapse/workspaces/sqlpools) zum Speicher Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an ein Speicherkonto für dedizierte SQL-Pools (microsoft.synapse/workspaces/sqlpools) weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Aktivieren der Protokollierung nach Kategoriegruppe für Dev Center (microsoft.devcenter/devcenters) auf Event Hub Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Event Hub für Dev centers (microsoft.devcenter/devcenters) weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Aktivieren der Protokollierung nach Kategoriegruppe für Dev Center (microsoft.devcenter/devcenters) in Log Analytics Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Log Analytics-Arbeitsbereich für Dev centers (microsoft.devcenter/devcenters) weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Aktivieren der Protokollierung nach Kategoriegruppe für Dev Center (microsoft.devcenter/devcenters) zum Speicher Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an ein Speicherkonto für Dev centers (microsoft.devcenter/devcenters) weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Aktivieren der Protokollierung nach Kategoriegruppe für den DICOM-Dienst (microsoft.healthcareapis/workspaces/dicomservices) auf Event Hub Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Event Hub für DICOM-Dienst (microsoft.healthcareapis/workspaces/dicomservices) weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Aktivieren der Protokollierung nach Kategoriegruppe für DEN DICOM-Dienst (microsoft.healthcareapis/workspaces/dicomservices) in Log Analytics Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Log Analytics-Arbeitsbereich für DEN DICOM-Dienst (microsoft.healthcareapis/workspaces/dicomservices) weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Aktivieren der Protokollierung nach Kategoriegruppe für DEN DICOM-Dienst (microsoft.healthcareapis/workspaces/dicomservices) zum Speicher Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an ein Speicherkonto für DICOM-Dienst (microsoft.healthcareapis/workspaces/dicomservices) weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Aktivieren der Protokollierung nach Kategoriegruppe für Endpunkte (microsoft.cdn/profiles/endpoints) für Event Hub Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Event Hub für Endpoints (microsoft.cdn/profiles/endpoints) weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Aktivieren der Protokollierung nach Kategoriegruppe für Endpunkte (microsoft.cdn/profiles/endpoints) in Log Analytics Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Log Analytics-Arbeitsbereich für Endpunkte (microsoft.cdn/profiles/endpoints) weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Aktivieren der Protokollierung nach Kategoriegruppe für Endpunkte (microsoft.cdn/profiles/endpoints) zum Speicher Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an ein Speicherkonto für Endpunkte (microsoft.cdn/profiles/endpoints) weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Aktivierung der Protokollierung nach Kategoriegruppe für Event Grid-Domänen (microsoft.eventgrid/domains) in Event Hub Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie setzt eine Diagnoseeinstellung ein, die eine Kategoriegruppe verwendet, um Protokolle an einen Event Hub für Event Grid Domains (microsoft.eventgrid/domains) weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.2.0
Aktivierung der Protokollierung nach Kategoriegruppe für Event Grid Domains (microsoft.eventgrid/domains) in Log Analytics Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie setzt eine Diagnoseeinstellung ein, die eine Kategoriegruppe verwendet, um Protokolle an einen Log Analytics-Arbeitsbereich für Event Grid Domains (microsoft.eventgrid/domains) weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.1.0
Aktivierung der Protokollierung nach Kategoriegruppe für Event Grid Domains (microsoft.eventgrid/domains) in Storage Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie setzt eine Diagnoseeinstellung ein, die eine Kategoriegruppe verwendet, um Protokolle an ein Speicherkonto für Event Grid Domains (microsoft.eventgrid/domains) weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.1.0
Aktivierung der Protokollierung nach Kategoriegruppe für Event Grid Partner Namespaces (microsoft.eventgrid/partnernamespaces) für Event Hub Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie setzt eine Diagnoseeinstellung ein, die eine Kategoriegruppe verwendet, um Protokolle an einen Event Hub für Event Grid Partner Namespaces (microsoft.eventgrid/partnernamespaces) weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.2.0
Aktivierung der Protokollierung nach Kategoriegruppe für Event Grid Partner Namespaces (microsoft.eventgrid/partnernamespaces) für Log Analytics Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie setzt eine Diagnoseeinstellung ein, die eine Kategoriegruppe verwendet, um Protokolle an einen Log Analytics-Arbeitsbereich für Event Grid Partner Namespaces (microsoft.eventgrid/partnernamespaces) weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.1.0
