Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Esta página es un índice de Azure Policy definiciones de directiva integradas para Azure Virtual Network. Para obtener más Azure Policy integrados para otros servicios, consulte Azure Policy definiciones integradas.
El nombre de cada definición de directiva integrada se vincula a la definición de directiva en el portal de Azure. Use el vínculo de la columna Version para ver el origen en el repositorio Azure Policy GitHub.
Red virtual de Azure
| Name (Azure portal) |
Description | Effect(s) | Version (GitHub) |
|---|---|---|---|
| Azure Security Center ha identificado que algunas de las subredes no están protegidas con un firewall de próxima generación. Proteja las subredes frente a posibles amenazas mediante la restricción del acceso a ellas con Azure Firewall o un firewall de próxima generación compatible | AuditIfNotExists, Deshabilitado | 3.0.0-preview | |
| [Vista previa]: Container Registry debe usar un punto de conexión del servicio de red virtual | Esta directiva audita toda instancia de Container Registry no configurada para usar un punto de conexión del servicio de red virtual. | Auditar, Deshabilitado | 1.0.0-preview |
| A se debe aplicar una directiva IPsec/IKE personalizada a todas las conexiones de puerta de enlace de red virtual Azure | Esta directiva garantiza que todas las conexiones de puerta de enlace de red virtual Azure usen una directiva personalizada de seguridad de protocolo de Internet (Ipsec)/Clave de Internet Exchange(IKE). Consulte los algoritmos y los niveles de seguridad de las claves compatibles en https://aka.ms/AA62kb0. | Auditar, Deshabilitado | 1.0.0 |
| Todos los recursos del registro de flujo deben estar en estado habilitado | Audite los recursos del registro de flujo para comprobar si está habilitado el estado del registro de flujo. Habilitar los registros de flujo permite registrar información sobre el tráfico IP que fluye. Se puede utilizar para optimizar flujos de red, supervisar el rendimiento, comprobar el cumplimiento, detectar intrusiones y mucho más. | Auditar, Deshabilitado | 1.0.1 |
| Las aplicaciones de App Service deberían usar un punto de conexión del servicio de red virtual | Use puntos de conexión de servicio de red virtual para restringir el acceso a la aplicación desde subredes seleccionadas desde una red virtual de Azure. Para más información sobre puntos de conexión de servicio de App Service, visite https://aka.ms/appservice-vnet-service-endpoint. | AuditIfNotExists, Deshabilitado | 2.0.1 |
| Configuración de registros de flujo de auditoría para cada red virtual | Audite la red virtual para comprobar si se han configurado los registros de flujo. Habilitar los registros de flujo permite registrar información sobre el tráfico IP que fluye a través de red virtual. Se puede utilizar para optimizar flujos de red, supervisar el rendimiento, comprobar el cumplimiento, detectar intrusiones y mucho más. | Auditar, Deshabilitado | 1.0.1 |
| Azure Application Gateway para contenedores deben tener directivas de seguridad | Garantiza que la Pasarela de Aplicaciones para Contenedores tenga al menos una política de seguridad configurada | AuditIfNotExists, Deshabilitado | 1.0.0 |
| Azure Application Gateway debe implementarse con Azure WAF | Requiere Azure Application Gateway recursos que se implementen con Azure WAF. | Auditar, Denegar, Deshabilitado | 1.0.0 |
| Azure Firewall las reglas clásicas deben migrarse a la directiva de firewall | Migre de Azure Firewall reglas clásicas a la directiva de firewall para usar herramientas de administración central como Azure Firewall Manager. | Auditar, Denegar, Deshabilitado | 1.0.0 |
| Azure Firewall Policy Analytics debe estar habilitado | La habilitación de Policy Analytics proporciona visibilidad mejorada del tráfico que fluye a través de Azure Firewall, lo que permite la optimización de la configuración del firewall sin afectar al rendimiento de la aplicación. | Auditar, Deshabilitado | 1.0.0 |
