Share via


Definiciones de directiva integradas de Azure Policy

Esta página es un índice de las definiciones de directiva integradas de Azure Policy.

El nombre de cada uno de los vínculos integrados a la definición de directiva en Azure Portal. Use el vínculo de la columna Origen para ver el origen en el repositorio de GitHub de Azure Policy. Los directivas integradas se agrupan por la propiedad category (categoría) de los metadatos. Para ir a una categoría específica, use Ctrl-F para la característica de búsqueda del explorador.

Azure API for FHIR

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Azure API for FHIR debe usar una clave administrada por el cliente para cifrar los datos en reposo. Use claves administradas por el cliente para controlar el cifrado en reposo de los datos almacenados en Azure API for FHIR cuando exista un requisito normativo o de cumplimiento. Las claves administradas por el cliente también proporcionan cifrado doble, ya que agregan una segunda capa de cifrado además de la capa predeterminada que se creó mediante las claves administradas por el servicio. auditoría, Auditoría, deshabilitado, Deshabilitado 1.1.0
Azure API for FHIR debe usar un vínculo privado. Azure API for FHIR debe tener al menos una conexión de punto de conexión privado aprobada. Los clientes de una red virtual pueden acceder de forma segura a los recursos que tengan conexiones de punto de conexión privadas mediante vínculos privados. Para más información, visite https://aka.ms/fhir-privatelink. Audit, Disabled 1.0.0
CORS no debe permitir que todos los dominios accedan a la API para FHIR. El uso compartido de recursos entre orígenes (CORS) no debe permitir que todos los dominios accedan a API for FHIR. Para proteger la instancia de API for FHIR, elimine el acceso de todos los dominios y defina explícitamente los dominios que tienen permiso para conectarse. auditoría, Auditoría, deshabilitado, Deshabilitado 1.1.0

API Management

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Las API de API Management solo deben usar protocolos cifrados Para garantizar la seguridad de los datos en tránsito, las API solo deben estar disponibles a través de protocolos cifrados, como HTTPS o WSS. Evite utilizar protocolos no seguros, como HTTP o WS. Audit, Disabled, Deny 2.0.2
Las llamadas de API Management a las back-end de API deberían autenticarse Las llamadas de API Management a back-ends deberían usar algún tipo de autenticación, ya sea mediante certificados o credenciales. No se aplica a back-ends de Service Fabric. Audit, Disabled, Deny 1.0.1
Las llamadas de API Management a las back-end de API no deberían omitir la huella digital del certificado ni la validación de nombres Para mejorar la seguridad de la API, API Management debe validar el certificado de servidor back-end para todas las llamadas API. Habilite la huella digital del certificado SSL y la validación de nombres. Audit, Disabled, Deny 1.0.2
El punto de conexión de administración directa de API Management no debe estar habilitado La API de REST de administración directa en Azure API Management omite los mecanismos de control de acceso, autorización y limitación basados en rol de Azure Resource Manager, lo que aumenta la vulnerabilidad del servicio. Audit, Disabled, Deny 1.0.2
La versión mínima de API Management debería establecerse en 01-12-2019 o superior Para evitar que los secretos de servicio se compartan con usuarios de solo lectura, la versión mínima de la API debe establecerse en 01-12-2019 o superior. Audit, Deny, Disabled 1.0.1
Los valores con nombre del secreto de API Management deben almacenarse en Azure Key Vault Los valores con nombre son una colección de pares de nombre y valor en cada servicio de API Management. Los valores de los secretos se pueden almacenar como texto cifrado en API Management (secretos personalizados) o mediante referencia a secretos en Azure Key Vault. Para mejorar la seguridad de API Management y secretos, haga referencia a los valores con nombre del secreto de Azure Key Vault. Azure Key Vault admite directivas pormenorizadas de administración de acceso y rotación de secretos. Audit, Disabled, Deny 1.0.2
El servicio API Management debe usar una SKU que admita redes virtuales Con las SKU compatibles de API Management, el servicio de implementación en una red virtual desbloquea las características avanzadas de seguridad y redes de API Management, lo que proporciona un mayor control sobre la configuración de seguridad de red. Más información en: https://aka.ms/apimvnet. Audit, Deny, Disabled 1.0.0
Los servicios de API Management deben usar una red virtual La implementación de Azure Virtual Network ofrece una seguridad y aislamiento mejorados, y permite colocar el servicio de API Management en una red enrutable sin conexión a Internet cuyo acceso puede controlar. Estas redes se pueden conectar a las redes locales mediante diversas tecnologías de VPN, lo que permite el acceso a los servicios de back-end dentro de la red o de forma local. El portal para desarrolladores y la puerta de enlace de API pueden configurarse para que sea accesible desde Internet o solo dentro de la red virtual. Audit, Deny, Disabled 1.0.2
API Management debe deshabilitar el acceso de red pública a los puntos de conexión de configuración del servicio Para mejorar la seguridad de los servicios de API Management, restrinja la conectividad a los puntos de conexión de configuración del servicio, como la API de administración directa de acceso, el punto de conexión de administración de configuración de Git o el punto de conexión de configuración de puertas de enlace autohospedadas. AuditIfNotExists, Disabled 1.0.1
API Management debe tener deshabilitada la autenticación de nombre de usuario y contraseña Para proteger mejor el portal para desarrolladores, debe deshabilitarse la autenticación de nombre de usuario y contraseña en API Management. Configure la autenticación de usuario mediante Azure AD o los proveedores de identidades de Azure AD B2C y deshabilite el nombre de usuario y la autenticación de contraseña predeterminados. Audit, Disabled 1.0.1
Las suscripciones de API Management no deben tener como ámbito todas las API Las suscripciones de API Management deben tener como ámbito un producto o una API individual en lugar de todas las API, lo que podría dar lugar a una exposición excesiva a los datos. Audit, Disabled, Deny 1.1.0
La versión de la plataforma Azure API Management debe ser stv2 La versión de la plataforma de proceso stv1 de Azure API Management se retirará a partir del 31 de agosto de 2024, y estas instancias deben migrarse a la plataforma de proceso de stv2 para mantener el soporte técnico. Más información en https://learn.microsoft.com/azure/api-management/breaking-changes/stv1-platform-retirement-august-2024. Audit, Deny, Disabled 1.0.0
Configuración de servicios API Management para deshabilitar el acceso a API Management puntos de conexión de configuración de servicio público Para mejorar la seguridad de los servicios de API Management, restrinja la conectividad a los puntos de conexión de configuración del servicio, como la API de administración directa de acceso, el punto de conexión de administración de configuración de Git o el punto de conexión de configuración de puertas de enlace autohospedadas. DeployIfNotExists, Disabled 1.1.0
Modificar API Management para deshabilitar la autenticación de nombre de usuario y contraseña Para proteger mejor las cuentas de usuario del portal para desarrolladores y sus credenciales, configure la autenticación de usuario a través de los proveedores de identidades de Azure AD o Azure AD B2C y deshabilite el nombre de usuario y la autenticación de contraseña predeterminados. Modificar 1.1.0

App Configuration

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
App Configuration debe deshabilitar el acceso a la red pública Al deshabilitar el acceso a la red pública, se mejora la seguridad ya que el recurso no se expone en la red pública de Internet. En su lugar, puede limitar la exposición de los recursos mediante la creación de puntos de conexión privados. Más información en: https://aka.ms/appconfig/private-endpoint. Audit, Deny, Disabled 1.0.0
App Configuration debe usar una clave administrada por el cliente El uso de claves administradas por el cliente proporciona una mejor protección de los datos al permitirle administrar sus claves de cifrado. Esto suele ser necesario para satisfacer los requisitos de cumplimiento. Audit, Deny, Disabled 1.1.0
App Configuration debe usar una SKU que admita Private Link Cuando se usa una SKU admitida, Azure Private Link permite conectar la red virtual a los servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados a las instancias de App Configuration en lugar de a todo el servicio, además se protege frente a riesgos de pérdida de datos. Más información en: https://aka.ms/appconfig/private-endpoint. Audit, Deny, Disabled 1.0.0
App Configuration debe usar Private Link Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados a las instancias de App Configuration en lugar de a todo el servicio, además se protege frente a riesgos de pérdida de datos. Más información en: https://aka.ms/appconfig/private-endpoint. AuditIfNotExists, Disabled 1.0.2
Los almacenes de App Configuration deben tener deshabilitados los métodos de autenticación local Deshabilitar los métodos de autenticación local mejora la seguridad, ya que garantiza que los almacenes de App Configuration requieran identidades de Microsoft Entra exclusivamente para la autenticación. Más información en: https://go.microsoft.com/fwlink/?linkid=2161954. Audit, Deny, Disabled 1.0.1
Configurar los almacenes de App Configuration para deshabilitar los métodos de autenticación local Deshabilite los métodos de autenticación local para que los almacenes de App Configuration requieran identidades de Microsoft Entra exclusivamente para la autenticación. Más información en: https://go.microsoft.com/fwlink/?linkid=2161954. Modificar, Deshabilitado 1.0.1
Configurar App Configuration para deshabilitar el acceso a la red pública Deshabilite el acceso a la red pública en App Configuration de modo que no sea accesible a través de la red pública de Internet. Esta configuración le ayudará a protegerlo contra los riesgos de pérdida de datos. En su lugar, puede limitar la exposición de los recursos mediante la creación de puntos de conexión privados. Más información en: https://aka.ms/appconfig/private-endpoint. Modificar, Deshabilitado 1.0.0
Configurar zonas DNS privadas para puntos de conexión privados conectados a App Configuration Use zonas DNS privadas para invalidar la resolución DNS de un punto de conexión privado. Una zona DNS privada se puede vincular a la red virtual para resolver las instancias de configuración de aplicaciones. Más información en: https://aka.ms/appconfig/private-endpoint. DeployIfNotExists, Disabled 1.0.0
Configurar puntos de conexión privados para App Configuration Los puntos de conexión privados le permiten conectar la red virtual a los servicios de Azure sin una dirección IP pública en el origen o el destino. Al asignar puntos de conexión privados a las instancias de App Configuration, se reduce el riesgo de pérdida de datos. Más información en: https://aka.ms/appconfig/private-endpoint. DeployIfNotExists, Disabled 1.0.0

Plataforma de aplicaciones

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
[Versión preliminar]: Auditoría de las instancias de Azure Spring Cloud en las que el seguimiento distribuido no está habilitado Las herramientas de seguimiento distribuido de Azure Spring Cloud permiten depurar y supervisar las complejas interconexiones entre los microservicios de una aplicación. Las herramientas de seguimiento distribuido deben estar habilitadas y en un estado correcto. Audit, Disabled 1.0.0-preview
Azure Spring Cloud debe usar la inserción de red Las instancias de Azure Spring Cloud deberían utilizar la inserción de red virtual con los fines siguientes: 1. Aislar Azure Spring Cloud de Internet. 2. Permitir que Azure Spring Cloud interactúe con sistemas en centros de datos locales o con el servicio de Azure en otras redes virtuales. 3. Permite a los clientes controlar las comunicaciones de red entrantes y salientes para Azure Spring Cloud. Audit, Disabled, Deny 1.2.0

App Service

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Las ranuras de la aplicación de App Service se deben insertar en una red virtual Al insertar aplicaciones de App Service en una red virtual, se desbloquean las características avanzadas de redes y seguridad de App Service, y se obtiene mayor control sobre la configuración de seguridad de la red. Más información en: https://docs.microsoft.com/azure/app-service/web-sites-integrate-with-vnet. Audit, Deny, Disabled 1.0.0
Las ranuras de aplicaciones de App Service deberían deshabilitar el acceso a la red pública La deshabilitación del acceso a la red pública mejora la seguridad, ya que garantiza que App Service no se expone en la red pública de Internet. La creación de puntos de conexión privados permite limitar el nivel de exposición de App Service. Más información en: https://aka.ms/app-service-private-endpoint. Audit, Disabled, Deny 1.0.0
Las ranuras de aplicaciones de App Service deberían habilitar el enrutamiento de configuración a Azure Virtual Network De forma predeterminada, la configuración de la aplicación, como la extracción de imágenes del contenedor y el montaje de almacenamiento de contenido, no se enrutará a través de la integración de la red virtual regional. El uso de la API para establecer opciones de enrutamiento como verdaderas permite el tráfico de configuración a través de la red virtual de Azure. Esta configuración permite que se usen características, como grupos de seguridad de red y rutas definidas por el usuario, y que los puntos de conexión de servicio sean privados. Para más información, visite https://aka.ms/appservice-vnet-configuration-routing. Audit, Deny, Disabled 1.0.0
Las ranuras de aplicaciones App Service deberían habilitar el tráfico saliente que no es RFC 1918 con Azure Virtual Network De forma predeterminada, si se usa la integración regional de Azure Virtual Network (VNET), la aplicación solo enruta el tráfico definido en el RFC1918 a la red virtual correspondiente. El uso de la API para establecer "vnetRouteAllEnabled" en true permite todo el tráfico saliente a Azure Virtual Network. Esta configuración permite usar características, como grupos de seguridad de red y rutas definidas por el usuario, para todo el tráfico saliente desde la aplicación de App Service. Audit, Deny, Disabled 1.0.0
Las ranuras de aplicación de App Service deben tener habilitados certificados de cliente (certificados de cliente entrantes) Los certificados de cliente permiten que la aplicación solicite un certificado para las solicitudes entrantes. Solo los clientes que tienen un certificado válido podrán acceder a la aplicación. Esta directiva se aplica a las aplicaciones con la versión Http establecida en 1.1. AuditIfNotExists, Disabled 1.0.0
Las ranuras de aplicación de App Service deben tener desactivados los métodos de autenticación local para las implementaciones de FTP La deshabilitación de los métodos de autenticación local para implementación de FTP aumenta la seguridad, ya que garantiza que las ranuras de App Service exijan exclusivamente identidades de Microsoft Entra para la autenticación. Más información en: https://aka.ms/app-service-disable-basic-auth. AuditIfNotExists, Disabled 1.0.3
Las ranuras de la aplicación App Service deben tener desactivados los métodos de autenticación local para las implementaciones del sitio SCM La deshabilitación de los métodos de autenticación local para sitios SCM aumenta la seguridad, ya que garantiza que las ranuras de App Service exijan exclusivamente identidades de Microsoft Entra para la autenticación. Más información en: https://aka.ms/app-service-disable-basic-auth. AuditIfNotExists, Disabled 1.0.4
Las ranuras de aplicaciones de App Service deberían tener la depuración remota desactivada La depuración remota requiere que se abran puertos de entrada en una aplicación de App Service. Se debe desactivar la depuración remota. AuditIfNotExists, Disabled 1.0.1
Las ranuras de aplicaciones de App Service deberían tener habilitados los registros de recursos Audite la habilitación de los registros de recursos en la aplicación. Esto le permite volver a crear seguimientos de actividad con fines de investigación si se produce un incidente de seguridad o se pone en peligro la red. AuditIfNotExists, Disabled 1.0.0
Las ranuras de la aplicación de App Service no deberían tener configuradas CORS para permitir que todos los recursos accedan a sus aplicaciones El uso compartido de recursos entre orígenes (CORS) no debe permitir que todos los dominios accedan a la aplicación. Permita la interacción con la aplicación solo de los dominios requeridos. AuditIfNotExists, Disabled 1.0.0
Las ranuras de aplicaciones de App Service solo deben ser accesibles a través de HTTPS El uso de HTTPS garantiza la autenticación del servicio y el servidor, y protege los datos en tránsito frente a ataques de intercepción de nivel de red. Audit, Disabled, Deny 2.0.0
Las ranuras de la aplicación de App Service deben requerir solo FTPS Habilite el cumplimiento con FTPS para mejorar la seguridad. AuditIfNotExists, Disabled 1.0.0
Las ranuras de aplicaciones de App Service deben utilizar un recurso compartido de archivos de Azure para su directorio de contenido El directorio de contenido de una aplicación debe estar ubicado en un recurso compartido de archivos de Azure. Se debe proporcionar la información de la cuenta de almacenamiento para el recurso compartido de archivos antes de cualquier actividad de publicación. Para más información sobre el uso de Azure Files para hospedar contenido de App Service, vea https://go.microsoft.com/fwlink/?linkid=2151594. Audit, Disabled 1.0.0
Las ranuras de aplicaciones de App Service deberían usar la "versión HTTP" más reciente. A causa de errores de seguridad o para incluir funcionalidades, se publican de forma periódica versiones más recientes de HTTP. Para las aplicaciones web, use la versión más reciente de HTTP con el fin de aprovechar las correcciones de seguridad, de haberlas, o las nuevas funcionalidades de la versión más reciente. AuditIfNotExists, Disabled 1.0.0
Las ranuras de aplicaciones de App Service deberían usar la identidad administrada Usa una identidad administrada para la seguridad de autenticación mejorada. AuditIfNotExists, Disabled 1.0.0
Las ranuras de aplicaciones de App Service deberían usar la versión más reciente de TLS Se publican versiones más recientes de TLS de forma periódica debido a brechas de seguridad, para incluir más funcionalidad e incrementar la velocidad. Actualice a la última versión de TLS para las aplicaciones de App Service con el fin de aprovechar las correcciones de seguridad, en caso de haberlas, o las nuevas funcionalidades de la última versión. AuditIfNotExists, Disabled 1.0.0
Las ranuras de las aplicaciones de App Service que usan Java deben usar una 'versión de Java' especificada. A causa de errores de seguridad o para incluir funcionalidades, se publican de forma periódica versiones más recientes del software de Java. Para las aplicaciones de App Service, se recomienda usar la versión más reciente de Java con el fin de aprovechar las correcciones de seguridad, de haberlas, o las nuevas funcionalidades de la versión más reciente. Actualmente, esta directiva solo es válida para las aplicaciones Linux. Esta directiva requiere que especifique una versión de Java que cumpla sus requisitos. AuditIfNotExists, Disabled 1.0.0
Las ranuras de las aplicaciones de App Service que usan PHP deben usar una 'versión de PHP' especificada. A causa de errores de seguridad o para incluir funcionalidades, se publican de forma periódica versiones más recientes del software de PHP. Para las aplicaciones de App Service, se recomienda usar la versión más reciente de PHP con el fin de aprovechar las correcciones de seguridad, de haberlas, o las nuevas funcionalidades de la versión más reciente. Actualmente, esta directiva solo es válida para las aplicaciones Linux. Esta directiva requiere que especifique una versión de PHP que cumpla sus requisitos. AuditIfNotExists, Disabled 1.0.0
Las ranuras de las aplicaciones de App Service que usan Python deben usar una 'versión de Python' especificada. A causa de errores de seguridad o para incluir funcionalidades, se publican de forma periódica versiones más recientes del software de Python. Para las aplicaciones de App Service, se recomienda usar la versión más reciente de Python con el fin de aprovechar las correcciones de seguridad, de haberlas, o las nuevas funcionalidades de la versión más reciente. Actualmente, esta directiva solo es válida para las aplicaciones Linux. Esta directiva requiere que especifique una versión de Python que cumpla sus requisitos. AuditIfNotExists, Disabled 1.0.0
Las aplicaciones de App Service se deben insertar en una red virtual Al insertar aplicaciones de App Service en una red virtual, se desbloquean las características avanzadas de redes y seguridad de App Service, y se obtiene mayor control sobre la configuración de seguridad de la red. Más información en: https://docs.microsoft.com/azure/app-service/web-sites-integrate-with-vnet. Audit, Deny, Disabled 3.0.0
Las aplicaciones de App Service deberían deshabilitar el acceso a la red pública La deshabilitación del acceso a la red pública mejora la seguridad, ya que garantiza que App Service no se expone en la red pública de Internet. La creación de puntos de conexión privados permite limitar el nivel de exposición de App Service. Más información en: https://aka.ms/app-service-private-endpoint. Audit, Disabled, Deny 1.1.0
Las aplicaciones de App Service deben habilitar el enrutamiento de configuración a Azure Virtual Network De forma predeterminada, la configuración de la aplicación, como la extracción de imágenes del contenedor y el montaje de almacenamiento de contenido, no se enrutará a través de la integración de la red virtual regional. El uso de la API para establecer opciones de enrutamiento como verdaderas permite el tráfico de configuración a través de la red virtual de Azure. Esta configuración permite que se usen características, como grupos de seguridad de red y rutas definidas por el usuario, y que los puntos de conexión de servicio sean privados. Para más información, visite https://aka.ms/appservice-vnet-configuration-routing. Audit, Deny, Disabled 1.0.0
Las aplicaciones de App Service deben habilitar el tráfico saliente no definido en el RFC 1918 con Azure Virtual Network De forma predeterminada, si se usa la integración regional de Azure Virtual Network (VNET), la aplicación solo enruta el tráfico definido en el RFC1918 a la red virtual correspondiente. El uso de la API para establecer "vnetRouteAllEnabled" en true permite todo el tráfico saliente a Azure Virtual Network. Esta configuración permite usar características, como grupos de seguridad de red y rutas definidas por el usuario, para todo el tráfico saliente desde la aplicación de App Service. Audit, Deny, Disabled 1.0.0
Las aplicaciones de App Service deben tener activada la autenticación La autenticación de Azure App Service es una característica que puede impedir que solicitudes HTTP anónimas lleguen a la aplicación web o autenticar aquellas que tienen tokens antes de que lleguen a la aplicación web. AuditIfNotExists, Disabled 2.0.1
Aplicaciones de App Service deben tener habilitados certificados de cliente (certificados de cliente entrantes) Los certificados de cliente permiten que la aplicación solicite un certificado para las solicitudes entrantes. Solo los clientes que tienen un certificado válido podrán acceder a la aplicación. Esta directiva se aplica a las aplicaciones con la versión Http establecida en 1.1. AuditIfNotExists, Disabled 1.0.0
Las aplicaciones de App Service deben tener desactivados los métodos de autenticación local para las implementaciones de FTP La deshabilitación de los métodos de autenticación local para implementación de FTP aumenta la seguridad, ya que garantiza que App Services exija exclusivamente identidades de Microsoft Entra para la autenticación. Más información en: https://aka.ms/app-service-disable-basic-auth. AuditIfNotExists, Disabled 1.0.3
Las aplicaciones de App Service deben tener desactivados los métodos de autenticación local para la implementación de sitios SCM La deshabilitación de los métodos de autenticación local para sitios SCM aumenta la seguridad, ya que garantiza que App Services exija exclusivamente identidades de Microsoft Entra para la autenticación. Más información en: https://aka.ms/app-service-disable-basic-auth. AuditIfNotExists, Disabled 1.0.3
Las aplicaciones de App Service deben tener la depuración remota desactivada La depuración remota requiere que se abran puertos de entrada en una aplicación de App Service. Se debe desactivar la depuración remota. AuditIfNotExists, Disabled 2.0.0
Las aplicaciones de App Service deben tener activados los registros de recursos Audite la habilitación de los registros de recursos en la aplicación. Esto le permite volver a crear seguimientos de actividad con fines de investigación si se produce un incidente de seguridad o se pone en peligro la red. AuditIfNotExists, Disabled 2.0.1
Las aplicaciones de App Service no deberían tener CORS configurado para permitir que todos los recursos accedan a sus aplicaciones El uso compartido de recursos entre orígenes (CORS) no debe permitir que todos los dominios accedan a la aplicación. Permita la interacción con la aplicación solo de los dominios requeridos. AuditIfNotExists, Disabled 2.0.0
Las aplicaciones de App Service solo deben ser accesibles a través de HTTPS El uso de HTTPS garantiza la autenticación del servicio y el servidor, y protege los datos en tránsito frente a ataques de intercepción de nivel de red. Audit, Disabled, Deny 4.0.0
Las aplicaciones de App Service deben requerir solo FTPS Habilite el cumplimiento con FTPS para mejorar la seguridad. AuditIfNotExists, Disabled 3.0.0
Las aplicaciones de App Service deben usar una SKU que admita vínculo privado Con las SKU admitidas, Azure Private Link permite conectar la red virtual a los servicios de Azure sin ninguna dirección IP pública en el origen ni el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Al asignar puntos de conexión privados a las aplicaciones, se puede reducir el riesgo de pérdida de datos. Más información sobre los vínculos privados en https://aka.ms/private-link. Audit, Deny, Disabled 4.1.0
Las aplicaciones de App Service deben utilizar un recurso compartido de archivos de Azure para su directorio de contenido El directorio de contenido de una aplicación debe estar ubicado en un recurso compartido de archivos de Azure. Se debe proporcionar la información de la cuenta de almacenamiento para el recurso compartido de archivos antes de cualquier actividad de publicación. Para más información sobre el uso de Azure Files para hospedar contenido de App Service, vea https://go.microsoft.com/fwlink/?linkid=2151594. Audit, Disabled 3.0.0
Las aplicaciones de App Service deben utilizar la última "versión HTTP" A causa de errores de seguridad o para incluir funcionalidades, se publican de forma periódica versiones más recientes de HTTP. Para las aplicaciones web, use la versión más reciente de HTTP con el fin de aprovechar las correcciones de seguridad, de haberlas, o las nuevas funcionalidades de la versión más reciente. AuditIfNotExists, Disabled 4.0.0
Las aplicaciones de App Service deben usar la identidad administrada Usa una identidad administrada para la seguridad de autenticación mejorada. AuditIfNotExists, Disabled 3.0.0
Las aplicaciones de App Service deben utilizar un vínculo privado Azure Private Link permite conectar las redes virtuales a los servicios de Azure sin una IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Al asignar puntos de conexión privados a App Service, se puede reducir el riesgo de pérdida de datos. Más información sobre los vínculos privados en https://aka.ms/private-link. AuditIfNotExists, Disabled 1.0.1
Las aplicaciones de App Service deben usar la última versión de TLS Se publican versiones más recientes de TLS de forma periódica debido a brechas de seguridad, para incluir más funcionalidad e incrementar la velocidad. Actualice a la última versión de TLS para las aplicaciones de App Service con el fin de aprovechar las correcciones de seguridad, en caso de haberlas, o las nuevas funcionalidades de la última versión. AuditIfNotExists, Disabled 2.0.1
Las aplicaciones de App Service que usan Java deben usar una “versión de Java” especificada A causa de errores de seguridad o para incluir funcionalidades, se publican de forma periódica versiones más recientes del software de Java. Para las aplicaciones de App Service, se recomienda usar la versión más reciente de Java con el fin de aprovechar las correcciones de seguridad, de haberlas, o las nuevas funcionalidades de la versión más reciente. Actualmente, esta directiva solo es válida para las aplicaciones Linux. Esta directiva requiere que especifique una versión de Java que cumpla sus requisitos. AuditIfNotExists, Disabled 3.1.0
Las aplicaciones de App Service que usan PHP deben usar una “versión de PHP” especificada A causa de errores de seguridad o para incluir funcionalidades, se publican de forma periódica versiones más recientes del software de PHP. Para las aplicaciones de App Service, se recomienda usar la versión más reciente de PHP con el fin de aprovechar las correcciones de seguridad, de haberlas, o las nuevas funcionalidades de la versión más reciente. Actualmente, esta directiva solo es válida para las aplicaciones Linux. Esta directiva requiere que especifique una versión de PHP que cumpla sus requisitos. AuditIfNotExists, Disabled 3.2.0
Las aplicaciones de App Service que usan Python deben usar una “versión de Python” especificada A causa de errores de seguridad o para incluir funcionalidades, se publican de forma periódica versiones más recientes del software de Python. Para las aplicaciones de App Service, se recomienda usar la versión más reciente de Python con el fin de aprovechar las correcciones de seguridad, de haberlas, o las nuevas funcionalidades de la versión más reciente. Actualmente, esta directiva solo es válida para las aplicaciones Linux. Esta directiva requiere que especifique una versión de Python que cumpla sus requisitos. AuditIfNotExists, Disabled 4.1.0
No se debe tener acceso a las aplicaciones de App Service Environment desde la red pública de Internet Para asegurarse de que las aplicaciones implementadas en App Service Environment no son accesibles desde la red pública de Internet, se debe implementar App Service Environment con una dirección IP en la red virtual. Para establecer la dirección IP en una dirección IP de red virtual, es necesario implementar App Service Environment con un equilibrador de carga interno. Audit, Deny, Disabled 3.0.0
App Service Environment se debe configurar con los conjuntos de cifrado TLS más seguros Los dos conjuntos de cifrado más débiles y más fuertes necesarios para que App Service Environment funcione correctamente son: TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 y TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256. Audit, Disabled 1.0.0
App Service Environment se debe aprovisionar con las versiones más recientes Solo se permite el aprovisionamiento de la versión 2 o 3 de App Service Environment. En las versiones anteriores de App Service Environment se necesita la administración manual de los recursos de Azure y tienen mayores limitaciones de escalado. Audit, Deny, Disabled 1.0.0
App Service Environment debe tener habilitado el cifrado interno Al establecer InternalEncryption en true, se cifra el archivo de paginación, los discos de trabajo y el tráfico de red interno entre los servidores front-end y los trabajos de una instancia de App Service Environment. Para más información, consulte https://docs.microsoft.com/azure/app-service/environment/app-service-app-service-environment-custom-settings#enable-internal-encryption. Audit, Disabled 1.0.1
App Service Environment deben tener TLS 1.0 y 1.1 deshabilitados TLS 1.0 y 1.1 son protocolos no actualizados que no admiten algoritmos criptográficos modernos. Deshabilitar el tráfico TLS 1.0 y 1.1 entrante ayuda a proteger las aplicaciones en una instancia de App Service Environment. Audit, Deny, Disabled 2.0.1
Configurar las ranuras de la aplicación App Service para desactivar la autenticación local para las implementaciones de FTP La deshabilitación de los métodos de autenticación local para implementación de FTP aumenta la seguridad, ya que garantiza que las ranuras de App Service exijan exclusivamente identidades de Microsoft Entra para la autenticación. Más información en: https://aka.ms/app-service-disable-basic-auth. DeployIfNotExists, Disabled 1.0.3
Configure las ranuras de la aplicación App Service para desactivar la autenticación local para los sitios SCM La deshabilitación de los métodos de autenticación local para sitios SCM aumenta la seguridad, ya que garantiza que las ranuras de App Service exijan exclusivamente identidades de Microsoft Entra para la autenticación. Más información en: https://aka.ms/app-service-disable-basic-auth. DeployIfNotExists, Disabled 1.0.3
Configuración de ranuras de aplicaciones de App Service para deshabilitar el acceso a la red pública Deshabilite el acceso a la red pública para la instancia de App Services de modo que no sea accesible desde la red pública de Internet. Esto puede reducir los riesgos de pérdida de datos. Más información en: https://aka.ms/app-service-private-endpoint. Modificar, Deshabilitado 1.1.0
Configurar las ranuras de aplicación de App Service para que solo sean accesibles a través de HTTPS El uso de HTTPS garantiza la autenticación del servicio y el servidor, y protege los datos en tránsito frente a ataques de intercepción de nivel de red. Modificar, Deshabilitado 2.0.0
Configuración de ranuras de aplicaciones de App Service para desactivar la depuración remota La depuración remota requiere que se abran puertos de entrada en una aplicación de App Service. Se debe desactivar la depuración remota. DeployIfNotExists, Disabled 1.1.0
Configuración de ranuras de aplicaciones de App Service para usar la versión más reciente de TLS Se publican versiones más recientes de TLS de forma periódica debido a brechas de seguridad, para incluir más funcionalidad e incrementar la velocidad. Actualice a la última versión de TLS para las aplicaciones de App Service con el fin de aprovechar las correcciones de seguridad, en caso de haberlas, o las nuevas funcionalidades de la última versión. DeployIfNotExists, Disabled 1.1.0
Configure las aplicaciones de App Service para desactivar la autenticación local en las implementaciones de FTP La deshabilitación de los métodos de autenticación local para implementación de FTP aumenta la seguridad, ya que garantiza que App Services exija exclusivamente identidades de Microsoft Entra para la autenticación. Más información en: https://aka.ms/app-service-disable-basic-auth. DeployIfNotExists, Disabled 1.0.3
Configure las aplicaciones de App Service para desactivar la autenticación local de los sitios SCM La deshabilitación de los métodos de autenticación local para sitios SCM aumenta la seguridad, ya que garantiza que App Services exija exclusivamente identidades de Microsoft Entra para la autenticación. Más información en: https://aka.ms/app-service-disable-basic-auth. DeployIfNotExists, Disabled 1.0.3
Configuración de aplicaciones de App Service para deshabilitar el acceso a la red pública Deshabilite el acceso a la red pública para la instancia de App Services de modo que no sea accesible desde la red pública de Internet. Esto puede reducir los riesgos de pérdida de datos. Más información en: https://aka.ms/app-service-private-endpoint. Modificar, Deshabilitado 1.1.0
Configurar las aplicaciones de App Service para que solo sean accesibles a través de HTTPS El uso de HTTPS garantiza la autenticación del servicio y el servidor, y protege los datos en tránsito frente a ataques de intercepción de nivel de red. Modificar, Deshabilitado 2.0.0
Configurar las aplicaciones de App Service para desactivar la depuración remota La depuración remota requiere que se abran puertos de entrada en una aplicación de App Service. Se debe desactivar la depuración remota. DeployIfNotExists, Disabled 1.0.0
Configuración de aplicaciones de App Service para usar zonas DNS privadas Use zonas DNS privadas para invalidar la resolución DNS de un punto de conexión privado. Una zona DNS privada vincula una red virtual a una instancia de App Service. Más información en: https://docs.microsoft.com/azure/app-service/networking/private-endpoint#dns. DeployIfNotExists, Disabled 1.0.1
Configuración de aplicaciones de App Service para usar la versión más reciente de TLS Se publican versiones más recientes de TLS de forma periódica debido a brechas de seguridad, para incluir más funcionalidad e incrementar la velocidad. Actualice a la última versión de TLS para las aplicaciones de App Service con el fin de aprovechar las correcciones de seguridad, en caso de haberlas, o las nuevas funcionalidades de la última versión. DeployIfNotExists, Disabled 1.0.1
Configuración de ranuras de aplicaciones de funciones para deshabilitar el acceso a la red pública Deshabilite el acceso a la red pública para sus aplicaciones de funciones de modo que no sean accesibles desde la red pública de Internet. Esto puede reducir los riesgos de pérdida de datos. Más información en: https://aka.ms/app-service-private-endpoint. Modificar, Deshabilitado 1.1.0
Configuración de ranuras de aplicación de funciones para que solo sean accesibles a través de HTTPS El uso de HTTPS garantiza la autenticación del servicio y el servidor, y protege los datos en tránsito frente a ataques de intercepción de nivel de red. Modificar, Deshabilitado 2.0.0
Configuración de ranuras de aplicaciones de funciones para desactivar la depuración remota La depuración remota requiere puertos de entrada que se abran en una aplicación de funciones. Se debe desactivar la depuración remota. DeployIfNotExists, Disabled 1.1.0
Configuración de ranuras de aplicaciones de funciones para usar la versión más reciente de TLS Se publican versiones más recientes de TLS de forma periódica debido a brechas de seguridad, para incluir más funcionalidad e incrementar la velocidad. Actualice a la última versión de TLS para las aplicaciones de funciones con el fin de aprovechar las correcciones de seguridad, en caso de haberlas, o las nuevas funcionalidades de la última versión. DeployIfNotExists, Disabled 1.1.0
Configuración de aplicaciones de funciones para deshabilitar el acceso a la red pública Deshabilite el acceso a la red pública para sus aplicaciones de funciones de modo que no sean accesibles desde la red pública de Internet. Esto puede reducir los riesgos de pérdida de datos. Más información en: https://aka.ms/app-service-private-endpoint. Modificar, Deshabilitado 1.1.0
Configurar las aplicaciones de funciones para que solo sean accesibles a través de HTTPS El uso de HTTPS garantiza la autenticación del servicio y el servidor, y protege los datos en tránsito frente a ataques de intercepción de nivel de red. Modificar, Deshabilitado 2.0.0
Configuración de aplicaciones de funciones para desactivar la depuración remota La depuración remota requiere que se abran puertos de entrada en las aplicaciones de funciones. Se debe desactivar la depuración remota. DeployIfNotExists, Disabled 1.0.0
Configuración de aplicaciones de función para usar la versión más reciente de TLS Se publican versiones más recientes de TLS de forma periódica debido a brechas de seguridad, para incluir más funcionalidad e incrementar la velocidad. Actualice a la última versión de TLS para las aplicaciones de funciones con el fin de aprovechar las correcciones de seguridad, en caso de haberlas, o las nuevas funcionalidades de la última versión. DeployIfNotExists, Disabled 1.0.1
Las ranuras de las aplicaciones de funciones deberían deshabilitar el acceso a la red pública La deshabilitación del acceso a la red pública mejora la seguridad, ya que garantiza que la aplicación de funciones no se expone en la red pública de Internet. La creación de puntos de conexión privados permite limitar el nivel de exposición de una aplicación de funciones. Más información en: https://aka.ms/app-service-private-endpoint. Audit, Disabled, Deny 1.0.0
Las ranuras de la aplicación de funciones deben tener habilitados certificados de cliente (certificados de cliente entrantes) Los certificados de cliente permiten que la aplicación solicite un certificado para las solicitudes entrantes. Solo los clientes que tienen un certificado válido podrán acceder a la aplicación. Esta directiva se aplica a las aplicaciones con la versión Http establecida en 1.1. AuditIfNotExists, Disabled 1.0.0
Las ranuras de aplicaciones de funciones deberían tener la depuración remota desactivada La depuración remota requiere que se abran puertos de entrada en las aplicaciones de funciones. Se debe desactivar la depuración remota. AuditIfNotExists, Disabled 1.0.0
Las ranuras de la aplicación de funciones no deben tener CORS configurado para permitir que todos los recursos accedan a las aplicaciones. El uso compartido de recursos entre orígenes (CORS) no debe permitir que todos los dominios accedan a la aplicación de funciones. Permita la interacción con la aplicación de funciones solo de los dominios requeridos. AuditIfNotExists, Disabled 1.0.0
Las ranuras de la aplicación de funciones solo deben ser accesibles a través de HTTPS V2. El uso de HTTPS garantiza la autenticación del servicio y el servidor, y protege los datos en tránsito frente a ataques de intercepción de nivel de red. Audit, Disabled, Deny 2.0.0
Las ranuras de aplicación de funciones solo deben requerir FTPS Habilite el cumplimiento con FTPS para mejorar la seguridad. AuditIfNotExists, Disabled 1.0.0
Las ranuras de la aplicación de funciones deben usar un recurso compartido de archivos de Azure para su directorio de contenido. El directorio de contenido de una aplicación de funciones debe estar ubicado en un recurso compartido de archivos de Azure. Se debe proporcionar la información de la cuenta de almacenamiento para el recurso compartido de archivos antes de cualquier actividad de publicación. Para más información sobre el uso de Azure Files para hospedar contenido de App Service, vea https://go.microsoft.com/fwlink/?linkid=2151594. Audit, Disabled 1.0.0
Las ranuras de aplicaciones de funciones deberían usar la "versión HTTP" más reciente A causa de errores de seguridad o para incluir funcionalidades, se publican de forma periódica versiones más recientes de HTTP. Para las aplicaciones web, use la versión más reciente de HTTP con el fin de aprovechar las correcciones de seguridad, de haberlas, o las nuevas funcionalidades de la versión más reciente. AuditIfNotExists, Disabled 1.0.0
Las ranuras de aplicaciones de funciones deberían usar la versión más reciente de TLS Se publican versiones más recientes de TLS de forma periódica debido a brechas de seguridad, para incluir más funcionalidad e incrementar la velocidad. Actualice a la última versión de TLS para las aplicaciones de funciones con el fin de aprovechar las correcciones de seguridad, en caso de haberlas, o las nuevas funcionalidades de la última versión. AuditIfNotExists, Disabled 1.0.0
Las ranuras de las aplicaciones de funciones que usan Java deben usar una 'versión de Java' especificada. A causa de errores de seguridad o para incluir funcionalidades, se publican de forma periódica versiones más recientes del software de Java. Para las aplicaciones de funciones, se recomienda usar la versión más reciente de Java con el fin de aprovechar las correcciones de seguridad, de haberlas, o las nuevas funcionalidades de la versión más reciente. Actualmente, esta directiva solo es válida para las aplicaciones Linux. Esta directiva requiere que especifique una versión de Java que cumpla sus requisitos. AuditIfNotExists, Disabled 1.0.0
Las ranuras de las aplicaciones de funciones que usan Python deben usar una 'versión de Python' especificada. A causa de errores de seguridad o para incluir funcionalidades, se publican de forma periódica versiones más recientes del software de Python. Para las aplicaciones de funciones, se recomienda usar la versión más reciente de Python con el fin de aprovechar las correcciones de seguridad, de haberlas, o las nuevas funcionalidades de la versión más reciente. Actualmente, esta directiva solo es válida para las aplicaciones Linux. Esta directiva requiere que especifique una versión de Python que cumpla sus requisitos. AuditIfNotExists, Disabled 1.0.0
Las aplicaciones de funciones deberían deshabilitar el acceso a la red pública La deshabilitación del acceso a la red pública mejora la seguridad, ya que garantiza que la aplicación de funciones no se expone en la red pública de Internet. La creación de puntos de conexión privados permite limitar el nivel de exposición de una aplicación de funciones. Más información en: https://aka.ms/app-service-private-endpoint. Audit, Disabled, Deny 1.0.0
Las aplicaciones de funciones deben tener habilitada la autenticación La autenticación de Azure App Service es una característica que puede impedir que solicitudes HTTP anónimas lleguen a la aplicación de funciones o autenticar aquellas que tienen tokens antes de que lleguen a la aplicación de funciones. AuditIfNotExists, Disabled 3.0.0
Las aplicaciones de funciones deben tener la opción "Certificados de cliente (certificados de cliente entrantes)" habilitada Los certificados de cliente permiten que la aplicación solicite un certificado para las solicitudes entrantes. Solo los clientes que tienen un certificado válido podrán acceder a la aplicación. Esta directiva se aplica a las aplicaciones con la versión Http establecida en 1.1. AuditIfNotExists, Disabled 1.0.0
Las aplicaciones de funciones deben tener la depuración remota desactivada La depuración remota requiere que se abran puertos de entrada en las aplicaciones de funciones. Se debe desactivar la depuración remota. AuditIfNotExists, Disabled 2.0.0
Las aplicaciones de funciones no deben tener CORS configurado para permitir que todos los recursos accedan a las aplicaciones El uso compartido de recursos entre orígenes (CORS) no debe permitir que todos los dominios accedan a la aplicación de funciones. Permita la interacción con la aplicación de funciones solo de los dominios requeridos. AuditIfNotExists, Disabled 2.0.0
Las aplicaciones de funciones solo deberían ser accesibles a través de HTTPS El uso de HTTPS garantiza la autenticación del servicio y el servidor, y protege los datos en tránsito frente a ataques de intercepción de nivel de red. Audit, Disabled, Deny 5.0.0
Las aplicaciones de funciones solo deben requerir FTPS Habilite el cumplimiento con FTPS para mejorar la seguridad. AuditIfNotExists, Disabled 3.0.0
Las aplicaciones de funciones deben usar un recurso compartido de archivos de Azure para su directorio de contenido El directorio de contenido de una aplicación de funciones debe estar ubicado en un recurso compartido de archivos de Azure. Se debe proporcionar la información de la cuenta de almacenamiento para el recurso compartido de archivos antes de cualquier actividad de publicación. Para más información sobre el uso de Azure Files para hospedar contenido de App Service, vea https://go.microsoft.com/fwlink/?linkid=2151594. Audit, Disabled 3.0.0
Las aplicaciones de funciones deben usar la última "versión de HTTP" A causa de errores de seguridad o para incluir funcionalidades, se publican de forma periódica versiones más recientes de HTTP. Para las aplicaciones web, use la versión más reciente de HTTP con el fin de aprovechar las correcciones de seguridad, de haberlas, o las nuevas funcionalidades de la versión más reciente. AuditIfNotExists, Disabled 4.0.0
Las aplicaciones de funciones deben usar la identidad administrada Usa una identidad administrada para la seguridad de autenticación mejorada. AuditIfNotExists, Disabled 3.0.0
Las aplicaciones de funciones deben usar la última versión de TLS Se publican versiones más recientes de TLS de forma periódica debido a brechas de seguridad, para incluir más funcionalidad e incrementar la velocidad. Actualice a la última versión de TLS para las aplicaciones de funciones con el fin de aprovechar las correcciones de seguridad, en caso de haberlas, o las nuevas funcionalidades de la última versión. AuditIfNotExists, Disabled 2.0.1
Las aplicaciones de funciones que usan Java deben usar una “versión de Java” especificada A causa de errores de seguridad o para incluir funcionalidades, se publican de forma periódica versiones más recientes del software de Java. Para las aplicaciones de funciones, se recomienda usar la versión más reciente de Java con el fin de aprovechar las correcciones de seguridad, de haberlas, o las nuevas funcionalidades de la versión más reciente. Actualmente, esta directiva solo es válida para las aplicaciones Linux. Esta directiva requiere que especifique una versión de Java que cumpla sus requisitos. AuditIfNotExists, Disabled 3.1.0
Las aplicaciones de funciones que usan Python deben usar una “versión de Python” especificada. A causa de errores de seguridad o para incluir funcionalidades, se publican de forma periódica versiones más recientes del software de Python. Para las aplicaciones de funciones, se recomienda usar la versión más reciente de Python con el fin de aprovechar las correcciones de seguridad, de haberlas, o las nuevas funcionalidades de la versión más reciente. Actualmente, esta directiva solo es válida para las aplicaciones Linux. Esta directiva requiere que especifique una versión de Python que cumpla sus requisitos. AuditIfNotExists, Disabled 4.1.0

Atestación

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Los proveedores de Azure Attestation deben deshabilitar el acceso desde la red pública Para reforzar la seguridad del servicio Azure Attestation, asegúrese de que no está expuesto a la red pública de Internet y que únicamente se pueda acceder a él desde un punto de conexión privado. Deshabilite la propiedad acceso desde la red pública, tal y como se describe en aka.ms/azureattestation. Esta opción deshabilita el acceso desde cualquier espacio de direcciones públicas que esté fuera del intervalo IP de Azure y deniega todos los inicios de sesión que coincidan con las reglas de firewall basadas en la IP o la red virtual. De este modo, se reducen los riesgos de pérdida de datos. Audit, Deny, Disabled 1.0.0
Los proveedores de Azure Attestation deben usar puntos de conexión privados Los puntos de conexión privados proporcionan una manera de conectar proveedores de Azure Attestation a los recursos de Azure sin enviar tráfico a través de la red pública de Internet. Al impedir el acceso público, los puntos de conexión privados ayudan a proteger contra el acceso anónimo no deseado. AuditIfNotExists, Disabled 1.0.0

