Directivas integradas de Azure Monitor

Las directivas e iniciativas de directivas proporcionan un método sencillo para habilitar el registro a escala a través de la configuración de diagnóstico para Azure Monitor. Con una iniciativa de directiva, puede activar el registro de auditoría para todos los recursos admitidos en el entorno de Azure.

Habilite los registros de recursos para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Asigne directivas para habilitar los registros de recursos y enviarlos a destinos según sus necesidades. Envíe registros a centros de eventos para sistemas SIEM de terceros, lo que permite operaciones de seguridad continuas. Envíe registros a cuentas de almacenamiento para el almacenamiento a largo plazo o el cumplimiento normativo.

Existe un conjunto de directivas e iniciativas integradas para dirigir los registros de recursos a áreas de trabajo de Log Analytics, Event Hubs y cuentas de almacenamiento. Las directivas habilitan el registro de auditoría, enviando los registros pertenecientes al grupo de categorías de registro auditoría o Todos los registros, a un centro de eventos, al área de trabajo de Log Analytics o a una cuenta de almacenamiento. Las directivas effect son DeployIfNotExists, que implementa la directiva como predeterminada si no hay ninguna otra configuración definida.

Implemente las directivas.

Implementación de las directivas e iniciativas mediante el Portal, la CLI, PowerShell o las plantillas de Administración de recursos de Azure

Azure Portal

En los pasos siguientes se muestra cómo aplicar la directiva para enviar registros de auditoría a almacenes de claves a un área de trabajo de análisis de registros.

1. En la página Directiva, seleccione Definiciones.

2. Seleccione el ámbito. Podemos aplicar una directiva a toda una suscripción, a un grupo de recursos o a un recurso individual.

3. En la lista desplegable Tipo de definición, seleccione Directiva.

4. Seleccione Supervisión en la lista desplegable Categoría

5. Escriba keyVault en el campo de Búsqueda.

6. Seleccione el grupo Habilitar registro por categoría para Almacenes de claves (microsoft.keyvault/vaults) en la directiva de Log Analytics,

7. En la página de definición de directiva, seleccione Asignar

8. Seleccione la pestaña Parámetros .

9. Seleccione el área de trabajo de Log Analytics a la que desea enviar los registros de auditoría.

10. Seleccione la pestaña Corrección.

11. En la pestaña Corrección, seleccione la directiva de almacén de claves en la lista desplegable Directiva para corregir.

12. Seleccione la casilla Crear una identidad administrada.

13. En Tipo de identidad administrada, seleccione Identidad administrada asignada por el sistema.

14. Seleccione Revisar y crear y, a continuación, seleccione Crear.

CLI

Para aplicar una directiva mediante la CLI, use los siguientes comandos:

1. Cree una asignación de directiva usando az policy assignment create.

     az policy assignment create --name <policy assignment name>  --policy "6b359d8f-f88d-4052-aa7c-32015963ecc1"  --scope <scope> --params "{\"logAnalytics\": {\"value\": \"<log analytics workspace resource ID"}}" --mi-system-assigned --location <location>
   

   Por ejemplo, para aplicar la directiva para enviar registros de auditoría a un área de trabajo de análisis de registros

     az policy assignment create --name "policy-assignment-1"  --policy "6b359d8f-f88d-4052-aa7c-32015963ecc1"  --scope /subscriptions/12345678-aaaa-bbbb-cccc-1234567890ab/resourceGroups/rg-001 --params "{\"logAnalytics\": {\"value\": \"/subscriptions/12345678-aaaa-bbbb-cccc-1234567890ab/resourcegroups/rg-001/providers/microsoft.operationalinsights/workspaces/workspace-001\"}}" --mi-system-assigned --location eastus
   

2. Asigne el rol necesario a la identidad creada para la asignación de directiva. Busque el rol en la definición de directiva mediante la búsqueda de roleDefinitionIds

      ...},
         "roleDefinitionIds": [
           "/providers/Microsoft.Authorization/roleDefinitions/92aaf0da-9dab-42b6-94a3-d43ce8d16293"
         ],
         "deployment": {
           "properties": {...
   