| Azure Firewall Policy debe habilitar inteligencia sobre amenazas | El filtrado basado en inteligencia sobre amenazas puede habilitarse para que el firewall alerte y deniegue el tráfico desde y hacia los dominios y las direcciones IP malintencionados. Las direcciones IP y los dominios se obtienen de la fuente de inteligencia sobre amenazas de Microsoft. | Auditar, Denegar, Deshabilitado | 1.0.0 |
| Azure Firewall Policy debe tener habilitado el proxy DNS | La habilitación del proxy DNS hará que el Azure Firewall asociado a esta directiva escuche en el puerto 53 y reenvíe las solicitudes DNS al servidor DNS especificado. | Auditar, Deshabilitado | 1.0.0 |
| Azure Firewall debe implementarse para abarcar varios Availability Zones | Para aumentar la disponibilidad, se recomienda implementar el Azure Firewall para abarcar varios Availability Zones. Esto garantiza que el Azure Firewall permanecerá disponible en caso de error de zona. | Auditar, Denegar, Deshabilitado | 1.0.0 |
| Azure Firewall Estándar: las reglas clásicas deben habilitar la inteligencia sobre amenazas | El filtrado basado en inteligencia sobre amenazas puede habilitarse para que el firewall alerte y deniegue el tráfico desde y hacia los dominios y las direcciones IP malintencionados. Las direcciones IP y los dominios se obtienen de la fuente de inteligencia sobre amenazas de Microsoft. | Auditar, Denegar, Deshabilitado | 1.0.0 |
| Azure Firewall Standard debe actualizarse a Premium para la protección de próxima generación | Si busca protección de próxima generación como IDPS e inspección de TLS, debe considerar la posibilidad de actualizar el Azure Firewall a la SKU Premium. | Auditar, Denegar, Deshabilitado | 1.0.0 |
| Azure las puertas de enlace de VPN no deben usar la SKU "básica" | Esta directiva garantiza que las instancias de VPN Gateway no usan la SKU "básica". | Auditar, Deshabilitado | 1.0.0 |
| Azure Web Application Firewall en Azure Application Gateway debe tener habilitada la inspección del cuerpo de la solicitud | Asegúrese de que los firewalls de aplicaciones web asociados a Azure Application Gateway tengan habilitada la inspección del cuerpo de la solicitud. Esto permite que el WAF inspeccione las propiedades dentro del cuerpo HTTP, que podría no evaluarse en los encabezados HTTP, las cookies o el URI. | Auditar, Denegar, Deshabilitado | 1.0.0 |
| Azure Web Application Firewall en Azure Front Door debe tener habilitada la inspección del cuerpo de la solicitud | Asegúrese de que los firewalls de aplicaciones web asociados a Azure Front Door tengan habilitada la inspección del cuerpo de la solicitud. Esto permite que el WAF inspeccione las propiedades dentro del cuerpo HTTP, que podría no evaluarse en los encabezados HTTP, las cookies o el URI. | Auditar, Denegar, Deshabilitado | 1.0.0 |
| Azure Web Application Firewall debe estar habilitado para Azure Front Door puntos de entrada | Implemente Azure Web Application Firewall (WAF) delante de las aplicaciones web orientadas al público para una inspección adicional del tráfico entrante. Web Application Firewall (WAF) proporciona protección centralizada de las aplicaciones web frente a vulnerabilidades de seguridad comunes, como inyecciones de SQL, scripting entre sitios, ejecuciones de archivos locales y remotas. También permite restringir el acceso a las aplicaciones web por países, intervalos de direcciones IP y otros parámetros http(s) por medio de reglas personalizadas. | Auditar, Denegar, Deshabilitado | 1.0.2 |
| Bot Protection debe estar habilitado para Azure Application Gateway WAF | Esta directiva garantiza que la protección contra bots esté habilitada en todas las directivas de Azure Application Gateway Web Application Firewall (WAF). | Auditar, Denegar, Deshabilitado | 1.0.0 |