Automanage

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
[Versión preliminar]: se debe habilitar una identidad administrada en las máquinas Los recursos administrados por Automanage deben tener una identidad administrada. Audit, Disabled 1.0.0-preview
[Versión preliminar]: la asignación del perfil de configuración de Automanage debe ser Conformant Los recursos administrados por Automanage deben tener el estado Conforme o ConformantCorrected. AuditIfNotExists, Disabled 1.0.0-preview
[Versión preliminar]: el diagnóstico de arranque debe estar habilitado en las máquinas virtuales Las máquinas virtuales de Azure deben tener habilitado el diagnóstico de arranque. Audit, Disabled 1.0.0-preview
Configurar las máquinas virtuales para incorporarlas a Azure Automanage Azure Automanage inscribe, configura y supervisa las máquinas virtuales con los procedimientos recomendados, tal como se definen en Microsoft Cloud Adoption Framework para Azure. Use esta directiva para aplicar Administración automática al ámbito seleccionado. AuditIfNotExists, DeployIfNotExists, Disabled 2.4.0
Configuración de las máquinas virtuales que se incorporarán a Azure Automanage con el perfil de configuración personalizado Azure Automanage inscribe, configura y supervisa las máquinas virtuales con los procedimientos recomendados, tal como se definen en Microsoft Cloud Adoption Framework para Azure. Use esta directiva para aplicar Automanage con su propio perfil de configuración personalizado al ámbito seleccionado. AuditIfNotExists, DeployIfNotExists, Disabled 1.4.0
La revisión en caliente debe estar habilitada para las máquinas virtuales de Windows Server Azure Edition Minimice los reinicios e instale las actualizaciones rápidamente con la ayuda de la revisión en caliente. Más información en https://docs.microsoft.com/azure/automanage/automanage-hotpatch. Audit, Deny, Disabled 1.0.0

Automatización

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
La cuenta de Automation debería tener una identidad administrada Use identidades administradas como método recomendado para autenticarse con recursos de Azure desde los runbooks. La identidad administrada para la autenticación es más segura y elimina la sobrecarga de administración asociada al uso de la cuenta de ejecución en el código de runbook. Audit, Disabled 1.0.0
Las variables de cuenta de Automation deben cifrarse Es importante habilitar el cifrado de recursos de variables de cuentas de Automation al almacenar datos confidenciales. Audit, Deny, Disabled 1.1.0
Las cuentas de Automation deben deshabilitar el acceso a la red pública Al deshabilitar el acceso a la red pública, se mejora la seguridad ya que el recurso no se expone en la red pública de Internet. En su lugar, puede limitar la exposición de los recursos de la cuenta de Automation mediante la creación de puntos de conexión privados. Más información en: https://docs.microsoft.com/azure/automation/how-to/private-link-security. Audit, Deny, Disabled 1.0.0
La cuenta de Azure Automation debe tener el método de autenticación local deshabilitado Deshabilitar los métodos de autenticación local mejora la seguridad al garantizar que las cuentas de Azure Automation requiera exclusivamente identidades de Azure Active Directory para la autenticación. Audit, Deny, Disabled 1.0.0
Las cuentas de Azure Automation deben usar claves administradas por el cliente para cifrar los datos en reposo. Use claves administradas por el cliente para administrar el cifrado en reposo de sus cuentas de Azure Automation. De manera predeterminada, los datos del cliente se cifran con claves administradas por el servicio, pero las claves administradas por el cliente suelen ser necesarias para cumplir estándares de cumplimiento normativo. Las claves administradas por el cliente permiten cifrar los datos con una clave de Azure Key Vault creada por el usuario y propiedad de este. Tiene control y responsabilidad totales del ciclo de vida de la clave, incluidos la rotación y administración. Obtenga más información en https://aka.ms/automation-cmk. Audit, Deny, Disabled 1.0.0
Configurar la cuenta de Azure Automation para deshabilitar la autenticación local Deshabilite los métodos de autenticación local para que las cuentas de Azure Automation requieran exclusivamente identidades de Azure Active Directory para la autenticación. Modificar, Deshabilitado 1.0.0
Configurar cuentas de Azure Automation para deshabilitar el acceso a la red pública Deshabilite el acceso a la red pública para la cuenta de Azure Automation de modo que no sea accesible a través de la red pública de Internet. Esta configuración le ayudará a protegerlo contra los riesgos de pérdida de datos. En su lugar, puede limitar la exposición de los recursos de la cuenta de Automation mediante la creación de puntos de conexión privados. Más información en: https://aka.ms/privateendpoints. Modificar, Deshabilitado 1.0.0
Configurar las cuentas de Azure Automation con zonas DNS privadas Use zonas DNS privadas para invalidar la resolución DNS de un punto de conexión privado. Es necesario que la zona DNS privada esté configurada correctamente para conectarse a la cuenta de Azure Automation a través de la Azure Private Link. Más información en: https://aka.ms/privatednszone. DeployIfNotExists, Disabled 1.0.0
Configurar conexiones de punto de conexión privado en cuentas de Azure Automation Las conexiones de punto de conexión privado permiten la comunicación segura al habilitar la conectividad privada con cuentas de Azure Automation sin necesidad de direcciones IP públicas en el origen o el destino. Obtenga más información sobre los puntos de conexión privados en Azure Automation en https://docs.microsoft.com/azure/automation/how-to/private-link-security. DeployIfNotExists, Disabled 1.0.0
Las conexiones de punto de conexión privado en cuentas de Automation deben estar habilitadas Las conexiones de punto de conexión privado permiten la comunicación segura al habilitar la conectividad privada con cuentas de Automation sin necesidad de direcciones IP públicas en el origen o el destino. Obtenga más información sobre los puntos de conexión privados en Azure Automation en https://docs.microsoft.com/azure/automation/how-to/private-link-security. AuditIfNotExists, Disabled 1.0.0

Azure Active Directory

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Los dominios administrados de Azure Active Directory Domain Services solo deben usar el modo TLS 1.2. Use solo el modo TLS 1.2 para los dominios administrados. De manera predeterminada, Azure AD Domain Services permite el uso de cifrados tales como NTLM v1 y TLS v1. Aunque estos cifrados pueden ser necesarios para algunas aplicaciones heredadas, se consideran poco seguros y se pueden deshabilitar si no se necesitan. Cuando solo se habilita el modo TLS 1.2, cualquier cliente que realice una solicitud que no use TLS 1.2 producirá un error. Obtenga más información en https://docs.microsoft.com/azure/active-directory-domain-services/secure-your-domain. Audit, Deny, Disabled 1.1.0

Servicios de Azure AI

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Los recursos del Servicios de Azure AI deben tener deshabilitado el acceso a claves (deshabilitar la autenticación local) Se recomienda deshabilitar el acceso a las claves (autenticación local) por temas de seguridad. Azure OpenAI Studio, que normalmente se usa en los entornos de desarrollo y pruebas, requiere acceso a las claves y no funcionará si dicho acceso está deshabilitado. Después de deshabilitarlo, Microsoft Entra ID se convierte en el único método de acceso, lo que permite mantener el principio de privilegios mínimos y el control pormenorizado. Más información en: https://aka.ms/AI/auth Audit, Deny, Disabled 1.1.0
Los recursos de Servicios de Azure AI deben restringir el acceso a la red Al restringir el acceso a la red, puede asegurarse de que solo las redes permitidas puedan acceder al servicio. Para lograr esto, se pueden configurar reglas de red de modo que solo las aplicaciones de las redes permitidas puedan acceder al servicio Azure AI. Audit, Deny, Disabled 3.2.0
Configuración de recursos de Servicios de Azure AI para deshabilitar el acceso a claves locales (deshabilitar la autenticación local) Se recomienda deshabilitar el acceso a las claves (autenticación local) por temas de seguridad. Azure OpenAI Studio, que normalmente se usa en los entornos de desarrollo y pruebas, requiere acceso a las claves y no funcionará si dicho acceso está deshabilitado. Después de deshabilitarlo, Microsoft Entra ID se convierte en el único método de acceso, lo que permite mantener el principio de privilegios mínimos y el control pormenorizado. Más información en: https://aka.ms/AI/auth DeployIfNotExists, Disabled 1.0.0
Configuración de recursos de Servicios de Azure AI para deshabilitar el acceso a claves locales (deshabilitar la autenticación local) Se recomienda deshabilitar el acceso a las claves (autenticación local) por temas de seguridad. Azure OpenAI Studio, que normalmente se usa en los entornos de desarrollo y pruebas, requiere acceso a las claves y no funcionará si dicho acceso está deshabilitado. Después de deshabilitarlo, Microsoft Entra ID se convierte en el único método de acceso, lo que permite mantener el principio de privilegios mínimos y el control pormenorizado. Más información en: https://aka.ms/AI/auth DeployIfNotExists, Disabled 1.0.0
Los registros de diagnóstico en los recursos de los servicios de Azure AI deben estar habilitados Habilite los registros para los recursos de los servicios de Azure AI. Esto le permite volver a crear pistas de actividad con fines de investigación, cuando se produce un incidente de seguridad o la red está en peligro AuditIfNotExists, Disabled 1.0.0

Azure Arc

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
[Versión preliminar]: denegar la creación o modificación de licencias de actualizaciones de seguridad extendidas (ESU). Esta directiva permite restringir la creación o modificación de licencias de ESU para máquinas Windows Server 2012 Arc. Para obtener más información sobre los precios, visite https://aka.ms/ArcWS2012ESUPricing Deny, Disabled 1.0.0-preview
[Versión preliminar]: habilite la licencia de actualizaciones de seguridad extendidas (ESUs) para mantener las máquinas Windows 2012 protegidas después de que finalice su ciclo de vida de soporte técnico (versión preliminar). Habilite la licencia de actualizaciones de seguridad extendidas (ESU) para mantener protegidas las máquinas Windows 2012 incluso después de que haya finalizado su ciclo de vida de soporte técnico. Para obtener información sobre cómo preparar la entrega de actualizaciones de seguridad extendidas para Windows Server 2012 a través de AzureArc, visite https://learn.microsoft.com/en-us/azure/azure-arc/servers/prepare-extended-security-updates. Para obtener más información sobre los precios, visite https://aka.ms/ArcWS2012ESUPricing DeployIfNotExists, Disabled 1.0.0-preview
Los ámbitos de Private Link para Azure Arc deben configurarse con un punto de conexión privado Azure Private Link permite conectar las redes virtuales a los servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Al asignar puntos de conexión privados a ámbitos de Private Link para Azure Arc, se reducen los riesgos de pérdida de datos. Más información sobre los vínculos privados en https://aka.ms/arc/privatelink. Audit, Disabled 1.0.0
Los ámbitos de Private Link para Azure Arc deben deshabilitar el acceso a la red pública Deshabilitar el acceso a la red pública mejora la seguridad al garantizar que los recursos de Azure Arc no se pueden conectar a través de la red pública de Internet. La creación de puntos de conexión privados puede limitar la exposición de los recursos de Azure Arc. Más información en: https://aka.ms/arc/privatelink. Audit, Deny, Disabled 1.0.0
Los clústeres de Kubernetes habilitados para Azure Arc deben configurarse con un ámbito de Private Link de Azure Arc Azure Private Link permite conectar las redes virtuales a los servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Al asignar servidores habilitados para Azure Arc a un ámbito de Private Link para Azure Arc configurado con un punto de conexión privado, se reducen los riesgos de pérdida de datos. Más información sobre los vínculos privados en https://aka.ms/arc/privatelink. Audit, Deny, Disabled 1.0.0
Los servidores habilitados para Azure Arc deben configurarse con un ámbito de Private Link para Azure Arc Azure Private Link permite conectar las redes virtuales a los servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Al asignar servidores habilitados para Azure Arc a un ámbito de Private Link para Azure Arc configurado con un punto de conexión privado, se reducen los riesgos de pérdida de datos. Más información sobre los vínculos privados en https://aka.ms/arc/privatelink. Audit, Deny, Disabled 1.0.0
Configurar los ámbitos de Private Link de Azure Arc para deshabilitar el acceso a la red pública Deshabilite el acceso a la red pública para el ámbito de Private Link para Azure Arc a fin de que los recursos de Azure Arc asociados no se puedan conectar a servicios de Azure Arc a través de la red pública de Internet. Esto puede reducir los riesgos de pérdida de datos. Más información en: https://aka.ms/arc/privatelink. Modificar, Deshabilitado 1.0.0
Configuración de ámbitos de Private Link de Azure Arc para usar zonas DNS privadas Use zonas DNS privadas para invalidar la resolución DNS de un punto de conexión privado. Una zona DNS privada se vincula a la red virtual para resolverse en ámbitos de Private Link de Azure Arc. Más información en: https://aka.ms/arc/privatelink. DeployIfNotExists, Disabled 1.2.0
Configurar los ámbitos de Private Link de Azure Arc con puntos de conexión privados Los puntos de conexión privados conectan las redes virtuales a los servicios de Azure sin una dirección IP pública en el origen o el destino. Al asignar puntos de conexión privados a ámbitos de Private Link para Azure Arc, puede reducir los riesgos de pérdida de datos. Más información sobre los vínculos privados en https://aka.ms/arc/privatelink. DeployIfNotExists, Disabled 2.0.0
Configurar clústeres de Kubernetes habilitados para Azure Arc para usar un ámbito de Private Link de Azure Arc Azure Private Link permite conectar las redes virtuales a los servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Al asignar servidores habilitados para Azure Arc a un ámbito de Private Link para Azure Arc configurado con un punto de conexión privado, se reducen los riesgos de pérdida de datos. Más información sobre los vínculos privados en https://aka.ms/arc/privatelink. Modificar, Deshabilitado 1.0.0
Configuración de servidores habilitados para Azure Arc para usar un ámbito de Private Link de Azure Arc Azure Private Link permite conectar las redes virtuales a los servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Al asignar servidores habilitados para Azure Arc a un ámbito de Private Link para Azure Arc configurado con un punto de conexión privado, se reducen los riesgos de pérdida de datos. Más información sobre los vínculos privados en https://aka.ms/arc/privatelink. Modificar, Deshabilitado 1.0.0

Explorador de datos de Azure

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Se deben deshabilitar todas las Administración de base de datos en Azure Data Explorer Deshabilite todos los roles de administrador de base de datos para restringir la concesión de un rol de usuario administrativo o con privilegios elevados. Audit, Deny, Disabled 1.0.0
El clúster Azure Data Explorer debe utilizar un vínculo privado Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Al asignar puntos de conexión privados a los clúster de Azure Data Explorer, se reduce el riesgo de pérdida de datos. Más información sobre los vínculos privados en https://learn.microsoft.com/en-us/azure/data-explorer/security-network-private-endpoint. Audit, Disabled 1.0.0
El cifrado en reposo de Azure Data Explorer debe usar una clave administrada por el cliente Al habilitar el cifrado en reposo con una clave administrada por el cliente en el clúster de Azure Data Explorer, se proporciona un mayor control sobre la clave que usa el cifrado en reposo. Esta característica se suele aplicar a los clientes con requisitos de cumplimiento especiales y requiere un almacén de claves para administrar las claves. Audit, Deny, Disabled 1.0.0
Azure Data Explorer debe usar una SKU que admita vínculo privado Con las SKU admitidas, Azure Private Link permite conectar la red virtual a los servicios de Azure sin ninguna dirección IP pública en el origen ni el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Al asignar puntos de conexión privados a las aplicaciones, se puede reducir el riesgo de pérdida de datos. Más información sobre los vínculos privados en https://aka.ms/private-link. Audit, Deny, Disabled 1.0.0
Configuración de clústeres de Azure Data Explorer con puntos de conexión privados Los puntos de conexión privados conectan las redes virtuales a los servicios de Azure sin una dirección IP pública en el origen o el destino. Al asignar puntos de conexión privados a Azure Data Explorer, se puede reducir el riesgo de pérdida de datos. Obtenga más información en: [ServiceSpecificAKA.ms]. DeployIfNotExists, Disabled 1.0.0
Configurar Azure Data Explorer para deshabilitar el acceso a la red pública Al deshabilitar la propiedad de acceso a la red pública se cierra la conectividad pública, de modo que solo se puede tener acceso a Azure Data Explorer desde un punto de conexión privado. Esta configuración deshabilita el acceso a la red pública para todos los clústeres de Azure Data Explorer . Modificar, Deshabilitado 1.0.0
El cifrado de disco debe estar habilitado en Azure Data Explorer La habilitación del cifrado de disco ayuda a custodiar y proteger sus datos con el fin de satisfacer los compromisos de cumplimiento y seguridad de la organización. Audit, Deny, Disabled 2.0.0
El cifrado doble debe estar habilitado en Azure Data Explorer La habilitación del cifrado doble ayuda a custodiar y proteger sus datos con el fin de satisfacer los compromisos de cumplimiento y seguridad de la organización. Cuando está habilitado el cifrado doble, los datos de las cuentas de almacenamiento se cifran dos veces, una vez en el nivel de servicio y otra en el nivel de infraestructura, con dos algoritmos de cifrado y dos claves diferentes. Audit, Deny, Disabled 2.0.0
Debe deshabilitarse el acceso a la red pública en Azure Data Explorer Al deshabilitar la propiedad de acceso a la red pública, se mejora la seguridad al garantizar que solo se pueda acceder a la instancia de Azure Data Explorer desde un punto de conexión privado. Esta configuración deniega todos los inicios de sesión que coincidan con las reglas de firewall basadas en IP o redes virtuales. Audit, Deny, Disabled 1.0.0
La inserción de red virtual debe estar habilitada para Azure Data Explorer Proteja el perímetro de la red con la inserción de red virtual, que le permite aplicar reglas de grupo de seguridad de red, conectarse de forma local y proteger los orígenes de la conexión de datos con puntos de conexión de servicio. Audit, Deny, Disabled 1.0.0

Azure Databricks

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Los clústeres de Azure Databricks deben deshabilitar la IP pública Deshabilitar la IP pública de los clústeres en áreas de trabajo de Azure Databricks mejora la seguridad al garantizar que los clústeres no estén expuestos en la red pública de Internet. Más información en: https://learn.microsoft.com/azure/databricks/security/secure-cluster-connectivity. Audit, Deny, Disabled 1.0.1
Las áreas de trabajo de Azure Databricks deben estar en una red virtual Azure Virtual Network brinda seguridad y aislamiento mejorados para las áreas de trabajo de Azure Databricks, así como subredes, directivas de control de acceso y otras características para restringir aún más el acceso. Más información en: https://docs.microsoft.com/azure/databricks/administration-guide/cloud-configurations/azure/vnet-inject. Audit, Deny, Disabled 1.0.2
Los áreas de trabajo de Azure Databricks deben ser SKU Premium que admitan funciones como vínculo privado, clave administrada por el cliente para cifrado Permitir solo el área de trabajo de Databricks con SKU Premium que su organización puede implementar para admitir características como Private Link, clave administrada por el cliente para el cifrado. Más información en: https://aka.ms/adbpe. Audit, Deny, Disabled 1.0.1
Azure Databricks Workspaces debería deshabilitar el acceso a la red pública Al deshabilitar el acceso a la red pública, se mejora la seguridad ya que el recurso no se expone en la red pública de Internet. En su lugar, puede controlar la exposición de los recursos creando puntos de conexión privados. Más información en: https://learn.microsoft.com/azure/databricks/administration-guide/cloud-configurations/azure/private-link. Audit, Deny, Disabled 1.0.1
Las áreas de trabajo de Azure Databricks deben usar un vínculo privado Azure Private Link permite conectar las redes virtuales a los servicios de Azure sin una IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Al asignar puntos de conexión privados a las áreas de trabajo de Azure Databricks, puede reducir el riesgo de pérdida de datos. Más información sobre los vínculos privados en https://aka.ms/adbpe. Audit, Disabled 1.0.2
Configurar el área de trabajo de Azure Databricks para usar zonas DNS privadas Use zonas DNS privadas para invalidar la resolución DNS de un punto de conexión privado. Una zona DNS privada se vincula a la red virtual para resolver las área de trabajo de Azure Databricks. Más información en: https://aka.ms/adbpe. DeployIfNotExists, Disabled 1.0.1
Configurar las áreas de trabajo de Azure Databricks con puntos de conexión privados Los puntos de conexión privados conectan las redes virtuales a los servicios de Azure sin una dirección IP pública en el origen o el destino. Al asignar puntos de conexión privados a las áreas de trabajo de Azure Databricks, puede reducir el riesgo de pérdida de datos. Más información sobre los vínculos privados en https://aka.ms/adbpe. DeployIfNotExists, Disabled 1.0.2
Configuración de los valores de diagnóstico del área de trabajo de Azure Databricks para el área de trabajo de Log Analytics Implementa la configuración de diagnóstico de las áreas de trabajo de Azure Databricks para transmitir registros de recursos a un área de trabajo de Log Analytics cuando se cree o actualice cualquier área de trabajo de Azure Databricks a la que le falte esta configuración de diagnóstico. DeployIfNotExists, Disabled 1.0.1
Los registros de recursos en las áreas de trabajo de Azure Databricks deben estar habilitados Los registros de recursos habilitan que se vuelvan a crear seguimientos de actividad con fines de investigación en caso de que se produzcan incidentes de seguridad o riesgos para la red. AuditIfNotExists, Disabled 1.0.1

Azure Edge Hardware Center

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Los dispositivos de Azure Edge Hardware Center deben tener habilitada la compatibilidad con el cifrado doble. Asegúrese de que los dispositivos solicitados desde Azure Edge Hardware Center tienen habilitada la compatibilidad con el cifrado doble para proteger los datos en reposo en el dispositivo. Esta opción agrega una segunda capa de cifrado de datos. Audit, Deny, Disabled 2.0.0

Azure Load Testing

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
El recurso de Azure Load Testing debería usar claves administradas por el cliente para cifrar datos en reposo Utiliza claves administradas por el cliente (CMK) para administrar el cifrado en reposo del recurso Azure Load Testing. De forma predeterminada, el cifrado se realiza mediante claves administradas por el servicio, las claves administradas por el cliente permiten cifrar los datos con una clave de Azure Key Vault creada y propiedad del usuario. Tiene control y responsabilidad totales del ciclo de vida de la clave, incluidos la rotación y administración. Obtenga más información en https://docs.microsoft.com/azure/load-testing/how-to-configure-customer-managed-keys?tabs=portal. Audit, Deny, Disabled 1.0.0

Azure Purview

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Las cuentas de Azure Purview deben usar un vínculo privado Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados a las cuentas de Azure Purview en lugar de a todo el servicio, también estará protegido frente a riesgos de pérdida de datos. Más información en: https://aka.ms/purview-private-link. Audit, Disabled 1.0.0

Azure Stack Edge

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Los dispositivos Azure Stack Edge deben usar cifrado doble Para proteger los datos en reposo del dispositivo, asegúrese de que tienen cifrado doble, se controla el acceso a ellos y, una vez desactivado el dispositivo, se borran de los discos de datos de forma segura. El cifrado doble consiste en dos capas de cifrado: XTS-AES de BitLocker de 256 bits en los volúmenes de datos y cifrado integrado en los discos duros. Más información en la documentación de información general sobre seguridad del dispositivo Stark Edge en cuestión. audit, Audit, deny, Deny, disabled, Disabled 1.1.0

Administrador de actualizaciones de Azure

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
[Versión preliminar]: Establezca los requisitos previos para programar actualizaciones periódicas en máquinas virtuales de Azure. Esta directiva establecerá los requisitos previos necesarios para programar actualizaciones periódicas en Azure Update Manager mediante la configuración de la orquestación de revisiones en "Programaciones administradas por el cliente". Este cambio establecerá automáticamente el modo de revisión en "AutomaticByPlatform" y habilitará "BypassPlatformSafetyChecksOnUserSchedule" en "True" en máquinas virtuales de Azure. El requisito previo no es aplicable a los servidores habilitados para Arc. Obtener más información: https://learn.microsoft.com/en-us/azure/update-manager/dynamic-scope-overview?tabs=avms#prerequisites DeployIfNotExists, Disabled 1.0.0-preview
Configurar la comprobación periódica de las actualizaciones del sistema faltantes en servidores habilitados para Azure Arc Configure la evaluación automática (cada 24 horas) de actualizaciones del sistema operativo en servidores habilitados para Azure Arc. Puede controlar el ámbito de asignación según la suscripción, el grupo de recursos, la ubicación o la etiqueta de la máquina. Más información al respecto en Windows:https://aka.ms/computevm-windowspatchassessmentmode, en Linux: https://aka.ms/computevm-linuxpatchassessmentmode. modify 2.2.1
Configurar la comprobación periódica de las actualizaciones del sistema que faltan en las máquinas virtuales de Azure Configure la evaluación automática (cada 24 horas) para las actualizaciones del sistema operativo en máquinas virtuales nativas de Azure. Puede controlar el ámbito de asignación según la suscripción, el grupo de recursos, la ubicación o la etiqueta de la máquina. Más información al respecto en Windows:https://aka.ms/computevm-windowspatchassessmentmode, en Linux: https://aka.ms/computevm-linuxpatchassessmentmode. modify 4.8.0
Las máquinas deben configurarse para que se compruebe periódicamente si faltan actualizaciones del sistema Para asegurarse de que las evaluaciones periódicas de las actualizaciones del sistema que faltan se desencadenan automáticamente cada 24 horas, la propiedad AssessmentMode debe establecerse en "AutomaticByPlatform". Más información sobre la propiedad AssessmentMode para Windows: https://aka.ms/computevm-windowspatchassessmentmode, para Linux: https://aka.ms/computevm-linuxpatchassessmentmode. Audit, Deny, Disabled 3.7.0
Programación de actualizaciones periódicas mediante el Administrador de actualizaciones de Azure Puede usar el Administrador de actualizaciones de Azure en Azure para guardar programaciones de implementación periódicas para instalar actualizaciones del sistema operativo en las máquinas Windows Server y Linux en Azure, en entornos locales y en otros entornos de nube conectados mediante servidores habilitados para Azure Arc. Esta directiva también cambiará el modo de revisión de la máquina virtual de Azure a «AutomaticByPlatform». Más información: https://aka.ms/umc-scheduled-patching DeployIfNotExists, Disabled 3.10.0

Backup

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
[Versión preliminar]: La extensión de Azure Backup debe instalarse en clústeres de AKS Asegúrese de instalar la protección de la extensión de copia de seguridad en los clústeres de AKS para usar Azure Backup. Azure Backup para AKS es una solución de protección de datos segura y nativa de nube para clústeres de AKS AuditIfNotExists, Disabled 1.0.0-preview
[Versión preliminar]: Azure Backup debe estar habilitado para los clústeres de AKS Asegúrese de proteger los clústeres de AKS habilitando Azure Backup. Azure Backup para AKS es una solución de protección de datos segura y nativa de nube para clústeres de AKS. AuditIfNotExists, Disabled 1.0.0-preview
[Versión preliminar]: Azure Backup debe estar habilitado para blobs en cuentas de almacenamiento Para garantizar la protección de las cuentas de almacenamiento, habilite Azure Backup. Azure Backup es una solución de protección de datos segura y rentable para Azure. AuditIfNotExists, Disabled 1.0.0-preview
[Versión preliminar]: Azure Backup debe estar habilitado para Managed Disks Para garantizar la protección de Managed Disks, habilite Azure Backup. Azure Backup es una solución de protección de datos segura y rentable para Azure. AuditIfNotExists, Disabled 1.0.0-preview
[Versión preliminar]: Los almacenes de Azure Backup deben usar claves administradas por el cliente para cifrar los datos de copia de seguridad. También es una opción para aplicar el cifrado de infraestructura. Esta directiva sigue el "efecto" si la configuración de cifrado está habilitada para almacenes de Backup en el ámbito. Además, es la opción para comprobar si el almacén de Backup también tiene habilitado el cifrado de infraestructura. Obtenga más información en https://aka.ms/az-backup-vault-encryption-at-rest-with-cmk. Ten en cuenta que cuando se usa el efecto "Denegar", tendría que habilitar la configuración de cifrado en los almacenes de Backup existentes para permitir que otras operaciones de actualización del almacén pasen. Audit, Deny, Disabled 1.0.0-preview
[Versión preliminar]: los almacenes de Azure Recovery Services deben deshabilitar el acceso a la red pública La deshabilitación del acceso a la red pública mejora la seguridad, ya que garantiza que el almacén de Recovery Services no se expone en la red pública de Internet. La creación de puntos de conexión privados puede limitar la exposición del almacén de Recovery Services. Más información en: https://aka.ms/AB-PublicNetworkAccess-Deny. Audit, Deny, Disabled 1.0.0-preview
[Versión preliminar]: los almacenes de Azure Recovery Services deben usar claves administradas por el cliente para cifrar los datos de copia de seguridad Use claves administradas por el cliente para administrar el cifrado en reposo de los datos de copia de seguridad. De manera predeterminada, los datos del cliente se cifran con claves administradas por el servicio, pero las claves administradas por el cliente suelen ser necesarias para cumplir estándares de cumplimiento normativo. Las claves administradas por el cliente permiten cifrar los datos con una clave de Azure Key Vault creada por el usuario y propiedad de este. Tiene control y responsabilidad totales del ciclo de vida de la clave, incluidos la rotación y administración. Obtenga más información en https://aka.ms/AB-CmkEncryption. Audit, Deny, Disabled 1.0.0-preview
[Versión preliminar]: los almacenes de Azure Recovery Services deben usar Private Link para la copia de seguridad Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Al asignar puntos de conexión privados a Azure Recovery Services almacenes, se reduce el riesgo de pérdida de datos. Más información sobre los vínculos privados en https://aka.ms/AB-PrivateEndpoints. Audit, Disabled 2.0.0-preview
[Versión preliminar]: Configuración de los almacenes de Azure Recovery Services para deshabilitar el acceso a la red pública Deshabilite el acceso a la red pública para el almacén de servicios de recuperación para que no sea accesible a través de Internet de acceso público. Esto puede reducir los riesgos de pérdida de datos. Más información en: https://aka.ms/AB-PublicNetworkAccess-Deny. Modificar, Deshabilitado 1.0.0-preview
[Versión preliminar]: Configurar la copia de seguridad de cuentas de almacenamiento de blobs con una etiqueta determinada en un almacén de copia de seguridad existente en la misma región Permite aplicar la copia de seguridad de blobs en todas las cuentas de almacenamiento que contienen una etiqueta determinada en un almacén central de copia de seguridad. Esto puede ayudarle a administrar la copia de seguridad de blobs contenidos en varias cuentas de almacenamiento a gran escala. Para obtener más detalles, consulte https://aka.ms/AB-BlobBackupAzPolicies. DeployIfNotExists, AuditIfNotExists, Disabled 2.0.0-preview
[Versión preliminar]: Configurar la copia de seguridad de blobs para todas las cuentas de almacenamiento que no contienen una etiqueta determinada en un almacén de copia de seguridad de la misma región Permite aplicar la copia de seguridad de blobs en todas las cuentas de almacenamiento que no contienen una etiqueta determinada en un almacén central de copia de seguridad. Esto puede ayudarle a administrar la copia de seguridad de blobs contenidos en varias cuentas de almacenamiento a gran escala. Para obtener más detalles, consulte https://aka.ms/AB-BlobBackupAzPolicies. DeployIfNotExists, AuditIfNotExists, Disabled 2.0.0-preview
[Versión preliminar]: Configure almacenes de Recovery Services para usar zonas DNS privadas para las copias de seguridad Use zonas DNS privadas para invalidar la resolución DNS de un punto de conexión privado. Una zona DNS privada crea un vínculo a la red virtual para resolverse en el almacén de Recovery Services. Más información en: https://aka.ms/AB-PrivateEndpoints. DeployIfNotExists, Disabled 1.0.1-preview
[Versión preliminar]: Configuración de almacenes de Recovery Services para usar puntos de conexión privados para copias de seguridad Los puntos de conexión privados conectan las redes virtuales a los servicios de Azure sin una dirección IP pública en el origen o el destino. Al asignar puntos de conexión privados a almacenes de Recovery Services, se puede reducir el riesgo de pérdida de datos. Tenga en cuenta que los almacenes deben cumplir determinados requisitos previos para poder optar a la configuración del punto de conexión privado. Más información en: https://go.microsoft.com/fwlink/?linkid=2187162. DeployIfNotExists, Disabled 1.0.0-preview
[Versión preliminar]: Deshabilitar la restauración entre suscripciones para almacenes de Azure Recovery Services Deshabilite o restaure permanentemente la suscripción cruzada para el almacén de Recovery Services, de forma que los destinos de restauración no puedan estar en una suscripción diferente de la suscripción del almacén. Más información en: https://aka.ms/csrenhancements. Modificar, Deshabilitado 1.1.0-preview
[Versión preliminar]: Deshabilitar la restauración entre suscripciones para almacenes de Backup Deshabilite o deshabilite permanentemente la restauración entre suscripciones para el almacén de Backup, de forma que los destinos de restauración no puedan estar en una suscripción diferente de la suscripción del almacén. Más información en: https://aka.ms/csrstatechange. Modificar, Deshabilitado 1.1.0-preview
[Versión preliminar]: no permita la creación de almacenes de Recovery Services de redundancia de almacenamiento elegida. Los almacenes de Recovery Services se pueden crear con cualquiera de las tres opciones de redundancia de almacenamiento actuales, es decir, almacenamiento con redundancia local, almacenamiento con redundancia de zona y almacenamiento con redundancia geográfica. Si las directivas de la organización requieren que bloquee la creación de almacenes que pertenecen a un tipo de redundancia determinado, puede lograr lo mismo mediante esta directiva de Azure. Deny, Disabled 1.0.0-preview
[Versión preliminar]: la inmutabilidad debe estar habilitada para almacenes de copia de seguridad Esta directiva audita si la propiedad de almacenes inmutables está habilitada para almacenes de Backup en el ámbito. Esto ayuda a proteger los datos de copia de seguridad de ser eliminados antes de su expiración prevista. Obtenga más información en https://aka.ms/AB-ImmutableVaults. Audit, Disabled 1.0.1-preview
[Versión preliminar]: la inmutabilidad debe estar habilitada para almacenes de Recovery Services Esta directiva audita si la propiedad de almacenes inmutables está habilitada para almacenes de Recovery Services en el ámbito. Esto ayuda a proteger los datos de copia de seguridad de ser eliminados antes de su expiración prevista. Obtenga más información en https://aka.ms/AB-ImmutableVaults. Audit, Disabled 1.0.1-preview
[Versión preliminar]: La autorización multiusuario (MUA) debe estar habilitada para los almacenes de Backup. Esta directiva audita si la autorización multiusuario (MUA) está habilitada para los almacenes de Backup. La MUA ayuda a proteger los almacenes de Backup agregando una capa adicional de protección a operaciones críticas. Para obtener más información, visite https://aka.ms/mua-for-bv. Audit, Disabled 1.0.0-preview
[versión preliminar]: La autorización multiusuario (MUA) debe estar habilitada para almacenes de Recovery Services. Esta directiva audita si la autorización multiusuario (MUA) está habilitada para almacenes de Recovery Services. MUA ayuda a proteger los almacenes de Recovery Services agregando una capa adicional de protección a operaciones críticas. Para obtener más información, visite https://aka.ms/MUAforRSV. Audit, Disabled 1.0.0-preview
[Versión preliminar]: la eliminación temporal debe estar habilitada para almacenes de Recovery Services. Esta directiva audita si la eliminación temporal está habilitada para almacenes de Recovery Services en el ámbito. La eliminación temporal puede ayudarle a recuperar sus datos incluso después de que se hayan eliminado. Obtenga más información en https://aka.ms/AB-SoftDelete. Audit, Disabled 1.0.0-preview
[Versión preliminar]: la eliminación temporal debe estar habilitada para almacenes de Backup Esta directiva audita si la eliminación temporal está habilitada para almacenes de Backup en el ámbito. La eliminación temporal puede ayudarle a recuperar sus datos después de que se hayan eliminado. Más información en https://aka.ms/AB-SoftDelete. Audit, Disabled 1.0.0-preview
Azure Backup debe estar habilitado para Virtual Machines. Asegúrese que Azure Virtual Machines está protegido; para ello, habilite Azure Backup. Azure Backup es una solución de protección de datos segura y rentable para Azure. AuditIfNotExists, Disabled 3.0.0
Configurar la copia de seguridad en las máquinas virtuales con una etiqueta específica en un nuevo almacén de Recovery Services con una directiva predeterminada Aplique la copia de seguridad de todas las máquinas virtuales mediante la implementación de un almacén de Recovery Services en la misma ubicación y grupo de recursos que la máquina virtual. Esto resulta útil cuando se asignan grupos de recursos independientes a distintos equipos de aplicación de la organización y es necesario administrar sus propias copias de seguridad y restauraciones. Opcionalmente, puede incluir máquinas virtuales que contengan una etiqueta específica para controlar el ámbito de la asignación. Vea https://aka.ms/AzureVMAppCentricBackupIncludeTag. auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled 9.2.0
Configurar la copia de seguridad en las máquinas virtuales con una etiqueta específica en un almacén de Recovery Services existente en la misma ubicación Aplique la copia de seguridad de todas las máquinas virtuales; para ello, realice una copia de seguridad en un almacén de Recovery Services central que se encuentre en la misma ubicación y suscripción que la máquina virtual. Esto resulta útil cuando hay un equipo central en la organización que administra las copias de seguridad de todos los recursos de una suscripción. Opcionalmente, puede incluir máquinas virtuales que contengan una etiqueta específica para controlar el ámbito de la asignación. Vea https://aka.ms/AzureVMCentralBackupIncludeTag. auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled 9.2.0
Configurar la copia de seguridad en las máquinas virtuales sin una etiqueta específica en un nuevo almacén de Recovery Services con una directiva predeterminada Aplique la copia de seguridad de todas las máquinas virtuales mediante la implementación de un almacén de Recovery Services en la misma ubicación y grupo de recursos que la máquina virtual. Esto resulta útil cuando se asignan grupos de recursos independientes a distintos equipos de aplicación de la organización y es necesario administrar sus propias copias de seguridad y restauraciones. Opcionalmente, puede excluir las máquinas virtuales que contengan una etiqueta específica para controlar el ámbito de la asignación. Vea https://aka.ms/AzureVMAppCentricBackupExcludeTag. auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled 9.2.0
Configurar la copia de seguridad en las máquinas virtuales sin una etiqueta específica en un almacén de Recovery Services existente en la misma ubicación Aplique la copia de seguridad de todas las máquinas virtuales; para ello, realice una copia de seguridad en un almacén de Recovery Services central que se encuentre en la misma ubicación y suscripción que la máquina virtual. Esto resulta útil cuando hay un equipo central en la organización que administra las copias de seguridad de todos los recursos de una suscripción. Opcionalmente, puede excluir las máquinas virtuales que contengan una etiqueta específica para controlar el ámbito de la asignación. Vea https://aka.ms/AzureVMCentralBackupExcludeTag. auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled 9.2.0
Implementar la Configuración de diagnóstico para el almacén de Recovery Services para el área de trabajo de Log Analytics con categorías específicas de recursos. Permite implementar la Configuración de diagnóstico para el almacén de Recovery Services a fin de transmitir en secuencias al área de trabajo de Log Analytics para categorías específicas de recursos. Si alguna de las categorías específicas de recursos no está habilitada, se crea una nueva opción de configuración de diagnóstico. deployIfNotExists 1.0.2

Batch

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
La cuenta de Azure Batch debe usar claves administradas por el cliente para cifrar los datos Use claves administradas por el cliente para administrar el cifrado en reposo de los datos de la cuenta de Batch. De manera predeterminada, los datos del cliente se cifran con claves administradas por el servicio, pero las claves administradas por el cliente suelen ser necesarias para cumplir estándares de cumplimiento normativo. Las claves administradas por el cliente permiten cifrar los datos con una clave de Azure Key Vault creada por el usuario y propiedad de este. Tiene control y responsabilidad totales del ciclo de vida de la clave, incluidos la rotación y administración. Obtenga más información en https://aka.ms/Batch-CMK. Audit, Deny, Disabled 1.0.1
Los grupos de Azure Batch deben tener habilitado el cifrado de disco Habilitar el cifrado de disco de Azure Batch garantiza que los datos siempre se cifran en reposo en el nodo de ejecución de Azure Batch. Obtenga más información acerca del cifrado de disco en Batch en https://docs.microsoft.com/azure/batch/disk-encryption. Audit, Disabled, Deny 1.0.0
Las cuentas de Batch deben tener deshabilitados los métodos de autenticación local La deshabilitación de métodos de autenticación local mejora la seguridad, ya que garantiza que las cuentas de Batch requieran identidades de Azure Active Directory exclusivamente para la autenticación. Más información en: https://aka.ms/batch/auth. Audit, Deny, Disabled 1.0.0
Configuración de cuentas de Batch para deshabilitar la autenticación local Deshabilite los métodos de autenticación de ubicación para que sus cuentas de Batch requieran identidades de Azure Active Directory exclusivamente para la autenticación. Más información en: https://aka.ms/batch/auth. Modificar, Deshabilitado 1.0.0
Configurar las cuentas de Batch para desactivar el acceso a la red pública Al deshabilitar el acceso a la red pública en una cuenta de Batch, se mejora la seguridad al garantizar que solo se pueda acceder a la cuenta de Batch desde un punto de conexión privado. Obtenga más información sobre cómo deshabilitar el acceso a la red pública en https://docs.microsoft.com/azure/batch/private-connectivity. Modificar, Deshabilitado 1.0.0
Configurar las cuentas de Batch con puntos de conexión privados Los puntos de conexión privados conectan la red virtual a los servicios de Azure sin una dirección IP pública en el origen o el destino. Al asignar puntos de conexión privados a su cuenta de Batch, se puede reducir el riesgo de pérdida de datos. Más información sobre los vínculos privados en https://docs.microsoft.com/azure/batch/private-connectivity. DeployIfNotExists, Disabled 1.0.0
Implementación: configurar las zonas DNS privadas de los puntos de conexión privados que se conectan a las cuentas de Batch Los registros de DNS privado permiten conexiones privadas a puntos de conexión privados. Las conexiones de punto de conexión privado permiten la comunicación segura al habilitar la conectividad privada con cuentas de Batch sin necesidad de direcciones IP públicas en el origen o el destino. Para obtener más información sobre los puntos de conexión y las zonas DNS privados en Batch, vea https://docs.microsoft.com/azure/batch/private-connectivity. DeployIfNotExists, Disabled 1.0.0
Las reglas de alerta de métricas deben configurarse en las cuentas de Batch Permite auditar la configuración de reglas de alertas de métricas en una cuenta de Batch para habilitar la métrica requerida. AuditIfNotExists, Disabled 1.0.0
Las conexiones de punto de conexión privado en cuentas de Batch deben estar habilitadas Las conexiones de punto de conexión privado permiten la comunicación segura al habilitar la conectividad privada con cuentas de Batch sin necesidad de direcciones IP públicas en el origen o el destino. Más información sobre los puntos de conexión privados en Batch en https://docs.microsoft.com/azure/batch/private-connectivity. AuditIfNotExists, Disabled 1.0.0
El acceso a redes públicas debe estar deshabilitado para las cuentas de Batch Al deshabilitar el acceso a la red pública en una cuenta de Batch, se mejora la seguridad al garantizar que solo se pueda acceder a la cuenta de Batch desde un punto de conexión privado. Obtenga más información sobre cómo deshabilitar el acceso a la red pública en https://docs.microsoft.com/azure/batch/private-connectivity. Audit, Deny, Disabled 1.0.0
Los registros de recursos de las cuentas de Batch deben estar habilitados. Habilitación de la auditoría de los registros de recursos. Esto le permite volver a crear seguimientos de actividad con fines de investigación en caso de incidente de seguridad o riesgo para la red. AuditIfNotExists, Disabled 5.0.0

Servicio de bots

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
El punto de conexión de Bot Service debe ser un URI de HTTPS válido Los datos se pueden alterar durante la transmisión. Hay protocolos que proporcionan cifrado para solucionar problemas de uso indebido y manipulación. Para asegurarse de que los bots se comunican solo por canales cifrados, establezca el punto de conexión en un URI de HTTPS válido. Esto garantiza que se usa el protocolo HTTPS para cifrar los datos en tránsito; además, suele ser un requisito de cumplimiento de los estándares normativos o del sector. Visite: https://docs.microsoft.com/azure/bot-service/bot-builder-security-guidelines. auditoría, Auditoría, denegar, Denegar, deshabilitado, Deshabilitado 1.1.0
Bot Service se debe cifrar con una clave administrada por el cliente Azure Bot Service cifra automáticamente el recurso para proteger sus datos y satisfacer los compromisos de cumplimiento y seguridad de la organización. De forma predeterminada, se usan claves de cifrado administradas por Microsoft. Para una mayor flexibilidad en la administración de claves o el control del acceso a su suscripción, seleccione claves administradas por el cliente, también conocidas como Bring your own key (BYOK). Más información acerca del cifrado de Azure Bot Service: https://docs.microsoft.com/azure/bot-service/bot-service-encryption. audit, Audit, deny, Deny, disabled, Disabled 1.1.0
Bot Service debe tener el modo aislado habilitado Los bots deben establecerse en el modo "solo aislado". Este valor configura los canales de Bot Service que requieren que se deshabilite el tráfico a través de la red pública de Internet. auditoría, Auditoría, denegar, Denegar, deshabilitado, Deshabilitado 2.1.0
Bot Service debe tener deshabilitados los métodos de autenticación local Deshabilitar los métodos de autenticación local mejora la seguridad al garantizar que un bot use exclusivamente AAD para la autenticación. Audit, Deny, Disabled 1.0.0
Bot Service debe tener deshabilitado el acceso a la red pública Los bots deben establecerse en el modo "solo aislado". Este valor configura los canales de Bot Service que requieren que se deshabilite el tráfico a través de la red pública de Internet. Audit, Deny, Disabled 1.0.0
Los recursos de BotService deben usar private link Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Al asignar puntos de conexión privados al recurso de BotService, se reduce el riesgo de pérdida de datos. Audit, Disabled 1.0.0
Configuración de los recursos de BotService para usar zonas DNS privadas Use zonas DNS privadas para invalidar la resolución DNS de un punto de conexión privado. Se vincula una zona DNS privada a la red virtual para resolver los recursos relacionados con BotService. Más información en: https://aka.ms/privatednszone. DeployIfNotExists, Disabled 1.0.0
Configurar recursos de BotService con puntos de conexión privados Los puntos de conexión privados conectan la red virtual a los servicios de Azure sin una dirección IP pública en el origen o el destino. Al asignar puntos de conexión privados al recurso de BotService, puede reducir el riesgo de pérdida de datos. DeployIfNotExists, Disabled 1.0.0