   Asigne el rol necesario mediante az policy assignment identity assign:

   az policy assignment identity assign --system-assigned --resource-group <resource group name> --role <role name or ID> --identity-scope </scope> --name <policy assignment name>
   

   Por ejemplo:

   az policy assignment identity assign --system-assigned --resource-group rg-001  --role 92aaf0da-9dab-42b6-94a3-d43ce8d16293 --identity-scope /subscriptions/12345678-aaaa-bbbb-cccc-1234567890ab/resourceGroups/rg001 --name policy-assignment-1
   

3. Desencadene un examen para buscar recursos existentes mediante az policy state trigger-scan.

   az policy state trigger-scan --resource-group rg-001
   

4. Cree una tarea de corrección para aplicar la directiva a los recursos existentes mediante az policy remediation create.

   az policy remediation create -g <resource group name> --policy-assignment <policy assignment name> --name <remediation name> 
   

   Por ejemplo,

   az policy remediation create -g rg-001 -n remediation-001 --policy-assignment policy-assignment-1
   

Para más información sobre la asignación de directivas mediante la CLI, consulte Referencia de la CLI de Azure: az policy assignment

PowerShell

Para aplicar una directiva mediante el PowerShell, use los siguientes comandos:

1. Configure el entorno. Seleccione la suscripción y establezca el grupo de recursos

   Select-AzSubscription <subscriptionID>
   $rg = Get-AzResourceGroup -Name <resource groups name>    
   

2. Obtenga la definición de directiva y configure los parámetros de la directiva. En el ejemplo siguiente se asigna la directiva para enviar registros keyVault a un área de trabajo de Log Analytics

   $definition = Get-AzPolicyDefinition |Where-Object Name -eq 6b359d8f-f88d-4052-aa7c-32015963ecc1
   $params =  @{"logAnalytics"="/subscriptions/<subscriptionID/resourcegroups/<resourcgroup>/providers/microsoft.operationalinsights/workspaces/<log anlaytics workspace name>"}  
   

3. Asignación de la directiva

   $policyAssignment=New-AzPolicyAssignment -Name <assignment name> -DisplayName "assignment display name" -Scope $rg.ResourceId -PolicyDefinition $definition -PolicyparameterObject $params -IdentityType 'SystemAssigned' -Location <location>
   
   #To get your assignemnt use:
   $policyAssignment=Get-AzPolicyAssignment -Name '<assignment name>' -Scope '/subscriptions/<subscriptionID>/resourcegroups/<resource group name>'
   
   

4. Asignar el rol o roles necesarios a la identidad administrada asignada por el sistema

       $principalID=$policyAssignment.Identity.PrincipalId
       $roleDefinitionIds=$definition.Properties.policyRule.then.details.roleDefinitionIds
       $roleDefinitionIds | ForEach-Object {
           $roleDefId = $_.Split("/") | Select-Object -Last 1
           New-AzRoleAssignment -Scope $rg.ResourceId -ObjectId $policyAssignment.Identity.PrincipalId -RoleDefinitionId $roleDefId
       }
   

5. Busque cumplimiento y cree una tarea de corrección para forzar el cumplimiento de los recursos existentes.

       Start-AzPolicyComplianceScan -ResourceGroupName $rg.ResourceGroupName
       Start-AzPolicyRemediation -Name $policyAssignment.Name -PolicyAssignmentId $policyAssignment.PolicyAssignmentId  -ResourceGroupName $rg.ResourceGroupName
   

6. Comprobar cumplimiento

   Get-AzPolicyState -PolicyAssignmentName  $policyAssignment.Name -ResourceGroupName $policyAssignment.ResourceGroupName|select-object IsCompliant, ResourceID
   

La directiva es visible en la configuración de diagnóstico de los recursos después de aproximadamente 30 minutos.

Tareas de corrección

Las directivas se aplican a los nuevos recursos cuando se crean. Para aplicar una directiva a los recursos existentes, cree una tarea de corrección. Las tareas de corrección aportan recursos al cumplimiento de una directiva.

Las tareas de corrección actúan para directivas específicas. En el caso de las iniciativas que contienen varias directivas, cree una tarea de corrección para cada directiva de la iniciativa en la que tenga recursos que desee incorporar al cumplimiento.

Defina las tareas de corrección cuando asigne por primera vez la directiva o en cualquier fase después de la asignación.

Para crear una tarea de corrección para las directivas durante la asignación de directivas, seleccione la pestaña Corrección en la página Asignar directiva y active la casilla Crear tarea de corrección.