| Bot Protection debe estar habilitado para Azure Front Door WAF | Esta directiva garantiza que la protección contra bots esté habilitada en todas las directivas de Azure Front Door Web Application Firewall (WAF). | Auditar, Denegar, Deshabilitado | 1.0.0 |
| Configurar la configuración de diagnóstico de grupos de seguridad de red de Azure para Log Analytics área de trabajo | Implemente la configuración de diagnóstico en Azure grupos de seguridad de red para transmitir registros de recursos a un área de trabajo de Log Analytics. | DeployIfNotExists, deshabilitado | 1.0.0 |
| Configurar grupos de seguridad de red para habilitar el análisis de tráfico | El análisis de tráfico se puede habilitar para todos los grupos de seguridad de red hospedados en una región determinada con la configuración proporcionada durante la creación de la directiva. Si ya tiene habilitado el análisis de tráfico, la directiva no sobrescribe su configuración. Los registros de flujo también están habilitados para los grupos de seguridad de red que no lo tienen. Análisis de tráfico es una solución basada en la nube, que proporciona visibilidad de la actividad de usuarios y aplicaciones en las redes en la nube. | DeployIfNotExists, deshabilitado | 1.2.0 |
| Configure los grupos de seguridad de red para usar un área de trabajo, una cuenta de almacenamiento y una directiva de retención de registros de flujo específicas para análisis de tráfico | Si ya tiene habilitado el análisis de tráfico, la directiva sobrescribirá su configuración ya existente por la proporcionada durante la creación de dicha directiva. Análisis de tráfico es una solución basada en la nube, que proporciona visibilidad de la actividad de usuarios y aplicaciones en las redes en la nube. | DeployIfNotExists, deshabilitado | 1.2.0 |
| Configuración de la red virtual para habilitar el registro de flujo y el análisis de tráfico | El análisis de tráfico y el registro de flujo se pueden habilitar para todas las redes virtuales hospedadas en una región determinada con la configuración proporcionada durante la creación de la directiva. Esta directiva no sobrescribe la configuración actual de las redes virtuales que ya tienen habilitada esta característica. Análisis de tráfico es una solución basada en la nube, que proporciona visibilidad de la actividad de usuarios y aplicaciones en las redes en la nube. | DeployIfNotExists, deshabilitado | 1.1.1 |
| Configure las redes virtuales para aplicar el área de trabajo, la cuenta de almacenamiento y el intervalo de retención para Registros de flujo y Análisis de tráfico | Si una red virtual ya tiene habilitado el análisis de tráfico, esta directiva sobrescribirá su configuración ya existente por la proporcionada durante la creación de dicha directiva. Análisis de tráfico es una solución basada en la nube, que proporciona visibilidad de la actividad de usuarios y aplicaciones en las redes en la nube. | DeployIfNotExists, deshabilitado | 1.1.2 |
| Cosmos DB debe usar un punto de conexión del servicio de red virtual | Esta directiva audita toda instancia de Cosmos DB no configurada para usar un punto de conexión del servicio de red virtual. | Auditar, Deshabilitado | 1.0.0 |
| Crear área de trabajo de Log Analytics central para el análisis de tráfico de Flowlog de red virtual en el grupo de recursos especificado | Cree un área de trabajo de Log Analytics central en el ámbito asignado y, en Grupo de recursos nwtarg-<subscriptionID> de forma predeterminada para los flujos de red virtual. | DeployIfNotExists, deshabilitado | 1.0.0 |
| Creación de NetworkWatcher regional en NetworkWatcherRG para VNet Flowlogs | Esta directiva crea un Network Watcher en la región especificada para habilitar Flowlogs para redes virtuales. | DeployIfNotExists, deshabilitado | 1.0.0 |