Cache

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Azure Cache for Redis debe deshabilitar el acceso a la red pública Al deshabilitar el acceso a la red pública, se mejora la seguridad, ya que garantiza que Azure Cache for Redis no se expone en la red pública de Internet. En su lugar, puede limitar la exposición de Azure Cache for Redis mediante la creación de puntos de conexión privados. Más información en: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. Audit, Deny, Disabled 1.0.0
Azure Cache for Redis debe usar Private Link Los puntos de conexión privados le permiten conectar la red virtual a los servicios de Azure sin una dirección IP pública en el origen o el destino. Al asignar puntos de conexión privados a las instancias de Azure Cache for Redis, se reduce el riesgo de pérdida de datos. Más información en: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. AuditIfNotExists, Disabled 1.0.0
Configurar Azure Cache for Redis para deshabilitar puertos que no son SSL Habilite conexiones solo de SSL a Azure Cache for Redis. El uso de conexiones seguras garantiza la autenticación entre el servidor y el servicio, y protege los datos en tránsito de ataques de nivel de red, como "man in-the-middle", interceptación y secuestro de sesión Modificar, Deshabilitado 1.0.0
Configurar Azure Cache for Redis para deshabilitar el acceso a la red pública Deshabilite el acceso a la red pública para el recurso de Azure Cache for Redis de modo que no sea accesible a través de la red pública de Internet. Esto ayuda a proteger la memoria caché frente a los riesgos de pérdida de datos. Modificar, Deshabilitado 1.0.0
Configurar Azure Cache for Redis para usar zonas DNS privadas Use zonas DNS privadas para invalidar la resolución DNS de un punto de conexión privado. Se puede vincular una zona DNS privada a la red virtual para que se resuelva en Azure Cache for Redis. Más información en: https://aka.ms/privatednszone. DeployIfNotExists, Disabled 1.0.0
Configuración de Azure Cache for Redis con puntos de conexión privados Los puntos de conexión privados le permiten conectar la red virtual a los servicios de Azure sin una dirección IP pública en el origen o el destino. Al asignar puntos de conexión privados a los recursos de Azure Cache for Redis, se puede reducir el riesgo de pérdida de datos. Más información en: https://aka.ms/redis/privateendpoint. DeployIfNotExists, Disabled 1.0.0
Solo se deben habilitar las conexiones seguras a la instancia de Azure Cache for Redis. Permite auditar la habilitación solo de conexiones a Azure Cache for Redis a través de SSL. El uso de conexiones seguras garantiza la autenticación entre el servidor y el servicio, y protege los datos en tránsito de ataques de nivel de red, como "man in-the-middle", interceptación y secuestro de sesión Audit, Deny, Disabled 1.0.0

CDN

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Los perfiles de Azure Front Door deben usar el nivel Premium que admite reglas de WAF administradas y Private Link Azure Front Door Premium admite reglas de WAF administradas de Azure y vínculo privado a orígenes de Azure admitidos. Audit, Deny, Disabled 1.0.0
Azure Front Door Estándar y Premium deben ejecutar la versión mínima de TLS 1.2 La configuración de la versión mínima de TLS a 1.2 mejora la seguridad asegurando el acceso a sus dominios personalizados desde clientes que utilizan TLS 1.2 o más reciente. No se recomienda usar versiones de TLS inferiores a 1.2, ya que son débiles y no admiten algoritmos criptográficos modernos. Audit, Deny, Disabled 1.0.0
Protección de la conectividad privada entre Azure Front Door Premium y de Azure Storage Blob o Azure App Service Private Link garantiza la conectividad privada entre AFD Premium y Azure Storage Blob o Azure App Service a través de la red troncal de Azure, sin que Azure Storage Blob ni Azure App Service estén expuestos públicamente a Internet. Audit, Disabled 1.0.0

ChangeTrackingAndInventory

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
[Versión preliminar]: Configuración de máquinas habilitadas para Arc en Linux para asociarse a un regla de recopilación de datos para ChangeTracking e Inventario Implemente la asociación para vincular máquinas habilitadas para Arc en Linux a la regla de recopilación de datos especificada para habilitar Seguimiento de cambios e inventario. La lista de ubicaciones se actualiza con el tiempo a medida que aumenta la compatibilidad. DeployIfNotExists, Disabled 1.0.0-preview
[Versión preliminar]: configuración de máquinas habilitadas para Arc en Linux para instalar AMA para seguimiento de cambios e inventario Automatice la implementación de la extensión del agente de Azure Monitor en las máquinas habilitadas para Arc en Linux a fin de habilitar el Seguimiento de cambios e inventario. Esta directiva instalará la extensión si se admite la región. Más información: https://aka.ms/AMAOverview. DeployIfNotExists, Disabled 1.3.0-preview
[Versión preliminar]: Configuración de Linux Virtual Machines para asociarse a una regla de recopilación de datos para ChangeTracking e Inventario Implemente la asociación para vincular máquinas virtuales Linux a la regla de recopilación de datos especificada para habilitar ChangeTracking e Inventario. La lista de ubicaciones e imágenes del sistema operativo se actualiza con el tiempo a medida que aumenta la compatibilidad. DeployIfNotExists, Disabled 1.0.0-preview
[Versión preliminar]: Configuración de las VM Linux para instalar AMA para ChangeTracking e Inventario con una identidad administrada asignada por el usuario Automatice la implementación de la extensión del agente de Azure Monitor en las máquinas virtuales Linux para permitir ChangeTracking e Inventario. Esta directiva instalará la extensión y la configurará para usar la identidad administrada asignada por el usuario especificada si se admite el sistema operativo y la región, y omita la instalación en caso contrario. Más información: https://aka.ms/AMAOverview. DeployIfNotExists, Disabled 1.4.0-preview
[Versión preliminar]: Configuración de VMSS Linux para asociarse a una regla de recopilación de datos para ChangeTracking e Inventario Implemente la asociación para vincular conjuntos de escalado de máquinas virtuales Linux a la regla de recopilación de datos especificada para permitir ChangeTracking e Inventario. La lista de ubicaciones e imágenes del sistema operativo se actualiza con el tiempo a medida que aumenta la compatibilidad. DeployIfNotExists, Disabled 1.0.0-preview
[Versión preliminar]: Configuración de VMSS de Linux para instalar AMA para ChangeTracking e Inventario con una identidad administrada asignada por el usuario Automatice la implementación de la extensión del agente de Azure Monitor en los conjuntos de escalado de máquinas virtuales Linux para permitir ChangeTracking e Inventario. Esta directiva instalará la extensión y la configurará para usar la identidad administrada asignada por el usuario especificada si se admite el sistema operativo y la región, y omita la instalación en caso contrario. Más información: https://aka.ms/AMAOverview. DeployIfNotExists, Disabled 1.3.0-preview
[Versión preliminar]: Configuración de máquinas habilitadas para Arc en Windows para asociarlas a una regla de recopilación de datos para el Seguimiento de cambios e inventario Implemente la asociación para vincular máquinas habilitadas para Arc en Windows a la regla de recopilación de datos especificada para habilitar el Seguimiento de cambios e inventario. La lista de ubicaciones se actualiza con el tiempo a medida que aumenta la compatibilidad. DeployIfNotExists, Disabled 1.0.0-preview
[Versión preliminar]: Configuración de máquinas habilitadas para Arc en Windows para instalar AMA para el Seguimiento de cambios e inventario Automatice la implementación de la extensión del agente de Azure Monitor en las máquinas habilitadas para Arc en Windows a fin de habilitar el Seguimiento de cambios e inventario. Esta directiva instalará la extensión si se admite el sistema operativo y la región y la identidad administrada asignada por el sistema está habilitada, y omitirá la instalación en caso contrario. Más información: https://aka.ms/AMAOverview. DeployIfNotExists, Disabled 1.0.0-preview
[Versión preliminar]: Configurar Windows Virtual Machines para asociarlas a una regla de recopilación de datos para ChangeTracking e Inventario Implemente la asociación para vincular máquinas virtuales Windows a la regla de recopilación de datos especificada para habilitar ChangeTracking e Inventario. La lista de ubicaciones e imágenes del sistema operativo se actualiza con el tiempo a medida que aumenta la compatibilidad. DeployIfNotExists, Disabled 1.0.0-preview
[Versión preliminar]: Configuración de máquinas virtuales Windows para instalar AMA para ChangeTracking e Inventario con una identidad administrada asignada por el usuario Automatice la implementación de la extensión del agente de Azure Monitor en las máquinas virtuales Windows para permitir ChangeTracking e Inventario. Esta directiva instalará la extensión y la configurará para usar la identidad administrada asignada por el usuario especificada si se admite el sistema operativo y la región, y omita la instalación en caso contrario. Más información: https://aka.ms/AMAOverview. DeployIfNotExists, Disabled 1.0.0-preview
[Versión preliminar]: Configurar VMSS de Windows para asociarse a una regla de recopilación de datos para ChangeTracking e Inventario Implemente la asociación para vincular conjuntos de escalado de máquinas virtuales Windows a la regla de recopilación de datos especificada para habilitar ChangeTracking e Inventario. La lista de ubicaciones e imágenes del sistema operativo se actualiza con el tiempo a medida que aumenta la compatibilidad. DeployIfNotExists, Disabled 1.0.0-preview
Configuración de VMSS de Windows para instalar AMA para ChangeTracking e Inventario con una identidad administrada asignada por el usuario Automatice la implementación de la extensión del agente de Azure Monitor en los conjuntos de escalado de máquinas virtuales Windows para permitir ChangeTracking e Inventario. Esta directiva instalará la extensión y la configurará para usar la identidad administrada asignada por el usuario especificada si se admite el sistema operativo y la región, y omita la instalación en caso contrario. Más información: https://aka.ms/AMAOverview. DeployIfNotExists, Disabled 1.0.0-preview

Cognitive Services

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Las cuentas de Cognitive Services deben habilitar el cifrado de datos con una clave administrada por el cliente. Las claves administradas por el cliente suelen ser necesarias para cumplir estándares de cumplimiento normativo. Las claves administradas por el cliente permiten cifrar los datos almacenados en Cognitive Services con una clave de Azure Key Vault creada por el usuario y propiedad de este. Tiene control y responsabilidad totales del ciclo de vida de la clave, incluidos la rotación y administración. Para más información sobre las claves administradas por el cliente, consulte https://go.microsoft.com/fwlink/?linkid=2121321. Audit, Deny, Disabled 2.1.0
Las cuentas de Cognitive Services deben usar una identidad administrada La asignación de una identidad administrada a su cuenta de Cognitive Services ayuda a garantizar una autenticación segura. Esta cuenta de Cognitive Services usa esta identidad para comunicarse con otros servicios de Azure, como Azure Key Vault, de forma segura sin tener que administrar ninguna credencial. Audit, Deny, Disabled 1.0.0
Las cuentas de Cognitive Services deben usar un almacenamiento propiedad del cliente Use el almacenamiento de propiedad del cliente para controlar los datos almacenados en reposo en Cognitive Services. Para más información sobre el almacenamiento de propiedad del cliente, visite https://aka.ms/cogsvc-cmk. Audit, Deny, Disabled 2.0.0
Cognitive Services debe usar un vínculo privado Azure Private Link permite conectar las redes virtuales a los servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Al asignar puntos de conexión privados a Cognitive Services, reducirá la posibilidad de pérdida de datos. Más información sobre los vínculos privados en https://go.microsoft.com/fwlink/?linkid=2129800. Audit, Disabled 3.0.0
Configurar las cuentas de Cognitive Services para deshabilitar los métodos de autenticación local Deshabilite los métodos de autenticación local para que las cuentas de Cognitive Services requieran identidades de Azure Active Directory exclusivamente para la autenticación. Más información en: https://aka.ms/cs/auth. Modificar, Deshabilitado 1.0.0
Configurar las cuentas de Cognitive Services para deshabilitar el acceso a la red pública Deshabilite el acceso a la red pública para el recurso de Cognitive Services de modo que no sea accesible a través de la red pública de Internet. Esto puede reducir los riesgos de pérdida de datos. Más información en: https://go.microsoft.com/fwlink/?linkid=2129800. Deshabilitado, Modificar 3.0.0
Configurar las cuentas de Cognitive Services para usar zonas DNS privadas Use zonas DNS privadas para invalidar la resolución DNS de un punto de conexión privado. Una zona DNS privada se vincula a la red virtual para resolverse en las cuentas de Cognitive Services. Más información en: https://go.microsoft.com/fwlink/?linkid=2110097. DeployIfNotExists, Disabled 1.0.0
Configurar las cuentas de Cognitive Services con puntos de conexión privados Los puntos de conexión privados conectan las redes virtuales a los servicios de Azure sin una dirección IP pública en el origen o el destino. Al asignar puntos de conexión privados a Cognitive Services, reducirá la posibilidad de pérdida de datos. Más información sobre los vínculos privados en https://go.microsoft.com/fwlink/?linkid=2129800. DeployIfNotExists, Disabled 3.0.0

Comunicación

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
El recurso de servicio de comunicación debe usar una identidad gestionada La asignación de una identidad administrada al recurso de Communication Service ayuda a garantizar la autenticación segura. Este recurso de Communication Service usa esta identidad para comunicarse con otros servicios de Azure, como Azure Storage, de forma segura sin tener que administrar credenciales. Audit, Deny, Disabled 1.0.0
El recurso de Communication Service debe usar permitir la ubicación de datos enumerados Cree un recurso de Communication Service solo desde una ubicación de datos permitida. Esta ubicación de datos determina dónde se almacenarán los datos del recurso de servicio de comunicación en reposo, asegurándose de que su preferido permite ubicaciones de datos de la lista, ya que esto no se puede cambiar después de la creación de recursos. Audit, Deny, Disabled 1.0.0

Proceso

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
SKU de tamaño de máquina virtual permitidas Esta directiva permite especificar un conjunto de SKU de tamaño de máquina virtual que la organización puede implementar. Denegar 1.0.1
Auditoría de máquinas virtuales sin la recuperación ante desastres configurada Audita las máquinas virtuales que no tienen configurada la recuperación ante desastres. Para más información acerca de la recuperación ante desastres, visite https://aka.ms/asr-doc. auditIfNotExists 1.0.0
Auditar las máquinas virtuales que no utilizan discos administrados Esta directiva audita las máquinas virtuales que no utilizan discos administrados. auditoría 1.0.0
Configuración de la recuperación ante desastres en máquinas virtuales habilitando la replicación mediante Azure Site Recovery Las máquinas virtuales sin configuraciones de recuperación ante desastres pueden verse afectadas por interrupciones. Si la máquina virtual aún no tiene configurada la recuperación ante desastres, esta se iniciará al habilitar la replicación mediante configuraciones predeterminadas para facilitar la continuidad empresarial. Opcionalmente, puede incluir o excluir máquinas virtuales que contengan una etiqueta especificada para controlar el ámbito de la asignación. Para más información acerca de la recuperación ante desastres, visite https://aka.ms/asr-doc. DeployIfNotExists, Disabled 2.1.0
Configurar los recursos de acceso al disco para usar zonas DNS privadas Use zonas DNS privadas para invalidar la resolución DNS de un punto de conexión privado. Una zona DNS privada crea un vínculo a la red virtual para resolverse en el disco administrado. Más información en: https://aka.ms/disksprivatelinksdoc. DeployIfNotExists, Disabled 1.0.0
Configurar recursos de acceso al disco con puntos de conexión privados Los puntos de conexión privados conectan las redes virtuales a los servicios de Azure sin una dirección IP pública en el origen o el destino. Al asignación puntos de conexión privados a los recursos de acceso al disco, podrá reducir el riesgo de pérdida de datos. Más información sobre los vínculos privados en https://aka.ms/disksprivatelinksdoc. DeployIfNotExists, Disabled 1.0.0
Configurar discos administrados para deshabilitar el acceso a la red pública Deshabilite el acceso a la red pública para el recurso de disco administrado para que no sea accesible a través de Internet de acceso público. Esto puede reducir los riesgos de pérdida de datos. Más información en: https://aka.ms/disksprivatelinksdoc. Modificar, Deshabilitado 2.0.0
Implementar la extensión IaaSAntimalware predeterminada de Microsoft para Windows Server Esta directiva implementa una extensión de Microsoft IaaSAntimalware con una configuración predeterminada cuando una VM no está configurada con la extensión de antimalware. deployIfNotExists 1.1.0
Los recursos de acceso al disco deben usar un vínculo privado Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Al asignar puntos de conexión privados a diskAccesses, se reduce el riesgo de pérdida de datos. Más información sobre los vínculos privados en https://aka.ms/disksprivatelinksdoc. AuditIfNotExists, Disabled 1.0.0
Los discos administrados deben tener un cifrado doble con las claves administradas por el cliente y la plataforma Los clientes con datos confidenciales de alto nivel de seguridad que están preocupados por el riesgo asociado a cualquier algoritmo de cifrado, implementación o clave en peligro concretos pueden optar por una capa adicional de cifrado con un algoritmo o modo de cifrado diferente en el nivel de infraestructura mediante claves de cifrado administradas por la plataforma. Los conjuntos de cifrado de disco son necesarios para usar el cifrado doble. Obtenga más información en https://aka.ms/disks-doubleEncryption. Audit, Deny, Disabled 1.0.0
Los discos administrados deben deshabilitar el acceso a la red pública Deshabilitar el acceso a la red pública mejora la seguridad al garantizar que un disco administrado no esté expuesto en Internet de acceso público. La creación de puntos de conexión privados permite limitar el nivel de exposición de los discos administrados. Más información en: https://aka.ms/disksprivatelinksdoc. Audit, Disabled 2.0.0
Los discos administrados deben usar un conjunto específico de conjuntos de cifrado de disco para el cifrado de claves administradas por el cliente Requerir un conjunto específico de los conjuntos de cifrado de disco para usarlo con Managed Disks le ofrece control sobre las claves usadas para el cifrado en reposo. Puede seleccionar los conjuntos cifrados permitidos y todos los demás se rechazan cuando se conectan a un disco. Obtenga más información en https://aka.ms/disks-cmk. Audit, Deny, Disabled 2.0.0
Microsoft Antimalware para Azure debe estar configurado para actualizar automáticamente las firmas de protección. Esta directiva audita cualquier máquina virtual de Windows que no esté configurada con la actualización automática de firmas de protección de Microsoft Antimalware. AuditIfNotExists, Disabled 1.0.0
La extensión IaaSAntimalware de Microsoft debe implementarse en servidores Windows. Esta directiva audita cualquier VM de Windows Server sin la extensión IaaSAntimalware de Microsoft implementada. AuditIfNotExists, Disabled 1.1.0
Solo deben instalarse las extensiones de máquina virtual aprobadas Esta directiva rige las extensiones de máquina virtual que no están aprobadas. Audit, Deny, Disabled 1.0.0
El SO y los discos de datos deben cifrarse con una clave administrada por el cliente Use claves administradas por el cliente para administrar el cifrado en reposo del contenido de Managed Disks. De manera predeterminada, los datos se cifran en reposo con claves administradas por la plataforma, pero las claves administradas por el cliente suelen ser necesarias para cumplir los estándares de cumplimiento normativo. Las claves administradas por el cliente permiten cifrar los datos con una clave de Azure Key Vault creada por el usuario y propiedad de este. Tiene control y responsabilidad totales del ciclo de vida de la clave, incluidos la rotación y administración. Obtenga más información en https://aka.ms/disks-cmk. Audit, Deny, Disabled 3.0.0
Proteja los datos con requisitos de autenticación al exportar o cargar en un disco o instantánea. Cuando se usa la dirección URL de exportación o carga, el sistema comprueba si el usuario tiene una identidad en Azure Active Directory y posee los permisos necesarios para exportar o cargar los datos. Consulte aka.ms/DisksAzureADAuth. Modificar, Deshabilitado 1.0.0
Exigir la aplicación automática de revisiones de imágenes del sistema operativo en Virtual Machine Scale Sets Esta directiva requiere que se habilite la aplicación automática de revisiones de imagen de sistema operativo en Virtual Machine Scale Sets para que se apliquen mensualmente las revisiones de seguridad más recientes con el fin de que las máquinas virtuales estén siempre protegidas. deny 1.0.0
Las máquinas virtuales y los conjuntos de escalado de máquinas virtuales deben tener habilitado el cifrado en el host Use el cifrado en el host para obtener el cifrado de un extremo a otro para la máquina virtual y los datos del conjunto de escalado de máquinas virtuales. El cifrado en el host permite el cifrado en reposo para las memorias caché de disco temporal y de sistema operativo y de datos. Los discos temporales y los discos de SO efímeros se cifran con claves administradas por la plataforma cuando se habilita el cifrado en el host. Las memorias caché del disco de datos y de sistema operativo se cifran en reposo con claves administradas por el cliente o por la plataforma, según el tipo de cifrado seleccionado en el disco. Obtenga más información en https://aka.ms/vm-hbe. Audit, Deny, Disabled 1.0.0
Se deben migrar las máquinas virtuales a nuevos recursos de Azure Resource Manager Use el nuevo Azure Resource Manager para las máquinas virtuales a fin de proporcionar mejoras de seguridad como las siguientes: mayor control de acceso (RBAC), mejor auditoría, gobernanza e implementación basados en Azure Resource Manager, acceso a identidades administradas, acceso a secretos de Key Vault, autenticación basada en Azure AD y compatibilidad con etiquetas y grupos de recursos para facilitar la administración de seguridad. Audit, Deny, Disabled 1.0.0

Aplicaciones de contenedor

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
La autenticación debe estar habilitada en Container Apps La autenticación de Container Apps es una característica que puede impedir que las solicitudes HTTP anónimas lleguen a una instancia de Container Apps o autenticar aquellas que tienen tokens antes de que lleguen a dicha instancia. AuditIfNotExists, Disabled 1.0.1
Los entornos de una instancia de Container Apps deben usar la inserción de red Los entornos de Container Apps deben usar la inserción de red virtual para: 1. Aislar Container Apps de la red pública de Internet 2. Habilitar la integración de red con recursos locales o en otras redes virtuales de Azure 3. Lograr un control más granular sobre el tráfico de red que fluye hacia y desde el entorno. Audit, Disabled, Deny 1.0.2
La instancia de Container Apps se debe configurar con el montaje del volumen Aplique el uso de montajes de volúmenes para Container Apps a fin de garantizar la disponibilidad de la capacidad de almacenamiento persistente. Audit, Deny, Disabled 1.0.1
El entorno de Container Apps debe deshabilitar el acceso desde la red pública Deshabilite el acceso desde la red pública a fin de mejorar la seguridad mediante la exposición del entorno de Container Apps a través de un equilibrador de carga interno. Esto quita la necesidad de una IP pública y evita el acceso a través de Internet a todas las instancias de Container Apps dentro del entorno. Audit, Deny, Disabled 1.0.1
Container Apps debe deshabilitar el acceso desde la red externa Deshabilite el acceso desde la red externa a Container Apps mediante la aplicación de la entrada solo interna. Esto garantizará que la comunicación entrante de Container Apps se limite solo a los autores de llamadas dentro del entorno de Container Apps. Audit, Deny, Disabled 1.0.1
Container Apps solo debería ser accesible a través de HTTPS El uso de HTTPS garantiza la autenticación del servicio y el servidor, y protege los datos en tránsito frente a ataques de intercepción de nivel de red. Al deshabilitar "allowInsecure", se producirá el redireccionamiento automático de las solicitudes de conexiones HTTP a HTTPS para las instancias de Container Apps. Audit, Deny, Disabled 1.0.1
Container Apps debe tener habilitada la identidad administrada La aplicación de la identidad administrada garantiza que Container Apps pueda autenticarse de manera segura en cualquier recurso que admita la autenticación de Azure AD. Audit, Deny, Disabled 1.0.1

Instancia de contenedor

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
El grupo de contenedores de la instancia de Azure Container Instances se debe implementar en una red virtual Proteja la comunicación entre los contenedores con redes virtuales de Azure. Cuando se especifica una red virtual, los recursos de la red virtual pueden comunicarse entre sí de forma segura y privada. Audit, Disabled, Deny 2.0.0
El grupo de contenedores de la instancia de Azure Container Instances debe usar una clave administrada por el cliente para el cifrado Proteja los contenedores con mayor flexibilidad mediante el uso de claves administradas por el cliente. Cuando se especifica una clave administrada por el cliente, esa clave se usa para proteger y controlar el acceso a la clave que cifra los datos. El uso de claves administradas por el cliente proporciona funcionalidades adicionales para controlar la rotación de la clave de cifrado de claves o para borrar datos mediante criptografía. Audit, Disabled, Deny 1.0.0
Configurar los ajustes de diagnóstico para los grupos de contenedores en el área de trabajo Log Analytics Implementa la configuración de diagnóstico de la instancia de contenedor para transmitir registros de recursos a un área de trabajo de Log Analytics cuando se crea o actualiza cualquier instancia de contenedor a la que falte esta configuración de diagnóstico. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0

Azure Container Instances

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Configuración de diagnósticos para el grupo de contenedores en el área de trabajo de Log Analytics Anexa el workspaceId y workspaceKey especificados de Log Analytics cuando se crea o actualiza cualquier grupo de contenedores que falte en estos campos. No modifica los campos de los grupos de contenedores creados antes de que se aplique esta directiva hasta que se cambien esos grupos de recursos. Anexar, deshabilitar 1.0.0

Container Registry

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Configure los registros de contenedor para deshabilitar la autenticación anónima. Deshabilite la extracción anónima del registro para que el usuario no autenticado no pueda acceder a los datos. Al deshabilitar los métodos de autenticación local, como el usuario administrador, los tokens de acceso de ámbito de repositorio y la extracción anónima, se mejora la seguridad al garantizar que los registros de contenedor requieren exclusivamente identidades de Azure Active Directory para la autenticación. Más información en: https://aka.ms/acr/authentication. Modificar, Deshabilitado 1.0.0
Configure los registros de contenedor para deshabilitar la autenticación de token de audiencia de ARM. Deshabilite los tokens de audiencia de ARM de Azure Active Directory para la autenticación en el registro. Solo se usarán tokens de audiencia de Azure Container Registry (ACR) para la autenticación. Esto garantizará que solo se puedan usar tokens destinados al uso en el registro para la autenticación. Deshabilitar los tokens de audiencia de ARM no afecta a la autenticación de los tokens de acceso de usuario administrador o de ámbito. Más información en: https://aka.ms/acr/authentication. Modificar, Deshabilitado 1.0.0
Configure los registros de contenedor para deshabilitar la cuenta de administrador local. Deshabilite la cuenta de administración de su registro para que el administrador local no pueda acceder a ella. Al deshabilitar los métodos de autenticación local, como el usuario administrador, los tokens de acceso de ámbito de repositorio y la extracción anónima, se mejora la seguridad al garantizar que los registros de contenedor requieren exclusivamente las identidades de Azure Active Directory para la autenticación. Más información en: https://aka.ms/acr/authentication. Modificar, Deshabilitado 1.0.1
Configurar las instancias de Container Registry para deshabilitar el acceso a la red pública Deshabilite el acceso a la red pública para el recurso de Container Registry de modo que no sea accesible a través de la red pública de Internet. Esto puede reducir los riesgos de pérdida de datos. Más información en https://aka.ms/acr/portal/public-network y https://aka.ms/acr/private-link. Modificar, Deshabilitado 1.0.0
Configure los registros de contenedor para deshabilitar el token de acceso de ámbito de repositorio. Deshabilite los tokens de acceso de ámbito de repositorio para el registro para que los tokens no puedan acceder a los repositorios. Al deshabilitar los métodos de autenticación local, como el usuario administrador, los tokens de acceso de ámbito de repositorio y la extracción anónima, se mejora la seguridad al garantizar que los registros de contenedor requieren exclusivamente identidades de Azure Active Directory para la autenticación. Más información en: https://aka.ms/acr/authentication. Modificar, Deshabilitado 1.0.0
Configuración de las instancias de Container Registry para usar zonas DNS privadas Use zonas DNS privadas para invalidar la resolución DNS de un punto de conexión privado. Una zona DNS privada se vincula a la red virtual para resolverse en la instancia de Container Registry. Más información en https://aka.ms/privatednszone y https://aka.ms/acr/private-link. DeployIfNotExists, Disabled 1.0.1
Configurar las instancias de Container Registry con puntos de conexión privados Los puntos de conexión privados conectan la red virtual a los servicios de Azure sin una dirección IP pública en el origen o el destino. Al asignar puntos de conexión privados a los recursos del registro de contenedor prémium, puede reducir los riesgos de pérdida de datos. Más información en https://aka.ms/privateendpoints y https://aka.ms/acr/private-link. DeployIfNotExists, Disabled 1.0.0
Los registros de contenedor deben cifrarse con una clave administrada por el cliente Use claves administradas por el cliente para administrar el cifrado en reposo del contenido de los registros. De manera predeterminada, los datos se cifran en reposo con claves administradas por el servicio, pero las claves administradas por el cliente suelen ser necesarias para cumplir estándares de cumplimiento normativo. Las claves administradas por el cliente permiten cifrar los datos con una clave de Azure Key Vault creada por el usuario y propiedad de este. Tiene control y responsabilidad totales del ciclo de vida de la clave, incluidos la rotación y administración. Obtenga más información en https://aka.ms/acr/CMK. Audit, Deny, Disabled 1.1.2
Los registros de contenedor deben tener deshabilitada la autenticación anónima. Deshabilite la extracción anónima del registro para que los usuarios no autenticados no puedan acceder a los datos. Al deshabilitar los métodos de autenticación local, como el usuario administrador, los tokens de acceso de ámbito de repositorio y la extracción anónima, se mejora la seguridad al garantizar que los registros de contenedor requieren exclusivamente identidades de Azure Active Directory para la autenticación. Más información en: https://aka.ms/acr/authentication. Audit, Deny, Disabled 1.0.0
Los registros de contenedor deberían tener deshabilitada la autenticación de token de audiencia de ARM. Deshabilite los tokens de audiencia de ARM de Azure Active Directory para la autenticación en el registro. Solo se usarán tokens de audiencia de Azure Container Registry (ACR) para la autenticación. Esto garantizará que solo se puedan usar tokens destinados al uso en el registro para la autenticación. Deshabilitar los tokens de audiencia de ARM no afecta a la autenticación de los tokens de acceso de usuario administrador o de ámbito. Más información en: https://aka.ms/acr/authentication. Audit, Deny, Disabled 1.0.0
Los registros de contenedor deben tener las exportaciones deshabilitadas Deshabilitar las exportaciones mejora la seguridad al garantizar que se accede a los datos de un registro únicamente a través del plano de datos ("docker pull"). Los datos no se pueden mover fuera del registro a través de "acr import" o a través de "acr transfer". Para deshabilitar las exportaciones, se debe deshabilitar el acceso a la red pública. Más información en: https://aka.ms/acr/export-policy. Audit, Deny, Disabled 1.0.0
Los registros de contenedor deben tener deshabilitada la cuenta de administrador local. Deshabilite la cuenta de administración de su registro para que el administrador local no pueda acceder a ella. Al deshabilitar los métodos de autenticación local, como el usuario administrador, los tokens de acceso de ámbito de repositorio y la extracción anónima, se mejora la seguridad al garantizar que los registros de contenedor requieren exclusivamente las identidades de Azure Active Directory para la autenticación. Más información en: https://aka.ms/acr/authentication. Audit, Deny, Disabled 1.0.1
Los registros de contenedor deben tener deshabilitado el token de acceso de ámbito de repositorio. Deshabilite los tokens de acceso de ámbito de repositorio para el registro para que los tokens no puedan acceder a los repositorios. Al deshabilitar los métodos de autenticación local, como el usuario administrador, los tokens de acceso de ámbito de repositorio y la extracción anónima, se mejora la seguridad al garantizar que los registros de contenedor requieren exclusivamente identidades de Azure Active Directory para la autenticación. Más información en: https://aka.ms/acr/authentication. Audit, Deny, Disabled 1.0.0
Las instancias de Container Registry deben tener SKU que admitan vínculos privados Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados a los registros de contenedor en lugar de a todo el servicio, se reducen los riesgos de pérdida de datos. Más información en: https://aka.ms/acr/private-link. Audit, Deny, Disabled 1.0.0
Las instancias de Container Registry no deben permitir el acceso de red sin restricciones De manera predeterminada, las instancias de Azure Container Registry aceptan conexiones a través de Internet de hosts de cualquier red. Para proteger sus registros de posibles amenazas, permita el acceso solo desde determinados puntos de conexión privados, direcciones IP públicas o intervalos de direcciones. Si su registro no tiene reglas de red configuradas, aparecerá en los recursos no incorrectos. Obtenga más información sobre las reglas de red de Container Registry aquí: https://aka.ms/acr/privatelink,https://aka.ms/acr/portal/public-network y https://aka.ms/acr/vnet. Audit, Deny, Disabled 2.0.0
Los registros de contenedor deben impedir la creación de reglas de caché Deshabilitar la creación de reglas de caché para Azure Container Registry para evitar que se extraiga a través de las extracciones de caché. Más información en: https://aka.ms/acr/cache. Audit, Deny, Disabled 1.0.0
Las instancias de Container Registry deben usar Private Link Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link controla la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Al asignar puntos de conexión privados a las instancias de Container Registry en lugar de a todo el servicio, además se protege frente a riesgos de pérdida de datos. Más información en: https://aka.ms/acr/private-link. Audit, Disabled 1.0.1
El acceso a la red pública debe estar deshabilitado en las instancias de Container Registry Al deshabilitar el acceso a la red pública, se mejora la seguridad, ya que los registros de contenedor no se exponen en la red pública de Internet. La creación de puntos de conexión privados puede limitar la exposición de los recursos del registro de contenedor. Más información en https://aka.ms/acr/portal/public-network y https://aka.ms/acr/private-link. Audit, Deny, Disabled 1.0.0

Cosmos DB

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Las cuentas de Azure Cosmos DB deben tener reglas de firewall. Se deben definir reglas de firewall en las cuentas de Azure Cosmos DB para evitar el tráfico desde orígenes no autorizados. Las cuentas que tienen al menos una regla de IP definida con el filtro de red virtual habilitado se consideran compatibles. Las cuentas que deshabilitan el acceso público también se consideran compatibles. Audit, Deny, Disabled 2.0.0
Las cuentas de Azure Cosmos DB no deben superar el número máximo de días permitido desde la última regeneración de la clave de cuenta. Vuelva a generar las claves en el tiempo especificado para mantener los datos más protegidos. Audit, Disabled 1.0.0
Las cuentas de Azure Cosmos DB deben usar claves administradas por el cliente para cifrar los datos en reposo Use claves administradas por el cliente para administrar el cifrado en reposo de la instancia de Azure Cosmos DB. De manera predeterminada, los datos se cifran en reposo con claves administradas por el servicio, pero las claves administradas por el cliente suelen ser necesarias para cumplir estándares de cumplimiento normativo. Las claves administradas por el cliente permiten cifrar los datos con una clave de Azure Key Vault creada por el usuario y propiedad de este. Tiene control y responsabilidad totales del ciclo de vida de la clave, incluidos la rotación y administración. Obtenga más información en https://aka.ms/cosmosdb-cmk. audit, Audit, deny, Deny, disabled, Disabled 1.1.0
Ubicaciones permitidas de Azure Cosmos DB Esta directiva permite restringir las ubicaciones que la organización puede especificar al implementar recursos de Azure Cosmos DB. Úsela para aplicar los requisitos de cumplimiento de replicación geográfica. [parameters('policyEffect')] 1.1.0
Se debe deshabilitar el acceso de escritura de metadatos basado en la clave de Azure Cosmos DB Esta directiva permite asegurarse de que se deshabilita el acceso de escritura de metadatos basado en la clave en todas las cuentas de Azure Cosmos DB. append 1.0.0
Azure Cosmos DB debe deshabilitar el acceso a la red pública Al deshabilitar el acceso a la red pública, se mejora la seguridad, ya que la cuenta de CosmosDB no se expone en la red pública de Internet. La creación de puntos de conexión privados puede limitar la exposición de la cuenta de CosmosDB. Más información en: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints#blocking-public-network-access-during-account-creation. Audit, Deny, Disabled 1.0.0
El rendimiento de Azure Cosmos DB debe ser limitado Esta directiva le permite restringir el rendimiento máximo que puede especificar la organización al crear contenedores y bases de datos de Azure Cosmos DB mediante el proveedor de recursos. Bloquea la creación de recursos de escalabilidad automática. auditoría, Auditoría, denegar, Denegar, deshabilitado, Deshabilitado 1.1.0
Configuración de cuentas de base de datos Cosmos DB para deshabilitar la autenticación local Deshabilite los métodos de autenticación local para que las cuentas de base de datos de Cosmos DB exijan exclusivamente identidades de Azure Active Directory para la autenticación. Más información en: https://docs.microsoft.com/azure/cosmos-db/how-to-setup-rbac#disable-local-auth. Modificar, Deshabilitado 1.1.0
Configurar las cuentas de CosmosDB para deshabilitar el acceso a la red pública Deshabilite el acceso a la red pública para el recurso de CosmosDB de modo que no sea accesible a través de la red pública de Internet. Esto puede reducir los riesgos de pérdida de datos. Más información en: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints#blocking-public-network-access-during-account-creation. Modificar, Deshabilitado 1.0.1
Configurar las cuentas de CosmosDB para usar zonas DNS privadas Use zonas DNS privadas para invalidar la resolución DNS de un punto de conexión privado. Una zona DNS privada vincula a la red virtual para resolver la cuenta de CosmosDB. Más información en: https://aka.ms/privatednszone. DeployIfNotExists, Disabled 2.0.0
Configurar las cuentas de CosmosDB con puntos de conexión privados Los puntos de conexión privados conectan la red virtual a los servicios de Azure sin una dirección IP pública en el origen o el destino. Al asignar puntos de conexión privados a su cuenta de CosmosDB, se puede reducir el riesgo de pérdida de datos. Más información sobre los vínculos privados en https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. DeployIfNotExists, Disabled 1.0.0
Las cuentas de la base de datos Cosmos DB deben tener deshabilitados los métodos de autenticación local La deshabilitación de los métodos de autenticación local mejora la seguridad, ya que garantiza que las cuentas de base de datos de Cosmos DB exijan exclusivamente identidades de Azure Active Directory para la autenticación. Más información en: https://docs.microsoft.com/azure/cosmos-db/how-to-setup-rbac#disable-local-auth. Audit, Deny, Disabled 1.1.0
Las cuentas de CosmosDB deben usar Private Link Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Al asignar puntos de conexión privados a su cuenta de CosmosDB, se reduce el riesgo de pérdida de datos. Más información sobre los vínculos privados en https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. Audit, Disabled 1.0.0
Implementar Advanced Threat Protection para cuentas de Cosmos DB Esta directiva habilita Advanced Threat Protection en las cuentas de Cosmos DB. DeployIfNotExists, Disabled 1.0.0

Proveedor personalizado

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Implementación de asociaciones para proveedores personalizados Implementa un recurso de asociación que asocia los tipos de recursos seleccionados con el proveedor personalizado especificado. Esta implementación de directiva no admite los tipos de recursos anidados. deployIfNotExists 1.0.0

Data Box

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Los trabajos de Azure Data Box deben habilitar el cifrado doble para los datos en reposo en el dispositivo Habilite una segunda capa de cifrado basado en software para los datos en reposo en el dispositivo. El dispositivo ya está protegido mediante el Estándar de cifrado avanzado de 256 bits para datos en reposo. Esta opción agrega una segunda capa de cifrado de datos. Audit, Deny, Disabled 1.0.0
Los trabajos de Azure Data Box deben usar una clave administrada por el cliente para cifrar la contraseña de desbloqueo del dispositivo Use una clave administrada por el cliente para controlar el cifrado de la contraseña de desbloqueo del dispositivo para Azure Data Box. Las claves administradas por el cliente también ayudan a administrar el acceso a la contraseña de desbloqueo del dispositivo por parte del servicio Data Box para preparar el dispositivo y copiar los datos de forma automatizada. Los datos del propio dispositivo ya están cifrados en reposo con el Estándar de cifrado avanzado cifrado de 256 bits y la contraseña de desbloqueo del dispositivo se cifra de forma predeterminada con una clave administrada por Microsoft. Audit, Deny, Disabled 1.0.0

Data Factory

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
[Versión preliminar]: las canalizaciones de Azure Data Factory solo deben comunicarse con dominios permitidos Para evitar la filtración de tokens y datos, establezca los dominios con los que debe permitirse que Azure Data Factory se comunique. Nota: Mientras se encuentre en versión preliminar pública, no se notifica el cumplimiento de esta directiva y, para que la directiva se aplique a Data Factory, habilite la funcionalidad de reglas de salida en ADF Studio. Para más información, visite https://aka.ms/data-exfiltration-policy. Deny, Disabled 1.0.0-preview
Las instancias de Azure Data Factory deben cifrarse con una clave administrada por el cliente. Utilice claves administradas por el cliente (CMK) para administrar el cifrado en reposo de los datos de Azure Data Factory. De manera predeterminada, los datos del cliente se cifran con claves administradas por el servicio, pero las claves administradas por el cliente suelen ser necesarias para cumplir estándares de cumplimiento normativo. Las claves administradas por el cliente permiten cifrar los datos con una clave de Azure Key Vault creada por el usuario y propiedad de este. Tiene control y responsabilidad totales del ciclo de vida de la clave, incluidos la rotación y administración. Obtenga más información en https://aka.ms/adf-cmk. Audit, Deny, Disabled 1.0.1
El entorno de ejecución de integración de Azure Data Factory debe tener un límite según el número de núcleos. Para administrar los recursos y los costos, limite el número de núcleos de un entorno de ejecución de integración. Audit, Deny, Disabled 1.0.0
El tipo de recurso de servicio vinculado de Azure Data Factory debe estar en la lista de permitidos. Defina la lista de permitidos de los tipos de servicios vinculados de Azure Data Factory. Restringir los tipos de recursos permitidos permite controlar el límite del movimiento de datos. Por ejemplo, restrinja un ámbito para que solo permita el almacenamiento de blobs con Data Lake Storage Gen1 y Gen2 análisis o un ámbito para permitir solo el acceso de SQL y Kusto para las consultas en tiempo real. Audit, Deny, Disabled 1.1.0
Los servicios vinculados de Azure Data Factory deben usar Key Vault para almacenar secretos. Para asegurarse de que los secretos (como las cadenas de conexión) se administran de forma segura, pida a los usuarios que proporcionen los secretos con una instancia de Azure Key Vault en lugar de especificarlos en los servicios vinculados. Audit, Deny, Disabled 1.0.0
Los servicios vinculados de Azure Data Factory deben usar la autenticación de identidad administrada asignada por el sistema cuando se admita. El uso de la identidad administrada asignada por el sistema al comunicarse con almacenes de datos mediante los servicios vinculados evita el uso de credenciales menos seguras, como contraseñas o cadenas de conexión. Audit, Deny, Disabled 2.1.0
Azure Data Factory debe usar un repositorio de Git para el control de código fuente. Configure solo la factoría de datos de desarrollo con la integración de Git. Los cambios en la prueba y producción deben implementarse a través de CI/CD y NO deben tener la integración de Git. NO aplique esta directiva en las factorías de datos de QA/prueba/producción. Audit, Deny, Disabled 1.0.1
Azure Data Factory debe usar Private Link Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados a Azure Data Factory, se reducen los riesgos de pérdida de datos. Más información sobre los vínculos privados en https://docs.microsoft.com/azure/data-factory/data-factory-private-link. AuditIfNotExists, Disabled 1.0.0
Configurar factorías de datos para deshabilitar el acceso a la red pública Deshabilite el acceso a la red pública para la instancia de Data Factory de modo que no sea accesible desde la red pública de Internet. Esto puede reducir los riesgos de pérdida de datos. Más información en: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. Modificar, Deshabilitado 1.0.0
Configurar las zonas DNS privadas para los puntos de conexión privados que se conectan a Azure Data Factory Los registros de DNS privado permiten conexiones privadas a puntos de conexión privados. Las conexiones de los puntos de conexión privados permiten la comunicación segura al habilitar la conectividad privada con la instancia de Azure Data Factory sin necesidad de direcciones IP públicas en el origen o el destino. Para más información sobre los puntos de conexión privados y las zonas DNS en Azure Data Factory, consulte https://docs.microsoft.com/azure/data-factory/data-factory-private-link. DeployIfNotExists, Disabled 1.0.0
Configurar los puntos de conexión privados para factorías de datos Los puntos de conexión privados conectan la red virtual a los servicios de Azure sin una dirección IP pública en el origen o el destino. Al asignar puntos de conexión privados a la instancia de Azure Data Factory, se reduce el riesgo de pérdida de datos. Más información en: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. DeployIfNotExists, Disabled 1.1.0
Debe deshabilitarse el acceso a redes públicas en Azure Data Factory. Al deshabilitar la propiedad de acceso a la red pública, se mejora la seguridad al garantizar que solo se pueda acceder a la instancia de Azure Data Factory desde un punto de conexión privado. Audit, Deny, Disabled 1.0.0
Los entornos de ejecución de integración de SQL Server Integration Services en Azure Data Factory deben unirse a una red virtual La implementación de Azure Virtual Network proporciona seguridad y aislamiento mejorados para los entornos de ejecución de integración de SQL Server Integration Services en Azure Data Factory, así como subredes, directivas de control de acceso y otras características para restringir aún más el acceso. Audit, Deny, Disabled 2.3.0

Data Lake

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Requerir cifrado en cuentas de Data Lake Store. Esta directiva garantiza que el cifrado está habilitado en todas las cuentas de Data Lake Store. deny 1.0.0
Los registros de recursos de Azure Data Lake Store deben estar habilitados. Habilitación de la auditoría de los registros de recursos. Esto le permite volver a crear seguimientos de actividad con fines de investigación en caso de incidente de seguridad o riesgo para la red. AuditIfNotExists, Disabled 5.0.0
Los registros de recursos de Data Lake Analytics deben estar habilitados Habilitación de la auditoría de los registros de recursos. Esto le permite volver a crear seguimientos de actividad con fines de investigación en caso de incidente de seguridad o riesgo para la red. AuditIfNotExists, Disabled 5.0.0