Aktivierung der Protokollierung nach Kategoriegruppe für Event Grid Partner Namespaces (microsoft.eventgrid/partnernamespaces) zu Storage Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie setzt eine Diagnoseeinstellung ein, die eine Kategoriegruppe verwendet, um Protokolle an ein Speicherkonto für Event Grid Partner Namespaces (microsoft.eventgrid/partnernamespaces) weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.1.0
Aktivieren der Protokollierung nach Kategoriegruppe für Event Grid Partner Themen (microsoft.eventgrid/partnertopics) in Event Hub Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie setzt eine Diagnoseeinstellung ein, die eine Kategoriegruppe verwendet, um Protokolle an einen Event Hub für Event Grid Partner Themen (microsoft.eventgrid/partnertopics) weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Aktivieren der Protokollierung nach Kategoriegruppe für Event Grid Partner Themen (microsoft.eventgrid/partnertopics) in Log Analytics Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie setzt eine Diagnoseeinstellung ein, die eine Kategoriegruppe verwendet, um Protokolle an einen Log Analytics-Arbeitsbereich für Event Grid Partner Themen (microsoft.eventgrid/partnertopics) weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Aktivieren der Protokollierung nach Kategoriegruppe für Event Grid Partner Themen (microsoft.eventgrid/partnertopics) im Speicher Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie setzt eine Diagnoseeinstellung ein, die eine Kategoriegruppe verwendet, um Protokolle an ein Speicherkonto für Event Grid Partner Themen (microsoft.eventgrid/partnertopics) weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Aktivieren der Protokollierung nach Kategoriegruppe für Event Grid System Themen (microsoft.eventgrid/systemtopics) in Event Hub Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie setzt eine Diagnoseeinstellung ein, die eine Kategoriegruppe verwendet, um Protokolle an einen Event Hub für Event Grid System Themen (microsoft.eventgrid/systemtopics) weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Aktivieren der Protokollierung nach Kategoriegruppe für Event Grid System Themen (microsoft.eventgrid/systemtopics) in Log Analytics Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie setzt eine Diagnoseeinstellung ein, die eine Kategoriegruppe verwendet, um Protokolle an einen Log Analytics-Arbeitsbereich für Event Grid System Themen (microsoft.eventgrid/systemtopics) weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Aktivieren der Protokollierung nach Kategoriegruppe für Event Grid System Themen (microsoft.eventgrid/systemtopics) im Speicher Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie setzt eine Diagnoseeinstellung ein, die eine Kategoriegruppe verwendet, um Protokolle an ein Speicherkonto für Event Grid System Themen (microsoft.eventgrid/systemtopics) weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Aktivierung der Protokollierung nach Kategoriegruppe für Event Grid Topics (microsoft.eventgrid/topics) in Event Hub Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie setzt eine Diagnoseeinstellung ein, die eine Kategoriegruppe verwendet, um Protokolle an einen Event Hub für Event Grid Topics (microsoft.eventgrid/topics) weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.2.0
Aktivierung der Protokollierung nach Kategoriegruppe für Ereignisraster-Themen (microsoft.eventgrid/topics) in Log Analytics Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie setzt eine Diagnoseeinstellung ein, die eine Kategoriegruppe verwendet, um Protokolle an einen Log Analytics-Arbeitsbereich für Ereignisraster-Themen (microsoft.eventgrid/topics) weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.1.0
Aktivierung der Protokollierung nach Kategoriegruppe für Ereignisraster-Themen (microsoft.eventgrid/topics) in Storage Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie setzt eine Diagnoseeinstellung ein, die eine Kategoriegruppe verwendet, um Protokolle an ein Speicherkonto für Ereignisraster-Themen (microsoft.eventgrid/topics) weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.1.0
Protokollierung nach Kategoriegruppe für Service Bus-Namespaces (microsoft.servicebus/namespaces) in Event Hub* aktivieren Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Event Hub* für Service Bus-Namespaces (microsoft.servicebus/namespaces) zu routen. DeployIfNotExists, AuditIfNotExists, Disabled 1.2.0
Protokollierung nach Kategoriegruppe für Event Hubs* Bus-Namespaces (microsoft.servicebus/namespaces) in Log Analytics aktivieren Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Log Analytics-Arbeitsbereich für Event Hub* Bus-Namespaces (microsoft.servicebus/namespaces) zu routen. DeployIfNotExists, AuditIfNotExists, Disabled 1.1.0
Protokollierung nach Kategoriegruppe für Event Hub* Bus-Namespaces (microsoft.servicebus/namespaces) in Storage* aktivieren Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Event Hub* für Bus-Namespaces (microsoft.servicebus/namespaces) zu routen. DeployIfNotExists, AuditIfNotExists, Disabled 1.1.0