| Creación de una cuenta de almacenamiento regional para los flujos de red virtual en resourceGroupName RG | Crea una cuenta de almacenamiento regional en el ámbito asignado y, de forma predeterminada, en el grupo de recursos nwtarg-subscriptionID<> para los flujos de red virtual. | DeployIfNotExists, deshabilitado | 1.0.0 |
| Implementación de un recurso de registro de flujo con el grupo de seguridad de red de destino | Configura el registro de flujo para un grupo de seguridad de red específico. Permitirá registrar información sobre el flujo de tráfico IP mediante un grupo de seguridad de red. El registro de flujo ayuda a identificar el tráfico desconocido o no deseado, comprobar el aislamiento de la red y el cumplimiento con las reglas de acceso de la empresa, analizar los flujos de red de direcciones IP e interfaces de red en peligro. | deployIfNotExists | 1.1.0 |
| Implementación de un recurso de registro de flujo con la red virtual de destino | Configura el registro de flujo para una red virtual específica. Permitirá registrar información sobre el flujo de tráfico IP mediante una red virtual. El registro de flujo ayuda a identificar el tráfico desconocido o no deseado, comprobar el aislamiento de la red y el cumplimiento con las reglas de acceso de la empresa, analizar los flujos de red de direcciones IP e interfaces de red en peligro. | DeployIfNotExists, deshabilitado | 1.1.1 |
| Implementar Network Watcher al crear redes virtuales. | Esta directiva crea un recurso de Network Watcher en las regiones con redes virtuales. Debe asegurarse de la existencia de un grupo de recursos denominado networkWatcherRG, que se usará para implementar las instancias de Network Watcher. | DeployIfNotExists | 1.0.0 |
| Deploy VNet Flow Logs with Traffic Analytics for VNets with Regional Storage and centralized Log Analytics | Implemente registros de flujo de red virtual con Análisis de tráfico para redes virtuales con almacenamiento regional y Log Analytics centralizadas. Antes de corregir, asegúrese de que el grupo de recursos resourceGroupName, la cuenta de almacenamiento, Log Analytics área de trabajo, Network Watcher ya están implementados. | DeployIfNotExists, deshabilitado | 1.0.0 |
| Regla de límite de velocidad que se puede proteger frente a ataques DDoS en Azure Front Door WAF | La regla de límite de velocidad de Azure Web Application Firewall (WAF) para Azure Front Door controla el número de solicitudes permitidas desde una dirección IP de cliente determinada a la aplicación durante una duración de límite de velocidad. | Auditar, Denegar, Deshabilitado | 1.0.0 |
| El centro de eventos debe usar un punto de conexión del servicio de red virtual | Esta directiva audita todo centro de eventos no configurado para usar un punto de conexión del servicio de red virtual. | AuditIfNotExists, Deshabilitado | 1.0.0 |
| Los registros de flujo se deben configurar para cada grupo de seguridad de red | Audite los grupos de seguridad de red para comprobar si se han configurado los registros de flujo. Habilitar los registros de flujo permite registrar información sobre el tráfico IP que fluye a través de un grupo de seguridad de red. Se puede utilizar para optimizar flujos de red, supervisar el rendimiento, comprobar el cumplimiento, detectar intrusiones y mucho más. | Auditar, Deshabilitado | 1.1.0 |
| Las subredes de la puerta de enlace no se deben configurar con un grupo de seguridad de red | Esta directiva deniega el acceso si una subred de puerta de enlace está configurada con un grupo de seguridad de red. La asignación de un grupo de seguridad de red a una subred de puerta de enlace hará que la puerta de enlace deje de funcionar. | deny | 1.0.0 |
| Key Vault debe usar un punto de conexión de servicio de red virtual | Esta directiva audita los Key Vault no configurados para usar un punto de conexión de servicio de red virtual. | Auditar, Deshabilitado | 1.0.0 |