Virtualización de escritorios

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Los grupos de hosts de Azure Virtual Desktop deben deshabilitar el acceso a la red pública Deshabilitar el acceso a la red pública mejora la seguridad y mantiene los datos seguros al garantizar que el acceso al servicio Azure Virtual Desktop no esté expuesto a la red pública de Internet. Más información en: https://aka.ms/avdprivatelink. Audit, Deny, Disabled 1.0.0
Los grupos de hosts de Azure Virtual Desktop deben deshabilitar el acceso a la red pública solo en los host de sesión Deshabilitar el acceso a la red pública para los hosts de sesión del grupo de hosts de Azure Virtual Desktop, pero permitir el acceso público a los usuarios finales mejora la seguridad limitando la exposición a la red pública de Internet. Más información en: https://aka.ms/avdprivatelink. Audit, Deny, Disabled 1.0.0
El servicio Azure Virtual Desktop debe usar vínculo privado El uso de Azure Private Link con los recursos de Azure Virtual Desktop puede mejorar la seguridad y mantener los datos seguros. Más información sobre los vínculos privados en https://aka.ms/avdprivatelink. Audit, Disabled 1.0.0
Las áreas de trabajo de Azure Virtual Desktop deben deshabilitar el acceso a la red pública Deshabilitar el acceso a la red pública para el recurso del área de trabajo de Azure Virtual Desktop impide que la fuente sea accesible a través de la red pública de Internet. Permitir solo el acceso a la red privada mejora la seguridad y mantiene los datos seguros. Más información en: https://aka.ms/avdprivatelink. Audit, Deny, Disabled 1.0.0
Configurar los recursos del grupo de hosts de Azure Virtual Desktop para usar zonas DNS privadas Use zonas DNS privadas para invalidar la resolución DNS de un punto de conexión privado. Una zona DNS privada se vincula a la red virtual para resolver los recursos de Azure Virtual Desktop. Más información en: https://aka.ms/privatednszone. DeployIfNotExists, Disabled 1.0.0
Configurar los grupos de hosts de Azure Virtual Desktop para deshabilitar el acceso a la red pública Deshabilitar el acceso de red pública para los hosts de sesión y los usuarios finales en el recurso de grupo de hosts de Azure Virtual Desktop para que no sea accesible a través de la red pública de Internet. Esto mejora la seguridad y mantiene tus datos a salvo. Más información en: https://aka.ms/avdprivatelink. Modificar, Deshabilitado 1.0.0
Configurar los grupos de hosts de Azure Virtual Desktop para deshabilitar el acceso a la red pública solo para los host de sesión Deshabilitar el acceso a la red pública para los hosts de sesión del grupo de hosts de Azure Virtual Desktop, pero permita el acceso público a los usuarios finales. Esto permite a los usuarios seguir accediendo al servicio AVD, a la vez que se garantiza que el host de sesión solo sea accesible a través de rutas privadas. Más información en: https://aka.ms/avdprivatelink. Modificar, Deshabilitado 1.0.0
Configurar grupos de hosts de Azure Virtual Desktop con puntos de conexión privados Los puntos de conexión privados conectan la red virtual a los servicios de Azure sin una dirección IP pública en el origen o el destino. Mediante la asignación de puntos de conexión privados a los recursos de Azure Virtual Desktop, puede mejorar la seguridad y mantener los datos seguros. Más información en: https://aka.ms/avdprivatelink. DeployIfNotExists, Disabled 1.0.0
Configurar los recursos del área de trabajo de Azure Virtual Desktop para usar zonas DNS privadas Use zonas DNS privadas para invalidar la resolución DNS de un punto de conexión privado. Una zona DNS privada se vincula a la red virtual para resolver los recursos de Azure Virtual Desktop. Más información en: https://aka.ms/privatednszone. DeployIfNotExists, Disabled 1.0.0
Configurar las áreas de trabajo de Azure Virtual Desktop para deshabilitar el acceso a la red pública Deshabilitar el acceso a la red pública para el recurso del área de trabajo de Azure Virtual Desktop para que la fuente no sea accesible a través de la red pública de Internet. Esto mejora la seguridad y mantiene tus datos a salvo. Más información en: https://aka.ms/avdprivatelink. Modificar, Deshabilitado 1.0.0
Configurar las áreas de trabajo de Azure Virtual Desktop con puntos de conexión privados Los puntos de conexión privados conectan la red virtual a los servicios de Azure sin una dirección IP pública en el origen o el destino. Mediante la asignación de puntos de conexión privados a los recursos de Azure Virtual Desktop, puede mejorar la seguridad y mantener los datos seguros. Más información en: https://aka.ms/avdprivatelink. DeployIfNotExists, Disabled 1.0.0

DevCenter

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
[Versión preliminar]: Los grupos de Microsoft Dev Box no deben usar redes hospedadas de Microsoft. No permite el uso de redes hospedadas de Microsoft al crear recursos de grupo. Audit, Deny, Disabled 1.0.0-preview

ElasticSan

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
ElasticSan debe deshabilitar el acceso a la red pública Deshabilite el acceso a la red pública de ElasticSan para que no sea accesible a través de la red pública de Internet. Esto puede reducir los riesgos de pérdida de datos. Audit, Deny, Disabled 1.0.0
El grupo de volúmenes de ElasticSan debe usar claves administradas por el cliente para cifrar los datos en reposo Use claves administradas por el cliente para administrar el cifrado en reposo de VolumeGroup. De manera predeterminada, los datos del cliente se cifran con claves administradas por la plataforma, pero las CMK suelen ser necesarias para cumplir estándares de cumplimiento normativo. Las claves administradas por el cliente permiten cifrar los datos con una clave de Azure Key Vault que haya creado y sea de su propiedad, con control total y responsabilidad, incluida la rotación y la administración. Audit, Disabled 1.0.0
El grupo de volúmenes de ElasticSan debe usar puntos de conexión privados Los puntos de conexión privados permiten al administrador conectar redes virtuales a servicios de Azure sin una dirección IP pública en el origen o destino. Mediante la asignación de puntos de conexión privados al grupo de volúmenes, el administrador puede reducir los riesgos de pérdida de dato. Audit, Disabled 1.0.0

Event Grid

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Los dominios de Azure Event Grid deben deshabilitar el acceso a la red pública Al deshabilitar el acceso a la red pública, se mejora la seguridad ya que el recurso no se expone en la red pública de Internet. En su lugar, puede limitar la exposición de los recursos mediante la creación de puntos de conexión privados. Más información en: https://aka.ms/privateendpoints. Audit, Deny, Disabled 1.0.0
Los dominios de Azure Event Grid deben tener deshabilitados los métodos de autenticación local La deshabilitación de los métodos de autenticación local mejora la seguridad, ya que garantiza que los dominios de Azure Event Grid requieran exclusivamente identidades de Azure Active Directory para la autenticación. Más información en: https://aka.ms/aeg-disablelocalauth. Audit, Deny, Disabled 1.0.0
Los dominios de Azure Event Grid deben usar Private Link Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados al dominio de Event Grid en lugar de a todo el servicio, también estará protegido frente a riesgos de pérdida de datos. Más información en: https://aka.ms/privateendpoints. Audit, Disabled 1.0.2
El agente MQTT del espacio de nombres de Azure Event Grid debe usar el vínculo privado Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados al espacio de nombres de Event Grid en lugar de a todo el servicio, también estará protegido frente a riesgos de pérdida de datos. Más información en: https://aka.ms/aeg-ns-privateendpoints. Audit, Disabled 1.0.0
El agente de temas del espacio de nombres de Azure Event Grid debe usar el vínculo privado Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados al espacio de nombres de Event Grid en lugar de a todo el servicio, también estará protegido frente a riesgos de pérdida de datos. Más información en: https://aka.ms/aeg-ns-privateendpoints. Audit, Disabled 1.0.0
Los espacios de nombres de Azure Event Grid deben deshabilitar el acceso a la red pública Al deshabilitar el acceso a la red pública, se mejora la seguridad ya que el recurso no se expone en la red pública de Internet. En su lugar, puede limitar la exposición de los recursos mediante la creación de puntos de conexión privados. Más información en: https://aka.ms/aeg-ns-privateendpoints. Audit, Deny, Disabled 1.0.0
Los espacios de nombres de partner de Azure Event Grid deben tener deshabilitados los métodos de autenticación local La deshabilitación de los métodos de autenticación local mejora la seguridad, ya que garantiza que los espacios de nombres de partner de Azure Event Grid requieran exclusivamente identidades de Azure Active Directory para la autenticación. Más información en: https://aka.ms/aeg-disablelocalauth. Audit, Deny, Disabled 1.0.0
Los temas de Azure Event Grid deben deshabilitar el acceso a la red pública Al deshabilitar el acceso a la red pública, se mejora la seguridad ya que el recurso no se expone en la red pública de Internet. En su lugar, puede limitar la exposición de los recursos mediante la creación de puntos de conexión privados. Más información en: https://aka.ms/privateendpoints. Audit, Deny, Disabled 1.0.0
Los temas de Azure Event Grid deben tener deshabilitados los métodos de autenticación local La deshabilitación de los métodos de autenticación local mejora la seguridad, ya que garantiza que los temas de Azure Event Grid requieran exclusivamente identidades de Azure Active Directory para la autenticación. Más información en: https://aka.ms/aeg-disablelocalauth. Audit, Deny, Disabled 1.0.0
Los temas de Azure Event Grid deben usar Private Link Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados al tema de Event Grid en lugar de a todo el servicio, estará además protegido frente a riesgos de pérdida de datos. Más información en: https://aka.ms/privateendpoints. Audit, Disabled 1.0.2
Configurar dominios de Azure Event Grid para deshabilitar la autenticación local Deshabilite los métodos de autenticación local para que los dominios de Azure Event Grid requieran exclusivamente identidades de Azure Active Directory para la autenticación. Más información en: https://aka.ms/aeg-disablelocalauth. Modificar, Deshabilitado 1.0.0
Configuración del agente MQTT del espacio de nombres de Azure Event Grid con puntos de conexión privados Los puntos de conexión privados le permiten conectar la red virtual a los servicios de Azure sin una dirección IP pública en el origen o el destino. Mediante la asignación de puntos de conexión privados a los recursos, estarán protegidos frente a los riesgos de pérdida de datos. Más información en: https://aka.ms/aeg-ns-privateendpoints. DeployIfNotExists, Disabled 1.0.0
Configuración de espacios de nombres de Azure Event Grid con puntos de conexión privados Los puntos de conexión privados le permiten conectar la red virtual a los servicios de Azure sin una dirección IP pública en el origen o el destino. Mediante la asignación de puntos de conexión privados a los recursos, estarán protegidos frente a los riesgos de pérdida de datos. Más información en: https://aka.ms/aeg-ns-privateendpoints. DeployIfNotExists, Disabled 1.0.0
Configurar espacios de nombres de partner de Azure Event Grid para deshabilitar la autenticación local Deshabilite los métodos de autenticación local para que los espacios de nombres de partner de Azure Event Grid requieran exclusivamente identidades de Azure Active Directory para la autenticación. Más información en: https://aka.ms/aeg-disablelocalauth. Modificar, Deshabilitado 1.0.0
Configurar temas de Azure Event Grid para deshabilitar la autenticación local Deshabilite los métodos de autenticación local para que los temas de Azure Event Grid requieran exclusivamente identidades de Azure Active Directory para la autenticación. Más información en: https://aka.ms/aeg-disablelocalauth. Modificar, Deshabilitado 1.0.0
Implementación: configurar los dominios de Azure Event Grid para usar zonas DNS privadas Use zonas DNS privadas para invalidar la resolución DNS de un punto de conexión privado. Más información en: https://aka.ms/privatednszone. deployIfNotExists, DeployIfNotExists, Disabled 1.1.0
Implementación: configurar los dominios de Azure Event Grid con puntos de conexión privados Los puntos de conexión privados le permiten conectar la red virtual a los servicios de Azure sin una dirección IP pública en el origen o el destino. Mediante la asignación de puntos de conexión privados a los recursos, estarán protegidos frente a los riesgos de pérdida de datos. Más información en: https://aka.ms/privateendpoints. DeployIfNotExists, Disabled 1.0.0
Implementación: configurar los temas de Azure Event Grid para usar zonas DNS privadas Use zonas DNS privadas para invalidar la resolución DNS de un punto de conexión privado. Más información en: https://aka.ms/privatednszone. deployIfNotExists, DeployIfNotExists, Disabled 1.1.0
Implementación: configurar los temas de Azure Event Grid con puntos de conexión privados Los puntos de conexión privados le permiten conectar la red virtual a los servicios de Azure sin una dirección IP pública en el origen o el destino. Mediante la asignación de puntos de conexión privados a los recursos, estarán protegidos frente a los riesgos de pérdida de datos. Más información en: https://aka.ms/privateendpoints. DeployIfNotExists, Disabled 1.0.0
Modificación: configurar los dominios de Azure Event Grid para deshabilitar el acceso a la red pública Deshabilite el acceso a la red pública en el recurso de Azure Event Grid de modo que no sea accesible a través de la red pública de Internet. Esto le ayudará a protegerlo contra los riesgos de pérdida de datos. En su lugar, puede limitar la exposición de los recursos mediante la creación de puntos de conexión privados. Más información en: https://aka.ms/privateendpoints. Modificar, Deshabilitado 1.0.0
Modificación: configurar los temas de Azure Event Grid para deshabilitar el acceso a la red pública Deshabilite el acceso a la red pública en el recurso de Azure Event Grid de modo que no sea accesible a través de la red pública de Internet. Esto le ayudará a protegerlo contra los riesgos de pérdida de datos. En su lugar, puede limitar la exposición de los recursos mediante la creación de puntos de conexión privados. Más información en: https://aka.ms/privateendpoints. Modificar, Deshabilitado 1.0.0

Centro de eventos

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Todas las reglas de autorización, excepto RootManageSharedAccessKey, se deben eliminar del espacio de nombres del centro de eventos Los clientes del Centro de eventos no deben usar una directiva de acceso de nivel de espacio de nombres que proporciona acceso a todas las colas y temas de un espacio de nombres. Para alinearse con el modelo de seguridad con privilegios mínimos, debe crear directivas de acceso en las entidades para que las colas y los temas proporcionen acceso solo a la entidad específica. Audit, Deny, Disabled 1.0.1
Las reglas de autorización de la instancia del centro de eventos deben definirse. Permite auditar la existencia de reglas de autorización en entidades de Event Hub para conceder acceso con privilegios mínimos. AuditIfNotExists, Disabled 1.0.0
Los espacios de nombres de Azure Event Hub deben tener los métodos de autenticación local deshabilitados La deshabilitación de los métodos de autenticación local mejora la seguridad, ya que garantiza que los espacios de nombres de Azure Event Hub requieran exclusivamente identidades de Microsoft Entra ID para la autenticación. Más información en: https://aka.ms/disablelocalauth-eh. Audit, Deny, Disabled 1.0.1
Configuración de los espacios de nombres de Azure Event Hub para deshabilitar la autenticación local Deshabilite los métodos de autenticación local para que los espacios de nombres de Azure Event Hub requieran exclusivamente identidades de Microsoft Entra ID para la autenticación. Más información en: https://aka.ms/disablelocalauth-eh. Modificar, Deshabilitado 1.0.1
Configurar los espacios de nombres del centro de eventos para usar zonas DNS privadas Use zonas DNS privadas para invalidar la resolución DNS de un punto de conexión privado. Una zona DNS privada vincula a la red virtual para resolver los espacios de nombres del centro de eventos. Más información en: https://docs.microsoft.com/azure/event-hubs/private-link-service. DeployIfNotExists, Disabled 1.0.0
Configurar los espacios de nombres del centro de eventos con puntos de conexión privados Los puntos de conexión privados conectan la red virtual a los servicios de Azure sin una dirección IP pública en el origen o el destino. Mediante la asignación de puntos de conexión privados a los espacios de nombres del centro de eventos, puede reducir los riesgos de pérdida de datos. Más información en: https://docs.microsoft.com/azure/event-hubs/private-link-service. DeployIfNotExists, Disabled 1.0.0
Los espacios de nombres del Centro de eventos deberían deshabilitar el acceso a la red pública El Centro de eventos de Azure debe tener deshabilitado el acceso a la red pública. Al deshabilitar el acceso a la red pública, se mejora la seguridad ya que el recurso no se expone en la red pública de Internet. En su lugar, puede limitar la exposición de los recursos mediante la creación de puntos de conexión privados. Más información en: https://docs.microsoft.com/azure/event-hubs/private-link-service Audit, Deny, Disabled 1.0.0
Los espacios de nombres del centro de eventos deben tener habilitado el cifrado doble La habilitación del cifrado doble ayuda a custodiar y proteger sus datos con el fin de satisfacer los compromisos de cumplimiento y seguridad de la organización. Cuando está habilitado el cifrado doble, los datos de las cuentas de almacenamiento se cifran dos veces, una vez en el nivel de servicio y otra en el nivel de infraestructura, con dos algoritmos de cifrado y dos claves diferentes. Audit, Deny, Disabled 1.0.0
Los espacios de nombres deben usar una clave administrada por el cliente para el cifrado Azure Event Hubs admite la opción de cifrado de datos en reposo con claves administradas por Microsoft (predeterminada) o claves administradas por el cliente. La selección del cifrado de datos mediante claves administradas por el cliente le permite asignar, rotar, deshabilitar y revocar el acceso a las claves que el centro de eventos usará para cifrar los datos en el espacio de nombres. Tenga en cuenta que el centro de eventos solo admite el cifrado con claves administradas por el cliente para los espacios de nombres en clústeres dedicados. Audit, Disabled 1.0.0
Los espacios de nombres del centro de eventos deben usar Private Link Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados a los espacios de nombres del centro de eventos, se reducen los riesgos de pérdida de datos. Más información en: https://docs.microsoft.com/azure/event-hubs/private-link-service. AuditIfNotExists, Disabled 1.0.0
Los registros de recursos de la instancia de Event Hubs deben estar habilitados. Habilitación de la auditoría de los registros de recursos. Esto le permite volver a crear seguimientos de actividad con fines de investigación en caso de incidente de seguridad o riesgo para la red. AuditIfNotExists, Disabled 5.0.0

Fluid Relay

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Fluid Relay debe usar claves administradas por el cliente para cifrar los datos en reposo Use claves administradas por el cliente para administrar el cifrado en reposo del servidor Fluid Relay. De manera predeterminada, los datos del cliente se cifran con claves administradas por el servicio, pero las CMK suelen ser necesarias para cumplir estándares de cumplimiento normativo. Las claves administradas por el cliente permiten cifrar los datos con una clave de Azure Key Vault que haya creado y sea de su propiedad, con control total y responsabilidad, incluida la rotación y la administración. Obtenga más información en https://docs.microsoft.com/azure/azure-fluid-relay/concepts/customer-managed-keys. Audit, Disabled 1.0.0

General

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Ubicaciones permitidas Esta directiva permite restringir las ubicaciones que la organización puede especificar al implementar los recursos. Úsela para aplicar los requisitos de cumplimiento de replicación geográfica. Excluye los grupos de recursos, Microsoft.AzureActiveDirectory/b2cDirectories, y recursos que usan la región "global". deny 1.0.0
Ubicaciones permitidas para grupos de recursos Esta directiva permite restringir las ubicaciones en las que la organización puede crear grupos de recursos. Úsela para aplicar los requisitos de cumplimiento de replicación geográfica. deny 1.0.0
Tipos de recursos permitidos Esta directiva le permite especificar los tipos de recursos que puede implementar su organización. La directiva solo se aplicará a los tipos de recursos que admitan los valores "tags" y "location". Para restringir todos los recursos, duplique esta directiva y cambie el valor de "mode" a "All". deny 1.0.0
La ubicación del recurso de auditoría coincide con la del grupo de recursos Auditoría cuya ubicación de recursos coincide con la ubicación de su grupo de recursos. auditoría 2.0.0
Auditar el uso de roles RBAC personalizados Permite auditar roles integrados, como "propietario, colaborador, lector" en lugar de roles RBAC personalizados, que son propensos a errores de auditoría. El uso de roles personalizados se trata como una excepción y requiere una revisión rigurosa y el modelado de amenazas. Audit, Disabled 1.0.1
Configuración de suscripciones para configurar características en versión preliminar Esta directiva evalúa las características en versión preliminar de la suscripción existente. Las suscripciones se pueden corregir para registrarse en una nueva característica en versión preliminar. Las nuevas suscripciones no se registrarán automáticamente. AuditIfNotExists, DeployIfNotExists, Disabled 1.0.1
No permitir la eliminación de tipos de recursos Esta directiva permite especificar los tipos de recursos que la organización puede proteger frente a la eliminación accidental con el bloqueo de las llamadas de eliminación mediante el efecto de acción de denegación. DenyAction, Disabled 1.0.1
No permitir recursos de M365 Bloquee la creación de recursos de M365. Audit, Deny, Disabled 1.0.0
No permitir recursos de MCPP Bloquee la creación de recursos de MCPP. Audit, Deny, Disabled 1.0.0
Excluir recursos de costos de uso Esta directiva le permite excluir los recursos de costos de uso. Los costos de uso incluyen elementos como el almacenamiento medido y los recursos de Azure que se facturan en función del uso. Audit, Deny, Disabled 1.0.0
Tipos de recursos no permitidos Restrinja qué tipos de recursos se pueden implementar en el entorno. Limitar los tipos de recursos puede reducir la complejidad y la superficie expuesta a ataques de su entorno a la vez que también ayuda a administrar los costos. Los resultados de cumplimiento solo se muestran para los recursos no compatibles. Audit, Deny, Disabled 2.0.0

Configuración de invitado

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
[Versión preliminar]: Agregar una identidad administrada asignada por el usuario para habilitar las asignaciones de configuración de invitado en máquinas virtuales Esta directiva agrega una identidad administrada asignada por el usuario a las máquinas virtuales hospedadas en Azure que son compatibles con la configuración de invitado. Una identidad administrada asignada por el usuario es un requisito previo para todas las asignaciones de configuración de invitado y debe agregarse a los equipos antes de usar las definiciones de directiva de la configuración de invitado. Para más información sobre la configuración de invitado, visite https://aka.ms/gcpol. AuditIfNotExists, DeployIfNotExists, Disabled 2.1.0-preview
[Versión preliminar]: Configuración de Windows Server para deshabilitar los usuarios locales Crea una asignación de configuración de invitado para configurar la deshabilitación de usuarios locales en Windows Server. Esto garantiza que solo la cuenta de AAD (Azure Active Directory) o una lista de usuarios permitidos explícitamente en esta directiva accedan a los servidores de Windows, lo que mejora la posición de seguridad general. DeployIfNotExists, Disabled 1.2.0-preview
[Versión preliminar]: las actualizaciones de seguridad extendidas deben instalarse en las máquinas Windows Server 2012 Arc. Las máquinas de Windows Server 2012 Arc deben haber instalado todas las actualizaciones de seguridad extendidas publicadas por Microsoft. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más información, visite https://aka.ms/gcpol. AuditIfNotExists, Disabled 1.0.0-preview
[Versión preliminar]: las máquinas Linux deben cumplir los requisitos de línea base de seguridad de Azure para hosts de Docker Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. La máquina no está configurada correctamente para una de las recomendaciones de la base de referencia de seguridad de Azure para los hosts de Docker. AuditIfNotExists, Disabled 1.2.0-preview
[Versión preliminar]: Las máquinas Linux deben cumplir los requisitos de cumplimiento de STIG del proceso de Azure Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si no están configuradas correctamente para una de las recomendaciones de los requisitos de cumplimiento de STIG para el proceso de Azure. DISA (Agencia de sistemas de información de defensa) proporciona guías técnicas STIG (Guía de implementación técnica de seguridad) para proteger el sistema operativo de proceso según lo requiera el Departamento de Defensa (DoD). Para más detalles, consulte https://public.cyber.mil/stigs/. AuditIfNotExists, Disabled 1.2.0-preview
[Versión preliminar]: Las máquinas Linux con OMI instalado deben tener la versión 1.6.8-1 o posterior Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Debido a una corrección de seguridad incluida en la versión 1.6.8-1 del paquete de OMI para Linux, todas las máquinas deben actualizarse a la versión más reciente. Para resolver el problema, actualice las aplicaciones o los paquetes que usan OMI. Para obtener más información, vea https://aka.ms/omiguidance. AuditIfNotExists, Disabled 1.2.0-preview
[Versión preliminar]: Nexus Compute Machines debe cumplir la línea base de seguridad Usa el agente de configuración de invitado de Azure Policy para la auditoría. Esta directiva garantiza que las máquinas se adhieren a la línea de base de seguridad de proceso Nexus, que incluye varias recomendaciones diseñadas para fortificar máquinas frente a una serie de vulnerabilidades y configuraciones no seguras (solo Linux). AuditIfNotExists, Disabled 1.1.0-preview
[Versión preliminar]: Las máquinas Windows deben cumplir los requisitos de cumplimiento de STIG para el proceso de Azure Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si no están configuradas correctamente para una de las recomendaciones de los requisitos de cumplimiento de la STIG para el proceso de Azure. DISA (Agencia de sistemas de información de defensa) proporciona guías técnicas STIG (Guía de implementación técnica de seguridad) para proteger el sistema operativo de proceso según lo requiera el Departamento de Defensa (DoD). Para más detalles, consulte https://public.cyber.mil/stigs/. AuditIfNotExists, Disabled 1.0.0-preview
Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales sin identidades Esta directiva agrega una identidad administrada asignada por el sistema a las máquinas virtuales hospedadas en Azure que son compatibles con la configuración de invitado pero no tienen identidades administradas. Una identidad administrada asignada por el sistema es un requisito previo para todas las asignaciones de configuración de invitado y debe agregarse a los equipos antes de usar las definiciones de directiva de la configuración de invitado. Para más información sobre la configuración de invitado, visite https://aka.ms/gcpol. modify 4.1.0
Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales con una identidad asignada por el usuario Esta directiva agrega una identidad administrada asignada por el sistema a las máquinas virtuales hospedadas en Azure que son compatibles con la configuración de invitado y que tienen al menos una identidad asignada por el usuario, pero no tienen ninguna identidad administrada asignada por el sistema. Una identidad administrada asignada por el sistema es un requisito previo para todas las asignaciones de configuración de invitado y debe agregarse a los equipos antes de usar las definiciones de directiva de la configuración de invitado. Para más información sobre la configuración de invitado, visite https://aka.ms/gcpol. modify 4.1.0
Auditar las máquinas Linux que permitan conexiones remotas desde cuentas sin contraseña Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si las máquinas Linux permiten la conexión remota de cuentas sin contraseña. AuditIfNotExists, Disabled 3.1.0
Auditar las máquinas Linux que no tengan los permisos del archivo de contraseñas establecidos en 0644 Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si las máquinas Linux no tienen los permisos del archivo de contraseñas establecidos en 0644. AuditIfNotExists, Disabled 3.1.0
Auditar las máquinas Linux que no tienen instaladas las aplicaciones especificadas Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si el recurso INSPEC de Chef indica que uno o varios de los paquetes proporcionados por el parámetro no están instalados. AuditIfNotExists, Disabled 4.2.0
Auditar las máquinas Linux que tengan cuentas sin contraseña Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si las máquinas Linux tienen cuentas sin contraseña. AuditIfNotExists, Disabled 3.1.0
Auditar las máquinas Linux que tienen instaladas las aplicaciones especificadas Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si el recurso INSPEC de Chef indica que uno o varios de los paquetes proporcionados por el parámetro están instalados. AuditIfNotExists, Disabled 4.2.0
Auditar las máquinas Windows que no tengan ninguno de los miembros especificados en el grupo de administradores Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si el grupo de administradores locales no contiene uno o más miembros de los que se enumeran en el parámetro de la directiva. auditIfNotExists 2.0.0
Auditar la conectividad de red de máquinas Windows Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si el estado de una conexión de red con una IP y un puerto TCP no coincide con el parámetro de la directiva. auditIfNotExists 2.0.0
Auditar las máquinas Windows en las que la configuración de DSC no sea compatible Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si el comando de Windows PowerShell Get-DSCConfigurationStatus devuelve que la configuración de DSC de la máquina no es compatible. auditIfNotExists 3.0.0
Auditar las máquinas Windows en las que el agente de Log Analytics no esté conectado como se esperaba Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si el agente no está instalado o si está instalado, pero el objeto COM AgentConfigManager.MgmtSvcCfg devuelve que está registrado en un área de trabajo distinta del identificador especificado en el parámetro de la directiva. auditIfNotExists 2.0.0
Auditar las máquinas Windows en que los servicios especificados no estén instalados y en ejecución Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si el resultado del comando de Windows PowerShell Get-Service no incluye el nombre del servicio con el estado de coincidencia tal y como se especifica en el parámetro de la directiva. auditIfNotExists 3.0.0
Auditar las máquinas Windows donde no esté habilitado Serial Console de Windows Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si la máquina no tiene instalado el software de la consola serie o si el número de puerto de EMS o la velocidad en baudios no están configurados con los mismos valores que los parámetros de la directiva. auditIfNotExists 3.0.0
Auditar las máquinas de Windows que permiten volver a usar las contraseñas después del número especificado de contraseñas únicas Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son conformes si las máquinas de Windows permiten volver a usar las contraseñas después del número especificado de contraseñas únicas. El valor predeterminado para contraseñas únicas es 24 AuditIfNotExists, Disabled 2.1.0
Auditar las máquinas Windows que no estén unidas al dominio especificado Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si el valor de la propiedad de dominio en la clase WMI win32_computersystem no coincide con el valor del parámetro de directiva. auditIfNotExists 2.0.0
Auditar las máquinas Windows que no estén establecidas en la zona horaria especificada Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si el valor de la propiedad StandardName en la clase WMI Win32_TimeZone no coincide con la zona horaria seleccionada para el parámetro de directiva. auditIfNotExists 3.0.0
Auditar las máquinas Windows que contengan certificados que expirarán en el plazo de días especificado Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si los certificados del almacén especificado tienen una fecha de expiración fuera del intervalo durante el número de días dado como parámetro. La directiva también proporciona la opción de comprobar únicamente los certificados específicos o de excluir determinados certificados y de si se debe informar de los certificados expirados. auditIfNotExists 2.0.0
Auditar las máquinas Windows que no contengan los certificados especificados en la raíz de confianza Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si el almacén de certificados raíz de confianza de la máquina (Cert:\LocalMachine\Root) no contiene uno o varios de los certificados enumerados por el parámetro de directiva. auditIfNotExists 3.0.0
Auditar las máquinas de Windows que no tengan la antigüedad máxima de la contraseña establecida en el número de días especificado Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son conformes si las máquinas de Windows no tienen la antigüedad máxima de contraseña establecida con el número de días especificado. El valor predeterminado para la antigüedad máxima de la contraseña es de 70 días AuditIfNotExists, Disabled 2.1.0
Auditar las máquinas de Windows que no tengan la antigüedad mínima de la contraseña establecida en el número de días especificado Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son conformes si las máquinas de Windows no tienen la antigüedad mínima de contraseña establecida con el número de días especificado. El valor predeterminado para la antigüedad mínima de la contraseña es de 1 día AuditIfNotExists, Disabled 2.1.0
Auditar las máquinas Windows que no tengan habilitada la configuración de complejidad de la contraseña Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si las máquinas Windows no tienen habilitada la configuración de complejidad de la contraseña. AuditIfNotExists, Disabled 2.0.0
Realizar una auditoría de las máquinas Windows que no tengan instalada la directiva de ejecución específica de Windows PowerShell Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si el comando Get-ExecutionPolicy de Windows PowerShell devuelve un valor distinto al seleccionado en el parámetro de directiva. AuditIfNotExists, Disabled 3.0.0
Realizar una auditoría de las máquinas Windows que no tengan instalados los módulos específicos de Windows PowerShell Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son conformes si un módulo no está disponible en la ubicación especificada por la variable de entorno PSModulePath. AuditIfNotExists, Disabled 3.0.0
Auditar las máquinas Windows que no restrinjan la longitud mínima de las contraseñas a un número específico de caracteres Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son conformes si las máquinas de Windows no restringen la longitud mínima de caracteres de la contraseña. El valor predeterminado para la longitud mínima de la contraseña es de 14 caracteres AuditIfNotExists, Disabled 2.1.0
Auditar las máquinas Windows que no almacenen contraseñas mediante cifrado reversible Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si las máquinas Windows no almacenan las contraseñas con cifrado reversible. AuditIfNotExists, Disabled 2.0.0
Auditar las máquinas Windows que no tienen instaladas las aplicaciones especificadas Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si el nombre de la aplicación no se encuentra en ninguna de las siguientes rutas de acceso del registro: HKLM:SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall, HKLM:SOFTWARE\Wow6432node\Microsoft\Windows\CurrentVersion\Uninstall, HKCU:Software\Microsoft\Windows\CurrentVersion\Uninstall. auditIfNotExists 2.0.0
Auditar las máquinas Windows que tengan cuentas adicionales en el grupo de administradores Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si el grupo de administradores locales contiene miembros que no se enumeran en el parámetro de la directiva. auditIfNotExists 2.0.0
Auditar las máquinas Windows que no se reiniciaron en el plazo de días especificado Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si la propiedad de WMI LastBootUpTime en la clase Win32_Operatingsystem está fuera del intervalo de días proporcionado por el parámetro de la directiva. auditIfNotExists 2.0.0
Auditar las máquinas Windows que tienen instaladas las aplicaciones especificadas Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si el nombre de la aplicación se encuentra en cualquiera de las siguientes rutas de acceso del registro: HKLM:SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall, HKLM:SOFTWARE\Wow6432node\Microsoft\Windows\CurrentVersion\Uninstall, HKCU:Software\Microsoft\Windows\CurrentVersion\Uninstall. auditIfNotExists 2.0.0
Auditar las máquinas Windows que tengan los miembros especificados en el grupo de administradores Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si el grupo de administradores locales contiene uno o varios de los miembros enumerados en el parámetro de la directiva. auditIfNotExists 2.0.0
Auditar las VM Windows con un reinicio pendiente Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si la máquina está pendiente de reinicio por alguno de los siguientes motivos: servicio basado en componentes, Windows Update, cambio de nombre de archivo pendiente, cambio de nombre de máquina pendiente o reinicio de Configuration Manager pendiente. Cada detección tiene una ruta de acceso del registro única. auditIfNotExists 2.0.0
La autenticación en máquinas Linux debe requerir claves SSH. Aunque el propio SSH proporciona una conexión cifrada, el uso de contraseñas con SSH deja la máquina virtual vulnerable a ataques por fuerza bruta. La opción más segura para autenticarse en una máquina virtual Linux de Azure mediante SSH es con un par de claves pública y privada, también conocido como claves SSH. Más información: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. AuditIfNotExists, Disabled 3.2.0
Configuración de Linux Server para deshabilitar los usuarios locales. Crea una asignación de configuración de invitado para configurar la deshabilitación de los usuarios locales en un servidor Linux. Esto garantiza que solo la cuenta de AAD (Azure Active Directory) o una lista de usuarios con permiso explícito de esta directiva puedan acceder a los servidores Linux, lo que mejora la posición de seguridad general. DeployIfNotExists, Disabled 1.3.0-preview
Configuración de protocolos de comunicación segura (TLS 1.1 o TLS 1.2) en máquinas Windows Crea una asignación de configuración de invitado para configurar la versión de protocolo seguro especificada (TLS 1.1 o TLS 1.2) en una máquina Windows. DeployIfNotExists, Disabled 1.0.1
Configure la zona horaria en las máquinas de Windows. Esta directiva crea una asignación de configuración de invitado para establecer la zona horaria especificada en Windows Virtual Machines. deployIfNotExists 2.1.0
Implementar la extensión de configuración de invitado de Linux para permitir las asignaciones de configuración de invitado en máquinas virtuales Linux Esta directiva implementa la extensión de configuración de invitado de Linux en las máquinas virtuales Linux hospedadas en Azure que son compatibles con la configuración de invitado. La extensión de configuración de invitado de Linux es un requisito previo para todas las asignaciones de configuración de invitado de Linux y debe implementarse en las máquinas antes de usar cualquier definición de directiva de configuración de invitado de Linux. Para más información sobre la configuración de invitado, visite https://aka.ms/gcpol. deployIfNotExists 3.1.0
Implementar la extensión de configuración de invitado de Windows para permitir las asignaciones de configuración de invitado en máquinas virtuales Windows Esta directiva implementa la extensión de configuración de invitado de Windows en las máquinas virtuales Windows hospedadas en Azure que son compatibles con la configuración de invitado. La extensión de configuración de invitado de Windows es un requisito previo para todas las asignaciones de configuración de invitado de Windows y debe implementarse en las máquinas antes de usar cualquier definición de directiva de configuración de invitado de Windows. Para más información sobre la configuración de invitado, visite https://aka.ms/gcpol. deployIfNotExists 1.2.0
Las máquinas Linux deben tener la extensión de Log Analytics instalada en Azure Arc Las máquinas no son compatibles si la extensión de Log Analytics no está instalada en el servidor Linux habilitado para Azure Arc. AuditIfNotExists, Disabled 1.1.0
Las máquinas Linux deben cumplir los requisitos de la base de referencia de seguridad de procesos de Azure Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si la máquina no está configurada correctamente para una de las recomendaciones de la base de referencia de seguridad de procesos de Azure. AuditIfNotExists, Disabled 2.2.0
Las máquinas Linux solo deben tener cuentas locales permitidas Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Administrar cuentas de usuario mediante Azure Active Directory es un procedimiento recomendado para la administración de identidades. Reducir las cuentas de máquinas locales ayuda a evitar la proliferación de identidades administradas fuera de un sistema central. Las máquinas no son compatibles si existen cuentas de usuario locales que están habilitadas y no aparecen en el parámetro de directiva. AuditIfNotExists, Disabled 2.2.0
Las máquinas virtuales de Linux deben habilitar Azure Disk Encryption o EncryptionAtHost. Aunque el sistema operativo y los discos de datos de una máquina virtual están cifrados en reposo de forma predeterminada mediante claves administradas por la plataforma, los discos de recursos (discos temporales), las memorias caché de datos y los datos que fluyen entre los recursos de proceso y almacenamiento no se cifran. Use Azure Disk Encryption o EncryptionAtHost para ponerle remedio. Visite https://aka.ms/diskencryptioncomparison para comparar las ofertas de cifrado. Esta directiva requiere que se implementen dos requisitos previos en el ámbito de asignación de directiva. Para más detalles, visite https://aka.ms/gcpol. AuditIfNotExists, Disabled 1.2.1
Los métodos de autenticación local deben deshabilitarse en máquinas Linux Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si los servidores Linux no tienen deshabilitados los métodos de autenticación local. Esto es para validar que solo la cuenta de AAD (Azure Active Directory) o una lista de usuarios con permiso explícito de esta directiva puedan acceder a los servidores Linux, lo que mejora la posición de seguridad general. AuditIfNotExists, Disabled 1.2.0-preview
Los métodos de autenticación local deben deshabilitarse en servidores Windows Server Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si los servidores Windows no tienen deshabilitados los métodos de autenticación local. Esto es para validar que solo la cuenta de AAD (Azure Active Directory) o una lista de usuarios con permiso explícito de esta directiva puedan acceder a las instancias de Windows Server, lo que mejora la posición de seguridad general. AuditIfNotExists, Disabled 1.0.0-preview
Los puntos de conexión privados para las asignaciones de configuración de invitado deben habilitarse. Las conexiones de punto de conexión privado aplican una comunicación segura, ya que habilitan la conectividad privada con la configuración de invitado para las máquinas virtuales. Las máquinas virtuales serán no compatibles a menos que tengan la etiqueta "EnablePrivateNetworkGC". Esta etiqueta exige una comunicación segura mediante conectividad privada con la configuración de invitado para Virtual Machines. La conectividad privada limita el acceso al tráfico procedente solo de redes conocidas e impide el acceso del resto de direcciones IP, incluidas las de Azure. Audit, Deny, Disabled 1.1.0
La Protección contra vulnerabilidades de seguridad de Windows Defender debe estar habilitada en las máquinas. La protección contra vulnerabilidades de seguridad de Windows Defender utiliza el agente de configuración de invitado de Azure Policy. La protección contra vulnerabilidades de seguridad tiene cuatro componentes diseñados para bloquear dispositivos en una amplia variedad de vectores de ataque y comportamientos de bloque utilizados habitualmente en ataques de malware, al tiempo que permiten a las empresas equilibrar los requisitos de productividad y riesgo de seguridad (solo Windows). AuditIfNotExists, Disabled 2.0.0
Las máquinas Windows deben configurarse para usar protocolos de comunicación seguros Para proteger la privacidad de la información que se comunica a través de Internet, las máquinas deben usar la versión más reciente del protocolo criptográfico estándar del sector, Seguridad de la capa de transporte (TLS). TLS protege las comunicaciones que se realizan a través de una red para cifrar una conexión entre máquinas. AuditIfNotExists, Disabled 4.1.1
Las máquinas Windows deben configurar Windows Defender para que actualice las firmas de protección en un plazo de un día Para proporcionar una protección adecuada frente al malware recién publicado, las firmas de protección de Windows Defender deben actualizarse periódicamente para que abarquen el malware recién publicado. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más información sobre la configuración de invitado, visite https://aka.ms/gcpol. AuditIfNotExists, Disabled 1.0.0
Las máquinas Windows deben habilitar la protección en tiempo real de Windows Defender Las máquinas Windows deben habilitar la protección en tiempo real en Windows Defender para proporcionar una protección adecuada frente al malware recién publicado. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más información sobre la configuración de invitado, visite https://aka.ms/gcpol. AuditIfNotExists, Disabled 1.0.0
Las máquinas Windows deben tener instalada la extensión de Log Analytics en Azure Arc Las máquinas no son compatibles si el agente de Log Analytics no está instalado en el servidor de Windows habilitado para Azure Arc. AuditIfNotExists, Disabled 2.0.0
Las máquinas Windows deben cumplir los requisitos de "Plantillas administrativas - Panel de control" Las máquinas Windows deben tener la configuración de directiva de grupo especificada en la categoría "Plantillas administrativas - Panel de control" para la personalización de entrada y para evitar que se habiliten pantallas de bloqueo. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
Las máquinas Windows deben cumplir los requisitos de "Plantillas administrativas - MSS (heredado)" Las máquinas Windows deben tener la configuración de directiva de grupo especificada en la categoría "Plantillas administrativas - MSS (heredado)" para el inicio de sesión automático, el protector de pantalla, el comportamiento de la red, el archivo DLL seguro y el registro de eventos. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
Las máquinas Windows deben cumplir los requisitos de "Plantillas administrativas - Red" Las máquinas Windows deben tener la configuración de directiva de grupo especificada en la categoría "Plantillas administrativas - Red" para los inicios de sesión de invitado, las conexiones simultáneas, el puente de red, ICS y la resolución de nombres de multidifusión. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
Las máquinas Windows deben cumplir los requisitos de "Plantillas administrativas - Sistema" Las máquinas Windows deben tener la configuración de directiva de grupo especificada en la categoría "Plantillas administrativas - Sistema" para la configuración que determina la experiencia administrativa y la asistencia remota. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
Las máquinas Windows deben cumplir los requisitos de "Opciones de seguridad - Cuentas" Las máquinas Windows deben tener la configuración de directiva de grupo especificada en la categoría "Opciones de seguridad - Cuentas" para limitar el uso de contraseñas en blanco por parte de cuentas locales y el estado de la cuenta de invitado. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
Las máquinas Windows deben cumplir los requisitos de "Opciones de seguridad - Auditoría" Las máquinas Windows deben tener la configuración de directiva de grupo especificada en la categoría "Opciones de seguridad - Auditar" para aplicar la subcategoría de la directiva de auditoría y apagar si no es posible registrar las auditorías de seguridad. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
Las máquinas Windows deben cumplir los requisitos de "Opciones de seguridad - Dispositivos" Las máquinas Windows deben tener la configuración de directiva de grupo especificada en la categoría "Opciones de seguridad - Dispositivos" para desacoplar sin iniciar sesión, instalar controladores de impresión, así como formatear o expulsar medios. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
Las máquinas Windows deben cumplir los requisitos de "Opciones de seguridad - Inicio de sesión interactivo" Las máquinas Windows deben tener la configuración de directiva de grupo especificada en la categoría "Opciones de seguridad - Inicio de sesión interactivo" para mostrar el último nombre de usuario y solicitar el uso de Ctrl-Alt-Supr. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
Las máquinas Windows deben cumplir los requisitos de "Opciones de seguridad - Cliente de redes de Microsoft" Las máquinas Windows deben tener la configuración de directiva de grupo especificada en la categoría "Opciones de seguridad - Cliente de redes de Microsoft" para el cliente/servidor de red de Microsoft y SMB v1. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
Las máquinas Windows deben cumplir los requisitos de "Opciones de seguridad - Servidor de red Microsoft" Las máquinas Windows deben tener la configuración de directiva de grupo especificada en la categoría "Opciones de seguridad - Servidor de red Microsoft" para deshabilitar el servidor SMB v1. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
Las máquinas Windows deben cumplir los requisitos de "Opciones de seguridad - Acceso a la red" Las máquinas Windows deben tener la configuración de directiva de grupo especificada en la categoría "Opciones de seguridad - Acceso a la red" para incluir el acceso de usuarios anónimos, cuentas locales y acceso remoto al Registro. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
Las máquinas Windows deben cumplir los requisitos de "Opciones de seguridad - Seguridad de red" Las máquinas Windows deben tener la configuración de directiva de grupo especificada en la categoría "Opciones de seguridad - Seguridad de la red" para incluir el comportamiento del sistema local, PKU2U, LAN Manager, el cliente LDAP y el portal de autoservicio (SSP) de NTLM. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
Las máquinas Windows deben cumplir los requisitos de "Opciones de seguridad - Consola de recuperación" Las máquinas Windows deben tener la configuración de directiva de grupo especificada en la categoría "Opciones de seguridad - Consola de recuperación" para permitir la copia de disquetes y el acceso a todas las unidades y carpetas. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
Las máquinas Windows deben cumplir los requisitos de "Opciones de seguridad - Apagar" Las máquinas Windows deben tener la configuración de directiva de grupo especificada en la categoría "Opciones de seguridad - Apagar" para permitir el apagado sin iniciar sesión y borrar el archivo de paginación de la memoria virtual. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
Las máquinas Windows deben cumplir los requisitos para "Opciones de seguridad - Objetos del sistema" Las máquinas Windows deben tener la configuración de directiva de grupo especificada en la categoría "Opciones de seguridad - Objetos del sistema" sin distinción de mayúsculas y minúsculas para los subsistemas que no son de Windows y los permisos de objetos internos del sistema. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
Las máquinas Windows deben cumplir los requisitos de "Opciones de seguridad - Configuración del sistema" Las máquinas Windows deben tener la configuración de directiva de grupo especificada en la categoría "Opciones de seguridad - Configuración del sistema" para las reglas de certificado en archivos ejecutables del SRP y los subsistemas opcionales. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
Las máquinas Windows deben cumplir los requisitos de "Opciones de seguridad - Control de cuentas de usuario" Las máquinas Windows deben tener la configuración de directiva de grupo especificada en la categoría "Opciones de seguridad - Control de cuentas de usuario" para el modo de administradores, el comportamiento de la petición de elevación y la virtualización de errores de escritura de archivos y del registro. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
Las máquinas Windows deben cumplir los requisitos de "Configuración de seguridad - Directivas de cuenta" Las máquinas Windows deben tener la configuración de directiva de grupo especificada en la categoría "Configuración de seguridad - Directivas de cuenta" para el historial de contraseñas, la antigüedad, la longitud, la complejidad y el almacenamiento de contraseñas mediante cifrado reversible. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
Las máquinas Windows deben cumplir los requisitos de "Configuración de seguridad - Directivas de cuenta" Las máquinas Windows deben tener la configuración de directiva de grupo especificada en la categoría "Configuración de seguridad - Directivas de cuenta" para auditar la validación de credenciales y otros eventos de inicio de sesión de cuenta. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
Las máquinas Windows deben cumplir los requisitos de "Directivas de auditoría del sistema - Administración de cuentas" Las máquinas Windows deben tener la configuración de directiva de grupo especificada en la categoría "Directivas de auditoría del sistema - Administración de cuentas" para auditar la aplicación, la seguridad y la administración de grupos de usuarios, así como otros eventos de administración. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
Las máquinas Windows deben cumplir los requisitos de "Directivas de auditoría del sistema - Seguimiento detallado" Las máquinas Windows deben tener la configuración de directiva de grupo especificada en la categoría "Directivas de auditoría del sistema - Seguimiento detallado" para auditar la API de protección de datos, la creación o terminación de procesos, los eventos de RPC y la actividad PNP. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
Las máquinas Windows deben cumplir los requisitos de "Directivas de auditoría del sistema - Iniciar sesión/Cerrar sesión" Las máquinas Windows deben tener la configuración de directiva de grupo especificada en la categoría "Directivas de auditoría del sistema - Iniciar sesión/Cerrar sesión" para auditar IPSec, la directiva de red, las notificaciones, el bloqueo de cuentas, la pertenencia a grupos y los eventos de inicio o cierre de sesión. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
Las máquinas Windows deben cumplir los requisitos de "Directivas de auditoría del sistema - Acceso a objetos" Las máquinas Windows deben tener la configuración de directiva de grupo especificada en la categoría "Directivas de auditoría del sistema - Acceso a objetos" para auditar los sistemas de archivo, registro, SAM, almacenamiento, filtrado, kernel y de otro tipo. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
Las máquinas Windows deben cumplir los requisitos de "Directivas de auditoría del sistema - Cambio en directivas" Las máquinas Windows deben tener la configuración de directiva de grupo especificada en la categoría "Directivas de auditoría del sistema - Cambio en directivas" para auditar los cambios en las directivas de auditoría del sistema. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
Las máquinas Windows deben cumplir los requisitos de "Directivas de auditoría del sistema - Uso de privilegios" Las máquinas Windows deben tener la configuración de directiva de grupo especificada en la categoría "Directivas de auditoría del sistema - Uso de privilegios" para auditar el uso no confidencial y de otros privilegios. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
Las máquinas Windows deben cumplir los requisitos de "Directivas de auditoría del sistema - Sistema" Las máquinas Windows deben tener la configuración de directiva de grupo especificada en la categoría "Directivas de auditoría del sistema - Sistema" para auditar el controlador IPsec, la integridad del sistema, la extensión del sistema, el cambio de estado y otros eventos del sistema. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
Las máquinas Windows deben cumplir los requisitos de "Asignación de derechos de usuario" Las máquinas Windows deben tener la configuración de directiva de grupo especificada en la categoría "Asignación de derechos de usuario" para permitir el inicio de sesión local, el protocolo RDP, el acceso desde la red y muchas otras actividades de usuario. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
Las máquinas Windows deben cumplir los requisitos de "Componentes de Windows" Las máquinas Windows deben tener la configuración de directiva de grupo especificada en la categoría "Componentes de Windows" para la autenticación básica, el tráfico no cifrado, las cuentas de Microsoft, la telemetría, Cortana y otros comportamientos de Windows. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
Las máquinas Windows deben cumplir los requisitos de "Propiedades de Firewall de Windows" Las máquinas Windows deben tener la configuración de directiva de grupo especificada en la categoría "Propiedades de Firewall de Windows" para el estado del firewall, las conexiones, la administración de reglas y las notificaciones. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
Las máquinas Windows deben cumplir los requisitos de línea base de seguridad de proceso de Azure. Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si la máquina no está configurada correctamente para una de las recomendaciones de la base de referencia de seguridad de procesos de Azure. AuditIfNotExists, Disabled 2.0.0
Las máquinas Windows solo deben tener cuentas locales permitidas Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Esta definición no se admite en Windows Server 2012 o 2012 R2. Administrar cuentas de usuario mediante Azure Active Directory es un procedimiento recomendado para la administración de identidades. Reducir las cuentas de máquinas locales ayuda a evitar la proliferación de identidades administradas fuera de un sistema central. Las máquinas no son compatibles si existen cuentas de usuario locales que están habilitadas y no aparecen en el parámetro de directiva. AuditIfNotExists, Disabled 2.0.0
Las máquinas Windows deben establecer que Windows Defender realice un examen programado todos los días Para garantizar la detección rápida de malware y minimizar su impacto en el sistema, se recomienda que las máquinas Windows con Windows Defender programen un examen diario. Asegúrese de que Windows Defender sea compatible, esté preinstalado en el dispositivo y se hayan implementado los requisitos previos de la configuración de invitado. El incumplimiento de estos requisitos podría dar lugar a resultados de evaluación inexactos. Obtenga más información sobre la configuración de invitado en https://aka.ms/gcpol. AuditIfNotExists, Disabled 1.2.0
Las máquinas Windows deben usar el servidor NTP predeterminado Configure "time.windows.com" como servidor NTP predeterminado para todas las máquinas Windows y asegurarse de que los registros de todos los sistemas tengan relojes del sistema sincronizados. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más información sobre la configuración de invitado, visite https://aka.ms/gcpol. AuditIfNotExists, Disabled 1.0.0
Las máquinas virtuales Windows deben habilitar Azure Disk Encryption o EncryptionAtHost. Aunque el sistema operativo y los discos de datos de una máquina virtual están cifrados en reposo de forma predeterminada mediante claves administradas por la plataforma, los discos de recursos (discos temporales), las memorias caché de datos y los datos que fluyen entre los recursos de proceso y almacenamiento no se cifran. Use Azure Disk Encryption o EncryptionAtHost para ponerle remedio. Visite https://aka.ms/diskencryptioncomparison para comparar las ofertas de cifrado. Esta directiva requiere que se implementen dos requisitos previos en el ámbito de asignación de directiva. Para más detalles, visite https://aka.ms/gcpol. AuditIfNotExists, Disabled 1.1.1