Para crear una tarea de corrección una vez asignada la directiva, seleccione la directiva asignada en la lista de la página Asignaciones de directiva.

Seleccione Corregir. Realice un seguimiento del estado de la tarea de corrección en la pestaña Tareas de corrección de la página Corrección de directivas.

Para obtener más información sobre las tareas de corrección, consulte Corrección de recursos no compatibles

Asignación de iniciativas

Las iniciativas son colecciones de directivas. Hay dos conjuntos de iniciativas para la configuración de diagnósticos de Azure Monitor:

1. Habilitar el registro de recursos del grupo de categorías auditoría

   • Habilitación del registro de recursos del grupo de categorías de auditoría para los recursos admitidos en Event Hubs
   • Habilitación del registro de recursos del grupo de categorías de auditoría para los recursos admitidos en Log Analytics
   • Habilitación del registro de recursos del grupo de categorías de auditoría para almacenar los recursos admitidos

2. Habilitar el registro de recursos del grupo de categorías allLogs

   • Habilitación del registro de recursos del grupo de categorías allLogs para los recursos admitidos en un almacenamiento
   • Habilitación del registro de recursos del grupo de categorías allLogs para los recursos admitidos en un centro de eventos
   • Habilitación del registro de recursos del grupo de categorías allLogs para los recursos admitidos en Log Analytics

En este ejemplo, asignamos una iniciativa para enviar registros de auditoría a un área de trabajo de Log Analytics.

Azure Portal

1. En la página Definiciones de directiva, seleccione el ámbito.

2. Seleccione Iniciativa en la lista desplegable Tipo de definición.

3. Seleccione Supervisión en la lista desplegable Categoría.

4. Escriba auditoría en el campo Búsqueda.

5. Seleccione la iniciativa Habilitación del registro de recursos del grupo de categorías de auditoría para los recursos admitidos en Log Analytics.

6. En la página siguiente, seleccione Asignar

7. En la pestaña Conceptos básicos de la página Asignar iniciativa, seleccione un ámbito al que quiera aplicar la iniciativa.

8. Escriba un nombre en el campo Nombre de asignación.

9. Seleccione la pestaña Parámetros.

   Los parámetros contienen los parámetros definidos en la directiva. En este caso, necesitamos seleccionar el área de trabajo de Log Analytics a la que queremos enviar los registros. Para obtener más información sobre los parámetros individuales de cada directiva, consulte Parámetros específicos de la directiva.

10. Seleccione el área de trabajo de Log Analytics a la que enviar los registros de auditoría.

11. Seleccione Revisar y crear y, después, Crear

Para comprobar que la asignación de directiva o iniciativa funciona, cree un recurso en el ámbito de la suscripción o del grupo de recursos que haya definido en la asignación de directiva.

Después de 10 minutos, seleccione la página Configuración de diagnóstico del recurso. La configuración de diagnóstico aparece en la lista con el nombre predeterminado setByPolicy-LogAnalytics y el nombre del área de trabajo que configuró en la directiva.

Cambie el nombre predeterminado en la pestaña Parámetros de la página Asignar iniciativa o de la directiva desactivando la casilla Mostrar solo los parámetros que necesitan entrada o revisión.

PowerShell

1. Configure las variables de entorno

   # Set up your environment variables.
   $subscriptionId = <your subscription ID>;
   $rg = Get-AzResourceGroup -Name <your resource group name>;
   Select-AzSubscription $subscriptionId;
   $logAnlayticsWorskspaceId=</subscriptions/$subscriptionId/resourcegroups/$rg.ResourceGroupName/providers/microsoft.operationalinsights/workspaces/<your log analytics workspace>;
   

2. Obtenga la definición de la iniciativa. En este ejemplo, usaremos el registro de recursos del grupo de categorías de auditoría para los recursos admitidos en Log Analytics, ResourceID "/providers/Microsoft.Authorization/policySetDefinitions/f5b29bc4-feca-4cc6-a58a-772dd5e290a5"

   $definition = Get-AzPolicySetDefinition |Where-Object ResourceID -eq /providers/Microsoft.Authorization/policySetDefinitions/f5b29bc4-feca-4cc6-a58a-772dd5e290a5;
   

3. Establezca un nombre de asignación y configure los parámetros. Para esta iniciativa, los parámetros incluyen el identificador del área de trabajo de Log Analytics.