| Migración de WAF de la configuración de WAF a la directiva de WAF en Application Gateway | Si solo tiene una configuración de WAF en lugar de una directiva de WAF, entonces es posible que quiera cambiar a la nueva directiva de WAF. En el futuro, la directiva de Firewall admitirá la configuración de directiva de WAF, los conjuntos de reglas administrados, las exclusiones y los grupos de reglas deshabilitados. | Auditar, Denegar, Deshabilitado | 1.0.0 |
| Las interfaces de red deben deshabilitar el reenvío IP | Esta directiva deniega las interfaces de red que habilitaron el reenvío IP. La configuración de reenvío IP deshabilita la comprobación de Azure del origen y el destino de una interfaz de red. Este debe revisarlo el equipo de seguridad de red. | deny | 1.0.0 |
| Las interfaces de red no deben tener direcciones IP públicas. | Esta directiva deniega las interfaces de red que están configuradas con cualquier dirección IP pública. Las direcciones IP públicas permiten a los recursos de Internet comunicarse entrantes con recursos de Azure y Azure recursos para comunicarse salientes a Internet. Este debe revisarlo el equipo de seguridad de red. | deny | 1.0.0 |
| Network Watcher los registros de flujo deben tener habilitado el análisis de tráfico | Análisis de tráfico analiza los registros de flujo para proporcionar información sobre el flujo de tráfico en la nube de Azure. Se puede usar para visualizar la actividad de red en las suscripciones de Azure e identificar puntos activos, identificar amenazas de seguridad, comprender los patrones de flujo de tráfico, identificar errores de configuración de red y mucho más. | Auditar, Deshabilitado | 1.0.1 |
| Network Watcher debe estar habilitado | Network Watcher es un servicio regional que permite supervisar y diagnosticar condiciones en un nivel de escenario de red en, hacia y desde Azure. La supervisión del nivel de escenario permite diagnosticar problemas en una vista de nivel de red de un extremo a otro. Es preciso que se haya creado un grupo de recursos de Network Watcher en todas las regiones en las que haya una red virtual. Si algún grupo de recursos de Network Watcher no está disponible en una región determinada, se habilita una alerta. | AuditIfNotExists, Deshabilitado | 3.0.0 |
| Las direcciones IP públicas y los prefijos de IP pública deben tener la etiqueta FirstPartyUsage | Asegúrese de que todas las direcciones IP públicas y los prefijos de IP pública tengan una etiqueta FirstPartyUsage. | Auditar, Denegar, Deshabilitado | 1.1.0 |
| SQL Server debe usar un punto de conexión de servicio de red virtual | Esta directiva audita los SQL Server no configurados para usar un punto de conexión de servicio de red virtual. | AuditIfNotExists, Deshabilitado | 1.0.0 |
| Las cuentas de almacenamiento deben usar un punto de conexión del servicio de red virtual | Esta directiva audita todas las cuentas de almacenamiento no configuradas para usar un punto de conexión del servicio de red virtual. | Auditar, Deshabilitado | 1.0.0 |
| Las subredes deberían ser privadas | Asegúrese de que las subredes están seguras de forma predeterminada evitando el acceso saliente predeterminado. Para más información, vaya a https://aka.ms/defaultoutboundaccessretirement | Auditar, Denegar, Deshabilitado | 1.1.0 |
| Virtual Hubs debe protegerse con Azure Firewall | Implemente un Azure Firewall en los centros virtuales para proteger y controlar de forma granular el tráfico de salida e entrada de Internet. | Auditar, Denegar, Deshabilitado | 1.0.0 |
| Las máquinas virtuales deben estar conectadas a una red virtual aprobada | Esta directiva audita cualquier máquina virtual conectada a una red virtual que no esté aprobada. | Auditar, Denegar, Deshabilitado | 1.0.0 |
| las redes Virtual deben estar protegidas por Azure DDoS Protection | Proteja las redes virtuales frente a ataques volumétricos y de protocolo con Azure DDoS Protection. Para más información, visite https://aka.ms/ddosprotectiondocs. | Modificación, auditoría y deshabilitación | 1.0.1 |