Aktivieren der Protokollierung nach Kategoriegruppe für Experiment-Arbeitsbereiche (microsoft.experimentation/experimentworkspaces) in Event Hub Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Event Hub für Experiment-Arbeitsbereiche (microsoft.experimentation/experimentworkspaces) weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Aktivieren der Protokollierung nach Kategoriegruppe für Experiment-Arbeitsbereiche (microsoft.experimentation/experimentworkspaces) in Log Analytics Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Log Analytics-Arbeitsbereich für Experiment-Arbeitsbereiche (microsoft.experimentation/experimentworkspaces) weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Aktivieren der Protokollierung nach Kategoriegruppe für Experiment-Arbeitsbereiche (microsoft.experimentation/experimentworkspaces) zum Speicher Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an ein Speicherkonto für Experimentarbeitsbereiche (microsoft.experimentation/experimentworkspaces) weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Aktivieren der Protokollierung nach Kategoriegruppe für ExpressRoute-Verbindungen (microsoft.network/expressroutecircuits) zum Event Hub Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Event Hub für ExpressRoute-Verbindungen (microsoft.network/expressroutecircuits) weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Protokollierung nach Kategoriegruppe für ExpressRoute-Verbindungen (microsoft.network/expressroutecircuits) in Log Analytics aktivieren Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Log Analytics-Arbeitsbereich für ExpressRoute-Verbindungen (microsoft.network/expressroutecircuits) weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Aktivieren der Protokollierung nach Kategoriegruppe für ExpressRoute-Verbindungen (microsoft.network/expressroutecircuits) zum Speicher Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an ein Speicherkonto für ExpressRoute-Verbindungen (microsoft.network/expressroutecircuits) weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Aktivieren der Protokollierung nach Kategoriegruppe für den FHIR-Dienst (microsoft.healthcareapis/workspaces/fhirservices) auf Event Hub Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Event Hub für FHIR-Dienst (microsoft.healthcareapis/workspaces/fhirservices) weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Aktivieren der Protokollierung nach Kategoriegruppe für den FHIR-Dienst (microsoft.healthcareapis/workspaces/fhirservices) in Log Analytics Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Log Analytics-Arbeitsbereich für den FHIR-Dienst (microsoft.healthcareapis/workspaces/fhirservices) weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Aktivieren der Protokollierung nach Kategoriegruppe für den FHIR-Dienst (microsoft.healthcareapis/workspaces/fhirservices) zum Speicher Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Speicherkonto für FHIR-Dienst (microsoft.healthcareapis/workspaces/fhirservices) weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Aktivieren der Protokollierung nach Kategoriegruppe für Firewall (microsoft.network/azurefirewalls) in Log Analytics Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt mithilfe einer Kategoriegruppe eine Diagnoseeinstellung bereit, um Protokolle für Firewall (microsoft.network/azurefirewalls) an einen Log Analytics-Arbeitsbereich weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Aktivieren der Protokollierung nach Kategoriegruppe für Firewall (microsoft.network/azurefirewalls) in Event Hub Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Event Hub für Firewalls (microsoft.network/azurefirewalls) weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Aktivieren der Protokollierung nach Kategoriegruppe für Firewalls (microsoft.network/azurefirewalls) in Log Analytics Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt mithilfe einer Kategoriegruppe eine Diagnoseeinstellung bereit, um Protokolle für Firewalls (microsoft.network/azurefirewalls) an einen Log Analytics-Arbeitsbereich weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Aktivieren der Protokollierung nach Kategoriegruppe für Firewalls (microsoft.network/azurefirewalls) im Speicher Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an ein Speicherkonto für Firewalls (microsoft.network/azurefirewalls) weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Aktivieren der Protokollierung nach Kategoriegruppe für Front Door- und CDN-Profile (microsoft.cdn/profiles) in Event Hub Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Event Hub für Front Door- und CDN-Profile (microsoft.cdn/profiles) weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.2.0
Aktivieren der Protokollierung nach Kategoriegruppe für Front Door- und CDN-Profile (microsoft.cdn/profiles) in Log Analytics Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Log Analytics-Arbeitsbereich für Front Door- und CDN-Profile (microsoft.cdn/profiles) weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.1.0
Aktivieren der Protokollierung nach Kategoriegruppe für Front Door- und CDN-Profile (microsoft.cdn/profiles) in Storage Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an ein Storage-Konto für Front Door- und CDN-Profile (microsoft.cdn/profiles) weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.1.0
Aktivieren der Protokollierung nach Kategoriegruppe für Front Door- und CDN-Profile (microsoft.network/frontdoors) in Event Hub Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Event Hub für Front Door- und CDN-Profile (microsoft.network/frontdoors) weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.2.0