HDInsight

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Los clústeres de Azure HDInsight deben insertarse en una red virtual Al insertar clústeres de Azure HDInsight en una red virtual, se desbloquean las características avanzadas de redes y seguridad de HDInsight y se proporciona control sobre la configuración de seguridad de la red. Audit, Disabled, Deny 1.0.0
Los clústeres de Azure HDInsight deben usar claves administradas por el cliente para cifrar los datos en reposo Utilice claves administradas por el cliente para administrar el cifrado en reposo de los clústeres de Azure HDInsight. De manera predeterminada, los datos del cliente se cifran con claves administradas por el servicio, pero las claves administradas por el cliente suelen ser necesarias para cumplir estándares de cumplimiento normativo. Las claves administradas por el cliente permiten cifrar los datos con una clave de Azure Key Vault creada por el usuario y propiedad de este. Tiene control y responsabilidad totales del ciclo de vida de la clave, incluidos la rotación y administración. Obtenga más información en https://aka.ms/hdi.cmk. Audit, Deny, Disabled 1.0.1
Los clústeres de Azure HDInsight deben usar el cifrado en el host para cifrar los datos en reposo. La habilitación del cifrado en el host ayuda a custodiar y proteger sus datos con el fin de satisfacer los compromisos de cumplimiento y seguridad de la organización. Cuando se habilita el cifrado en el host, los datos almacenados en el host de máquina virtual se cifran en reposo y se transmiten cifrados al servido Storage. Audit, Deny, Disabled 1.0.0
Los clústeres de Azure HDInsight deben usar el cifrado en tránsito para cifrar la comunicación entre los nodos del clúster de Azure HDInsight. Los datos se pueden alterar durante la transmisión entre los nodos de clúster de Azure HDInsight. Al habilitar el cifrado en tránsito se solucionan los problemas de uso indebido y manipulación durante esta transmisión. Audit, Deny, Disabled 1.0.0
Azure HDInsight debe usar un vínculo privado. Azure Private Link permite conectar las redes virtuales a los servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados a los clústeres de Azure HDInsight, se pueden reducir los riesgos de pérdida de datos. Más información sobre los vínculos privados en https://aka.ms/hdi.pl. AuditIfNotExists, Disabled 1.0.0
Configuración de clústeres de Azure HDInsight para usar zonas DNS privadas Use zonas DNS privadas para invalidar la resolución DNS de un punto de conexión privado. Una zona DNS privada se vincula a la red virtual para resolverse en clústeres de Azure HDInsight. Más información en: https://aka.ms/hdi.pl. DeployIfNotExists, Disabled 1.0.0
Configuración de los clústeres de Azure HDInsight con puntos de conexión privados Los puntos de conexión privados conectan las redes virtuales a los servicios de Azure sin una dirección IP pública en el origen o el destino. Mediante la asignación de puntos de conexión privados a los clústeres de Azure HDInsight, se pueden reducir los riesgos de pérdida de datos. Más información sobre los vínculos privados en https://aka.ms/hdi.pl. DeployIfNotExists, Disabled 1.0.0

Health Bot

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Azure Health Bot debe usar claves administradas por el cliente para cifrar los datos en reposo Use claves administradas por el cliente (CMK) para administrar el cifrado en reposo de los datos de los bots de mantenimiento. De manera predeterminada, los datos se cifran en reposo con claves administradas por el servicio, pero las CMK suelen ser necesarias para cumplir estándares de cumplimiento normativo. Las CMK permiten cifrar los datos con una clave de Azure Key Vault creada por el usuario y propiedad de este. Tiene control y responsabilidad totales del ciclo de vida de la clave, incluidos la rotación y administración. Más información en https://docs.microsoft.com/azure/health-bot/cmk. Audit, Disabled 1.0.0

Área de trabajo de Health Data Services

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
El área de trabajo de Azure Health Data Services debería usar Private Link El área de trabajo de Health Data Services debe tener al menos una conexión de punto de conexión privado aprobada. Los clientes de una red virtual pueden acceder de forma segura a los recursos que tengan conexiones de punto de conexión privadas mediante vínculos privados. Para más información, visite https://aka.ms/healthcareapisprivatelink. Audit, Disabled 1.0.0

Healthcare API

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
CORS no debe permitir que todos los dominios accedan a la API para FHIR. El uso compartido de recursos entre orígenes (CORS) no debe permitir que todos los dominios accedan al servicio FHIR. Para proteger el servicio FHIR, elimine el acceso de todos los dominios y defina explícitamente los dominios que tienen permiso para conectarse. auditoría, Auditoría, deshabilitado, Deshabilitado 1.1.0
El servicio DICOM debe usar una clave administrada por el cliente para cifrar los datos en reposo Use una clave administrada por el cliente para controlar el cifrado en reposo de los datos almacenados en el servicio DICOM de Azure Health Data Services cuando exista un requisito normativo o de cumplimiento. Las claves administradas por el cliente también proporcionan cifrado doble, ya que agregan una segunda capa de cifrado además de la capa predeterminada que se creó mediante las claves administradas por el servicio. Audit, Disabled 1.0.0
El servicio FHIR debe usar una clave administrada por el cliente para cifrar los datos en reposo Use una clave administrada por el cliente para controlar el cifrado en reposo de los datos almacenados en el servicio FHIR de Azure Health Data Services cuando exista un requisito normativo o de cumplimiento. Las claves administradas por el cliente también proporcionan cifrado doble, ya que agregan una segunda capa de cifrado además de la capa predeterminada que se creó mediante las claves administradas por el servicio. Audit, Disabled 1.0.0

Internet de las cosas

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
[Versión preliminar]: Azure IoT Hub debe usar una clave administrada por el cliente para cifrar los datos en reposo El cifrado de datos en reposo en IoT Hub con clave administrada por el cliente agrega una segunda capa de cifrado sobre las claves administradas por el servicio predeterminadas, permite que el cliente controle las claves, las directivas de rotación personalizadas y la capacidad para administrar el acceso a los datos a través del control de acceso de claves. Las claves administradas por el cliente deben configurarse durante la creación de IoT Hub. Para más información sobre cómo configurar las claves administradas por el cliente, vea https://aka.ms/iotcmk. Audit, Deny, Disabled 1.0.0-preview
[Versión preliminar]: los datos del servicio de aprovisionamiento de dispositivos de IoT Hub se deben cifrar con claves administradas por el cliente (CMK) Use claves administradas por el cliente para administrar el cifrado en reposo del servicio de aprovisionamiento de dispositivos de IoT Hub. Los datos se cifran automáticamente en reposo con claves administradas por el servicio, pero las claves administradas por el cliente (CMK) suelen ser necesarias para cumplir estándares de cumplimiento normativo. Las CMK permiten cifrar los datos con una clave de Azure Key Vault creada por el usuario y propiedad de este. Más información sobre el cifrado de CMK en https://aka.ms/dps/CMK. Audit, Deny, Disabled 1.0.0-preview
Las cuentas de Azure Device Update deben usar claves administradas por el cliente para cifrar los datos en reposo. El cifrado de datos en reposo en Azure Device Update con clave administrada por el cliente agrega una segunda capa de cifrado sobre las claves administradas por el servicio predeterminadas y permite que el cliente controle las claves, las directivas de rotación personalizadas y la capacidad para administrar el acceso a los datos mediante el control de acceso de claves. Más información en: https://learn.microsoft.com/azure/iot-hub-device-update/device-update-data-encryption. Audit, Deny, Disabled 1.0.0
Las cuentas de Azure Device Update for IoT Hub deben usar Private Link Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Al asignar puntos de conexión privados a cuentas de Azure Device Update IoT Hub, se reducen los riesgos de pérdida de datos. AuditIfNotExists, Disabled 1.0.0
Azure IoT Hub debe tener deshabilitados los métodos de autenticación local para las API de servicio La deshabilitación de los métodos de autenticación local mejora la seguridad, ya que garantiza que Azure IoT Hub exija exclusivamente identidades de Azure Active Directory para la autenticación de la API de servicio. Más información en: https://aka.ms/iothubdisablelocalauth. Audit, Deny, Disabled 1.0.0
Configuración de cuentas de Azure Device Update for IoT Hub para deshabilitar el acceso desde la red pública Al deshabilitar la propiedad de acceso desde la red pública, se mejora la seguridad, ya que se garantiza que solo se puede acceder a Device Update for IoT Hub desde un punto de conexión privado. Esta directiva deshabilita el acceso desde la red pública en recursos de Device Update for IoT Hub. Modificar, Deshabilitado 1.0.0
Configuración de cuentas de Azure Device Update for IoT Hub para utilizar zonas DNS privadas DNS privado de Azure proporciona un servicio DNS confiable y seguro para administrar y resolver los nombres de dominio en una red virtual sin necesidad de agregar una solución DNS personalizada. Puede usar las zonas DNS privadas para reemplazar la resolución de DNS por el uso de sus propios nombres de dominio personalizados para un punto de conexión privado. Esta directiva implementa una zona DNS privada para puntos de conexión privados de Device Update for IoT Hub. DeployIfNotExists, Disabled 1.0.0
Configuración de cuentas de Azure Device Update for IoT Hub con punto de conexión privado Un punto de conexión privado es una dirección IP privada asignada en una red virtual propiedad del cliente a través de la cual se puede acceder a un recurso de Azure. Esta directiva implementa un punto de conexión privado para la instancia de Device Update for IoT Hub a fin de permitir que los servicios que operan en la red virtual llegue a este recurso sin necesidad de enviar el tráfico al punto de conexión público de Device Update for IoT Hub. DeployIfNotExists, Disabled 1.1.0
Configuración de Azure IoT Hub para deshabilitar la autenticación local Deshabilite los métodos de autenticación local para que Azure IoT Hub exija exclusivamente identidades de Azure Active Directory para la autenticación. Más información en: https://aka.ms/iothubdisablelocalauth. Modificar, Deshabilitado 1.0.0
Configurar instancias de aprovisionamiento de dispositivos de IoT Hub para usar zonas DNS privadas Use zonas DNS privadas para invalidar la resolución DNS de un punto de conexión privado. Una zona DNS privada vincula a la red virtual para resolver una instancia de servicio de aprovisionamiento de dispositivos de IoT Hub. Más información en: https://aka.ms/iotdpsvnet. DeployIfNotExists, Disabled 1.0.0
Configurar las instancias del servicios de aprovisionamiento de dispositivos de IoT Hub para deshabilitar el acceso a la red pública Deshabilite el acceso a la red pública para su instancia de aprovisionamiento de dispositivos de IoT Hub para que no sea accesible a través de la red pública de Internet. Esto puede reducir los riesgos de pérdida de datos. Más información en: https://aka.ms/iotdpsvnet. Modificar, Deshabilitado 1.0.0
Configurar instancias del servicio de aprovisionamiento de dispositivos de IoT Hub con puntos de conexión privados Los puntos de conexión privados conectan la red virtual a los servicios de Azure sin una dirección IP pública en el origen o el destino. Mediante la asignación de puntos de conexión privados al servicio de aprovisionamiento de dispositivos de IoT Hub, puede reducir los riesgos de pérdida de datos. Obtenga más información sobre los vínculos privados en https://aka.ms/iotdpsvnet. DeployIfNotExists, Disabled 1.0.0
Implementación: configurar instancias de Azure IoT Hub para usar zonas DNS privadas DNS privado de Azure proporciona un servicio DNS confiable y seguro para administrar y resolver los nombres de dominio en una red virtual sin necesidad de agregar una solución DNS personalizada. Puede usar las zonas DNS privadas para reemplazar la resolución de DNS por el uso de sus propios nombres de dominio personalizados para un punto de conexión privado. Esta directiva implementa una zona DNS privada para puntos de conexión privados de IoT Hub. deployIfNotExists, DeployIfNotExists, disabled, Disabled 1.1.0
Implementación: configurar instancias de Azure IoT Hub con puntos de conexión privados Un punto de conexión privado es una dirección IP privada asignada en una red virtual propiedad del cliente a través de la cual se puede acceder a un recurso de Azure. Esta directiva implementa un punto de conexión privado para su IoT Hub, a fin de permitir que los servicios que operan en la red virtual puedan llegar a IoT Hub sin necesidad de enviar el tráfico al punto de conexión público de IoT Hub. DeployIfNotExists, Disabled 1.0.0
Implementar: configurar IoT Central para usar zonas DNS privadas DNS privado de Azure proporciona un servicio DNS confiable y seguro para administrar y resolver los nombres de dominio en una red virtual sin necesidad de agregar una solución DNS personalizada. Puede usar las zonas DNS privadas para reemplazar la resolución de DNS por el uso de sus propios nombres de dominio personalizados para un punto de conexión privado. Esta directiva implementa una zona DNS privada para puntos de conexión privados de IoT Central. DeployIfNotExists, Disabled 1.0.0
Implementar: Configurar instancias de IoT Central con puntos de conexión privados Un punto de conexión privado es una dirección IP privada asignada en una red virtual propiedad del cliente a través de la cual se puede acceder a un recurso de Azure. Esta directiva implementa un punto de conexión privado para su IoT Central, a fin de permitir que los servicios que operan en la red virtual puedan llegar a IoT Central sin necesidad de enviar el tráfico al punto de conexión público de IoT Central. DeployIfNotExists, Disabled 1.0.0
IoT Central debe usar Private Link Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados a su aplicación IoT Central en lugar de a todo el servicio, reducirá los riesgos de pérdida de datos. Más información sobre los vínculos privados en https://aka.ms/iotcentral-network-security-using-pe. Audit, Deny, Disabled 1.0.0
Las instancias del servicio de aprovisionamiento de dispositivos de IoT Hub deben deshabilitar el acceso a la red pública Al deshabilitar el acceso a la red pública, se mejora la seguridad, ya que se garantiza que la instancia del servicio de aprovisionamiento de dispositivos de IoT Hub no se expone en la red pública de Internet. La creación de puntos de conexión privados puede limitar la exposición de las instancias de aprovisionamiento de dispositivos de IoT Hub. Más información en: https://aka.ms/iotdpsvnet. Audit, Deny, Disabled 1.0.0
Las instancias del servicio de aprovisionamiento de dispositivos de IoT Hub deben usar Private Link Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados al servicio de aprovisionamiento de dispositivos de IoT Hub, se reducen los riesgos de pérdida de datos. Más información sobre los vínculos privados en https://aka.ms/iotdpsvnet. Audit, Disabled 1.0.0
Modificación: configurar instancias de Azure IoT Hub para deshabilitar el acceso a la red pública Al deshabilitar la propiedad de acceso a la red pública, se mejora la seguridad, ya que se garantiza que solo se puede acceder a Azure IoT Hub desde un punto de conexión privado. Esta directiva deshabilita el acceso a la red pública en recursos de IoT Hub. Modificar, Deshabilitado 1.0.0
Modificar: configurar IoT Central para deshabilitar el acceso a la red pública Al deshabilitar la propiedad de acceso a la red pública, se mejora la seguridad, ya que se garantiza que solo se puede acceder a IoT Central desde un punto de conexión privado. Esta directiva deshabilita el acceso a la red pública en recursos de IoT Hub. Modificar, Deshabilitado 1.0.0
El punto de conexión privado debe estar habilitado para IoT Hub Las conexiones de punto de conexión privado aplican una comunicación segura mediante la habilitación de la conectividad privada con IoT Hub. Configure una conexión de punto de conexión privado para permitir el acceso al tráfico que solo proviene de redes conocidas y evitar el acceso desde todas las demás direcciones IP, incluido desde Azure. Audit, Disabled 1.0.0
El acceso desde la red pública para cuentas de Azure Device Update for IoT Hub se debe deshabilitar Al deshabilitar la propiedad de acceso desde la red pública, se mejora la seguridad, ya que se garantiza que solo se puede acceder a las cuentas de Azure Device Update for IoT Hub desde un punto de conexión privado. Audit, Deny, Disabled 1.0.0
Debe deshabilitarse el acceso a la red pública en Azure IoT Hub Al deshabilitar la propiedad de acceso a la red pública, se mejora la seguridad, ya que se garantiza que solo se puede acceder a Azure IoT Hub desde un punto de conexión privado. Audit, Deny, Disabled 1.0.0
El acceso a las redes públicas debe estar deshabilitado para IoT Central Para reforzar la seguridad de IoT Central, asegúrese de que no está expuesto a la red pública de Internet y que únicamente se pueda acceder a él desde un punto de conexión privado. Deshabilite la propiedad acceso a la red pública, tal y como se describe en https://aka.ms/iotcentral-restrict-public-access. Esta opción deshabilita el acceso desde cualquier espacio de direcciones públicas que esté fuera del intervalo IP de Azure y deniega todos los inicios de sesión que coincidan con las reglas de firewall basadas en la IP o la red virtual. De este modo, se reducen los riesgos de pérdida de datos. Audit, Deny, Disabled 1.0.0
Los registros de recursos de IoT Hub deben estar habilitados. Habilitación de la auditoría de los registros de recursos. Esto le permite volver a crear seguimientos de actividad con fines de investigación en caso de incidente de seguridad o riesgo para la red. AuditIfNotExists, Disabled 3.1.0

Key Vault

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
[Versión preliminar]: Las claves HSM administradas de Azure Key Vault deben tener una fecha de expiración Para usar esta directiva en versión preliminar, primero debe seguir estas instrucciones en https://aka.ms/mhsmgovernance. Las claves criptográficas deben tener una fecha de expiración definida y no ser permanentes. Las claves que no expiran proporcionan a los posibles atacantes más tiempo para hacerse con ellas. Por ello, se recomienda como práctica de seguridad establecer fechas de expiración en las claves criptográficas. Audit, Deny, Disabled 1.0.1-preview
[Versión preliminar]: Las claves HSM administradas de Azure Key Vault deben tener más de la cantidad especificada de días antes de la expiración Para usar esta directiva en versión preliminar, primero debe seguir estas instrucciones en https://aka.ms/mhsmgovernance. Si una clave está demasiado cerca de la expiración, un retraso de la organización para rotar la clave puede producir una interrupción. Las claves se deben rotar cuando falta un número especificado de días antes de la expiración, para proporcionar el tiempo suficiente para reaccionar ante un error. Audit, Deny, Disabled 1.0.1-preview
[Versión preliminar]: Las claves HSM administradas de Azure Key Vault que utilizan criptografía de curva elíptica deben tener los nombres de curva especificados Para usar esta directiva en versión preliminar, primero debe seguir estas instrucciones en https://aka.ms/mhsmgovernance. Las claves respaldadas por la criptografía de curva elíptica pueden tener distintos nombres de curva. Algunas aplicaciones solo son compatibles con las claves de curva elíptica específicas. Aplique los tipos de claves de curva elíptica que se pueden crear en el entorno. Audit, Deny, Disabled 1.0.1-preview
[Versión preliminar]: Las claves HSM administradas de Azure Key Vault que utilizan criptografía RSA deben tener un tamaño de clave mínimo especificado Para usar esta directiva en versión preliminar, primero debe seguir estas instrucciones en https://aka.ms/mhsmgovernance. Establezca el tamaño mínimo permitido de la clave para usarlo con los almacenes de claves. Tenga en cuenta que no es seguro usar claves RSA con tamaños de clave pequeños, ya que no cumplen muchos requisitos de certificación del sector. Audit, Deny, Disabled 1.0.1-preview
[Versión preliminar]: HSM administrado de Azure Key Vault debe deshabilitar el acceso a la red pública Deshabilite el acceso a la red pública para HSM administrado de Azure Key Vault de modo que no sea accesible mediante la red pública de Internet. Esto puede reducir los riesgos de pérdida de datos. Más información en: https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link#allow-trusted-services-to-access-managed-hsm. Audit, Deny, Disabled 1.0.0-preview
[Versión preliminar]: HSM administrado de Azure Key Vault debe usar un vínculo privado Private Link proporciona una manera de conectar HSM administrado de Azure Key Vault a los recursos de Azure sin enviar tráfico a través de la red pública de Internet. Un vínculo privado proporciona varios niveles de protección contra la filtración de datos. Más información en: https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link Audit, Disabled 1.0.0-preview
[versión preliminar]: Una de las entidades de certificación no integradas especificadas debe emitir certificados Administre los requisitos de cumplimiento de la organización especificando entidades de certificación personalizadas o internas que pueden emitir certificados en el almacén de claves. Audit, Deny, Disabled 1.0.0-preview
[Versión preliminar]: configuración del HSM administrado de Azure Key Vault para deshabilitar el acceso a la red pública Deshabilite el acceso a la red pública para HSM administrado de Azure Key Vault de modo que no sea accesible mediante la red pública de Internet. Esto puede reducir los riesgos de pérdida de datos. Más información en: https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link#allow-trusted-services-to-access-managed-hsm. Modificar, Deshabilitado 2.0.0-preview
[Versión preliminar]: configuración de HSM administrado de Azure Key Vault con puntos de conexión privados Los puntos de conexión privados conectan las redes virtuales a los servicios de Azure sin una dirección IP pública en el origen o el destino. Al asignar puntos de conexión privados a HSM administrado de Azure Key Vault, puede reducir los riesgos de pérdida de datos. Más información en: https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link. DeployIfNotExists, Disabled 1.0.0-preview
El HSM administrado de Azure Key Vault debe tener habilitada la protección contra purgas. La eliminación malintencionada de un HSM administrado de Azure Key Vault puede provocar una pérdida de datos permanente. Un usuario malintencionado de la organización puede eliminar y purgar HSM administrados de Azure Key Vault. La protección contra purgas le protege frente a ataques internos mediante la aplicación de un período de retención obligatorio para HSM administrados de Azure Key Vault eliminados temporalmente. Ningún usuario de su organización o Microsoft podrá purgar HSM administrados de Azure Key Vault durante el período de retención de eliminación temporal. Audit, Deny, Disabled 1.0.0
Azure Key Vault debe deshabilitar el acceso de red público. Deshabilite el acceso de red público para el almacén de claves de modo que no sea accesible mediante la red pública de Internet. Esto puede reducir los riesgos de pérdida de datos. Más información en: https://aka.ms/akvprivatelink. Audit, Deny, Disabled 1.1.0
Azure Key Vault debe tener el firewall habilitado Habilite el firewall del almacén de claves para que el almacén de claves no sea accesible de forma predeterminada a ninguna dirección IP pública. De manera opcional, puede configurar intervalos IP específicos para limitar el acceso a esas redes. Más información en: https://docs.microsoft.com/azure/key-vault/general/network-security Audit, Deny, Disabled 3.2.1
Azure Key Vault debe usar el modelo de permisos RBAC Habilite el modelo de permisos de RBAC en Key Vaults. Más información en: https://learn.microsoft.com/en-us/azure/key-vault/general/rbac-migration Audit, Deny, Disabled 1.0.1
Las instancias de Azure Key Vault deben usar un vínculo privado Azure Private Link permite conectar las redes virtuales a los servicios de Azure sin una IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Al asignar puntos de conexión privados al almacén de claves, se puede reducir el riesgo de pérdida de datos. Más información sobre los vínculos privados en https://aka.ms/akvprivatelink. [parameters('audit_effect')] 1.2.1
Los certificados debe emitirlos la entidad de certificación integrada que se haya especificado Administre los requisitos de cumplimiento de su organización. Para ello, especifique las entidades de certificación integradas de Azure que pueden emitir certificados en el almacén de claves, como DigiCert o GlobalSign. audit, Audit, deny, Deny, disabled, Disabled 2.1.0
Los certificados debe emitirlos la entidad de certificación no integrada que se haya especificado Administre los requisitos de cumplimiento de su organización. Para ello, especifique una entidad de certificación interna o personalizada que pueda emitir certificados en el almacén de claves. audit, Audit, deny, Deny, disabled, Disabled 2.1.1
Los certificados deben disponer de los desencadenadores de acciones de duración que se hayan especificado Administre los requisitos de cumplimiento de su organización. Para ello, especifique si se desencadenará una acción de duración del certificado cuando se alcance un porcentaje determinado de duración o un número determinado de días antes de la expiración. audit, Audit, deny, Deny, disabled, Disabled 2.1.0
Los certificados deben tener el periodo de máximo de validez que se haya especificado Administre los requisitos de cumplimiento de su organización. Para ello, especifique la cantidad máxima de tiempo que un certificado puede ser válido en el almacén de claves. audit, Audit, deny, Deny, disabled, Disabled 2.2.1
Los certificados no deben expirar en el transcurso del número de días que se haya especificado Administre los certificados que expirarán en el transcurso del número de días que se haya especificado para asegurarse de que su organización disponga de tiempo suficiente para la rotación del certificado antes de la expiración. audit, Audit, deny, Deny, disabled, Disabled 2.1.1
Los certificados deben utilizar tipos de clave admitidos Administre los requisitos de cumplimiento de su organización. Para ello, restrinja los tipos de clave admitidos para los certificados. audit, Audit, deny, Deny, disabled, Disabled 2.1.0
Los certificados que usan la criptografía de curva elíptica deben tener nombres de curva admitidos Administre los nombres de curva elíptica permitidos para los certificados ECC guardados en el almacén de claves. Dispone de más información en https://aka.ms/akvpolicy. audit, Audit, deny, Deny, disabled, Disabled 2.1.0
Los certificados que usan la criptografía RSA deben tener el tamaño de clave mínimo que se haya especificado Administre los requisitos de cumplimiento de su organización. Para ello, especifique un tamaño mínimo de clave para los certificados RSA guardados en el almacén de claves. audit, Audit, deny, Deny, disabled, Disabled 2.1.0
Configurar instancias de Azure Key Vault para usar zonas DNS privadas Use zonas DNS privadas para invalidar la resolución DNS de un punto de conexión privado. Una zona DNS privada vincula a la red virtual para resolver en el almacén de claves. Más información en: https://aka.ms/akvprivatelink. DeployIfNotExists, Disabled 1.0.1
Configurar instancias de Azure Key Vault con puntos de conexión privados Los puntos de conexión privados conectan las redes virtuales a los servicios de Azure sin una dirección IP pública en el origen o el destino. Al asignar puntos de conexión privados al almacén de claves, se puede reducir el riesgo de pérdida de datos. Más información sobre los vínculos privados en https://aka.ms/akvprivatelink. DeployIfNotExists, Disabled 1.0.1
Configurar almacenes de claves para habilitar el firewall Habilite el firewall del almacén de claves para que el almacén de claves no sea accesible de forma predeterminada a ninguna dirección IP pública. A continuación, puede configurar intervalos IP específicos para limitar el acceso a esas redes. Más información en: https://docs.microsoft.com/azure/key-vault/general/network-security Modificar, Deshabilitado 1.1.1
Implementación: configurar las opciones de diagnóstico de Azure Key Vault en el área de trabajo de Log Analytics Implementa la configuración de diagnóstico de Azure Key Vault para transmitir los registros de recursos a un área de trabajo de Log Analytics cuando se crea o actualiza cualquier instancia de Key Vault a la que le falta esta configuración de diagnóstico. DeployIfNotExists, Disabled 2.0.1
Implementar: realizar la configuración de diagnóstico en un centro de eventos para que se habilite en el HSM administrado de Azure Key Vault Permite implementar la configuración de diagnóstico en el HSM administrado de Azure Key Vault para que se transmita a un centro de eventos regional cuando se cree o actualice cualquier HSM administrado de Azure Key Vault en el que falte esta configuración de diagnóstico. DeployIfNotExists, Disabled 1.0.0
Implementar la configuración de diagnóstico para Key Vault en el Centro de eventos Implementa la configuración de diagnóstico para que Key Vault se transmita a un Centro de eventos regional cuando se cree o actualice cualquier instancia de Key Vault a la que falte esta configuración de diagnóstico. DeployIfNotExists, Disabled 3.0.1
Las claves de Key Vault deben tener una fecha de expiración Las claves criptográficas deben tener una fecha de expiración definida y no ser permanentes. Las claves que no expiran proporcionan a los posibles atacantes más tiempo para hacerse con ellas. Por ello, se recomienda como práctica de seguridad establecer fechas de expiración en las claves criptográficas. Audit, Deny, Disabled 1.0.2
Los secretos de Key Vault deben tener una fecha de expiración Los secretos deben tener una fecha de expiración definida y no ser permanentes. Los secretos que no expiran proporcionan a un posible atacante más tiempo para ponerlos en peligro. Por ello, se recomienda como práctica de seguridad establecer fechas de expiración en los secretos. Audit, Deny, Disabled 1.0.2
Los almacenes de claves deben tener habilitada la protección contra eliminación La eliminación malintencionada de un almacén de claves puede provocar una pérdida de datos permanente. Puede evitar la pérdida permanente de datos habilitando la protección de purga y la eliminación temporal. La protección contra purgas le protege frente a ataques internos mediante la aplicación de un período de retención obligatorio para almacenes de claves eliminados temporalmente. Ningún usuario de su organización o Microsoft podrá purgar los almacenes de claves durante el período de retención de eliminación temporal. Tenga en cuenta que los almacenes de claves creados después del 1 de septiembre de 2019 tienen habilitada la eliminación temporal de manera predeterminada. Audit, Deny, Disabled 2.1.0
Los almacenes de claves deben tener habilitada la eliminación temporal Si se elimina un almacén de claves que no tenga habilitada la eliminación temporal, se eliminarán permanentemente todos los secretos, claves y certificados almacenados en ese almacén de claves. La eliminación accidental de un almacén de claves puede provocar una pérdida de datos permanente. La eliminación temporal permite recuperar un almacén de claves eliminado accidentalmente durante un período de retención configurable. Audit, Deny, Disabled 3.0.0
Las claves deben estar respaldadas por un módulo de seguridad de hardware (HSM) Un HSM es un módulo de seguridad de hardware que almacena claves. Un HSM proporciona una capa física de protección para las claves criptográficas. La clave criptográfica no puede salir de un HSM físico que proporciona un mayor nivel de seguridad que una clave de software. Audit, Deny, Disabled 1.0.1
Las claves deben ser del tipo criptográfico especificado, RSA o EC Algunas aplicaciones requieren el uso de claves respaldadas por un tipo criptográfico específico. Aplique un tipo de clave criptográfica (ya sea RSA o EC) determinado en su entorno. Audit, Deny, Disabled 1.0.1
Las claves deben tener una directiva de rotación que garantice que su rotación esté programada en el número de días especificado después de la creación. Especifique el número máximo de días después de la creación de claves hasta que se deba rotar para administrar los requisitos de cumplimiento de la organización. Audit, Disabled 1.0.0
Las claves deben tener más días que los especificados en la expiración Si una clave está demasiado cerca de la expiración, un retraso de la organización para rotar la clave puede producir una interrupción. Las claves se deben rotar cuando falta un número especificado de días antes de la expiración, para proporcionar el tiempo suficiente para reaccionar ante un error. Audit, Deny, Disabled 1.0.1
Las claves deben tener un período de validez máximo especificado Administre los requisitos de cumplimiento de su organización. Para ello, especifique la cantidad máxima de tiempo en días que una clave puede ser válido en el almacén de claves. Audit, Deny, Disabled 1.0.1
Las claves no deben estar activas durante más tiempo que el número especificado de días Especifique el número de días que debe estar activa una clave. Las claves que se usan durante un período de tiempo prolongado aumentan la probabilidad de que un atacante pueda ponerlas en peligro. Por ello, se recomienda como práctica de seguridad que las claves no estén activas durante más de dos años. Audit, Deny, Disabled 1.0.1
Las claves que usan criptografía de curva elíptica deben tener especificados los nombres de curva Las claves respaldadas por la criptografía de curva elíptica pueden tener distintos nombres de curva. Algunas aplicaciones solo son compatibles con las claves de curva elíptica específicas. Aplique los tipos de claves de curva elíptica que se pueden crear en el entorno. Audit, Deny, Disabled 1.0.1
Las claves que usan la criptografía RSA deben tener el tamaño de clave mínimo que se haya especificado Establezca el tamaño mínimo permitido de la clave para usarlo con los almacenes de claves. Tenga en cuenta que no es seguro usar claves RSA con tamaños de clave pequeños, ya que no cumplen muchos requisitos de certificación del sector. Audit, Deny, Disabled 1.0.1
Los registros de recursos del HSM administrado de Azure Key Vault deben estar habilitados. Para volver a crear seguimientos de actividad con fines de investigación cuando se produce un incidente de seguridad o cuando la red se ve comprometida, es posible que desee realizar auditorías habilitando los registros de recursos en HSM administrados. Siga las instrucciones que encontrará aquí: https://docs.microsoft.com/azure/key-vault/managed-hsm/logging. AuditIfNotExists, Disabled 1.1.0
Los registros de recursos de Key Vault deben estar habilitados Habilitación de la auditoría de los registros de recursos. De esta forma, puede volver a crear seguimientos de actividad con fines de investigación en caso de incidentes de seguridad o riesgos para la red. AuditIfNotExists, Disabled 5.0.0
Los secretos deben tener establecido el tipo de contenido Una etiqueta de tipo de contenido le permitirá identificar si un secreto es una contraseña, una cadena de conexión, etc. Los distintos secretos tienen diferentes requisitos de rotación. La etiqueta de tipo de contenido debe establecerse en secretos. Audit, Deny, Disabled 1.0.1
Los secretos deben tener más días que los especificados en la expiración Si un secreto está demasiado cerca de la expiración, un retraso de la organización para rotar el secreto puede producir una interrupción. Los secretos se deben rotar cuando falta un número especificado de días antes de la expiración, para proporcionar el tiempo suficiente para reaccionar ante un error. Audit, Deny, Disabled 1.0.1
Los secretos deben tener un período de validez máximo especificado Administre los requisitos de cumplimiento de su organización. Para ello, especifique la cantidad máxima de tiempo en días que un secreto puede ser válido en el almacén de claves. Audit, Deny, Disabled 1.0.1
Los secretos no deben estar activos durante más tiempo que el número especificado de días Si los secretos se crearon con una fecha de activación establecida en el futuro, debe asegurarse de que esos secretos no hayan estado activos durante más tiempo del especificado. Audit, Deny, Disabled 1.0.1