| Las redes virtuales deben usar la puerta de enlace de red virtual especificada | Esta directiva audita cualquier red virtual cuya ruta predeterminada no apunte a la puerta de enlace de red virtual especificada. | AuditIfNotExists, Deshabilitado | 1.0.0 |
| las puertas de enlace VPN solo deben usar la autenticación de Azure Active Directory (Azure AD) para usuarios de punto a sitio | La deshabilitación de métodos de autenticación local mejora la seguridad asegurándose de que las puertas de enlace de VPN solo usan Azure Active Directory identidades para la autenticación. Obtenga más información sobre Azure autenticación de AD en https://docs.microsoft.com/azure/vpn-gateway/openvpn-azure-ad-tenant | Auditar, Denegar, Deshabilitado | 1.0.0 |
| Web Application Firewall (WAF) debe estar habilitado para Application Gateway | Implemente Azure Web Application Firewall (WAF) delante de las aplicaciones web orientadas al público para una inspección adicional del tráfico entrante. Web Application Firewall (WAF) proporciona protección centralizada de las aplicaciones web frente a vulnerabilidades de seguridad comunes, como inyecciones de SQL, scripting entre sitios, ejecuciones de archivos locales y remotas. También permite restringir el acceso a las aplicaciones web por países, intervalos de direcciones IP y otros parámetros http(s) por medio de reglas personalizadas. | Auditar, Denegar, Deshabilitado | 2.0.0 |
| Web Application Firewall (WAF) debe usar el modo especificado para Application Gateway | Exige que el uso del modo "Detección" o "Prevención" esté activo en todas las directivas de Web Application Firewall para Application Gateway. | Auditar, Denegar, Deshabilitado | 1.0.0 |
| Web Application Firewall (WAF) debe usar el modo especificado para Azure Front Door Service | Exige que el uso del modo "Detección" o "Prevención" esté activo en todas las directivas de Web Application Firewall para Azure Front Door Service. | Auditar, Denegar, Deshabilitado | 1.0.0 |
Tags
| Name (Azure portal) |
Description | Effect(s) | Version (GitHub) |
|---|---|---|---|
| Agregar una etiqueta a los grupos de recursos | Agrega la etiqueta y el valor especificados cuando se crea o se actualiza un grupo de recursos que no tiene esta etiqueta. Los grupos de recursos existentes se pueden corregir con una tarea de corrección. Si la etiqueta existe con un valor diferente, no se cambiará. | modify | 1.0.0 |
| Agregar una etiqueta a los recursos | Agrega la etiqueta y el valor especificados cuando se crea o se actualiza un recurso que no tiene esta etiqueta. Los recursos existentes se pueden corregir con una tarea de corrección. Si la etiqueta existe con un valor diferente, no se cambiará. No modifica las etiquetas de los grupos de recursos. | modify | 1.0.0 |
| Agregar una etiqueta a las suscripciones | Agrega la etiqueta y el valor especificados a las suscripciones mediante una tarea de corrección. Si la etiqueta existe con un valor diferente, no se cambiará. Vea https://aka.ms/azurepolicyremediation para obtener más información sobre la corrección de directivas. | modify | 1.0.0 |
| Agregar o reemplazar una etiqueta en los grupos de recursos | Agrega o reemplaza la etiqueta y el valor especificados cuando se crea o se actualiza cualquier grupo de recursos. Los grupos de recursos existentes se pueden corregir con una tarea de corrección. | modify | 1.0.0 |
| Agregar o reemplazar una etiqueta en los recursos | Agrega o reemplaza la etiqueta y el valor especificados cuando se crea o se actualiza cualquier recurso. Los recursos existentes se pueden corregir con una tarea de corrección. No modifica las etiquetas de los grupos de recursos. | modify | 1.0.0 |