   $assignmentName=<your assignment name>;
   $params =  @{"logAnalytics"="/subscriptions/$subscriptionId/resourcegroups/$($rg.ResourceGroupName)/providers/microsoft.operationalinsights/workspaces/<your log analytics workspace>"}  
   

4. Asignar la iniciativa mediante los parámetros

   $policyAssignment=New-AzPolicyAssignment -Name $assignmentName  -Scope $rg.ResourceId -PolicySetDefinition $definition -PolicyparameterObject $params -IdentityType 'SystemAssigned' -Location eastus;
   

5. Asigne el rol Contributor a la identidad administrada asignada por el sistema. Para otras iniciativas, compruebe qué roles son necesarios.

    New-AzRoleAssignment -Scope $rg.ResourceId -ObjectId $policyAssignment.Identity.PrincipalId -RoleDefinitionName Contributor;
   

6. Busque cumplimiento de directivas. El comando Start-AzPolicyComplianceScan tarda unos minutos en devolverse

   Start-AzPolicyComplianceScan -ResourceGroupName $rg.ResourceGroupName;
   

7. Obtener una lista de recursos para corregir y los parámetros necesarios mediante una llamada a Get-AzPolicyState

   $assignmentState=Get-AzPolicyState -PolicyAssignmentName  $assignmentName -ResourceGroupName $rg.ResourceGroupName;   
   $policyAssignmentId=$assignmentState.PolicyAssignmentId[0];
   $policyDefinitionReferenceIds=$assignmentState.PolicyDefinitionReferenceId;
   

8. Para cada tipo de recurso con recursos no conformes, inicie una tarea de corrección.

       $policyDefinitionReferenceIds | ForEach-Object {
             $referenceId = $_
             Start-AzPolicyRemediation -ResourceGroupName $rg.ResourceGroupName  -PolicyAssignmentId $policyAssignmentId   -PolicyDefinitionReferenceId $referenceId -Name "$($rg.ResourceGroupName) remediation $referenceId";
       }
   

9. Compruebe el estado de cumplimiento cuando se hayan completado las tareas de corrección.

   Get-AzPolicyState -PolicyAssignmentName  $assignmentName -ResourceGroupName $rg.ResourceGroupName|select-object IsCompliant, ResourceID
   

Puede obtener los detalles de la asignación de directivas mediante el siguiente comando:

  $policyAssignment=Get-AzPolicyAssignment -Name $assignmentName -Scope "/subscriptions/$subscriptionId/resourcegroups/$($rg.ResourceGroupName)";

CLI

1. Inicie sesión en su cuenta de Azure mediante el comando az login.

2. Seleccione la suscripción en la que desea aplicar la iniciativa de directiva mediante el comando az account set.

3. Asigne la iniciativa mediante az policy assignment create.

   az policy assignment create --name <assignment name> --resource-group <resource group name> --policy-set-definition <initiative name> --params <parameters object> --mi-system-assigned --location <location>
   

   Por ejemplo:

   az policy assignment create --name "assign-cli-example-01" --resource-group "cli-example-01" --policy-set-definition 'f5b29bc4-feca-4cc6-a58a-772dd5e290a5' --params '{"logAnalytics":{"value":"/subscriptions/12345678-aaaa-bbbb-cccc-1234567890ab/resourcegroups/cli-example-01/providers/microsoft.operationalinsights/workspaces/cli-example-01-ws"}, "diagnosticSettingName":{"value":"AssignedBy-cli-example-01"}}' --mi-system-assigned --location eastus
   

4. Asignación del rol necesario a la identidad administrada del sistema

   Busque los roles que se van a asignar en cualquiera de las definiciones de directiva de la iniciativa; para ello, busque roleDefinitionIds, por ejemplo:

      ...},
         "roleDefinitionIds": [
           "/providers/Microsoft.Authorization/roleDefinitions/92aaf0da-9dab-42b6-94a3-d43ce8d16293"
         ],
         "deployment": {
           "properties": {...
   