Kubernetes

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
[Versión preliminar]: [Integridad de la imagen] Los clústeres de Kubernetes solo deben usar imágenes firmadas por notación Utilice imágenes firmadas por notación para asegurarse de que provengan de fuentes confiables y no se modifiquen maliciosamente. Para más información, visite https://aka.ms/aks/image-integrity Audit, Disabled 1.0.0-preview
[Versión preliminar]: Los clústeres de Kubernetes con Azure Arc habilitado deben tener instalada la extensión de Microsoft Defender for Cloud La extensión Microsoft Defender for Cloud para Azure Arc proporciona protección contra amenazas para los clústeres de Kubernetes habilitados para Arc. La extensión recopila datos de todos los nodos del clúster y los envía al back-end de Azure Defender para Kubernetes en la nube para su posterior análisis. Puede encontrar más información en https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. AuditIfNotExists, Disabled 6.0.0 (preliminar)
[Versión preliminar]: No se pueden editar nodos individuales No se pueden editar nodos individuales. Los usuarios no deben editar nodos individuales. Edite los grupos de nodos. La modificación de nodos individuales puede provocar configuraciones incoherentes, desafíos operativos y posibles riesgos de seguridad. Audit, Deny, Disabled 1.1.1-preview
[Versión preliminar]: Configurar clústeres de Kubernetes con Azure Arc habilitado para instalar la extensión de Microsoft Defender for Cloud La extensión Microsoft Defender for Cloud para Azure Arc proporciona protección contra amenazas para los clústeres de Kubernetes habilitados para Arc. La extensión recopila datos de todos los nodos del clúster y los envía al back-end de Azure Defender para Kubernetes en la nube para su posterior análisis. Puede encontrar más información en https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. DeployIfNotExists, Disabled 7.1.0-preview
[Versión preliminar]: Implementar integridad de imagen en AKS Implemente la integridad de la imagen y los clústeres de Azure Kubernetes de complementos de directiva. Para más información, visite https://aka.ms/aks/image-integrity DeployIfNotExists, Disabled 1.0.5-preview
[Vista previa]: Las imágenes de contenedor de clúster de Kubernetes deben incluir la tecla para colgar y descolgar preStop Requiere que las imágenes de contenedor incluyan un enlace preStop para finalizar correctamente los procesos durante los apagados del pod. Audit, Deny, Disabled 1.0.0-preview
[Vista previa]: Las imágenes de contenedor del clúster de Kubernetes no deberían incluir la etiqueta de imagen más reciente Requiere que las imágenes de contenedor no usen la etiqueta más reciente de Kubernetes; se trata de un procedimiento recomendado para garantizar la reproducibilidad, evitar actualizaciones no deseadas y facilitar la depuración y reversiones mediante imágenes de contenedor explícitas y con versión. Audit, Deny, Disabled 1.0.0-preview
[Versión preliminar]: los contenedores de clúster de Kubernetes solo deben extraer imágenes cuando haya secretos de extracción de imágenes presentes Restricción de extracciones de imágenes de los contenedores para exigir la presencia de ImagePullSecrets, que garantiza el acceso seguro y autorizado a las imágenes de un clúster de Kubernetes Audit, Deny, Disabled 1.1.0-preview
[Versión preliminar]: los servicios de clúster de Kubernetes deben usar selectores únicos Asegúrese de que los servicios en un espacio de nombres tengan selectores únicos. Un selector de servicio único garantiza que cada servicio en un espacio de nombres sea identificable de forma única en función de criterios específicos. Esta directiva sincroniza los recursos de entrada en OPA mediante Gatekeeper. Antes de aplicarla, compruebe que no se superará la capacidad de memoria de pods de Gatekeeper. Los parámetros se aplican a espacios de nombres específicos, pero sincroniza todos los recursos de ese tipo en todos los espacios de nombres. Actualmente está en versión preliminar para Kubernetes Service (AKS). Audit, Deny, Disabled 1.1.1-preview
[Versión preliminar]: el clúster de Kubernetes debe implementar presupuestos de interrupciones de pods precisos Evita los presupuestos defectuosos de interrupción de pods, lo que garantiza un número mínimo de pods operativos. Consulta la documentación oficial de Kubernetes para más información. Se basa en la replicación de datos de Gatekeeper y sincroniza todos los recursos de entrada con ese ámbito en OPA. Antes de aplicar esta directiva, asegúrate de que los recursos de entrada sincronizados no restringen la capacidad de memoria. Aunque los parámetros evalúan espacios de nombres específicos, se sincronizarán todos los recursos de ese tipo entre espacios de nombres. Nota: Actualmente está en versión preliminar para Kubernetes Service (AKS). Audit, Deny, Disabled 1.1.1-preview
[Versión preliminar]: Los clústeres de Kubernetes deben restringir la creación del tipo de recurso especificado Dado el tipo de recurso de Kubernetes no se debe implementar en un determinado espacio de nombres. Audit, Deny, Disabled 2.2.0-preview
[Versión preliminar]: Conjunto de reglas antiafinidad imprescindible Esta directiva garantiza que los pods estén programados en distintos nodos del clúster. Al aplicar reglas de antiafinidad, la disponibilidad se mantiene incluso si uno de los nodos deja de estar disponible. Los pods seguirán ejecutándose en otros nodos, lo que mejorará la resistencia. Audit, Deny, Disabled 1.1.1-preview
[Versión preliminar]: Sin etiquetas específicas AKS Impide que los clientes apliquen etiquetas específicas de AKS. AKS usa etiquetas precedidas por kubernetes.azure.com para indicar componentes que son propiedad de AKS. El cliente no debe usar estas etiquetas. Audit, Deny, Disabled 1.1.1-preview
[Versión preliminar]: Marcas del grupo del sistema reservado Restringe la intolerancia CriticalAddonsOnly solo al grupo del sistema. AKS usa la intolerancia CriticalAddonsOnly para mantener los pods del cliente alejados del grupo de sistemas. Garantiza una separación clara entre los componentes de AKS y los pods del cliente, al igual que evita que los pods del cliente se expulsen si no toleran la intolerancia CriticalAddonsOnly. Audit, Deny, Disabled 1.1.1-preview
[Vista previa]: Restringe la etiqueta CriticalAddonsOnly solo al grupo del sistema. Para evitar la expulsión de aplicaciones de usuario de grupos de usuarios y mantener la separación de problemas entre los grupos de usuarios y del sistema, la intolerancia "CriticalAddonsOnly" no se debe aplicar a grupos de usuarios. Mutar, Deshabilitado 1.1.0-preview
[Vista previa]: Establece los límites de CPU de los contenedores de clúster de Kubernetes en valores predeterminados en caso de que no estén presentes. Establecimiento de límites de CPU de contenedor para evitar ataques de agotamiento de recursos en un clúster de Kubernetes. Mutar, Deshabilitado 1.1.1-preview
[Vista previa]: Establece los límites de la memoria de los contenedores de clúster de Kubernetes en valores predeterminados en caso de que no estén presentes. Establecimiento de límites de memoria de contenedor para evitar ataques de agotamiento de recursos en un clúster de Kubernetes. Mutar, Deshabilitado 1.1.1-preview
[Vista previa]: Establece los pods maxUnavailable en 1 para los recursos PodDisruptionBudget Establecer el valor máximo de pods no disponibles en 1 garantiza que la aplicación o el servicio estén disponibles durante una interrupción Mutar, Deshabilitado 1.1.0-preview
[Vista previa]: Establece readOnlyRootFileSystem en true en la especificación del pod en los contenedores de inicialización si no se establece. Al establecer readOnlyRootFileSystem en true, aumenta la seguridad al evitar que los contenedores escriban en el sistema de archivos raíz. Esto solo funciona para contenedores de Linux. Mutar, Deshabilitado 1.1.0-preview
[Vista previa]: Establece readOnlyRootFileSystem en true en la especificación del pod si no se establece. Al establecer readOnlyRootFileSystem en true, aumenta la seguridad al evitar que los contenedores escriban en el sistema de archivos raíz Mutar, Deshabilitado 1.1.0-preview
Los clústeres de Kubernetes habilitados para Azure Arc deben tener instalada la extensión de Azure Policy La extensión Azure Policy para Azure Arc proporciona medidas de seguridad y cumplimiento a escala en los clústeres de Kubernetes habilitados para Arc de forma centralizada y coherente. Obtenga más información en https://aka.ms/akspolicydoc. AuditIfNotExists, Disabled 1.1.0
Los clústeres de Kubernetes habilitados para Azure Arc deben tener la extensión de Open Service Mesh instalada La extensión Open Service Mesh proporciona todas las capacidades de malla de servicio estándar para la seguridad, la administración del tráfico y la capacidad de observación de los servicios de aplicación. Más información aquí: https://aka.ms/arc-osm-doc DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Los clústeres de Kubernetes habilitados para Azure Arc deben tener instalada la extensión de Strimzi Kafka La extensión Strimzi Kafka proporciona a los operadores la instalación de Kafka para crear canalizaciones de datos en tiempo real y aplicaciones de streaming con funcionalidades de seguridad y observabilidad. Más información aquí: https://aka.ms/arc-strimzikafka-doc. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Los clústeres de Azure Kubernetes deben habilitar Container Storage Interface (CSI) La interfaz de almacenamiento de contenedores (CSI) es un estándar para exponer sistemas de almacenamiento de archivos y bloques arbitrarios a cargas de trabajo en contenedores en Azure Kubernetes Service. Para obtener más información, https://aka.ms/aks-csi-driver Audit, Disabled 1.0.0
Los clústeres de Azure Kubernetes deben habilitar el Servicio de administración de claves (KMS) Use el Servicio de administración de claves (KMS) para cifrar los datos secretos en reposo en etcd con el fin de proteger el clúster de Kubernetes. Más información en: https://aka.ms/aks/kmsetcdencryption. Audit, Disabled 1.0.0
Los clústeres de Azure Kubernetes deben usar Azure CNI Azure CNI es un requisito previo para algunas características de Azure Kubernetes Service, incluidas las directivas de red de Azure, los grupos de nodos de Windows y el complemento de nodos virtuales. Más información en: https://aka.ms/aks-azure-cni Audit, Disabled 1.0.1
Los clústeres de Azure Kubernetes Service deben deshabilitar la invocación de comandos Deshabilitar la invocación de comandos puede mejorar la seguridad, puesto que evita la omisión del acceso restringido a la red o el control de acceso basado en roles de Kubernetes Audit, Disabled 1.0.1
Los clústeres de Azure Kubernetes Service deben habilitar la actualización automática del sistema operativo del clúster La actualización automática del clúster de AKS puede asegurarse de que los clústeres estén actualizados y no pierda las características o revisiones más recientes de AKS y Kubernetes ascendentes. Más información en: https://learn.microsoft.com/en-us/azure/aks/auto-upgrade-cluster. Audit, Disabled 1.0.0
Los clústeres de Azure Kubernetes Service deben habilitar Image Cleaner Image Cleaner realiza la identificación y eliminación automáticas de imágenes vulnerables y sin usar, lo que mitiga el riesgo de imágenes obsoletas y reduce el tiempo necesario para limpiarlas. Más información en: https://aka.ms/aks/image-cleaner. Audit, Disabled 1.0.0
Los clústeres de Azure Kubernetes Service deben habilitar la integración de Microsoft Entra ID La integración de Microsoft Entra ID administrada por AKS puede administrar el acceso a los clústeres mediante la configuración del control de acceso basado en roles de Kubernetes (RBAC de Kubernetes) en función de la identidad de un usuario o la pertenencia a grupos de directorios. Más información en: https://aka.ms/aks-managed-aad. Audit, Disabled 1.0.2
Los clústeres de Azure Kubernetes Service deben habilitar la actualización automática del sistema operativo del nodo La actualización automática del sistema operativo del nodo de AKS controla las actualizaciones de seguridad del sistema operativo de nivel de nodo. Más información en: https://learn.microsoft.com/en-us/azure/aks/auto-upgrade-node-image. Audit, Disabled 1.0.0
Los clústeres de Azure Kubernetes Service deben habilitar la identidad de carga de trabajo La identidad de carga de trabajo permite asignar una identidad única a cada pod de Kubernetes y asociarla a recursos protegidos de Azure AD, como Azure Key Vault, lo que permite el acceso seguro a estos recursos desde el pod. Más información en: https://aka.ms/aks/wi. Audit, Disabled 1.0.0
Los clústeres de Azure Kubernetes Service deberían tener habilitado el perfil de Defender Microsoft Defender para Contenedores proporciona funcionalidades de seguridad de Kubernetes nativas de la nube, como protección del entorno, protección de cargas de trabajo y protección en tiempo de ejecución. Al habilitar SecurityProfile.AzureDefender en el clúster de Azure Kubernetes Service, se implementa un agente en el clúster para recopilar datos de eventos de seguridad. Más información sobre Microsoft Defender para registros de contenedor en https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks Audit, Disabled 2.0.1
Los clústeres de Azure Kubernetes Service deben tener los métodos de autenticación local deshabilitados La deshabilitación de los métodos de autenticación local mejora la seguridad, ya que garantiza que los clústeres de Azure Kubernetes Service deben exigir exclusivamente identidades de Azure Active Directory para la autenticación. Más información en: https://aka.ms/aks-disable-local-accounts. Audit, Deny, Disabled 1.0.1
Los clústeres de Azure Kubernetes Service deben usar identidades administradas Use identidades administradas para encapsular entidades de servicio, simplificar la administración de clústeres y evitar la complejidad necesaria para las entidades de servicio administradas. Más información en: https://aka.ms/aks-update-managed-identities Audit, Disabled 1.0.1
Los clústeres privados de Azure Kubernetes Service deben estar habilitados Habilite la característica de clúster privado para el clúster de Azure Kubernetes Service a fin de asegurarse de que el tráfico de red entre el servidor de API y los grupos de nodos permanece solo en la red privada. Este es un requisito común de muchos estándares de cumplimiento normativo y del sector. Audit, Deny, Disabled 1.0.1
El complemento Azure Policy para Kubernetes Service (AKS) debería estar instalado y habilitado en sus clústeres El complemento Azure Policy para Kubernetes Service (AKS) amplía Gatekeeper v3, un webhook del controlador de admisión de Open Policy Agent (OPA), para aplicar imposiciones y medidas de seguridad a escala en los clústeres de forma centralizada y coherente. Audit, Disabled 1.0.2
Los sistemas operativos y los discos de datos de los clústeres de Azure Kubernetes Service deben cifrarse mediante claves administradas por el cliente El cifrado de los sistemas operativos y los discos de datos mediante claves administradas por el cliente proporciona más control y mayor flexibilidad para la administración de claves. Este es un requisito común de muchos estándares de cumplimiento normativo y del sector. Audit, Deny, Disabled 1.0.1
Configurar clústeres de Kubernetes habilitados para Azure Arc para instalar la extensión de Azure Policy Implemente la extensión de Azure Policy para Azure Arc a fin de proporcionar cumplimientos a escala y proteger los clústeres de Kubernetes habilitados para Arc de forma centralizada y coherente. Obtenga más información en https://aka.ms/akspolicydoc. DeployIfNotExists, Disabled 1.1.0
Configurar clústeres de Azure Kubernetes Service para habilitar el perfil de Defender Microsoft Defender para Contenedores proporciona funcionalidades de seguridad de Kubernetes nativas de la nube, como protección del entorno, protección de cargas de trabajo y protección en tiempo de ejecución. Al habilitar SecurityProfile.Defender en el clúster de Azure Kubernetes Service, se implementa un agente en el clúster para recopilar datos de eventos de seguridad. Obtenga más información sobre Microsoft Defender for Containers: https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks. DeployIfNotExists, Disabled 4.1.0
Configurar la instalación de la extensión Flux en el clúster de Kubernetes Instalar la extensión Flux en el clúster de Kubernetes para habilitar la implementación de "fluxconfigurations" en el clúster DeployIfNotExists, Disabled 1.0.0
Configurar clústeres de Kubernetes con la configuración de Flux v2 mediante el origen y los secretos del cubo en KeyVault Implemente un objeto "fluxConfiguration" en los clústeres de Kubernetes para garantizar que los clústeres obtienen su origen de verdad para las cargas de trabajo y las configuraciones del cubo definido. Esta definición requiere un objeto SecretKey de cubo almacenado en Key Vault. Para obtener instrucciones, visite https://aka.ms/GitOpsFlux2Policy. DeployIfNotExists, Disabled 1.0.0
Configurar clústeres de Kubernetes con la configuración de Flux v2 mediante el repositorio GIT y el certificado de entidad de certificación de HTTPS Implemente un objeto "fluxConfiguration" en los clústeres de Kubernetes para garantizar que los clústeres obtienen su origen de verdad para las cargas de trabajo y las configuraciones del repositorio de Git definido. Esta definición requiere un certificado de entidad de certificación HTTPS. Para obtener instrucciones, visite https://aka.ms/GitOpsFlux2Policy. DeployIfNotExists, Disabled 1.0.1
Configurar clústeres de Kubernetes con la configuración de Flux v2 mediante el repositorio GIT y los secretos HTTPS Implemente un objeto "fluxConfiguration" en los clústeres de Kubernetes para garantizar que los clústeres obtienen su origen de verdad para las cargas de trabajo y las configuraciones del repositorio de Git definido. Esta definición requiere un secreto de clave privada HTTPS almacenada en Key Vault. Para obtener instrucciones, visite https://aka.ms/GitOpsFlux2Policy. DeployIfNotExists, Disabled 1.0.0
Configurar clústeres de Kubernetes con la configuración de Flux v2 mediante el repositorio GIT y los secretos locales Implemente un objeto "fluxConfiguration" en los clústeres de Kubernetes para garantizar que los clústeres obtienen su origen de verdad para las cargas de trabajo y las configuraciones del repositorio de Git definido. Esta definición requiere secretos de autenticación locales almacenados en el clúster de Kubernetes. Para obtener instrucciones, visite https://aka.ms/GitOpsFlux2Policy. DeployIfNotExists, Disabled 1.0.0
Configurar clústeres de Kubernetes con la configuración de Flux v2 mediante el repositorio GIT y los secretos SSH Implemente un objeto "fluxConfiguration" en los clústeres de Kubernetes para garantizar que los clústeres obtienen su origen de verdad para las cargas de trabajo y las configuraciones del repositorio de Git definido. Esta definición requiere un secreto de clave privada SSH almacenado en Key Vault. Para obtener instrucciones, visite https://aka.ms/GitOpsFlux2Policy. DeployIfNotExists, Disabled 1.0.0
Configurar clústeres de Kubernetes con la configuración de Flux v2 mediante el repositorio GIT público Implemente un objeto "fluxConfiguration" en los clústeres de Kubernetes para garantizar que los clústeres obtienen su origen de verdad para las cargas de trabajo y las configuraciones del repositorio de Git definido. Esta definición no requiere ningún secreto. Para obtener instrucciones, visite https://aka.ms/GitOpsFlux2Policy. DeployIfNotExists, Disabled 1.0.0
Configurar clústeres de Kubernetes con el origen de cubo de Flux v2 especificado mediante secretos locales Implemente un objeto "fluxConfiguration" en los clústeres de Kubernetes para garantizar que los clústeres obtienen su origen de verdad para las cargas de trabajo y las configuraciones del cubo definido. Esta definición requiere secretos de autenticación locales almacenados en el clúster de Kubernetes. Para obtener instrucciones, visite https://aka.ms/GitOpsFlux2Policy. DeployIfNotExists, Disabled 1.0.0
Configurar clústeres de Kubernetes con la configuración de GitOps especificada con secretos HTTPS Implemente un objeto "sourceControlConfiguration" en los clústeres de Kubernetes para garantizar que los clústeres obtienen su origen de verdad para las cargas de trabajo y las configuraciones del repositorio Git definido. Esta definición requiere que los secretos de usuario y clave de HTTPS estén almacenados en Key Vault. Para obtener instrucciones, visite https://aka.ms/K8sGitOpsPolicy. auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled 1.1.0
Configurar clústeres de Kubernetes con la configuración de GitOps especificada sin secretos Implemente un objeto "sourceControlConfiguration" en los clústeres de Kubernetes para garantizar que los clústeres obtienen su origen de verdad para las cargas de trabajo y las configuraciones del repositorio Git definido. Esta definición no requiere ningún secreto. Para obtener instrucciones, visite https://aka.ms/K8sGitOpsPolicy. auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled 1.1.0
Configurar clústeres de Kubernetes con la configuración de GitOps especificada con secretos SSH Implemente un objeto "sourceControlConfiguration" en los clústeres de Kubernetes para garantizar que los clústeres obtienen su origen de verdad para las cargas de trabajo y las configuraciones del repositorio Git definido. Esta definición requiere un secreto de clave privada SSH en Key Vault. Para obtener instrucciones, visite https://aka.ms/K8sGitOpsPolicy. auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled 1.1.0
Configurar clústeres de Azure Kubernetes Service integrados de Microsoft Entra ID con el acceso de grupo de administración necesario Asegúrese de mejorar la seguridad del clúster mediante un control centralizado del acceso de administrador a los clústeres de AKS integrados de Microsoft Entra ID. DeployIfNotExists, Disabled 2.1.0
Configurar la actualización automática del sistema operativo de nodo en el clúster de Azure Kubernetes Usar la actualización automática del sistema operativo de nodo para controlar las actualizaciones de seguridad del sistema operativo de nivel de nodo de los clústeres de Azure Kubernetes Service (AKS). Para más información, visite https://learn.microsoft.com/en-us/azure/aks/auto-upgrade-node-image. DeployIfNotExists, Disabled 1.0.1
Implementación: configure las opciones de diagnóstico de Azure Kubernetes Service en el área de trabajo de Log Analytics Implementa la configuración de diagnóstico de Azure Kubernetes Service para transmitir los registros de recursos a un área de trabajo de Log Analytics. DeployIfNotExists, Disabled 3.0.0
Implementación del complemento de Azure Policy en los clústeres de Azure Kubernetes Service Use el complemento de Azure Policy para administrar e informar sobre el estado de cumplimiento de los clústeres de Azure Kubernetes Service (AKS). Para obtener más información, vea https://aka.ms/akspolicydoc. DeployIfNotExists, Disabled 4.1.0
Implementar Image Cleaner en Azure Kubernetes Service Implementar Image Cleaner en clústeres de Azure Kubernetes. Para más información, visite https://aka.ms/aks/image-cleaner DeployIfNotExists, Disabled 1.0.4
Implemente el mantenimiento planificado para programar y controlar las actualizaciones del clúster de Azure Kubernetes Service (AKS) El mantenimiento planeado permite programar ventanas de mantenimiento semanales para realizar actualizaciones y minimizar el impacto en la carga de trabajo. Una vez se programen, las actualizaciones ocurren solo durante la ventana que se seleccionó. Más información en: https://aka.ms/aks/planned-maintenance DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Deshabilitar la invocación de comandos en los clústeres de Azure Kubernetes Service Si deshabilita la invocación de comandos, puede mejorar la seguridad al rechazar el acceso de invoke-command al clúster DeployIfNotExists, Disabled 1.2.0
Asegúrese de que los contenedores de clúster tienen configurados sondeos de comprobación o ejecución Esta directiva exige que todos los pods tengan configurados sondeos de preparación o ejecución. Los sondeos pueden ser cualquiera de tipo tcpSocket, httpGet y exec. Esta directiva está disponible con carácter general para Kubernetes Service (AKS) y en versión preliminar para Kubernetes habilitado para Azure Arc. Para instrucciones sobre el uso de esta directiva, visite https://aka.ms/kubepolicydoc. Audit, Deny, Disabled 3.2.0
Asegurarse de que los límites de los recursos de memoria y CPU del contenedor no superan los límites especificados en el clúster de Kubernetes Aplique límites de recursos de CPU y memoria de contenedor en un clúster de Kubernetes para evitar los ataques de agotamiento de recursos. Esta directiva está disponible con carácter general para Kubernetes Service (AKS) y en versión preliminar para Kubernetes habilitado para Azure Arc. Para obtener más información, vea https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 9.2.0
Los contenedores del clúster de Kubernetes no deben compartir el identificador de proceso del host ni el espacio de nombres IPC del host No permita que los contenedores de pods compartan el espacio de nombres de id. de proceso de host ni el espacio de nombres de IPC de host en un clúster de Kubernetes. Esta recomendación forma parte de las versiones 5.2.2 y 5.2.3 de CIS, diseñadas para mejorar la seguridad de los entornos de Kubernetes. Esta directiva está disponible con carácter general para Kubernetes Service (AKS) y en versión preliminar para Kubernetes habilitado para Azure Arc. Para obtener más información, vea https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 5.1.0
Los contenedores de clúster de Kubernetes no deben usar interfaces sysctl prohibidas Los contenedores no deben usar interfaces sysctl prohibidas en los clústeres de Kubernetes. Esta directiva está disponible con carácter general para Kubernetes Service (AKS) y en versión preliminar para Kubernetes habilitado para Azure Arc. Para obtener más información, vea https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 7.1.1
Los contenedores de clúster de Kubernetes solo deben usar perfiles de AppArmor permitidos Los contenedores solo deben usar perfiles de AppArmor permitidos en un clúster de Kubernetes. Esta directiva está disponible con carácter general para Kubernetes Service (AKS) y en versión preliminar para Kubernetes habilitado para Azure Arc. Para obtener más información, vea https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 6.1.1
Los contenedores de clúster de Kubernetes solo deben usar funcionalidades permitidas Restrinja las funcionalidades para reducir la superficie de contenedores expuesta a ataques en un clúster de Kubernetes. Esta recomendación forma parte de las versiones 5.2.8 y 5.2.9 de CIS, diseñadas para mejorar la seguridad de los entornos de Kubernetes. Esta directiva está disponible con carácter general para Kubernetes Service (AKS) y en versión preliminar para Kubernetes habilitado para Azure Arc. Para obtener más información, vea https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 6.1.0
Asegurarse de que solo se admiten las imágenes de contenedor permitidas en el clúster de Kubernetes Use imágenes de registros de confianza para reducir el riesgo de exposición del clúster de Kubernetes a vulnerabilidades desconocidas, problemas de seguridad e imágenes malintencionadas. Para obtener más información, vea https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 9.2.0
Los contenedores de clúster de Kubernetes solo deben usar el tipo ProcMountType permitido Los contenedores de pods solo pueden usar tipos ProcMountType permitidos en los clústeres de Kubernetes. Esta directiva está disponible con carácter general para Kubernetes Service (AKS) y en versión preliminar para Kubernetes habilitado para Azure Arc. Para obtener más información, vea https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 8.1.1
Los contenedores de clúster de Kubernetes solo deben usar la directiva de extracción permitida Restrinja la directiva de extracción de los contenedores para exigir que los contenedores solo usen imágenes permitidas en implementaciones. Audit, Deny, Disabled 3.1.0
Los contenedores de clúster de Kubernetes solo deben usar perfiles de seccomp permitidos Los contenedores de pods solo pueden usar perfiles de seccomp permitidos en los clústeres de Kubernetes. Esta directiva está disponible con carácter general para Kubernetes Service (AKS) y en versión preliminar para Kubernetes habilitado para Azure Arc. Para obtener más información, vea https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 7.1.1
Los contenedores del clúster de Kubernetes deben ejecutarse con un sistema de archivos raíz de solo lectura Ejecute contenedores con un sistema de archivos raíz de solo lectura para protegerlos de los cambios en tiempo de ejecución con la incorporación de archivos binarios malintencionados a la ruta de acceso en un clúster de Kubernetes. Esta directiva está disponible con carácter general para Kubernetes Service (AKS) y en versión preliminar para Kubernetes habilitado para Azure Arc. Para obtener más información, vea https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 6.2.0
Los volúmenes FlexVolume del pod de clúster de Kubernetes solo deben usar controladores permitidos Los volúmenes FlexVolume del pod solo deben usar controladores permitidos en los clústeres de Kubernetes. Esta directiva está disponible con carácter general para Kubernetes Service (AKS) y en versión preliminar para Kubernetes habilitado para Azure Arc. Para obtener más información, vea https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 5.1.1
Los volúmenes hostPath del pod del clúster de Kubernetes solo deben usar rutas de host permitidas Limite los montajes de volumen hostPath del pod a las rutas de acceso de host permitidas en un clúster de Kubernetes. Esta directiva está disponible con carácter general para Kubernetes Service (AKS) y Kubernetes habilitado para Azure Arc. Para más información, consulte https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 6.1.1
Los contenedores y pods de clúster de Kubernetes solo deben ejecutarse con identificadores de usuario y grupo aprobados Controle los id. de usuario, grupo principal, grupo adicional y grupo de sistema de archivos que los pods y los contenedores pueden usar para ejecutarse en un clúster de Kubernetes. Esta directiva está disponible con carácter general para Kubernetes Service (AKS) y en versión preliminar para Kubernetes habilitado para Azure Arc. Para obtener más información, vea https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 6.1.1
Los pods y contenedores de los clústeres de Kubernetes solo deben usar opciones de SELinux permitidas Los pods y contenedores solo deben usar opciones de SELinux permitidas en los clústeres de Kubernetes. Esta directiva está disponible con carácter general para Kubernetes Service (AKS) y en versión preliminar para Kubernetes habilitado para Azure Arc. Para obtener más información, vea https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 7.1.1
Los pods del clúster de Kubernetes solo pueden usar tipos de volumen permitidos Los pods solo pueden usar tipos de volúmenes permitidos en los clústeres de Kubernetes. Esta directiva está disponible con carácter general para Kubernetes Service (AKS) y en versión preliminar para Kubernetes habilitado para Azure Arc. Para obtener más información, vea https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 5.1.1
Los pods del clúster de Kubernetes solo pueden usar redes de host e intervalos de puerto permitidos Restringe el acceso de los pods a la red del host y el intervalo de puertos de host permitidos en un clúster de Kubernetes. Esta recomendación forma parte de la versión 5.2.4 de CIS, diseñada para mejorar la seguridad de los entornos de Kubernetes. Esta directiva está disponible con carácter general para Kubernetes Service (AKS) y en versión preliminar para Kubernetes habilitado para Azure Arc. Para obtener más información, vea https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 6.1.0
Los pods del clúster de Kubernetes deben usar etiquetas especificadas Use las etiquetas especificadas para identificar los pods en un clúster de Kubernetes. Esta directiva está disponible con carácter general para Kubernetes Service (AKS) y en versión preliminar para Kubernetes habilitado para Azure Arc. Para obtener más información, vea https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 7.1.0
Los servicios de clúster de Kubernetes solo deben escuchar en los puertos permitidos Restrinja los servicios para que escuchen solo en puertos permitidos para proteger el acceso al clúster de Kubernetes. Esta directiva está disponible con carácter general para Kubernetes Service (AKS) y en versión preliminar para Kubernetes habilitado para Azure Arc. Para obtener más información, vea https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 8.1.0
Los servicios de clúster de Kubernetes solo deben usar direcciones IP externas permitidas Use direcciones IP externas permitidas para evitar un ataque potencial (CVE-2020-8554) en un clúster de Kubernetes. Para obtener más información, vea https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 5.1.0
No permitir contenedores con privilegios en el clúster de Kubernetes No permita la creación de contenedores con privilegios en un clúster de Kubernetes. Esta recomendación forma parte de la versión 5.2.1 de CIS, diseñada para mejorar la seguridad de los entornos de Kubernetes. Esta directiva está disponible con carácter general para Kubernetes Service (AKS) y en versión preliminar para Kubernetes habilitado para Azure Arc. Para obtener más información, vea https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 9.1.0
El clúster de Kubernetes no debe usar pods desnudos Bloquee el uso de pods desnudos. Los pods desnudos no se volverán a programar en caso de error de nodo. Los pods deben administrarse mediante Deployment, Replicset, DaemonSet o Jobs Audit, Deny, Disabled 2.1.0
Los contenedores de Windows del clúster de Kubernetes no deben sobreasignar la CPU y la memoria Las solicitudes de recursos de contenedores de Windows deben ser menores o iguales que el límite de recursos o no estar especificados para evitar sobreasignaciones. Si la memoria de Windows está sobreaprovisionada, procesará las páginas en el disco, lo que puede ralentizar el rendimiento, en lugar de terminar el contenedor con memoria insuficiente. Audit, Deny, Disabled 2.1.0
Los contenedores de Windows del clúster de Kubernetes no deben ejecutarse como ContainerAdministrator Evite el uso de ContainerAdministrator como usuario para ejecutar los procesos de contenedor para pods o contenedores de Windows. Esta recomendación está pensada para mejorar la seguridad de los nodos Windows. Para obtener más información, consulta https://kubernetes.io/docs/concepts/windows/intro/. Audit, Deny, Disabled 1.1.0
Los contenedores de Windows del clúster de Kubernetes solo deben ejecutarse con un grupo de usuarios de dominio y usuario aprobado Controle el usuario que los contenedores y pods de Windows pueden usar para ejecutarse en un clúster de Kubernetes. Esta recomendación forma parte de las directivas de seguridad de los pods sobre los nodos de Windows, que están pensadas para mejorar la seguridad de los entornos de Kubernetes. Audit, Deny, Disabled 2.1.0
Los clústeres de Kubernetes solo deben ser accesibles mediante HTTPS El uso de HTTPS garantiza la autenticación y protege los datos en tránsito frente a ataques de intercepción de nivel de red. Esta capacidad está disponible actualmente con carácter general para Kubernetes Service (AKS) y en versión preliminar para Kubernetes habilitado para Azure Arc. Para más información, visite https://aka.ms/kubepolicydoc audit, Audit, deny, Deny, disabled, Disabled 8.1.0
Los clústeres de Kubernetes deben deshabilitar las credenciales de la API de montaje automático Deshabilite las credenciales de la API de montaje automático para evitar que un recurso de pod de riesgo ejecute comandos de la API en clústeres de Kubernetes. Para más información, consulte https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 4.1.0
Los clústeres de Kubernetes deben asegurarse de que el rol de administrador del clúster solo se usa cuando sea necesario El rol "administrador de clústeres" proporciona potencias de gran alcance sobre el entorno y solo se debe usar cuando sea necesario y cuando sea necesario. Audit, Disabled 1.0.0
Los clústeres de Kubernetes deben minimizar el uso de caracteres comodín en el rol y en el rol de clúster El uso de caracteres comodín ("*") puede ser un riesgo de seguridad porque concede permisos amplios que pueden no ser necesarios para un rol específico. Si un rol tiene demasiados permisos, podría ser abusado por un atacante o un usuario comprometido para obtener acceso no autorizado a los recursos del clúster. Audit, Disabled 1.0.0
Los clústeres de Kubernetes no deben permitir la elevación de privilegios del contenedor No permita que los contenedores se ejecuten con elevación de privilegios en la raíz en un clúster de Kubernetes. Esta recomendación forma parte de la versión 5.2.5 de CIS, diseñada para mejorar la seguridad de los entornos de Kubernetes. Esta directiva está disponible con carácter general para Kubernetes Service (AKS) y en versión preliminar para Kubernetes habilitado para Azure Arc. Para obtener más información, vea https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 7.1.0
Los clústeres de Kubernetes no deben permitir permisos de edición de puntos de conexión de ClusterRole/System:aggregate-to-edit ClusterRole/system:aggregate-to-edit no debe permitir permisos de edición de puntos de conexión debido a CVE-2021-25740, los permisos Endpoint & EndpointSlice permiten el reenvío entre espacios de nombres, https://github.com/kubernetes/kubernetes/issues/103675. Esta directiva está disponible con carácter general para Kubernetes Service (AKS) y en versión preliminar para Kubernetes habilitado para Azure Arc. Para obtener más información, vea https://aka.ms/kubepolicydoc. Audit, Disabled 3.1.0
Los clústeres de Kubernetes no deben conceder funcionalidades de seguridad CAP_SYS_ADMIN. Para reducir la superficie expuesta a ataques de sus contenedores, restrinja las funcionalidades CAP_SYS_ADMIN de Linux. Para más información, consulte https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 5.1.0
Los clústeres de Kubernetes no deben usar funcionalidades de seguridad específicas Evite las funcionalidades de seguridad específicas en los clústeres de Kubernetes para impedir los privilegios no concedidos en el recurso de pod. Para obtener más información, vea https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 5.1.0
Los clústeres de Kubernetes no deben usar el espacio de nombres predeterminado Evite el uso del espacio de nombres predeterminado en los clústeres de Kubernetes para proteger del acceso no autorizado a los tipos de recurso ConfigMap, Pod, Secret, Service y ServiceAccount. Para más información, consulte https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 4.1.0
Los clústeres de Kubernetes deben usar el controlador StorageClass de Container Storage Interface (CSI) La interfaz de almacenamiento de contenedores (CSI) es un estándar para exponer sistemas de almacenamiento de archivos y bloques arbitrarios a cargas de trabajo en contenedores en Kubernetes. El aprovisionador en árbol StorageClass debería estar en desuso desde la versión 1.21 de AKS. Para obtener más información, https://aka.ms/aks-csi-driver Audit, Deny, Disabled 2.2.0
Los clústeres de Kubernetes deben usar equilibradores de carga internos Use equilibradores de carga internos para que un servicio de Kubernetes sea accesible solo para las aplicaciones que se ejecutan en la misma red virtual que el clúster de Kubernetes. Para obtener más información, vea https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 8.1.0
Los recursos Kubernetes deben tener las anotaciones necesarias Asegúrese de que las anotaciones necesarias están asociadas en un tipo de recurso de Kubernetes determinado para mejorar la administración de recursos en los recursos de Kubernetes. Esta directiva está disponible con carácter general para Kubernetes Service (AKS) y en versión preliminar para Kubernetes habilitado para Azure Arc. Para obtener más información, vea https://aka.ms/kubepolicydoc. Audit, Deny, Disabled 3.1.0
Los registros de recursos de Azure Kubernetes Service se deben habilitar Los registros de recursos de Azure Kubernetes Service pueden ayudar a volver a crear trazos de actividad al investigar incidentes de seguridad. Habilite esta opción para asegurarse de que los registros existirán cuando sea necesario AuditIfNotExists, Disabled 1.0.0
Los discos temporales y la memoria caché de los grupos de nodos agente en los clústeres de Azure Kubernetes Service deben cifrarse en el host Para mejorar la seguridad de los datos, los datos almacenados en el host de las máquinas virtuales de los nodos de Azure Kubernetes Service deben cifrarse en reposo. Este es un requisito común de muchos estándares de cumplimiento normativo y del sector. Audit, Deny, Disabled 1.0.1

Lab Services

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Lab Services debe habilitar todas las opciones para el apagado automático Esta directiva proporciona ayuda con la administración de costos, pues obliga a que todas las opciones de apagado automático estén habilitadas para un laboratorio. Audit, Deny, Disabled 1.1.0
Lab Services no debe permitir máquinas virtuales de plantilla para laboratorios Esta directiva impide la creación y personalización de máquinas virtuales de plantilla para laboratorios administrados a través de Lab Services. Audit, Deny, Disabled 1.1.0
Lab Services debe requerir un usuario que no sea administrador para los laboratorios Esta directiva requiere que se creen cuentas de usuario que no sean de administrador para los laboratorios administrados a través de lab-services. Audit, Deny, Disabled 1.1.0
Lab Services debe restringir los tamaños de SKU de máquina virtual permitidos Esta directiva le permite restringir determinadas SKU de máquina virtual de proceso para laboratorios administrados a través de Lab Services. Esto restringirá determinados tamaños de máquina virtual. Audit, Deny, Disabled 1.1.0

Lighthouse

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Permite administrar los id. de inquilino que se incorporarán mediante Azure Lighthouse La restricción de las delegaciones de Azure Lighthouse a inquilinos de administración concretos aumenta la seguridad, ya que limita los usuarios que pueden administrar los recursos de Azure. deny 1.0.1
Auditar la delegación de ámbitos a un inquilino de administración. Audita la delegación de los ámbitos a un inquilino de administración a través de Azure Lighthouse. Audit, Disabled 1.0.0

Logic Apps

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
El Entorno del servicio de integración de Logic Apps se debe cifrar con claves administradas por el cliente. Realice la implementación en el Entorno del servicio de integración para administrar el cifrado en reposo de los datos de Logic Apps con claves administradas por el cliente. De manera predeterminada, los datos del cliente se cifran con claves administradas por el servicio, pero las claves administradas por el cliente suelen ser necesarias para cumplir estándares de cumplimiento normativo. Las claves administradas por el cliente permiten cifrar los datos con una clave de Azure Key Vault creada por el usuario y propiedad de este. Tiene control y responsabilidad totales del ciclo de vida de la clave, incluidos la rotación y administración. Audit, Deny, Disabled 1.0.0
Logic Apps debe implementarse en el Entorno del servicio de integración. La implementación de Logic Apps en el Entorno del servicio de integración en una red virtual desbloquea las características avanzadas de redes y seguridad de Logic Apps y proporciona un mayor control sobre la configuración de la red. Más información en: https://aka.ms/integration-service-environment. La implementación en el Entorno del servicio de integración también permite el cifrado con claves administradas por el cliente, que proporciona protección de datos mejorada al permitirle administrar sus claves de cifrado. Esto suele ser necesario para satisfacer los requisitos de cumplimiento. Audit, Deny, Disabled 1.0.0
Los registros de recursos de Logic Apps deben estar habilitados Habilitación de la auditoría de los registros de recursos. Esto le permite volver a crear seguimientos de actividad con fines de investigación en caso de incidente de seguridad o riesgo para la red. AuditIfNotExists, Disabled 5.1.0

Machine Learning

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
[Versión preliminar]: las implementaciones del registro de modelos de Azure Machine Learning están restringidas, excepto para el registro permitido Implemente solo los modelos del registro en el registro permitido y que no estén restringidos. Deny, Disabled 1.0.0-preview
La instancia de proceso de Azure Machine Learning debe tener un apagado por inactividad. Al tener una programación de apagado por inactividad, se reduce el coste al cerrar los procesos que están inactivos después de un período de actividad predeterminado. Audit, Deny, Disabled 1.0.0
Las instancias de proceso de Azure Machine Learning se deben volver a crear para obtener las actualizaciones de software más recientes Asegúrese de que las instancias de proceso de Azure Machine Learning se ejecutan en el sistema operativo disponible más reciente. La seguridad se ha mejorado y se han reducido las vulnerabilidades mediante la ejecución con las revisiones de seguridad más recientes. Para más información, visite https://aka.ms/azureml-ci-updates/. [parameters('effects')] 1.0.3
Los procesos de Azure Machine Learning deben estar en una red virtual Las instancias de Azure Virtual Network aportan mayor seguridad y aislamiento a sus instancias y clústeres de proceso de Azure Machine Learning, así como a subredes, directivas de control de acceso y otras características para restringir aún más el acceso. Cuando se configura un proceso con una red virtual, no es posible acceder a ella públicamente; solamente se podrá acceder a ella desde máquinas virtuales y aplicaciones dentro de la red virtual. Audit, Disabled 1.0.1
Los procesos de Azure Machine Learning deberían tener deshabilitados los métodos de autenticación local Deshabilitar los métodos de autenticación local mejora la seguridad ya que garantiza que los procesos de Machine Learning requieran identidades de Azure Active Directory exclusivamente para la autenticación. Más información en: https://aka.ms/azure-ml-aad-policy. Audit, Deny, Disabled 2.1.0
Las áreas de trabajo de Azure Machine Learning deben cifrarse con una clave administrada por el cliente. Administre el cifrado en reposo de los datos del área de trabajo de Azure Machine Learning con claves administradas por el cliente. De manera predeterminada, los datos del cliente se cifran con claves administradas por el servicio, pero las claves administradas por el cliente suelen ser necesarias para cumplir estándares de cumplimiento normativo. Las claves administradas por el cliente permiten cifrar los datos con una clave de Azure Key Vault creada por el usuario y propiedad de este. Tiene control y responsabilidad totales del ciclo de vida de la clave, incluidos la rotación y administración. Obtenga más información en https://aka.ms/azureml-workspaces-cmk. Audit, Deny, Disabled 1.0.3
Las áreas de trabajo de Azure Machine Learning deberían deshabilitar el acceso a la red pública Al deshabilitar el acceso a la red pública, se mejora la seguridad, ya que se garantiza que el área de trabajo de Machine Learning no se exponga en la red pública de Internet. Se puede controlar la exposición de las áreas de trabajo mediante la creación de puntos de conexión privados. Obtenga más información en: https://learn.microsoft.com/azure/machine-learning/how-to-configure-private-link?view=azureml-api-2&tabs=azure-portal. Audit, Deny, Disabled 2.0.1
Las áreas de trabajo de Azure Machine Learning deben habilitar V1LegacyMode para admitir la compatibilidad con versiones anteriores de aislamiento de red Azure ML realiza una transición a una nueva plataforma de API V2 en Azure Resource Manager y puede controlar la versión de la plataforma de API mediante el parámetro V1LegacyMode. La habilitación del parámetro V1LegacyMode le permitirá mantener las áreas de trabajo en el mismo aislamiento de red que V1, aunque no tendrá el uso de las nuevas características V2. Se recomienda activar el modo heredado V1 solo cuando desee mantener los datos del plano de control de AzureML dentro de las redes privadas. Más información en: https://aka.ms/V1LegacyMode. Audit, Deny, Disabled 1.0.0
Las áreas de trabajo de Azure Machine Learning deben usar un vínculo privado. Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados a áreas de trabajo de Azure Machine Learning, se reducen los riesgos de pérdida de datos. Más información sobre los vínculos privados en https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. Audit, Disabled 1.0.0
Las áreas de trabajo de Azure Machine Learning deben usar la identidad administrada asignada por el usuario Administre el acceso al área de trabajo de Azure Machine Learning y a los recursos asociados, Azure Container Registry, KeyVault, Storage y App Insights mediante la identidad administrada asignada por el usuario. De forma predeterminada, el área de trabajo de Azure Machine Learning usa la identidad administrada asignada por el sistema para acceder a los recursos asociados. La identidad administrada asignada por el usuario le permite crear la identidad como recurso de Azure y mantener el ciclo de vida de esa identidad. Obtenga más información en https://docs.microsoft.com/azure/machine-learning/how-to-use-managed-identities?tabs=python. Audit, Deny, Disabled 1.0.0
Configurar los procesos de Azure Machine Learning para deshabilitar los métodos de autenticación local Deshabilite los métodos de autenticación de ubicación para que los procesos de Machine Learning requieran identidades de Azure Active Directory exclusivamente para la autenticación. Más información en: https://aka.ms/azure-ml-aad-policy. Modificar, Deshabilitado 2.1.0
Configuración del área de trabajo de Azure Machine Learning para usar zonas DNS privadas Use zonas DNS privadas para invalidar la resolución DNS de un punto de conexión privado. Una zona DNS privada se vincula a la red virtual para resolver las áreas de trabajo de Azure Machine Learning. Más información en: https://docs.microsoft.com/azure/machine-learning/how-to-network-security-overview. DeployIfNotExists, Disabled 1.1.0
Configuración de las áreas de trabajo de Azure Machine Learning para deshabilitar el acceso a la red pública Deshabilite el acceso a la red pública de las áreas de trabajo de Azure Machine Learning para que estas no sean accesibles a través de la red pública de Internet. Esto ayuda a proteger las áreas de trabajo frente a riesgos de pérdida de datos. Se puede controlar la exposición de las áreas de trabajo mediante la creación de puntos de conexión privados. Obtenga más información en: https://learn.microsoft.com/azure/machine-learning/how-to-configure-private-link?view=azureml-api-2&tabs=azure-portal. Modificar, Deshabilitado 1.0.3
Configuración de áreas de trabajo de Azure Machine Learning con puntos de conexión privados Los puntos de conexión privados conectan la red virtual a los servicios de Azure sin una dirección IP pública en el origen o el destino. Mediante la asignación de puntos de conexión privados a su área de trabajo de Azure Machine Learning, puede reducir los riesgos de pérdida de datos. Más información sobre los vínculos privados en https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. DeployIfNotExists, Disabled 1.0.0
Configuración de la configuración de diagnóstico del área de trabajo de Azure Machine Learning en el área de trabajo de Log Analytics Implementa la configuración de diagnóstico del área de trabajo de Azure Machine Learning para que transmita los registros de recursos a un área de trabajo de Log Analytics cuando se cree o actualice cualquier área de trabajo de Azure Machine Learning a la que le falte esta configuración de diagnóstico. DeployIfNotExists, Disabled 1.0.1
Los registros de recursos del área de trabajo de Azure Machine Learning deben estar habilitados Los registros de recursos habilitan que se vuelvan a crear seguimientos de actividad con fines de investigación en caso de que se produzcan incidentes de seguridad o riesgos para la red. AuditIfNotExists, Disabled 1.0.1

Aplicación administrada

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
La definición de aplicación para la aplicación administrada debe usar la cuenta de almacenamiento proporcionada por el cliente. Use su propia cuenta de almacenamiento para controlar los datos de definición de la aplicación cuando se trate de un requisito de cumplimiento normativo. Puede optar por almacenar la definición de aplicación administrada en la cuenta de almacenamiento que ha proporcionado durante la creación para que pueda administrar totalmente su ubicación y acceso para cumplir con los requisitos de cumplimiento normativo. audit, Audit, deny, Deny, disabled, Disabled 1.1.0
Implementación de asociaciones para aplicaciones administradas Implementa un recurso de asociación que asocia los tipos de recursos seleccionados con la aplicación administrada especificada. Esta implementación de directiva no admite los tipos de recursos anidados. deployIfNotExists 1.0.0

Managed Grafana

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Azure Managed Grafana debe usar vínculo privado Azure Private Link permite conectar las redes virtuales a los servicios de Azure sin una IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Al asignar puntos de conexión privados a Managed Grafana, se puede reducir el riesgo de pérdida de datos. Audit, Disabled 1.0.0
Las áreas de trabajo de Azure Managed Grafana deberían deshabilitar el acceso a la red pública Deshabilitar el acceso a la red pública mejora la seguridad, ya que garantiza que el área de trabajo de Azure Managed Grafana no esté expuesto en la Internet pública. La creación de puntos de conexión privados puede limitar la exposición de sus áreas de trabajo. Audit, Deny, Disabled 1.0.0
Configurar paneles de Azure Managed Grafana con puntos de conexión privados Los puntos de conexión privados conectan las redes virtuales a los servicios de Azure sin una dirección IP pública en el origen o el destino. Al asignar puntos de conexión privados a Azure Managed Grafana, puede reducir los riesgos de pérdida de datos. DeployIfNotExists, Disabled 1.0.0
Configurar las áreas de trabajo de Azure Managed Grafana para deshabilitar el acceso a la red pública Deshabilitar el acceso a la red pública para su área de trabajo Azure Managed Grafana para que no sea accesible a través de la Internet pública. Esto puede reducir los riesgos de pérdida de datos. Modificar, Deshabilitado 1.0.0
Configurar las áreas de trabajo de Azure Managed Grafana para usar zonas DNS privadas Use zonas DNS privadas para invalidar la resolución DNS de un punto de conexión privado. Una zona DNS privada se vincula a la red virtual para resolver las áreas de trabajo de Azure Managed Grafana. DeployIfNotExists, Disabled 1.0.0

Identidad administrada

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
[Versión preliminar]: las credenciales federadas de identidad administrada de Azure Kubernetes deben proceder de fuentes de confianza Esta directiva limita la federación con clústeres de Azure Kubernetes solo a clústeres de inquilinos aprobados, regiones aprobadas y una lista de excepciones específica de clústeres adicionales. Audit, Disabled, Deny 1.0.0-preview
[Versión preliminar]: las credenciales Federadas de identidad administrada de GitHub deben ser de propietarios de repositorios de confianza Esta directiva limita la federación con repositorios de GitHub solo a los propietarios de repositorio aprobados. Audit, Disabled, Deny 1.0.1-preview
[Versión preliminar]: las credenciales federadas de identidad administrada deben ser de los tipos de emisores permitidos Esta directiva limita si las identidades administradas pueden usar credenciales federadas, qué tipos de emisor comunes se permiten y proporciona una lista de excepciones de emisor permitidas. Audit, Disabled, Deny 1.0.0-preview
[Versión preliminar]: Asignación de identidad administrada integrada asignada por el usuario a Virtual Machine Scale Sets Cree y asigne una identidad administrada asignada por el usuario integrada o asigne una identidad administrada asignada por el usuario creada previamente a gran escala a los conjuntos de escalado de máquinas virtuales. Para documentación más detallada, visite aka.ms/managedidentitypolicy. AuditIfNotExists, DeployIfNotExists, Disabled 1.1.0-preview
[Versión preliminar]: Asignar una identidad administrada integrada asignada por el usuario a Virtual Machines Cree y asigne una identidad administrada asignada por el usuario integrada o asigne una identidad administrada asignada por el usuario creada previamente a gran escala a máquinas virtuales. Para documentación más detallada, visite aka.ms/managedidentitypolicy. AuditIfNotExists, DeployIfNotExists, Disabled 1.1.0-preview

Maps

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
CORS no debe permitir que todos los recursos accedan a la cuenta de mapa. El uso compartido de recursos entre orígenes (CORS) no debe permitir que todos los dominios accedan a la cuenta de mapa. Permita la interacción con la cuenta de mapa solo de los dominios requeridos. Disabled, Audit, Deny 1.0.0

Media Services

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Las cuentas de Azure Media Services deben desactivar el acceso a la red pública Al deshabilitar el acceso a la red pública, se mejora la seguridad, ya que los recursos de Media Services no se exponen en la red pública de Internet. La creación de puntos de conexión privados puede limitar la exposición de los recursos de Media Services. Más información en: https://aka.ms/mediaservicesprivatelinkdocs. Audit, Deny, Disabled 1.0.0
Las cuentas de Azure Media Services deben usar una API que admita Private Link Las cuentas de Media Services se deben crear con una API que admita vínculo privado. Audit, Deny, Disabled 1.0.0
Se deben bloquear las cuentas de Azure Media Services que permitan el acceso a la v2 API heredada La API v2 (heredada) de Media Services permite solicitudes que no se pueden administrar mediante Azure Policy. Los recursos de Media Services creados mediante la API 2020-05-01 o posterior bloquean el acceso a la API v2 heredada. Audit, Deny, Disabled 1.0.0
Las directivas de clave de contenido de Azure Media Services deben usar la autenticación por tokens Las directivas de clave de contenido definen las condiciones que se deben cumplir para acceder a las claves de contenido. Una restricción de token garantiza que solo los usuarios que tengan tokens válidos de un servicio de autenticación puedan acceder a las claves de contenido, por ejemplo, Microsoft Entra ID. Audit, Deny, Disabled 1.0.1
Los trabajos de Azure Media Services con entradas HTTPS deben limitar los URI de entrada a patrones de URI permitidos Restrinja las entradas HTTPS que usan los trabajos de Media Services a puntos de conexión conocidos. Las entradas de los puntos de conexión HTTPS se pueden deshabilitar completamente estableciendo una lista vacía de patrones de entrada de trabajos permitidos. Cuando las entradas del trabajo especifican un elemento "baseUri", los patrones se comparan con este valor; cuando no se establece "baseUri", el patrón se compara con la propiedad "files". Deny, Disabled 1.0.1
Azure Media Services debe usar claves administradas por el cliente para cifrar los datos en reposo Use claves administradas por el cliente para administrar el cifrado en reposo de las cuentas de Media Services. De manera predeterminada, los datos del cliente se cifran con claves administradas por el servicio, pero las claves administradas por el cliente suelen ser necesarias para cumplir estándares de cumplimiento normativo. Las claves administradas por el cliente permiten cifrar los datos con una clave de Azure Key Vault creada por el usuario y propiedad de este. Tiene control y responsabilidad totales del ciclo de vida de la clave, incluidos la rotación y administración. Obtenga más información en https://aka.ms/mediaservicescmkdocs. Audit, Deny, Disabled 1.0.0
Azure Media Services debe usar un vínculo privado Azure Private Link permite conectar las redes virtuales a los servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Al asignar puntos de conexión privados a Media Services, se puede reducir el riesgo de pérdida de datos. Más información sobre los vínculos privados en https://aka.ms/mediaservicesprivatelinkdocs. AuditIfNotExists, Disabled 1.0.0
Configuración de Azure Media Services para usar zonas DNS privadas Use zonas DNS privadas para invalidar la resolución DNS de un punto de conexión privado. Una zona DNS privada se vincula a la red virtual para resolverse en las cuentas de Media Services. Más información en: https://aka.ms/mediaservicesprivatelinkdocs. DeployIfNotExists, Disabled 1.0.0
Configuración de Azure Media Services con puntos de conexión privados Los puntos de conexión privados conectan las redes virtuales a los servicios de Azure sin una dirección IP pública en el origen o el destino. Al asignar puntos de conexión privados a Media Services, se puede reducir el riesgo de pérdida de datos. Más información sobre los vínculos privados en https://aka.ms/mediaservicesprivatelinkdocs. DeployIfNotExists, Disabled 1.0.0