| Agregar o reemplazar una etiqueta en las suscripciones | Agrega o reemplaza la etiqueta y el valor especificados a las suscripciones mediante una tarea de corrección. Los grupos de recursos existentes se pueden corregir con una tarea de corrección. Vea https://aka.ms/azurepolicyremediation para obtener más información sobre la corrección de directivas. | modify | 1.0.0 |
| Anexar una etiqueta y su valor desde el grupo de recursos | Anexa la etiqueta especificada y su valor del grupo de recursos cuando se crea o se actualiza un recurso que no tiene esta etiqueta. Solo modifica las etiquetas de los recursos creados antes de que se aplicase esta directiva cuando se cambian esos recursos. Hay disponibles nuevas directivas de efecto "modify" que admiten la corrección de etiquetas en recursos existentes (consulte https://aka.ms/modifydoc). | append | 1.0.0 |
| Anexar una etiqueta y su valor a los grupos de recursos | Anexa la etiqueta y el valor especificados cuando se crea o se actualiza un grupo de recursos que no tiene esta etiqueta. Solo modifica las etiquetas de los grupos de recursos creados antes de que se aplicase esta directiva cuando se cambian esos grupos de recursos. Hay disponibles nuevas directivas de efecto "modify" que admiten la corrección de etiquetas en recursos existentes (consulte https://aka.ms/modifydoc). | append | 1.0.0 |
| Anexar una etiqueta y su valor a los recursos | Anexa la etiqueta y el valor especificados cuando se crea o se actualiza un recurso que no tiene esta etiqueta. Solo modifica las etiquetas de los recursos creados antes de que se aplicase esta directiva cuando se cambian esos recursos. No se aplica a los grupos de recursos. Hay disponibles nuevas directivas de efecto "modify" que admiten la corrección de etiquetas en recursos existentes (consulte https://aka.ms/modifydoc). | append | 1.0.1 |
| Heredar una etiqueta del grupo de recursos | Agrega o reemplaza la etiqueta y el valor especificados del grupo de recursos primario cuando se crea o actualiza un recurso. Los recursos existentes se pueden corregir con una tarea de corrección. | modify | 1.0.0 |
| Heredar una etiqueta del grupo de recursos si falta | Agrega la etiqueta especificada y su valor del grupo de recursos primario cuando se crea o se actualiza un recurso que no tiene esta etiqueta. Los recursos existentes se pueden corregir con una tarea de corrección. Si la etiqueta existe con un valor diferente, no se cambiará. | modify | 1.0.0 |
| Heredar una etiqueta de la suscripción | Agrega o reemplaza la etiqueta y el valor especificados de la suscripción contenedora cuando se crea o actualiza un recurso. Los recursos existentes se pueden corregir con una tarea de corrección. | modify | 1.0.0 |
| Heredar una etiqueta de la suscripción si falta | Agrega la etiqueta especificada y su valor en la suscripción contenedora cuando se crea o se actualiza un recurso que no tiene esta etiqueta. Los recursos existentes se pueden corregir con una tarea de corrección. Si la etiqueta existe con un valor diferente, no se cambiará. | modify | 1.0.0 |
| Requerir una etiqueta y su valor en los grupos de recursos | Aplica una etiqueta obligatoria y su valor en los grupos de recursos. | deny | 1.0.0 |
| Requerir una etiqueta y su valor en los recursos | Aplica una etiqueta obligatoria y su valor. No se aplica a los grupos de recursos. | deny | 1.0.1 |
| Solicitar una etiqueta en los grupos de recursos | Requiere que se use una etiqueta en los grupos de recursos. | deny | 1.0.0 |
| Solicitar una etiqueta en los recursos | Requiere que haya una etiqueta. No se aplica a los grupos de recursos. | deny | 1.0.1 |
General
| Name (Azure portal) |
Description | Effect(s) | Version (GitHub) |
|---|---|---|---|
| Ubicaciones permitidas | Esta directiva permite restringir las ubicaciones que la organización puede especificar al implementar los recursos. Úsela para aplicar los requisitos de cumplimiento de replicación geográfica. Excluye los grupos de recursos, Microsoft. AzureActiveDirectory/b2cDirectories y recursos que usan la región "global". | Auditar, Denegar, Deshabilitado | 1.1.0 |