   Asigne el rol necesario mediante az policy assignment identity assign:

   az policy assignment identity assign --system-assigned --resource-group <resource group name> --role <role name or ID> --identity-scope <scope> --name <policy assignment name>
   

   Por ejemplo:

   az policy assignment identity assign --system-assigned --resource-group "cli-example-01" --role 92aaf0da-9dab-42b6-94a3-d43ce8d16293 --identity-scope "/subscriptions/12345678-aaaa-bbbb-cccc-1234567890ab/resourcegroups/cli-example-01" --name assign-cli-example-01
   

5. Cree tareas de corrección para las directivas de la iniciativa.

   Las tareas de corrección se crean por directiva. Cada tarea es para un elemento específico definition-reference-id, especificado en la iniciativa como policyDefinitionReferenceId. Para encontrar el parámetro definition-reference-id, use el comando siguiente:

   az policy set-definition show --name f5b29bc4-feca-4cc6-a58a-772dd5e290a5 |grep policyDefinitionReferenceId
   

   Corrección de los recursos mediante az policy remediation create

   az policy remediation create --resource-group <resource group name> --policy-assignment <assignment name> --name <remediation task name> --definition-reference-id  "policy specific reference ID"  --resource-discovery-mode ReEvaluateCompliance
   

   Por ejemplo:

   az policy remediation create --resource-group "cli-example-01" --policy-assignment assign-cli-example-01 --name "rem-assign-cli-example-01" --definition-reference-id  "keyvault-vaults"  --resource-discovery-mode ReEvaluateCompliance
   

   Para crear una tarea de corrección para todas las directivas de la iniciativa, use el ejemplo siguiente:

   for policyDefinitionReferenceId in $(az policy set-definition show --name f5b29bc4-feca-4cc6-a58a-772dd5e290a5 |grep policyDefinitionReferenceId |cut -d":" -f2|sed s/\"//g) 
   do 
       az policy remediation create --resource-group "cli-example-01" --policy-assignment assign-cli-example-01 --name remediate-$policyDefinitionReferenceId --definition-reference-id $policyDefinitionReferenceId; 
   done 
   

Parámetros comunes

En la tabla siguiente se describen los parámetros comunes para cada conjunto de directivas.

Parámetro	Descripción	Valores válidos	Valor predeterminado
efecto	Habilitar o deshabilitar la ejecución de la directiva	DeployIfNotExists, AuditIfNotExists, Disabled	DeployIfNotExists
diagnosticSettingName	Nombre de la configuración del diagnóstico		setByPolicy-{LogAnalytics|EventHubs|Storage}
categoryGroup	Grupo de categorías del diagnóstico	ninguno, auditoría, allLogs	auditoría
resourceTypeList	En el caso de las iniciativas, una lista de tipos de recursos que se van a evaluar para la existencia de la configuración de diagnóstico.	Recursos compatibles	Todos los recursos admitidos

Parámetros específicos de la directiva

Parámetros de la directiva de Log Analytics

Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un área de trabajo de Log Analytics.

Parámetro	Descripción	Valores válidos	Valor predeterminado
resourceLocationList	Lista de ubicaciones de recursos para enviar registros a Log Analytics cercano. "*" selecciona todas las ubicaciones	Ubicaciones admitidas	*
logAnalytics	Área de trabajo de Log Analytics

Parámetros de directiva de Event Hubs

Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un centro de eventos.

Parámetro	Descripción	Valores válidos	Valor predeterminado
resourceLocation	Ubicación del recurso debe ser la misma ubicación que el espacio de nombres del centro de eventos	Ubicaciones admitidas
eventHubAuthorizationRuleId	Id. de la regla de autorización del centro de eventos. La regla de autorización está en el nivel de espacio de nombres del centro de eventos. Por ejemplo, /subscriptions/{id. de suscripción}/resourceGroups/{grupo de recursos}/providers/Microsoft.EventHub/namespaces/{Espacio de nombres del centro de eventos}/authorizationrules/{regla de autorización}
eventHubName	Nombre del centro de eventos		Supervisión

Parámetros de directiva de cuentas de almacenamiento

Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a una cuenta de almacenamiento.