Migrate

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Configurar los recursos de Azure Migrate para usar zonas DNS privadas Use zonas DNS privadas para invalidar la resolución DNS de un punto de conexión privado. Una zona DNS privada se vincula a la red virtual para resolver el proyecto de Azure Migrate. Más información en: https://aka.ms/privatednszone. DeployIfNotExists, Disabled 1.0.0

Red móvil

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Configurar el acceso de diagnóstico del plano de control de Packet Core para usar el tipo de autenticación Microsoft EntraID El tipo de autenticación debe ser Microsoft EntraID para el acceso de diagnóstico principal de paquetes a través de las API locales. Modificar, Deshabilitado 1.0.0
El acceso de diagnóstico del plano de control de Packet Core solo debe usar el tipo de autenticación Microsoft EntraID El tipo de autenticación debe ser Microsoft EntraID para el acceso de diagnóstico principal de paquetes a través de las API locales. Audit, Deny, Disabled 1.0.0
El grupo SIM debe usar claves administradas por el cliente para cifrar los datos en reposo Usa claves administradas por el cliente para administrar el cifrado en reposo de los secretos SIM de un grupo SIM. Las claves administradas por el cliente suelen ser necesarias para cumplir los estándares de cumplimiento normativo y permiten cifrar los datos con una clave de Azure Key Vault creada por ti y de tu propiedad. Tiene control y responsabilidad totales del ciclo de vida de la clave, incluidos la rotación y administración. Audit, Deny, Disabled 1.0.0