| Ubicaciones permitidas para grupos de recursos | Esta directiva permite restringir las ubicaciones en las que la organización puede crear grupos de recursos. Úsela para aplicar los requisitos de cumplimiento de replicación geográfica. | Auditar, Denegar, Deshabilitado | 1.1.0 |
| Tipos de recursos permitidos | Esta directiva le permite especificar los tipos de recursos que puede implementar su organización. La directiva solo se aplicará a los tipos de recursos que admitan los valores "tags" y "location". Para restringir todos los recursos, duplique esta directiva y cambie el valor de "mode" a "All". | Auditar, Denegar, Deshabilitado | 1.1.0 |
| La ubicación del recurso de auditoría coincide con la del grupo de recursos | Auditoría cuya ubicación de recursos coincide con la ubicación de su grupo de recursos. | Auditar, Denegar, Deshabilitado | 2.1.0 |
| Auditar el uso de roles RBAC personalizados | Permite auditar roles integrados, como "propietario, colaborador, lector" en lugar de roles RBAC personalizados, que son propensos a errores de auditoría. El uso de roles personalizados se trata como una excepción y requiere una revisión rigurosa y el modelado de amenazas. | Auditar, Deshabilitado | 1.0.1 |
| Configuración de suscripciones para configurar características en versión preliminar | Esta directiva evalúa las características en versión preliminar de la suscripción existente. Las suscripciones se pueden corregir para registrarse en una nueva característica en versión preliminar. Las nuevas suscripciones no se registrarán automáticamente. | AuditarSiNoExiste, ImplementarSiNoExiste, Deshabilitado | 1.0.1 |
| No permitir la eliminación de tipos de recursos | Esta directiva permite especificar los tipos de recursos que la organización puede proteger frente a la eliminación accidental con el bloqueo de las llamadas de eliminación mediante el efecto de acción de denegación. | DenyAction, Desactivado | 1.0.1 |
| No permitir recursos de M365 | Bloquee la creación de recursos de M365. | Auditar, Denegar, Deshabilitado | 1.0.0 |
| No permitir recursos de MCPP | Bloquee la creación de recursos de MCPP. | Auditar, Denegar, Deshabilitado | 1.0.0 |
| Excluir recursos de costos de uso | Esta directiva le permite excluir los recursos de costos de uso. Los costos de uso incluyen cosas como el almacenamiento medido y los recursos de Azure que se facturan en función del uso. | Auditar, Denegar, Deshabilitado | 1.0.0 |
| Tipos de recursos no permitidos | Restrinja qué tipos de recursos se pueden implementar en el entorno. Limitar los tipos de recursos puede reducir la complejidad y la superficie expuesta a ataques de su entorno a la vez que también ayuda a administrar los costos. Los resultados de cumplimiento solo se muestran para los recursos no compatibles. | Auditar, Denegar, Deshabilitado | 2.0.0 |
| Los usuarios deben autenticarse con la autenticación multifactor para crear o actualizar recursos | Esta definición de directiva bloquea las operaciones de creación y actualización de recursos cuando el autor de la llamada no se autentica a través de MFA. Para más información, visite https://aka.ms/mfaforazure. | Auditar, Denegar, Deshabilitado | 1.1.0 |
| Los usuarios deben autenticarse con la autenticación multifactor para eliminar recursos | Esta definición de directiva bloquea las operaciones de eliminación de recursos cuando el autor de la llamada no se autentica a través de MFA. Para más información, visite https://aka.ms/mfaforazure. | Acción de Auditoría, Acción de Denegación, Desactivado | 1.1.0 |
Pasos siguientes
- Consulte los componentes integrados en el repositorio Azure Policy GitHub.
- Revise la estructura de definición Azure Policy.
- Vea la Descripción de los efectos de directivas.