Parámetro	Descripción	Valores válidos	Valor predeterminado
resourceLocation	Ubicación del recurso debe estar en la misma ubicación que la cuenta de almacenamiento	Ubicaciones admitidas
StorageAccount	Recurso de la cuenta de almacenamiento

Recursos compatibles

Existen directivas integradas de Todos los registros y Registros de auditoría para las áreas de trabajo de Log Analytics, los centros de eventos y las cuentas de almacenamiento para los siguientes recursos:

Tipo de recurso	Todos los registros	Registros de auditoría
microsoft.aad/domainservices	Sí	Sí
microsoft.agfoodplatform/farmbeats	Sí	Sí
microsoft.analysisservices/servers	Sí	No
microsoft.apimanagement/service	Sí	Sí
microsoft.app/managedenvironments	Sí	Sí
microsoft.appconfiguration/configurationstores	Sí	Sí
microsoft.appplatform/spring	Sí	No
microsoft.attestation/attestationproviders	Sí	Sí
microsoft.automation/automationaccounts	Sí	Sí
microsoft.autonomousdevelopmentplatform/workspaces	Sí	No
microsoft.avs/privateclouds	Sí	Sí
microsoft.azureplaywrightservice/accounts	Sí	Sí
microsoft.azuresphere/catalogs	Sí	Sí
microsoft.batch/batchaccounts	Sí	Sí
microsoft.botservice/botservices	Sí	No
microsoft.cache/redis	Sí	Sí
microsoft.cache/redisenterprise/databases	Sí	Sí
microsoft.cdn/cdnwebapplicationfirewallpolicies	Sí	No
microsoft.cdn/profiles	Sí	Sí
microsoft.cdn/profiles/endpoints	Sí	No
microsoft.chaos/experiments	Sí	Sí
microsoft.classicnetwork/networksecuritygroups	Sí	No
microsoft.cloudtest/hostedpools	Sí	No
microsoft.codesigning/codesigningaccounts	Sí	Sí
microsoft.cognitiveservices/accounts	Sí	Sí
microsoft.communication/communicationservices	Sí	No
microsoft.community/communitytrainings	Sí	Sí
microsoft.confidentialledger/managedccfs	Sí	Sí
microsoft.connectedcache/enterprisemcccustomers	Sí	No
microsoft.connectedcache/ispcustomers	Sí	No
microsoft.containerinstance/containergroups	Sí	No
microsoft.containerregistry/registries	Sí	Sí
microsoft.customproviders/resourceproviders	Sí	No
microsoft.d365customerinsights/instances	Sí	No
microsoft.dashboard/grafana	Sí	Sí
microsoft.databricks/workspaces	Sí	No
microsoft.datafactory/factories	Sí	No
microsoft.datalakeanalytics/accounts	Sí	No
microsoft.datalakestore/accounts	Sí	No
microsoft.dataprotection/backupvaults	Sí	No
microsoft.datashare/accounts	Sí	No
microsoft.dbformariadb/servers	Sí	No
microsoft.dbformysql/flexibleservers	Sí	Sí
microsoft.dbformysql/servers	Sí	No
microsoft.dbforpostgresql/flexibleservers	Sí	Sí
microsoft.dbforpostgresql/servergroupsv2	Sí	No
microsoft.dbforpostgresql/servers	Sí	No
microsoft.desktopvirtualization/applicationgroups	Sí	No
microsoft.desktopvirtualization/hostpools	Sí	No
microsoft.desktopvirtualization/scalingplans	Sí	No
microsoft.desktopvirtualization/workspaces	Sí	No
microsoft.devcenter/devcenters	Sí	Sí
microsoft.devices/iothubs	Sí	Sí
microsoft.devices/provisioningservices	Sí	No
microsoft.digitaltwins/digitaltwinsinstances	Sí	No
microsoft.documentdb/cassandraclusters	Sí	Sí
microsoft.documentdb/databaseaccounts	Sí	Sí
microsoft.documentdb/mongoclusters	Sí	Sí
microsoft.eventgrid/domains	Sí	Sí
microsoft.eventgrid/partnernamespaces	Sí	Sí
microsoft.eventgrid/partnertopics	Sí	No
microsoft.eventgrid/systemtopics	Sí	No
microsoft.eventgrid/topics	Sí	Sí
microsoft.eventhub/namespaces	Sí	Sí
microsoft.experimentation/experimentworkspaces	Sí	No
microsoft.healthcareapis/services	Sí	No
microsoft.healthcareapis/workspaces/dicomservices	Sí	No