Aktivieren der Protokollierung nach Kategoriegruppe für Front Door- und CDN-Profile (microsoft.network/frontdoors) in Log Analytics Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Log Analytics-Arbeitsbereich für Front Door- und CDN-Profile (microsoft.network/frontdoors) weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.1.0
Aktivieren der Protokollierung nach Kategoriegruppe für Front Door- und CDN-Profile (microsoft.network/frontdoors) in Storage Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an ein Speicherkonto für Front Door- und CDN-Profile (microsoft.network/frontdoors) weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.1.0
Aktivieren der Protokollierung nach Kategoriegruppe für die Funktions-App (microsoft.web/sites) in Log Analytics Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt mithilfe einer Kategoriegruppe eine Diagnoseeinstellung bereit, um Protokolle für die Funktions-App (microsoft.web/sites) an einen Log Analytics-Arbeitsbereich weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Aktivieren der Protokollierung nach Kategoriegruppe für den Hostpool (microsoft.desktopvirtualization/hostpools) in Log Analytics Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt mithilfe einer Kategoriegruppe eine Diagnoseeinstellung bereit, um Protokolle für den Azure Virtual Desktop-Hostpool (microsoft.desktopvirtualization/hostpools) an einen Log Analytics-Arbeitsbereich weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Aktivieren der Protokollierung nach Kategoriegruppe für den Hostpool (microsoft.desktopvirtualization/hostpools) in Event Hub Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Event Hub für Hostpools (microsoft.desktopvirtualization/hostpools) weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Aktivieren der Protokollierung nach Kategoriegruppe für Hostpools (microsoft.desktopvirtualization/hostpools) in Log Analytics Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt mithilfe einer Kategoriegruppe eine Diagnoseeinstellung bereit, um Protokolle für Hostpools (microsoft.desktopvirtualization/hostpools) an einen Log Analytics-Arbeitsbereich weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Aktivieren der Protokollierung nach Kategoriegruppe für den Hostpool (microsoft.desktopvirtualization/hostpools) im Speicher Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an ein Speicherkonto für Hostpools (microsoft.desktopvirtualization/hostpools) weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Aktivieren der Protokollierung nach Kategoriegruppe für HPC-Caches (microsoft.storagecache/caches) auf Event Hub Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Event Hub für HPC Caches (microsoft.storagecache/caches) weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Aktivieren der Protokollierung nach Kategoriegruppe für HPC-Caches (microsoft.storagecache/caches) in Log Analytics Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Log Analytics-Arbeitsbereich für HPC Caches (microsoft.storagecache/caches) weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Aktivieren der Protokollierung nach Kategoriegruppe für HPC-Caches (microsoft.storagecache/caches) zum Speicher Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an ein Speicherkonto für HPC Caches (microsoft.storagecache/caches) weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Aktivieren der Protokollierung nach Kategoriegruppe für Integrationskonten (microsoft.logic/integrationaccounts) auf Event Hub Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Event Hub für Integrationskonten (microsoft.logic/integrationaccounts) weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Aktivieren der Protokollierung nach Kategoriegruppe für Integrationskonten (microsoft.logic/integrationaccounts) in Log Analytics Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Log Analytics-Arbeitsbereich für Integrationskonten (microsoft.logic/integrationaccounts) weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Aktivieren der Protokollierung nach Kategoriegruppe für Integrationskonten (microsoft.logic/integrationaccounts) zum Speicher Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an ein Speicherkonto für Integrationskonten (microsoft.logic/integrationaccounts) weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Aktivieren der Protokollierung nach Kategoriegruppe für IoT Hub (microsoft.devices/iothubs) in Event Hub Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriengruppe bereit, um Protokolle an einen Event Hub für IoT Hub (microsoft.devices/iothubs) weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.2.0
Aktivieren der Protokollierung nach Kategoriegruppe für IoT Hub (microsoft.devices/iothubs) in Protokollanalyse Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriengruppe bereit, um Protokolle an einen Protokollanalysearbeitsbereich für IoT Hub (microsoft.devices/iothubs) weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.1.0
Aktivieren der Protokollierung nach Kategoriegruppe für IoT Hub (microsoft.devices/iothubs) in Storage Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriengruppe bereit, um Protokolle an ein Speicherkonto für IoT Hub (microsoft.devices/iothubs) weiterzuleiten. DeployIfNotExists, AuditIfNotExists, Disabled 1.1.0