Supervisión

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
[Versión preliminar]: configuración de máquinas Linux habilitadas para Azure Arc con agentes de Log Analytics conectados al área de trabajo predeterminada de Log Analytics Proteja sus máquinas Linux habilitadas para Azure Arc con las funcionalidades de Microsoft Defender for Cloud mediante la instalación de agentes de Log Analytics que envían datos a un área de trabajo predeterminada de Log Analytics creada por Microsoft Defender for Cloud. DeployIfNotExists, Disabled 1.0.0-preview
[Versión preliminar]: configuración de máquinas Windows habilitadas para Azure Arc con agentes de Log Analytics conectados al área de trabajo predeterminada de Log Analytics Proteja sus máquinas Windows habilitadas para Azure Arc con las funcionalidades de Microsoft Defender for Cloud mediante la instalación de agentes de Log Analytics que envían datos a un área de trabajo predeterminada de Log Analytics creada por Microsoft Defender for Cloud. DeployIfNotExists, Disabled 1.1.0-preview
[Versión preliminar]: configuración de la identidad administrada asignada por el sistema para habilitar las asignaciones de Azure Monitor en máquinas virtuales Configure una identidad administrada asignada por el sistema en las máquinas virtuales hospedadas en Azure compatibles con Azure Monitor que no tengan una identidad administrada asignada por el sistema. Una identidad administrada asignada por el sistema es un requisito previo para todas las asignaciones de Azure Monitor y debe agregarse a las máquinas antes de usar cualquier extensión de Azure Monitor. Las máquinas virtuales de destino deben estar en una ubicación admitida. Modificar, Deshabilitado 6.0.0 (preliminar)
[Versión preliminar]: la extensión de Log Analytics debe estar habilitada en las imágenes de máquina virtual enumeradas Notifica que las máquinas virtuales no son compatibles si la imagen de máquina virtual no está en la lista definida y la extensión no está instalada. AuditIfNotExists, Disabled 2.0.1-preview
[Vista previa]: La extensión de Log Analytics debe estar instalada en las máquinas Linux de Azure Arc Esta directiva audita las máquinas Linux de Azure Arc si la extensión de Log Analytics no está instalada. AuditIfNotExists, Disabled 1.0.1-preview
[Vista previa]: La extensión de Log Analytics debe estar instalada en las máquinas Windows de Azure Arc Esta directiva audita las máquinas Windows de Azure Arc si la extensión de Log Analytics no está instalada. AuditIfNotExists, Disabled 1.0.1-preview
[Versión preliminar]: el agente de recopilación de datos de tráfico de red debe instalarse en máquinas virtuales Linux Security Center usa Microsoft Dependency Agent para recopilar datos del tráfico de red de sus máquinas virtuales de Azure y así poder habilitar características avanzadas de protección de red, como la visualización del tráfico en el mapa de red, las recomendaciones de refuerzo de la red y las amenazas de red específicas. AuditIfNotExists, Disabled 1.0.2-preview
[Versión preliminar]: el agente de recopilación de datos de tráfico de red debe instalarse en las máquinas virtuales Windows Security Center usa Microsoft Dependency Agent para recopilar datos del tráfico de red de sus máquinas virtuales de Azure y así poder habilitar características avanzadas de protección de red, como la visualización del tráfico en el mapa de red, las recomendaciones de refuerzo de la red y las amenazas de red específicas. AuditIfNotExists, Disabled 1.0.2-preview
El registro de actividad debe conservarse durante al menos un año Esta directiva audita el registro de actividad si la retención no se estableció en 365 días o en siempre (días de retención establecidos en 0). AuditIfNotExists, Disabled 1.0.0
Debe existir una alerta de registro de actividad para operaciones administrativas específicas Esta directiva audita operaciones administrativas específicas sin alertas de registro de actividad configuradas. AuditIfNotExists, Disabled 1.0.0
Debe existir una alerta de registro de actividad para las operaciones específicas de la directiva Esta directiva audita las operaciones específicas de la directiva sin alertas de registro de actividad configuradas. AuditIfNotExists, Disabled 3.0.0
Debe existir una alerta de registro de actividad para las operaciones específicas de seguridad Esta directiva audita las operaciones específicas de seguridad sin alertas de registro de actividad configuradas. AuditIfNotExists, Disabled 1.0.0
Los componentes de Application Insights deberían bloquear la ingesta y consulta de registros desde redes públicas Mejore la seguridad de Application Insights mediante el bloqueo de la ingesta y consulta de registros de redes públicas. Solo las redes conectadas a un vínculo privado podrán ingerir y consultar los registros de este componente. Obtenga más información en https://aka.ms/AzMonPrivateLink#configure-application-insights. audit, Audit, deny, Deny, disabled, Disabled 1.1.0
Los componentes de Application Insights deberían bloquear la ingesta no basada en Azure Active Directory. La aplicación de la ingesta de registros para requerir la autenticación de Azure Active Directory evita los registros no autenticados de un atacante, que podrían provocar un estado incorrecto, alertas falsas y almacenamiento de registros incorrectos en el sistema. Deny, Audit, Disabled 1.0.0
Los componentes de Application Insights con Private Link habilitado deberían usar sus propias cuentas de almacenamiento para el generador de perfiles y el depurador. Para admitir directivas de claves administradas por el cliente y vínculos privados, cree su propia cuenta de almacenamiento para el generador de perfiles y el depurador. Puede encontrar más información en https://docs.microsoft.com/azure/azure-monitor/app/profiler-bring-your-own-storage Deny, Audit, Disabled 1.0.0
Audite la configuración de diagnóstico para los tipos de recursos seleccionados. Audite la configuración de diagnóstico para los tipos de recursos seleccionados. Asegúrese de seleccionar solo los tipos de recursos que admiten la configuración de diagnóstico. AuditIfNotExists 2.0.1
Azure Application Gateway debe tener habilitados los registros de recursos Habilite los registros de recursos para Azure Application Gateway (más el WAF) y transmítalos a un área de trabajo de Log Analytics. Obtenga visibilidad detallada sobre el tráfico web entrante y las acciones realizadas para mitigar los ataques. AuditIfNotExists, Disabled 1.0.0
Azure Front Door debe tener habilitados los registros de recursos Habilite los registros de recursos para Azure Front Door (más el WAF) y transmítalos a un área de trabajo de Log Analytics. Obtenga visibilidad detallada sobre el tráfico web entrante y las acciones realizadas para mitigar los ataques. AuditIfNotExists, Disabled 1.0.0
Azure Front Door Estándar o Premium (más el WAF) debe tener habilitados los registros de recursos Habilite los registros de recursos para Azure Front Door Estándar o Premium (más el WAF) y transmítalos a un área de trabajo de Log Analytics. Obtenga visibilidad detallada sobre el tráfico web entrante y las acciones realizadas para mitigar los ataques. AuditIfNotExists, Disabled 1.0.0
Las alertas de búsqueda de registros de Azure sobre las áreas de trabajo de Log Analytics deben usar claves administradas por el cliente Asegúrese de que las alertas de búsqueda de registros de Azure estén implementando claves administradas por el cliente. Para ello, almacene el texto de la consulta mediante la cuenta de almacenamiento que el cliente había proporcionado para el área de trabajo de Log Analytics consultada. Para más información, visite https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview. Audit, Disabled, Deny 1.0.0
El perfil de registro de Azure Monitor debe recopilar los registros de las categorías "write", "delete" y "action" Esta directiva garantiza que un perfil de registro recopile registros para las categorías "write", "delete" y "action". AuditIfNotExists, Disabled 1.0.0
Los clústeres de registros de Azure Monitor se deben crear con el cifrado de infraestructura habilitado (cifrado doble) Para asegurarse de que el cifrado de datos seguro está habilitado en el nivel de servicio y en el nivel de infraestructura con dos algoritmos de cifrado diferentes y dos claves diferentes, use un clúster dedicado Azure Monitor. Esta opción está habilitada de forma predeterminada cuando se admite en la región; consulte https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview. audit, Audit, deny, Deny, disabled, Disabled 1.1.0
Los clústeres de registros de Azure Monitor se deben cifrar con una clave administrada por el cliente Cree un clúster de registros de Azure Monitor con cifrado de claves administradas por el cliente. De manera predeterminada, los datos de registro se cifran con claves administradas por el servicio, pero las claves administradas por el cliente suelen ser necesarias para satisfacer el cumplimiento normativo. La clave administrada por el cliente en Azure Monitor proporciona un mayor control sobre el acceso a los datos; consulte https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys. audit, Audit, deny, Deny, disabled, Disabled 1.1.0
Los registros de Azure Monitor para Application Insights deben vincularse a un área de trabajo de Log Analytics Vincule el componente de Application Insights a un área de trabajo de Log Analytics para el cifrado de los registros. Las claves administradas por el cliente suelen ser necesarias para satisfacer el cumplimiento normativo y para tener un mayor control sobre el acceso a los datos en Azure Monitor. La vinculación del componente a un área de trabajo de Log Analytics habilitada con una clave administrada por el cliente garantiza que los registros de Application Insights satisfacen este requisito de cumplimiento; consulte https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys. audit, Audit, deny, Deny, disabled, Disabled 1.1.0
El ámbito de Private Link de Azure Monitor debe bloquear el acceso a recursos que no sean de vínculos privados Azure Private Link permite conectar las redes virtuales a los recursos de Azure a través de un punto de conexión privado a un ámbito de Private Link de Azure Monitor (AMPLS). Los modos de acceso de Private Link se establecen en AMPLS para controlar si las solicitudes de ingesta y consulta de las redes pueden llegar a todos los recursos o solo a los recursos de Private Link (para evitar la filtración de datos). Más información sobre los vínculos privados en https://docs.microsoft.com/azure/azure-monitor/logs/private-link-security#private-link-access-modes-private-only-vs-open. Audit, Deny, Disabled 1.0.0
El ámbito de Private Link de Azure Monitor debe usar un vínculo privado Azure Private Link permite conectar las redes virtuales a los servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados al ámbito de Private Link de Azure Monitor, se pueden reducir los riesgos de pérdida de datos. Más información sobre los vínculos privados en https://docs.microsoft.com/azure/azure-monitor/logs/private-link-security. AuditIfNotExists, Disabled 1.0.0
Azure Monitor debe recopilar los registros de actividad de todas las regiones Esta directiva audita el perfil de registro de Azure Monitor que no exporta actividades de todas las regiones admitidas de Azure, incluida la global. AuditIfNotExists, Disabled 2.0.0
Se debe implementar la solución "Security and Audit" de Azure Monitor Esta directiva garantiza que se implementa Security and Audit. AuditIfNotExists, Disabled 1.0.0
Las suscripciones a Azure deben tener un perfil de registro para el registro de actividad Esta directiva garantiza que un perfil de registro esté habilitado para la exportación de registros de actividad. Audita si no hay ningún perfil de registro creado para exportar los registros a una cuenta de almacenamiento o a un centro de eventos. AuditIfNotExists, Disabled 1.0.0
Configurar registros de actividad de Azure para transmitirlos al área de trabajo especificada de Log Analytics Implementa la configuración de diagnóstico de actividad de Azure para hacer streaming en los registros de auditoría de suscripciones de suscripción a un área de trabajo de Log Analytics para supervisar los eventos en el nivel de suscripción. DeployIfNotExists, Disabled 1.0.0
Configuración de los componentes de Azure Application Insights para deshabilitar el acceso de la red pública para la ingesta y consulta de registros Deshabilite el acceso de redes públicas para la ingesta y consulta de registros de componentes a fin de mejorar la seguridad. Solo las redes conectadas a un vínculo privado podrán ingerir y consultar los registros de esta área de trabajo. Obtenga más información en https://aka.ms/AzMonPrivateLink#configure-application-insights. Modificar, Deshabilitado 1.1.0
Configuración de áreas de trabajo de Azure Log Analytics para deshabilitar el acceso de la red pública para la ingesta y consulta de registros Mejore la seguridad del área de trabajo mediante el bloqueo de la ingesta y consulta de registros de redes públicas. Solo las redes conectadas a un vínculo privado podrán ingerir y consultar los registros de esta área de trabajo. Obtenga más información en https://aka.ms/AzMonPrivateLink#configure-log-analytics. Modificar, Deshabilitado 1.1.0
Configurar el ámbito de Private Link de Azure Monitor para bloquear el acceso a recursos que no sean de vínculos privados Azure Private Link permite conectar las redes virtuales a los recursos de Azure a través de un punto de conexión privado a un ámbito de Private Link de Azure Monitor (AMPLS). Los modos de acceso de Private Link se establecen en AMPLS para controlar si las solicitudes de ingesta y consulta de las redes pueden llegar a todos los recursos o solo a los recursos de Private Link (para evitar la filtración de datos). Más información sobre los vínculos privados en https://docs.microsoft.com/azure/azure-monitor/logs/private-link-security#private-link-access-modes-private-only-vs-open. Modificar, Deshabilitado 1.0.0
Configuración de su ámbito de Private Link de Azure Monitor para utilizar las zonas de DNS privado Use zonas DNS privadas para invalidar la resolución DNS de un punto de conexión privado. Una zona DNS privada se vincula a la red virtual para resolver el ámbito de Private Link de Azure Monitor. Más información en: https://docs.microsoft.com/azure/azure-monitor/logs/private-link-security#connect-to-a-private-endpoint. DeployIfNotExists, Disabled 1.0.0
Configuración de los ámbitos de Private Link de Azure Monitor con puntos de conexión privados Los puntos de conexión privados conectan las redes virtuales a los servicios de Azure sin una dirección IP pública en el origen o el destino. Mediante la asignación de puntos de conexión privados a los ámbitos de Private Link de Azure Monitor, se pueden reducir los riesgos de pérdida de datos. Más información sobre los vínculos privados en https://docs.microsoft.com/azure/azure-monitor/logs/private-link-security. DeployIfNotExists, Disabled 1.0.0
Configurar Dependency Agent en servidores Linux con Azure Arc habilitado Habilite la información de las VM en servidores y máquinas conectadas a Azure a través de servidores habilitados para Arc mediante la instalación de la extensión Dependency Agent para máquinas virtuales. La información de las VM usa Dependency Agent para recopilar métricas de red y datos detectados sobre los procesos que se ejecutan en la máquina y las dependencias de procesos externos. Más información: https://aka.ms/vminsightsdocs. DeployIfNotExists, Disabled 2.0.0
Configurar Dependency Agent en servidores de Linux habilitados con Azure Arc con la configuración del agente de Azure Monitor Habilite la información de las máquinas virtuales en servidores y máquinas conectadas a Azure a través de servidores habilitados con Arc habilitado mediante la instalación de la extensión de máquina virtual de Dependency Agent con la configuración del agente de Azure Monitor. La información de las VM usa Dependency Agent para recopilar métricas de red y datos detectados sobre los procesos que se ejecutan en la máquina y las dependencias de procesos externos. Más información: https://aka.ms/vminsightsdocs. DeployIfNotExists, Disabled 1.1.2
Configurar el agente de dependencias en servidores Windows con Microsoft Azure Arc habilitados Habilite la información de las VM en servidores y máquinas conectadas a Azure a través de servidores habilitados para Arc mediante la instalación de la extensión Dependency Agent para máquinas virtuales. La información de las VM usa Dependency Agent para recopilar métricas de red y datos detectados sobre los procesos que se ejecutan en la máquina y las dependencias de procesos externos. Más información: https://aka.ms/vminsightsdocs. DeployIfNotExists, Disabled 2.0.0
Configurar Dependency Agent en servidores de Windows habilitados con Azure Arc con la configuración del agente de Azure Monitor Habilite la información de las máquinas virtuales en servidores y máquinas conectadas a Azure a través de servidores habilitados con Arc habilitado mediante la instalación de la extensión de máquina virtual de Dependency Agent con la configuración del agente de Azure Monitor. La información de las VM usa Dependency Agent para recopilar métricas de red y datos detectados sobre los procesos que se ejecutan en la máquina y las dependencias de procesos externos. Más información: https://aka.ms/vminsightsdocs. DeployIfNotExists, Disabled 1.1.2
Configuración de máquinas habilitadas para Arc en Linux para asociarlas a una regla de recopilación de datos o a un punto de conexión de recopilación de datos Implemente la asociación para vincular máquinas habilitadas para Arc en Linux a la regla de recopilación de datos especificada o al punto de conexión de recopilación de datos especificado. La lista de ubicaciones se actualiza con el tiempo a medida que aumenta la compatibilidad. DeployIfNotExists, Disabled 2.2.0
Configuración de máquinas habilitadas para Linux Arc para ejecutar el agente de Azure Monitor Automatice la implementación de la extensión del agente de Azure Monitor en las máquinas habilitadas para Linux Arc a fin de recopilar datos de telemetría del sistema operativo invitado. Esta directiva instalará la extensión si se admite la región. Más información: https://aka.ms/AMAOverview. DeployIfNotExists, Disabled 2.4.0
Configuración de máquinas Linux para asociarlas a una regla de recopilación de datos o a un punto de conexión de recopilación de datos Implemente la asociación para vincular máquinas virtuales Linux, conjuntos de escalado de máquinas virtuales y máquinas habilitadas para Arc a la regla de recopilación de datos especificada o al punto de conexión de recopilación de datos especificado. La lista de ubicaciones e imágenes del sistema operativo se actualiza con el tiempo a medida que aumenta la compatibilidad. DeployIfNotExists, Disabled 6.3.0
Configurar Virtual Machine Scale Sets de Linux para asociarlo a una regla de recopilación de datos o a un punto de conexión de recopilación de datos Implemente la asociación para vincular conjuntos de escalado de máquinas virtuales Linux a la regla de recopilación de datos especificada o al punto de conexión de recopilación de datos especificado. La lista de ubicaciones e imágenes del sistema operativo se actualiza con el tiempo a medida que aumenta la compatibilidad. DeployIfNotExists, Disabled 4.2.0
Configuración de conjuntos de escalado de máquinas virtuales Linux para ejecutar el agente de Azure Monitor con autenticación basada en identidades administradas asignada por el sistema Automatice la implementación del agente de Azure Monitor en los conjuntos de escalado de sus máquinas virtuales Linux para recopilar datos de telemetría del sistema operativo invitado. Esta directiva instalará la extensión si se admite el sistema operativo y la región y la identidad administrada asignada por el sistema está habilitada, y omitirá la instalación en caso contrario. Más información: https://aka.ms/AMAOverview. DeployIfNotExists, Disabled 3.5.0
Configuración de conjuntos de escalado de máquinas virtuales Linux para ejecutar el agente de Azure Monitor con autenticación basada en identidades administradas asignada por el usuario Automatice la implementación del agente de Azure Monitor en los conjuntos de escalado de sus máquinas virtuales Linux para recopilar datos de telemetría del sistema operativo invitado. Esta directiva instalará la extensión y la configurará para usar la identidad administrada asignada por el usuario especificada si se admite el sistema operativo y la región, y omita la instalación en caso contrario. Más información: https://aka.ms/AMAOverview. DeployIfNotExists, Disabled 3.6.0
Configurar Linux Virtual Machines para asociarse a una regla de recopilación de datos o a un punto de conexión de recopilación de datos Implemente la asociación para vincular máquinas virtuales Linux a la regla de recopilación de datos especificada o al punto de conexión de recopilación de datos especificado. La lista de ubicaciones e imágenes del sistema operativo se actualiza con el tiempo a medida que aumenta la compatibilidad. DeployIfNotExists, Disabled 4.2.0
Configuración de máquinas virtuales Linux para ejecutar el agente de Azure Monitor con autenticación basada en identidad administrada asignada por el sistema Automatice la implementación del agente de Azure Monitor en las máquinas virtuales Linux para recopilar datos de telemetría del sistema operativo invitado. Esta directiva instalará la extensión si se admite el sistema operativo y la región y la identidad administrada asignada por el sistema está habilitada, y omitirá la instalación en caso contrario. Más información: https://aka.ms/AMAOverview. DeployIfNotExists, Disabled 3.5.0
Configuración de máquinas virtuales Linux para ejecutar el agente de Azure Monitor con autenticación basada en identidades administradas asignada por el usuario Automatice la implementación del agente de Azure Monitor en las máquinas virtuales Linux para recopilar datos de telemetría del sistema operativo invitado. Esta directiva instalará la extensión y la configurará para usar la identidad administrada asignada por el usuario especificada si se admite el sistema operativo y la región, y omita la instalación en caso contrario. Más información: https://aka.ms/AMAOverview. DeployIfNotExists, Disabled 3.6.0
Configurar la extensión de Log Analytics en servidores Linux con Azure Arc habilitado. Consulte el aviso de desuso a continuación Habilite la información de las máquinas virtuales en servidores y máquinas conectados a Azure mediante servidores habilitados para Arc instalando la extensión de Log Analytics para máquinas virtuales. La información de las VM usa el agente de Log Analytics para recopilar los datos de rendimiento del sistema operativo invitado, y proporciona información sobre su rendimiento. Más información: https://aka.ms/vminsightsdocs. Aviso de desuso: los agentes de Log Analytics están en ruta de desuso y dejarán de tener soporte técnico el 31 de agosto de 2024. Debe migrar al "agente de Azure Monitor" de reemplazo antes de esa fecha DeployIfNotExists, Disabled 2.1.1
Configurar la extensión de Log Analytics en servidores Windows con Azure Arc habilitado Habilite la información de las máquinas virtuales en servidores y máquinas conectados a Azure mediante servidores habilitados para Arc instalando la extensión de Log Analytics para máquinas virtuales. La información de las VM usa el agente de Log Analytics para recopilar los datos de rendimiento del sistema operativo invitado, y proporciona información sobre su rendimiento. Más información: https://aka.ms/vminsightsdocs. Aviso de desuso: los agentes de Log Analytics están en ruta de desuso y dejarán de tener soporte técnico el 31 de agosto de 2024. Debe migrar al "agente de Azure Monitor" de reemplazo antes de esa fecha. DeployIfNotExists, Disabled 2.1.1
Configuración del área de trabajo de Log Analytics y la cuenta de Automation para centralizar los registros y la supervisión Implemente un grupo de recursos que contenga el área de trabajo de Log Analytics y la cuenta de automatización vinculada para centralizar los registros y la supervisión. La cuenta de Automation es un requisito previo para soluciones como Actualizaciones y Change Tracking. DeployIfNotExists, AuditIfNotExists, Disabled 2.0.0
Configurar las máquinas Windows Arc para asociarlas a una regla de recopilación de datos o a un punto de conexión de recopilación de datos Implemente la asociación para vincular máquinas habilitadas para Arc en Windows a la regla de recopilación de datos especificada o al punto de conexión de recopilación de datos especificado. La lista de ubicaciones se actualiza con el tiempo a medida que aumenta la compatibilidad. DeployIfNotExists, Disabled 2.2.0
Configuración de máquinas habilitadas de Windows Arc para ejecutar el Agente de Azure Monitor Automatice la implementación de la extensión del agente de Azure Monitor en las máquinas habilitadas para Windows Arc a fin de recopilar datos de telemetría del sistema operativo invitado. Esta directiva instalará la extensión si se admite el sistema operativo y la región y la identidad administrada asignada por el sistema está habilitada, y omitirá la instalación en caso contrario. Más información: https://aka.ms/AMAOverview. DeployIfNotExists, Disabled 2.4.0
Configuración de máquinas Windows para asociarlas a una regla de recopilación de datos o a un punto de conexión de recopilación de datos Implemente la asociación para vincular máquinas virtuales Windows, conjuntos de escalado de máquinas virtuales y máquinas habilitadas para Arc a la regla de recopilación de datos especificada o al punto de conexión de recopilación de datos especificado. La lista de ubicaciones e imágenes del sistema operativo se actualiza con el tiempo a medida que aumenta la compatibilidad. DeployIfNotExists, Disabled 4.5.0
Configurar Virtual Machine Scale Sets de Windows para asociarlo a una regla de recopilación de datos o a un punto de conexión de recopilación de datos Implemente la asociación para vincular conjuntos de escalado de máquinas virtuales Windows a la regla de recopilación de datos especificada o al punto de conexión de recopilación de datos especificado. La lista de ubicaciones e imágenes del sistema operativo se actualiza con el tiempo a medida que aumenta la compatibilidad. DeployIfNotExists, Disabled 3.3.0
Configuración de los conjuntos de escalado de máquinas virtuales de Windows para ejecutar el agente de Azure Monitor mediante una identidad administrada asignada por el sistema Automatice la implementación del agente de Azure Monitor en los conjuntos de escalado de máquinas virtuales Windows para recopilar datos de telemetría del sistema operativo invitado. Esta directiva instalará la extensión si se admite el sistema operativo y la región y la identidad administrada asignada por el sistema está habilitada, y omitirá la instalación en caso contrario. Más información: https://aka.ms/AMAOverview. DeployIfNotExists, Disabled 3.4.0
Configuración de los conjuntos de escalado de máquinas virtuales de Windows para ejecutar el agente de Azure Monitor con autenticación basada en identidades administradas asignadas por el usuario Automatice la implementación del agente de Azure Monitor en los conjuntos de escalado de máquinas virtuales Windows para recopilar datos de telemetría del sistema operativo invitado. Esta directiva instalará la extensión y la configurará para usar la identidad administrada asignada por el usuario especificada si se admite el sistema operativo y la región, y omita la instalación en caso contrario. Más información: https://aka.ms/AMAOverview. DeployIfNotExists, Disabled 1.5.0
Configurar Windows Virtual Machines para asociarse a una regla de recopilación de datos o a un punto de conexión de recopilación de datos Implemente la asociación para vincular máquinas virtuales Windows a la regla de recopilación de datos especificada o al punto de conexión de recopilación de datos especificado. La lista de ubicaciones e imágenes del sistema operativo se actualiza con el tiempo a medida que aumenta la compatibilidad. DeployIfNotExists, Disabled 3.3.0
Configuración de Windows Virtual Machines para ejecutar el agente de Azure Monitor mediante una identidad administrada asignada por el sistema Automatice la implementación del agente de Azure Monitor en las máquinas virtuales Windows para recopilar datos de telemetría del sistema operativo invitado. Esta directiva instalará la extensión si se admite el sistema operativo y la región y la identidad administrada asignada por el sistema está habilitada, y omitirá la instalación en caso contrario. Más información: https://aka.ms/AMAOverview. DeployIfNotExists, Disabled 4.4.0
Configuración de Windows Virtual Machines para ejecutar el agente de Azure Monitor con autenticación basada en identidades administradas asignadas por el usuario Automatice la implementación del agente de Azure Monitor en las máquinas virtuales Windows para recopilar datos de telemetría del sistema operativo invitado. Esta directiva instalará la extensión y la configurará para usar la identidad administrada asignada por el usuario especificada si se admite el sistema operativo y la región, y omita la instalación en caso contrario. Más información: https://aka.ms/AMAOverview. DeployIfNotExists, Disabled 1.5.0
Auditar la implementación de Dependency Agent: imagen de VM (SO) no mostrada Informa que las máquinas virtuales no son compatibles si la imagen de la máquina virtual no está en la lista definida y el agente no está instalado. La lista de imágenes de sistema operativo se actualiza con el tiempo a medida que se actualiza la compatibilidad. AuditIfNotExists, Disabled 2.0.0
Auditar la implementación de Dependency Agent en los conjuntos de escalado de máquinas virtuales: imagen de VM (SO) no mostrada Notifica que los conjuntos de escalado de máquinas virtuales no son compatibles si la imagen de VM (SO) no está en la lista definida y el agente no está instalado. La lista de imágenes de SO se actualizará con el tiempo a medida que se actualice la compatibilidad. La lista de imágenes de sistema operativo se actualiza con el tiempo a medida que se actualiza la compatibilidad. AuditIfNotExists, Disabled 2.0.0
Implementación: configurar Dependency Agent para habilitarlo en los conjuntos de escalado de máquinas virtuales Windows Permite implementar Dependency Agent en conjuntos de escalado de máquinas virtuales Windows si la imagen de la máquina virtual está en la lista definida y el agente no está instalado. Si establece upgradePolicy del conjunto de escalado en Manual, debe aplicar la extensión a todas las máquinas virtuales del conjunto mediante su actualización. DeployIfNotExists, Disabled 3.1.0
Implementación: configurar Dependency Agent para habilitarlo en máquinas virtuales Windows Permite implementar Dependency Agent en máquinas virtuales Windows si la imagen de la máquina virtual está en la lista definida y el agente no está instalado. DeployIfNotExists, Disabled 3.1.0
Implementar: realizar la configuración de diagnóstico en un área de trabajo de Log Analytics para que se habilite en el HSM administrado de Azure Key Vault Permite implementar la configuración de diagnóstico en un HSM administrado de Azure Key Vault para que la transmita a un área de trabajo de Log Analytics regional cuando se cree o actualice cualquier HSM administrado de Azure Key Vault en el que falte esta configuración de diagnóstico. DeployIfNotExists, Disabled 1.0.0
Implementación: configuración de la extensión de Log Analytics para habilitarla en los conjuntos de escalado de máquinas virtuales Windows Implemente la extensión de Log Analytics en conjuntos de escalado de máquinas virtuales Windows si la imagen de la máquina virtual está en la lista definida y la extensión no está instalada. Si establece upgradePolicy del conjunto de escalado en Manual, debe aplicar la extensión a todas las máquinas virtuales del conjunto mediante su actualización. Aviso de desuso: los agentes de Log Analytics están en ruta de desuso y dejarán de tener soporte técnico el 31 de agosto de 2024. Debe migrar al "agente de Azure Monitor" de reemplazo antes de esa fecha. DeployIfNotExists, Disabled 3.1.0
Implementación: configuración de la extensión de Log Analytics para habilitarla en máquinas virtuales Windows Implemente la extensión de Log Analytics en máquinas virtuales Windows si la imagen de la máquina virtual está en la lista definida y la extensión no está instalada. Aviso de desuso: los agentes de Log Analytics están en ruta de desuso y dejarán de tener soporte técnico el 31 de agosto de 2024. Debe migrar al "agente de Azure Monitor" de reemplazo antes de esa fecha. DeployIfNotExists, Disabled 3.1.0
Implementación de Dependency Agent para conjuntos de escalado de máquinas virtuales Linux Implemente Dependency Agent para conjuntos de escalado de máquinas virtuales Linux si la imagen (SO) de la máquina virtual está en la lista definida y el agente no está instalado. Nota: Si establece upgradePolicy del conjunto de escalado en Manual, debe aplicar la extensión a todas las máquinas virtuales del conjunto mediante una llamada a la actualización. En la CLI, se usaría az vmss update-instances. deployIfNotExists 5.0.0
Implementación de Dependency Agent para conjuntos de escalado de máquinas virtuales Linux con la configuración del agente de Azure Monitor Permite implementar Dependency Agent para conjuntos de escalado de máquinas virtuales de Linux con la configuración del agente de Azure Monitor si la imagen de la máquina virtual (SO) está en la lista definida y el agente no está instalado. Nota: Si establece upgradePolicy del conjunto de escalado en Manual, debe aplicar la extensión a todas las máquinas virtuales del conjunto mediante una llamada a la actualización. En la CLI, se usaría az vmss update-instances. DeployIfNotExists, Disabled 3.1.1
Implementación de Dependency Agent para máquinas virtuales Linux Permite implementar Dependency Agent para las máquinas virtuales Linux si la imagen de VM (SO) está en la lista definida y el agente no está instalado. deployIfNotExists 5.0.0
Implementación de Dependency Agent para máquinas virtuales de Linux con la configuración del agente de Azure Monitor Permite implementar Dependency Agent para máquinas virtuales de Linux con la configuración del agente de Azure Monitor si la imagen de la máquina virtual (SO) está en la lista definida y el agente no está instalado. DeployIfNotExists, Disabled 3.1.1
Implementación de Dependency Agent para habilitarlo en los conjuntos de escalado de máquinas virtuales Windows con la configuración del agente de Azure Monitor Permite implementar Dependency Agent en máquinas virtuales de Windows con la configuración del agente de Azure Monitor si la imagen de la máquina virtual está en la lista definida y el agente no está instalado. Si establece upgradePolicy del conjunto de escalado en Manual, debe aplicar la extensión a todas las máquinas virtuales del conjunto mediante su actualización. DeployIfNotExists, Disabled 1.2.2
Implementación de Dependency Agent para habilitarlo en las máquinas virtuales Windows con la configuración del agente de Azure Monitor Permite implementar Dependency Agent en máquinas virtuales de Windows con la configuración del agente de Azure Monitor si la imagen de la máquina virtual está en la lista definida y el agente no está instalado. DeployIfNotExists, Disabled 1.2.2
Implementar la configuración de diagnóstico para una cuenta de Batch en un centro de eventos Implementa la configuración de diagnóstico para que la cuenta de Batch se transmita a un centro de eventos regional cuando se cree o actualice cualquier cuenta de Batch a la que falte esta configuración de diagnóstico. DeployIfNotExists, Disabled 2.0.0
Implementar la configuración de diagnóstico para una cuenta de Batch en un área de trabajo de Log Analytics Implementa la configuración de diagnóstico para que la cuenta de Batch se transmita a un área de trabajo de Log Analytics regional cuando se cree o actualice cualquier cuenta de Batch a la que falte esta configuración de diagnóstico. DeployIfNotExists, Disabled 1.0.0
Implementar la configuración de diagnóstico de Data Lake Analytics en un centro de eventos Implementa la configuración de diagnóstico para que la instancia de Data Lake Analytics se transmita a un centro de eventos regional cuando se cree o actualice cualquier instancia de Data Lake Analytics a la que falte esta configuración de diagnóstico. DeployIfNotExists, Disabled 2.0.0
Implementar la configuración de diagnóstico de Data Lake Analytics en un área de trabajo de Log Analytics Implementa la configuración de diagnóstico para que la instancia de Data Lake Analytics se transmita a un área de trabajo de Log Analytics regional cuando se cree o actualice cualquier instancia de Data Lake Analytics a la que falte esta configuración de diagnóstico. DeployIfNotExists, Disabled 1.0.0
Implementar la configuración de diagnóstico de Data Lake Storage Gen1 en un centro de eventos Implementa la configuración de diagnóstico para que la instancia de Data Lake Storage Gen1 se transmita a un centro de eventos regional cuando se cree o actualice cualquier instancia de Data Lake Storage Gen1 a la que falte esta configuración de diagnóstico. DeployIfNotExists, Disabled 2.0.0
Implementar la configuración de diagnóstico de Data Lake Storage Gen1 en un área de trabajo de Log Analytics Implementa la configuración de diagnóstico para que la instancia de Data Lake Storage Gen1 se transmita a un área de trabajo de Log Analytics regional cuando se cree o actualice cualquier instancia de Data Lake Storage Gen1 a la que falte esta configuración de diagnóstico. DeployIfNotExists, Disabled 1.0.0
Implementar la configuración de diagnóstico para Event Hubs en un centro de eventos Implementa la configuración de diagnóstico para que Event Hubs se transmita a un centro de eventos regional cuando se cree o actualice cualquier instancia de Event Hubs a la que falte esta configuración de diagnóstico. DeployIfNotExists, Disabled 2.1.0
Implementar la configuración de diagnóstico para Event Hubs en un área de trabajo de Log Analytics Implementa la configuración de diagnóstico para que Event Hubs se transmita a un área de trabajo de Log Analytics regional cuando se cree o actualice cualquier instancia de Event Hubs a la que falte esta configuración de diagnóstico. DeployIfNotExists, Disabled 2.0.0
Implementar la configuración de diagnóstico para Key Vault en un área de trabajo de Log Analytics Implementa la configuración de diagnóstico para que Key Vault se transmita a un área de trabajo de Log Analytics regional cuando se cree o actualice cualquier instancia de Key Vault a la que falte esta configuración de diagnóstico. DeployIfNotExists, Disabled 3.0.0
Implementar la configuración de diagnóstico para Logic Apps en un centro de eventos Implementa la configuración de diagnóstico para que Logic Apps se transmita a un centro de eventos regional cuando se cree o actualice cualquier instancia de Logic Apps a la que falte esta configuración de diagnóstico. DeployIfNotExists, Disabled 2.0.0
Implementar la configuración de diagnóstico de Logic Apps en el área de trabajo de Log Analytics Implementa la configuración de diagnóstico para que Logic Apps se transmita a un área de trabajo de Log Analytics regional cuando se cree o actualice cualquier instancia de Logic Apps a la que falte esta configuración de diagnóstico. DeployIfNotExists, Disabled 1.0.0
Implementar la configuración de diagnóstico para grupos de seguridad de red Esta directiva implementa automáticamente la configuración de diagnóstico en los grupos de seguridad de red. Se creará automáticamente una cuenta de almacenamiento con el nombre "{ParámetroPrefijoAlmacenamiento}{UbicaciónDeNSG}". deployIfNotExists 2.0.1
Implementar la configuración de diagnóstico de los servicios de búsqueda en el centro de eventos Implementa la configuración de diagnóstico para que Search Services se transmita a un Centro de eventos regional cuando se cree o actualice cualquier instancia de Search Services a la que falte esta configuración de diagnóstico. DeployIfNotExists, Disabled 2.0.0
Implementar la configuración de diagnóstico de los servicios de búsqueda en el área de trabajo de Log Analytics Implementa la configuración de diagnóstico para que Search Services se transmita a un área de trabajo de Log Analytics regional cuando se cree o actualice cualquier instancia de Search Services a la que falte esta configuración de diagnóstico. DeployIfNotExists, Disabled 1.0.0
Implementar la configuración de diagnóstico de Service Bus en el Centro de eventos Implementa la configuración de diagnóstico para que Service Bus se transmita a un Centro de eventos regional cuando se cree o actualice cualquier instancia de Service Bus a la que falte esta configuración de diagnóstico. DeployIfNotExists, Disabled 2.0.0
Implementar la configuración de diagnóstico de Service Bus en el área de trabajo de Log Analytics Implementa la configuración de diagnóstico para que Service Bus se transmita a un área de trabajo de Log Analytics regional cuando se cree o actualice cualquier instancia de Service Bus a la que falte esta configuración de diagnóstico. DeployIfNotExists, Disabled 2.1.0
Implementar la configuración de diagnóstico de Stream Analytics en el Centro de eventos Implementa la configuración de diagnóstico para que Stream Analytics se transmita a un Centro de eventos regional cuando se cree o actualice cualquier instancia de Stream Analytics a la que falte esta configuración de diagnóstico. DeployIfNotExists, Disabled 2.0.0
Implementar la configuración de diagnóstico de Stream Analytics en el área de trabajo de Log Analytics Implementa la configuración de diagnóstico para que Stream Analytics se transmita a un área de trabajo de Log Analytics regional cuando se cree o actualice cualquier instancia de Stream Analytics a la que falte esta configuración de diagnóstico. DeployIfNotExists, Disabled 1.0.0
Implementación de la extensión de Log Analytics para conjuntos de escalado de máquinas virtuales Linux. Consulte el aviso de desuso a continuación Implemente la extensión de Log Analytics en conjuntos de escalado de máquinas virtuales Linux si la imagen (SO) de la máquina virtual está en la lista definida y la extensión no está instalada. Nota: Si establece upgradePolicy del conjunto de escalado en Manual, debe aplicar la extensión a todas las máquinas virtuales del conjunto mediante una llamada a la actualización. En la CLI, se usaría az vmss update-instances. Aviso de desuso: El agente de Log Analytics no se admitirá a partir del 31 de agosto de 2024. Debe migrar al "agente de Azure Monitor" de reemplazo antes de esa fecha deployIfNotExists 3.0.0
Implementación de la extensión de Log Analytics para máquinas virtuales Linux. Consulte el aviso de desuso a continuación Implemente la extensión de Log Analytics en máquinas virtuales Linux si la imagen (SO) de la máquina virtual está en la lista definida y la extensión no está instalada. Aviso de desuso: los agentes de Log Analytics están en ruta de desuso y dejarán de tener soporte técnico el 31 de agosto de 2024. Debe migrar al "agente de Azure Monitor" de reemplazo antes de esa fecha deployIfNotExists 3.0.0
Habilitar el registro mediante un grupo de categorías para grupos hospedados 1ES (microsoft.cloudtest/hostedpools) en un centro de eventos Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un centro de eventos para grupos hospedados 1ES (microsoft.cloudtest/hostedpools). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Habilitar el registro mediante un grupo de categorías para grupos hospedados 1ES (microsoft.cloudtest/hostedpools) en Log Analytics Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un área de trabajo de Log Analytics para grupos hospedados 1ES (microsoft.cloudtest/hostedpools). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Habilitar el registro mediante un grupo de categorías para grupos hospedados 1ES (microsoft.cloudtest/hostedpools) en Storage Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a una cuenta de almacenamiento para grupos hospedados 1ES (microsoft.cloudtest/hostedpools). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Habilitar el registro mediante un grupo de categorías para Analysis Services (microsoft.analysisservices/servers) en un centro de eventos Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un centro de eventos para Analysis Services (microsoft.analysisservices/servers). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Habilitar el registro mediante un grupo de categorías para Analysis Services (microsoft.analysisservices/servers) en Log Analytics Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un área de trabajo de Log Analytics para Analysis Services (microsoft.analysisservices/servers). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Habilitar el registro mediante un grupo de categorías para Analysis Services (microsoft.analysisservices/servers) en Storage Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a una cuenta de almacenamiento para Analysis Services (microsoft.analysisservices/servers). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Habilitar el registro mediante un grupo de categorías para grupos de Apache Spark (microsoft.synapse/workspaces/bigdatapools) en un centro de eventos Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un centro de eventos para grupos de Apache Spark (microsoft.synapse/workspaces/bigdatapools). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Habilitar el registro mediante un grupo de categorías para grupos de Apache Spark (microsoft.synapse/workspaces/bigdatapools) en Log Analytics Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un área de trabajo de Log Analytics para grupos de Apache Spark (microsoft.synapse/workspaces/bigdatapools). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Habilitar el registro mediante un grupo de categorías para grupos de Apache Spark (microsoft.synapse/workspaces/bigdatapools) en Storage Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a una cuenta de almacenamiento para grupos de Apache Spark (microsoft.synapse/workspaces/bigdatapools). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Habilitación del registro por grupo de categorías para servicios de API Management (microsoft.apimanagement/service) en un centro de eventos Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un centro de eventos para los servicios de API Management (microsoft.apimanagement/service). DeployIfNotExists, AuditIfNotExists, Disabled 1.2.0
Habilitación del registro por grupo de categorías para servicios de API Management (microsoft.apimanagement/service) en Log Analytics Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un área de trabajo de Log Analytics para los servicios de API Management (microsoft.apimanagement/service). DeployIfNotExists, AuditIfNotExists, Disabled 1.1.0
Habilitación del registro por grupo de categorías para servicios de API Management (microsoft.apimanagement/service) en Storage Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a una cuenta de almacenamiento para los servicios de API Management (microsoft.apimanagement/service). DeployIfNotExists, AuditIfNotExists, Disabled 1.1.0
Habilitación del registro por grupo de categorías para App Configuration (microsoft.appconfiguration/configurationstores) en un centro de eventos Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un centro de eventos para App Configuration (microsoft.appconfiguration/configurationstores). DeployIfNotExists, AuditIfNotExists, Disabled 1.2.0
Habilitación del registro por grupo de categorías para App Configuration (microsoft.appconfiguration/configurationstores) en Log Analytics Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un área de trabajo de Log Analytics para App Configuration (microsoft.appconfiguration/configurationstores). DeployIfNotExists, AuditIfNotExists, Disabled 1.1.0
Habilitación del registro por grupo de categorías para App Configuration (microsoft.appconfiguration/configurationstores) en Azure Storage Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a una cuenta de almacenamiento para App Configuration (microsoft.appconfiguration/configurationstores). DeployIfNotExists, AuditIfNotExists, Disabled 1.1.0
Habilitación del registro por grupo de categorías para App Service (microsoft.web/sites) en Log Analytics Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un área de trabajo de Log Analytics para App Service (microsoft.web/sites). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Habilitar el registro mediante un grupo de categorías para App Service Environment (microsoft.web/hostingenvironments) en un centro de eventos Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un centro de eventos para App Service Environment (microsoft.web/hostingenvironments). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Habilitar el registro mediante un grupo de categorías para App Service Environment (microsoft.web/hostingenvironments) en Log Analytics Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un área de trabajo de Log Analytics para App Service Environment (microsoft.web/hostingenvironments). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Habilitar el registro mediante un grupo de categorías para App Service Environment (microsoft.web/hostingenvironments) en Storage Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a una cuenta de almacenamiento para App Service Environment (microsoft.web/hostingenvironments). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Habilitar el registro mediante un grupo de categorías para puertas de enlace de aplicación (microsoft.network/applicationgateways) en un centro de eventos Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un centro de eventos para puertas de enlace de aplicación (microsoft.network/applicationgateways). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Habilitar el registro mediante un grupo de categorías para puertas de enlace de aplicación (microsoft.network/applicationgateways) en Log Analytics Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un área de trabajo de Log Analytics para puertas de enlace de aplicación (microsoft.network/applicationgateways). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Habilitar el registro mediante un grupo de categorías para puertas de enlace de aplicación (microsoft.network/applicationgateways) en Storage Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a una cuenta de almacenamiento para puertas de enlace de aplicación (microsoft.network/applicationgateways). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Habilitación del registro por grupo de categorías para el grupo de aplicaciones (microsoft.desktopvirtualization/applicationgroups) en Log Analytics Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un área de trabajo de Log Analytics para el grupo de aplicaciones de Azure Virtual Desktop (microsoft.desktopvirtualization/applicationgroups). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Habilitar el registro mediante un grupo de categorías para los grupos de aplicaciones (microsoft.desktopvirtualization/applicationgroups) en un centro de eventos Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un centro de eventos para grupos de aplicaciones (microsoft.desktopvirtualization/applicationgroups). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Habilitar el registro mediante un grupo de categorías para los grupos de aplicaciones (microsoft.desktopvirtualization/applicationgroups) en Log Analytics Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un área de trabajo de Log Analytics para grupos de aplicaciones (microsoft.desktopvirtualization/applicationgroups). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Habilitar el registro mediante un grupo de categorías para los grupos de aplicaciones (microsoft.desktopvirtualization/applicationgroups) en Storage Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a una cuenta de almacenamiento para grupos de aplicaciones (microsoft.desktopvirtualization/applicationgroups). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Habilitar el registro mediante un grupo de categorías para Application Insights (microsoft.insights/components) en un centro de eventos Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un centro de eventos para Application Insights (microsoft.insights/components). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Habilitar el registro mediante un grupo de categorías para Application Insights (microsoft.insights/components) en Log Analytics Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un área de trabajo de Log Analytics para Application Insights (microsoft.insights/components). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Habilitar el registro mediante un grupo de categorías para Application Insights (Microsoft.Insights/components) en Log Analytics (Virtual Enclaves) Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un área de trabajo de Log Analytics para Application Insights (Microsoft.Insights/components). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.1
Habilitar el registro mediante un grupo de categorías para Application Insights (microsoft.insights/components) en Storage Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a una cuenta de almacenamiento para Application Insights (microsoft.insights/components). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Habilitación del registro por grupo de categorías para proveedores de atestación (microsoft.attestation/attestationproviders) en un centro de eventos Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un centro de eventos para proveedores de atestación (microsoft.attestation/attestationproviders). DeployIfNotExists, AuditIfNotExists, Disabled 1.2.0
Habilitación del registro por grupo de categorías para proveedores de atestación (microsoft.attestation/attestationproviders) en Log Analytics Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un área de trabajo de Log Analytics para proveedores de atestación (microsoft.attestation/attestationproviders). DeployIfNotExists, AuditIfNotExists, Disabled 1.1.0
Habilitación del registro por grupo de categorías para proveedores de atestación (microsoft.attestation/attestationproviders) en Storage Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a una cuenta de almacenamiento para proveedores de atestación (microsoft.attestation/attestationproviders). DeployIfNotExists, AuditIfNotExists, Disabled 1.1.0
Habilitación del registro por grupo de categorías para cuentas de Automation (microsoft.automation/automationaccounts) en un centro de eventos Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un centro de eventos para cuentas de Automation (microsoft.automation/automationaccounts). DeployIfNotExists, AuditIfNotExists, Disabled 1.2.0
Habilitación del registro por grupo de categorías para cuentas de Automation (microsoft.automation/automationaccounts) en Log Analytics Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un área de trabajo de Log Analytics para cuentas de Automation (microsoft.automation/automationaccounts). DeployIfNotExists, AuditIfNotExists, Disabled 1.1.0
Habilitación del registro por grupo de categorías para cuentas de Automation (microsoft.automation/automationaccounts) en Storage Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a una cuenta de almacenamiento para cuentas de Automation (microsoft.automation/automationaccounts). DeployIfNotExists, AuditIfNotExists, Disabled 1.1.0
Habilitación del registro por grupo de categorías para nubes privadas de AVS (microsoft.avs/privateclouds) en un centro de eventos Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un centro de eventos para nubes privadas de AVS (microsoft.avs/privateclouds). DeployIfNotExists, AuditIfNotExists, Disabled 1.2.0
Habilitación del registro por grupo de categorías para nubes privadas de AVS (microsoft.avs/privateclouds) en Log Analytics Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un área de trabajo de Log Analytics para nubes privadas de AVS (microsoft.avs/privateclouds). DeployIfNotExists, AuditIfNotExists, Disabled 1.1.0
Habilitación del registro por grupo de categorías para nubes privadas de AVS (microsoft.avs/privateclouds) en Storage Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a una cuenta de almacenamiento para nubes privadas de AVS (microsoft.avs/privateclouds). DeployIfNotExists, AuditIfNotExists, Disabled 1.1.0
Habilitar el registro mediante un grupo de categorías para Azure AD Domain Services (microsoft.aad/domainservices) en un centro de eventos Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un centro de eventos para Azure AD Domain Services (microsoft.aad/domainservices). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Habilitar el registro mediante un grupo de categorías para Azure AD Domain Services (microsoft.aad/domainservices) en Log Analytics Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un área de trabajo de Log Analytics para Azure AD Domain Services (microsoft.aad/domainservices). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Habilitar el registro mediante un grupo de categorías para Azure AD Domain Services (microsoft.aad/domainservices) en Storage Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a una cuenta de almacenamiento para Azure AD Domain Services (microsoft.aad/domainservices). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Habilitar el registro mediante un grupo de categorías para Azure API for FHIR (microsoft.healthcareapis/services) en un centro de eventos Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un centro de eventos para Azure API for FHIR (microsoft.healthcareapis/services). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Habilitar el registro mediante un grupo de categorías para Azure API for FHIR (microsoft.healthcareapis/services) en Log Analytics Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un área de trabajo de Log Analytics para Azure API for FHIR (microsoft.healthcareapis/services). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Habilitar el registro mediante un grupo de categorías para Azure API for FHIR (microsoft.healthcareapis/services) en Storage Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a una cuenta de almacenamiento para Azure API for FHIR (microsoft.healthcareapis/services). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Habilitación del registro por grupo de categorías para Azure Cache for Redis (microsoft.cache/redis) en un centro de eventos Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un centro de eventos para Azure Cache for Redis (microsoft.cache/redis). DeployIfNotExists, AuditIfNotExists, Disabled 1.2.0
Habilitación del registro por grupo de categorías para Azure Cache for Redis (microsoft.cache/redis) en Log Analytics Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un área de trabajo de Log Analytics para Azure Cache for Redis (microsoft.cache/redis). DeployIfNotExists, AuditIfNotExists, Disabled 1.1.0
Habilitación del registro por grupo de categorías para Azure Cache for Redis (microsoft.cache/redis) en Storage Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a una cuenta de almacenamiento para Azure Cache for Redis (microsoft.cache/redis). DeployIfNotExists, AuditIfNotExists, Disabled 1.1.0
Habilitación del registro por grupo de categorías para Azure Cosmos DB (microsoft.documentdb/databaseaccounts) en Log Analytics Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un área de trabajo de Log Analytics para Azure Cosmos DB (microsoft.documentdb/databaseaccounts). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Habilitar el registro mediante un grupo de categorías para cuentas de Azure Cosmos DB (microsoft.documentdb/databaseaccounts) en un centro de eventos Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un centro de eventos para cuentas de Azure Cosmos DB (microsoft.documentdb/databaseaccounts). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Habilitar el registro mediante un grupo de categorías para cuentas de Azure Cosmos DB (microsoft.documentdb/databaseaccounts) en Log Analytics Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un área de trabajo de Log Analytics para cuentas de Azure Cosmos DB (microsoft.documentdb/databaseaccounts). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Habilitar el registro mediante un grupo de categorías para cuentas de Azure Cosmos DB (microsoft.documentdb/databaseaccounts) en Storage Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a una cuenta de almacenamiento para cuentas de Azure Cosmos DB (microsoft.documentdb/databaseaccounts). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Habilitar el registro mediante un grupo de categorías para clústeres de Azure Data Explorer (microsoft.kusto/clusters) en un centro de eventos Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un centro de eventos para clústeres de Azure Data Explorer (microsoft.kusto/clusters). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Habilitar el registro mediante un grupo de categorías para clústeres de Azure Data Explorer (microsoft.kusto/clusters) en Log Analytics Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un área de trabajo de Log Analytics para Azure Data Explores (microsoft.kusto/clusters). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Habilitar el registro mediante un grupo de categorías para clústeres de Azure Data Explorer (microsoft.kusto/clusters) en Storage Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a una cuenta de almacenamiento para clústeres de Azure Data Explorer (microsoft.kusto/clusters). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Habilitar el registro mediante un grupo de categorías para servidores de Azure Database for MariaDB (microsoft.dbformariadb/servers) en un centro de eventos Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un centro de eventos para servidores de Azure Database for MariaDB (microsoft.dbformariadb/servers). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Habilitar el registro mediante un grupo de categorías para servidores de Azure Database for MariaDB (microsoft.dbformariadb/servers) en Log Analytics Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un área de trabajo de Log Analytics para servidores de Azure Database for MariaDB (microsoft.dbformariadb/servers). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Habilitar el registro mediante un grupo de categorías para servidores de Azure Database for MariaDB (microsoft.dbformariadb/servers) en Storage Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a una cuenta de almacenamiento para servidores de Azure Database for MariaDB (microsoft.dbformariadb/servers). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Habilitar el registro mediante un grupo de categorías para servidores de Azure Database for MySQL (microsoft.dbformysql/servers) en un centro de eventos Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un centro de eventos para servidores de Azure Database for MySQL (microsoft.dbformysql/servers). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Habilitar el registro mediante un grupo de categorías para servidores de Azure Database for MySQL (microsoft.dbformysql/servers) en Log Analytics Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un área de trabajo de Log Analytics para servidores de Azure Database for MySQL (microsoft.dbformysql/servers). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Habilitar el registro mediante un grupo de categorías para servidores de Azure Database for MySQL (microsoft.dbformysql/servers) en Storage Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a una cuenta de almacenamiento para servidores de Azure Database for MySQL (microsoft.dbformysql/servers). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Habilitar el registro mediante un grupo de categorías para Azure Databricks Services (microsoft.databricks/workspaces) en un centro de eventos Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un centro de eventos para Azure Databricks Services (microsoft.databricks/workspaces). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Habilitar el registro mediante un grupo de categorías para Azure Databricks Services (microsoft.databricks/workspaces) en Log Analytics Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un área de trabajo de Log Analytics para Azure Databricks Services (microsoft.databricks/workspaces). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Habilitar el registro mediante un grupo de categorías para Azure Databricks Services (microsoft.databricks/workspaces) en Storage Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a una cuenta de almacenamiento para Azure Databricks Services (microsoft.databricks/workspaces). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Habilitar el registro mediante un grupo de categorías para Azure Digital Twins (microsoft.digitaltwins/digitaltwinsinstances) en un centro de eventos Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un centro de eventos para Azure Digital Twins (microsoft.digitaltwins/digitaltwinsinstances). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Habilitar el registro mediante un grupo de categorías para Azure Digital Twins (microsoft.digitaltwins/digitaltwinsinstances) en Log Analytics Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un área de trabajo de Log Analytics para Azure Digital Twins (microsoft.digitaltwins/digitaltwinsinstances). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Habilitar el registro mediante un grupo de categorías para Azure Digital Twins (microsoft.digitaltwins/digitaltwinsinstances) en Storage Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a una cuenta de almacenamiento para Azure Digital Twins (microsoft.digitaltwins/digitaltwinsinstances). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Habilitación del registro por grupo de categorías para Azure FarmBeats (microsoft.agfoodplatform/farmbeats) en un centro de eventos Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un centro de eventos para Azure FarmBeats (microsoft.agfoodplatform/farmbeats). DeployIfNotExists, AuditIfNotExists, Disabled 1.2.0
Habilitación del registro por grupo de categorías para Azure FarmBeats (microsoft.agfoodplatform/farmbeats) en Log Analytics Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un área de trabajo de Log Analytics para Azure FarmBeats (microsoft.agfoodplatform/farmbeats). DeployIfNotExists, AuditIfNotExists, Disabled 1.1.0
Habilitación del registro por grupo de categorías para Azure FarmBeats (microsoft.agfoodplatform/farmbeats) en Storage Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a una cuenta de almacenamiento para Azure FarmBeats (microsoft.agfoodplatform/farmbeats). DeployIfNotExists, AuditIfNotExists, Disabled 1.1.0
Habilitar el registro mediante un grupo de categorías para Azure Load Testing (microsoft.loadtestservice/loadtests) en un centro de eventos Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un centro de eventos para Azure Load Testing (microsoft.loadtestservice/loadtests). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Habilitar el registro mediante un grupo de categorías para Azure Load Testing (microsoft.loadtestservice/loadtests) en Log Analytics Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un área de trabajo de Log Analytics para Azure Load Testing (microsoft.loadtestservice/loadtests). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Habilitar el registro mediante un grupo de categorías para Azure Load Testing (microsoft.loadtestservice/loadtests) en Storage Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a una cuenta de almacenamiento para Azure Load Testing (microsoft.loadtestservice/loadtests). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Habilitación del registro por grupo de categorías para Azure Machine Learning (microsoft.machinelearningservices/workspaces) en un centro de eventos Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un centro de eventos para Azure Machine Learning (microsoft.machinelearningservices/workspaces). DeployIfNotExists, AuditIfNotExists, Disabled 1.2.0
Habilitación del registro por grupo de categorías para Azure Machine Learning (microsoft.machinelearningservices/workspaces) en Log Analytics Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un área de trabajo de Log Analytics para Azure Machine Learning (microsoft.machinelearningservices/workspaces). DeployIfNotExists, AuditIfNotExists, Disabled 1.1.0
Habilitación del registro por grupo de categorías para Azure Machine Learning (microsoft.machinelearningservices/workspaces) en Storage Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a una cuenta de almacenamiento para Azure Machine Learning (microsoft.machinelearningservices/workspaces). DeployIfNotExists, AuditIfNotExists, Disabled 1.1.0
Habilitar el registro mediante un grupo de categorías para Azure Managed Grafana (microsoft.dashboard/grafana) en un centro de eventos Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un centro de eventos para Azure Managed Grafana (microsoft.dashboard/grafana). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Habilitar el registro mediante un grupo de categorías para Azure Managed Grafana (microsoft.dashboard/grafana) en Log Analytics Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un área de trabajo de Log Analytics para Azure Managed Grafana (microsoft.dashboard/grafana). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Habilitar el registro mediante un grupo de categorías para Azure Managed Grafana (microsoft.dashboard/grafana) en Storage Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a una cuenta de almacenamiento para Azure Managed Grafana (microsoft.dashboard/grafana). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Habilitar el registro mediante un grupo de categorías para Azure Spring Apps (microsoft.appplatform/spring) en un centro de eventos Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un centro de eventos para Azure Spring Apps (microsoft.appplatform/spring). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Habilitar el registro mediante un grupo de categorías para Azure Spring Apps (microsoft.appplatform/spring) en Log Analytics Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un área de trabajo de Log Analytics para Azure Spring Apps (microsoft.appplatform/spring). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Habilitar el registro mediante un grupo de categorías para Azure Spring Apps (microsoft.appplatform/spring) en Storage Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a una cuenta de almacenamiento para Azure Spring Apps (microsoft.appplatform/spring). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Habilitar el registro mediante un grupo de categorías para Azure Synapse Analytics (microsoft.synapse/workspaces) en un centro de eventos Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un centro de eventos para Azure Synapse Analytics (microsoft.synapse/workspaces). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Habilitar el registro mediante un grupo de categorías para Azure Synapse Analytics (microsoft.synapse/workspaces) en Log Analytics Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un área de trabajo de Log Analytics para Azure Synapse Analytics (microsoft.synapse/workspaces). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Habilitar el registro mediante un grupo de categorías para Azure Synapse Analytics (microsoft.synapse/workspaces) en Storage Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a una cuenta de almacenamiento para Azure Synapse Analytics (microsoft.synapse/workspaces). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Habilitar el registro mediante un grupo de categorías para Azure Video Indexer (microsoft.videoindexer/accounts) en un centro de eventos Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un centro de eventos para Azure Video Indexer (microsoft.videoindexer/accounts). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Habilitar el registro mediante un grupo de categorías para Azure Video Indexer (microsoft.videoindexer/accounts) en Log Analytics Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un área de trabajo de Log Analytics para Azure Video Indexer (microsoft.videoindexer/accounts). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Habilitar el registro mediante un grupo de categorías para Azure Video Indexer (microsoft.videoindexer/accounts) en Storage Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a una cuenta de almacenamiento para Azure Video Indexer (microsoft.videoindexer/accounts). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Habilitar el registro mediante un grupo de categorías para almacenes de Backup (microsoft.dataprotection/backupvaults) en un centro de eventos Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un centro de eventos para almacenes de Backup (microsoft.dataprotection/backupvaults). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Habilitar el registro mediante un grupo de categorías para almacenes de Backup (microsoft.dataprotection/backupvaults) en Log Analytics Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un área de trabajo de Log Analytics para almacenes de Backup (microsoft.dataprotection/backupvaults). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Habilitar el registro mediante un grupo de categorías para almacenes de Backup (microsoft.dataprotection/backupvaults) en Storage Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a una cuenta de almacenamiento para almacenes de Backup (microsoft.dataprotection/backupvaults). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Habilitación del registro por grupo de categorías para Bastions (microsoft.network/bastionhosts) en un centro de eventos Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un centro de eventos para Bastions (microsoft.network/bastionhosts). DeployIfNotExists, AuditIfNotExists, Disabled 1.2.0
Habilitación del registro por grupo de categorías para Bastions (microsoft.network/bastionhosts) en Log Analytics Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un área de trabajo de Log Analytics para Bastions (microsoft.network/bastionhosts). DeployIfNotExists, AuditIfNotExists, Disabled 1.1.0
Habilitación del registro por grupo de categorías para Bastions (microsoft.network/bastionhosts) en Storage Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a una cuenta de almacenamiento para Bastions (microsoft.network/bastionhosts). DeployIfNotExists, AuditIfNotExists, Disabled 1.1.0
Habilitar el registro mediante un grupo de categorías para cuentas de Batch (microsoft.batch/batchaccounts) en un centro de eventos Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un centro de eventos para cuentas de Batch (microsoft.batch/batchaccounts). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Habilitar el registro mediante un grupo de categorías para cuentas de Batch (microsoft.batch/batchaccounts) en Log Analytics Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un área de trabajo de Log Analytics para cuentas de Batch (microsoft.batch/batchaccounts). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Habilitar el registro mediante un grupo de categorías para cuentas de Batch (microsoft.batch/batchaccounts) en Storage Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a una cuenta de almacenamiento para cuentas de Batch (microsoft.batch/batchaccounts). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Habilitar el registro mediante un grupo de categorías para Bot Services (microsoft.botservice/botservices) en un centro de eventos Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un centro de eventos para Bot Service (microsoft.botservice/botservices). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Habilitar el registro mediante un grupo de categorías para Bot Services (microsoft.botservice/botservices) en Log Analytics Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un área de trabajo de Log Analytics para Bot Service (microsoft.botservice/botservices). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Habilitar el registro mediante un grupo de categorías para Bot Services (microsoft.botservice/botservices) en Storage Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a una cuenta de almacenamiento para Bot Service (microsoft.botservice/botservices). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Habilitar el registro mediante un grupo de categorías para cachés (microsoft.cache/redisenterprise/databases) en un centro de eventos Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un centro de eventos para cachés (microsoft.cache/redisenterprise/databases). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Habilitar el registro mediante un grupo de categorías para cachés (microsoft.cache/redisenterprise/databases) en Log Analytics Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un área de trabajo de Log Analytics para cachés (microsoft.cache/redisenterprise/databases). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Habilitar el registro mediante un grupo de categorías para cachés (microsoft.cache/redisenterprise/databases) en Storage Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a una cuenta de almacenamiento para cachés (microsoft.cache/redisenterprise/databases). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Habilitar el registro mediante un grupo de categorías para experimentos de caos (microsoft.chaos/experiments) en un centro de eventos Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un centro de eventos para experimentos de caos (microsoft.chaos/experiments). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Habilitar el registro mediante un grupo de categorías para experimentos de caos (microsoft.chaos/experiments) en Log Analytics Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un área de trabajo de Log Analytics para experimentos de caos (microsoft.chaos/experiments). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Habilitar el registro mediante un grupo de categorías para experimentos de caos (microsoft.chaos/experiments) en Storage Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a una cuenta de almacenamiento para experimentos de caos (microsoft.chaos/experiments). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Habilitar el registro mediante un grupo de categorías para cuentas de firma de código (microsoft.codesigning/codesigningaccounts) en un centro de eventos Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un centro de eventos para cuentas de firma de código (microsoft.codesigning/codesigningaccounts). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Habilitar el registro mediante un grupo de categorías para cuentas de firma de código (microsoft.codesigning/codesigningaccounts) en Log Analytics Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un área de trabajo de Log Analytics para cuentas de firma de código (microsoft.codesigning/codesigningaccounts). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Habilitar el registro mediante un grupo de categorías para cuentas de firma de código (microsoft.codesigning/codesigningaccounts) en Storage Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a una cuenta de almacenamiento para cuentas de firma de código (microsoft.codesigning/codesigningaccounts). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Habilitación del registro por grupo de categorías para Cognitive Services (microsoft.cognitiveservices/accounts) en un centro de eventos Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un centro de eventos para Cognitive Services (microsoft.cognitiveservices/accounts). DeployIfNotExists, AuditIfNotExists, Disabled 1.2.0
Habilitación del registro por grupo de categorías para Cognitive Services (microsoft.cognitiveservices/accounts) en Log Analytics Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un área de trabajo de Log Analytics para Cognitive Services (microsoft.cognitiveservices/accounts). DeployIfNotExists, AuditIfNotExists, Disabled 1.1.0
Habilitación del registro por grupo de categorías para Cognitive Services (microsoft.cognitiveservices/accounts) en Storage Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a una cuenta de almacenamiento para Cognitive Services (microsoft.cognitiveservices/accounts). DeployIfNotExists, AuditIfNotExists, Disabled 1.1.0
Habilitar el registro mediante un grupo de categorías para Communication Services (microsoft.communication/communicationservices) en un centro de eventos Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un centro de eventos para Communication Services (microsoft.communication/communicationservices). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Habilitar el registro mediante un grupo de categorías para Communication Services (microsoft.communication/communicationservices) en Log Analytics Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un área de trabajo de Log Analytics para Communication Services (microsoft.communication/communicationservices). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Habilitar el registro mediante un grupo de categorías para Communication Services (microsoft.communication/communicationservices) en Storage Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a una cuenta de almacenamiento para Communication Services (microsoft.communication/communicationservices). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Habilitar el registro mediante un grupo de categorías para recursos de caché conectada (microsoft.connectedcache/ispcustomers) en un centro de eventos Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un centro de eventos para recursos de caché conectada (microsoft.connectedcache/ispcustomers). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Habilitar el registro mediante un grupo de categorías para recursos de caché conectada (microsoft.connectedcache/ispcustomers) en Log Analytics Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un área de trabajo de Log Analytics para recursos de caché conectada (microsoft.connectedcache/ispcustomers). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Habilitar el registro mediante un grupo de categorías para recursos de caché conectada (microsoft.connectedcache/ispcustomers) en Storage Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a una cuenta de almacenamiento para recursos de caché conectada (microsoft.connectedcache/ispcustomers). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Habilitar el registro mediante un grupo de categorías para entornos de Container Apps (microsoft.app/managedenvironments) en un centro de eventos Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un centro de eventos para entornos de Container Apps (microsoft.app/managedenvironments). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Habilitar el registro mediante un grupo de categorías para entornos de Container Apps (microsoft.app/managedenvironments) en Log Analytics Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un área de trabajo de Log Analytics para entornos de Container Apps (microsoft.app/managedenvironments). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Habilitar el registro mediante un grupo de categorías para entornos de Container Apps (microsoft.app/managedenvironments) en Storage Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a una cuenta de almacenamiento para entornos de Container Apps (microsoft.app/managedenvironments). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Habilitar el registro mediante un grupo de categorías para instancias de contenedor (microsoft.containerinstance/containergroups) en un centro de eventos Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un centro de eventos para las instancias de contenedor (microsoft.containerinstance/containergroups). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Habilitar el registro mediante un grupo de categorías para instancias de contenedor (microsoft.containerinstance/containergroups) en Log Analytics Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a área de trabajo de Log Analytics para las instancias de contenedor (microsoft.containerinstance/containergroups). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Habilitar el registro mediante un grupo de categorías para instancias de contenedor (microsoft.containerinstance/containergroups) en Storage Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a una cuenta de almacenamiento para las instancias de contenedor (microsoft.containerinstance/containergroups). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Habilitación del registro por grupo de categorías para los registros de contenedor (microsoft.containerregistry/registries) en un centro de eventos Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un centro de eventos para los registros de contenedor (microsoft.containerregistry/registries). DeployIfNotExists, AuditIfNotExists, Disabled 1.2.0
Habilitación del registro por grupo de categorías para los registros de contenedor (microsoft.containerregistry/registries) en Log Analytics Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un área de trabajo de Log Analytics para los registros de contenedor (microsoft.containerregistry/registries). DeployIfNotExists, AuditIfNotExists, Disabled 1.1.0
Habilitación del registro por grupo de categorías para los registros de contenedor (microsoft.containerregistry/registries) en Storage Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a una cuenta de almacenamiento para los registros de contenedor (microsoft.containerregistry/registries). DeployIfNotExists, AuditIfNotExists, Disabled 1.1.0
Habilitar el registro mediante un grupo de categorías para las reglas de recopilación de datos (microsoft.insights/datacollectionrules) en un centro de eventos Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un centro de eventos para las reglas de recopilación de datos (microsoft.insights/datacollectionrules). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Habilitar el registro mediante un grupo de categorías para las reglas de recopilación de datos (microsoft.insights/datacollectionrules) en Log Analytics Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un área de trabajo de Log Analytics para las reglas de recopilación de datos (microsoft.insights/datacollectionrules). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Habilitar el registro mediante un grupo de categorías para las reglas de recopilación de datos (microsoft.insights/datacollectionrules) en Storage Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a una cuenta de almacenamiento para las reglas de recopilación de datos (microsoft.insights/datacollectionrules). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Habilitar el registro mediante un grupo de categorías para factorías de datos (V2) (microsoft.datafactory/factorys) en un centro de eventos Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un centro de eventos para factorías de datos (V2) (microsoft.datafactory/factorys). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Habilitar el registro mediante un grupo de categorías para factorías de datos (V2) (microsoft.datafactory/factorys) en Log Analytics Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un área de trabajo de Log Analytics para factorías de datos (V2) (microsoft.datafactory/factorys). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Habilitar el registro mediante un grupo de categorías para factorías de datos (V2) (microsoft.datafactory/factorys) en Storage Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a una cuenta de almacenamiento para factorías de datos (V2) (microsoft.datafactory/factorys). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Habilitar el registro mediante un grupo de categorías para Data Lake Analytics (microsoft.datalakeanalytics/accounts) en un centro de eventos Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un centro de eventos para Data Lake Analytics (microsoft.datalakeanalytics/accounts). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Habilitar el registro mediante un grupo de categorías para Data Lake Analytics (microsoft.datalakeanalytics/accounts) en Log Analytics Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un área de trabajo de Log Analytics para Data Lake Analytics (microsoft.datalakeanalytics/accounts). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Habilitar el registro mediante un grupo de categorías para Data Lake Analytics (microsoft.datalakeanalytics/accounts) en Storage Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a una cuenta de almacenamiento para Data Lake Analytics (microsoft.datalakeanalytics/accounts). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Habilitar el registro mediante un grupo de categorías para Data Lake Storage Gen1 (microsoft.datalakestore/accounts) en un centro de eventos Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un centro de eventos para Data Lake Storage Gen1 (microsoft.datalakestore/accounts). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Habilitar el registro mediante un grupo de categorías para Data Lake Storage Gen1 (microsoft.datalakestore/accounts) en Log Analytics Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un área de trabajo de Log Analytics para Data Lake Storage Gen1 (microsoft.datalakestore/accounts). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Habilitar el registro mediante un grupo de categorías para Data Lake Storage Gen1 (microsoft.datalakestore/accounts) en Storage Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a una cuenta de almacenamiento para Data Lake Storage Gen1 (microsoft.datalakestore/accounts). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Habilitar el registro mediante un grupo de categorías para recursos compartidos de datos (microsoft.datashare/accounts) en un centro de eventos Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un centro de eventos para recursos compartidos de datos (microsoft.datashare/accounts). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Habilitar el registro mediante un grupo de categorías para recursos compartidos de datos (microsoft.datashare/accounts) en Log Analytics Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un área de trabajo de Log Analytics para recursos compartidos de datos (microsoft.datashare/accounts). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Habilitar el registro mediante un grupo de categorías para recursos compartidos de datos (microsoft.datashare/accounts) en Storage Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a una cuenta de almacenamiento para recursos compartidos de datos (microsoft.datashare/accounts). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Habilitar el registro mediante un grupo de categorías para grupos de SQL dedicados (microsoft.synapse/workspaces/sqlpools) en un centro de eventos Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un centro de eventos para grupos de SQL dedicados (microsoft.synapse/workspaces/sqlpools). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Habilitar el registro mediante un grupo de categorías para grupos de SQL dedicados (microsoft.synapse/workspaces/sqlpools) en Log Analytics Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un área de trabajo de Log Analytics para grupos de SQL dedicados (microsoft.synapse/workspaces/sqlpools). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Habilitar el registro mediante un grupo de categorías para grupos de SQL dedicados (microsoft.synapse/workspaces/sqlpools) en Storage Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a una cuenta de almacenamiento para grupos de SQL dedicados (microsoft.synapse/workspaces/sqlpools). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Habilitar el registro mediante un grupo de categorías para centros de desarrollo (microsoft.devcenter/devcenters) en un centro de eventos Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un centro de eventos para centros de desarrollo (microsoft.devcenter/devcenters). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Habilitar el registro mediante un grupo de categorías para centros de desarrollo (microsoft.devcenter/devcenters) en Log Analytics Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un área de trabajo de Log Analytics para centros de desarrollo (microsoft.devcenter/devcenters). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Habilitar el registro mediante un grupo de categorías para centros de desarrollo (microsoft.devcenter/devcenters) en Storage Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a una cuenta de almacenamiento para centros de desarrollo (microsoft.devcenter/devcenters). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Habilitar el registro mediante un grupo de categorías para el servicio DICOM (microsoft.healthcareapis/workspaces/dicomservices) en un centro de eventos Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un centro de eventos para el servicio DICOM (microsoft.healthcareapis/workspaces/dicomservices). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Habilitar el registro mediante un grupo de categorías para el servicio DICOM (microsoft.healthcareapis/workspaces/dicomservices) en Log Analytics Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un área de trabajo de Log Analytics para el servicio DICOM (microsoft.healthcareapis/workspaces/dicomservices). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Habilitar el registro mediante un grupo de categorías para el servicio DICOM (microsoft.healthcareapis/workspaces/dicomservices) en Storage Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a una cuenta de almacenamiento para el servicio DICOM (microsoft.healthcareapis/workspaces/dicomservices). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Habilitar el registro mediante un grupo de categorías para puntos de conexión (microsoft.cdn/profiles/endpoints) en un centro de eventos Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un centro de eventos para puntos de conexión (microsoft.cdn/profiles/endpoints). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Habilitar el registro mediante un grupo de categorías para puntos de conexión (microsoft.cdn/profiles/endpoints) en Log Analytics Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un área de trabajo de Log Analytics para puntos de conexión (microsoft.cdn/profiles/endpoints). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Habilitar el registro mediante un grupo de categorías para puntos de conexión (microsoft.cdn/profiles/endpoints) en Storage Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a una cuenta de almacenamiento para puntos de conexión (microsoft.cdn/profiles/endpoints). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Habilitación del registro por grupo de categorías para dominios de Event Grid (microsoft.eventgrid/domains) en un centro de eventos Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un centro de eventos para los dominios de Event Grid (microsoft.eventgrid/domains). DeployIfNotExists, AuditIfNotExists, Disabled 1.2.0
Habilitación del registro por grupo de categorías para dominios de Event Grid (microsoft.eventgrid/domains) en Log Analytics Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un área de trabajo de Log Analytics para los dominios de Event Grid (microsoft.eventgrid/domains). DeployIfNotExists, AuditIfNotExists, Disabled 1.1.0
Habilitación del registro por grupo de categorías para dominios de Event Grid (microsoft.eventgrid/domains) en Storage Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a una cuenta de almacenamiento para los dominios de Event Grid (microsoft.eventgrid/domains). DeployIfNotExists, AuditIfNotExists, Disabled 1.1.0
Habilitación del registro por grupo de categorías para espacios de nombres de partners de Event Grid (microsoft.eventgrid/partnernamespaces) en un centro de eventos Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un centro de eventos para los espacios de nombres de partners de Event Grid (microsoft.eventgrid/partnernamespaces). DeployIfNotExists, AuditIfNotExists, Disabled 1.2.0
Habilitación del registro por grupo de categorías para espacios de nombres de partners de Event Grid (microsoft.eventgrid/partnernamespaces) en Log Analytics Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un área de trabajo de Log Analytics para los espacios de nombres de partners de Event Grid (microsoft.eventgrid/partnernamespaces). DeployIfNotExists, AuditIfNotExists, Disabled 1.1.0
Habilitación del registro por grupo de categorías para espacios de nombres de partners de Event Grid (microsoft.eventgrid/partnernamespaces) en Storage Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a una cuenta de almacenamiento para los espacios de nombres de partners de Event Grid (microsoft.eventgrid/partnernamespaces). DeployIfNotExists, AuditIfNotExists, Disabled 1.1.0
Habilitar el registro mediante un grupo de categorías para temas de asociados de Event Grid (microsoft.eventgrid/partnertopics) en un centro de eventos Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un centro de eventos para temas de asociados de Event Grid (microsoft.eventgrid/partnertopics). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Habilitar el registro mediante un grupo de categorías para temas de asociados de Event Grid (microsoft.eventgrid/partnertopics) en Log Analytics Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un área de trabajo de Log Analytics para los temas de asociados de Event Grid (microsoft.eventgrid/partnertopics). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Habilitar el registro mediante un grupo de categorías para temas de asociados de Event Grid (microsoft.eventgrid/partnertopics) en Storage Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a una cuenta de almacenamiento para los temas de asociados de Event Grid (microsoft.eventgrid/partnertopics). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Habilitar el registro mediante un grupo de categorías para temas de sistema de Event Grid (microsoft.eventgrid/systemtopics) en un centro de eventos Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un centro de eventos para los temas de sistema de Event Grid (microsoft.eventgrid/systemtopics). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Habilitar el registro mediante un grupo de categorías para temas de sistema de Event Grid (microsoft.eventgrid/systemtopics) en Log Analytics Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un área de trabajo de Log Analytics para los temas de sistema de Event Grid (microsoft.eventgrid/systemtopics). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Habilitar el registro mediante un grupo de categorías para temas de sistema de Event Grid (microsoft.eventgrid/systemtopics) en Storage Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a una cuenta de almacenamiento para los temas de sistema de Event Grid (microsoft.eventgrid/systemtopics). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Habilitación del registro por grupo de categorías para temas de Event Grid (microsoft.eventgrid/topics) en un centro de eventos Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un centro de eventos para los temas de Event Grid (microsoft.eventgrid/topics). DeployIfNotExists, AuditIfNotExists, Disabled 1.2.0
Habilitación del registro por grupo de categorías para temas de Event Grid (microsoft.eventgrid/topics) en Log Analytics Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un área de trabajo de Log Analytics para los temas de Event Grid (microsoft.eventgrid/topics). DeployIfNotExists, AuditIfNotExists, Disabled 1.1.0
Habilitación del registro por grupo de categorías para temas de Event Grid (microsoft.eventgrid/topics) en Storage Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a una cuenta de almacenamiento para los temas de Event Grid (microsoft.eventgrid/topics). DeployIfNotExists, AuditIfNotExists, Disabled 1.1.0
Habilitación del registro por grupo de categorías para los espacios de nombres de Event Hubs (microsoft.eventhub/namespaces) en el centro de eventos Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un centro de eventos para los espacios de nombres de Event Hubs (microsoft.eventhub/namespaces). DeployIfNotExists, AuditIfNotExists, Disabled 1.2.0
Habilitación del registro por grupo de categorías para los espacios de nombres de Event Hubs (microsoft.eventhub/namespaces) en Log Analytics Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un área de trabajo de Log Analytics para los espacios de nombres de Event Hubs (microsoft.eventhub/namespaces). DeployIfNotExists, AuditIfNotExists, Disabled 1.1.0
Habilitación del registro por grupo de categorías para los espacios de nombres de Event Hubs (microsoft.eventhub/namespaces) en Storage Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a una cuenta de almacenamiento para los espacios de nombres de Event Hubs (microsoft.eventhub/namespaces). DeployIfNotExists, AuditIfNotExists, Disabled 1.1.0
Habilitar el registro mediante un grupo de categorías para áreas de trabajo de experimentos (microsoft.experimentación/experimentworkspaces) en un centro de eventos Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un centro de eventos para un área de trabajo de experimentos (microsoft.experimentation/experimentworkspaces). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Habilitar el registro mediante un grupo de categorías para áreas de trabajo de experimentos (microsoft.experimentación/experimentworkspaces) en Log Analytics Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un área de trabajo de Log Analytics para un área de trabajo de experimentos (microsoft.experimentation/experimentworkspaces). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Habilitar el registro mediante un grupo de categorías para áreas de trabajo de experimentos (microsoft.experimentación/experimentworkspaces) en Storage Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a una cuenta de almacenamiento para un área de trabajo de experimentos (microsoft.experimentation/experimentworkspaces). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Habilitar el registro mediante un grupo de categorías para circuitos ExpressRoute (microsoft.network/expressroutecircuits) en un centro de eventos Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un centro de eventos para circuitos ExpressRoute (microsoft.network/expressroutecircuits). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Habilitar el registro mediante un grupo de categorías para circuitos ExpressRoute (microsoft.network/expressroutecircuits) en Log Analytics Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un área de trabajo de Log Analytics para circuitos ExpressRoute (microsoft.network/expressroutecircuits). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Habilitar el registro mediante un grupo de categorías para circuitos ExpressRoute (microsoft.network/expressroutecircuits) en Storage Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a una cuenta de almacenamiento para circuitos ExpressRoute (microsoft.network/expressroutecircuits). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Habilitar el registro mediante un grupo de categorías para el servicio FHIR (microsoft.healthcareapis/workspaces/fhirservices) en un centro de eventos Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un centro de eventos para el servicio FHIR (microsoft.healthcareapis/workspaces/fhirservices). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Habilitar el registro mediante un grupo de categorías para el servicio FHIR (microsoft.healthcareapis/workspaces/fhirservices) en Log Analytics Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un área de trabajo de Log Analytics para el servicio FHIR (microsoft.healthcareapis/workspaces/fhirservices). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Habilitar el registro mediante un grupo de categorías para el servicio FHIR (microsoft.healthcareapis/workspaces/fhirservices) en Storage Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a una cuenta de almacenamiento para el servicio FHIR (microsoft.healthcareapis/workspaces/fhirservices). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Habilitación del registro por grupo de categorías para firewalls (microsoft.network/azurefirewalls) en Log Analytics Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un área de trabajo de Log Analytics para Firewall (microsoft.network/azurefirewalls). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Habilitar el registro mediante un grupo de categorías para firewalls (microsoft.network/azurefirewalls) en un centro de eventos Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un centro de eventos para firewalls (microsoft.network/azurefirewalls). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Habilitar el registro mediante un grupo de categorías para firewalls (microsoft.network/azurefirewalls) en Log Analytics Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un área de trabajo de Log Analytics para firewalls (microsoft.network/azurefirewalls). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Habilitar el registro mediante un grupo de categorías para firewalls (microsoft.network/azurefirewalls) en Storage Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a una cuenta de almacenamiento para firewalls (microsoft.network/azurefirewalls). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Habilitación del registro por grupo de categorías para los perfiles de CDN y Front Door (microsoft.cdn/profiles) en un centro de eventos Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un centro de eventos para perfiles de CDN y Front Door (microsoft.cdn/profiles). DeployIfNotExists, AuditIfNotExists, Disabled 1.2.0
Habilitación del registro por grupo de categorías para los perfiles de CDN y Front Door (microsoft.cdn/profiles) en Log Analytics Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un área de trabajo de Log Analytics para perfiles de CDN y Front Door (microsoft.cdn/profiles). DeployIfNotExists, AuditIfNotExists, Disabled 1.1.0
Habilitación del registro por grupo de categorías para los perfiles de CDN y Front Door (microsoft.cdn/profiles) en Storage Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a una cuenta de almacenamiento para perfiles de CDN y Front Door (microsoft.cdn/profiles). DeployIfNotExists, AuditIfNotExists, Disabled 1.1.0
Habilitación del registro por grupo de categorías para los perfiles de CDN y Front Door (microsoft.network/frontdoors) en un centro de eventos Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un centro de eventos para perfiles de CDN y Front Door (microsoft.network/frontdoors). DeployIfNotExists, AuditIfNotExists, Disabled 1.2.0
Habilitación del registro por grupo de categorías para los perfiles de CDN y Front Door (microsoft.network/frontdoors) en Log Analytics Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un área de trabajo de Log Analytics para perfiles de CDN y Front Door (microsoft.network/frontdoors). DeployIfNotExists, AuditIfNotExists, Disabled 1.1.0
Habilitación del registro por grupo de categorías para los perfiles de CDN y Front Door (microsoft.network/frontdoors) en Storage Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a una cuenta de almacenamiento para perfiles de CDN y Front Door (microsoft.network/frontdoors). DeployIfNotExists, AuditIfNotExists, Disabled 1.1.0
Habilitación del registro por grupo de categorías para Function App (microsoft.web/sites) en Log Analytics Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un área de trabajo de Log Analytics para Function App (microsoft.web/sites). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Habilitación del registro por grupo de categorías para el grupo de hosts (microsoft.desktopvirtualization/hostpools) en Log Analytics Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un área de trabajo de Log Analytics para el grupo de hosts de Azure Virtual Desktop (microsoft.desktopvirtualization/hostpools). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Habilitar el registro mediante un grupo de categorías para los grupos de hosts (microsoft.desktopvirtualization/hostpools) en un centro de eventos Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un centro de eventos para grupos de hosts (microsoft.desktopvirtualization/hostpools). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Habilitar el registro mediante un grupo de categorías para los grupos de hosts (microsoft.desktopvirtualization/hostpools) en Log Analytics Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un área de trabajo de Log Analytics para los grupos de hosts (microsoft.desktopvirtualization/hostpools). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Habilitar el registro mediante un grupo de categorías para los grupos de hosts (microsoft.desktopvirtualization/hostpools) en Storage Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a una cuenta de almacenamiento para grupos de hosts (microsoft.desktopvirtualization/hostpools). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Habilitar el registro mediante un grupo de categorías para cachés HPC (microsoft.storagecache/caches) en un centro de eventos Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un centro de eventos para cachés HPC (microsoft.storagecache/caches). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Habilitar el registro mediante un grupo de categorías para cachés HPC (microsoft.storagecache/caches) en Log Analytics Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un área de trabajo de Log Analytics para cachés HPC (microsoft.storagecache/caches). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Habilitar el registro mediante un grupo de categorías para cachés HPC (microsoft.storagecache/caches) en Storage Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a una cuenta de almacenamiento para cachés HPC (microsoft.storagecache/caches). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Habilitar el registro mediante un grupo de categorías para cuentas de integración (microsoft.logic/integrationaccounts) en un centro de eventos Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un centro de eventos para cuentas de integración (microsoft.logic/integrationaccounts). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Habilitar el registro mediante un grupo de categorías para cuentas de integración (microsoft.logic/integrationaccounts) en Log Analytics Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un área de trabajo de Log Analytics para cuentas de integración (microsoft.logic/integrationaccounts). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Habilitar el registro mediante un grupo de categorías para cuentas de integración (microsoft.logic/integrationaccounts) en Storage Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a una cuenta de almacenamiento para cuentas de integración (microsoft.logic/integrationaccounts). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Habilitación del registro por grupo de categorías para IoT Hub (microsoft.devices/iothubs) en un centro de eventos Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un centro de eventos para IoT Hub (microsoft.devices/iothubs). DeployIfNotExists, AuditIfNotExists, Disabled 1.2.0
Habilitación del registro por grupo de categorías para IoT Hub (microsoft.devices/iothubs) en Log Analytics Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un área de trabajo de Log Analytics para IoT Hub (microsoft.devices/iothubs). DeployIfNotExists, AuditIfNotExists, Disabled 1.1.0
Habilitación del registro por grupo de categorías para IoT Hub (microsoft.devices/iothubs) en Storage Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a una cuenta de almacenamiento para IoT Hub (microsoft.devices/iothubs). DeployIfNotExists, AuditIfNotExists, Disabled 1.1.0
Habilitación del registro por grupo de categorías para almacenes de claves (microsoft.keyvault/vaults) en un centro de eventos Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un centro de eventos para almacenes de claves (microsoft.keyvault/vaults). DeployIfNotExists, AuditIfNotExists, Disabled 1.2.0
Habilitación del registro por grupo de categorías para almacenes de claves (microsoft.keyvault/vaults) en Log Analytics Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un área de trabajo de Log Analytics para almacenes de claves (microsoft.keyvault/vaults). DeployIfNotExists, AuditIfNotExists, Disabled 1.1.0
Habilitación del registro por grupo de categorías para almacenes de claves (microsoft.keyvault/vaults) en Storage Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a una cuenta de almacenamiento para almacenes de claves (microsoft.keyvault/vaults). DeployIfNotExists, AuditIfNotExists, Disabled 1.1.0
Habilitar el registro mediante un grupo de categorías para eventos en directo (microsoft.media/mediaservices/liveevents) en un centro de eventos Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un centro de eventos para eventos en directo (microsoft.media/mediaservices/liveevents). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Habilitar el registro mediante un grupo de categorías para eventos en directo (microsoft.media/mediaservices/liveevents) en Log Analytics Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un área de trabajo de Log Analytics para eventos en directo (microsoft.media/mediaservices/liveevents). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Habilitar el registro mediante un grupo de categorías para eventos en directo (microsoft.media/mediaservices/liveevents) en Storage Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a una cuenta de almacenamiento para eventos en directo (microsoft.media/mediaservices/liveevents). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Habilitar el registro mediante un grupo de categorías para equilibradores de carga (microsoft.network/loadbalancers) en un centro de eventos Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un centro de eventos para equilibradores de carga (microsoft.network/loadbalancers). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Habilitar el registro mediante un grupo de categorías para equilibradores de carga (microsoft.network/loadbalancers) en Log Analytics Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un área de trabajo de Log Analytics para equilibradores de carga (microsoft.network/loadbalancers). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Habilitar el registro mediante un grupo de categorías para equilibradores de carga (microsoft.network/loadbalancers) en Storage Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a una cuenta de almacenamiento para equilibradores de carga (microsoft.network/loadbalancers). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0