microsoft.healthcareapis/workspaces/fhirservices	Sí	No
microsoft.healthcareapis/workspaces/iotconnectors	Sí	No
microsoft.insights/autoscalesettings	Sí	No
microsoft.insights/components	Sí	No
microsoft.insights/datacollectionrules	Sí	No
microsoft.keyvault/managedhsms	Sí	Sí
microsoft.keyvault/vaults	Sí	Sí
microsoft.kusto/clusters	Sí	Sí
microsoft.loadtestservice/loadtests	Sí	Sí
microsoft.logic/integrationaccounts	Sí	No
microsoft.logic/workflows	Sí	No
microsoft.machinelearningservices/registries	Sí	Sí
microsoft.machinelearningservices/workspaces	Sí	Sí
microsoft.machinelearningservices/workspaces/onlineendpoints	Sí	No
microsoft.managednetworkfabric/networkdevices	Sí	No
microsoft.media/mediaservices	Sí	Sí
microsoft.media/mediaservices/liveevents	Sí	Sí
microsoft.media/mediaservices/streamingendpoints	Sí	Sí
microsoft.netapp/netappaccounts/capacitypools/volumes	Sí	Sí
microsoft.network/applicationgateways	Sí	No
microsoft.network/azurefirewalls	Sí	No
microsoft.network/bastionhosts	Sí	Sí
microsoft.network/dnsresolverpolicies	Sí	No
microsoft.network/expressroutecircuits	Sí	No
microsoft.network/frontdoors	Sí	Sí
microsoft.network/loadbalancers	Sí	No
microsoft.network/networkmanagers	Sí	Sí
microsoft.network/networkmanagers/ipampools	Sí	Sí
microsoft.network/networksecuritygroups	Sí	No
microsoft.network/networksecurityperimeters	Sí	No
microsoft.network/p2svpngateways	Sí	Sí
microsoft.network/publicipaddresses	Sí	Sí
microsoft.network/publicipprefixes	Sí	Sí
microsoft.network/trafficmanagerprofiles	Sí	No
microsoft.network/virtualnetworkgateways	Sí	Sí
microsoft.network/virtualnetworks	Sí	No
microsoft.network/vpngateways	Sí	No
microsoft.networkanalytics/dataproducts	Sí	Sí
microsoft.networkcloud/baremetalmachines	Sí	No
microsoft.networkcloud/clusters	Sí	No
microsoft.networkcloud/storageappliances	Sí	No
microsoft.networkfunction/azuretrafficcollectors	Sí	No
microsoft.notificationhubs/namespaces	Sí	Sí
microsoft.notificationhubs/namespaces/notificationhubs	Sí	Sí
microsoft.openenergyplatform/energyservices	Sí	No
microsoft.operationalinsights/workspaces	Sí	Sí
microsoft.powerbi/tenants/workspaces	Sí	No
microsoft.powerbidedicated/capacities	Sí	No
microsoft.purview/accounts	Sí	Sí
microsoft.recoveryservices/vaults	Sí	No
microsoft.relay/namespaces	Sí	No
microsoft.search/searchservices	Sí	Sí
microsoft.servicebus/namespaces	Sí	Sí
microsoft.servicenetworking/trafficcontrollers	Sí	No
microsoft.signalrservice/signalr	Sí	Sí
microsoft.signalrservice/webpubsub	Sí	Sí
microsoft.sql/managedinstances	Sí	Sí
microsoft.sql/managedinstances/databases	Sí	No
microsoft.sql/servers/databases	Sí	Sí
microsoft.storagecache/caches	Sí	No
microsoft.storagemover/storagemovers	Sí	No
microsoft.streamanalytics/streamingjobs	Sí	No
microsoft.synapse/workspaces	Sí	Sí
microsoft.synapse/workspaces/bigdatapools	Sí	Sí
microsoft.synapse/workspaces/kustopools	Sí	Sí
microsoft.synapse/workspaces/scopepools	Sí	Sí
microsoft.synapse/workspaces/sqlpools	Sí	Sí
microsoft.timeseriesinsights/environments	Sí	No
microsoft.timeseriesinsights/environments/eventsources	Sí	No
microsoft.videoindexer/accounts	Sí	No
microsoft.web/hostingenvironments	Sí	Sí
microsoft.workloads/sapvirtualinstances	Sí	Sí

Pasos siguientes

• Creación de una configuración de diagnóstico a gran escala mediante Azure Policy
• Definiciones integradas de Azure Policy para Azure Monitor
• Introducción a Azure Policy
• Directiva de Azure Enterprise como código